Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet

Transkript

1 Utdanningsdirektoratet Postboks 2924 Tøyen 0608 OSLO Deres referanse Vår referanse (bes oppgitt ved svar) 2012/ / /KBK 27. februar 2013 Dato Vedtak om pålegg - Endelig kontrollrapport for Utdanningsdirektoratet - internkontroll og informasjonssikkerhet Det vises til Datatilsynets kontroll av Utdanningsdirektoratet den og Datatilsynets varsel om vedtak av Vurdering av tilsvar Datatilsynet har i brev av mottatt virksomhetens merknader til varselet, og har følgende kommentarer til det som fremkommer der: Ad. Punkt 3 i varsel om vedtak: Utdanningsdirektoratet har gjort Datatilsynet oppmerksom på heftet Sikkert & Bevisst, Informasjonspolicy, som var vedlagt oversendt dokumentasjon i forkant av møtet. Krav til sikkerhetsmål og sikkerhetsstrategi er i noen grad dekket av denne. Varselet om vedtak pkt. 3 faller således bort. Datatilsynet vil likevel påpeke at Utdanningsdirektoratett med fordel kan konkretisere sine sikkerhetsmål. Se tilsynsrapportens avsnitt Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Virksomheten må etablere en oversikt over de enkelte behandlinger av personopplysningerr i samsvar med personopplysningsloves 14 og 13, jf. personopplysningsforskriftens 2-4 første ledd. Det vises til tilsynsrapportens Virksomheten må etablere rutiner for ruiner for ivaretakelse av personopplysningslovens 18, 1. i samsvar med etter personopplysningslovens 14, jf. personopplysningsforskriftens 3-1 bokstav d). Det vises til tilsynsrapportens Datatilsynet gir frist for gjennomføring av pålegget/ene til 1. juni Utdanningsdirektoratet må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at pålegget er gjennomført. Med mindre annet er særskilt angitt kreves det ikke ytterligere dokumentasjon på at pålegget er gjennomført. Det gjøres imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Postboks 8177 Dep Tollbugt OSLO Hjemmeside:

2 Klageadgang Dette vedtaket kan påklages i henhold til forvaltningslovens bestemmelser. Eventuell klage må fremsettes overfor Datatilsynet innen tre uker etter at vedtaket ble mottatt. Datatilsynet gjør i den forbindelse oppmerksom på at virksomheten/de har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Helge Veum Avdelingsdirektør Knut-Brede Kaspersen fagdirektør Vedlegg: Endelig kontrollrapport 2

3 Saksnummer: 12/00973 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Utdanningsdirektoratet Sted: Oslo Utarbeidet av: Knut-Bredee Kaspersen 1 Innledning Datatilsynet gjennomførte kontroll hos Utdanningsdirektoratet 23. november Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med plikt til å innføre internkontroll og å sørge for tilfredsstillende informasjonssikkerhet i henhold til gjeldene lover og forskrifter. Kontrollenn ble gjennomført på virksomhetens faste forretningsadresse. For ansatte i Datatilsynet, som utfører tjeneste for tilsynsmyndigheten, gjelder bestemmelsene om taushetsplikt i forvaltningsloven 13 flg. Taushetsplikten omfatter også opplysninger om sikkerhetstiltak, jf. 45. Alle henvisninger til lovhjemler i denne rapporten vil, med mindre det eksplisitt er uttalt noe annet, være knyttet til personopplysningsloven og dens forskrifter. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Dag Thomas Gisholt, Direktør - Hege Dillner, divisjonsdirektør - Morten H. Frøyen, avdelingsdirektør - Trine Sandberg, seniorrådgiver - Arild Stangeland, avdelingsdirektør - Norun Eide, sikkerhetsansvarlig 2.2 Fra Datatilsynet: - Helge Veum, avdelingsdirektør - Knut B. Kaspersen, fagdirektør, (jurist) - Hallstein Husand, seniorrådgiver - Marius Engh Pellerud, rådgiver Fra Riksarkivet: - Ingeborg Motzfeldt, seniorrådgiver. 1 av 11

4 3 Generelt Direktoratet er underlagt Kunnskapsdepartementet, men er blitt delegert myndighet bl.a. til å fatte dispensasjonsvedtak fra taushetsplikten. Det er ca. 300 ansatte i direktoratet, i hovedsak jurister, statsvitere og pedagoger. Direktoratet har fire kjerneområdet. Det er: 1) Innhold og utvikling Herunder ligger fag- og yrkesplanlegging, skoleutvikling og læreplaner. 2) Analyse og vurdering Herunder ligger bl.a. forskning og statistikk 3) Regelverk og finansiering og Herunder ligger veiledning av regelverk, tilsyn og rettsferdsvederlag 4) Virksomhetsstyring ag administrasjon Herunder ligger IT og service, økonomi og virksomhetsstyring 4 Oversendelse av dokumentasjon Datatilsynet ba i varselet av 25. oktober 2012 om at Utdanningsdirektoratet oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. 13 og 14, og forskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. forskriften 2-4, f) avviksrutiner, jf. forskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjonen ble sendt Datatilsynet i forkant. Andre relevante dokumenter ble utlevert på møtet, eller ettersendt. En detaljert agenda ble oversendt virksomheten før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av Utdanningsdirektoratets plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i 2 av 11

5 behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Utdanningsdirektoratets internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Tilsynet hadde fokus på behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i forskriften kapittel 3. Internkontrollsystemet omfatter også nødvendig sikkerhetsdokumentasjon. Dette er nærmere omtalt i pkt Tilsynet ønsket innledningsvis en redegjørelse for hvilke systematiske tiltak Utdanningsdirektoratet hadde satt i verk for å sikre etterlevelse av lovens krav. I henhold til 14 skal behandlingsansvarlig dokumentere tiltakene. Dokumentasjonen skal blant annet være tilgjengelig for medarbeiderne hos den behandlingsansvarlige samt for Datatilsynet. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Forskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i pkt Behandlingsansvaret som tilligger direktør er synliggjort i organisasjonen, og tilstrekkelig dokumentert. 3 av 11

6 6.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må Utdanningsdirektoratet ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av forskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag ( 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Direktoratet hadde utferdiget en oversikt over enkle elektroniske hjelpemidler for behandling av personopplysninger. Oversikten tar utgangspunkt i det enkelte system, ikke i den enkelte behandling. Den synliggjør når systemet ble opprettet, status, ansvarlig avdeling, om systemet inneholder sensitive eller ikke sensitive opplysninger, om internkontrollskjema er utfylt og om melding/konsesjon er sendt Datatilsynet. Direktoratet har utferdiget et internkontrollskjema for det enkelte system, eksempelvis PAS, ephorte og SAP. I hvert av disse har direktoratet gjennomgått internkontrollen iht. forskriften 3-1. Skjemaet kan med fordel videreutvikles. Det er en mangel at det ikke kommer tydeligere fram hvilke personopplysninger som behandles. En slik videreutvikling av matrisen vil gjøre det lettere å etterkomme borgerens forespørsel om innsyn etter 18, 1. ledd. Manglende oversikt over den enkelte behandling av personopplysninger er et avvik fra 14, og 13, jf. forskriften 2-4, 1. ledd Øvrige plikter etter personopplysningsloven 14 jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for 4 av 11

7 innhenting av samtykke og retningslinjer for utlegging av postlister og saksdokumenter på Internett Rett til innsyn Det følger av 18, 1. ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter forskriften 3-1, 3. ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av 18 siste ledd og 23. : Ettersendt dokumentasjon synliggjør at Utdanningsdirektoratet har utferdiget rutiner for innsynsbegjæringer etter 18. Rutinene tilfredsstiller imidlertid ikke fullt ut kravene i 18. Her mangler blant annet rutiner for de krav som følger av bestemmelsens første ledd. I tillegg burde man vist til hvilke prosessuelle krav som gjelder ved innsynsbegjæringer, se 16 Delkonklusjon er i det vesentlig ivaretatt gjennom direktoratets rutiner. Imidlertid er manglede ruiner for ivaretakelse av 18, 1. ledd et avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d) Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av 19, 1. ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter forskriften 3-1,1.ledd bokstav d) ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av 19 siste ledd, 20, 2. ledd og av 11

8 Funn Dokumentasjon på rutiner for å sikre informasjon til den registrerte er utferdiget i tilknytning til internkontrollskjema til det enkelte system. Delkonklusjon Sletting I henhold til 11 bokstav e), jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter forskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Dokumentasjon på rutiner for å slette opplysninger er utferdiget i tilknytning til internkontrollskjema til det enkelte system. Derimot er det uklart hva som skal skje med de nasjonale prøvene; om de vil bli anonymisert, eller overført til Riksarkivet. Det avventes en avgjørelse i prosessen med Riksarkivet. Delkonklusjon Det bemerkes at kontrollen ikke innebar en nærmere gjennomgang av rammene for behandling av personopplysninger i følge med de nasjonale prøvene Det ble konstatert avvik fra krav om internkontroll etter 14, jf. forskriften 3-1 bokstav d) for ivaretakelse av 18, 1. ledd. 6.2 Krav om informasjonssikkerhet I henhold til 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i forskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, og veiledningsmateriale som ble overrakt under kontrollen. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 11

9 6.2.2 Sikkerhetsledelse I henhold til forskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Utdanningsdirektoratets sikkerhetsstrategi er dokumentert i Policy overordnede retningslinjer for behandling av personopplysninger i Utdanningsdirektoratet og i heftet Sikkert & Bevisst, Informasjonssikkerhetspolicy. Her omtales blant annet ansvarsforhold, organisering og håndtering av avvik. Begge dokumentene nevner også virksomhetens sikkerhetsmål. Sikkerhetsmålene som er definert er av generell og overordnet karakter. De egner seg i liten grad til å legge føringer på virksomhetens praksis og etterlevelsen av dem kan ikke kontrolleres. Datatilsynet vil ikke påpeke avvik på dette punktet. Vi vil imidlertid påpeke at virksomheten i sin sikkerhetsstrategi skal konkretisere sine valg og prioriteringer, samt redegjøre for sin systematikk på området. Sikkerhetsorganisasjon Ansvar og roller for sikkerhetsledelse er hovedsakelig dokumentert i dokumentet Policy overordnede retningslinjer for behandling av personopplysninger i Utdanningsdirektoratet. Supplerende informasjon om sikkerhetsledelse fins også i dokumentet Informasjonssikkerhet: Systemeieransvar. Basert på tilsendt dokumentasjon og stedlig kontroll framstår det som om direktoratet har arbeidet godt med å etablere en sikkerhetskultur i direktoratet. Det kan imidlertid framstå som om fordelingen av arbeidet mellom avdelinger og staber er noe komplisert, og kan skape noe usikkerhet om hvem som har ansvaret for hva. Dette er likevel kun en betraktning fra Datatilsynets side. Som ledd i involvering av ledelsen i arbeidet med behandling av personopplysninger produserer Utdanningsdirektoratet jevnlig årsrapport for behandling av personopplysninger og en sikkerhetsrapport. Etter Datatilsynets vurdering framstår disse rapportene som en god måte å drive arbeid med ledelsesgjennomgang på personvernområdet. 7 av 11

10 Risikovurdering I henhold til forskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsette kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. At Utdanningsdirektoratet skal gjennomføre risikovurderinger er dokumentert flere steder i direktoratets styrende dokumentasjon. I forkant av kontrollen oversendte direktoratet fire risikovurderinger som eksempel på sitt arbeid på området. Enkelte av risikovurderingene kunne med fordel vært noe mer konkrete, men ut over det har ikke Datatilsynet kommentarer til oversendte risikovurderinger. Det gjøres detaljerte tekniske risikovurderinger som fungerer som bakteppe for risikovurderingene som benyttes til virksomhetsstyring. Datatilsynet har ikke vurdert disse risikovurderingene. Fagavdelingene skal gjennomføre risikovurderinger kvartalsvis per system. Sentrale risiko skal eskaleres til ledelsen. Direktørmøtet går gjennom et mer overordnet risikobilde for virksomheten kvartalsvis. Datatilsynet etterspurte under kontrollen risikovurderinger eller andre vurderinger av fastsettelse av beskyttelsesnivå. Mest interessant er risikovurderingen bak autentiseringsregimet for behandling av rettferdsvederlagssaker. Dette er saker med svært sensitive personopplysninger som ikke har noen særskilt pålogging annet enn vanlig brukernavn og passord. Det er heller ingen sperrer for tilgang til slike saker fra hjemmekontor. Utdanningsdirektoratet ettersendte denne dokumentasjonen. Datatilsynet har vurdert denne dokumentasjonen til å tilfredsstille lovens krav Sikkerhetsrevisjon Virksomheten plikter i henhold til forskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. 8 av 11

11 Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang jf. forskriften 2-3. Funn Utdanningsdirektoratet har årlig sikkerhetsgjennomgang i ledelsen. I tillegg gjennomføres revisjoner på enkeltsystemer ved behov Avvikshåndtering/sikkerhetsbrudd Det følger av forskriften 2-6 at virksomheten skal ha rutiner for avvikshåndtering. Resultatet fra avviksbehandling skal dokumenteres. Etter forskriften 2-8, andre ledd skal medarbeidere ha nødvendig kunnskap for å bruke informasjonssystemet i tråd med de rutiner som er fastlagt. Det er således et krav til at de foreliggende rutiner må implementeres i virksomheten. For de tilfeller der avvik har avdekket uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig, skal Datatilsynet orienteres. Utdanningsdirektoratets rutiner hendelses- og avvikshåndtering er beskrevet i eget rutinedokument. Her ligger også skjema for melding av avvik, veiledning i utfylling av skjemaet og informasjon om hvordan det videre arbeidet med avviksmeldingen foregår. Datatilsynet er også oversendt avvikslogg i tidsrommet 1. april 2010 til 31. desember Det er i denne perioden, på nesten to år, meldt inn fire avvik. To av disse er vurdert til ikke å være avvik. To meldte avvik i en så lang periode i en såpass stor virksomhet er lite, og kan tyde på manglende innrapportering av avviksmeldinger fra de ansatte. Datatilsynet har ikke gjort noen verifikasjoner på avviksområdet Sikkerhetstiltak 13, jf. forskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Forskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8, 3. ledd og 2-14, 2. ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. 9 av 11

12 Utdanningsdirektoratet har kun en intern sone og ingen egen sikker sone for håndtering av sensitive personopplysninger. Det var heller ikke etablert andre nettverksmessige eller logiske sikkerhetstiltak for personopplyninger med et høyt beskyttelsesbehov. Datatilsynet anbefaler at det etableres løsninger som baserer seg på flere uavhengige sikkerhetstiltak. Virksomhetens vurderinger for beskyttelse av personopplysninger ble ikke gjennomgått i detalj, og det konstateres ikke avvik knyttet til forholdet Opplæring I henhold til forskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Utdanningsdirektoratet har opplæring for alle nyansatte i bruk av saksbehandling generelt og spesielt om personvern og informasjonssikkerhet. Direktoratet utgir et hefte til alle ansatte; Brukerhåndboka. På intranett fins et e-læringsopplegg for informasjonssikkerhet. Det framstår som om Utdanningsdirektoratet tar opplæring og bevisstgjøring av ansatte og samarbeidsparter innen informasjonssikkerhet på alvor. 6.3 Databehandlere En databehandler er i 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av Utdanningsdirektoratet må det inngås en skriftlig databehandleravtale med virksomheten, jf. 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. 10 av 11

13 Utdanningsdirektoratet har to maler for å ivareta plikten om databehandleravtale med databehandlere; en selvstendig avtale for større systemer og et mindre bilag for mindre systemer. Datatilsynet er oversendt nevnte maler samt ett eksempel på faktisk bilag for et lite system. Datatilsynet er også oversendt en driftsavtale med en av Utdanningsdirektoratets databehandlere. 11 av 11