Endelig kontrollrapport

Transkript

1 Saksnummer: 13/00940 Dato for kontroll: Rapportdato: Endelig kontrollrapport Kontrollobjekt: Rudolf Steinerskolen i Oslo Sted: Oslo Utarbeidet av: Andreas Hobæk Martha Eike 1 Innledning Datatilsynet gjennomførte kontroll hos Rudolf Steinerskolen i Oslo den 7. november Rudolf Steinerskolen i Oslo er en egen stiftelse med org.nr Skolen har elever fra barneskolen til og med videregående. Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var kommunens behandling av personopplysninger ut fra de krav som personopplysningsloven med forskrifter oppstiller. Under kontrollen var det spesiell oppmerksomhet omkring skolens plikt til å ha tilfredsstillende internkontroll og informasjonssikkerhet. Kontrollen fant sted ved Rudolf Steinerskolen i Oslo. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Ivar Smit, daglig leder - Eli Randby, leder personal/administrasjon - Linda Hansen, skolesekretær - Brita Fernander, skolesekretær - Cathrine Geelmuyden Ødegaard, sekretær spesialpedagogikk 2.2 Fra Datatilsynet: - Andreas Hobæk, rådgiver - Martha Eike, overingeniør 2.3 Fra Arkivverket (som observatører) - Petur Kristjansson, Statsarkivet i Oslo - Geir Ivar Tungesvik, Riksarkivet 3 Kort om systemportefølje i Rudolf Steinerskolen i Oslo Skolen har et elektronisk administrasjonssystem - Steinerskolens Administrative System. Dette er utviklet for skolen av Knut Nordbye. Skolen benytter i liten grad IKT i undervisningen. Skolen har derfor ikke en læringsplattform. 1 av 9

2 I tilknytning til IKT-undervisning brukes til en viss grad Dropbox. Elevene bruker bare skolens IKT-utstyr i forbindelse med undervisning. 4 Oversendelse av informasjon Datatilsynet ba i varselet om at Rudolf Steinerskolen i Oslo oversende følgende dokumentasjon: a) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriften kapittel 2 og 3, b) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, c) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriften 2-4, d) Beskrivelse av dataflyt mellom systemer e) Oversikt over hvor elevopplysninger blir utlevert f) Databehandleravtaler g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjon ble sendt Datatilsynet i brev datert 25. oktober Noe dokumentasjon er oversendt i ettertid ved brev av 4. desember Agenda ble oversendt på e-post før kontrollen. 5 Kort om kontrollen Hovedtema for kontrollen var ivaretakelsen av plikt til å ha internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. I forbindelse med varselet om kontroll hadde skolen selv avdekket mangelfull internkontroll. Dette medførte at skolen igangsatte arbeid med å etablere og dokumentere nødvendig internkontroll, herunder internkontroll hva gjelder informasjonssikkerhet. I risikovurderingen som skolen hadde utarbeidet og oversendt til Datatilsynet før kontrollen, hadde skolen selv identifisert og påpekt at internkontrollsystem umiddelbart må utarbeides. På selve kontrolltidspunktet var således Rudolf Steinerskolen i Oslo i en prosess med å etablere og forbedre sin internkontroll. Hovedinntrykket fra kontrollen er at skolen i praksis har et noenlunde bevisst forhold til grunnleggende personverninteresser i forbindelse med behandling av personopplysninger, men at det er mangler ved det systematiske arbeidet som personopplysningslovens bestemmelser om internkontroll og informasjonssikkerhet krever. 2 av 9

3 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Kort om regelverkets krav Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene fastsatt i eller i medhold av personopplysningsloven. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollsystem omfatter normalt styrende, gjennomførende og kontrollerende dokumenter. På har Datatilsynet lagt ut veileder for interkontroll og informasjonssikkerhet. Denne gir nærmere beskrivelse av etablering og oppbygging av internkontrollsystem. og vurdering Rudolf Steinerskolen i Oslo har ikke etablert tilfredsstillende internkontrollsystem etter personopplysningsloven. Dette var virksomheten selv åpen på overfor Datatilsynet, og den har selv tatt grep. Arbeidet med dette var i det vesentlige påbegynt etter at kontroll ble varslet, og var pågående på kontrolltidspunktet. Datatilsynet vil understreke at ved etablering og vedlikehold av et internkontrollsystem er det viktig å huske på at det skal være et verktøy for ledelsen og de ansatte i deres daglige arbeid med håndtering av personopplysninger. Det mangler blant annet følgende: Oversikt over behandlinger og behandlingsgrunnlag. Dette er en del av de styrende dokumenter i et internkontrollsystem, og skal angi blant hvilke type opplysninger som behandles, til hvilket formål og på hvilket rettslige grunnlag. Konkrete og skriftlige rutiner for å behandle innsynsbegjæringer fra elev/foresatt etter personopplysningsloven 18. Konkrete og skriftlige rutiner for å sikre at plikten til å gi informasjon om behandlingen av personopplysninger etter personopplysningsloven 19 og 20 etterleves. Som påpekt under kontrollen kan dette gjøres ved at skolen utarbeider et standard informasjonsskriv med generell redegjørelse om hvordan skolen behandler personopplysninger, herunder hva slags type opplysninger om elevene skolen behandler, til hvilke formål og om det er frivillig. Videre kan det gis informasjon om retten til innsyn, sletting mv, og hvor man henvender seg dersom man ønsker å gjøre gjeldende denne retten. Rutinene bør utarbeides slik at man sikrer at alle foresatte og/eller elever får informasjonen typisk når eleven begynner ved skolen. Skolens nettsider kan også brukes til å gi informasjon. Konkrete og skriftlige rutiner for de ansattes behandling av elevopplysninger som ledd i sitt arbeid. Særlig er det behov for dette når det gjelder arbeid med de mer følsomme sakene som for eksempel spes.ped-saker og arbeid med IOP. Også lærernes skriftlige vurdering av elevene bør i denne sammenheng betraktes som en behandling av opplysninger av mer følsom karakter, hvor behovet for å sikre konfidensialitet står sterkt. Rutinene må sikre at det er en enhetlig måte å jobbe på som sørger for at skolen 3 av 9

4 har den nødvendige kontrollen og oversikten. Det kan her vises til eksempelet som kom opp under kontrollen med hensyn til lærernes skriving av elevvurdering på hjemme-pc, som sendes per ukryptert e-post til skolen. Skolen har i slike tilfeller ikke kontroll på elevopplysningene som da blir liggende på ulike private pc-er i private hjem, hvilket byr på sikkerhetsmessige problemer. Konkrete og skriftlige rutiner for sletting av personopplysninger. Det følger av personopplysningsloven 28 første ledd at hovedregelen er at personopplysninger ikke skal lagres lenger enn det som er nødvendig med formålet med behandlingen. Rutiner for sletting fordrer at man har oversikt over hvilke opplysninger som behandles til hvilke formål, og hvor lenge det er nødvendig å lagre dem. Skolen faller ikke direkte innunder arkivloven, men kan tenkes å ha særskilt behov for å arkivere en del opplysninger. Rutiner for sletting bør da identifisere hva som skal arkiveres og hva som skal slettes. Rutinene bør også beskrive når sletting skal foregå, hvem som har ansvaret og hvordan man sikrer at det blir gjort. Rutiner for implementering av interkontrollen. Det følger av personopplysningsforskriften 3-1 at internkontrolldokumentasjonen må være tilgjengelig for dem som trenger det. De ansatte må gjøres kjent med de rutiner og retningslinjer som gjelder for dem, og skolen må derfor etablere rutiner som sørger for at internkontrollen faktisk blir implementert og fulgt i virksomheten. Datatilsynet vil anbefale at skolen tar en gjennomgang med de ansatte når arbeidet med å etablere internkontroll er i mål. Datatilsynet går ikke nærmere inn på internkontrollen her. Det anbefales at skolen aktivt bruker Datatilsynets veiledningsmateriale under etableringen av internkontrollen. Datatilsynet kan også bidra med råd og veiledning, men da ikke innenfor rammen av denne kontrollsaken og denne rapporten. Manglende internkontroll er et avvik etter personopplysningsloven 14 jf. personopplysningsforskriften Krav til informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig viser vi til veiledning på Datatilsynets hjemmeside, under menypunktet Sikkerhet og internkontroll. 4 av 9

5 6.2.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Rudolf Steinerskolen i Oslo har ikke utarbeidet planlagte og systematiske tiltak for informasjonssikkerhet. Dette var virksomheten selv åpen på overfor Datatilsynet. Rudolf Steinerskolen må utarbeide sikkerhetsmål og sikkerhetsstrategi. Manglende etablering av sikkerhetsmål og sikkerhetsstrategi er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-3. Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er ikke blitt tydelig plassert i organisasjonen. Datatilsynet understreker at sentral del av behandlingsansvarliges ansvar er at sikkerhetsorganisasjonen gjøres kjent for de ansatte. Manglende etablering av sikkerhetsorganisasjon er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-3 og Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal 5 av 9

6 sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Rudolf Steinerskolen har oversendt en generell risikovurdering av informasjonssikkerheten. Datatilsynet mener at risikovurderingen som er oversendt bærer preg av å være overflatisk. Det kom frem under kontrollen at vurderingen som ble oversendt var utarbeidet i forkant av kontrollen. Tilsynsteamet anbefalte under kontrollen at risikovurderinger gjøres som gruppearbeid. Dette for å sikre drøftelse av flest mulig scenarier. Vi foreslår at en slik gruppe kan bestå av daglig leder, IKT-ansvarlig, systemansvarlig og lærere. Behandlingsansvarlig må utarbeide og gjennomføre risikovurdering av det skoleadministrative system og andre system som behandler personopplysninger. Ny risikovurdering skal gjennomføres hver gang skolen gjør endringer som har betydning for informasjonssikkerheten. Mangelfull gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for 6 av 9

7 tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Tilgangen til det skoleadministrative systemet er begrenset til fire personer. De logger seg på en server for det skoleadministrative systemet ved hjelp av et eksternt skrivebord i Windows. Tilgangen til å logge seg på løsningen er begrenset til brukernes faste arbeidsstasjoner på skolen. For autentisering til skolens nettverk benyttes brukernavn og passord. Alle pc er og servere befinner seg bak en brannmur, og er segmentert i fire VLAN, samt et trådløst nettverk. Ingen elever har tilgang til det trådløse nettverk. Passordet til det trådløse nettverket byttes jevnlig i tilfelle det blir kjent for andre enn de ansatte. Rudolf Steinerskolen har dokumentert oversikt over infrastruktur og har enkelte sikkerhetstiltak på plass, slik som brannmur og segmentering av nettverk. Datatilsynet mener at skolen må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Dette gjelder eksempel tilgangskontroll, avvikshåndtering, logging, sletting og taushetsplikt. Mangelfull dokumentasjon og innføring av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Rutiner for bruk av informasjonssystemer Personopplysningsloven 13, jf. personopplysningsforskriften 2-7 første og femte ledd og 2-8 stiller som krav til den behandlingsansvarlige at det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemene. Personopplysningsforskriften 2-7 femte ledd pålegger at det skal utarbeides skriftlige rutiner for bruken av alle informasjonssystem som inneholder personopplysninger. Videre pålegger forskriften 2-8 andre ledd at alle medarbeidere som bruker informasjonssystemene skal ha nødvendig kunnskap til å bruke disse i samsvar med de rutinene som er bestemt. 7 av 9

8 Det forekommer at lærere jobber hjemme med vurderinger av elever og sender disse ukryptert til skolen på e-post. Det finnes ingen skriftlige rutiner og retningslinjer om hvordan man jobber hjemme på egne PC er, og om hva som kan sendes eller ikke sendes pr e-post. Skolen må utarbeide rutiner og retningslinjer for hvordan man skal bruke skolens informasjonssystem, og bør utarbeide sikkerhetsinstrukser for ulike typer roller (bruker, leder, sikkerhetsansvarlig). Videre bør skolen vurdere om det finnes sikkerhetstiltak eller løsninger som gjør at lærerne sikrere kan jobbe med elevopplysninger hjemme. Manglende skriftlige rutiner for hvordan informasjonssystemet skal brukes er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-7 første og femte ledd, og 2-8 andre ledd. Dagens praksis er også utfordrende med hensyn til konfigurasjonskontroll (personopplysningsforskriftens 2-7) ved bruk av privat utstyr, og med hensyn til kryptering (personopplysningsforskriftens 2-11) ved kommunikasjon over e-post. Vi legger til grunn at skolen tar hensyn til dette ved utforming av rutiner. Vi viser også til rapportens punkt om risikovurdering. 6.4 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten skal dette reguleres i en skriftlig avtale mellom partene såkalt databehandleravtale, jf. personopplysningsloven 15. I avtalen skal det blant annet fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Rudolf Steinerskolen i Oslo har opplyst å bruke følgende databehandlere: Knut Nordbye Redpill Linpro AS Steinerskoleforbundet Dropbox 8 av 9

9 Når det gjelder avtalen med Redpill Linpro AS vil Datatilsynet peke på at den fremlagte driftsavtalen ikke i tilstrekkelig grad regulerer forholdet til behandling av personopplysninger. Avtalen er ren driftsavtale. Den identifiserer og regulerer ikke nærmere hvilke behandlinger av personopplysninger til hvilke formål med videre, Redpill Linpro AS skal være bemyndiget til å gjøre på vegne av skolen som ledd i tjenesten. Ettersom Redpill Linpro AS skal bistå med å drifte IKT-utstyr som brukes i forbindelse med behandling av personopplysninger, er det nærliggende at dette selskapet på en eller annen måte vil måtte behandle personopplysninger som ledd i tjenesten. Det fremkommer blant annet av avtalen at selskapet skal ta back-up av skolens database. Datatilsynet kan heller ikke se at fremlagte avtale spesifiserer sikringstiltak som databehandler er forpliktet til å gjennomføre etter personopplysningsloven 13, jf 15 annet ledd. Etter Datatilsynets vurdering må skolen bringe klarhet i hvilke behandlinger av personopplysninger Redpill Linpro AS er involvert i, og regulerer dette nærmere i en avtale. Dette kan integreres som et tillegg i eksisterende avtaleverk, eller som en selvstendig avtale. Når det gjelder Dropbox har skolen opplyst at den ikke har lykkes å få på plass en databehandleravtale. Vi vil imidlertid peke på at når avtale inngås med Dropbox benyttes standardavtalen som selskapet tilbyr, herunder deres personvernerklæring hvor selskapet beskriver hvordan personopplysninger blir behandlet. Det er denne avtalen som regulerer behandling av personopplysninger. Så vidt Datatilsynet kjenner til, er det i praksis vanskelig å oppnå individuelt fremforhandlede avtaler. Dette innebærer at skolen må sette seg inn i hva avtaleinngåelsen innebærer når det gjelder behandling av personopplysninger. Dropbox er for øvrig ikke bare databehandler i den forstand at selskapet behandler filene som kundene ønsker å lagre i skyen. Dropbox er også behandlingsansvarlig ettersom selskapet selv behandler opplysninger om kundene til egne formål. Dropbox samler blant annet inn en del opplysninger om kunden/brukeren når tjenesten brukes. Mangelfull databehandleravtale med Redpill Linpro AS er et avvik, jf. personopplysningsloven 15, jf. personopplysningsforskriften Datatilsynet går ikke her nærmere inn på om avtalen med Dropbox. Det er i utgangspunktet skolen selv som må vurdere om avtalen med Dropbox gir tilstrekkelig personvern. Art og omfang på bruken av tjenesten vil her være av betydning. Datatilsynets inntrykk er at bruken av Dropbox i undervisningsøyemed er beskjeden, og at det først og fremst er tale om å bruke tjenesten til å lagre og dele skolerelatert arbeid. På foreliggende grunnlag kan ikke Datatilsynet si at skolen ikke kan bruke Dropbox. Skolen bør under enhver omstendighet utarbeide konkrete rutiner for bruk av Dropbox, herunder rutiner for sletting, dersom skolen fortsetter å bruke tjenesten. 9 av 9