Personvern og databehandleravtaler ved bruk av Feide-tjenester

Feide-samling for administratorer 2.4. 2014Tommy Tranvik

Formål

Rettslige krav som stilles når Feide-tjenester behandler opplysninger om elever og ansatte:

• viktige begreper og roller i personopplysningsloven

• risikovurderinger

• databehandleravtaler

Problemet

«Datatilsynets besøk ved XXX ungdomsskole har avdekket at det mest sannsynlig er et antall leverandører av digitale nettressurser som benyttes og som det skulle vært inngått avtaler med.»

«XXX kommune må inngå databehandleravtaler med tjenesteleverandører som behandler personopplysninger på vegne av kommunen.»

Lovgivningen

Personopplysningsloven med forskrift

• trådte i kraft i 2001

• reglene gjelder ved elektronisk behandling av personopplysninger

• ivareta sentrale personvernhensyn (personlig integritet, privatlivets fred og datakvalitet)

Personopplysninger

Alle opplysninger og vurderinger som kan knyttes til en bestemt enkeltperson

• tekst, bilder, lyd og video • sensitive opplysninger• alminnelige opplysninger

Feide-tjenester vil vanligvis ikke behandle sensitive personopplysninger

Roller

Den registrerte • den som opplysningene sier noe om (elever og ansatte)

Behandlingsansvarlig • den som er hovedansvarlig for behandlingen av opplysninger om elever og

ansatte (skoleeier)

• må ha lovlig grunn (samtykke, lovhjemmel eller nødvendighet)

Databehandler • den som behandler opplysninger om elever og ansatte på vegne av skoleeier

(leverandører av Feide-tjenester)

Skoleeiers plikter

Skal vurdere risikoen ved tjenestene før de tas i bruk

Skal inngå skriftlige avtaler med leverandørene

Avtalene skal inneholde krav til hvordan leverandørene behandler opplysningene

Ivareta de registrertes (elever og ansatte) rettigheter

Avtaler – logikk

Skoleeier behandler opplysninger om elever og ansatte

Enkelte av behandlingene settes ut til leverandører av Feide-tjenester

Dette innebærer tap av kontroll med opplysningene

Tapet av kontroll kompenseres gjennom avtaler med leverandørene

Avtalene skal omfatte hele behandlingskjeden, for eksempel underleverandører

Databehandlere i skolen

Flere ulike typer, for eksempel:

1. Vertskommuner – kommuner som drifter elektroniske systemer på vegne av andre kommuner

2. Administrative systemer, for eksempel SAS eller LMS

3. Digitale nettressurser, for eksempel Feide-tjenester (NRK, TV2, Gyldendal, osv.)

Personopplysninger i Feide-tjenester

Opplysninger om elever og ansatte hentet fra skoleeiers Feide-katalog

• standardisert

Opplysninger om elever og ansatte som skapes ved bruk av Feide-tjenester

• varierer mellom ulike tjenester

Databehandleravtaler

Skal inneholde disse hovedpunktene:

• avtalen skal etablere klare ansvars- og myndighetsforhold overfor leverandøren

• leverandøren kan ikke overføre opplysninger om elever og ansatte til andre uten at dette fremgår av avtalen

• avtalen skal forplikte leverandøren til å følge reglene om sikring av personopplysninger i personopplysningsloven med forskrift

Skoleeier skal ha kunnskap om sikkerheten hos leverandører og jevnlig forsikre seg om at den er tilfredsstillende

Risikovurderinger

Før databehandleravtaler inngås skal skoleeier risikovurdere Feide-tjenestene

Stilles ingen spesielle krav til risikovurderinger

Sannsynligheten for og konsekvensene av «uønskede hendelser»:

• uvedkommende får tilgang eller kjennskap til opplysninger om elever eller ansatte

• uvedkommende endrer eller sletter opplysninger om elever eller ansatte

• opplysningene er ikke tilgjengelige for elever eller ansatte når de trenger dem

Dersom risikoen vurderes som uakseptabel høy, er skoleeier pliktig til enten å:

• iverksette sikringstiltak eller

• ikke å anvende tjenesten

Uønskede hendelser – eksempler

Passordproblematikk – ID-tyveri

Ustabil internettilgang

Opplasting av sensitive personopplysninger

Uautorisert overføring av opplysninger mellom leverandører

Uautorisert tilgang til opplysninger under overføring

Forsvarlig sletting av opplysninger når elever avslutter skolegangen

Tjenesten avsluttes – tilbakeføring av opplysninger

Avtalemal

Basert på Datatilsynets veiledning om databehandleravtaler og avtalemal

Endret noe for å passe til Feide-tjenester

Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen

Skoleeier må selv følge opp at avtalene overholdes av leverandørene

NB: Enkelte leverandører kan tilby egne databehandleravtaler

Innhold

HensiktFormålDatabehandlers plikterBruk av underleverandørerSikkerhet SikkerhetsrevisjonerVarighetSletting av dataLovvalg og verneting

Hensikt

Avtalen regulerer:

• rettigheter og plikter etter personopplysningsloven med forskrift

• leverandørens (databehandlerens) behandling av personopplysninger

Formål

Omfatter følgende momenter:

• hva leverandøren kan bruke personopplysningene til

• eventuell overføring av personopplysninger til underleverandører

• typer personopplysninger som leverandøren behandler på vegne av skoleeier

Databehandlerens plikter

Omfatter følgende momenter:

• skoleeiers instrukser

• statusen til avtalen

• Rettigheter

• dokumentasjon (sikkerhet)

• taushetsplikt

• Tilgangsstyring

• logging av bruk

Bruk av underleverandører

Omfatter følgende momenter:

• avtaler med underleverandører

• bekjentgjøring av avtalevilkår

• overføring av opplysninger til utlandet

• oversikt over underleverandører og avtaler med disse

Sikkerhet

Omfatter følgende momenter

• tilfredsstillende sikring av opplysningene

• overholdelse av sikkerhetsbestemmelsene

• avviksmeldinger

• segmentering av opplysninger

Sikkerhetsrevisjoner

Omfatter følgende momenter:

• utføres jevnlig

• tilgang til rapportene

• tredjepartsrevisjoner

Sletting av data

Omfatter følgende momenter:

• tilbakelevering av opplysninger

• sletting av brukerkontoer

• sletting av opplysninger hos leverandøren

• fordeling av kostnader

Gir en enklere digital skolehverdag!