Feide-samling for administratorer 20.05.15

1. Regler om personvern og avtaler ved bruk av
tjenester med Feide-innlogging
o databehandleravtaler
o risikovurderinger
o utenlandske tjenester
Tommy Tranvik
Feide-samling for administratorer 20.05.2015

2. Tjenester med Feide-innlogging
Reglene om personvern gjelder ikke spesielt for
tjenester med Feide-innlogging
Gjelder for alle eksterne tjenester, uavhengig av
innloggingsløsning, blant annet internasjonale
skytjenester
Forutsetning – tjenestene behandler
opplysninger om elever, ansatte eller foreldre

3. Eksempler

4. Personopplysningslovgivningen
Personopplysningsloven med forskrift
• den som opplysningene gjelder skal ha innflytelse over og
kontroll med bruken av dem
• gjelder ved elektronisk behandling av personopplysninger
• gjelder personopplysninger som inngår i manuelle
personregistre
• basert på EUs personverndirektiv (95/46/EC)

5. Personopplysninger
Alle opplysninger og vurderinger som kan knyttes til
en bestemt enkeltperson
• tekst, bilder, lyd og video
• sensitive opplysninger (konsesjon)
• alminnelige opplysninger (melding)
Visse unntak fra konsesjons- og meldeplikten

6. Typiske personopplysninger i Feide-
tjenester
Opplysninger hentet fra Feide-katalogen
Brukerproduserte opplysninger
Aktivitetslogging i tjenesten

7. Roller og ansvar
Skoleeier er ansvarlig for all bruk av personopplysninger hos leverandører av Feide-tjenester
• skoleeier – behandlingsansvarlig
• leverandør – databehandler
• de registrerte (elever, ansatte, osv.)
Tjenesteleverandører blir databehandlere når skoleeier, for eksempel Feide-administrator, har
bestemt at tjenesten skal brukes
Skoleeier skal da følge visse regler, spesielt:
• personopplysningsloven §§ 13 og 15
• personopplysningsforskriften kapittel to
Leverandører av Feide-tjenester har et selvstendig ansvar for informasjonssikkerheten
(«tilfredsstillende»)

8. Opplysningskontroll
Skoleeier skal – på vegne av de registrerte (elever, ansatte, osv.) – ha
kontroll med personopplysningene
Kontrollen skal omfatte hele behandlingskjeden
• Utredningsplikt
o vurdere om opplysningene blir tilfredsstillende sikret hos leverandøren og eventuelle
underleverandører (risikovurdering)
• Avtaleplikt
o stille skriftlige krav til leverandøren og eventuelle underleverandører om bl.a. sikringen
av opplysningene (databehandleravtaler)
• Oppfølgingsplikt
o sjekke av avtalevilkårene overholdes

9. Utredningsplikten
Vurdere risikoen for uønskede hendelser
• konfidensialitetsbrudd – uvedkommende får tilgang til opplysningene
• integritetsbrudd – uautorisert registrering, endring eller sletting av
opplysninger
• tilgjengelighetsbrudd – rette vedkommende får ikke tilgang til
opplysningene
Krever informasjon om
• (i) hvordan tjenesten er oppbygd og fungerer, (ii) hvilke sikringstiltak
leverandøren har etablert og (iii) bruken av eventuelle
underleverandører

10. Eksempler på uønskede hendelser
 Tjenesten bruker opplysningene til
formål ikke godkjent av skoleeier
 Lagring av feil dokument med
sensitive opplysninger
 Manglende internettilgang –
tjenesten er borte
 Manglende kompetanse/oversikt –
lagrer opplysninger på feil plass
 Endring av bruker-/avtalevilkår
uten påvirkning fra skoleeier
 Utkopiering av opplysninger fra
tjenesten – uønsket spredning
via sosiale medier
 Trafikk til tjenesten avlyttes
 Tjenesten utleverer
opplysninger til tredjepart uten
godkjenning fra skoleeier

11. Risikohåndtering
Iverksette tiltak der hvor risikoen (S/K)
vurderes å være uakseptabel høy
• interne tiltak (greit?)
• eksterne tiltak (vanskelig?)

12. Avtaleplikten
Skoleeier må selv passe på at nødvendige avtaler
inngås med tjenesteleverandørene
• sjekk at leverandørene tilbyr databehandleravtaler
• sjekk innholdet i databehandleravtalene, jf. mal for
databehandleravtaler
• sjekk spesielt om leverandørene og eventuelle
underleverandører flytter opplysningene til tredjeland

13. Avtaleinnhold 1
Avtalene bør inneholde
• leverandøren skal bare behandle opplysningene etter instruks fra skoleeier
o leverandøren (og eventuelle underleverandører) skal ikke bruke opplysningene til
egne formål
• informasjon (i) om hvilke underleverandører som anvendes og (ii) i hvilke
land underleverandørene er etablert
o om amerikanske leverandører og underleverandører er tilsluttet Safe Harbor
• hvordan leverandøren håndterer krav om utlevering av personopplysninger
til politi- eller justismyndigheter
• varsling ved alvorlige brudd på opplysningenes konfidensialitet

14. Avtaleinnhold 2
Avtalene bør inneholde
• hvordan de registrertes rettigheter ivaretas
o retting, sletting, sperring og eksport
• hvordan leverandører og underleverandørene ivaretar informasjonssikkerheten
o beskrivelser av tilgangsstyringen hos leverandøren
o informasjon om (i) logging av autorisert og forsøk på uautorisert bruk av tjenesten og (ii) at skoleeier sikres
tilgang til loggene
o sikring av at opplysninger tilhørende ulike kunder ikke blandes sammen
• tilgang til rapporter fra sikkerhetsrevisjoner hos leverandøren og underleverandører
• hva som skjer med opplysningene når bruken av tjenesten opphører

15. Utenlandske tjenester
«Vanlige» regler dersom leverandører og
underleverandører
• behandler opplysningene innenfor EØS-området
• behandler opplysninger i land godkjent av EU
• opplysningene behandles i USA av selskaper tilsluttet Safe
Harbor
Egne regler for ikke-godkjente land
• EUs standardkontrakt for overføring av personopplysninger til
ikke-godkjente land bør benyttes

16. Oppfølgingsplikten
Skoleeier skal jevnlig forsikre seg om at
• opplysningene fortsatt er tilfredsstillende
sikret mot uønskede hendelser
Motta og gjennomgå rapporter fra
sikkerhetsrevisjoner hos leverandøren

17. Ressurser
Veileder i risikovurdering og mal for databehandleravtaler
https://feide.iktsenteret.no/node/234
Datatilsynets veileder for skytjenester
https://www.datatilsynet.no/Teknologi/Skytjenester---Cloud-Computing/
EU-godkjente land
http://ec.europa.eu/justice/data-protection/document/international-transfers/adequacy/index_en.htm
EUs standardkontrakt for overføring av personopplysninger til databehandlere (leverandører) i ikke-godkjente land
http://www.datatilsynet.no/Global/04_skjema_maler/kontraktsvilkaar_overforing_ENG.pdf
Amerikanske selskaper tilsluttet Safe Harbor
https://safeharbor.export.gov/list.aspx