Foreløpig kontrollrapport

Transkript

1 Saksnummer: 14/00119 Dato for kontroll: Foreløpig rapport: Endelig rapport: Foreløpig kontrollrapport Kontrollobjekt: Norlandiabarnehagene, Myrertoppen barnehage Sted: Oslo Utarbeidet av: Martha Eike Eirin Oda Lauvset Ylva Marrable 1 Innledning Datatilsynet gjennomførte en kontroll hos Norlandiabarnehagene, Myrertoppen barnehage den 24. februar Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om barnehagens behandling av personopplysninger er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsker vi å undersøke barnehagens håndtering av opplysningene om barna som behandles i barnehagens informasjonssystemer, og eventuelle andre digitale plattformer som brukes pedagogisk og/eller for å kommunisere med foresatte. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Trude Brandal, daglig leder Myrertoppen barnehage - Aina Tryggan Nyrèn, pedagogisk leder Myrertoppen barnehage - Cathrine Fragell Darre, pedagogisk leder Myrertoppen barnehage 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver - Ylva Marrable, rådgiver 3 Oversendelse av informasjon Datatilsynet ba i varselet om at følgende dokumentasjon ble oversendt: Rutiner for innhenting av samtykke fra foresatte når det gjelder personopplysninger om barna (bilder, kartleggingsverktøy, overføring av opplysninger til skole og lignende). Rutiner for informasjon til foresatte og hvilken informasjon som lagres i kommunikasjonsplattformen og eventuelt kartleggingsverktøy. 1 av 16

2 Rutiner for innsyn i opplysninger som er lagret ved bruk av kartleggingsverktøy. Rutiner for om/når barnas personopplysninger skal slettes. Risikovurderinger som er gjort før det ble besluttet at kommunikasjonsplattform og kartleggingsverktøy skulle tas i bruk. Oversikt over systemenes utforming: a) Et konfigurasjons- eller systemkart hvor kommunikasjonsplattform og eventuelt kartleggingsverktøy er inntegnet. b) En beskrivelse av kommunikasjonsplattformen og hva den brukes til c) En beskrivelse av kartleggingsverktøyet og hva det brukes til d) En beskrivelse av hvem som har tilgang til opplysningene i henholdsvis kommunikasjonsplattformen og kartleggingsverktøyet, og hvordan disse tilgangene blir styrt. Databehandleravtale med leverandør av kommunikasjonsplattform og eventuelt kartleggingsverktøy. Navn og funksjon på de som deltar fra barnehagen under kontrollen. Følgende dokumentasjon ble sendt Datatilsynet i e-post datert 18. februar 2014: Prosedyre for bildebruk i barnehagen Prosedyre for bruk av blogg i barnehagen Prosedyre for oppbevaring av kontrakter og sensitive opplysninger Prosedyrer for hjemmesiden Prosedyrer for bruk av tekstmeldinger, e-post og Dropbox Samtykkeskjema Prosedyre for bruk av sosiale medier Følgende standardprosedyrer og skjemaer fra kvalitetssystemer (TQM) ble sendt Datatilsynet i e-post datert 18. februar 2014: Handlingsplan personvern Hendelsesbehandling forebyggende og korrigerende tiltak Hendelsesbehandling prosesskart Risikokartlegging prosedyre Innhenting av samtykke prosedyre Samtykke skjema Etter kontrollen ble følgende dokumenter sendt Datatilsynet i e-post datert 25. februar, 26. februar, 3. mars og 4. mars 2014: Beredskapsplaner for Myrertoppen barnehage Kommunikasjon og bildebruk i sosiale medier Avtale med Ikomm Databehandleravtale med Ikomm Databehandleravtale med Private Barnehagers Landsforbund Prosedyre for tilgang til personopplysninger Agenda ble oversendt Myrertoppen barnehage på e-post før kontrollen. 2 av 16

3 Myrertoppen barnehage bruker: Blogg Facebook Flickr Twitter Myrertoppen barnehage bruker ikke kartleggingsverktøy. Dette betyr at problemstillinger i forbindelse med f.eks informasjon om hvilke opplysninger som lagres i denne type dokumentasjon, innsyn og sletting er ikke aktuelle for barnehagen. 4 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 4.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Norlandia barnehagene AS er Norlandia Care Groups divisjon for barnehagedrift, og er et eget aksjeselskap registrert i foretaksregisteret. Det deltok ingen representanter fra administrasjonen i Norlandia barnehagene på Datatilsynets kontroll. Ledelsen i Norlandia barnehagene og ledelsen i Myrertoppen barnehage hadde på forhånd vurdert nødvendigheten av deltakelse fra sentralt hold, og kommet til at barnehagens ledelse kunne håndtere dette selv. Det ble imidlertid oversendt noe dokumentasjon fra selskapets kvalitetssystem (TQM) som inneholder blant annet prosedyrer for innhenting av samtykke, prosedyrer for innsyn, prosedyrer for avvikshåndtering o.l. 3 av 16

4 De rutinene vi har fått oversendt fra sentralt hold bærer preg av at de er tilpasset andre institusjonsformer enn barnehage. Blant annet inneholder prosedyren for sosiale medier en fråråding til ansatte om å bli «venn» med beboere på våre hjem og hoteller. Vi fikk opplyst at dette har sammenheng med at barnehagedrift er en relativt ny del av Norlandia Care Group sin portefølje, og at rutinene derfor ikke er blitt tilpasset senarioer fra barnehagehverdagen. Rutinene er generelle og inneholder ingen retningslinjer som tyder på at de er egnet til å være en del av en internkontroll for behandling av personopplysninger. De har dermed ingen verdi for barnehagene som retningslinjer for hvilke rutiner som kreves utarbeidet for å oppfylle personopplysningsloven og personopplysningsforskriftens krav. Vi fikk opplyst at kvalitetssystemet hvor rutinene er hentet fra ble innført i august Ledelsen i Norlandia barnehagene AS har opplyst at de avventer utarbeidelse av rutiner tilpasset barnehagedrift til resultatet fra Datatilsynets kontroll foreligger. Avklaring av hvem som er behandlingsansvarlig er en nødvendig del av internkontrollen etter personopplysningslovens 14. Videre følger dette av personopplysningsforskriften 2-3 som understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Datatilsynet legger til grunn at det er øverste ledelse i Norlandia barnehagene AS som er å anse som behandlingsansvarlig for den behandlingen av personopplysninger som foretas i Myrertoppen barnehage. Det er altså ledelsen i Norlandia barnehagene AS som skal sørge for en sikkerhetsorganisering med klare roller, ansvar og myndighet. Ved å signalisere at internkontroll for behandling av personopplysninger i barnehage skal utarbeides kan det sies at Norlandia barnehagene AS erkjenner sitt behandlingsansvar etter loven. Det er imidlertid ikke mye av den skriftlige dokumentasjonen som er blitt oversendt i forbindelse med kontrollen som tilsier at Norlandia barnehagene AS har vært seg dette ansvaret bevisst. Vi forventer normalt at ivaretakelsen av behandlingsansvaret manifesterer seg i organisasjonskart og klart definerte roller og ansvarsområder. Norlandia barnehagene AS har tatt i bruk et kvalitetssystem som inneholder prosedyrer for internkontroll. Systemet inneholder imidlertid pr i dag få prosedyrer og rutiner som er egnet til å oppfylle pliktene i personopplysningsloven 14. Dette er noe som taler i retning av at en forsvarlig sikkerhetsorganisasjon ikke er etablert for behandling av personopplysninger i barnehagene. Myrertoppen barnehage har utarbeidet lokale rutiner for sin virksomhet, men disse har ingen forankring i Norlandia barnehagene AS sentralt. Det at barnehagen selv må utarbeide prosedyrer uten føringer fra sentralt hold er noe som taler i retning av at roller og ansvar ikke er helt avklart. 4 av 16

5 Slik vi vurderer det har ikke Norlandia barnehagene AS etablert et internkontrollsystem og en sikkerhetsledelse som oppfyller personopplysningslovens krav. At ledelsen i Norlandia barnehagene AS opplyser at de avventer utarbeidelse av rutiner tilpasset barnehagedrift til etter Datatilsynets kontroll underbygger en slik konklusjon. Konklusjon Mangelfull avklaring av behandlingsansvar, roller og ansvar etter personopplysningsloven er et avvik fra personopplysningsloven 14 og personopplysningsloven 13, jf. personopplysningsforskriften Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt, jf. personopplysningsloven 14. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsloven 13, jf. personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Norlandia barnehagene AS har ikke en oversikt over behandlinger av personopplysninger som foretas i barnehagene som hører inn under deres virksomhet. Dette betyr at virksomheten ikke har oversikt over hvilke rettslige grunnlag de enkelte behandlinger av personopplysninger er basert på, hvilke informasjonssystemer som lagrer personopplysninger, hvem som har tilgang til de enkelte opplysningene eller når de enkelte opplysningene skal slettes. En slik oversikt finnes heller ikke for Myrertoppen barnehages behandlinger av personopplysninger om barn og foresatte. Datatilsynet mener at Norlandia barnehagene AS sin mangelfulle oversikt over hvilke behandlinger av personopplysninger som foretas i barnehagene, og hvilke informasjonssystemer som brukes, er å anse som et avvik fra personopplysningsloven og personopplysningsforskriftens krav. Vi bemerker at det ikke må være én oversikt som omfatter hele virksomheten, men Norlandia barnehagene AS må etablere et system som sørger for oversikt over behandlingene, og at detaljer kan hentes inn fra underliggende oversikter. 5 av 16

6 Konklusjon Mangelfull oversikt over behandlinger av personopplysninger som foretas innenfor Norlandia barnehagene AS sin virksomhet, er et avvik fra personopplysningsloven 14 og 13, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å sørge for gyldige samtykker til behandling av personopplysninger etter 8 og 9, gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Samtykke Enhver behandling av personopplysninger må baseres på et rettslig grunnlag, jf. personopplysningsloven 11, jf. 8 og 9. Personopplysningsloven angir en rekke behandlingsgrunnlag hvorav samtykke og hjemmel i lov er utgangspunktet. For at et samtykke skal være gyldig må det være frivillig, uttrykkelig og informert, jf personopplysningsloven 2 nr. 7. Behandlingsansvarlig har en plikt til å ha oversikt over hvilke rettslige grunnlag de ulike behandlinger av personopplysninger som foretas er basert på. For de behandlinger som er basert på samtykke er det spesielt viktig å sørge for at det blir gitt tilstrekkelig informasjon til at den registrerte forstår hva det samtykkes til, og at informasjonen som gis er objektiv. Norlandia barnehagene AS har ingen dokumenterte rutiner for hvilke behandlinger av personopplysninger som skal baseres på samtykke, hvordan samtykke innhentes eller kontrolleres. I Myrerskogen barnehage baseres følgende behandlinger av personopplysninger på samtykke: utlevering av personopplysninger til skolen ved overgang til skolen utlevering av personopplysninger til eksterne hjelpeinstanser (barnevern, PPT, etc) ta bilder filme bruke bilder (differensiert i forsendelse pr. mail, henges opp i barnehagen, presse, portrettfotograf, publisering på hjemmeside). utlevering av kontaktopplysninger til portrettfotograf 6 av 16

7 publisering på blogg Myrerskogen barnehage bruker ikke kartleggingsverktøy. Etter vår vurdering har ledelsen ved Myrertoppen barnehage gjort en kvalifisert vurdering av hvilke personopplysninger om barna de må ha samtykke fra de foresatte for å behandle. Samtykkeerklæringene er godt forståelige samtidig som de er differensierte nok til at foresatte kan ta kvalifiserte valg med hensyn til hvordan de ønsker at opplysninger om barna skal behandles. Det at Norlandia barnehagene ikke har overordnede rutiner for hvilke behandlinger som skal baseres på samtykke er likevel et avvik, og en praksis som medfører fare for at det blir tilfeldig hva de ulike barnehagene i konsernet innhenter samtykke for. Myrertoppen barnehage bruker som nevnt ikke verktøy for kartlegging av barnas atferd, språk etc.. I den grad barnehager eid av Norlandia barnehagene bruker kartleggingsverktøy mener vi at det må utarbeides rutiner for å innhente samtykke for slik kartlegging. Delkonklusjon Manglende dokumenterte rutiner for innhenting og kontroll av de registrertes samtykke er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav a Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Norlandia barnehagene AS har ingen dokumenterte rutiner som gjelder innsynsbegjæringer. Under kontrollen mottok Datatilsynet en rutine for innsyn utarbeidet for Myrertoppen barnehage. Denne rutinen ble laget som en følge av Datatilsynets varsel om tilsyn. Daglig leder i barnehagen opplyser at de sjelden opplever krav om innsyn i opplysninger om barna. I de få tilfellene det kommer krav håndteres dette av daglig leder. Dette er en innarbeidet rutine, men som ikke er skriftliggjort. Datatilsynet mener det er viktig for ivaretakelsen av barnas personvern at barnehager har tydelige og lett tilgjengelige rutiner for hvordan begjæringer om innsyn i barnas opplysninger 7 av 16

8 skal håndteres. Barnehager lagrer opplysninger om barn som er relevante og interessante for flere aktører, for eksempel forsikringsselskaper og advokater som håndterer barnefordelingssaker. Det er heller ikke unaturlig at andre i barnets omsorgskrets enn den/de som har foreldreansvaret kan henvende seg for å få opplysninger. Dette kan være biologisk forelder uten foreldreansvar eller foreldres nye partnere. I slike situasjoner er det viktig at barnehagen har klare retningslinjer for hvem som har rett til innsyn. Det er positivt at Myrertoppen barnehage har utarbeidet en prosedyre som skal gjelde for innsyn i personopplysninger i barnehagen. Den foreliggende prosedyren er imidlertid for generell, og gir ingen veiledning med hensyn til hva en ansatt som mottar en innsynsbegjæring skal foreta seg. Daglig leder i barnehagen opplyser om at de sjelden opplever krav om innsyn i opplysninger om barna. I de få tilfellene det kommer krav håndteres dette av daglig leder. Dette er en rutine som med fordel kan gjøres skriftlig. Norlandia barnehagene AS må uansett utarbeide overordnede, skriftlige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. I den grad de enkelte barnehagene innenfor virksomheten opplever særskilte problemstillinger med hensyn til hvem som ber om innsyn, eller har behov for egne rutiner for håndtering av innsyn, må det vurderes hvorvidt den overordnede rutinen skal tilpasses den enkelte barnehage. Delkonklusjon Manglende dokumenterte rutiner for innsynsbegjæringer er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. 8 av 16

9 Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Norlandia barnehagene AS har ingen dokumenterte rutiner for hvordan og når informasjon gis til foresatte om hvilke personopplysninger barnehagen behandler. Daglig leder i barnehagen opplyser at foreldremøte er en arena hvor det blir gitt informasjon til de foresatte, men at det varierer hva som blir tatt med på disse møtene. Barnehagens bruk av blogg kan være tema, men det er ikke et fast punkt på agendaen. Det er ikke gitt noe skriftlig informasjon om barnehagens behandling av personopplysninger generelt eller barnehagens bruk av blogg spesielt. Møter i SU, og referat fra slike møter, er også en kilde til informasjon til foresatte. Hittil har ikke behandling av personopplysninger vært tema på SU møter. Informasjon om hvor, hvorfor og hvordan personopplysninger blir behandlet er grunnleggende for ivaretakelsen av personvernet. Dersom en registrert ikke får informasjon om at personopplysninger behandles, får vedkommende heller ikke mulighet til å stille spørsmål ved nødvendigheten av at disse opplysningene lagres, hvor mange som har tilgang til dem, hvordan de er sikret osv. I sammenheng med inngåelse av avtale om barnehageplass er det særlig viktig å informere om hvilke opplysninger som det er nødvendig for barnehagen å ha for å oppfylle avtalen, og hvilke opplysninger som det er opp til den enkelte foresatte å bestemme om barnehagen skal ha (samtykke). Det er dessuten viktig å informere om hvorfor barnehagen innhenter visse opplysninger (formål), om de vil bli utlevert, og eventuelt hvem som er mottaker. Lagringstid og når opplysningene vil bli slettet er også viktig for foresatte å vite. Barnehagen har en plikt til å informere om alle former for behandling av personopplysninger som gjøres i barnehagen. Kontrollen som ble foretatt denne gangen var imidlertid konsentrert om kommunikasjonsplattformer og kartleggingsverktøy. Norlandia barnehagene AS må utarbeide overordnede, skriftlige rutiner for hvordan foresatte skal informeres om barnehagenes behandling av personopplysninger. I den grad de enkelte barnehagene innenfor virksomheten har særskilte informasjonssystemer må informasjonen som gis tilpasses den enkelte barnehage. For Myrertoppens del vil det være naturlig å utarbeide informasjon om bruken av bloggverktøy, Facebook, Twitter, Flickr, DropBox og evt. andre verktøy/applikasjoner som behandler personopplysninger. Barnehagen har gode prosedyrer for å sørge for at bildene de tar er så lite personidentifiserende som mulig. Ansatte blir f.eks instruert i å ha fokus på aktiviteten og ikke individene når det tas bilder. Datatilsynet mener imidlertid at det er misvisende å bruke begrepet «anonymisert» om bildene som tas. At et bilde er anonymt innebærer at det ikke skal være mulig å identifisere personen på bildet. Dette betyr at dersom et barn som er avbildet lar 9 av 16

10 seg identifisere av ansatte eller foresatte vil bildet ikke være anonymt. Under kontrollen sa barnehagens ansatte selv at det ofte er lite som skal til for å vite hvem som er på bildet det kan være nok med en litt særegen lue eller en del av skjorteermet. For at informasjonen om bildebruken skal være presis nok er det bedre å bruke uttrykk som «ikke gjenkjennbar» eller lignende. Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til foresatte om barnehagens behandling av personopplysninger er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Norlandia barnehagene AS har ingen dokumenterte rutiner for hvordan og når personopplysninger skal slettes. I Myrertoppen barnehage sine prosedyrer er sletting nevnt i tilknytning til bildebruk og oppbevaring av kontrakter og sensitive personopplysninger. Eksempel på dokumenter med sensitive personopplysninger er rapporter fra tverrfaglig ressursteam. Når det gjelder bildebruk er føringene: - minnekort skal slettes når bilder er overført datamaskin - bilder som tas med privat telefon/kamera skal slettes etter at bildet er sendt foreldre, eller senest før den ansatte forlater barnehagen - bilder slettes innen 30. august hvert år på barnehagens datamaskiner Når det gjelder oppbevaring av andre personopplysninger: - kontrakter oppbevares i 10 år med hjemmel i bokføringsloven - rapporter fra tverrfaglig ressursteam oppbevares i 10 år ingen anført hjemmel - andre opplysninger om barnet slettes når det slutter i barnehagen Norlandia barnehagene AS må utarbeide overordnede, skriftlige rutiner for sletting. I den grad de enkelte barnehagene innenfor virksomheten har personopplysninger hvor det vil gjelde særskilte sletteregler må rutiner tilpasses for den enkelte barnehage. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 16

11 Myrertoppen barnehage har laget noen rutiner som gjelder for bildebruk som er et godt utgangspunkt. Barnehagens ledelse opplyser om at rapporter fra tverrfaglig ressursteam oppbevares i barnehagen i 10 år i samsvar med kommunens praksis. Datatilsynet gjør oppmerksom på at kommunens plikt til å oppbevare denne type dokumentasjon følger av arkivloven, og at det i utgangspunktet kun er offentlige organer som er forpliktet etter arkivloven. Riksarkivaren har i brev til Private barnehager landsforbund av redegjort for arkivverkets tolking av private barnehagers arkivplikt. I dette brevet konkluderer Riksarkivaren med at private barnehager ikke plikter å følge reglene som gjelder for offentlige arkiver med mindre Riksarkivaren har fattet vedtak etter 19 i arkivloven. Et slikt vedtak må i så fall fattes ovenfor hver enkelt barnehage. Riksarkivaren har ikke fattet vedtak om arkivplikt for Myrertoppen barnehage. Barnehagens formål med behandlingen av disse opplysningene er knyttet til barnets opphold i barnehagen. Når barnet er sluttet i barnehagen er barnehagens formål med behandlingen av disse opplysningene følgelig gjennomført. Med mindre Norlandia barnehagene og Myrertoppen barnehage kan fremlegge et rettslig grunnlag for videre oppbevaring av dokumentasjon knyttet til enkeltbarn, betyr dette at barnehagen må slette rapporter fra tverrfaglig ressursteam, og evt. annen dokumentasjon fra eksterne hjelpetiltak, når barnet slutter i barnehagen, jf. personopplysningsloven 28. Delkonklusjon Mangelfulle dokumenterte rutiner for sletting av personopplysninger er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. Rapporter fra tverrfaglig ressursteam, og annen dokumentasjon knyttet til enkeltbarn, må slettes når formålet med barnehagens behandling av disse opplysningene er gjennomført, jf. personopplysningsloven Konklusjon Mangelfulle dokumenterte rutiner for oppfyllelse av sine plikter og de registrertes rettigheter er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav a, d og c. Dette gjelder ivaretakelse av personopplysningslovens 8 og 9 om samtykke, 18 om innsyn, 19 og 20 om informasjon, og 28 om sletting av personopplysninger. 4.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel av 16

12 For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse Personopplysningsloven 14 fastslår behandlingsansvarlig sitt ansvar for å sørge for planlagte og systematiske tiltak som er nødvendig e for å oppfylle pliktene i loven. For at tiltakene skal være planlagte og systematiske må det være tydelig hvem som er ansvarlig for sikkerheten. I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Norlandia barnehagene AS har ingen overordnede føringer for bruk av informasjonsteknologi i barnehagene innen virksomheten. Valg og prioriteringer er heller ikke beskrevet i en sikkerhetsstrategi. Det pågår et arbeid med å lage et styringssystem for informasjonssikkerhet. Det opplyses om at det vil bli implementert i etterkant av Datatilsynets kontroll. Det er positivt at virksomheten har signalisert at dokumentasjon av sikkerhetsmål og sikkerhetsstrategi er underveis. Inntil dette er på plass må det imidlertid konstateres avvik på dette punktet. Konklusjon Manglende dokumentasjon av sikkerhetsledelse er et avvik fra personopplysningsloven 14 og 13, jf. personopplysningsforskriften Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal 12 av 16

13 sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Norlandia barnehagene AS har ingen rutine for at informasjonssystemer innen barnehagedrift skal risikovurderes før bruk. Det er heller ikke gjennomført risikovurderinger i forkant av at bloggverktøy, Facebook, Twitter eller andre verktøy ble tatt i bruk Norlandia barnehagene AS må utarbeide overordnede, skriftlige rutiner for risikovurdering av informasjonssystemer som behandler personopplysninger. I den grad det tillates at de enkelte barnehagene innenfor virksomheten tar i bruk særskilte informasjonssystemer, må barnehagene gjøres i stand til å gjennomføre og dokumentere risikovurdering selv. Kravet til risikovurderinger er knyttet til informasjonssystemer hvor det behandles personopplysninger. Selv om det ikke er intensjonen at personopplysninger behandles i alle systemene nevnt ovenfor, må virksomheten vurdere risikoen det utgjør å ta disse i bruk fra informasjonssystemet hvor det behandles personopplysninger. I Myrertoppen barnehage har det vært en diskusjon og en bevisstgjøring omkring kommentarfeltene i bloggverktøyet og Facebook, og at dette er en faktor som barnehagen ikke har kontroll på. Løsningen har blitt at kommentarfeltene overvåkes, og at ansvarlig for bloggen får melding når noe legges ut. Dette er en form for risokovurdering, men den er ikke gjort skriftlig. Det er positivt at Myrertoppen har hatt denne type diskusjon, men uten at risikovurdering innlemmes i det systematiske arbeidet med informasjonssikkerhet, blir det for tilfeldig om det blir gjort eller ikke. Konklusjon Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften av 16

14 Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Konklusjon Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Ikomm drifter løsning for barnehagen hvilket innebærer en Citrix oppkobling til serverpark hos Ikomm. Dokumenter lagres ikke lokalt på pc ene, men på egen filplassering hos Ikomm. Hver avdeling i barnehagen deler en pc hvor det er felles brukernavn og passord. Denne brukes primært for å sjekke e-post til avdelingen. På bloggen er det to ansatte i barnehagen som har tilgang som administrator. Hver base har begrenset mulighet til å legge ut informasjon på bloggen. Alle kommentarer som legges på bloggen må godkjennes før det blir publisert. Bloggen ligger åpent tilgjengelig for alle å lese. På hjemmesiden kreves det innlogging med brukernavn og passord. Her legges det ut ukeplaner, fotoalbum med stemningsbilder fra turer. Det er mulig å sende e-post herfra, men det blir ikke brukt. På Facebook og Twitter postes oppdateringer fra bloggen. Her er det mulig å legge inn kommentarer og administrator får beskjed med en gang noe blir lagt inn der. I følge de ansatte skal det godt gjøres at kommentarer blir liggende lenge før det blir fjernet. Myrertoppen barnehage har oversendt driftsavtale med Ikomm. Denne avtalen er fra 2010 og er inngått mellom Norlandia care og Ikomm. Den beskriver løsninger for Norlandia care sykehjem og pasienthoteller. Det finnes ingen beskrivelse av løsning for barnehage, og Myrertoppen barnehage er heller ikke nevnt i oversikten over tjenestesteder. 14 av 16

15 Datatilsynet mener at Norlandia Barnehagene AS må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Dette gjelder eksempelvis tilgangskontroll, avvikshåndtering, logging, sletting og taushetsplikt. I tillegg må informasjonssystemet dokumenteres i form av konfigurasjonskart og driftsrutiner. Konklusjon Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Opplæring I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Det finnes ingen sikkerhetsinstruks for brukerne av systemet. Det finnes prosedyrer for bruk av blogg, hjemmeside, bildebruk, oppbevaring av kontrakter og sensitive opplysninger. Disse prosedyrene blir fulgt når de ansatte skal læres opp. Prosedyrene bør utbedres med tanke på bruk av ord og uttrykk. Det blir nevnt at bilder skal være anonymisert. Dette bør endres til f.eks. «ikke gjenkjennbar». Det står også skrevet at «barnas beste skal være rettesnor». Det bør klargjøres hva som er «barnas beste». Sikkerhetsrutiner for brukere, ledere og sikkerhetsansvarlige må utarbeides. Videre må de ansatte læres opp. Konklusjon Manglende opplæring i bruk av IT i barnehagen er avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet. Dette følger av personopplysningsloven 13, jf. personopplysningsforskriften av 16

16 Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13 første ledd. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Vi har fått tilsendt driftsavtale og databehandleravtale med Ikomm. Databehandleravtalen henviser til driftsavtalen på enkelte områder. Begge dokumentene sier noe om sikkerheten til systemet, at behandlingsansvarlig har tilgang til sikkerhetsdokumentasjon, sikkerhetsmål og sikkerhetsstrategien til Ikomm, samt beskriver avtalen lagring, backup og taushetserklæringer. Vi har fått tilsendt databehandleravtale med Private Barnehagers Landsforbund (PBL). Avtalen henviser til Tjenesteavtale/Oppdragsavtale. Det er ikke inngått databehandleravtale med Facebook, Blogger/Google, eller Twitter. Driftsavtalen med Ikomm beskriver løsninger for Norlandia care sykehjem og pasienthoteller. Den beskriver ikke hva som er Myrertoppen barnehages løsning. Det finnes ingen oversikt over hvilke personopplysninger som Ikomm behandler på vegne av barnehagen. Det mangler informasjon om at behandlingsansvarlig skal ha tilgang til sikkerhetsrevisjon av informasjonssystemet, og det er ikke beskrevet rutiner for sletting. Databehandleravtalen med PBL beskriver ikke hvilke personopplysninger som behandles, men henviser her til Tjenesteavtale/Oppdragsavtale. En slik avtale har vi ikke sett. Norlandia Barnehagene AS må selv vurdere om en slik avtale godt nok beskriver hvilke personopplysninger som behandles. Avtalen beskriver at behandlingsansvarlig har tilgang til sikkerhetsdokumentasjon og sikkerhetsrevisjoner. Avtalen mangler informasjon om hvor data lagres. Avtalen beskriver videre at data slettes ved avtalens opphør, men det bør også dokumenteres rutiner for når personopplysninger slettes dersom det initieres sletting fra barnehagen underveis i avtaleperioden. Avtalen er ikke signert av noen av partene. Slik barnehagen bruker sosiale medier, ser vi det ikke nødvendig å inngå egne databehandleravtaler med Facebook, Google (Blogger) eller Twitter, men vi forutsetter at Norlandia Barnehagene AS kjenner innholdet i personvernerklæringene (Privacy policies) og baserer sine risikovurderinger på dette. Konklusjon Mangelfull databehandleravtale med Ikomm og Private Barnehagers Landsforbund er avvik, jf. personopplysningsloven 15 og 13, jf. personopplysningsforskriften På generelt grunnlag vil Datatilsynet påpeke plikten til å ha databehandleravtaler. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 16 av 16