Komme i gang, forberedelse, systemkartlegging, tekniske løsninger og prosjekt...
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
1. 28.11.14&
1&
Skoleeier og skoleleders ansvar for personvern
Bjørn Erik Thon | direktør
Personvernbloggen.no | @bjornerikthon
Dagens tema
• Kort om Datatilsynets arbeid med skolen og henvendelser
vi får inn til vår veiledningstjeneste
• Hvorfor samler skolene inn mer personopplysninger?
• Hva er personvernutfordringene i dagens skole?
• Hva kan vi gjøre for å bedre på situasjonen?
2
2. 28.11.14&
2&
Personverntanken – opprinnelig
• Selvbestemmelse – samtykke og reservasjonsrett
• Informasjon og innsyn
• Sletting av opplysninger
• Korrekt informasjon
• God informasjonssikkerhet
• God internkontroll
3
Personverntanken – prinsipper under oppseiling
- Retten til å bli glemt – en styrket sletteplikt
- Dataportabilitetet – en styrking av eiendomsretten til
egne data
- Innebygd personvern
- Personvern skal bygges inn i de teknologiske løsningene
- Personvernet skal ivaretas i ”opplysningens levetid” – fra den
fødes til den dør
4
3. 28.11.14&
3&
Hvorfor fokus på skolen?
- Billigere – og mer brukervennlig teknologi
- Digitale læringsplatformer
- ”Alt” kan lagres – prøver, innleveringer, karakterer,
anmerkninger, tilbakemeldinger
- Mulighet for logging kan si ganske mye
- tidspunkt innlevering skjer: sitter eleven oppe til klokken 0100 på
natta når han bare er 11 år gammel?
- Chat, meldetjeneste, diskusjonsforum
- Tilgang – foreldre, lærer, elev
5
Hvorfor fokus på skolen?
- Stadig større krav til måling av resultatet og kvalitet
” Bakgrunnen for forslaget [om et sentralt elevregister] var
intensjonen Stortinget har om et nasjonalt kvalitetsregistrering-system
i skolen som skal brukes til å regne ut sentrale
kvalitetsindikatorer for kvalitetsutvikling og legge til rette for
styring, forskning og tilsyn”
Meld St 11 – Personvern – utsikter og utfordringer
- Deling med tredjeparter
- Næringsliv
- Kulturtilbud
6
4. 28.11.14&
4&
Datatilsynet og skolen – hva gjør vi?
• Mottar klager og henvendelser, og gir råd og veiledning
• Gjennomfører tilsyn
• DuBestemmer
• Bruker ombudsrollen – debatt om barn og unge – i og
utenfor skolen
7
Henvendelser, råd og veiledning
• Det er ikke klagestorm knyttet til skoler og barnehager
• Men , ca 20% økning 1. halvår 2014 for skoler og 50%
økning for barnehager
• Grunnen er økt oppmerksomhet om personopplysninger i
skoler og barnehager
• …og generell interesse om personvern
8
6. 28.11.14&
6&
Hva henvendelsene gjelder
• Skolen:
– Overvåking av elevenes PC
– Læringsplattformer – og hvem som kan se hvilke opplysninger
– Bilder av barn og elevlister
• Barnehager:
– Hvilke opplysninger kan barnehagen be om?
– Hvor lenge kan opplysningene oppbevares
– Hva kan overføres til skolen?
– Kartleggingsverktøy
11
Skole – og barnehageprosjekt 2013-14
• Hvilke opplysninger samles inn om barna og hvordan blir
de behandlet?
• Lage verktøy for å hjelpe barnehage- og skoleeiere til å
ivareta personvernet i en digitalisert hverdag
• Møter med ulike aktører innen opplæringssektoren
• Brevlige tilsyn 9 grunn- og videregående skoler
• Stedlige tilsyn 11 grunnskoler, 4 videregående skoler og 5 barnehager
• Sluttrapport med beskrivelse av tilstand og anbefalte
tiltak
12
7. 28.11.14&
7&
Personvern i skolen
13
Funn fra tilsynene
- Skoleeier og skolene mangler oversikt over hvilke personopplysninger de faktisk har
lagret
- Manglende risikovurderinger skoleeier har med andre ord ikke vurdert
sannsynligheten for at personopplysningene kan komme på avveier, hvilke
konsekvenser det vil få, og hvilke sikkerhetstiltak som må på plass for å forhindre at
det skal skje
- Deling av personopplysninger med tredjeparter, som for eksempel skyleverandører
- Uklarhet om hvem som egentlig har ansvar for at personopplysningene behandles
skikkelig
- Logging av elevenes bruk av IKT
14
8. 28.11.14&
8&
Fire råd for bedre personvern i skolen
• Internkontroll
• Riskovurderinger
• Databehandleravtaler
• Vær en krevende kunde og gjør gode vurderinger
innomhus
15
Internkontroll
Lag rutiner for internkontroll for hver enkelt skole og
barnehage
• Lag oversikt over hvilke personopplysninger om barna som lagres
• Lag egne interne regler og rutiner for bruk av opplysninger
• Lag skreddersydd og tydelig informasjon
16
9. 28.11.14&
9&
Risikovurdering
• &Kartlegg&og&klassifiser&alle&behandlinger&–&ElevMPC,&karakterer,&elevsamtaler,&fravær&
• &IdenRfiser&uønskede&hendelser&(og&årsaker!)&–&Hacking,&feilregistrering,&Rlgang&for&
&uvedkommende &&
• &Konsekvensvurdering&(1M4)&
• &Sannsynlighetsvurdering&(le5het&1M4)&
&
Sammenlign&resultater&og&iverkse5&Rltak&for&å&komme&innenfor&akseptabel&risiko&
(ikke&på&totalkonsepter,&men&alle&delene)&
Konsekvens"
Sannsynli1g7h et"
Databehandleravtale
Dette glipper:
• Sikkerhetsrevisjon
• Hvilke personopplysninger
omfattes av avtalen
• Konkret beskrivelse av hvorfor (formål)
• Beskrivelse av hvor dataene lagres
• Når slettes personopplysningene
• Beskrivelse av sikkerhetstiltak
18
10. 28.11.14&
10&
…. og gode vurderinger
• Begrens overvåking og gi god informasjon
• Informasjon om hvordan og hvorfor
• Still krav til leverandører
• Spør hvordan andre har gjort det – og lær!
19
Neste skritt for Datatilsynet
• Mål: Norm for behandling personopplysninger i skoler og
barnehager
• Hvorfor?
– Det er behov for veiledning og hjelp for å få gjort ting riktig
• Datatilsynets vil bidra med sin kompetanse, men det er
sektoren som eier problemet
20