Foreløpig kontrollrapport

Transkript

1 Saksnummer: 14/00140 Dato for kontroll: Foreløpig rapport: Endelig rapport: Foreløpig kontrollrapport Kontrollobjekt: Akershus fylkeskommune, Skedsmo videregående skole Sted: Lillestrøm Utarbeidet av: Eirin Oda Lauvset Rannveig Bakke Tvedten Martha Eike 1 Innledning Datatilsynet gjennomførte kontroll hos Akershus fylkeskommune ved Skedsmo videregående skole den 19. mars Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om fylkeskommunens og skolens behandling av personopplysninger om elevene, er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsket vi å undersøke fylkeskommunens håndtering av elevopplysninger som behandles i digitale læringsressurser på nett, samt opplysninger som elever legger igjen når de bruker fylkeskommunens/skolens IKT-utstyr og -ressurser. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Til stede under kontrollen 2.1 Fra virksomheten: - Bengt Jacobsen, seksjonsleder avd. VGO, Akershus fylkeskommune - John Arve Eide, regiondirektør, avd. VGO, Akershus fylkeskommune - Tor Tyskerud, driftsansvarlig, Skedsmo videregående skole - Anne Edlund, sekretær og arkivansvarlig, Skedsmo videregående skole - Stein Pettersen, rektor, Skedsmo videregående skole - Wench Rudshaug Kavli, fung. assisterende rektor, Skedsmo videregående skole - Kenneth Mathisen-Berg, IKT-ansvarlig, Skedsmo videregående skole - Egon Nybo Skaar, koordinator fellessystemer, Akershus fylkeskommune 2.2 Fra Datatilsynet: - Rannveig Bakke Tvedten, rådgiver - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver 1 av 15

2 3 Oversendelse av informasjon Datatilsynet ba i varselet om at Akershus fylkeskommune skulle oversende følgende dokumentasjon: Rutiner for når det må innhentes samtykke fra elever og foresatte for behandling av personopplysninger. Rutiner for informasjon til elever og foresatte om hvilke opplysninger som lagres i læringsressurser på nett og hva som lagres om eleven ved bruk av skolens/fylkeskommunens IKT-utstyr og -ressurser. Rutiner for innsyn i opplysninger som er lagret ved bruk av læringsressurser på nett. Rutiner for om/når elevopplysninger skal slettes. Skolens IKT-reglement, og evt. avtale mellom elev og skole om bruk av IKTressurser. Risikovurderinger av læringsressurser på nett, elevers bruk av skolens/fylkeskommunens IKT-utstyr og -ressurser, og elevers bruk av eget IKTutstyr på skolens nett. Rutiner for informasjonssikkerhet: a) En beskrivelse av informasjonssystemet inkludert konfigurasjonskart b) En oversikt over læringsressurser på nett som brukes av skolen (for eksempel Kikora, Kartleggeren, Cyberbook) c) En beskrivelse av tilgangsstyring til læringsressursene på nett. d) Sikkerhetsinstrukser e) Driftsrutiner Databehandleravtale med leverandører av læringsressurser på nett. Følgende dokumenter ble sendt Datatilsynet datert 25. februar 2014: AFK-Strategi for informasjonssikkerhet AFK-Håndbok for informasjonssikkerhet AFK-Felles retningslinjer for informasjonssikkerhet-2013/14 AFK-Feide-personvern og samtykke AFK-Feidetjenester i bruk i AFK per februar 2014 AFK-Felles IKT-reglement for elever-alle skoler AFK-Itslearning-informasjon om behandling av personopplysninger-elever AFK-Itslearning-informasjon om behandling av personopplysninger-foresatte AFK-Itlsearning-informasjon om behandling av personopplysninger-lærere AFK-Databehandleravtaler: Itlsearning, Fagbokforlaget-Kartleggeren, Conexus- Vokal, Eplehuset-bestillingsportal-elev-Mac, ATEA-bestillingsportal-elev-PC SVS-Forsvarlig system-referanseliste SVS-Sikkerhetshåndbok SVS-Systemoversikt styringsdokumenter SVS-Innholdsfortegnelse-ny internkontrollperm SVS-HMS-basen-oversikt og status etter kartlegging SVS-Digitale læringsressurser i bruk ved Skedsmo vgs skoleåret 2013/14 2 av 15

3 Under kontrollen ble følgende dokumenter overlevert Datatilsynet: SVS-Blogging på timeplanen AFK-Its learning Informasjon om rett til særskilt språkopplæring for elever fra språklige minoriteter AFK-Avslag på tilbud om kartlegging av norskkunnskaper ihht. Opplæringslovens 3-12 AFK-Retningslinjer og rutiner for særskilt språkopplæring for elever fra språklige minoriteter - Skoleåret AFK-Personvernerklæring Samtykkeerklæring-Samtykke gjeldende publisering av bilder av elever AFK-Huskeliste for elever på digital eksamen AFK-Oversiktstegning datanett i AFK Etter kontrollen ble følgende dokumenter sendt Datatilsynet i e-post datert 25. mars 2014: Oversikt over behandlinger av personopplysninger (skole) Sletterutiner for Itslearning - avklaring av om sletting må gjøres manuelt, eller om det skjer automatisk ved sletting av ident i skoleadministrativt system Redegjørelse for ID-nummer som brukes i Kartleggeren, om det er unik ID fra SATS eller noe annet En detaljert agenda ble oversendt Akershus fylkeskommune på e-post før kontrollen. 4 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikten til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for skoleeiers behandling av personopplysninger ved skolene. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Akershus fylkeskommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Vi så særskilt på om fylkeskommunen hadde kontroll på følgende: Hvilke opplysninger som registreres om elevene i forbindelse med bruk av læringsressurser på nett, og ved bruk av fylkeskommunens/skolens IKT-utstyr og - ressurser (jf. personopplysningsloven 14 og personopplysningsforskriften kapittel 3). Ansvarsavklaringer og bruk av databehandlere ved bruk av læringsressurser på nett, jf. personopplysningsloven 2 nr. 4 og 5, og 15. Sikkerhetsledelse, jf. personopplysningsforskriften 2-3 Risikovurdering, jf. personopplysningsforskriften 2-4 annet ledd Skedsmo videregående skole bruker følgende læringsressurser på nett: Cappelen Deutch Drei - digital lærebok CD-ORD 3 av 15

4 Creaza Kartleggeren Lokus Lokus lærer PULS Smartbok Viten.no VOKAL Av IKT-utstyr så har hver elev tilbud om å kjøpe en PC eller MAC gjennom skolen. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Internkontroll Generelt om personopplysningsloven 14 En behandlingsansvarlig har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i eller i medhold av personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Beslutningsprosessen er fordelt mellom Akershus fylkeskommune og Skedsmo videregående skole. Det har vært en teknisk omlegging fra lokal IKT-drift til sentralstyrt drift. Lokal IKTansvarlig driver mest med brukerstøtte og service for enkeltbrukere. Ved innkjøp av læringsressurser tar skolen kontakt med fylkeskommunen dersom det innbefatter påloggingssystem. Det betyr at skolen kan ta mye i bruk før de tar kontakt med fylkeskommunen. Det meste innebærer ikke innlogging. Dersom det er læringsressurser som flere av skolene vil ha, vurderer fylkeskommunen innkjøp av felles lisens. De kjøper ikke inn til alle, men har en rammeavtale som skolene kjøper inn på. Skolene tar en årlig gjennomgang på hvilke programmer som er i bruk og sender til fylkeskommunen. Det skal avgjøres i ledermøte på skolen før et program tas i bruk. 4 av 15

5 Det finnes ingen nedskreven rutine for at lærere ikke på egenhånd kan ta i bruk en nettbasert tjeneste spontant i timen, men det er kommunisert muntlig at dette skal avklares med skoleledelsen. Elevene kjøper inn PC eller MAC gjennom en avtale som fylkeskommunen har ordnet. De kan også bruke maskin de har fra før. Skolen legger ingenting på de maskinene. De får en brukerident i AD for tilgang til nett. Behandlingsansvaret er plassert. Det gjøres sentrale beslutninger ved Akershus fylkeskommune, men som kan initieres lokalt ved skolene. Oversikt over behandlinger gjøres i fylkeskommunen. Personopplysningsforskriften 2-3 understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Det er fylkesrådmannen i Akershus fylkeskommune som er å anse som behandlingsansvarlig for den behandlingen av personopplysninger som foretas på Skedsmo videregående skole. Sikkerhetsansvarlig er assisterende fylkesdirektør IT og service. Det er altså ledelsen i fylkeskommunen som skal sørge for en sikkerhetsorganisering med klare roller, ansvar og myndighet. Ansvaret for lokale behandlinger er delegert videre til virksomhetsleder, hvilket er rektor ved Skedsmo videregående skole. Datatilsynet har ikke konstatert avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. 5 av 15

6 Akershus fylkeskommune har utarbeidet en oversikt over behandlinger av personopplysninger. Denne oversikten inneholder imidlertid ikke nettbaserte læringsressurser som lagrer personopplysninger. Oversikten over behandlinger inneholder alle elementer som er nødvendige etter personopplysningslovens krav. Vi har imidlertid fått oversikt over hvilke tjenester som er tilgjengelig gjennom Feide, og kan konstatere at oversikten over behandlinger ikke inkluderer digitale læringsressurser som behandler personopplysninger i oversikten. Dette er en mangel ved oversikten. Mangelfull oversikt over behandlinger av personopplysninger som foretas innenfor fylkeskommunens virksomhet er et avvik fra personopplysningsloven 14 og 13, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Akershus fylkeskommune har generelle rutiner for å gi den registrerte innsyn i hvilke personopplysninger som behandles av kommunen. Denne rutinen gjelder generelt for alle kommunens tjenester, og det er ikke laget en egen rutine for skolesektoren. 6 av 15

7 Formålet med å ha en rutine for innsyn i personopplysninger er å sørge for at den som er berettiget innsyn i personopplysninger som virksomheten har får utlevert opplysningene. For å kunne gjøre dette på en forsvarlig måte må de ansatte, som skal levere ut opplysningene, ha klare retningslinjer for hvordan dette skal skje. I utgangspunktet er det ikke noe i veien for å ha en innsynsrutine som er felles for alle tjenestene i fylkeskommunen. Dette fordrer imidlertid at den innsynsrutinen som gjelder er dekkende for de tilfellene av innsynsbegjæringer som er typiske for hver tjeneste. Virksomheter som behandler opplysninger om barn og unge må forholde seg til at begjæringer om innsyn oftest blir gjort av andre enn den registrerte (eleven/barnet). For eksempel kan dette være foresatte (foreldre, bonusmor/far, fosterforeldre, verge, etc), advokat eller forsikringsselskap. Det er da viktig å forsikre seg om for det første at den som ber om innsyn er den vedkommende hevder å være og for det andre har en rett til innsyn i opplysningene. Akershus fylkeskommune har rutiner for innsyn, men disse bør bearbeides til å inkludere henvendelser fra andre enn den registrerte (f.eks. foresatte, advokater, forsikringsselskap), etter den registrerte/foresattes fullmakt. Verken Akershus fylkeskommune eller Skedsmo videregående skole har spesifikke rutiner for å verifisere at den som ber om innsyn er den de sier å være eller for å verifisere at vedkommende har rett til innsyn i opplysningene. Skolen har imidlertid et elevregistreringsskjema som inneholder opplysninger om hvem som har foreldreansvar, og hvem som er berettiget helseopplysninger om eleven. Når en innsynsbegjæring skal håndteres ved skolen vil være naturlig at rutinen viser til elevregistreringsskjemaet for kontroll av hvem som er berettiget informasjon om den aktuelle eleven. Skoleledelsen opplyser at det er praksis for å sjekke elevregistreringsskjemaet når innsynsbegjæringer skal behandles. Denne praksisen er imidlertid ikke skriftliggjort. Når det gjelder begjæring om innsyn fra andre enn foresatte bør det inkluderes en rutine for å innhente skriftlig fullmakt fra foresatte som viser at den som henvender seg er gitt rett til opplysninger om eleven. Samlet sett mener vi at den rutinen som finnes for å gi innsyn i personopplysninger er for generell til å være dekkende for de særskilte typetilfellene av innsynsbegjæringer som kan komme til skolen. Delkonklusjon Mangelfullt dokumenterte rutiner for innsynsbegjæringer er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. 7 av 15

8 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Akershus fylkeskommune har utarbeidet informasjonsskriv om behandling av personopplysninger i Itslearning til elever, foresatte og ansatte. Akershus fylkeskommune har nylig oppdatert og lagt ut en personvernerklæring som ligger på fylkeskommunens nettsider. Lenke til denne finnes fra skolens nettside under Regler og rutiner / Personopplysninger. Personvernerklæringen inneholder informasjon om skolens behandlinger av elevopplysninger i skolens systemer, med informasjon type opplysninger. Det er informasjon om innsyn, retting og sletting. Videre er det informasjon om lagring og sikkerhetskopiering av data, formidling av data til tredjepart, nettverkslogger og fagsystemlogger, og sletting av logger. Alle tilkoblinger til fylkeskommunens nettverk registreres. Videre registreres all datatrafikk fra alle enheter/virksomheter i en egen logg. Denne informasjonen er kun tilgjengelig for sentrale administratorer av nettverket, og benyttes utover administrasjon og sikkerhetsoppfølging til anonym statistikk over bruk av nettverket. I personvernerklæringen står det alle nettverkslogger slettes regelmessig. Ved kontrollen ble det opplyst at de slettes etter 7 dager. Fylkeskommunen logger ikke spesifikke brukere, kun trafikken. De er midt i mellom to leverandører. Den nye leverandøren vil tilby bedre styring på angrepskontroll. Tidligere har de mottatt henvendelser fra politiet om trafikk fra skolen. De klarte ikke da å finne noe i loggene. 8 av 15

9 Det er ikke laget noe skriv for digitale læringsressurser. Det brukes ingen klassestyringsverktøy og alle elevene har private PC er som skolen ikke installerer programvare på. De får en brukerident i AD for tilgang til nett. Ved eksamen settes elevene i en spesiell gruppe i AD. Det trådløse nettverket begrenser da alle enheter som er koblet til denne identen. Det gis noe informasjon om logging av nettverkstrafikk i IKT-reglementet. Det står ikke her noe om når loggene slettes. Det står ingenting om det foregår overvåking av den enkelte. Skriftlig informasjon om de digitale læringsressursene må forbedres. Skolen kan bruke flere kanaler for å gi informasjon til elever og foresatte: personvernerklæringen og Itslearning. Skolen må gi mer informasjon til elevene om hva slags type logging som gjøres, og hvor lenge de lagres. Det kan også være positivt om skolen forteller hva de ikke bruker loggene til. Samlet sett er den informasjonen som gis for mangelfull til at den oppfyller kravene som stilles i personopplysningsloven og personopplysningsforskriften. Delkonklusjon Mangelfullt dokumenterte rutiner for informasjon til den registrerte/foresatte er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Akershus fylkeskommune har skriftlige rutiner for retting og sletting av personopplysninger. I personvernerklæringen står det at personopplysninger som ikke skal beholdes etter arkivloven slettes ca 3 måneder etter at elev har avsluttet opplæring eller ansatt har sluttet. Dokumenter og annet som lagres på private områder av fylkeskommunens lagringsområder slettes tilsvarende ca 3 måneder etter at elev har avsluttet opplæring eller ansatt har sluttet. Når en elev eller tilsatt slutter på en skole vil brukeren bli satt som passiv i det skoleadministrative systemet. Informasjon om dette vil komme med i synkroniseringsfilen 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 15

10 som hver ettermiddag overføres fra fylkeskommunen til Itslearning. Brukere i Itslearning blir ikke slettet uten videre. De blir umiddelbart stengt for pålogging dersom de ikke har tilknytning til andre skoler i fylkeskommunen. De blir kun søkbare for de som har rollen Itslearning-administratorer i en periode i det som i Itslearning kalles Søppelbøtten. Permanent sletting av identer/personer kan utføres manuelt av systemadministrator etter at valgt karantenetid er utløpt (normalt 30 dager). Selv om en person slettes permanent fra Itslearning vil opplysningene fremdeles være lagret på backup i tre år etter at personen er slettet. Slike opplysninger kan kun gjenopprettes etter forespørsel fra fylkeskommunen. Verken Akershus fylkeskommune eller Skedsmo videregående skole har rutiner for å sørge for sletting av personopplysninger i nettbaserte læringsressurser. Nettverkslogger slettes etter 7 dager. Vi kan ikke finne noen begrunnelse for at backupen i Itslearning skal være lagret i 3 år. Lagringstiden må forkortes til det som er nødvendig for formålet med å ta backup. Akershus fylkeskommune må få klarhet i om det fortsatt ligger personopplysninger i nettbaserte læringsressurser etter at identer er slettet. Personopplysningsloven med forskrift stiller dessuten krav om at det skal finnes skriftlige rutiner for sletting av personopplysninger. Vi mener at fylkeskommunens og skolens rutiner for sletting i digitale læringsressurser er mangelfulle fordi de ikke er skriftliggjort. Delkonklusjon Mangelfullt dokumenterte rutiner for sletting av personopplysninger er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c Mangelfullt dokumenterte rutiner for innsyn, informasjon til den registrerte og sletting, er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d og c. 5.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, 10 av 15

11 5.2.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Akershus fylkeskommune har oversendt Strategi for informasjonssikkerhet i Akershus fylkeskommune, Håndbok for informasjonssikkerhet i Akershus fylkeskommune, og Sikkerhetshåndbok for Skedsmo videregående skole. Dokumentene beskriver sikkerhetsmål og sikkerhetsstrategi, sikkerhetsrevisjon og rutiner for informasjonssikkerhet. Datatilsynet har ikke konstatert avvik. Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette fremgikk i dokumentasjonen og under kontrollen. Akershus fylkeskommune har etablert en sikkerhetsorganisasjon og en egen enhet som skal ivareta sikkerhetsmål og sikkerhetsstrategi i skolesektoren. Skedsmo videregående skole er også kjent med denne sikkerhetsorganisasjonen. Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. 11 av 15

12 Akershus fylkeskommune har sendt over Håndbok for informasjonssikkerhet i Akershus fylkeskommune hvor det står skrevet at risikovurderinger skal gjennomføres årlig etter en oppsatt plan, og ved endringer som har betydning for informasjonssikkerheten og behandling av personopplysninger. I Sikkerhetshåndbok for Skedsmo videregående skole står det samme. Det står i tillegg her at skolen har foretatt risikoanalyser i forbindelse med brannsikring og beredskapsplan. Det ble ikke sendt over noen mal for risikovurdering og heller ingen dokumentasjon på at risikovurderinger er utført. Ved kontrollen ble vi informert om at det mangler gjennomførte skriftlige vurderinger. Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at sikkerhetsrevisjon av skolen gjennomføres jevnlig. De har hatt årlige samlinger med informasjonssikkerhetsansvarlige på skolen med årlig rapportering. En sentral oppfølging mangler fra fylkeskommunen. De har manglet en overordnet informasjonssikkerhetsansvarlig og jobber med å bli bedre på sikkerhetsrevisjon. Akershus fylkeskommune har ikke gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften av 15

13 5.2.5 Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Datatilsynet har fått tilsendt dokumentasjon på etablerte sikkerhetstiltak. Hver elev har sin egen PC hvor ingenting blir installert av skolen eller fylkeskommunen. De får en brukerident i AD og har Feide-pålogging til læringsplattform og de digitale læringsressursene. Det er etablert et eget trådløst nettverk for elever. Det er etablert driftsrutiner for å ivareta sikkerheten på skolens IKT-utstyr og nett, og det blir logget autorisert og uautorisert bruk. Det finnes system for avvikshåndtering. Vi fikk utdelt et konfigurasjonskart over fylkeskommunens soneinndeling og brannmurer. Det finnes ikke noe konfigurasjonskart over tilgangen til de digitale læringsressursene. Å beslutte sikkerhetstiltak er en helt sentral del av informasjonssikkerhetsarbeidet i en virksomhet. Akershus fylkeskommune og Skedsmo videregående skole har enkelte sikkerhetstiltak på plass, slik som brannmur, segmentering av nettverk, tilgangsstyring, logging av autorisert og uautorisert bruk, og avvikshåndtering. Det at Akershus fylkeskommune og Skedsmo videregående skole ikke har gjennomført og dokumentert risikovurdering av informasjonssystemet, kan tyde på at det kan finnes trusler og tiltak det ikke er tatt høyde for når informasjonssystemet er satt opp og under drift. Datatilsynet mener at fylkeskommunen og skolen må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften av 15

14 5.3 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Akershus fylkeskommune har inngått avtale for bruk av Itslearning, Kartleggeren, VOKAL, Eplehuset og Atea. Akershus fylkeskommune har tatt i bruk følgende tjenester uten at det er avklart om disse tjenestene forutsetter behandling av personopplysninger og inngåelse av databehandleravtale: Cappelen Deutch Drei, CD-ORD, Creaza, Lokus, Lokus lærer, PULS, Smartbok og Viten.no. Databehandleravtalen med Fagbokforlaget for bruk av Kartleggeren er mangelfull og må revideres. Under Sikkerhetsrevisjoner står det «Servere og brannmur blir av underleverandør fortløpende patchet med nye sikkerhetsoppdateringer og logger blir gjennomgått for bl.a. å avdekke mulige forsøk på sikkerhetsbrudd». Dette har ingenting med sikkerhetsrevisjon å gjøre og må erstattes med et innhold som beskriver at den behandlingsansvarlige skal avtale med databehandler at det gjennomføres sikkerhetsrevisjoner jevnlig for systemer og lignende som omfattes av denne avtalen. Revisjonen kan omfatte gjennomgang av rutiner, stikkprøvekontroller, mer omfattende stedlige kontroller og andre egnede kontrolltiltak. Akershus fylkeskommune må etablere en rutine for å avdekke om programvare de tar i bruk lagrer eller ikke lagrer personopplysninger. I de tilfellene hvor personopplysninger behandles av avtalepart må databehandleravtale inngås. Mangelfull databehandleravtale for bruk av Kartleggeren er et avvik, jf. personopplysningsloven 15 og 13, jf. personopplysningsforskriften 2-15 Manglende vurdering og avklaring av om bruk av Cappelen Deutch Drei, CD-ORD, Creaza, Lokus, Lokus lærer, PULS, Smartbok og Viten.no forutsetter behandling av personopplysninger og inngåelse av databehandleravtale, er et avvik, jf. personopplysningsloven 14 og 15, jf. personopplysningsforskriften 3-1 og av 15

15 På generelt grunnlag vil Datatilsynet påpeke plikten til å avklare om de digitale læringsressursene som skolen tar i bruk på Internett behandler personopplysninger og om en slik bruk i så fall krever at det inngås databehandleravtale. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 15 av 15