Databehandleravtaler og passord

Tommy Tranvik, Senter for IKT i utdanningen

Feide-samling for erfarne administratorer 16.10.2014

Agenda

Funn fra Datatilsynets kontroller i grunnopplæringen 2013

1. Datatilsynets vedtak om databehandleravtaler

2. Krav til databehandleravtaler

o forarbeid o avtaleinngåelse o etterarbeid

3. Datatilsynets vedtak om autentisering (passord) ved bruk av LMS

Vedtak om databehandleravtaler

Gjelder bruk av nettbaserte tjenester

Med og uten Feide-innlogging

Typisk vedtak:

• ”XXX kommune må inngå databehandleravtaler med tjenesteleverandører som behandler personopplysninger på vegne av kommunen.”

Kommentar i rapport

”For de tjenesteleverandører som tilbyr tjenester gjennom Feide er det XXX kommune sin vurdering at kommunens plikt til å ha databehandleravtaler er ivaretatt gjennom leverandørens kontrakt med Feide.”

”Etter Datatilsynets vurdering er det ikke tilstrekkelig for oppfyllelse av plikten til å ha databehandleravtaler at leverandøren har inngått en avtale med Feide. Leverandøren må ha en forpliktelse overfor den avtaleparten som er ansvarlig for personopplysningene. Den ansvarlige i dette tilfelle er XXX kommune.”

Lovgivningen

Personopplysningsloven med forskrift

• Ivareta sentrale personvernhensyn (personlig integritet, privatlivets fred og datakvalitet)

• iverksetter direktiv 95/46/EF• trådte i kraft i 2001• gjelder ved elektronisk behandling av personopplysninger• individer, organisasjoner og institusjoner

Personopplysninger

Alle opplysninger og vurderinger som kan knyttes til en bestemt (og identifiserbar) enkeltperson

• tekst, bilder, lyd og video • sensitive opplysninger• alminnelige opplysninger

Personopplysninger i nettbaserte tjenester

Opplysninger om elever og ansatte som behandles ved innlogging

Opplysninger som elever og ansatte produserer ved bruk av tjenesten

Opplysninger om elever og ansatte som tjenesteleverandøren selv registrerer

Hovedroller i loven

Behandlingsansvarlig (skoleeier)• bestemmer hvilke nettbaserte tjenester som skal brukes og hva de skal brukes til• er hovedansvarlig for at reglene i lovverket overholdes

Databehandler (leverandører)• behandler opplysninger på vegne av behandlingsansvarlig (skoleeier)• leverandører av nettbaserte tjenester (hvor personopplysninger behandles) som

skoleeier velger å bruke

De registrerte (elever og ansatte)• de hos skoleeier som opplysningene gjelder

Databehandlere i skolen

Offentlige og private aktørerBetalingstjenester og gratistjenester, for eksempel:

1. Vertskommuner – skoleeiere som drifter elektroniske systemer på vegne av andre skoleeiere

2. Leverandører av administrative systemer, for eksempel SAS eller LMS

3. Leverandører av nettbaserte undervisningstjenester

Databehandleravtaler – logikk

De registrerte (elever og ansatte) skal ha kontroll med og innflytelse over opplysninger om dem selv

Skoleeier skal ha kontroll med sin egen bruk av opplysningeneSkoleeier kan sette ut driftsoppgaver til leverandørerSkoleeier kan ikke delegere det rettslige ansvaret for driftsoppgavene til leverandørene

Kontrollmekanisme• inngåelse og oppfølging av databehandleravtaler

Forarbeid

Utredning av tjenesten• skaffe informasjon om hvordan tjenesten er oppbygd og fungerer, inkludert bruk av

eventuelle underleverandører

Vurdering av tjenesten• risikoen for uautorisert tilgang, endring, skade, tap eller utilgjengelighet• inngå databehandleravtale dersom vurderingen viser at det er forsvarlig å ta tjenesten i

bruk

Ivareta øvrige plikter• grunnkrav• de registrertes rettigheter

Avtaleinngåelse

Databehandleravtaler skal inneholde disse hovedpunktene:

• skoleeier skal etablere klare ansvars- og myndighetsforhold overfor leverandøren

• leverandøren kan ikke bruke opplysninger om elever og ansatte til egne formål

• leverandøren kan ikke overføre opplysninger om elever og ansatte til andre uten at dette fremgår av avtalen

• avtalen skal forplikte leverandøren til å sikre personopplysningene på tilfredsstillende måte

Avtalemal

Basert på Datatilsynets veiledning om databehandleravtaler og avtalemal

Tilpasset nettbaserte tjenester

Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen

Skoleeier må selv følge opp at avtalene overholdes av leverandørene

NB:

• enkelte leverandører kan tilby egne databehandleravtaler

• enkelte leverandører kan overføre opplysningene til tredjeland

Sjekkliste ved avtaleinngåelse

Er hensikten med avtalen spesifisert?

Fremgår det hvem som er behandlingsansvarlig og databehandler?

Er statusen til avtalen presisert?

Er leverandørens råderett over opplysningene tydelig begrenset?

Fremgår det hvilke typer personopplysninger som omfattes av avtalen?

Fremgår det av avtalen at leverandøren skal følge instrukser fra den behandlingsansvarlige?

Sier avtalen at skoleeier kan få tilgang til nødvendig dokumentasjon fra leverandøren?

Sjekkliste ved avtaleinngåelse

Stiller avtalen krav til leverandørens bruk av eventuelle underleverandører?

Stiller avtalen krav til sikring av opplysningene?

Stiller avtalen krav til sikkerhetsrevisjoner?

Regulerer avtalen når og hvordan sletting av personopplysninger skal foregå?

Regulerer avtalen hvordan personopplysninger skal tilbakeføres til skoleeier?

Reguleres avtalens varighet?

Reguleres lovvalg og verneting?

Etterarbeid

Følge opp avtalene – overholdes vilkårene? Kreve at leverandører lukker eventuelle avvik fra vilkårene Avslutte bruken og flytte opplysningene dersom vesentlige avvik ikke lukkes

Autentisering (passord)

Typisk vedtak:

• ”XXX kommune må endre ansattes pålogging til læringsplattformen slik at tilgangen fysisk begrenses til kommunens informasjonssystem, eller ved at det etableres sterk autentisering for pålogging over eksterne nett og på elevnett.”

Bruk av engangspassord – SMS

Begrunnelse

Ikke relevant

• opplysningenes art

Relevant:

1. Opplysningenes omfango ”(…) tilgang til opplysninger om hele eller flere klasser ved en skole.”

2. Opplysningenes tilgjengeligheto ”(…) tilgjengelige utenfor behandlingsansvarliges kontrollsfære.”