Personvern,  risikovurderinger  og  databehandleravtaler  

 Samling  for  tjenesteleverandører  i  Feide   29  april  2015  

 Tommy  Tranvik   Senter  for  IKT  i  utdanningen  

Personvern  

 Den  som  opplysningene  gjelder  skal  ha  kontroll  med  og  innBlytelse  over  andres  behandling  av  dem  

 Gjelder  i  hele  behandlingskjeden  

•  vertsorganisasjon  •  tjenesteleverandør  •  underleverandører    

Rettslig  regulering  

 Personopplysningsloven  med  forskrift    

 Reglene  gjelder  for  

•  elektronisk  behandling  •  personregistre  

 Behandling    •  registrering,  lagring,  sammenstilling,  publisering,  overføring,  sletting,  osv.  

Personopplysninger    

 Alle  opplysninger  eller  vurderinger  som  kan  knyttes  til  en  bestemt  enkeltperson  

•  tekst,  lyd,  bilder  og  video  

 Skiller  mellom  alminnelige  og  sensitive  personopplysninger  

Sentrale  roller  i  lovgivningen  

 Elever,  studenter  og  ansatte  =  de  registrerte  •  kontroll  og  innBlytelse  

 Vertsorganisasjon  =  behandlingsansvarlig  •  rettslig  hovedansvarlig  

 Tjenesteleverandør  =  databehandler  •  «jobber»  på  vegne  av  skoleeier  

 Tilsynsmyndighet  =  Datatilsynet  

Databehandlernes  betydning  

 Personvern  

•  viktige  for  at  elever,  studenter  og  ansatte  skal  ha  kontroll  med  og  innBlytelse  over  egne  opplysninger  

 Regeletterlevelse    

•  viktig  for  at  vertsorganisasjoner  skal  kunne  overholde  sine  rettslige  plikter  

Regler  for  databehandlere  

 Selvstendig  ansvar  for  informasjonssikkerheten  i  egne  tjenester  

 Skal  behandle  opplysninger  om  elever,  studenter  og  ansatte  etter  skriftlige  instrukser  fra  skoleeier  (databehandleravtaler)  

Risikovurderinger    

 Reglene  om  informasjonssikkerhet  i  personopplysningsloven  med  forskrift  gjelder  for  tjenesteleverandører  

 Informasjonssikkerheten  i  tjenesten  skal  være  «tilfredsstillende»  

 Vurdere  risikoen  for  tre  typer  uønskede  hendelser  

•  uvedkommende  får  tilgang  til  opplysningene  •  uautorisert  endring,  redigering  eller  sletting  av  opplysningene  •  opplysningene  er  utilgjengelige  for  rette  vedkommende  

 Risikovurderinger  skal  skje  før  tjenesten  «går  online»  og  ved  behov  

 Risikovurderinger  skal  inkludere  sikkerheten  hos  eventuelle  underleverandører  

Uønskede  hendelser  –  eksempler    

 Passordproblematikk  –  ID-­‐tyveri  

 Ustabil  internettilgang     Uautorisert  overføring  av  opplysninger  til  annen  leverandør  

 Uautorisert  tilgang  til  opplysninger  under  overføring  

 Manglende  sletting  av  opplysninger  når  elever  avslutter  skolegangen  

 Manglende  tilbakeføring  av  opplysninger  ved  avsluttet  bruk  

Risikohåndtering  

 Uønskede  hendelser  med  stor  sannsynlighet  og  skadevirkning  (høy  risiko)  skal  håndteres  

 Iverksette  tiltak  som  reduserer  risikoen  for  at  «noe  galt»  kan  skje  

Vertsorganisasjonen    

 Vertsorganisasjoner  skal  risikovurdere  tjenesten  («utredningsplikt»)  

•  før  den  tas  i  bruk    •  før  databehandleravtale  inngås  med  leverandøren  

 Kan  ikke  lovlig  bruke  tjenesten  dersom  informasjonssikkerheten  ikke  er  «tilfredsstillende»  eller  uten  gyldig  databehandleravtale  

 Trenger  informasjon  om  tjenestens  oppbygging  og  virkemåte  for  å  foreta  risikovurderinger  og  undertegne  databehandleravtale       

Databehandleravtaler  

1.  Avtalen  skal  etablere  klare  ansvars-­‐  og  myndighetsforhold  overfor  leverandøren  

2.  Leverandøren  kan  ikke  overføre  opplysninger  om  elever,  studenter  og  ansatte  til  andre  uten  at  dette  fremgår  av  avtalen  

3.  Avtalen  skal  forplikte  leverandøren  til  å  følge  reglene  om  sikring  av  personopplysninger  i  personopplysningsloven  med  forskrift  

Viktige  momenter  

Hensikt  Formål  og  formålsbegrensning  De  registrertes  rettigheter  Bruk  av  underleverandører  Sikkerhet    Sikkerhetsrevisjoner  Varighet  Sletting  av  data  ved  avslutning  Lovvalg  og  verneting  

Underleverandører    

 Underleverandører  kan  inngå  i  behandlingskjeden    

•  hvem,  hva,  hvor  •  avtale  mellom  leverandør  og  underleverandør  

Utenlandske  underleverandører  

 Innenfor  EØS-­‐området    •  «norske»  regler    

 Land  godkjent  av  EU    •  «norske»  regler  

 Amerikanske  Safe  Harbor-­‐bedrifter    •  «norske»  regler  

 Alle  andre  land  og  bedrifter    •  vanlig  med  særskilt  databehandleravtale  (laget  av  EU)  

Sikkerhetsrevisjoner  

 Vertsorganisasjoner  har  et  oppfølgingsansvar  overfor  tjenesteleverandøren  

•  forsikre  seg  om  at  informasjonssikkerheten  fortsatt  er  «tilfredsstillende»  

•  forsikre  seg  om  at  avtalevilkår  overholdes  

 Tilgang  til  rapporter  fra  sikkerhetsrevisjoner  av  tjenesten  

•  omfatte  oppfølging  av  avtalevilkår  

Relevante  produkter  

 Veileder  i  risikovurderinger  av  informasjonssikkerhet  

 Mal  for  databehandleravtaler  

 Generell  informasjon  om  personopplysningslovgivningen