Foreløpig kontrollrapport

Transkript

1 Saksnummer: 14/00138 Dato for kontroll: Foreløpig rapport: Endelig rapport: Foreløpig kontrollrapport Kontrollobjekt: Hamar kommune, Ajer ungdomsskole Sted: Hamar Utarbeidet av: Eirin Oda Lauvset Rannveig Bakke Tvedten Martha Eike 1 Innledning Datatilsynet gjennomførte kontroll hos Hamar kommune ved Ajer ungdomsskole den 14. mars Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om kommunens og skolens behandling av personopplysninger om elevene, er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsket vi å undersøke kommunens håndtering av elevopplysninger som behandles i digitale læringsressurser på nett, samt opplysninger som elever legger igjen når de bruker kommunens/skolens IKT-utstyr og -ressurser. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Tom Zachariassen, assisterende rektor, Ajer ungdomsskole - Sølvi Aas Hallem, rektor, Ajer ungdomsskole - Anne-Grete Melby, grunnskolesjef, Hamar kommune - Bjørn Ottar Jensen, IKT-kontakt, Ajer ungdomsskole - Stein Arnekleiv, Pedagogisk rådgiver, Hamar kommune - Marianne Bjønness, Leder IKT-utvikling, Hamar kommune 2.2 Fra Datatilsynet: - Rannveig Bakke Tvedten, rådgiver - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver 1 av 13

2 3 Oversendelse av informasjon Datatilsynet ba i varselet om at Hamar kommune skulle oversende følgende dokumentasjon: Rutiner for når det må innhentes samtykke fra elever og foresatte for behandling av personopplysninger. Rutiner for informasjon til elever og foresatte om hvilke opplysninger som lagres i læringsressurser på nett og hva som lagres om eleven ved bruk av skolens/kommunens IKT-utstyr og -ressurser. Rutiner for innsyn i opplysninger som er lagret ved bruk av læringsressurser på nett. Rutiner for om/når elevopplysninger skal slettes. Skolens IKT-reglement, og evt. avtale mellom elev og skole om bruk av IKTressurser. Risikovurderinger av læringsressurser på nett, elevers bruk av skolens/kommunens IKT-utstyr og -ressurser, og elevers bruk av eget IKT-utstyr på skolens nett. Rutiner for informasjonssikkerhet: a) En beskrivelse av informasjonssystemet inkludert konfigurasjonskart b) En oversikt over læringsressurser på nett som brukes av skolen (for eksempel Kikora, Kartleggeren, Cyberbook) c) En beskrivelse av tilgangsstyring til læringsressursene på nett. d) Sikkerhetsinstrukser e) Driftsrutiner Databehandleravtale med leverandører av læringsressurser på nett. Følgende dokumenter ble sendt Datatilsynet datert 4. mars 2014: Administrativt årshjul Pedagogisk årshjul Informasjon om Itslearning og Mobilskole Prosedyre for foresattes innsynsrett i egne barns opplysninger på LMS Tilgangsstyring VOKAL Profiler Itslearning Rutinehåndbok for behandling av persondata i Hamarskolen IKT-regler for grunnskolen Risikovurdering av læringsplattformer i Hamar inkludert tiltak og ansvar Risikovurdering av Vokal inkludert tiltak og ansvar Risikovurdering av bruk av egen PC i skolen inkludert tiltak og ansvar Risikovurdering av personopplysninger i skolen Forside IKT sikkerhet fra internkontrollsystemet eqs Hedmark IKT - sonemodell brannmurer Support for Feide Tilgangsstyring til digitale læringsressurser på Ajer ungdomsskole Dokumentasjon datatilsynet o Opprettelse elevkontor Hamar o Tilgang datasystemer, elevkonto i Active Directory, AD o Tilgang til Feide 2 av 13

3 o Backup o Loggføring Teknisk plattform fra IKT-strategi for Hamarskolen Beskrivelse av grensesnitt SATS IKT sikkerhetsstrategi for Hamar kommune Opplæringsskriv IKT sikkerhet for Hamar kommune Prosedyre for registrering av elevidenter med faste passord Prosedyre for innsyn i arbeidstakers e-post og filområder Bruk av bærbart utstyr - prosedyre Sosiale medier - kjøreregler Sletting og retting av personopplysninger - prosedyre Iverksettelse eller opphør av behandlinger - prosedyre Håndtering av dokumenter med sensitivt innhold - prosedyre Prosedyre for risikovurdering - personopplysninger Prosedyre for informasjonsplikt ved innsamling av personopplysninger Bruk av telefaks - prosedyre Databehandleravtaler: o Mobilskole o Itslearning o Conexus (PULS) o Conexus (VOKAL) o Cyberbook o IST o Hedmark IKT Sikkerhetsavtale med Hedmarken IKT Under kontrollen ble følgende dokumenter overlevert: Informasjon om personopplysninger knyttet til elever i grunnskolen med samtykkeskjema om publisering av bilder Gjennomført risikovurdering av personopplysninger i skolen Etter kontrollen ble følgende dokumenter sendt Datatilsynet i e-post datert 21. mars 2014: E-post fra Hedmark IKT om logging Behandlinger i skolen Prosedyre for sikring av elevers personopplysninger ved bruk av uautoriserte læremidler på nett Nedlastbare programmer fra server hos HIKT Feidetjenester i Hamarskolen En detaljert agenda ble oversendt Hamar kommune på e-post før kontrollen. 3 av 13

4 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikten til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for skoleeiers behandling av personopplysninger ved skolene. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Hamar kommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Vi så særskilt på om kommunen hadde kontroll på følgende: Hvilke opplysninger som registreres om elevene i forbindelse med bruk av læringsressurser på nett, og ved bruk av kommunens/skolens IKT-utstyr og -ressurser (jf. personopplysningsloven 14 og personopplysningsforskriften kapittel 3). Ansvarsavklaringer og bruk av databehandlere ved bruk av læringsressurser på nett, jf. personopplysningsloven 2 nr. 4 og 5, og 15. Sikkerhetsledelse, jf. personopplysningsforskriften 2-3 Risikovurdering, jf. personopplysningsforskriften 2-4 annet ledd Ajer ungdomsskole bruker følgende læringsressurser på nett: Creaza Cyberbook Gyldendal undervisning Kart i skolen Kor Arti Lokus MatteMestern.no Moava NRK Skole PULS Viten.no VOKAL Av IKT-utstyr så har de tilstrekkelig med PC er til alle (mange stasjonære, få bærbare). Det er beregnet to elever pr PC. Elever kan ha med egen PC og koble til elevnettet. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningsloven 14 En behandlingsansvarlig har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 4 av 13

5 5.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Beslutningsprosessen er fordelt mellom Hamar kommune og Ajer ungdomsskole. Dersom det er behov for digitale ressurser, meldes behov inn til Forvaltningsteam Nord. Forvaltningsteamet er en del av Hedemarken IKT (HIKT) og teamet består av IKT ansvarlige fra Hamar, Stange og Løten kommune. Samarbeidsorganene er forankret i alles strategi. HIKT må ha tjenesteavtale med kommunen om drift av et produkt. Skolene kan ta egne avgjørelser dersom en digital ressurs ikke har store driftskonsekvenser eller økonomiske utgifter. Behandlingsansvaret er plassert. Det gjøres sentrale innkjøp ved Forvaltningsteam Nord, men som kan initieres lokalt ved skolene. Oversikt over behandlinger gjøres i kommunen. Personopplysningsforskriften 2-3 understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Det er rådmannen i Hamar kommune som er å anse som behandlingsansvarlig for den behandlingen av personopplysninger som foretas på Ajer ungdomsskole. Den behandlingsansvarliges daglige plikter er gitt til systemeier. Kommunens sikkerhetsledelse består av rådmannen, rådmannens ledergruppe, leder Hamar IKT og IKT sikkerhetskoordinator. Datatilsynet har ikke konstatert avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved 5 av 13

6 virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Hamar kommune har oversikt over behandlinger av personopplysninger. Oversikten over behandlinger inneholder alle elementer som er nødvendige etter personopplysningslovens krav. Vi har i tillegg fått tilsendt oversikt over hvilke tjenester som er tilgjengelig gjennom Feide, og kan konstatere at oversikten over behandlinger ikke inkluderer digitale læringsressurser som behandler personopplysninger. Hamar kommune må inkludere alle digitale læringsressurser som behandler personopplysninger i oversikten. Mangelfull oversikt over behandlinger av elevopplysninger som foretas innenfor Hamar kommune sin virksomhet, er et avvik fra personopplysningsloven 14 og 13, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter 6 av 13

7 personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Hamar kommune har utarbeidet rutiner for å gi foresatte innsyn i egne barns opplysninger på LMS. Ajer ungdomsskole har faste regler for utlevering av elevmapper. De har merket mer konflikter mellom foreldre med delt foreldreansvar. De har derfor skjerpet rutinene med at det skal være signatur fra begge foreldre. De får beskjed dersom en forelder ikke skal ha innsyn. Informasjon om dette får de overført fra barneskolen, og etterspør informasjon fra den forelderen som de har adresse på. Hamar kommune har rutiner for innsyn, men disse bør bearbeides til å inkludere henvendelser fra andre enn foresatte (f.eks. advokater, forsikringsselskap), etter foresattes fullmakt. Forespørsel om innsyn fra enhver generelt om skolens behandlinger skal være i samsvar med personopplysningsloven 18 første ledd. Delkonklusjon Mangelfullt dokumenterte rutiner for å gi innsyn fra andre enn foresatte, er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. 7 av 13

8 Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Skolen sender brev til foresatte med utskrift av registrert personinformasjon på registrerte familiemedlemmer. Foresatte bes kontrollere at innholdet er korrekt og returnere skjemaet med korrekte opplysninger om noe må endres. Dette gjøres i september måned i hvert år. Hamar kommune gir ut en kontrakt om IKT-regler for grunnskolen. Her står det at all datatrafikk ved den enkelte skole kan bli logget. Når en elev logger seg på det trådløse gjestenettet får de tildelt IP-adresser. Det er 14 dagers lagring av IP-adresser. Det logges ikke elevenes bruk av Internett. Fra gjestenettet har de ingen tilgang til skrivere og interne ressurser. Det er kun på skolens klientmaskiner de har tilgang til ressurser og hjemmeområde. Profilen på PC blir slettet når de logger seg av. HIKT logger feilmeldinger på servere, switcher, firewaller og enkelt systemer som mailscanner. Loggene lagres i 21 dager (feilmeldingslogg på switcher og firewall) og to måneder (mailscanner). På skolens klientmaskiner logges det diverse informasjon i AppSense. Ingenting er koblet mot bruker og sier bare status om program o.l. Det er ingen overvåking av elevenes bruk, og logging er kun for drift og sikkerhet, og knyttes ikke til enkeltelever. Tilgang til logger er kun av administratorbrukere i HIKT med personlige identer. Det gis ingen informasjon om hva de digitale læringsressursene brukes til. Skriftlig informasjon om de digitale læringsressursene må forbedres. Skolen kan bruke flere kanaler for å gi informasjon til elever og foresatte: Itslearning, hjemmeside, og brosjyrer. Skolen må informere om hva slags type logging som gjøres. De må også informere om hva formålet med loggingen er, hva loggene brukes til, identifiserende/avidentifiserende opplysninger, hvem som har tilgang til loggene, og hvor lenge loggene lagres. Det kan også være positivt om skolen forteller hva de ikke bruker loggene til. Samlet sett er den informasjonen som gis for mangelfull til at den oppfyller kravene som stilles i personopplysningsloven og personopplysningsforskriften. Delkonklusjon Mangelfullt dokumenterte rutiner for informasjon til den registrerte/foresatte er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. 8 av 13

9 Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Hamar kommune har skriftlige rutiner for sletting av personopplysninger i skoleadministrativt system og læringsplattform. Det er beskrevet i Rutinehåndbok for behandling av persondata i Hamarskolen og det finnes en egen rutine i internkontrollsystemet EQS. Personopplysninger slettes etter ett år i skoleadministrativt system og på læringsplattformen (Itslearning). I Cyberbook har de et begrenset antall lisenser. Når det er nytt kull, må de frigjøre antallet lisenser. Det ligger en automatisk slettejobb for det, og det skjer før skolestart. Identene blir slettet, men de vet ikke om det blir slettet helt fra Cyberbook. HIKT har rutiner for sletting av driftslogger. Hamar kommune må få klarhet i om det fortsatt ligger personopplysninger hos Cyberbook og andre digitale læringsressurser etter at identer er slettet. Regelverket krever at det finnes skriftlige rutiner for sletting av personopplysninger. Vi mener at kommunens og skolens rutiner med hensyn til sletting i digitale læringsressurser, er mangelfulle fordi de ikke er skriftliggjort. Delkonklusjon Mangelfullt dokumenterte rutiner for sletting av personopplysninger i digitale læringsressurser, er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c Mangelfullt dokumenterte rutiner for innsyn, informasjon til den registrerte og sletting, er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d og c. 5.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 13

10 konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Hamar kommune har oversendt styringsdokumentet IKT sikkerhetsstrategi for Hamar kommune. Den beskriver sikkerhetsmål og sikkerhetsstrategi, sikkerhetsrevisjon og rutiner for informasjonssikkerhet. Datatilsynet har ikke konstatert avvik. Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette fremgikk i dokumentasjon og under kontrollen. Hamar kommune har etablert en sikkerhetsorganisasjon og en egen enhet som skal ivareta sikkerhetsmål og sikkerhetsstrategi i skolesektoren. Ajer ungdomsskole er også kjent med denne sikkerhetsorganisasjonen. Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal 10 av 13

11 sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Det finnes sentrale rutiner for gjennomføring av risikovurderinger. Det er også gjennomført risikovurderinger av læringsplattform, VOKAL, bruk av egen PC, og personopplysninger. Det er ikke gjennomført risikovurdering av Cyberbook eller andre digitale læringsressurser. De risikovurderingene, som vi har fått oversendt, er godt gjennomtenkt og inneholder mange varierte scenarioer og sikkerhetstiltak. Tiltakene er i stor grad organisatoriske og bør utvides til å inkludere også tekniske tiltak, slik som sterk autentisering (to-faktor) der det er behov. Hamar kommune må gjøre risikovurdering av Cyberbook og digitale læringsressurser. Kravet til risikovurderinger er knyttet til informasjonssystemer hvor det behandles personopplysninger. Selv om det ikke er intensjonen at personopplysninger behandles i alle systemene nevnt ovenfor, må virksomheten vurdere risikoen det utgjør å ta disse i bruk fra informasjonssystemet hvor det behandles personopplysninger. Manglende gjennomføring, og dokumentasjon av risikovurdering av Cyberbook og andre digitale læringsressurser, er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at sikkerhetsrevisjon av skolen gjennomføres jevnlig. HIKT har brukt de siste 2,5 årene på å bygge opp en ny felles plattform for alle kommunene (samok). Det er nå planlagt å ta en kontroll og sikkerhetsrevisjon av denne våren Datatilsynet har ikke konstatert avvik. 11 av 13

12 5.2.5 Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Datatilsynet har fått tilsendt dokumentasjon på etablerte sikkerhetstiltak. Opprettelse av elevkonto foregår i SATS. HIKT bruker NetIQ s IDM løsning for brukerhåndtering. Elevkonto i AD blir automatisk opprettet dersom nødvendige data ligger i IDM. Elever blir også opprettet i en lokal Feide-base etter samme prinsipper. HIKT benytter Tivoli Storage Manager til håndtering av backup. Det er etablert driftsrutiner for å ivareta sikkerheten på skolens IKT-utstyr og nett, og det blir logget autorisert og uautorisert bruk. Det finnes system for avvikshåndtering. Vi har fått tilsendt sonemodell med brannmurer inntegnet og beskrivelse av tilgangsstyring til digitale læringsressurser. I VOKAL har alle lærerne tilgang til alle elever. Dette kommer frem av et dokument over tilganger i VOKAL, samt som en risiko i den gjennomførte risikovurderingen av VOKAL. Tilgangsstyringen til VOKAL må begrenses til å være relasjonsstyrt. En lærer skal kun ha tilgang til vurderinger om elever man er kontaktlærer/faglærer til. Tilgangsstyringen i VOKAL gir ikke tilfredsstillende informasjonssikkerhet. Dette er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-1, 2-2, 2-11 og Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, 12 av 13

13 jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Hamar kommune har inngått avtale for bruk av Itslearning, SATS, Mobilskole, PULS, Vokal, Cyberbook, og IKT-drift med Hedmark IKT. Hamar IKT har tatt i bruk følgende tjenester uten at det er avklart om disse tjenestene forutsetter behandling av personopplysninger og inngåelse av databehandleravtale: Creaza, Gyldendal undervisning, Kart i skolen, Kor Arti, Lokus, MatteMestern.no, Moava, NRK Skole, og Viten.no. Databehandleravtalen med Cyberbook er mangelfull og må revideres. Formålet må brytes opp og beskrive tilgangsstyring hos databehandler (kun de med tjenstlig behov skal ha tilgang, og brukerkonti med tilgang bør være personlig for å ivareta muligheten for sporing). Videre må avtalen beskrive hva som lagres, hvor opplysningene lagres, om opplysningene deles med tredjepart, og spesifisere sletting av elevopplysninger når elevene slutter på skolen eller et samtykke trekkes tilbake. Mangelfull databehandleravtale for bruk av Cyberbook er et avvik, jf. personopplysningsloven 15 og 13, jf. personopplysningsforskriften Manglende vurdering og avklaring av om bruk av Creaza, Gyldendal undervisning, Kart i skolen, Kor Arti, Lokus, MatteMestern.no, Moava, NRK Skole, og Viten.no forutsetter behandling av personopplysninger og inngåelse av databehandleravtale, er et avvik, jf. personopplysningsloven 14 og 15, jf. personopplysningsforskriften 3-1 og På generelt grunnlag vil Datatilsynet påpeke plikten til å avklare om de digitale læringsressursene som skolen tar i bruk på Internett behandler personopplysninger og om en slik bruk i så fall krever at det inngås databehandleravtale. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 13 av 13