Presentasjon fra Feide-samling for nye administratorer 11.2.2015.

1. Personvern og
databehandleravtaler
Feidetjenester
Feide-samling for administratorer 11.02.2015
Harald Torbjørnsen

2. Formål
Rettslige krav som stilles når Feide-tjenester
behandler opplysninger om elever og ansatte:
• viktige begreper og roller i personopplysningsloven
• risikovurderinger
• databehandleravtaler

3. Lovgivningen
Personopplysningsloven med forskrift
• Ivareta sentrale personvernhensyn (personlig
integritet, privatlivets fred og datakvalitet)
• iverksetter direktiv 95/46/EF
• trådte i kraft i 2001
• gjelder ved elektronisk behandling av personopplysninger
• individer, organisasjoner og institusjoner

4. Personopplysninger
Alle opplysninger og vurderinger som kan knyttes til en
bestemt enkeltperson
• tekst, bilder, lyd og video
• sensitive opplysninger
• alminnelige opplysninger
Feide-tjenester vil vanligvis ikke behandle sensitive
personopplysninger

5. Roller
Den registrerte
• den som opplysningene sier noe om (elever og ansatte)
Behandlingsansvarlig
• den som er hovedansvarlig for behandlingen av opplysninger
om elever og ansatte (skoleeier)
• må ha lovlig grunn (samtykke, lovhjemmel eller nødvendighet)
Databehandler
• den som behandler opplysninger om elever og ansatte på vegne
av skoleeier (leverandører av Feide-tjenester)

6. Databehandleravtaler – logikk
De registrerte (elever og ansatte) skal ha kontroll med og
innflytelse over opplysninger om dem selv
Skoleeier skal ha kontroll med sin egen bruk av opplysningene
Skoleeier kan sette ut driftsoppgaver til leverandører
Skoleeier kan ikke delegere det rettslige ansvaret for driftsoppgavene
til leverandørene
Kontrollmekanisme
• inngåelse og oppfølging av databehandleravtaler

7. Databehandlere i skolen
Flere ulike typer, for eksempel:
1. Vertskommuner – kommuner som drifter elektroniske
systemer på vegne av andre kommuner
2. Administrative systemer, for eksempel SAS eller LMS
3. Digitale nettressurser, for eksempel Feide-tjenester (NRK,
TV2, Gyldendal, osv.)

8. Personopplysninger i Feide-tjenester
Opplysninger om elever og ansatte hentet fra
skoleeiers Feide-katalog
• standardisert
Opplysninger om elever og ansatte som skapes ved
bruk av Feide-tjenester
• varierer mellom ulike tjenester
Opplysninger om elever og ansatte som
tjenesteleverandøren selv registrerer

9. Risikovurdering
Hva er det?
Hvordan gjennomføre?

10. Lovgivningen
Før databehandleravtaler inngås
skal skoleeier risikovurdere Feide-
tjenestene
• Personopplysningsloven § 13
• Personopplysningsforskriften,
kapittel 2
Stilles ingen spesielle krav til
risikovurderinger
1
0

11. Personopplysninger skal sikres
mot:
Brudd på konfidensialiteten
• At ikke uvedkommende får tilgang på
opplysninger
Brudd på integriteten
• At personopplysninger ikke endres eller
slettes av uvedkommende
Brudd på tilgjengeligheten
• At personopplysninger er tilgjengelige for
personer som har rettmessig behov for
tilgang
1
1

12. Uønskede hendelser – eksempler
Passordproblematikk – ID-tyveri
Ustabil internettilgang
Opplasting av sensitive personopplysninger
Uautorisert overføring av opplysninger mellom leverandører
Uautorisert tilgang til opplysninger under overføring
Forsvarlig sletting av opplysninger når elever avslutter skolegangen
Tjenesten avsluttes – tilbakeføring av opplysninger

13. Risikovurderinger
Dersom risikoen vurderes som uakseptabel
høy, er skoleeier pliktig til enten å:
• iverksette sikringstiltak eller
• ikke å anvende tjenesten

14. Risikovurderingens 3 hovedfaser
1. Forberedelse
1. Gjennomføring
1. Oppsummering og
etterarbeid
1
4

15. Del 1: Forberedelse
Utarbeide prosjektbeskrivelse
• Hensikt
• Omfang i timer
• Ressursbehov
• Periode
Forankre prosjektet
• Avgjørende for resultatet!
• Viktig med involvering av alle ledd i organisasjonen
• Medspillere framfor motstandere
• Lokale retningslinjer
1
5

16. Del 2: Gjennomføring
Risikovurderingsmøter kan deles i 6 faser:
1. Innledning – beskrivelse av hva risikovurdering er (ca.15 min.)
2. Deltakerne presenterer seg – anledning til å stille spørsmål (ca.
15 min.)
3. Gjennomgang av risikoområdet og eksempelhendelsene i
dokumentet (ca. 30 min.)
4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt
om eller tenkt på (ca. 20 min.)
5. Diskutere, identifisere og notere uønskede hendelser (ca. 75
min.)
6. Risikovurderingen: deltakerne angir sannsynlighets- og
konsekvensverdi for hver uønsket hendelse (ca. 15 min.)
1
6

17. Del 3: Oppsummering og etterarbeid
Formidle konklusjoner og anbefalinger
• Finn din løsning
• Viktig at rektor, skoleeier/oppdragsgiver
får rapporten
Skoleeier prioriterer tiltak.
• Rutiner endres
• Dokumentasjon forbedres
• Løsninger forbedres
1
7

18. Databehandleravtaler

19. Databehandleravtaler
Skal inneholde disse hovedpunktene:
• avtalen skal etablere klare ansvars- og myndighetsforhold overfor
leverandøren
• leverandøren kan ikke overføre opplysninger om elever og ansatte til
andre uten at dette fremgår av avtalen
• avtalen skal forplikte leverandøren til å følge reglene om sikring av
personopplysninger i personopplysningsloven med forskrift
Skoleeier skal ha kunnskap om sikkerheten hos leverandører og jevnlig
forsikre seg om at den er tilfredsstillende

20. Databehandleravtaler
Inngås mellom skoleeier
og tjenesten
Skoleeiers kontroll med
tjenesten

21. Avtalemal for Feide-tjenester
Basert på Datatilsynets veiledning om databehandleravtaler og avtalemal
Tilpasset nettbaserte tjenester
Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen
Skoleeier må selv følge opp at avtalene overholdes av leverandørene
NB:
• enkelte leverandører kan tilby egne databehandleravtaler
• enkelte leverandører kan overføre opplysningene til tredjeland

22. Innhold
Hensikt
Formål
Databehandlers plikter
Bruk av underleverandører
Sikkerhet
Sikkerhetsrevisjoner
Varighet
Sletting av data
Lovvalg og verneting

23. Hensikt
Avtalen regulerer:
• rettigheter og plikter etter personopplysningsloven
med forskrift
• leverandørens (databehandlerens) behandling av
personopplysninger

24. Formål
Omfatter følgende momenter:
• hva leverandøren kan bruke personopplysningene til
• eventuell overføring av personopplysninger til
underleverandører
• typer personopplysninger som leverandøren behandler
på vegne av skoleeier

25. Databehandlerens plikter
Omfatter følgende momenter:
• skoleeiers instrukser
• statusen til avtalen
• Rettigheter
• dokumentasjon (sikkerhet)
• taushetsplikt
• Tilgangsstyring
• logging av bruk

26. Bruk av underleverandører
Omfatter følgende momenter:
• avtaler med underleverandører
• bekjentgjøring av avtalevilkår
• overføring av opplysninger til utlandet
• oversikt over underleverandører og avtaler med
disse

27. Sikkerhet
Omfatter følgende momenter
• tilfredsstillende sikring av opplysningene
• overholdelse av sikkerhetsbestemmelsene
• avviksmeldinger
• segmentering av opplysninger

28. Sikkerhetsrevisjoner
Omfatter følgende momenter:
• utføres jevnlig
• tilgang til rapportene
• tredjepartsrevisjoner

29. Sletting av data
Omfatter følgende momenter:
• tilbakelevering av opplysninger
• sletting av brukerkontoer
• sletting av opplysninger hos leverandøren
• fordeling av kostnader

30. Etterarbeid
Følge opp avtalene – overholdes vilkårene?
Kreve at leverandører lukker eventuelle avvik fra
vilkårene
Avslutte bruken og flytte opplysningene dersom
vesentlige avvik ikke lukkes

31. Hva så da???
Risikovurderinger må gjentas jevnlig
• Gjennomgang av tidligere identifiserte hendelser
• Eventuelt fjerne dem fra listene
• Identifisere nye hendelser og vurdere dem
• Tidligere sikringstiltak gjennomgås for å vurdere effekten
Kontinuerlig forbedringsprosess!
3
1

32. Feide-forvaltning, risikovurderinger,
rutiner og dokumentasjon
Gjør skolen bedre rustet til å
utnytte IKT i hverdagen!
Er svært viktig for kvaliteten
på utbytte av IKT i skolen.
3
2