View
134
Download
5
Embed Size (px)
DESCRIPTION
Samling for erfarne Feide-administratorer 16.10.14
Citation preview
Databehandleravtaler og passord
Tommy Tranvik, Senter for IKT i utdanningen
Feide-samling for erfarne administratorer 16.10.2014
Agenda
Funn fra Datatilsynets kontroller i grunnopplæringen 2013
1. Datatilsynets vedtak om databehandleravtaler
2. Krav til databehandleravtaler
o forarbeid o avtaleinngåelse o etterarbeid
3. Datatilsynets vedtak om autentisering (passord) ved bruk av LMS
Vedtak om databehandleravtaler
Gjelder bruk av nettbaserte tjenester
Med og uten Feide-innlogging
Typisk vedtak:
• ”XXX kommune må inngå databehandleravtaler med tjenesteleverandører som behandler personopplysninger på vegne av kommunen.”
Kommentar i rapport
”For de tjenesteleverandører som tilbyr tjenester gjennom Feide er det XXX kommune sin vurdering at kommunens plikt til å ha databehandleravtaler er ivaretatt gjennom leverandørens kontrakt med Feide.”
”Etter Datatilsynets vurdering er det ikke tilstrekkelig for oppfyllelse av plikten til å ha databehandleravtaler at leverandøren har inngått en avtale med Feide. Leverandøren må ha en forpliktelse overfor den avtaleparten som er ansvarlig for personopplysningene. Den ansvarlige i dette tilfelle er XXX kommune.”
Lovgivningen
Personopplysningsloven med forskrift
• Ivareta sentrale personvernhensyn (personlig integritet, privatlivets fred og datakvalitet)
• iverksetter direktiv 95/46/EF• trådte i kraft i 2001• gjelder ved elektronisk behandling av personopplysninger• individer, organisasjoner og institusjoner
Personopplysninger
Alle opplysninger og vurderinger som kan knyttes til en bestemt (og identifiserbar) enkeltperson
• tekst, bilder, lyd og video • sensitive opplysninger• alminnelige opplysninger
Personopplysninger i nettbaserte tjenester
Opplysninger om elever og ansatte som behandles ved innlogging
Opplysninger som elever og ansatte produserer ved bruk av tjenesten
Opplysninger om elever og ansatte som tjenesteleverandøren selv registrerer
Hovedroller i loven
Behandlingsansvarlig (skoleeier)• bestemmer hvilke nettbaserte tjenester som skal brukes og hva de skal brukes til• er hovedansvarlig for at reglene i lovverket overholdes
Databehandler (leverandører)• behandler opplysninger på vegne av behandlingsansvarlig (skoleeier)• leverandører av nettbaserte tjenester (hvor personopplysninger behandles) som
skoleeier velger å bruke
De registrerte (elever og ansatte)• de hos skoleeier som opplysningene gjelder
Databehandlere i skolen
Offentlige og private aktørerBetalingstjenester og gratistjenester, for eksempel:
1. Vertskommuner – skoleeiere som drifter elektroniske systemer på vegne av andre skoleeiere
2. Leverandører av administrative systemer, for eksempel SAS eller LMS
3. Leverandører av nettbaserte undervisningstjenester
Databehandleravtaler – logikk
De registrerte (elever og ansatte) skal ha kontroll med og innflytelse over opplysninger om dem selv
Skoleeier skal ha kontroll med sin egen bruk av opplysningeneSkoleeier kan sette ut driftsoppgaver til leverandørerSkoleeier kan ikke delegere det rettslige ansvaret for driftsoppgavene til leverandørene
Kontrollmekanisme• inngåelse og oppfølging av databehandleravtaler
Forarbeid
Utredning av tjenesten• skaffe informasjon om hvordan tjenesten er oppbygd og fungerer, inkludert bruk av
eventuelle underleverandører
Vurdering av tjenesten• risikoen for uautorisert tilgang, endring, skade, tap eller utilgjengelighet• inngå databehandleravtale dersom vurderingen viser at det er forsvarlig å ta tjenesten i
bruk
Ivareta øvrige plikter• grunnkrav• de registrertes rettigheter
Avtaleinngåelse
Databehandleravtaler skal inneholde disse hovedpunktene:
• skoleeier skal etablere klare ansvars- og myndighetsforhold overfor leverandøren
• leverandøren kan ikke bruke opplysninger om elever og ansatte til egne formål
• leverandøren kan ikke overføre opplysninger om elever og ansatte til andre uten at dette fremgår av avtalen
• avtalen skal forplikte leverandøren til å sikre personopplysningene på tilfredsstillende måte
Avtalemal
Basert på Datatilsynets veiledning om databehandleravtaler og avtalemal
Tilpasset nettbaserte tjenester
Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen
Skoleeier må selv følge opp at avtalene overholdes av leverandørene
NB:
• enkelte leverandører kan tilby egne databehandleravtaler
• enkelte leverandører kan overføre opplysningene til tredjeland
Sjekkliste ved avtaleinngåelse
Er hensikten med avtalen spesifisert?
Fremgår det hvem som er behandlingsansvarlig og databehandler?
Er statusen til avtalen presisert?
Er leverandørens råderett over opplysningene tydelig begrenset?
Fremgår det hvilke typer personopplysninger som omfattes av avtalen?
Fremgår det av avtalen at leverandøren skal følge instrukser fra den behandlingsansvarlige?
Sier avtalen at skoleeier kan få tilgang til nødvendig dokumentasjon fra leverandøren?
Sjekkliste ved avtaleinngåelse
Stiller avtalen krav til leverandørens bruk av eventuelle underleverandører?
Stiller avtalen krav til sikring av opplysningene?
Stiller avtalen krav til sikkerhetsrevisjoner?
Regulerer avtalen når og hvordan sletting av personopplysninger skal foregå?
Regulerer avtalen hvordan personopplysninger skal tilbakeføres til skoleeier?
Reguleres avtalens varighet?
Reguleres lovvalg og verneting?
Etterarbeid
Følge opp avtalene – overholdes vilkårene? Kreve at leverandører lukker eventuelle avvik fra vilkårene Avslutte bruken og flytte opplysningene dersom vesentlige avvik ikke lukkes
Autentisering (passord)
Typisk vedtak:
• ”XXX kommune må endre ansattes pålogging til læringsplattformen slik at tilgangen fysisk begrenses til kommunens informasjonssystem, eller ved at det etableres sterk autentisering for pålogging over eksterne nett og på elevnett.”
Bruk av engangspassord – SMS
Begrunnelse
Ikke relevant
• opplysningenes art
Relevant:
1. Opplysningenes omfango ”(…) tilgang til opplysninger om hele eller flere klasser ved en skole.”
2. Opplysningenes tilgjengeligheto ”(…) tilgjengelige utenfor behandlingsansvarliges kontrollsfære.”