ABC i personvern for skoler og skoleeiere. En kort innføring i personopplysningsloven med forskrift
|
|
- Alfhild Arntzen
- 8 år siden
- Visninger:
Transkript
1 ABC i personvern for skoler og skoleeiere En kort innføring i personopplysningsloven med forskrift veiledning
2 Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra til at bruken av IKT i skolen styrker kvaliteten på undervisningen, øker elevenes læringsutbytte og utvikler deres læringsstrategier. Målgrupper for senteret er barnehagen, grunnskolen og videregående opplæring, i tillegg til førskolelærer- og lærerutdanningen. 2 Senter for IKT i utdanningen / Utgitt 2011
3 Innhold Innledning 4 Personopplysninger i skolen 4 Utviklingstrekk i skolen 4 Veiledningens formål og innhold 5 01 Personopplysningsloven med forskrift 6 Sentrale begreper 6 Personopplysninger 6 Sensitive og alminnelige personopplysninger 7 Anonyme opplysninger 8 Behandling av personopplysninger 8 Den registrerte 8 Den behandlingsansvarlige 8 Databehandler 9 02 Den registrertes rettigheter Den behandlingsansvarliges plikter Personvernkrenkelser i skolen 14 3
4 Innledning Personopplysninger i skolen Utviklingstrekk i skolen Personopplysninger er opplysninger eller vurderinger som kan knyttes til en bestemt enkeltperson. Slike opplysninger behandles i mange forskjellige sammenhenger i grunnopplæringen. De behandles for eksempel når individuelle opplæringsbehov kartlegges, elevenes kompetanse måles og vurderinger gis, opplæringen dokumenteres, brudd på ordensreglementet sanksjoneres, lærevansker utredes, vedtak om spesialundervisning fattes, individuelle opplæringsplaner utformes, halvårsrapporter skrives, omsorgssvikt rapporteres, fravær registreres, elev- og foreldresamtaler gjennomføres eller permisjonssøknader vurderes. Skolens behandling av personopplysninger innebærer at den forvalter mye kunnskap om hver enkelt person ansatte, elev og foreldre/foresatte som er tilknyttet institusjonen. Dermed har skolen og skoleeier også ansvar for å håndtere denne kunnskapen på en måte som gjør at personvernet til den enkelte ikke utsettes for krenkelser. Personvernkrenkelsene handler om at den enkelte har mistet kontrollen med hvordan skoleeier eller skolen gjør bruk av opplysningene om han/henne. Eksempler på dette kan være: Skolen publiserer bilder av ansatte eller elever på hjemmesiden uten å ha spurt om samtykke til dette. En elev anvender klassekameratens brukernavn/passord til å sende e-post i kameratens navn (identitetstyveri). Flere eksempler diskuteres i siste del av veiledningen. I løpet av de siste årene har skolens personvernansvar økt betydelig. Det skyldes at skolen behandler flere personopplysninger enn tidligere og at opplysningene i økende grad behandles ved hjelp av elektronisk teknologi. Disse endringene henger sammen med to sentrale utviklingstrekk i norsk skole: 1. Nye krav, forventninger og behov: De nasjonale skolereformene på og 2000-tallet (spesielt Kunnskapsløftet) innebærer sterkere vektlegging av at læring skal tilpasses den enkelte elevs forutsetninger. Reformene innebærer også økt vekt på kartlegging av elevenes kompetanse, styrking av arbeidet med å forbedre skolemiljøet, raskere innsats mot elever med lære- eller atferdsvansker og en mer omfattende dokumentasjons- og rapporteringsplikt enn tidligere. Dessuten hevdes det at elever og foreldre/foresatte i økende grad krever dokumentasjon av den opplæringen som er gitt eller den karakteren som ble satt. I tillegg har antallet elever med diagnoser eller særskilte lærevansker økt. Alt dette fører til at skolen behandler flere opplysninger om de som er tilknyttet skoleinstitusjonen enn tidligere. Skolen må for eksempel vite mer om elevene for å kunne gi dem et individuelt tilpasset opplæringstilbud, og flere opplysninger må skrives ned og tas vare på for at skolen skal kunne dokumentere at den har oppfylt sine plikter etter opplæringsloven. 4
5 2. Økende bruk av digital teknologi: Skoleeiere og skoler har investert store summer i informasjons- og kommunikasjonsteknologi (IKT). Det gjelder for eksempel lærer- og elevmaskiner, printere, skoleadministrative systemer, digitale læringsplattformer, pedagogisk programvare, sakarkivsystemer, skytjenester, e-post og Internett. Samtidig er digital kompetanse det å kunne beherske datautstyr og IKT definert som én av fem grunnleggende ferdigheter i de nye læreplanene for skolen. Skoleeiere og skoler må derfor skaffe seg elektronisk utstyr for å gi elevene den opplæringen de har krav på. Veiledningens formål og innhold Dette regnestykket er relativt lite kjent i Skole-Norge. Formålet med denne veiledningen er derfor å gi skoleeiere, skoleledere, lærere og administrativt ansatte en kort innføring i de rettslige reglene som gjelder når skolen behandler personopplysninger ved hjelp av elektronisk teknologi. Veiledningen er delt i fire deler og drøfter følgende spørsmål: Dette fører til at mye av det pedagogiske og administrative arbeidet har tatt spranget fra penn og papir over til datamaskiner og programvare. Dermed blir også personopplysninger om ansatte, elever eller foreldre/foresatte i stadig større grad behandlet i skolens elektroniske systemer. Når vi setter disse to utviklingstrekkene sammen, kan vi lage følgende regnestykke: Skolen behandler stadig flere personopplysninger + økt bruk av elektronisk teknologi i skolen = skoleeiere og skoler plikter å behandle opplysningene i henhold til reglene i personopplysningsloven og personopplysningsforskriften. Del 1: Hva slags krav stilles i personopplysningsloven med forskrift til skolens elektroniske håndtering av personopplysninger? Del 2: Hvilke rettigheter har ansatte, elever og foreldre/ foresatte når det gjelder egne personopplysninger? Del 3: Hvilke plikter har skoleeiere og skoler når de behandler opplysninger om ansatte, elever og foreldre/foresatte? Del 4: Hvordan kan personvernet til ansatte, elever og foreldre/foresatte krenkes i en skolesammenheng? Veiledningen gir et oversiktsbilde over reglene i personopplysningsloven med forskrift, men den drøfter ikke hvordan skoleeiere og skoler kan praktisere reglene på en god måte. Når det gjelder praktiseringen av disse reglene, viser vi til andre informasjonsressurser som er tilgjengelige på hjemmesiden til Senter for IKT i utdanningen. På Datatilsynets hjemmeside finnes utfyllende informasjon, både når det gjelder skolesektoren spesielt og om hvordan lovverket som sådan skal forstås. 5
6 01 Personopplysningsloven med forskrift Personopplysningsloven og personopplysningsforskriften implementerer EUs personverndirektiv fra 1995 i norsk lovgivning. 1 Loven og forskriften trådte i kraft 1. januar 2001 og avløste personregisterloven fra Hensikten med reglene i personopplysningsloven og forskriften er å ivareta personvernet til de som opplysningene gjelder, blant annet privatlivets fred og den personlige integriteten. Disse hensynene blir forsøkt ivaretatt ved å sikre den personen som opplysningene gjelder, en viss innflytelse over hvordan andre gjør bruk av hans/hennes personopplysninger. Lovverket gjelder når opplysninger om ansatte, elever og foreldre/foresatte behandles elektronisk. Loven og forskriften gjelder også når opplysninger om den enkelte inngår (eller er ment å inngå) i manuelle personregistre, for eksempel papirbaserte elev- eller personalmapper. Lovverket gjelder ikke bare i skolen eller offentlig forvaltning, men i nesten alle sektorer og bransjer hvor personopplysninger behandles elektronisk. Opplysninger som formidles muntlig eller skrives ned på papir, reguleres ikke av lovverket (så lenge papiret ikke inngår i manuelle personregistre). Det samme gjelder opplysninger som brukes til rent private eller personlige formål. Legg også merke til at personopplysninger som publiseres i skoleaviser, ikke omfattes av lovverket. Datatilsynet gir informasjon om og fører kontroll med at reglene i lovverket overholdes. 2 Hvert år gjennomfører Datatilsynet stedlige kontroller av hvordan skoleeiere praktiserer reglene i personopplysningsloven med forskrift. Hvis reglene ikke overholdes, kan Datatilsynet ilegge ulike typer sanksjoner. Det kan være alt fra pålegg om retting av regelbrudd til overtredelsesgebyr, tvangsmulkt eller politianmeldelse. Vedtak fattet av Datatilsynet, for eksempel pålegg om retting av regelbrudd, kan klages inn for Personvernnemnda. 3 Nemnda vil enten opprettholde Datatilsynets vedtak eller oppheve hele eller deler av vedtaket. Sentrale begreper Personopplysningsloven med forskrift inneholder en rekke begreper som det er nyttig for skoleeiere og skoler å kjenne til. Nedenfor følger en kort gjennomgang av de viktigste begrepene i lovverket. Personopplysninger Det mest sentrale begrepet i personopplysningsloven og forskriften er «personopplysninger». Med personopplysninger menes all informasjon og alle vurderinger som kan knyttes til en bestemt enkeltperson. 4 Personopplysningene kan foreligge i form av tekst, bilder, film, video eller lydopptak. Navn, adresse, alder, telefonnummer, e-postadresse og fødselsnummer er eksempler på personopplysninger. Opplysninger om elevenes underveis- og sluttvurderinger, fravær, anmerkninger, faglig progresjon, spesielle undervisningsbehov, atferdsmønstre og sosiale evner vil være personopplysninger. E-post mellom skole og hjem som inneholder opplysninger om individuelle forhold, for eksempel elevenes opplæring, atferd, fravær, osv., er person-opplysninger. Det samme gjelder opplysninger om innlevering av og innholdet i elevarbeider, og besvarelser på prøver og eksamener. Hvis det lages dokumenter i tilknytning til elev- eller foreldresamtaler, vil disse inneholde personopplysninger. Også bilder, videoer eller lydfiler som legges ut på 1 Loven og forskriften er tilgjengelige på 2 Se Datatilsynets hjemmesider på Datatilsynets oppgaver fremgår av personopplysningsloven Se Personvernnemndas hjemmesider på Her finnes blant annet en oversikt over saker som nemnda har behandlet og reglene om klageadgang. 4 Se personopplysningsloven 2. 6
7 7 skolens hjemmeside eller i den digitale læringsplattformen, og hvor enkeltpersoner kan gjenkjennes, er eksempler på personopplysninger. Legg merke til at personopplysningsbegrepet omfatter mye mer enn de typiske personalia navn, adresse, fødselsnummer, telefonnummer, osv. som registreres og vedlikeholdes i det skoleadministrative systemet eller i skoleeiers lønnsog personalsystem. Det innebærer at skolens elektroniske behandling av personopplysninger ikke begrenser seg til disse IT-systemene. Det vil også foregå behandling av personopplysninger i den digitale læringsplattformen, på hjemmesiden, i elevenes og de ansattes datamaskiner, på minnepenner og andre mobile dataenheter, i e-postkontoer, i pedagogisk programvare og i nettressurser som skolen anvender i opplæringen. Sensitive og alminnelige personopplysninger Personopplysningsloven med forskrift skiller mellom to hovedtyper personopplysninger: sensitive og alminnelige. Med sensitive personopplysninger menes informasjon eller vurderinger knyttet til helse og helserelaterte forhold; etnisk eller rasemessig bakgrunn; politisk, religiøs eller livssynsmessig oppfatning; seksuell legning; strafferettslige forhold og fagforeningsmedlemskap. 5 Alle andre typer personopplysninger regnes som alminnelige. Dette betyr at fødselsnummer ikke er en sensitiv personopplysning. 6 Nedenfor gis noen eksempler på sensitive personopplysninger som ofte behandles i skolen: Informasjon om sykdom og diagnoser, for eksempel i tilknytning til elever med lærevansker. Opplysninger om sykdom som registreres i forbindelse med fravær. Helseopplysninger som behandles i forbindelse med elever med krav på spesiell tilrettelegging ved prøver og eksamener. Informasjon om elevenes sosiale ferdigheter, atferdsmønstre og kommunikasjonsevner. Opplysninger om vanskelige familie- eller hjemmeforhold (slike opplysninger trenger ikke alltid å være sensitive, men de bør likevel behandles med varsomhet). Opplysninger om omsorgssvikt, for eksempel i forbindelse med alkohol- eller rusmisbruk i hjemmet. Opplysninger om de ansattes fagforeningsaktivitet. 5 Se personopplysningsloven 2. 6 Bruken av fødselsnummer er imidlertid regulert av en egen bestemmelse i personopplysningsloven, se 12. Her heter det at slike numre bare skal anvendes når det er saklig behov for sikker identifisering av enkeltpersoner og bruk av fødselsnumre er nødvendig for å oppnå slik identifisering. 7 Melding om bruk av alminnelige personopplysninger og søknad om konsesjon for bruk av sensitive personopplysninger kan utføres på Datatilsynets hjemmeside. 8 Se personopplysningsforskriften Det samme gjelder for opplysninger om barn i barnehager og i skolefritidsordninger (se personopplysningsforskriften 7 21). Et liknende unntak gjelder for behandling av opplysninger om ansatte, se personopplysningsforskriften Opplysninger om straffbare handlinger begått av elever eller ansatte, for eksempel skadeverk, tyveri, seksuelle krenkelser eller omsetning av rusmidler. Informasjon om elever og deres foreldre/foresatte som av religiøse eller livssynsmessige grunner er fritatt fra deler av undervisningen (eller som følger et spesielt undervisningsopplegg). Behandling av sensitive opplysninger regnes som mer inngripende med tanke på personvernet enn behandling av alminnelige personopplysninger. Normalt stilles det derfor strengere vilkår for bruk av sensitive enn for bruk av alminnelige personopplysninger. Et eksempel på dette er at bruk av sensitive opplysninger vanligvis krever konsesjon fra Datatilsynet. Det normale ved bruk av alminnelige personopplysninger er at det kun kreves at Datatilsynet får melding om dette. 7 For skoleeiere er det likevel verdt å merke seg at all bruk av elevopplysninger som er hjemlet i opplæringsloven med forskrifter (eller som skolen har fått samtykke fra elevene eller deres foreldre/foresatte til å bruke), er unntatt fra både melde- og konsesjonsplikten. 8
8 8 Skolen behandler også en rekke opplysninger som ikke regnes som personopplysninger. Eksempler på dette er hel- og halvårsplaner, ukeplaner, budsjetter, ulike typer strategier, generell informasjon til hjemmet eller dagsorden for og referater fra ulike typer møter (samarbeidsutvalg, skolemiljøutvalg, elevråd, foreldreråd, osv.). Disse dokumentene og opplysningene reguleres ikke av reglene i personopplysningsloven med forskrift. Anonyme opplysninger Anonyme opplysninger er ikke et begrep som benyttes i personopplysningsloven med forskrift. Når det likevel tas med her, er det fordi begrepet bidrar til å tydeliggjøre grensen mellom hva som er personopplysninger og hva som ikke er det. Anonyme opplysninger kjennetegnes av at de ikke kan knyttes til en bestemt enkeltperson vi vet ikke hvem opplysningene refererer til og vi har ingen mulighet til å finne ut av det. Slike opplysninger er derfor ikke personopplysninger, og de omfattes dermed ikke av reglene i personopplysningsloven med forskrift. Anonymisering av personopplysninger kan skje ved å fjerne identifiserende informasjon, for eksempel navn og klassetilhørighet, fra innleverte elevoppgaver eller andre typer dokumenter. Den identifiserende informasjonen må fjernes slik at det ikke senere er mulig å knytte en bestemt enkeltperson til oppgaven eller dokumentet. 9 Hvis det gjennomføres spørreundersøkelser på skolen, for eksempel i forbindelse med kartlegginger av det psykososiale miljøet, og hvor de som besvarer spørsmålene ikke oppgir hvem de er, vil dette være anonyme opplysninger. Det må heller ikke være mulig å identifisere vedkommende som har fylt ut spørreskjemaet på bakgrunn av de svarene som han/hun har avgitt. Behandling av personopplysninger Med behandling av personopplysninger menes all bruk eller anvendelse av opplysninger eller vurderinger som kan knyttes til en bestemt enkeltperson. Eksempler på behandlinger av personopplysninger er innsamling, registrering, lagring, publisering, sammenstilling, overføring og sletting av opplysninger om ansatte, elever eller foreldre/foresatte. Skoleeier må ha lovlig grunn til å behandle personopplysninger om ansatte, elever og foreldre/foresatte. Det kan skoleeier enten skaffe seg gjennom et samtykke fra den opplysningene gjelder, 10 ved at opplæringsloven med forskrifter gir skolen anledning til å behandle opplysningene, eller når skolen/ skoleeier kan påberope seg en av nødvendighetsgrunnene som nevnes i personopplysningsloven 8 bokstav a-f. 11 Den registrerte Den registrerte er vedkommende enkeltperson som opplysningene eller vurderingene handler om. I en skolesammenheng vil den registrerte være ansatte, elever og foreldre/foresatte. 12 Den registrerte har rettigheter som skoleeier eller skolen plikter å ivareta (les mer om rettigheter i del 2 av veilederen). Rettighetene har ingen nedre aldersgrense, det vil si at de også gjelder for personer under 18 år. Det betyr at elever i barne-, ungdoms- og videregående skoler har de samme rettighetene som ansatte og foreldre/foresatte. Der hvor det er nødvendig med samtykke fra den registrerte for at skoleeier skal ha lov til å behandle personopplysninger, skal skoleeier eller skolen først informere den registrerte 9 Det finnes også noe som heter pseudonyme opplysninger. Dette er opplysninger hvor identifiserende informasjon navn, klassetilhørighet, osv. er fjernet, men hvor det fortsatt er mulig å finne ut hvem som leverte oppgaven eller prøven. Ettersom det vil være mulig å finne identiteten til vedkommende elev, er oppgaven eller prøven å regne som personopplysninger. Skoleeiere og skoler som anvender tjenester for plagiatkontroll, pseudonymiserer ofte oppgaver eller prøver før de sendes til kontroll. 10 Kravet til samtykke er at det skal være informert, frivillig og uttrykkelig (se personopplysningsloven 2 nr. 7). Den registrerte må derfor vite litt om hva han eller hun samtykker til, det må være full anledning til å nekte å gi samtykke og det skal klart fremgå at samtykke faktisk er gitt. 11 Eksempler på slike nødvendighetsgrunner er at skoleeier må kunne behandle personopplysninger for å utføre en oppgave av allmenn interesse eller at behandlingen er så viktig at dette veier tyngre enn hensynet til den enkeltes personvern
9 (ansatte, elever eller foreldre/foresatte) om hvilke opplysninger de ønsker å bruke og hva opplysningene skal brukes til. Hvis den registrerte ikke gir samtykke til behandling av opplysningene, kan ikke skolen/skoleeier anvende dem. Den registrerte kan kreve erstatning hvis han eller hun har lidd økonomisk eller ikke-økonomisk overlast som følge av at skoleeier har unnlatt å overholde reglene i personopplysningsloven med forskrift. 13 Databehandler Databehandlere tar seg av personopplysninger på vegne av den behandlingsansvarlige, for eksempel ved å drifte IT-systemer på oppdrag fra skoleeier. De fleste leverandører av skoleadministrative systemer og digitale læringsplattformer er databehandlere for skoleeierne. Det samme gjelder for leverandører av skytjenester, blant annet Live@edu og Google Apps for Education. 9 Den behandlingsansvarlige Den behandlingsansvarlige er vedkommende person eller virksomhet som behandler opplysninger eller vurderinger som knytter seg til bestemte enkeltpersoner. 14 I en skolesammenheng er den behandlingsansvarlige skoleeier (kommuner, fylkeskommuner eller frivillige/private virksomheter) og ikke hver enkelt skole. Pliktene i lovverket retter seg mot den behandlingsansvarlige. Dette betyr at personopplysningsloven med forskrift regulerer skoleeieres bruk av opplysninger om ansatte, elever og foreldre/foresatte. Stedlige tilsyn som Datatilsynet gjennomfører hvert år, retter seg mot den behandlingsansvarlige, det vil si mot skoleeier. Det er også skoleeier som straffes hvis skolene ikke overholder reglene i lovverket. I tillegg er det skoleeier som må betale erstatning til ansatte, elever eller foreldre/foresatte hvis de har lidd økonomisk eller ikke-økonomisk overlast som følge av at skolene ikke har overholdt reglene i personopplysningsloven med forskrift. 15 Databehandleren har ingen egen råderett over personopplysningene. Det innebærer at de ikke kan bruke opplysningene på andre måter enn det som er skriftlig avtalt med den behandlingsansvarlige (skoleeier). Skoleeiere er derfor pliktige til å lage en såkalt databehandleravtale med sine databehandlere/ leverandører. 16 I avtalen skal skoleeierne blant annet angi hvilke personopplysninger som leverandøren behandler på vegne av skoleeier, hva leverandørene kan bruke opplysningene til og hvilke krav til informasjonssikkerheten som databehandleren må oppfylle. 17 Hvis skoleeierne ikke har en slik avtale med sine databehandlere (eller hvis avtalen ikke følges opp), er dette i strid med lovverket. 12 Den registrerte vil også være ansatte hos skoleeier som håndterer saker på skoleområdet, for eksempel ansatte i PPT. 13 Se personopplysningsloven I personopplysningsloven 2 heter det at den behandlingsansvarlige bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. 15 Merk at når det gjelder reglene om informasjonssikkerhet (se personopplysningsloven 13 og personopplysningsforskriften kapittel to), er det den daglige lederen hos skoleeier som er ansvarlig for at disse reglene overholdes. I kommuner og fylkeskommuner vil dette være rådmannen. 16 Se personopplysningsloven 15 og personopplysningsforskriften Mal for databehandleravtale er tilgjengelig på aspx 17 Databehandlere har også et selvstendig ansvar for at informasjonssikkerheten ivaretas. Dette fremgår av personopplysningsloven 13. Se også 15.
10 02 Den registrertes rettigheter Personopplysningsloven inneholder en rekke rettigheter. Hensikten med dem er å styrke den registrertes innflytelse over hvordan den behandlingsansvarlige (skoleeiere) håndterer hans/hennes personopplysninger. Den registrertes rettigheter bygger på følgende retningslinjer: Ansatte, elever og foreldre/foresatte skal få vite hvilke opplysninger om dem som skoleeier behandler og hva opplysningene brukes til; de skal få vite hvordan skoleeier håndterer opplysningene og hvem opplysningene eventuelt videreformidles til; de skal ha mulighet til å påvirke skoleeiers innhenting, bruk og offentliggjøring av opplysningene; de skal få tilgang til egne opplysninger og de skal kunne kreve retting eller sletting av opplysningene. Retten til innsyn i egne opplysninger: Ansatte, elever og foreldre/foresatte har rett til å kreve innsyn i egne opplysninger. Den registrerte kan også be om å få informasjon om hva skoleeier har gjort for å ivareta informasjonssikkerheten til opplysningene. Retten til å kreve retting av opplysninger: Ansatte, elever og foreldre/foresatte kan kreve at skoleeier retter uriktige eller ufullstendige opplysninger om dem selv. Retten til å kreve sletting eller sperring av opplysninger: Ansatte, elever og foreldre/foresatte kan kreve at opplysninger om han/henne som skoleeier ikke har lovlig grunn til å bruke eller som er sterkt belastende, blir slettet eller sperret. 20 I kapittel tre og fire i personopplysningsloven er retningslinjene konkretisert i form av individuelle rettigheter. Følgende er de viktigste: Retten til innsyn: Hvem som helst, også personer uten tilknytning til skolen, har rett til å be skoleeier om å fremskaffe generell informasjon om behandlingen av personopplysninger. Her skal det blant annet informeres om hvilke opplysningstyper som behandles og hva opplysningene brukes til. 18 Retten til informasjon: Når skoleeier/skolen innhenter opplysninger fra den registrerte selv, har han eller hun blant annet rett til å få vite hva opplysningene skal brukes til, om opplysningene vil bli utlevert til andre og hvilke rettigheter den registrerte har etter personopplysningsloven med forskrift. Skoleeier/skolen har en tilsvarende informasjonsplikt når personopplysninger innhentes fra andre enn den registrerte selv (for eksempel fra folkeregistret) Hvilke andre typer informasjon som alle og enhver kan be skoleeier om å fremskaffe, fremgår av personopplysningsloven Se personopplysningsloven 19 og Rettigheter om informasjon, innsyn og retting/endring av opplysninger finnes dessuten i opplæringsloven, for eksempel i forbindelse med vedtak om spesialundervisning. Det er skoleeier som er ansvarlig for at rettighetene ivaretas, men det praktiske arbeidet (for eksempel å innhente samtykke eller gi informasjon og innsyn) er vanligvis delegert til hver enkelt skole. Skolens lovpålagte rådsorganer eller elev- og foreldresamtaler er godt egnede fora til å ivareta mange av rettighetene i personopplysningsloven. Informasjonen til alle og enhver om hvilke typer personopplysninger skolen behandler, hva de brukes til og hvilke rettigheter ansatte, elever og foreldre/foresatte har, kan også gis via skolens hjemmeside. Enkelte av skolens IT-systemer, for eksempel den digitale læringsplattformen, er lagt opp slik at noen av rettighetene kan ivaretas der (blant annet at elever og deres foreldre/foresatte får innsyn i hvilke opplysninger om dem som skolen behandler). 10
11 Et viktig spørsmål er hvem som skal ivareta personvernrettighetene til elever som ikke er myndige. Hvor stor selvstendig råderett skal elevene ha over egne personopplysninger og i hvilken grad kan de anvende rettighetene i lovverket på egen hånd? Svaret på disse spørsmålene avhenger av elevenes alder og modenhet. Elevenes selvstendige anvendelse av egne rettigheter bør derfor utvides etter hvert som de blir eldre. På barne- og mellomtrinnet er det naturlig at foreldrene/foresatte har hovedansvaret for å ivareta elevenes rettigheter. På ungdomstrinnet og i videregående opplæring bør elevene selv ha større ansvar for forvaltningen av egne rettigheter Datatilsynet og Forbrukerombudet har i en felles veileder sagt at elever i alderen år bør ivareta de aller fleste av sine rettigheter selv. 22 Det betyr blant annet at skoleeier bør begrense foreldre/foresattes innsyn i opplysninger om elevene, for eksempel på skolens digitale læringsplattform. Men foreldre/ foresatte har likevel krav på å få tilgang til opplysninger om egne elever som de trenger for å følge opp elevenes skolegang. Hvis det er snakk om å gi samtykke til behandling av personopplysninger, bør elever over 15 år bes om dette. Men hvis det dreier seg om sensitive personopplysninger, er det vanligvis foreldre/foresatte som samtykke bør innhentes fra. Når det gjelder elever under 15 år, vil det være naturlig at foreldrene/ foresatte (i samråd med eleven) gir samtykke, uansett om det dreier seg om sensitive opplysninger eller ikke. 21 For diskusjon av elevers rett til personvern, se 22 Veilederen er tilgjengelig på Vær oppmerksom på at ulike lovverk opererer med noe forskjellige aldersgrenser for når mindreårige helt eller delvis kan opptre på egne vegne. Slike aldersgrenser finnes blant annet i forvaltningsloven (retten til å være part i en forvaltningssak), opplæringsloven (blant annet retten til å klage på sluttvurdering uten skriftlig samtykke fra foreldre/foresatte), vergemålsloven (kompetanse til å inngå avtaler), barneloven (blant annet retten til selv å velge utdanning), sosialtjenesteloven (retten til å være part i sosialsaker) og pasient-rettighetsloven (retten til å samtykke til medisinsk behandling). For nærmere drøfting av spørsmålet om forholdet mellom mindreårige elever og foreldre/foresatte, se veiledningen «Foresattes tilgang til skolens digitale læringsplattform», tilgjengelig på Her drøftes også hvem som skal regnes som foreldre/foresatte til eleven og hvilke opplysninger om eleven som foreldre/foresatte bør ha innsyn i.
12 03 Den behandlingsansvarliges plikter 12 I tillegg til å respektere den registrertes rettigheter, har skoleeier den behandlingsansvarlige en rekke plikter etter personopplysningsloven og forskriften. Følgende er de viktigste pliktene som skoleeier er pålagt å ivareta: Skoleeier må ha lovlig grunn til å behandle personopplysninger. Som vi har sett, kan skoleeier skaffe seg lovlig grunn på tre måter: (1) gjennom samtykke fra den registrerte, (2) ved at opplæringsloven med forskrifter gir skoleeier anledning til å behandle personopplysningene eller (3) hvis skoleeier har en nødvendig grunn til å behandle opplysningene. 23 Skoleeier må ha et konkret og saklig formål med behandlingen av personopplysningene. Dette kan for eksempel være elev- eller personaladministrasjon, opplæring eller å skape et godt læringsmiljø. Skoleeier må ikke anvende personopplysningene til et formål som er uforenlig med det opprinnelige, uten å ha fått samtykke til dette. Det innebærer for eksempel at personopplysninger som brukes for å fatte vedtak om spesialundervisning, ikke kan anvendes til formål som ikke har noe med opplæringen å gjøre uten at det først er gitt samtykke fra eleven selv eller foreldrene/foresatte. Skoleeier skal ikke samle inn flere personopplysninger enn det som er nødvendig for det formålet de skal brukes til. Hvis skoleeier innsamler såkalt overskuddsinformasjon personopplysninger som det ikke er nødvendig at skoleeier bruker skal disse slettes. Skoleeier skal ikke ta vare på personopplysninger lenger enn nødvendig. Det betyr for eksempel at når elevene slutter ved skolen, skal alle opplysninger om dem slettes fra skolens informasjonssystemer. Dette gjelder likevel ikke for opplysninger som arkivloven, opplæringsloven eller annen lovgivning pålegger skolen å ta vare på. Her vil det gjerne være snakk om opplysninger som er av spesiell juridisk eller forvaltningsmessig verdi for skoleeier. Skoleeier skal sørge for at kvaliteten på de personopplysningene som behandles, er god. Det innebærer at opplysningene skal være tilstrekkelige og relevante med tanke på det de skal brukes til. Skoleeier skal også sørge for at opplysningene er oppdaterte og korrekte. Skoleeier skal sørge for informasjon til den registrerte: Skoleeier skal på eget initiativ gi ansatte, elever og foreldre/ foresatte informasjon om behandling av opplysninger som gjelder dem. Det dreier seg blant annet om hva formålet med bruken av opplysningene er og om de vil bli utlevert til andre. 24 Skoleeier skal sørge for tilfredsstillende informasjonssikkerhet. 25 Det betyr at opplysninger om ansatte, elever og foreldre/foresatte skal sikres mot at de kommer uvedkommende i hende, at de endres eller redigeres av uvedkommende og at de er tilgjengelige for alle som har rettmessig behov for å bruke opplysningene. Skoleeier skal gjennomføre såkalte risikovurderinger for å avdekke om personopplysningene er tilfredsstillende sikret. Hvis risikovurderingen viser at informasjonssikkerheten ikke er tilfredsstillende, plikter skoleeier eller skolen å iverksette sikringstiltak Hva som regnes som nødvendighetsgrunner fremgår av 8 og 9 i personopplysningsloven. 24 Ovenfor har vi sett at plikten til å gi informasjon gjelder både når skoleeier samler personopplysninger fra den registrerte selv og når opplysningene innhentes fra andre enn den registrerte (se personopplysningsloven 19 og 20). 25 Se personopplysningsloven 13 og personopplysningsloven kapittel to. 26 Senter for IKT i utdanningen har utgitt veiledningen «Sikker håndtering av personopplysninger i skolen», om informasjonssikkerhet og risikovurderinger for grunnopplæringen. Den er tilgjengelig på På Datatilsynets hjemmesider ( finnes ytterligere informasjon om informasjonssikkerhet og risikovurderinger.
13 Skoleeier skal inngå avtaler med databehandlere som håndterer personopplysninger på vegne av skoleeier. Det kan for eksempel gjelde leverandører av skoleadministrative systemer, digitale læringsplattformer og skytjenester. Skoleeiere skal etablere internkontroll for å forsikre seg om at bestemmelsene i personopplysningsloven med forskrift overholdes av skolene. Internkontrollen skal blant annet sikre at kvaliteten på personopplysninger som anvendes i skolen er god og at rettighetene til ansatte, elever og foreldre/foresatte respekteres Skoleeiere har også plikter på enkelte spesielle områder, for eksempel hvis fjernsynsovervåkning tas i bruk på skolens område. 28 Skoleeiere som anvender skytjenester, må dessuten være oppmerksom at enkelte av tjenestene befinner seg i utlandet. Dette er av betydning fordi det finnes regler i personopplysningsloven med forskrift om hvilke land som skoleeiere kan overføre personopplysninger til. 29 Hovedregelen er at det ikke vil være anledning til å overføre personopplysninger til land som ikke har like gode personvernregler som de vi finner innenfor EU/EØS-området. På visse vilkår kan det likevel være anledning til å overføre personopplysninger til slike land, for eksempel hvis den registrerte har samtykket til overføringen. 30 Datatilsynet fører oversikt over hvilke land utenfor dette området som det likevel er lov å overføre personopplysninger til Se personopplysningsloven 14 og personopplysningsforskriften kapittel tre. På Datatilsynets hjemmeside ( finnes et omfattende informasjons- og veiledningsmateriale som forklarer bestemmelsene om internkontroll. 28 Se personopplysningsloven kapittel sju og personopplysningsforskriften kapittel åtte. 29 Se personopplysningsloven kapittel fem og personopplysningsforskriften kapittel seks. 30 Se personopplysningsloven Datatilsynet har laget en generell veileder om bruk av skytjenester. Den er tilgjengelig på aspx
14 04 Personvernkrenkelser i skolen 14 Personopplysningsloven med forskrift skal sørge for at den registrertes personvern ikke krenkes når opplysninger om han eller henne behandles elektronisk eller når opplysningene inngår i manuelle personregistre. Slike krenkelser kan oppstå når rettighetene til ansatte, elever eller foreldre/foresatte ikke respekteres og når skoleeier ikke overholder sine rettslige plikter. Nedenfor følger noen typiske eksempler på personvernkrenkelser i en skolesammenheng. Listen over eksempler på personvernkrenkelser kunne vært lengre og sett annerledes ut. Men eksemplene gir forhåpentligvis en indikasjon på hvilke hendelser som kan innebære krenkelser av personvernet, det vil si hva rettighetene og pliktene i lovverket har til hensikt å unngå. 32 Eksemplenes fellesnevner er at den registrerte ansatte, elever eller foreldre/foresatte ikke lenger har særlig innflytelse over hva som skjer med egne personopplysninger. Personvernkrenkelsene handler derfor om at den registrerte har mistet kontrollen med hvordan skoleeier eller aktører i skolen gjør bruk av opplysninger om han eller henne. Følgende situasjoner fører til at de registrerte ikke har like god kontroll med egne personopplysninger som lovverket krever at de skal ha: Elever plasserer programvare på lærerens pc som henter ut personopplysninger fra maskinen uten at læreren vet om det. Elever skaffer seg tilgang til lærerens private mappe på skolens digitale læringsplattform. Elever skaffer seg tilgang til rektors e-postkonto. Skolen publiserer bilder av ansatte eller elever på hjemmesiden uten å ha spurt om samtykke til dette. En elev anvender klassekameratens brukernavn/passord til å sende e-post i kameratens navn (identitetstyveri). Elever benytter skoletiden til å publisere feilaktige opplysninger om medelever eller ansatte på nettsamfunn som Facebook eller Twitter. 33 Skoleledelsen skaffer seg innsyn i de ansattes e-postkonto uten å ha lovlig grunn til dette. 34 Læreren skaffer seg urettmessig tilgang til elevenes SMS-meldinger. Skolen eller skoleeier informerer ikke ansatte, elever og foreldre/foresatte om hvilke personopplysninger som behandles og hva de brukes til. Ansatte eller elever får ikke innsyn i opplysninger om dem selv som skolen oppbevarer i personal- og elevmapper. Skolen eller skoleeier nekter elevene (eller deres foreldre/ foresatte) innsyn i opplysninger om dem som gjelder disiplinære forhold. Skolen eller skoleeier unnlater å endre elevopplysninger som er feilaktige, misvisende eller utdaterte. Skolen eller skoleeier unnlater å slette opplysninger om ansatte eller elever som den ikke lenger har rettmessig grunn til å oppbevare. 32 For mer informasjon om hvilke personvernkrenkelser som barn og unge kan utsettes for, se for eksempel www. dubestemmer.no, og 33 Datatilsynets nettjeneste kan bistå med råd og veiledning til personer i skolen som ønsker å fjerne belastende opplysninger om seg selv fra Internett. 34 Regler for innsyn i de ansattes e-post finnes i personopplysningsforskriften kapittel ni. Her beskrives når det er lov for skoleeier eller skoleledelsen å skaffe seg innsyn i de ansattes e-postkommunikasjon og hvilken fremgangsmåte som skal følges. Reglene gjelder også for innsyn i private filområder på skoleeiers datanettverk og private mapper eller områder i den digitale læringsplattformen. Merk dessuten at kapittel ni i forskriften inneholder et generelt forbud mot overvåkning av de ansattes Internettbruk (se 9-2). Overvåkning av datatrafikk er likevel lovlig når det gjøres for å administrere IT-systemene eller for å ivareta informasjonssikkerheten.
15 Læreren får tilgang til sensitive opplysninger om elever med spesialundervisning som han/hun ikke har tjenestelige behov for å vite om. Skolens elevmapper går tapt fordi arkivskapet ikke er godt nok sikret mot brannskader. Elever får tilgang til det skoleadministrative systemet og endrer opplysninger om karakterer og fravær. Legg merke til at hendelsene ikke bare handler om elevenes eller foreldrene/foresattes rett til personvern. Mange av de personvernmessige krenkelsene som kan oppstå i skolen vil også kunne ramme ledere, lærere eller administrativt ansatte. Enkelte av hendelsene som nevnes ovenfor er relativt enkle å unngå, for eksempel at skolen ber om samtykke før bilder publiseres på hjemmesiden eller at ansatte, elever og foreldre/ foresatte får innsyn i opplysninger som angår dem selv. Andre krenkelser kan det være mer problematisk å gardere seg mot, for eksempel at enkelte elever publiserer feilaktige (og lite flatterende) opplysninger om ansatte eller medelever på nettsamfunn som Facebook og Twitter. Det kan derfor være vanskelig å sikre seg mot alle former for personvernkrenkelser i skolen. Det viktigste er likevel at skoleeiere og skoler har et bevisst forhold til personvern når opplysninger om ansatte, elever og foreldre/foresatte behandles ved hjelp av elektronisk teknologi. Forutsetningen for dette er at bestemmelsene i personopplysningsloven med forskrift er godt kjent i skolesektoren. Da har skoleeiere og skoler skaffet seg et grunnlag for å respektere andres rettigheter og overholde egne plikter. 15
16
Kvalitetssikring av feideforvaltningen. Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen
Kvalitetssikring av feideforvaltningen Senter for IKT i Utdanningen 24.April 2013 Harald Torbjørnsen 3 Hva er målet? Hva må ligge til grunn? Stabil drift Kompetanse til å bruke Kompetanse på pedagogisk
DetaljerPersonvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet
Personvernkrav ved behandling av kundeopplysninger utvalgte emner Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet Disposisjon Innledende bemerkninger om a) personvern b) personopplysning c) personopplysningslovens
DetaljerSaksframlegg. FORSKRIFT - IKT REGLEMENT FOR GRUNNSKOLEN I TRONDHEIM Arkivsaksnr.: 10/20242
Saksframlegg FORSKRIFT - IKT REGLEMENT FOR GRUNNSKOLEN I TRONDHEIM Arkivsaksnr.: 10/20242 ::: Sett inn innstillingen under denne linja Forslag til innstilling: 1. Bystyret vedtar IKT- reglement for grunnskole
DetaljerPersonvern-rett H2016
Personvern-rett H2016 Aktualitet - mål Alle virksomheter som behandler personopplysninger - og det er de fleste - må sørge for å opptre iht. personopplysningsloven. Virksomheten er ansvarlig, og kan ikke
DetaljerSkytjenester og eksterne IT-tjenester i grunnopplæringen
Skytjenester og eksterne IT-tjenester i grunnopplæringen Rettslige krav i personopplysningsloven med forskrift veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan
DetaljerBehandling av personopplysninger. DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger.
Detaljer*Sikkerhetsbehov: K: Konfidensialitet, T: Tilgjengelighet, I: Integritet **Tiltak kan være både organisatoriske og tekniske.
Risikovurdering Læringsplattform (skole) Eksempler på hendelser er basert på Senter for IKT i utdanningens veiledere for Sikker håndtering av personopplysninger. Dette er kun eksempler og den enkelte skoleeier
DetaljerSporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler
Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler Sporveien AS standardvilkår for Databehandleravtaler 1 Generelt Når Leverandør skal behandle Personopplysninger på vegne av Kunden,
DetaljerDatabehandleravtaler
Databehandleravtaler etter personopplysningsloven og helseregisterloven Veileder 26.05.2009 Innholdsfortegnelse DEL I 5 Veileder - databehandleravtaler...6 Datatilsynet...6 Forutsetninger og avklaringer...7
DetaljerBEHANDLING AV PERSONOPPLYSNINGER
BEHANDLING AV PERSONOPPLYSNINGER 1.0 Innledning 1.1 Definisjon av personopplysninger 1.2 Behandlingsansvarlig 1.3 Vilkår for å behandle personopplysninger 1.3.1 Samtykke 1.3.2 Krav om informasjon 1.3.3
DetaljerProsedyre for personvern
Formål: Hensikten med denne prosedyren er å sørge for samsvar med relevant regelverk for vern av personopplysninger. Prosedyren skal også sikre styring, gjennomføring og kontroll av hvordan selskapet håndterer
DetaljerPersonvern og informasjonssikkerhet
Det frivillige Skyttervesen Personvern og informasjonssikkerhet Personvernerklæring Veiledning for skytterlag og samlag Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1
DetaljerFORVALTNINGSDAG KOMPETENT ÅPEN PÅLITELIG SAMFUNNSENGASJERT
FORVALTNINGSDAG 2 28.11.2018 KOMPETENT ÅPEN PÅLITELIG SAMFUNNSENGASJERT HVORFOR HAR VI VALGT DETTE TEMAET? Et område som blir stadig mer aktuelt Fremvekst av informasjonssamfunnet Teknologiutviklingen
DetaljerKan du legge personopplysninger i skyen?
Kan du legge personopplysninger i skyen? 05.05.2015 Datatilsynet Uavhengig forvaltningsorgan Tilsyn og ombud Forvalter personopplysningsloven og forskrifter 40 medarbeidere Faggruppe 1 (justis, bank/finans/forsikring,
DetaljerPersonopplysninger og opplæring i kriminalomsorgen
Personopplysninger og opplæring i kriminalomsorgen 06.05.2016 Tema Hva er personopplysninger Hvordan etterleve pliktene i loven 2 Hvem har ansvaret? «Behandlingsansvarlig» = Fylkeskommunen = skoleeier
DetaljerLydopptak og personopplysningsloven
Lydopptak og personopplysningsloven Innhold: 1 Innledning... 1 2 Bestemmelser om lydopptak... 1 2.1 Personopplysningsloven regulerer lydopptak... 1 2.2 Hemmelige opptak og opptak til private formål...
DetaljerRetningslinjer for publisering av bilder av barn
Retningslinjer for publisering av bilder av barn 1. Ingen barn under 15 på skoler og i barnehager kan fotograferes eller filmes for offentlig bruk, uten at foreldre/foresatte har gitt tillatelse. 2. Rektor/styrer
DetaljerPersonvernforordningen Hva kommer og hva risikerer virksomhetene?
Personvernforordningen Hva kommer og hva risikerer virksomhetene? Emilie Veggeland Knudsen Advokatfullmektig Advokatfullmektig Advokat Kjersti Lyster Ryen Advokat Nye personvernregler i norsk rett EUs
DetaljerKunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet)
Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere Løsningen er Feide (Felles Elektronisk IDEntitet) Senter for IKT i utdanningen har et ansvar for innføring av Feide i grunnopplæringa
DetaljerSporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009.
Sporbarhet og arkivering eller lagring og sletting.. Kim Ellertsen, avdelingsdirektør, juridisk avdeling Datatilsynet Atea 29. September 2009. Disposisjon 1) Innledning a) Kort om Datatilsynets oppgaver
DetaljerPersonvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen
Det frivillige Skyttervesen Del 1 Personvernerklæring Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Etablert: 23/4-2018: Norges Skytterstyre sak 60-2018 Revisjon 1: 10/5-2019 Side 1 av
DetaljerRegistrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger
Registrering og overvåking i fiskeribransjen rettslig regulering og aktuelle problemstillinger Mari Hersoug Nedberg, seniorrådgiver Pelagisk forening, 23. februar 2012 Disposisjon - Personvern et bakgrunnsbilde
DetaljerCloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.
Cloud computing en veileder i bruk av nettskytjenester En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1. april 2011 Innledning Cloud Computing, heretter kalt Nettskyen, er en
DetaljerHer får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet.
Undervisningsvurdering noen juridiske forhold Her får du få svar på sentrale spørsmål knyttet til vurderingsarbeidet. Teksten er ikke uttømmende, men ment som en hjelp i arbeidet. ARTIKKEL SIST ENDRET:
DetaljerBarn og unges personopplysninger: Retningslinjer for innhenting og bruk
Barn og unges personopplysninger: Retningslinjer for innhenting og bruk Barn og unge vil i mange tilfeller ikke evne å se rekkevidden og konsekvensen av å gi fra seg sine personopplysninger. Deres samtykke
DetaljerEUs personvernforordning - hva kreves? #Oppdatert oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye
EUs personvernforordning - hva kreves? #Oppdatert 2017 19. oktober, Radisson Blu Hotel, Bergen Partner advokat (H) Halfdan Mellbye Innhold 1. Personvernforordningen hva er det EU vil og hva er nytt? 2.
DetaljerInnledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten
Innledning til mal for databehandleravtaler ved bruk av tjenester i Dataporten Nedenfor følger mal for databehandleravtaler ved bruk av tjenester som tilbys via Dataporten. Malen kan anvendes av universiteter
DetaljerOM PERSONVERN TRONDHEIM. Mai 2018
OM PERSONVERN TRONDHEIM Mai 2018 HVORFOR ER VI HER? Ny lovgivning Alle snakker om GDPR Rundreise i alle avdelinger Overordnet innføring i regelverket Hva skjer i NHN Hva skjer med Normen OVERSIKT OVER
DetaljerDRI1010 Emnekode. Oppgave Kandidatnummer Dato
Oppgave 1 361 2015-05-05 For å kunne vite hvilken betydningen det har for anvendelsen av personopplysningsloven når det skal behandles sensitive personopplysninger så må man vite hva «sensitive personopplysninger»
DetaljerSikkerhet og personvern i skole og klasserom
Sikkerhet og personvern i skole og klasserom NKUL 2017 Tommy Tranvik Harald Torbjørnsen Vi skal: Øke kvaliteten i det pedagogiske arbeidet med digitale ferdigheter hos barn og unge Øke den digitale kompetansen
DetaljerVedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 8 Databehandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom AtB AS behandlingsansvarlig
DetaljerVedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike Databehandleravtale
Vedlegg 3 til Kontrakt om Resttransport Romerike, Asker og Bærum og timesinnleide biler Nedre Romerike 2019 Basert på Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering
DetaljerEksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)
Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag 30.11.2012 Kl 10-16 (6 timer) Bokmål Oppgave 1. I regjeringens IKT-politikk og spesielt i Digitaliseringsprogrammet er bruk av felleskomponenter
DetaljerKort innføring i personopplysningsloven
Kort innføring i personopplysningsloven Professor Dag Wiese Schartum, Avdeling for forvaltningsinformatikk, UiO 1 Når gjelder personopplysningsloven? Dersom et informasjonssystem inneholder personopplysninger,
DetaljerRollen som databehandler innebærer at vi behandler opplysninger på oppdrag fra den ansvarlige virksomheten (itfag.no).
Personvern Det er viktig for oss at du føler deg trygg når du bruker vår nettsider, tisip.no og itfag.no. Derfor legger vi stor vekt på å beskytte ditt personvern. Denne erklæringen forklarer hvordan vi
DetaljerNettvett. hvordan unngå mobbing på nett. www.utdanningsforbundet.no
Nettvett hvordan unngå mobbing på nett www.utdanningsforbundet.no 1 Om nettvett Internett har åpnet for store muligheter for informasjonsinnhenting og kommuni k asjonsutveksling. Men nettet har også gjort
DetaljerAdressemekling. Innhold INNLEDNING AKTØRENE
Adressemekling Oppdatert februar 2012 Innhold Adressemekling... 1 INNLEDNING... 1 AKTØRENE... 1 1. Når kan man foreta mekling uten samtykke?... 2 2. Når krever bruk av adresselister samtykke?... 3 3. Den
DetaljerVEILEDER GDPR PERSONVERN. DEL 2 - personopplysninger utover ansatteforhold
VEILEDER GDPR PERSONVERN DEL 2 - personopplysninger utover ansatteforhold Nye krav fra 20. juli 2018 Forordningen ble norsk lov og den gjeldende loven ble erstattet. Det nye lovverket styrker forbrukernes
DetaljerVeiledningsdokument for håndtering av personopplysninger i Norge digitalt
Veiledningsdokument for håndtering av personopplysninger i Norge digitalt Informasjon om personopplysninger Formålet med personopplysningsloven Formålet med personopplysningsloven (pol) er å beskytte den
DetaljerInnsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud
Innsyn i og håndtering av sensitiv personinformasjon v/ Kirsti Torbjørnson og Gerd Smedsrud 2 Nye personvernregler i 2018 En forordning og to direktiver om personvern fra 2016 trer i kraft i norsk lovgivning
DetaljerDatabehandleravtale for NLF-medlemmer
Databehandleravtale for NLF-medlemmer I henhold til Europa parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 (heretter GDPR) om vern av fysiske personer i forbindelse med behandling av
DetaljerNye personvernregler
Nye personvernregler Rollen som tillitsvalgt Akademikerforeningenes tillitsvalgtkurs Soria Moria 15. og 16. januar 2018 Ellen Røyneberg, Legeforeningen Agenda Grunnleggende om personvern Personvernforordningen
DetaljerBarn og unges personopplysninger: Veiledning for innhenting og bruk
Barn og unges personopplysninger: Veiledning for innhenting og bruk INNHOLDSFORTEGNELSE 1 INNLEDNING... 4 2 FORUTSETNINGER... 4 3 HOVEDREGEL... 5 4 UTDYPENDE KOMMENTARER... 5 4.1 Sletting...5 4.2 Kontroll
DetaljerDatabehandleravtale. Båttjenester Indre Oslofjord Kapittel 9. Versjon Båttjenester Indre Oslofjord 2021
Kapittel 9 Versjon 1.0 24.05.2019 Databehandleravtale Side 1 av 10 Innhold Databehandleravtale... 3 1 Avtalens hensikt... 4 2 Definisjoner... 4 3 Formål og rettslig grunnlag... 4 3.1 Formål... 4 3.2 Rettslig
DetaljerSLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing. Informasjonssikkerhet og personvern Renate Thoreid
SLA for digitaliseringsalderen: Nettskyer, sikkerhetstjenester og multisourcing Informasjonssikkerhet og personvern Renate Thoreid Formål Driftsavtalen Ved kjøp av driftstjenester knyttet til maskinvare,
DetaljerMin bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...
Personvern - GDPR Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke
DetaljerOppgave 1. DRI1010 Emnekode 7464 Kandidatnummer Dato SIDE 1 AV 6
SIDE 1 AV 6 Oppgave 1 Denne oppgaven handler om lov om behandling av personopplysninger 14. april 2000 nr.31 (heretter pol.eller personopplysningsloven) og lov om behandlingsmåten i forvaltningssaker (heretter
DetaljerEndelig kontrollrapport
Saksnummer: 14/00257 Dato for kontroll: 09.04.2014 Rapportdato: 06.08.2014 Endelig kontrollrapport Kontrollobjekt: Leikanger kommune Sted: Leikanger Utarbeidet av: Ted Tøraasen Knut-Brede Kaspersen 1 Innledning
DetaljerPERSONVERNERKLÆRING FOR STIFTELSEN SIKT
PERSONVERNERKLÆRING FOR STIFTELSEN SIKT 1 Behandling av personopplysninger ved Stiftelsen SIKT Når du er i kontakt med SIKT kan det forekomme at vi innhenter og behandler personopplysninger om deg. Vi
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2.
Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Kompetanse Norge Behandlingsansvarlig og xx Databehandler 1 1. Avtalens hensikt
DetaljerPersonvernveileder. for medlemsbedrifter i Norges Bilbransjeforbund
Personvernveileder for medlemsbedrifter i Norges Bilbransjeforbund (NBF) I denne veilederen gir NBF en oversikt over de viktigste pliktene den enkelte bedrift må overholde når det gjelder personvern. Herunder
DetaljerGo to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.
INF1000/ INF1001: IT og samfunn En liten undersøkelse: Mobil/ nettbrett Siri Moe Jensen Gisle Hannemyr Høst 2016 Go to www.menti.com use the code 47 46 40 Siri Moe Jensen INF1000/INF1001 - Høst 2016 1
DetaljerBedre personvern i skole og barnehage
Bedre personvern i skole og barnehage NOKIOS, 28. oktober 2014 Eirin Oda Lauvset, seniorrådgiver i Datatilsynet Martha Eike, senioringeniør i Datatilsynet Datatilsynet Uavhengig forvaltningsorgan Tilsyn
DetaljerRetningslinjer for databehandleravtaler
Retningslinjer for databehandleravtaler Operativ sikkerhetsdokumentasjon INNHOLDSFORTEGNELSE 1. HENSIKT... 2 2. BEHANDLINGSANSVAR OG DATABEHANDLERAVTALER... 2 2.1 SENTRALE BEGREPER... 2 2.2 HVORFOR ER
DetaljerVedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim
Vedlegg 14 Behandleravtalen Bussanbud Stor-Trondheim 2019-2029 1 Behandleravtale for [billetteringssystem] Denne avtale er inngått mellom AtB AS («AtB») og XXXX («Operatøren») 2 1 Avtalens bakgrunn og
DetaljerPersonvernerklæring. Akasia Barnehage AS
Personvernerklæring Akasia Barnehage AS Personvernerklæring for Akasia barnehage AS Personvernerklæringen gjelder behandling av personopplysninger som brukes når du / dere har barn i Akasia sine barnehager.
DetaljerGDPR. General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018
GDPR General Data Protection Regulation Personvernforordningen, erstatning for personopplysningsloven - fra 2018 en grunnleggende kjedelig men absolutt nødvendig innføring for lag og foreninger i Asker
DetaljerEndringer i universitets- og høyskoleloven og EUs nye personvernforordning
Endringer i universitets- og høyskoleloven og EUs nye personvernforordning Sadia Zaka Juridisk seniorrådgiver Kunnskapsdepartementets tjenesteorgan 13.04.2018 1 Viktige definisjoner/begreper Personopplysning:
DetaljerPersonvernerklæring. Hvorfor behandler vi personopplysninger om deg?
Innhold Personvernerklæring... 1 Hvorfor behandler vi personopplysninger om deg?... 1 Hva er det rettslige grunnlaget for behandlingen av personopplysningene dine... 2 Hvor henter kommunen opplysninger
DetaljerHvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015
Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015 Hva er personvern? Personvern: Retten til et privatliv og retten til å bestemme over egne personopplysninger Datatilsynets
DetaljerGDPR - PERSONVERN. Advokat Sunniva Berntsen
GDPR - PERSONVERN Advokat Sunniva Berntsen Hvorfor personvern? Viktig i et demokratisk samfunn EMK artikkel 8 Enhver har rett til respekt for sitt privatliv og familieliv, sitt hjem og sin korrespondanse.
DetaljerElevenes psykososiale skolemiljø. Til deg som er forelder
Elevenes psykososiale skolemiljø Til deg som er forelder Brosjyren gir en oversikt over de reglene som gjelder for elevenes psykososiale skolemiljø. Vi gir deg hjelp til hvordan du bør ta kontakt med skolen,
DetaljerBehandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned
Standard Databehandleravtale for Nasjonal Sikkerhetsmåned 2018 Databehandleravtale Glasspaper Learning AS Side 1 av 5 1. Avtaleparter Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse
DetaljerVIRKE. 12. mars 2015
VIRKE 12. mars 2015 Agenda Internkontroll etter personopplysningsloven Typiske utfordringer i reiselivsbransjen Informasjonssikkerhet et ledelsesansvar Dokumentasjonskravet Kartlegge behandlingene Plikter
DetaljerPERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)
PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN) Behandling av personopplysninger i Newsec Basale AS Når du bruker nettsiden vår og/eller er i kontakt med oss vil Newsec Basale AS behandle personopplysninger
DetaljerKunnskapsdepartementet ønsker en sikker identifisering av elever og lærere. Løsningen er Feide (Felles Elektronisk IDEntitet)
Kunnskapsdepartementet ønsker en sikker identifisering av elever og lærere Løsningen er Feide (Felles Elektronisk IDEntitet) Senter for IKT i utdanningen har et ansvar for innføring av Feide i grunnopplæringa
DetaljerE-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
Vedlegg 3 til Bransjenorm for behandling av personopplysninger i elektronisk billettering (Bransjenormen) E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)
DetaljerAVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE)
AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I henhold til gjeldende norsk personopplysningslovgivning og forordning (EU) 2016/679 av 27. april 2016, Artikkel 28 og 29, jf. Artikkel
DetaljerBEHANDLING AV PERSONOPPLYSNINGER OG COOKIES PERSONVERNERKLÆRING
BEHANDLING AV PERSONOPPLYSNINGER OG COOKIES - PERSONVERNERKLÆRING Sist endret: 1. mai 2018 1 INNLEDNING Denne Personvernerklæringen er utarbeidet av Danske Capital AS ("Danske Capital") for å sørge for
DetaljerForskrift til ordensreglement for kommunale skoler i Porsgrunn
Forskrift til ordensreglement for kommunale skoler i Porsgrunn Vedtatt i BUK 15.06.16 Hjemmel Utvalg for barn, unge og kultur har i møte 16.06.16, med hjemmel i lov av 17. juli 1998 nr.61 om grunnskolen
DetaljerDatabehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom
Databehandleravtale Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom Statens innkrevingssentral (SI) behandlingsansvarlig og (Inkassoselskapet)
DetaljerKontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer
Saksnummer: 15/00436 Dato for kontroll: 15.06.2015 Rapportdato: 29.06.2015 Kontrollrapport Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer Utarbeidet av: Knut-Brede Kaspersen og Hallstein
DetaljerNy EU-forordning: informasjonssikkerhet. Tommy Tranvik
Ny EU-forordning: informasjonssikkerhet Tommy Tranvik Utgangspunkt Europa-parlamentets og Rådets forordning (EU) 2016/679 av 27. april 2016 om beskyttelse av fysiske personer i forbindelse med behandling
DetaljerVEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE
VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE 1. Avtalens parter og bakgrunn Det vises til avtale ( Hovedavtalen ) mellom takstmann/takstfirma (Databehandler) og Crawford & Company (Norway) AS om at Databehandler
DetaljerEndelig kontrollrapport
Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland
DetaljerSist oppdatert: Rutiner for Gjettum barnehage. Samtykkeerklæring (personvern) 1. Innledning
Rutiner for Gjettum barnehage Samtykkeerklæring (personvern) 1. Innledning Gjettum barnehage SA skal behandle personopplysninger i tråd med personopplysningsloven og personopplysningsforskriften. Under
DetaljerRusmiddeltesting i arbeidslivet et personvernperspektiv
Rusmiddeltesting i arbeidslivet et personvernperspektiv 20.11.2018 Rusmiddeltesting regelverk Personopplysningsloven og personvernforordningen Generelt regelverk Regulerer all behandling av personopplysninger
DetaljerGDPR HVA ER VIKTIG FOR HR- DATA
GDPR HVA ER VIKTIG FOR HR- DATA Ane Wigers og Kjersti Hatlestad VÅRE MEDLEMMER DRIVER NORGE Forordningen stiller tydelige krav til fremgangsmåte ved behandling av personopplysninger Risikobasert tilnærming
DetaljerDeres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014
Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets
DetaljerGDPR - viktige prinsipper og rettigheter
GDPR - viktige prinsipper og rettigheter 11.09.2017 Agenda Bakgrunn for nye personvernregler Viktige prinsipper i forordningen Registrertes rettigheter Hva nå? våre forventninger og råd om veien videre
DetaljerDatabehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS
Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS Innhold Avtalens hensikt...3 Formål...3 Behandlingsansvarliges plikter...4 Databehandlers plikter...4 Bruk av underleverandør...4 Avtale med
DetaljerPERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS
PERSONVERNERKLÆRING FOR ADVOKATHUSET JUST AS Advokathuset Just AS tilbyr advokattjenester til privatpersoner, næringsliv og offentlige institusjoner. For at vi skal kunne gjøre jobben vår og oppfylle vårt
DetaljerBilag 14 Databehandleravtale
Bilag 14 Databehandleravtale Telefoni- og sentralbordtjenester Bilag 12 Databehandleravtale Side 1 av 7 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerPersonvernerklæring. 3) være adekvate, relevante og begrenset til det som er nødvendig for formålene de behandles for («dataminimering»)
Personvernerklæring 1. Om personverndokumentet Dette dokumentet skal bidra til at vi etterlever lov om personopplysninger fra 1.juli 2018. Dokumentet skal også bidra til å påvise at vår behandling av personopplysninger
DetaljerVeileder om hvordan kommuner og skoler systematisk kan håndtere situasjonen der barn ikke møter i grunnskolen
Veileder om hvordan kommuner og skoler systematisk kan håndtere situasjonen der barn ikke møter i grunnskolen 1. Alle barn som er bosatt i Norge har rett og plikt til grunnskoleopplæring Kunnskapsdepartementet
DetaljerGDPR Ny personvernforordning
GDPR Ny personvernforordning Sunndalsøra, 1. mars 2018 Vindel morgenseminar Advokat Martin Marsteen Williams 1. Personopplysninger dagens regelverk 2. GDPR/Personvernforordningen 3. Hvordan oppfylle kravene
DetaljerMandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011 1 1.0 INNLEDNING. Mandal kommune samler inn, oppbevarer og bruker personopplysninger som en nødvendig del for å kunne utføre sine
DetaljerMin bakgrunn: Jurist i 1994 og «IT-advokat» fra 1997 Personvernspørsmål har stadig blitt viktigere i den tiden...
Personvern-rett Aktualitet - mål Alle virksomheter som behandler personopplysninger - dvs. de fleste - må sørge for å opptre iht. gjeldende personvernlovgivning. Virksomheten er ansvarlig, og kan ikke
DetaljerHva er en behandling av personopplysning Alle handlinger som utføres med personopplysninger. Eksempel på handlinger: *lagring av opplysninger
Personvernerklæring for Bø kommune Personvernerklæringen skal gi informasjon til innbyggerne og andre brukere av kommunens tjenester, og bidra til trygghet til at kommunens behandling av personopplysninger
DetaljerNOTAT. Spørreundersøkelser personvern. Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354
NOTAT Til: Landsstyret Fra: Jahn-Arne Olsen Dato: 03.06.2011 Saksnummer: 11-354 Spørreundersøkelser personvern På det siste møtet før landsmøtet behandlet AU en søknad fra Svarte Nattakonferansen om bruk
DetaljerBrukerinstruks Informasjonssikkerhet
STEIGEN KOMMUNE Brukerinstruks Informasjonssikkerhet for MEDARBEIDERE og NØKKELPERSONELL Versjon 3.00 Brukerinstruks del 1 og 2 for Steigen kommune Side 1 av 11 Innhold INNHOLD... 2 DEL 1... 3 INNLEDNING...
DetaljerHer finner du forklaring av begreper som blir brukt knyttet til spesialundervisning og oversikt over hvilke roller de ulike aktørene har.
Ordforklaring og roller spesialundervisning Her finner du forklaring av begreper som blir brukt knyttet til spesialundervisning og oversikt over hvilke roller de ulike aktørene har. ARTIKKEL SIST ENDRET:
DetaljerDatabehandleravtale mellom. ("Oppdragsgiver") "Behandlingsansvarlig" Kommunesektorens organisasjon ("KS") som "Databehandler"
Databehandleravtale mellom ("Oppdragsgiver") "Behandlingsansvarlig" og Kommunesektorens organisasjon ("KS") som "Databehandler" 1. Formålet med avtalen Formålet med denne avtalen er å regulere partenes
DetaljerNår du skal handle noe fra nettbutikken, må du oppgi følgende opplysninger:
Personvernerklæring Denne personvernerklæringen handler om hvordan Magnar Eikeland Gruppen AS samler inn og bruker personopplysninger om deg. (Magnar Eikeland Kontormaskiner AS og Magnar Eikeland Kontorutstyr
DetaljerKonkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale
Versjon 1.0 14.06.2016 Minibuss Follo 2015 Kontrakt Konkurranse om minibusstjenester Vedlegg 8 Databehandleravtale Side 1 Databehandleravtale I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens
DetaljerPersonopplysninger er opplysninger og vurderinger som kan knyttes til deg som enkeltperson.
Personvern Murmestrene Fjeldheim & Knudsen AS fokuserer på å ivareta og beskytte personers personopplysninger og behandler personopplysninger i samsvar med den til enhver tid gjeldende lovgivning. Dette
DetaljerInformasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon
Informasjon om behandling av personopplysninger om frivillige i Kirkens Bymisjon Kirkens Bymisjon består av 12 frittstående stiftelser rundt i Norge. Denne personvernerklæring beskriver hvordan stiftelsene
DetaljerRegler angående personvern for elever og foresatte
Personopplysninger Personopplysninger er enhver opplysning som, direkte eller indirekte, kan knyttes til en enkeltperson. En skiller mellom to typer personopplysninger: 1. Personopplysninger (alminnelige
DetaljerPERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND. 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond
PERSONVERNERKLÆRING FOR STIFTELSEN PRINSESSE MÄRTHA LOUISES FOND 1 Behandling av personopplysninger ved Prinsesse Märtha Louises Fond Når du er i kontakt med stiftelsen Prinsesse Märtha Louises Fond kan
Detaljer