2. Formål
Rettslige krav som stilles når Feide-tjenester
behandler opplysninger om elever og ansatte:
• viktige begreper og roller i personopplysningsloven
• risikovurderinger
• databehandleravtaler
3. Problemet
«Datatilsynets besøk ved XXX ungdomsskole har
avdekket at det mest sannsynlig er et antall
leverandører av digitale nettressurser som benyttes
og som det skulle vært inngått avtaler med.»
«XXX kommune må inngå databehandleravtaler med
tjenesteleverandører som behandler
personopplysninger på vegne av kommunen.»
4. Lovgivningen
Personopplysningsloven med forskrift
• trådte i kraft i 2001
• reglene gjelder ved elektronisk behandling av
personopplysninger
• ivareta sentrale personvernhensyn (personlig
integritet, privatlivets fred og datakvalitet)
5. Personopplysninger
Alle opplysninger og vurderinger som kan knyttes til en
bestemt enkeltperson
• tekst, bilder, lyd og video
• sensitive opplysninger
• alminnelige opplysninger
Feide-tjenester vil vanligvis ikke behandle sensitive
personopplysninger
6. Roller
Den registrerte
• den som opplysningene sier noe om (elever og ansatte)
Behandlingsansvarlig
• den som er hovedansvarlig for behandlingen av opplysninger om elever og
ansatte (skoleeier)
• må ha lovlig grunn (samtykke, lovhjemmel eller nødvendighet)
Databehandler
• den som behandler opplysninger om elever og ansatte på vegne av skoleeier
(leverandører av Feide-tjenester)
7. Skoleeiers plikter
Skal vurdere risikoen ved tjenestene før de tas i bruk
Skal inngå skriftlige avtaler med leverandørene
Avtalene skal inneholde krav til hvordan leverandørene
behandler opplysningene
Ivareta de registrertes (elever og ansatte) rettigheter
8. Avtaler – logikk
Skoleeier behandler opplysninger om elever og ansatte
Enkelte av behandlingene settes ut til leverandører av Feide-tjenester
Dette innebærer tap av kontroll med opplysningene
Tapet av kontroll kompenseres gjennom avtaler med leverandørene
Avtalene skal omfatte hele behandlingskjeden, for eksempel
underleverandører
9. Databehandlere i skolen
Flere ulike typer, for eksempel:
1. Vertskommuner – kommuner som drifter elektroniske
systemer på vegne av andre kommuner
2. Administrative systemer, for eksempel SAS eller LMS
3. Digitale nettressurser, for eksempel Feide-tjenester (NRK,
TV2, Gyldendal, osv.)
10. Personopplysninger i Feide-tjenester
Opplysninger om elever og ansatte hentet fra
skoleeiers Feide-katalog
• standardisert
Opplysninger om elever og ansatte som skapes
ved bruk av Feide-tjenester
• varierer mellom ulike tjenester
11. Databehandleravtaler
Skal inneholde disse hovedpunktene:
• avtalen skal etablere klare ansvars- og myndighetsforhold overfor
leverandøren
• leverandøren kan ikke overføre opplysninger om elever og ansatte til
andre uten at dette fremgår av avtalen
• avtalen skal forplikte leverandøren til å følge reglene om sikring av
personopplysninger i personopplysningsloven med forskrift
Skoleeier skal ha kunnskap om sikkerheten hos leverandører og jevnlig
forsikre seg om at den er tilfredsstillende
12. Risikovurderinger
Før databehandleravtaler inngås skal skoleeier risikovurdere Feide-tjenestene
Stilles ingen spesielle krav til risikovurderinger
Sannsynligheten for og konsekvensene av «uønskede hendelser»:
• uvedkommende får tilgang eller kjennskap til opplysninger om elever eller ansatte
• uvedkommende endrer eller sletter opplysninger om elever eller ansatte
• opplysningene er ikke tilgjengelige for elever eller ansatte når de trenger dem
Dersom risikoen vurderes som uakseptabel høy, er skoleeier pliktig til enten å:
• iverksette sikringstiltak eller
• ikke å anvende tjenesten
13. Uønskede hendelser – eksempler
Passordproblematikk – ID-tyveri
Ustabil internettilgang
Opplasting av sensitive personopplysninger
Uautorisert overføring av opplysninger mellom leverandører
Uautorisert tilgang til opplysninger under overføring
Forsvarlig sletting av opplysninger når elever avslutter skolegangen
Tjenesten avsluttes – tilbakeføring av opplysninger
14. Avtalemal
Basert på Datatilsynets veiledning om databehandleravtaler og
avtalemal
Endret noe for å passe til Feide-tjenester
Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen
Skoleeier må selv følge opp at avtalene overholdes av leverandørene
NB: Enkelte leverandører kan tilby egne databehandleravtaler
16. Hensikt
Avtalen regulerer:
• rettigheter og plikter etter personopplysningsloven
med forskrift
• leverandørens (databehandlerens) behandling av
personopplysninger
17. Formål
Omfatter følgende momenter:
• hva leverandøren kan bruke personopplysningene til
• eventuell overføring av personopplysninger til
underleverandører
• typer personopplysninger som leverandøren behandler
på vegne av skoleeier
18. Databehandlerens plikter
Omfatter følgende momenter:
• skoleeiers instrukser
• statusen til avtalen
• Rettigheter
• dokumentasjon (sikkerhet)
• taushetsplikt
• Tilgangsstyring
• logging av bruk
19. Bruk av underleverandører
Omfatter følgende momenter:
• avtaler med underleverandører
• bekjentgjøring av avtalevilkår
• overføring av opplysninger til utlandet
• oversikt over underleverandører og avtaler med disse
20. Sikkerhet
Omfatter følgende momenter
• tilfredsstillende sikring av opplysningene
• overholdelse av sikkerhetsbestemmelsene
• avviksmeldinger
• segmentering av opplysninger
22. Sletting av data
Omfatter følgende momenter:
• tilbakelevering av opplysninger
• sletting av brukerkontoer
• sletting av opplysninger hos leverandøren
• fordeling av kostnader