Endelig kontrollrapport

Transkript

1 Saksnummer: 13/00934 Dato for kontroll: Foreløpig rapport: Endelig rapport: Endelig kontrollrapport Kontrollobjekt: Oslo kommune Sted: Bygdøy skole Utarbeidet av: Martha Eike Eirin Oda Lauvset 1 Innledning Datatilsynet gjennomførte en kontroll hos Oslo kommune ved Bygdøy skole den 25. oktober Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var kommunens behandling av personopplysninger ut fra de krav som personopplysningsloven med forskrifter oppstiller. Under kontrollen var det spesiell oppmerksomhet omkring skolens plikter til å ha oversikt over elevopplysninger som behandles i skoleadministrativt system, læringsplattform og andre digitale læringsressurser, samt informasjonssikkerheten rundt disse behandlingene. Kontrollen fant sted ved Bygdøy skole. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Svein G. Olsen, rektor - Kirsti Riise-Hansen, førstesekretær - Liv Asklund, konsulent - Geir Trydal, IKT ansvarlig, Sagene Data (databehandler) - Bjørn Marthinsen, IKT direktør, Utdanningsetaten - Jørgen B. Natvig, fagkonsulent, Utdanningsetaten - Unni Margareth Mortensen, Seksjonssjef og sikkerhetsleder, Utdanningsetaten - Roger Fuglestad, fagkonsulent, Utdanningsetaten - Heidi Randem, seksjonssjef/arkivleder, Utdanningsetaten - Marte S. Fjeld, lærer - Jon A. Solstad, lærer 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver - Trond Haakensen, seniorrådgiver Statsarkivet (observatør) Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt OSLO

2 3 Kort om systemporteføljen i skolene i Oslo kommune Arbeidsverktøy er saksbehandlings- og arkivsystemet Public 360. Her foregår fullelektronisk saksbehandling, og fagsystemer benytter for all arkivering av journalpliktige dokumenter. Skoleadministrativt system SATS Skole Læringsplattform Fronter Prøveadminitrasjon PAS Annet: Kikora, Kunnskap.no, Music Delta 4 Oversendelse av informasjon Datatilsynet ba i varselet om at Oslo kommune oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriften 2-4, f) avviksrutiner, jf. personopplysningsforskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjon ble sendt Datatilsynet i brev datert 17. oktober Det ble også ettersendt noe dokumentasjon. En detaljert agenda ble oversendt Oslo kommune på e-post før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Oslo kommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. 2

3 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Oslo kommune har etablert et internkontrollsystem iht. personopplysningsloven 14. Behandlingsansvaret er dokumentert, blant annet gjennom at ansvar og oppgaver er beskrevet og fordelt i dokumentet «Reglement for informasjons- og kommunikasjonsteknologi og informasjonssikkerhet i Oslo kommune». Datatilsynet har ikke konstatert avvik Implementering av internkontroll Oslo kommune har etter personopplysningsloven 14 plikt til å sørge for at internkontrollsystemet og de tilhørende rutinene er tilgjengelig for alle medarbeidere. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Oslo kommune er klar på at det er kommunens øverste ledelse som har det overordnede ansvaret for at rutiner for oppfyllelse av personopplysningsloven er kjent i hele organisasjonen. Kommunen tilbyr opplæring i internkontrollsystemet og det gis også retningslinjer for bruk av skoleadministrativt system, læringsplattform og arkiv. 3

4 Under kontrollen ble det opplyst at rektorene ved de enkelte skolene er delegert ansvaret for implementering av internkontrollsystemet på den enkelte skole. Kommuneledelsen gjør imidlertid ingen revisjon av om dette er gjort. Internkontroll for behandling av personopplysninger er ikke implementert ved Bygdøy skole. En sentral del av plikten som Oslo kommune har etter personopplysningsloven 14, jf forskriften 3-1 er å sørge for at alle medarbeidere er kjent med hvilke rutiner som gjelder for behandling av personopplysninger. For de delene av organisasjonen som er nært knyttet til Utdanningsetaten i sitt daglige virke kan det være tilstrekkelig å gi opplæring i internkontroll og gjøre det kjent hvor rutinebeskrivelsene er å finne. Etter vår vurdering er imidlertid skolene i kommunen så autonome og selvdrevne at det vil kreves noe mer fra kommunens side for å sørge for at de overordnede rutinene blir implementert her. Kommunen kan for eksempel inkludere spørsmål om implementerte rutiner for behandling av personopplysninger i en årlig revisjon av skolene. Manglende implementering av internkontroll for behandling av personopplysninger ved Bygdøy skole er et avvik fra personopplysningslovens 14, jf. personopplysningsforskriften Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Oslo kommune har utarbeidet oversikt over behandlinger av personopplysninger som foretas innenfor kommunens virksomhet. En spesifisert oversikt over skolens behandlinger av elevopplysninger finnes imidlertid ikke. 4

5 Datatilsynet har ikke konstatert avvik på dette punkt. Det anbefales imidlertid at kommunen eller skolen selv utarbeider en oversikt over behandlinger av personopplysninger som er spesifikk for skolen. Datatilsynet har ikke konstatert avvik Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Oslo kommune har en skriftliggjort, overordnet rutine for innsynsbegjæringer. Bygdøy skole har noen rutiner som gjelder ved innsyn, men disse er ikke dokumentert. Skolen opplyser at de legger til rette for at de som ber om innsyn i personopplysninger får gjøre dette på et egnet sted på skolen (uforstyrret), og at elev/foresatt kan kreve kopi av dokumentene for å ta med seg. Oslo kommune har en rutine for innsynsbegjæringer, men denne er ikke implementert ved Bygdøy skole. Datatilsynet ser dette som en konsekvens av avviket beskrevet under pkt 6.1.3, manglende implementering av internkontroll, og vil dermed ikke konstatere avvik på dette punktet. Delkonklusjon Datatilsynet har ikke konstatert avvik 5

6 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Oslo kommune har ikke dokumenterte rutiner for å gi informasjon til elever og foresatte om den behandling av personopplysninger kommunen/skolen foretar. Skolen har flere kanaler for informasjon til foresatte (Fronter, e-post og hjemmeside). Pr. i dag benyttes ingen av disse kanalene til å gi informasjon om hvor og hvordan skolen håndterer personopplysninger. Rektor informerer om at skolen har tradisjon for å informere foresatte muntlig om hva slags informasjon som legges i den fysiske elevmappen og hvem som har tilgang til denne. Rektor mener også at foresatte er kjent med at de har en rett til innsyn i elevmappen. Skolens ledelse har hittil ikke informert foresatte om hvordan digitalt lagrede personopplysninger om elevene håndteres (f.eks på læringsplattformen). For elever og foresatte er informasjon om hvordan kommunen og skolen behandler personopplysninger en forutsetning for å kunne ivareta sine interesser etter personopplysningsloven. Etter vår vurdering er det nødvendig for oppfyllelsen av personopplysningsforskriften 3-1 tredje ledd bokstav d at Oslo kommune utarbeider en rutine for å informere elever og foresatte om hvordan personopplysninger behandles i Osloskolene. Dette gjelder både manuelt og digitalt behandlede personopplysninger. 6

7 Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til de registrerte er et avvik, jf. personopplysningsloven 14, jf. forskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Oslo kommune har rutiner for sletting av personopplysninger både når det gjelder fysiske arkiv (elevmapper) og digitale arbeidsflater (læringsplattform). Elevmapper skal gjennomgås årlig, mens læringsplattformen skal ifølge rydderutinen gjennomgås halvårlig. Det ble ved tilsynet avdekket at Bygdøy skole ikke har implementert kommunens gjeldende rutine for sletting av personopplysninger. Oslo kommune har en rutine for sletting av personopplysninger, men denne er ikke implementert ved Bygdøy skole. Datatilsynet ser dette som en konsekvens av avviket beskrevet under pkt 6.1.3, manglende implementering av internkontroll, og vil dermed ikke konstatere avvik på dette punktet. Delkonklusjon Datatilsynet har ikke konstatert avvik Mangelfulle dokumenterte rutiner for informasjon til den registrerte er avvik fra personopplysningsloven 14, jf. forskriften 3-1 bokstav d. 6.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side

8 6.2.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Oslo kommunes gjeldende sikkerhetsmål og sikkerhetsstrategi ble godkjent i 2004 og revidert i Etter dette har verken mål eller strategi vært gjenstand for revisjon. Sikkerhetsledelsen for Utdanningsetaten i Oslo kommune erkjenner at mye av det som fremgår av gjeldende sikkerhetsmål og sikkerhetsstrategi er utdatert. Blant annet omtales disketter som lagringsmedium. Representantene fra kommunen informerte under tilsynet om at det for tiden pågår et arbeid for å revidere disse dokumentene. Arbeidet har pågått siden 2011 og er forventet avsluttet innen årsslutt Arbeidet har tatt lengre tid enn forventet da Utdanningsetaten avventer en instruks for informasjonssikkerhet med krav til alle virksomhetene innen kommunen. Denne instruksen skal vedtas av bystyret, men det er uvisst når dette vil skje. Datatilsynet har forståelse for at Utdanningsetaten må forholde seg til retningslinjer som blir gitt fra overordnet hold i kommunen. Datatilsynet mener samtidig at det er avgjørende for ivaretagelsen av informasjonssikkerheten at Utdanningsetaten har rutiner for å gjennomgå egne sikkerhetsmål og sikkerhetsstrategi. Vi mener derfor det er lite tilfredsstillende å avvente revisjon av egne mål og strategier på grunn av et overordnet arbeide som det er uvisst når vil bli ferdig. Mangelfull gjennomgang av sikkerhetsmål og strategi for å kartlegge om disse er hensiktsmessige og gir tilfredsstillende informasjonssikkerhet er et avvik fra til personopplysningsforskriften 2-3. Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette vistes i dokumentasjonen og fremgikk under kontrollen. 8

9 Utdanningsetaten i Oslo kommune har en egen sikkerhetsansvarlig og arbeider også med retningslinjer for hvilke og hvordan digitale nettressurser kan tas i bruk av skolene. Oslo kommune har etablert en sikkerhetsorganisasjon og en egen enhet som skal ivareta sikkerhetsmål og sikkerhetsstrategi i skolesektoren. Bygdøy skole er også kjent med denne sikkerhetsorganisasjonen. Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Oslo kommune har en skriftlig rutine for å vurdere risikoen ved nye informasjonssystem som tas i bruk og som behandler personopplysninger. Risikovurdering er foretatt av SAS og LMS. Oslo kommune har imidlertid ingen reell oversikt over hvilke informasjonssystemer de enkelte skolene tar i bruk. For eksempel har Bygdøy skole tatt i bruk Salaby (Gyldendahl) og Aski Raski. Dette er nettjenester som lagrer opplysninger om elevene, og som kommunen som ansvarlig ikke har oversikt over og som heller ikke er foretatt noen risikovurdering av. Skolens ledelse opplyser at hver enkelt lærer er gitt frihet til å ta selvstendige valg med hensyn til valg av digitale ressurser. Det er inngått noen avtaler om lisenser, men også åpne ressurser er tatt i bruk. Datatilsynet ble under kontrollen informert om at Oslo kommune har besluttet å innføre en rutine for at innkjøp av alle informasjonssystem skal risikovurderes, og arbeidet med dette er igangsatt. Det er imidlertid ikke klart når dette arbeidet blir ferdigstilt. Til tross for at det finnes skriftlige rutiner for risikovurdering av informasjonssystemer er det mye som tyder på at Bygdøy skole ikke har hatt tilstrekkelig med retningslinjer for å gjøre nødvendige avveininger ved valg av digitale nettressurser. Utdanningsetaten har også nylig gjennomført en undersøkelse blant et antall skoler for å kartlegge hvorvidt de har tatt i bruk digitale nettressurser, og eventuelt i hvilket omfang. Svarene på undersøkelsen avslører at en stor andel av skolene har tatt i bruk en rekke 9

10 skybaserte lagringstjenester og andre digitale nettressurser uten at dette er bragt under kontroll. De risikovurderingene som er utarbeidet (LMS og SAS) er etter Datatilsynets vurdering mangelfulle. Scenarioene er få og bærer preg av ensidig fokus. Tilsynsteamet anbefalte under kontrollen at risikovurderinger gjøres som gruppearbeid for å sikre drøftelse av flest mulig scenarier. Datatilsynet ønsker å bemerke at Oslo kommune i løpet av tilsynet har vist at kommunen har vilje til å ta grep for å få oversikt og kontroll med hvilke digitale ressurser på nett som tas i bruk ved skolene. Vi mener likevel det må konstateres avvik på dette punkt fordi det viser seg at avvikene er store på dette området. Manglende gjennomføring og dokumentasjon av risikovurdering av digitale lagrings- og læringsressurser hvor det behandles personopplysninger er et avvik, jf. personopplysningsloven 13, jf. forskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. forskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik 10

11 bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Oslo kommune er i ferd med å bli Feide-sertifisert, og arbeider med å få etablert Feidepålogging til læringsplattformen for ansatte og elever. Pr. i dag benyttes en løsning med integrasjon og autentisering (LDAP) mot den sentrale IKT-driftsløsningen. Foreløpig består påloggingen av brukernavn og passord (svak autentisering). Det er ikke satt noen sperrer for pålogging utenfor skolens nettverk. I praksis er det derfor fullt mulig for ansatte å logge seg på læringsplattformen når og hvor som helst. Det er ikke utført klassifisering av systemene som skolen bruker, slik at kommunen ikke med sikkerhet kan vite hvilke behandlinger som bør være på sikker, intern og åpen sone. Dersom et informasjonssystem, som inneholder personopplysninger om mange elever, skal gjøres tilgjengelig for ansatte fra utsiden av den ansvarlige virksomheten, er Datatilsynets vurdering at det kreves en sterkere autentisering enn brukernavn og passord. Med sterk autentisering menes for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til fagapplikasjonen. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til informasjonssystemet. I læringsplattformen, som er tilgjengelig for ansatte, er det personopplysninger om mange elever som må beskyttes. Den er tilgjengelig for pålogging over Internett med svak autentisering. Dette er ikke tilfredsstillende. Tilfredsstillende informasjonssikkerhet kan for eksempel oppnås ved å utføre klassifisering av systemene som skolen bruker, og dersom det er system som behandler sensitive opplysninger, bør en vurdere om disse skal inn i sikker sone. Svak autentisering for ansattes pålogging til læringsplattform over eksterne nett og på elevnett, gir ikke tilfredsstillende informasjonssikkerhet. Dette er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-1, 2-2, 2-11 og Rutiner for bruk av informasjonssystemer Personopplysningsloven 13, jf. personopplysningsforskriften 2-7 første og femte ledd og 2-8 stiller som krav til den behandlingsansvarlige at det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemene. 2 Teksten er endret noe fra varselet, men endringen består i hovedsak av en presisering og endrer således ikke innholdet i pålegget. 11

12 Personopplysningsforskriften 2-7 femte ledd pålegger at det skal utarbeides skriftlige rutiner for bruken av alle informasjonssystem som inneholder personopplysninger. Videre pålegger forskriften 2-8 andre ledd at alle medarbeidere som bruker informasjonssystemene skal ha nødvendig kunnskap til å bruke disse i samsvar med de rutinene som er bestemt. Oslo kommune har ingen skriftlige rutiner for hva og hvordan læringsplattformen skal, og ikke skal, brukes til. Manglende skriftlige rutiner for hvordan læringsplattformen skal brukes er et avvik, jf. personopplysningsloven 13, jf. forskriften 2-7 første og femte ledd og 2-8 andre ledd. 6.4 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Oslo kommune har ettersendt inngått databehandleravtale med Kikora. Oslo kommune har dessuten etter kontrollen inngått avtale med CGI, Fronter, Music delta og Kunnskap.no. Oslo kommune har bragt under kontroll de databehandlere som skolen har rapportert at de benytter. Dette er positivt, og dersom vi med sikkerhet kunne si at kommunen har full oversikt over hvilke databehandlere som benyttes hadde det ikke vært grunnlag for å konstatere noe avvik på dette punktet. Både Datatilsynets besøk ved Bygdøy skole, og kommunens egen undersøkelse blant skolene, avslører imidlertid at det mest sannsynlig er et antall leverandører av digitale nettressurser som benyttes og som det skulle vært inngått avtale med. Manglende databehandleravtaler er et avvik, jf. personopplysningsloven 15, jf. forskriften