Endelig kontrollrapport

Transkript

1 Saksnummer: 14/00120 Dato for kontroll: Foreløpig rapport: Endelig rapport: Endelig kontrollrapport Kontrollobjekt: Rosenlund barnehage Sted:Ski Utarbeidet av: Eirin Oda Lauvset 1 Innledning Datatilsynet gjennomførte en kontroll hos Rosenlund barnehage den 3. mars Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om barnehagens behandling av personopplysninger er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsker vi å undersøke barnehagens håndtering av opplysningene om barna som behandles i barnehagens informasjonssystemer, og eventuelle andre digitale plattformer som brukes pedagogisk og/eller for å kommunisere med foresatte. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Nina Marthinsen, daglig leder / styrer - Annichen Solvoll, pedagogisk leder 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver - Ylva Marrable, rådgiver 3 Oversendelse av informasjon Datatilsynet ba i varselet om at følgende dokumentasjon ble oversendt: Rutiner for innhenting av samtykke fra foresatte når det gjelder personopplysninger om barna (bilder, kartleggingsverktøy, overføring av opplysninger til skole og lignende). Rutiner for informasjon til foresatte og hvilken informasjon som lagres i kommunikasjonsplattformen og eventuelt kartleggingsverktøy. Rutiner for innsyn i opplysninger som er lagret ved bruk av kartleggingsverktøy. Rutiner for om/når barnas personopplysninger skal slettes. Risikovurderinger som er gjort før det ble besluttet at kommunikasjonsplattform og kartleggingsverktøy skulle tas i bruk. 1 av 14

2 Oversikt over systemenes utforming: a) Et konfigurasjons- eller systemkart hvor kommunikasjonsplattform og eventuelt kartleggingsverktøy er inntegnet. b) En beskrivelse av kommunikasjonsplattformen og hva den brukes til c) En beskrivelse av kartleggingsverktøyet og hva det brukes til d) En beskrivelse av hvem som har tilgang til opplysningene i henholdsvis kommunikasjonsplattformen og kartleggingsverktøyet, og hvordan disse tilgangene blir styrt. Databehandleravtale med leverandør av kommunikasjonsplattform og eventuelt kartleggingsverktøy. Navn og funksjon på de som deltar fra barnehagen under kontrollen. Følgende dokumentasjon ble sendt Datatilsynet i brev datert 18. februar 2014: Retningslinjer for oppfølging og dokumentasjon rundt enkeltbarn i Rosenlund barnehage Dette er TRAS Dette er MyKid Risikovurdering av MyKid Oversikt over brukere på MyKid Plan for implementering av MyKid på alle avdelinger Kopi av mail til alle foreldre ang. etableringen av MyKid Tjenestebeskrivelse av MyKid Samtykke bruk av bilder/film Forespørsel om tillatelse til forskningsprosjekt Opplysninger om barnet Rutine for informasjon til nye foreldre Retningslinjer for arkivering av opplysninger om barna Samtykke for bruk av kartleggingsmateriell Informasjon om skolestarteren Før kontrollen ble følgende dokumentasjon sendt Datatilsynet i e-post av 28. februar 2014: Databehandleravtale med MyKid Rutine for tilgang til opplysninger registrert om barna Det ble avtalt at følgende dokumentasjon skulle ettersendes: Foreldrenes evaluering av MyKid Agenda ble oversendt Rosenlund barnehage på e-post før kontrollen. Rosenlund barnehage bruker: MyKid TRAS Alle med 2 av 14

3 4 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 4.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Rosenlund barnehage er en privat barnehage som er organisert som et samvirkelag (SA). Samvirket Rosenlund barnehage SA har et styre bestående av seks medlemmer og en styreleder. Minst tre av medlemmene i styret er andelseiere av barnehageplass (foreldrerepresentanser) og to er representanter for personalet i barnehagen. Styrer har møteog talerett i styret. Vi fikk opplyst at styret er barnehagens øverste organ og således behandlingsansvarlig etter personopplysningsloven. Barnehagens styrer er delegert det utøvende ansvaret. Det er styret i dialog med styrer som har tatt beslutningen om å inngå avtale med MyKid. Personopplysningsforskriften 2-3 understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Det er styret i Rosenlund barnehage SA som er å anse som behandlingsansvarlig for den behandlingen av personopplysninger som foretas i Rosenlund barnehage. Det er altså styret som skal sørge for en sikkerhetsorganisering med klare roller, ansvar og myndighet. Styrer signaliserer at internkontroll for behandling av personopplysninger i barnehage skal utarbeides, og erkjenner således sitt behandlingsansvar etter loven. Den skriftlige 3 av 14

4 dokumentasjonen som er blitt oversendt i forbindelse med kontrollen tilsier at Rosenlund barnehage har noe jobb foran seg for å ha en tilfredsstillende internkontroll på plass. Samtidig må det sies at barnehagen inntil nylig har hatt begrenset med elektronisk lagring av personopplysninger, og dermed også begrenset behov for internkontrollsystem. Vi forventer normalt at ivaretakelsen av behandlingsansvaret manifesterer seg i organisasjonskart og klart definerte roller og ansvarsområder. I Rosenlund barnehage må det imidlertid sies å være såpass oversiktlig organisasjon og ledelse at organisasjonskart ikke er nødvendig. Rosenlund barnehage har utarbeidet noen rutiner for sin virksomhet. Til tross for at rutinene må sies å være mangelfulle vurderer vi det slik at Rosenlund barnehage SA har etablert et internkontrollsystem som er tilpasset virksomhetens omfang. Behandlingsansvaret er plassert hos styret og styrer, og det er også disse som har tatt beslutningen om å ta i bruk MyKid. Konklusjon Avvik ikke konstatert Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Rosenlund barnehage har ikke en oversikt over behandlinger av personopplysninger som foretas i barnehagen. Dette betyr at virksomheten ikke har oversikt over hvilke rettslige grunnlag de enkelte behandlinger av personopplysninger er basert på, hvilke informasjonssystemer som lagrer personopplysninger, hvem som har tilgang til de enkelte opplysningene eller når de enkelte opplysningene skal slettes. 4 av 14

5 Datatilsynet mener at Rosenlund barnehage sin mangelfulle oversikt over hvilke behandlinger av personopplysninger som foretas i barnehagen, og hvilke informasjonssystemer som brukes, er å anse som et avvik fra personopplysningsloven og personopplysningsforskriftens krav. Konklusjon Mangelfull oversikt over behandlinger av personopplysninger som foretas innenfor Norlandia barnehagene AS sin virksomhet, er et avvik fra personopplysningsloven 11, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Rosenlund barnehage har ingen dokumenterte rutiner som gjelder innsynsbegjæringer. Styrer i barnehagen opplyser at de sjelden opplever krav om innsyn i opplysninger om barna. I de få tilfellene det kommer krav håndteres dette av styrer. Dette er en innarbeidet rutine, men som ikke er skriftliggjort. Datatilsynet mener det er viktig for ivaretakelsen av barnas personvern at barnehager har tydelige og lett tilgjengelige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. Barnehager lagrer opplysninger om barn som er relevante og interessante for flere aktører, for eksempel forsikringsselskaper og advokater som håndterer barnefordelingssaker. Det er heller ikke unaturlig at andre i barnets omsorgskrets enn den/de som har foreldreansvaret kan henvende seg for å få opplysninger. Dette kan være biologisk 5 av 14

6 forelder uten foreldreansvar eller foreldres nye partnere. I slike situasjoner er det viktig at barnehagen har klare retningslinjer for hvem som har rett til innsyn. Styrer i barnehagen opplyser om at de sjelden opplever krav om innsyn i opplysninger om barna. I de få tilfellene det kommer krav håndteres dette av daglig leder. Dette er en rutine som med fordel kan gjøres skriftlig. Rosenlund barnehage må dessuten utarbeide overordnede, skriftlige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. Delkonklusjon Manglende dokumenterte rutiner for innsynsbegjæringer er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Rosenlund barnehage har ingen dokumenterte rutiner for hvordan og når informasjon gis til foresatte om hvilke personopplysninger barnehagen behandler. Styrer i barnehagen opplyser at foreldremøte er en arena hvor det blir gitt informasjon til de foresatte, men at det varierer hva som blir tatt med på disse møtene. Barnehagens bruk av MyKid og TRAS kan være tema, men det er ikke et fast punkt på agendaen. 6 av 14

7 Informasjon om TRAS har vært gitt muntlig hittil. Barnehagen har nylig laget et informasjonsskriv som beskriver TRAS og barnehagens bruk av dette verktøyet. Det som er gitt av informasjon om MyKid er sendt til foresatte pr. e-post. Den informasjonen som ble gitt her var mest av praktisk karakter, som f.eks hvordan de foresatte kommer i gang med bruken. Barnehagen har et skriv som heter «Retningslinjer for oppfølging og dokumentasjon rundt enkeltbarn i Rosenlund barnehage». Her beskrives flere av barnehagens behandlinger av personopplysninger, men dette skrivet er skrevet med ansatte som målgruppe og leveres ikke ut til foresatte. Informasjon om hvor, hvorfor og hvordan personopplysninger blir behandlet er grunnleggende for ivaretakelsen av personvernet. Dersom en registrert ikke får informasjon om at personopplysninger behandles, får vedkommende heller ikke mulighet til å stille spørsmål ved nødvendigheten av at disse opplysningene lagres, hvor mange som har tilgang til dem, hvordan de er sikret osv. I sammenheng med inngåelse av avtale om barnehageplass er det særlig viktig å informere om hvilke opplysninger som det er nødvendig for barnehagen å ha for å oppfylle avtalen, og hvilke opplysninger som det er opp til den enkelte foresatte å bestemme om barnehagen skal ha (samtykke). Det er dessuten viktig å informere om hvorfor barnehagen innhenter visse opplysninger (formål), om de vil bli utlevert, og eventuelt hvem som er mottaker. Lagringstid og når opplysningene vil bli slettet er også viktig for foresatte å vite. Barnehagen har en plikt til å informere om alle former for behandling av personopplysninger som gjøres i barnehagen. Kontrollen som ble foretatt denne gangen var imidlertid konsentrert om kommunikasjonsplattformer og kartleggingsverktøy. Rosenlund barnehage må utarbeide overordnede, skriftlige rutiner for hvordan foresatte skal informeres om barnehagenes behandling av personopplysninger. Etter vår vurdering vil det være naturlig å utarbeide informasjon om bruken av MyKid og TRAS spesielt. Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til foresatte om barnehagens behandling av personopplysninger er et avvik, jf. personopplysningsloven 14, jf. forskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer 7 av 14

8 personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Rosenlund barnehage har noen retningslinjer for sletting som er beskrevet i dokumentet «Retningslinjer for oppfølging og dokumentasjon rundt enkeltbarn i Rosenlund barnehage». Dokumentet «Tjenestebeskrivelse av MyKid» inneholder også noe informasjon om hvilke rutiner for sletting som gjelder for informasjon lastet opp i MyKid portalen. Når det gjelder bilder er føringene: -bilder i «Min bok» blir sendt med familien hjem når barnet slutter i barnehagen -bilder av barn som har sluttet i barnehagen blir i MyKid slettet senest 45 dager etter oppstart av nytt barnehageår. Sletting forutsetter imidlertid at det er kun barnet som er sluttet som er tagget i bildet. Dersom vedkommende er tagget i bilder med andre barn (som ikke er sluttet) vil bildene bli liggende helt til alle som er tagget på bildet er sluttet. Når det gjelder oppbevaring: -referater fra foreldresamtaler, hvor tema er henvisning til annen hjelpeinstans, oppbevares i barnehagen i 10 år. Det er ikke anført noen hjemmel for denne oppvaringstiden. -TRAS skjema oppbevares i 10 år dersom barnet er henvist til hjelpeinstanser. Det er ikke anført noen hjemmel for denne oppvaringstiden. Lagringstid er heller ikke nevnt i samtykkeskjemaet for TRAS som foresatte skriver under på. -andre opplysninger om barnet slettes når det slutter i barnehagen. Å foreta sletting er ped.leders ansvar. Rosenlund barnehage har noen retningslinjer som gjelder for sletting av bilder og sensitive personopplysninger. Det er imidlertid ikke alle sletterutinene som er begrunnet og dette mener vi er en mangel. Hjemmel for 10 års lagring av referat fra foreldresamtaler og TRAS-skjema mener vi må begrunnes og anføres en hjemmel for. Når det gjelder sletteprosedyrer for bilder i MyKid tilsier tjenestens retningslinjer at dersom et barn på 1 år og et barn på 6 år avbildes sammen vil bildet av barnet på 6 år bli liggende hos MyKid i 4-5 år etter at det eldste barnet er ferdig i barnehagen. Også dersom er barn bytter barnehage vil bilder av barnet sammen med andre fortsatt være lagret inntil de andre barna har avsluttet barnehageoppholdet. den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 14

9 Rosenlund barnehage må ta stilling til om dette er tilfredsstillende sletterutiner. Hvis disse opprettholdes må foresatte informeres om dette. Delkonklusjon Mangelfulle dokumenterte rutiner for sletting av personopplysninger er avvik fra personopplysningsloven 14, jf. forskriften 3-1 bokstav c Konklusjon Mangelfulle dokumenterte rutiner for oppfyllelse av sine plikter og de registrertes rettigheter er avvik fra personopplysningsloven 14, jf. forskriften 3-1 bokstav d og c. 4.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Rosenlund barnehage har ingen overordnede føringer for bruk av informasjonsteknologi i barnehagen. Valg og prioriteringer er heller ikke beskrevet i en sikkerhetsstrategi. 9 av 14

10 Konklusjon Manglende dokumentasjon av sikkerhetsledelse er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Rosenlund barnehage har ingen rutine for at informasjonssystemer innen barnehagedrift skal risikovurderes før bruk. Det er likevel gjort en risikovurdering av MyKid. Rosenlund barnehage må utarbeide overordnede, skriftlige rutiner for risikovurdering av informasjonssystemer som behandler personopplysninger. Det er positivt at barnehagen har gjort en risikovurdering av MyKid. en er imidlertid noe mangelfull og trenger utfylling. Barnehagen har for eksempel kun gjort vurdering av sannsynlighet for at en hendelse skal inntreffe. Det kreves at konsekvensen av at hendelsen inntreffer også beskrives. Dette fordi konsekvens har betydning for tiltakene som må gjøres. Hvis en hendelse har alvorlig konsekvens men tilsier det at tiltak må gjøres til tross for lav sannsynlighet. Risikovurderingen som er gjort inneholder dessuten bare scenarier som omhandler bilder. MyKid inneholder også andre personopplysninger, som f.eks navn, adresse, telefonnummer, fødselsdato, utgående og innkommende meldinger mellom barnehagen og foresatte. Barnehagen må supplere risikovurderingen med mulige hendelser knyttet til disse opplysningene. Barnehagen har ikke gjort risikovurdering av barnehagens informasjonssystemer ellers. Dette mener vi er en mangel. F.eks er det risiko forbundet med PCer med felles innlogging for de ansatte. Konklusjon Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. forskriften av 14

11 4.2.4 Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Konklusjon Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. forskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Rosenlund barnehage har 7 PCer i et trådløst nett. 4 av PCene er tilgjengelig for alle ansatte med innlogging med felles brukernavn og passord. 2 av PCene disponeres av ped.ledere og står på personalkontor. 1 PC disponeres av styrer og står på styrers kontor. Barnehagen har avtale med HM kontor som har satt opp PCene og som kontaktes ved reperasjoner/feil. Løsningen driftes av barnehagen selv og oppdrag for HM kontor er enkeltstående. Alle ansatte kan laste opp bilder i MyKid, samt legge informasjon på post-it, sende e-post og SMS. Styrer og barnehagens 5 pedagoger har administratortilgang 11 av 14

12 Datatilsynet mener at Rosenlund barnehage må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Dette gjelder eksempelvis tilgangskontroll, avvikshåndtering, logging, sletting og taushetsplikt. I tillegg må informasjonssystemet dokumenteres i form av konfigurasjonskart og driftsrutiner. Konklusjon Mangelfull dokumentasjon og innføring av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften Opplæring I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Det finnes ingen dokumentert oversikt over informasjonssystemets utforming og heller ingen sikkerhetsinstruks for brukerne av systemet. Det finnes noe prosedyrer for bruk av MyKid. For eksempel står det i risikovurdering av MyKid at «personalet har relativt strenge retningslinjer for bildetaking». Disse retningslinjene er imidlertid ikke skriftliggjort. I dokumentet «Retningslinjer for oppfølging og dokumentasjon rundt enkeltbarn i Rosenlund barnehage» brukes begrepet «anonymisering» i forbindelse med utarbeidelse av TRASskjema og pedagogiske rapporter. Retningslinjer for når/hvordan bilder av barn skal tas, og hvilke bilder som kan lastes opp i MyKid må skriftligjøres. Prosedyrene bør utbedres med tanke på bruk av ord og uttrykk. Det blir nevnt at TRASskjema og pedagogiske rapporter skal være «anonymisert». Dette er misvisende da begrepet anonymt betyr at opplysningene ikke kan knyttes til en enkeltperson. Ordbruken bør endres til f.eks. «ikke gjenkjennbar for uvedkommende». Sikkerhetsrutiner for brukere, ledere og sikkerhetsansvarlige må utarbeides. Konklusjon Manglende opplæring i bruk av IT i barnehagen er avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften av 14

13 4.3 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Rosenlund barnehage har ingen rutine som skal sikre at databehandleravtale blir inngått når barnehagen tar i bruk informasjonssystemer som innebærer at tredjepart behandler personopplysninger på vegne av barnehagen. Det er ikke inngått databehandleravtale med HM kontor. Vi har fått tilsendt databehandleravtale med MyKid, samt tjenestebeskrivelse og brukervilkår for tjenesten. Begge dokumentene sier noe om sikkerheten i systemet, at behandlingsansvarlig har tilgang til sikkerhetsdokumentasjon, sikkerhetsmål og sikkerhetsstrategien til MyKid. Avtalen inneholder også noe informasjon om lagring og taushetserklæringer. Avtalen inneholder ingen presisering av hvilke personopplysninger som lagres på plattformen. Det er heller ingen informasjon om hvor data lagres og lite informasjon om hvordan prosedyrer for sletting av personopplysninger foregår underveis i avtaleperioden. Avtalen er ikke datert og heller ikke signert av noen av partene. Databehandleravtalen med MyKid beskriver ikke hvilke personopplysninger som behandles. Dette er en mangel. Avtalen fastslår at behandlingsansvarlig har tilgang til sikkerhetsdokumentasjon og sikkerhetsrevisjoner, men presiserer at slik sikkerhetsrevisjon må bekostes av kunden (barnehagen). Avtaleteksten sier ikke noe mer om hva slik bekostning innebærer, men etter vår vurdering vil en slik formulering oppfattes som en terskel for å få gjennomført sikkerhetsrevisjon. En av hovedintensjonene med en databehandleravtale er å sørge for at behandlingsansvarlig skal kunne forsikre seg om at personopplysningene behandles på en forsvarlig måte hos databehandler. I den grad sikkerhetsrevisjon er forbundet med en kostnad for behandlingsansvarlig vil dette ikke være i tråd med intensjonen med å inngå en slik avtale. 13 av 14

14 Det er en mangel at avtalen ikke inneholder informasjon om hvor data lagres. Avtalen beskriver videre at data slettes ved avtalens opphør, men det bør også dokumenteres rutiner for når personopplysninger slettes dersom det initieres sletting fra barnehagen underveis i avtaleperioden. Det er videre en mangel at avtalen ikke er datert eller signert av noen av partene. Konklusjon Mangelfull databehandleravtale med Ikomm og Private Barnehagers Landsforbund er avvik, jf. personopplysningsloven 15, jf. forskriften På generelt grunnlag vil Datatilsynet påpeke plikten til å ha databehandleravtaler. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 14 av 14