Endelig kontrollrapport

Transkript

1 Saksnummer: 14/00137 Dato for kontroll: Foreløpig rapport: Endelig rapport: Endelig kontrollrapport Kontrollobjekt: Vestfold fylkeskommune, Sandefjord videregående skole Sted: Sandefjord Utarbeidet av: Eirin Oda Lauvset Rannveig Bakke Tvedten Martha Eike 1 Innledning Datatilsynet gjennomførte kontroll hos Vestfold fylkeskommune ved Sandefjord videregående skole den 12. mars Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om fylkeskommunens og skolens behandling av personopplysninger om elevene, er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsket vi å undersøke fylkeskommunens håndtering av elevopplysninger som behandles i digitale læringsressurser på nett, samt opplysninger som elever legger igjen når de bruker fylkeskommunens/skolens IKT-utstyr og -ressurser. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Christian Høeg, avdelingsleder økonomi, Sandefjord videregående skole - Harald Møller, rektor, Sandefjord videregående skole - Tone E. Grundvig, fagutvikler for pedagogisk bruk av IKT, Sandefjord v.g.s. - Rolf Sivertsen, rådgiver utdanningsavdelingen, Vestfold fylkeskommune - Erik Tollan, IKT-rådgiver, Vestfold fylkeskommune - Kenneth Nielsen, sikkerhetsrådgiver, Vestfold fylkeskommune - Olav Nordbø, regionleder IKT, Vestfold fylkeskommune - Pål Simen Hem, fagutvikler for pedagogisk bruk av IKT, Sandefjord v.g.s. 2.2 Fra Datatilsynet: - Rannveig Bakke Tvedten, rådgiver - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver 1 av 20

2 3 Oversendelse av informasjon Datatilsynet ba i varselet om at Vestfold fylkeskommune skulle oversende følgende dokumentasjon: Rutiner for når det må innhentes samtykke fra elever og foresatte for behandling av personopplysninger. Rutiner for informasjon til elever og foresatte om hvilke opplysninger som lagres i læringsressurser på nett og hva som lagres om eleven ved bruk av skolens/fylkeskommunens IKT-utstyr og -ressurser. Rutiner for innsyn i opplysninger som er lagret ved bruk av læringsressurser på nett. Rutiner for om/når elevopplysninger skal slettes. Skolens IKT-reglement, og evt. avtale mellom elev og skole om bruk av IKTressurser. Risikovurderinger av læringsressurser på nett, elevers bruk av skolens/fylkeskommunens IKT-utstyr og -ressurser, og elevers bruk av eget IKTutstyr på skolens nett. Rutiner for informasjonssikkerhet: a) En beskrivelse av informasjonssystemet inkludert konfigurasjonskart b) En oversikt over læringsressurser på nett som brukes av skolen (for eksempel Kikora, Kartleggeren, Cyberbook) c) En beskrivelse av tilgangsstyring til læringsressursene på nett. d) Sikkerhetsinstrukser e) Driftsrutiner Databehandleravtale med leverandører av læringsressurser på nett. Følgende dokumenter ble sendt Datatilsynet datert 4. mars 2014: IKT reglement for Vestfold fylkeskommune Ordensreglement for de videregående skolene i Vestfold fylkeskommune Leieavtale for elev pc Citrix design-kart for citrixløsningen i fylkeskommunen Forenklet design-kart for brukeradministrasjon IKT i fylkeskommunen Databehandleravtaler for Vigo inntak, Vigo voksen, IST, Fagbokforlaget (for Kartleggeren) Rutine for informasjon av bruk av klassestyringsprogrammet Lanschool Prosedyre for risikovurderinger av informasjonssystemer i Vestfold fylkeskommune Strategisk IKT-plan for Sandefjord videregående skole Om Informasjonssikkerhet ved Sandefjord videregående skole Mal for publisering på nett ved Sandefjord videregående skole Samtykkeerklæringer: o Informert samtykke - - om utveksling av taushetsbelagt opplysninger o Samtykke om informasjon når eleven er over 18 år o Samtykke til bruk av videoopptak og bilder o Samtykke til publisering av bilder til bruk i brosjyrer og på SVGS nettsider Oversikt over programmer i bruk ved Sandefjord videregående skole 2 av 20

3 Etter kontrollen ble følgende dokumenter sendt Datatilsynet i e-post datert 21. mars og 11. april 2014: Tiltak for å bekjempe juks på eksamen Informasjon til elevene på ITS - V2013 Info til inspektørene Info skriftlig eksamen elever og privatister våren 2013 Gjennomføring av IKT-basert eksamen våren SISTE! Utfyllende informasjon om bruk av Websense TRITON Webfilter, Checkpoint brannmur, Lanschool og ZENworks. En detaljert agenda ble oversendt Vestfold fylkeskommune på e-post før kontrollen. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikten til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for skoleeiers behandling av personopplysninger ved skolene. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Vestfold fylkeskommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Vi så særskilt på om fylkeskommunen hadde kontroll på følgende: Hvilke opplysninger som registreres om elevene i forbindelse med bruk av læringsressurser på nett, og ved bruk av fylkeskommunens/skolens IKT-utstyr og - ressurser (jf. personopplysningsloven 14 og personopplysningsforskriften kapittel 3). Ansvarsavklaringer og bruk av databehandlere ved bruk av læringsressurser på nett, jf. personopplysningsloven 2 nr. 4 og 5, og 15. Sikkerhetsledelse, jf. personopplysningsforskriften 2-3 Risikovurdering, jf. personopplysningsforskriften 2-4 annet ledd Sandefjord videregående skole bruker følgende læringsressurser på nett: Viten.no Smartbok Brettboka Kikora ARM Studio Lingua Microsoft Dreamspark Kartleggeren Ibo.org Av IKT-utstyr så har hver elev fått utdelt en PC ved skolestart som de beholder i tre år, og har mulighet til å kjøpe når de er ferdig. Ingen private PCer er tillatt å bruke på skolen. 3 av 20

4 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningsloven 14 En behandlingsansvarlig har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Faktiske forhold Beslutningsprosessen er fordelt mellom Vestfold fylkeskommune og Sandefjord videregående skole. Sentralt i fylkeskommunen tas det beslutninger av stab og IKT om driftsprogrammer på IKT, og grunnleggende infrastruktur, og i utdanningssektoren tas det beslutninger om innkjøp av pedagogisk programvare. Mindre programvare som få bruker kan anskaffes av skolen. Det er ikke et krav at digitale læringsressurser skal være tilgjengelig gjennom It s Learning, men det er krav at pålogging skal gå gjennom Feide-portalen. Elevene får utdelt en PC med installert programpakke. Noe er installert på den enkeltes PC med en tidsbegrenset nøkkel. På elevens PC er alle tilgangene som en elev skal ha. Det er installert et klassestyringsprogram, Lanschool, hvor lærer kan overvåke elevenes bruk av PC i klasserommet. For et år siden ble alle enkeltstående IT-avdelinger slått sammen til en fylkessentral ITavdeling. Et eget team jobber med å få full oversikt over alle enkeltstående system. Vurdering Behandlingsansvaret er plassert. Det gjøres sentrale innkjøp ved Vestfold fylkeskommune, men som kan initieres lokalt ved skolene. Oversikt over behandlinger gjøres lokalt på skolene. Personopplysningsforskriften 2-3 understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Det er fylkesrådmannen i Vestfold fylkeskommune som er å anse som behandlingsansvarlig for den behandlingen av personopplysninger som foretas på Sandefjord videregående skole. 4 av 20

5 Ansvaret er delegert videre til direktør for Utdanningssektoren. Det er altså ledelsen i fylkeskommunen som skal sørge for en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette ansvaret har de begynt å ta ved å ansette en sikkerhetsrådgiver, og tar tak i rutiner og prosedyrer som har blitt liggende urørt i mange år. Konklusjon Datatilsynet har ikke konstatert avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Dette er en nødvendig del av virksomhetens internkontroll etter personopplysningsloven 14. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Faktiske forhold I forbindelse med kontrollen har Sandefjord videregående skole laget en oversikt over hvilke system og programvare de bruker på skolen. Den inneholder en kolonne hvor det er ført opp hvilke personopplysninger hvert system inneholder. Vestfold fylkeskommune har ikke en tilsvarende oversikt, men er i en fase hvor de arbeider med å få oversikt over alle system som er i bruk på skolene. Fylkeskommunen har ikke nødvendig oversikt over hvilke opplysninger som registreres og dermed ikke mulighet til å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Vurdering Vestfold fylkeskommune har ikke en oversikt over de enkelte behandlinger av personopplysninger som foretas innenfor kommunens virksomhet. Dette er å anse som et avvik fra personopplysningsloven og personopplysningsforskriftens krav. Vi bemerker at det ikke må være én oversikt som omfatter hele fylkeskommunen, men fylkeskommunen må etablere et system som sørger for at den behandlingsansvarlige har oversikt over behandlingene, og at detaljer kan hentes inn fra underliggende oversikter. 5 av 20

6 Konklusjon Mangelfull oversikt over behandlinger av personopplysninger som foretas innenfor fylkeskommunens virksomhet er et avvik fra personopplysningsloven 14 og 13, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. Faktiske forhold: Det finnes ingen rutiner for å sikre at innsyn foretas i samsvar med personopplysningsloven. Delkonklusjon Mangelfullt dokumenterte rutiner for innsynsbegjæringer er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og 6 av 20

7 e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Faktiske forhold Med unntak av rutine for informasjon om sletting har Vestfold fylkeskommune ikke utarbeidet andre rutiner for informasjon enn det skolen skal følge opp. I elevkontrakten som eleven får, er det informasjon om generelle programmer som blir brukt, men ingenting spesifikt om hvilke personopplysninger som blir behandlet. På foreldremøte ved skolestart blir det informert om PC-ordningen ved skolen, men det blir heller ikke her informert om hvordan opplysningene om elevene blir behandlet. Sandefjord videregående skole bruker It s Learning, Skolearena og Extens. Det er ingen nedskreven rutine for informasjon som gis om bruken av disse systemene. Det finnes en egen foreldrepålogging til Itslearning, og foreldrene oppfordres til å gå inn og følge med på elevens arbeid før elevene blir 18 år. Skolen sørger for at de foresatte er informert om utviklingen til sitt barn. Det gis ingen informasjon om hva de digitale læringsressursene brukes til. Det gis noe informasjon om elevens bruk av IKT og nett i IKT-avtalen, IKT-reglementet og en egen avtale om Lanschool. Det finnes ingen sentrale skriftlige rutiner om informasjon om overvåking. Informasjon i følge med skolens overvåking av elever ved hjelp av Lanschool og Websense TRITON Webfilter er drøftet i rapportens og Vurdering Skriftlig informasjon må forbedres. Skolen har flere kanaler for å gi informasjon til elever og foresatte: It s Learning, hjemmeside og brosjyrer. Skolen må informere om hva de logger av bruk i det trådløse nettet, samt brannmurer. De må også informere om hva formålet med loggingen er, hva loggene brukes til, identifiserende/avidentifiserende opplysninger, hvem som har tilgang til loggene, og hvor lenge loggene lagres. Det kan også være positivt om skolen forteller hva de ikke bruker loggene til. 7 av 20

8 Etter kontrollen ble det oversendt dokumenter med informasjon om hvilke tiltak som gjøres i forbindelse med eksamensavvikling. Dokumentet «Tiltak for å bekjempe juks på eksamen» inneholder informasjon som kan være tilgjengelig også utenom eksamen. Dette dokumentet kan med fordel inkludere de manglene vi påpeker i avsnittet over, og spesifisere hva som overvåkes på eksamen og hva som overvåkes ellers. Samlet sett er den informasjonen som gis for mangelfull til at den oppfyller kravene som stilles i personopplysningsloven og personopplysningsforskriften. Delkonklusjon Mangelfullt dokumenterte rutiner for informasjon til den registrerte/foresatte er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Faktiske forhold Det er rutiner for sletting av elevopplysninger når en elev slutter på skolen. Det registreres i Extens (skoleadministrativt system). Bruker blir automatisk fratatt sine tilganger og etter 90 dager slettes kontoen automatisk. Dette blir synkronisert med Feide og AD, og videre til Itslearning. Det ble sagt under kontrollen at dette også blir gjort i Kikora, som er en læringsressurs som er knyttet opp mot Itslearning. Logger i brannmur inneholder ingen personopplysninger, bortsett fra IP-adresser. Logger der slettes etter tre måneder. I e-post sendt 11. april fikk vi vite at fylkeskommunen bare benytter en liten del av funksjonaliteten i brannmurene siden disse har for liten kapasitet til å kunne håndtere dypere pakkeinspeksjon av datatrafikken på skolene. Brannmurene er over fem år gamle og de har begynt å se på hva de skal ha i fremtiden, og vil da trolig også ta i bruk mer funksjonalitet på dem da. Frem til det tar Websense TRITON Webfilter seg av den dype inspeksjonen av datatrafikken. Brannmurene brukes i dag i hovedsak til sperring på portnivå og for å lage krypterte VPN-tuneller mellom virksomhetene i Vestfold fylkeskommune. Brannmuren sjekker allikevel at innholdet i datapakker er korrekt der det ikke er kryptert og vil derfor også stoppe noe skadelig kode på et lavt lagnivå. Det benyttes også NAT så man vil ikke kunne nå en klient på den IP en den tilsynelatende bruker mot nettet. Brannmuren logger også trafikken fra IP til IP, og hvilken protokoll som gikk der. Logger i Websense TRITON Webfilter slettes etter ni dager. Brukere i loggen er avidentifisert som et løpenummer. Det er kun superadministrator som kan finne igjen en enkeltbruker. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 20

9 Logger i det trådløse nettet blir slettet etter avlogging, f.eks. når en elev forlater skolens område. Vurdering Regelverket krever at det finnes skriftlige rutiner for sletting av personopplysninger. Vestfold fylkeskommune sier at det er skriftlige rutiner for sletting av logger for hvert enkelt system. Dette kommer ikke frem av fylkeskommunens sikkerhetsdokumentasjon. Det må lages skriftlige rutiner for lagring og sletting av logger som brukes til å overvåke elevers bruk av skolens IKT-ressurser og nett. Vi mener at fylkeskommunen må vurdere nødvendigheten av å lagre loggene som lagres i Websense TRITON Webfilter i 9 dager. Den lagringstiden fylkeskommunen lander på må begrunnes knyttet til nødvendighet og formål. Vi mener at kommunens og skolens rutiner med hensyn til sletting, er mangelfulle fordi de ikke er skriftliggjort, med unntak av eksisterende rutiner for sletting av brukere som del av brukeradministrasjonen. Delkonklusjon Mangelfullt dokumenterte rutiner for sletting av personopplysninger er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c Konklusjon Mangelfullt dokumenterte rutiner for innsyn, informasjon til den registrerte og sletting, er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d og c. 5.2 Overvåking av elevers bruk av informasjonssystemet Vestfold fylkeskommune ved Sandefjord videregående skole har tatt i bruk to typer verktøy ved skolen som begge er egnet til detaljert overvåking av elevers bruk av informasjonssystemet. Dette dreier seg om klassestyringsverktøyet Lanschool og verktøy for filtrering av nettverkstrafikk, Websense TRITON Webfilter. Vi har valgt å samle våre vurderinger knyttet til disse verktøyene i et eget kapittel. Verktøyene vil bli nærmere beskrevet i det følgende sammen med vurdering av rettslig grunnlag, informasjonsplikt m.m Behandling av personopplysninger må tilfredsstille grunnkravene i personopplysningsloven 11, herunder være forholdsmessig og ha et behandlingsgrunnlag etter 8. Behandlingsgrunnlag kan være samtykke, lovhjemmel eller vurdering av at behandlingen er nødvendig for en rekke definerte formål opplistet i 8 bokstavene a-f. Overvåkingstiltak må innrettes slik at de ikke er aktive utover de tilfellene virksomheten har behandlingsgrunnlag. Samtykke vil normalt være lite anvendbart i en elev-skoleeierrelasjon, da elever må antas å være i et avhengighetsforhold til skolens ledelse. Datatilsynet har en langvarig praksis med hensyn til at inngrep i ansatts personvern på en arbeidsplass som hovedregel skal ha et annet 9 av 20

10 rettslig grunnlag enn samtykke. Så langt det passer vil det samme gjelde på en videregående skole. Dette betyr at de reelle alternative behandlingsgrunnlagene for overvåking av elever i videregående skole er lovhjemmel eller at behandlingen er nødvendig og ikke anses som en uforholdsmessig inngripen, jf. personopplysningsloven 8 f. Uavhengig av hvilket rettslig grunnlag som anføres for en behandling av personopplysninger gjelder det en selvstendig plikt til å informere den registrerte om hvilke personopplysninger som registreres, hvorfor de registreres hvor lenge de skal lagres osv, jf personopplysningsloven 19 og 20. Personopplysningsforskriften 7-11 fastslår at det er et unntak fra meldeplikten til Datatilsynet hva gjelder aktivitetslogg i informasjonssystem. Bestemmelsen begrenser imidlertid unntaket fra meldeplikt til å gjelde for de tilfellene en slik logg brukes til å administrere systemet og/eller å avdekke/oppklare brudd på sikkerheten i informasjonssystemet. Bruk for andre formål vil følgelig for det første være meldepliktig, og det vil dessuten være nødvendig å gjøre en vurdering av om angitt formål er i tråd med grunnkravene i personopplysningsloven. Personopplysningsforskriften kapittel 9 regulerer innsyn i e-postkasse og andre elektroniske kommunikasjonsmidler eller elektronisk utstyr på en arbeidsplass. Bestemmelsene her regulerer innsyn en arbeidsgiver foretar ovenfor en ansatt, men gjelder også så langt de passer for universiteter og høyskolers innsyn i studenters e-postkasse, jf. personopplysningsforskriften 9-1 femte ledd. Dette betyr at kapittel 9 også regulerer innsyn i logger dersom formålet med innsynet går utover administrasjon av systemet eller for å avdekke/oppklare sikkerhetsbrudd Skolens bruk av Lanschool Faktiske forhold Lanschool brukes som et klassestyringsverktøy. Hver elev-pc har dette forhåndsinstallert og elevene får opp et ikon nederst på sin skjerm som viser om overvåking er på eller av. Ved kontrollen fikk vi høre at Lanschool kan brukes til mer overvåking enn det skolen har åpnet for. Lanschool kan kun brukes når PC er koblet til skolens nettverk. Lærer kan aktivere/deaktivere overvåking og det skal kun brukes i timene. Lærer skal si fra til elevene når det blir aktivert. Lærer kan få opp oversikt over alle elevers skjermer og kan her se om de bruker PC til annet enn det de skal gjøre den timen. Lærer kan dele sin skjerm med elevene og hente opp en elevs skjerm ved samtykke. Ved kontrollen ble det sagt at det er et godt pedagogisk verktøy og at det ikke er fokus på overvåking. All logging er slått av. Det er varierende hvor mange lærere som bruker Lanschool. Vi sendte e-post 10. og 11. april 2014 hvor vi ba om utdyping i bruken av Lanschool. Vi fikk svar 11. april hvor det ble beskrevet at eleven kun har mulighet til å koble fra Lanschool når de er frakoblet det trådløse nettet eller når maskinen er låst (bruker avlogget). Når læreren får tilgang til Lanschool settes tilgangene til klasser/grupper basert på informasjon fra det skoleadministrative systemet (Extens). Læreren starter timen ved å starte opp Lanschool og velge aktuell klasse blant en dynamisk liste som er knyttet mot Extens. Det er ikke mulig å 10 av 20

11 fjerne enkeltelever, som ikke har møtt i timen og som fortsatt er tilkoblet skolens nettverk. Eleven blir informert muntlig av lærer at de er aktivert på Lanschool. Dette forutsetter at de er til stede i timen. Er de ikke til stede vil de allikevel bli overvåket, men vil ikke ha mottatt den muntlige informasjonen. Systemet sender i tillegg en varsling om at aktuell lærer har lastet eleven inn i Lanschool. Et ikon på elevens maskin indikerer hvilken lærer som har lastet inn eleven Vurdering Slik vi har forstått formålet med Lanschool er det primært et klassestyringsverktøy. En lærer kan ved hjelp av denne programvaren få oversikt på sin egen PC over hva de enkelte elevene arbeider med. Alternativet vil være å gå rundt i klasserommet og se på elevenes skjermer. Vi anser klassestyring for å være i kjernen av det skolen skal drive med, og at behandling av personopplysninger for dette formålet må anses for å være lovhjemlet i opplæringslova. Vi går dermed ikke nærmere inn på det rettslige grunnlaget for bruken av Lanschool for klassestyringsformål. Den lovhjemlede behandlingen er imidlertid begrenset til å gjelde de elevene som er tilstede i et klasserom eller at det er avklart at enkeltelever deltar i undervisningen fra et annet sted. Slik verktøyet er i bruk i dag er det mulig å overvåke også elever som ikke deltar i undervisningen. Eksempler på dette kan være: En elev som har gyldig fravær fra en time for å drive med elevrådsarbeid kan allikevel oppleve at læreren overvåker PC en fra klasserommet. Det er mulig for en lærer å kunne aktivere overvåking selv når elevene har friminutt. For de elevene som har gyldig fravær, men likevel er på skolens nettverk, må skoleeier enten basere seg på et annet rettslig grunnlag eller finne en måte å koble disse elevene fra Lanschool. Overvåkingen må begrenses til de tilfellene skoleeier har et rettslig grunnlag. Vi kan ikke se at det er grunnlag for å overvåke elevenes PC er utover klasseromssituasjonen. Dette betinger at det iverksettes tiltak for å sikre elevenes personvern for eksempel tydelig og utvetydig informasjon, mulighet til å reservere seg, mulighet til å sperre for overvåking av skjermene til de som ikke er tilstede i klasserommet etc. Et alternativ kan være å gi elevene muligheten til å aktivere Lanschool selv. Dette er imidlertid kun en anbefaling fra vår side, og ikke noe vi vil fatte vedtak om. Når det gjelder informasjonen elevene får om at Lanschool tas i bruk opplyser fylkeskommunen at elevene får opp et lite ikon i hjørnet av skjermen når Lanschool aktiveres. Å få skjermbildet på sin PC overvåket må etter vår vurdering være å anse som et stort inngrep i elevenes personvern, og plikten til å varsle om at et slikt verktøy tas i bruk må sees i sammenheng med alvorlighetsgraden av et slikt inngrep. Etter vår vurdering er et lite ikon på skjermen for lite eksplisitt informasjon om at verktøyet tas i bruk. Det er lett å overse. Vi mener det er viktig at elever skal føle seg trygge på at de ikke får sin PC overvåket uten at de er kjent med det, og at det derfor må kreves tydeligere signal om at Lanschool er aktivert på en PC. 11 av 20

12 Etter vår vurdering må Vestfold fylkeskommune endre på måten de bruker Lanschool. For det første må det gjøres mulig å skille ut de elevene som ikke deltar i undervisningen, og i tillegg må de elevene som deltar i undervisningen få et tydeligere signal når Lanschool er i bruk. Vi har et forslag til pålogging til Lanschool som vil være i tråd med personopplysningsloven: Når timen begynner skal lærer opplyse elevene om at Lanschool vil bli benyttet i undervisning. Lærer aktiverer gjeldende klasse Elever aktiverer pålogging fra sin PC. Dersom en elev er til stede i klasserommet, men ikke pålogget Lanschool, kan lærer muntlig henvende seg til eleven og anmode eleven om logge seg på. På denne måten unngår man å overvåke elever som ikke er til stede. Ved timeslutt avsluttes overvåking ved at lærer kobler fra. Programvaren kan også være tidsinnstilt slik at det er satt til automatisk frakobling når det er friminutt og slutt for dagen Delkonklusjon Bruk av Lanschool overfor elever som ikke deltar i undervisningen mangler rettslig grunnlag, og er et avvik fra personopplysningsloven 11, jf. 8. Dette betyr at løsningen må innrettes slik at overvåkingen begrenses til lovlige situasjoner. Informasjon som blir gitt i forbindelse med aktivering av Lanschool er mangelfull og er et avvik fra personopplysningsloven Skolens bruk av Websense TRITON Webfilter Faktiske forhold Nettrafikk logges med bruk av Websense TRITON Webfilter. Etter kontrollen fikk vi opplyst at dette verktøyet brukes for å se på all trafikk og kategoriserer. Verktøyet stopper skadelig kode, stopper trafikk som tar stor båndbredde, stopper Facebook m.m. i timene (det er åpent i friminuttene). Verktøyet dekrypterer HTTPS-trafikk via en proxyløsning. Det er systemteknisk logging. Vi fikk ikke svar på hvilket nivå det logges på og hvor langt ned loggingen går. Med bruk av Websense TRITON Webfilter kan de se om det har vært forsøk på juks, hvilke linker elevene har vært inne på, men ikke på innholdet. Det er kun IKTavdelingen som har tilgang til loggene. I etterkant av kontrollen har vi pr e-post bedt om mer beskrivelse på hvordan Websense TRITON Webfilter brukes og hvilke detaljer som gis i «Investigative reports». Det vi da har fått vite er at Investigative reports er en rapport av treff for risikoklasser basert på logget trafikk. Den brukes for å ha oversikt over trafikken i nettverket. Loggen brukes hovedsakelig for å kunne se og finne sikkerhetstrusler i nettverket som virusinfiserte datamaskiner og tilgang til nettsteder som utgjør en sikkerhetstrussel for nettverket. I vår e-post sendt 11. april 2014 stilte vi spørsmål til hvordan man finner frem til rett elev og hvorfor man skal overvåke også de «snille» elevene. I svaret vi fikk ble det beskrevet at elevene er avidentifisert i rapporten, og at de ikke blir overvåket før de har gjort noe galt som gjør at de må identifisere dem. Når man logger på Websense TRITON Webfilter som en normal administrator ser man kun et nummer som avidentifiserer brukeren. Ved behov for identifisering må man logge inn som superadministrator, noe bare noen få har tilgang til. 12 av 20

13 Logger i Websense TRITON Webfilter slettes etter ni dager. Brukere i loggen er avidentifisert med et løpenummer. Det er kun superadministrator som kan finne igjen en enkeltbruker Vi har sett to problemstillinger som gjelder Websense TRITON Webfilter, og det gjelder dekryptering av HTTPS-trafikk og logging av nettrafikk. Disse to problemstillingene vil bli behandlet hver for seg i det følgende Vurdering - Websense TRITON Webfilter og dekryptering av HTTPS-trafikk Websense TRITON Webfilter dekrypterer HTTPS-trafikk via en proxyløsning. Vi har hatt denne problemstillingen oppe til vurdering ved et tidligere tilfelle og kom da til at en slik løsning vil kunne være forholdsmessig gitt visse forutsetninger 2. Datatilsynet la til grunn i denne saken at dekryptering og påfølgende innholdsinspeksjon samlet sett innebærer en behandling av personopplysninger som må ha et rettslig grunnlag, og at slikt rettslig grunnlag kan være personopplysningsloven 8 f. For at behandling etter personopplysningsloven 8 bokstav f skal være tillatt forutsettes det at den berettigede interessen til den behandlingsansvarlige ikke overstiger den registrertes krav på personvern. I denne saken betyr det at skoleeiers interesse i å bryte sikkerhetsmekanismen må anses for å være større enn elevens interesse i å beskytte sin kommunikasjon. I saken fra 2012 vurderte Datatilsynet dekryptering av HTTPS-trafikk som forholdsmessig under forutsetning av at det etableres såkalte «whitelists» og «blacklists», slik at bare deler av kommunikasjonen underlegges kontroll. I tillegg ble det forutsatt at arbeidsgiver ikke gjorde seg kjent med det konkrete innholdet i de ansattes kommunikasjon. Dette ble ansett som en metode som var å anse som lite inngripende. Overført til denne saken betyr dette at dersom en elev skal bruke nettbank, offentlige portaler og liknende, skal ikke kommunikasjonen dekrypteres. I tillegg legger vi til grunn at skoleeier ikke gjør seg kjent med det konkrete innholdet i elevenes kommunikasjon. Under disse forutsetningene finner vi at behandlingen kan ha grunnlag i en interesseavveiing etter personopplysningsloven 8 bokstav f. Fylkeskommunen og skolen må informere om hva slags overvåking som foregår med Websense TRITON Webfilter. Dette innebærer at elevene må gis informasjon som etter sitt innhold og presentasjon, gjør dem i stand til å vite hvorvidt deres kommunikasjon blir dekryptert, hvilke faktiske konsekvenser det har, og videre hvilken betydning dette får for sikkerheten i kommunikasjonen. Informasjon om dekryptering må knyttes så nært den faktiske kommunikasjonen som teknisk mulig for at den skal være tilfredsstillende - det vil si å gi en klar forståelse om hvorvidt en aktuell kommunikasjon vil bli dekryptert eller ikke, på det tidspunkt kommunikasjon initieres. Vi forstår at dette kan være vanskelig å gjøre med tilgjengelig utstyr. Vi legger derfor til grunn at elevene informeres om det ved innlogging. 2 Sak 10/ av 20

14 Delkonklusjon Dekryptering av HTTPS-trafikk via proxyløsning uten rettslig grunnlag er et avvik fra personopplysningsloven 11, jf. 8. Dette gjelder dekryptering av antatt sikre nettsteder med høyt behov for konfidensialitet i brukerens kommunikasjon. Manglende informasjon til elevene om bruk av Websense TRITON Webfilter er et avvik fra personopplysningsloven Vurdering - Websense TRITON Webfilter og logging av nettrafikk Normalt vil formålet med verktøy som Websense TRITON Webfilter være å administrere informasjonssystemet og ivareta sikkerheten. Det er følgelig ikke meningen at slike verktøy skal brukes til å overvåke og kontrollere den enkelte. I e-post vi fikk 11. april 2014 gis det et eksempel på at dersom en elev har sjikanert noen på Wikipedia, kan man finne ut hvem det var da Wikipedia kun ser NAT IP-en til skolen. Dette vil være en type bruk som ikke er i tråd med et formål om administrasjon av systemet. På en arbeidsplass vil innsyn i logg som lages i nettproxyserveren som følge av dekryptering og innholdsinspeksjon, reguleres av personopplysningsforskriften 9-2 og Førstnevnte bestemmelse oppstiller vilkår for å kunne foreta slikt innsyn og gjelder så langt de passer for universiteters og høyskolers innsyn i studenters aktivitetslogg. Spørsmålet her blir om disse bestemmelsene kan tolkes utvidende til også å gjelde for elever ved videregående skoler. Det er mange likhetstrekk mellom arbeidsplass og skole. Dette gjelder for eksempel avhengighetsforholdet mellom ansatt/arbeidsgiver tilsvarende student/skoleeier. Dette er også bakgrunnen for at personopplysningsforskriften kapittel 9, som i utgangspunktet kun gjelder på en arbeidsplass, også er gjort gjeldende for universiteter og høyskoler. Studenter er myndige personer som tar overveide valg, og som forventes å kunne forholde seg til et sett med regler for bruk av informasjonssystemet. Regler som ved overtredelse vil kunne sanksjoneres. Det står ikke noe i merknadene til disse bestemmelsene om hvorfor lovgiver har begrenset seg til å nevne høyere utdanning, og ikke videregående skole. Skillet er noe kunstig i og med at halve elevmassen i videregående skole også er myndige. Det er etter hvert også normalt at elever signerer avtaler som gjelder for bruk av skolenes informasjonssystem, og er godt innforstått med hva som er kjørereglene for bruk, samt hva skolen har av sanksjonsmuligheter. Vi mener de beste grunner taler for at disse bestemmelsene skal gjøres gjeldende også for elever i videregående skole så langt de passer. 14 av 20

15 Vilkårene for å kunne foreta innsyn i e-postkasse og andre elektroniske kommunikasjonsmidler, eller elektronisk utstyr på en arbeidsplass/skole, er: at det skal være nødvendig for å ivareta den daglige driften at systemeier har en begrunnet mistanke overfor en enkeltperson om bruk av informasjonssystemet, som medfører grovt brudd på de plikter som følger av arbeids- /studieforholdet. Vestfold fylkeskommune har ikke anført dette som terskler for når det kan være aktuelt å ta i bruk Websense TRITON Webfilter til å etterforske hvorvidt enkeltelever har vist sjikanøs atferd på nett. Vi kan heller ikke se at den beskrevne bruk av Websense TRITON Webfilter for overvåking av enkeltelever oppfyller vilkårene i personopplysningsforskriften 9-2. Siste ledd i personopplysningsforskriften 9-2 fastslår dessuten at arbeidsgiver/skoleeier ikke har rett til å overvåke ansatte/elever utover det som følger av personopplysningsforskriften 7-11 som dreier seg om aktivitetslogg i edb-system eller datanett hvor formålet er å administrere systemet eller å avdekke/oppklare brudd på sikkerheten i edb-systemet. Det er i tillegg risiko for feil identifisering dersom det er flere elever som har vært på Wikipedia i samme tidsrom. I den grad bruk av dette verktøyet hadde oppfylt vilkårene i personopplysningsforskriften 9-2 er dette et argument i retning av likevel å utøve forsiktighet med bruken i den hensikt å identifisere personer som står bak uønsket atferd på skolens nettverk. Datatilsynet mener at fylkeskommunen og skolen normalt kun kan bruke Websense TRITON Webfilter for å administrere systemet og ivareta sikkerheten i systemet. Investigative Reports skal kun inneholde kategorier som er til trussel for sikkerheten, slik som å stoppe skadelig kode og stoppe trafikk som tar stor båndbredde. Videre må det være retningslinjer for superadministrator som tilsier at utlevering av identiteter ikke skal kunne gis ut til personer som ikke har et tjenstlig behov for disse opplysningene. Innsyn utover dette må samsvare med vilkårene i personopplysningsforskriften 9-2 og følge kravene i kapittel 9. Fylkeskommunen og skolen må informere om hva slags overvåking som foregår med Websense TRITON Webfilter. Dette innebærer at de må gi elevene informasjon som etter sitt innhold og presentasjon, gjør elevene i stand til å vite hvordan deres nettbruk blir overvåket, hva som skal til før skolen identifiserer vedkommende, og hvilke konsekvenser det kan få Delkonklusjon Å foreta innsyn i e-postkasse og andre elektroniske kommunikasjonsmidler, eller elektronisk utstyr på en arbeidsplass/skole, uten at dette er i tråd med vilkårene i personopplysningsforskriften 9-2, er et avvik. Manglende informasjon til elevene om bruk av Websense TRITON Webfilter er et avvik fra personopplysningsloven Konklusjon Bruk av Lanschool overfor elever som ikke deltar i undervisningen mangler rettslig grunnlag, og er et avvik fra personopplysningsloven 11, jf. 8. Dette betyr at løsningen må innrettes slik at overvåkingen begrenses til lovlige situasjoner. 15 av 20

16 Overvåking og kontrollering av elevers bruk av Internett med bruk av Websense TRITON Webfilter utover det som følger av personopplysningsforskriften 7-11 er avvik fra personopplysningsloven 11, jf. personopplysningsforskriften 9-2. Dekryptering av HTTPS-trafikk via proxyløsning uten rettslig grunnlag er et avvik fra personopplysningsloven 11, jf. 8. Dette gjelder dekryptering av antatt sikre nettsteder med høyt behov for konfidensialitet i brukerens kommunikasjon. Mangelfull informasjon i forbindelse med aktivering av Lanschool og bruk av Websense TRITON Webfilter er avvik fra personopplysningsloven Informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Faktiske forhold Håndbok for informasjonssikkerhet ble ikke oversendt Datatilsynet i forkant av kontrollen. Fylkeskommunen forklarte at de bevisst ikke hadde sendt den siden håndboken ble utarbeidet i 2002 og har ikke blitt revidert siden. De er i gang med å revidere alt arbeidet med informasjonssikkerhet. Vurdering Det er positivt at fylkeskommunen uavhengig av kontrollen, har iverksatt tiltak om å utbedre informasjonssikkerhetsarbeidet. Av dokumentasjon som forelå på kontrolltidspunktet fremgår det imidlertid at sikkerhetsmål, sikkerhetsstrategi, sikkerhetsrevisjon og rutiner for informasjonssikkerhet ikke er revidert på 12 år (2002). Dette er for lang periode uten revisjon og er et avvik fra kravene som stilles i personopplysningsloven og personopplysningsforskriften. 16 av 20

17 Konklusjon Mangelfull gjennomgang av sikkerhetsmål og -strategi, for å kartlegge om disse er hensiktsmessige og gir tilfredsstillende informasjonssikkerhet, er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-3. Sikkerhetsorganisasjon Faktiske forhold Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette fremgikk under kontrollen. Vestfold fylkeskommune har nylig ansatt en egen sikkerhetsansvarlig. De ansatte i sikkerhetsorganisasjonen har vært på kurs i ITIL og har en plan for å revidere sikkerhetshåndboken, utarbeide sikkerhetsmål og sikkerhetsstrategi, samt implementere rutiner for gjennomføring av risikovurderinger. Vurdering Vestfold fylkeskommune har etablert en sikkerhetsorganisasjon og en egen enhet som skal ivareta sikkerhetsmål og sikkerhetsstrategi i skolesektoren. Sandefjord videregående skole er også kjent med denne sikkerhetsorganisasjonen. Konklusjon Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Faktiske forhold Vestfold fylkeskommune hadde i forkant av kontrollen oversendt en gammel rutine for risikovurdering. Ingen risikovurderinger er gjort på de digitale læringsressursene eller noen av de systemene som brukes til å lagre elevopplysninger. Det er ikke skriftliggjort en risikovurdering av informasjonssystemet ved skolen. Konklusjon Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av 17 av 20

18 organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Faktiske forhold Datatilsynet ble informert om at fylkeskommunen ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Konklusjon Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Faktiske forhold - Generelt Hver elev får utdelt en egen PC hvor all programvare er forhåndsinstallert og alle tilganger er gitt på forhånd. Det er Feide-pålogging til læringsplattform og de digitale læringsressursene. Det er etablert et eget trådløst nettverk for elever og et for lærere. Det er etablert driftsrutiner for å ivareta sikkerheten på skolens IKT-utstyr og nett, og det blir logget autorisert og uautorisert bruk. Det finnes system for avvikshåndtering. Vi fikk oversendt konfigurasjonskart over fylkeskommunens soneinndeling, brannmurer og brukeradministrasjon. Det finnes ikke noe konfigurasjonskart over tilgangen til de digitale læringsressursene. Faktiske forhold - Lanschool Vi viser til beskrivelse av skolens bruk av Lanschool i rapportens pkt Vi har ikke vurdert bruken av dette som et sikkerhetstiltak for sikring av personopplysninger, og vi har derfor ikke omhandlet det i denne delen av rapporten. Faktiske forhold - Websense TRITON Webfilter For faktiske forhold om skolens bruk av Websense TRITON Webfilter viser vi til rapportens av 20

19 Vurdering - Generelt Å beslutte sikkerhetstiltak er en helt sentral del av informasjonssikkerhetsarbeidet i en virksomhet. Vestfold fylkeskommune og Sandefjord videregående skole har enkelte sikkerhetstiltak på plass, slik som brannmur, segmentering av nettverk, tilgangsstyring, logging av autorisert og uautorisert bruk, og avvikshåndtering. Det at Vestfold fylkeskommune og Sandefjord videregående skole ikke har gjennomført og dokumentert risikovurdering av informasjonssystemet, kan tyde på at det kan finnes trusler og tiltak det ikke er tatt høyde for når informasjonssystemet er satt opp og under drift. Datatilsynet mener at fylkeskommunen og skolen må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Konklusjon Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Etter kravet om internkontroll i personopplysningsloven 14 plikter virksomheten å ha avklart om hvorvidt de har databehandlere eller ikke. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Faktiske forhold Vestfold fylkeskommune har inngått avtale for bruk av Extens og Skolearena, Kartleggeren og Vigo. Vestfold fylkeskommune har tatt i bruk følgende tjenester uten at det er avklart om disse tjenestene forutsetter behandling av personopplysninger og inngåelse av databehandleravtale: Kikora, Smartbok, Viten.no, Brettboka, ARM Studio Lingua, Microsoft Dreamspark, og Ibo.org. Vurdering Vestfold fylkeskommune må etablere en rutine for å avdekke om programvare de tar i bruk lagrer eller ikke lagrer personopplysninger. I de tilfellene hvor personopplysninger behandles av avtalepart må databehandleravtale inngås. 19 av 20

20 Konklusjon Manglende vurdering og avklaring av om bruk av Kikora, Smartbok, Viten.no, Brettboka, ARM Studio Lingua, Microsoft Dreamspark og Ibo.org forutsetter behandling av personopplysninger og inngåelse av databehandleravtale, er et avvik, jf. personopplysningsloven 14, 15 og 13, jf. personopplysningsforskriften På generelt grunnlag vil Datatilsynet påpeke plikten til å avklare om de digitale læringsressursene som skolen tar i bruk på Internett behandler personopplysninger og om en slik bruk i så fall krever at det inngås databehandleravtale. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 20 av 20