Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Transkript

1 Saksnummer: 13/00933 Dato for kontroll: Foreløpig rapport: Endelig rapport: Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss Utarbeidet av: Martha Eike Eirin Oda Lauvset 1 Innledning Datatilsynet gjennomførte en kontroll hos Østfold fylkeskommune ved Malakoff videregående skole den 15. oktober Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var fylkeskommunens behandling av personopplysninger ut fra de krav som personopplysningsloven med forskrifter oppstiller. Under kontrollen var det spesiell oppmerksomhet omkring skolens plikter til å ha oversikt over elevopplysninger som behandles i skoleadministrativt system, læringsplattform og andre digitale læringsressurser, samt informasjonssikkerheten rundt disse behandlingene. Kontrollen fant sted ved Malakoff videregående skole. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Marianne S. Hogeus, pedagogisk IKT ansvar - Frid Sandmoe, ass. fylkesdirektør - Marianne Gurrik, leder for elevadministrasjon - Ågot Solberg, systemansvarlig Extens Østfold fylkeskommune - Christine Otterstad, rådgiver juridisk seksjon Østfold fylkeskommune - Olav Nyhus, leder juridisk seksjon Østfold fylkeskommune - Anders Aagaard Sørby, IT-sjef Østfold fylkeskommune - Wibekke Danielsen, arkivsjef Østfold fylkeskommune - Merethe Lilleberg, arkivansvarlig Malakoff vgs - Brynjard Rønningen, ass. rektor, Malakoff vgs - Bente Lis Larsen, rektor Malakoff vgs - Marit Aaberg Wiik, lærer - Thomas Grøndahl, lærer - Robert Einarson, elevrådsleder 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver 1 av 11

2 3 Kort om systemporteføljen i videregående skoler i Østfold fylkeskommune Arbeidsverktøy er saksbehandlings- og arkivsystemet Ephorte. Her foregår fullelektronisk saksbehandling, og fagsystemer benytter Ephorte for all arkivering av journalpliktige dokumenter. Skoleadministrativt system Extens Fravær og karakterer - Oppad Læringsplattform Fronter Prøveadministrasjon PULS, VOKAL Annet: Mobilskole, Kikora, Lokus, Cappelen Damm, Smartbok, Tema, Min vei, TINspire, Facebook, Blogg, Viten.no 4 Oversendelse av informasjon Datatilsynet ba i varselet om at Østfold fylkeskommune oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriften 2-4, f) avviksrutiner, jf. personopplysningsforskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjon ble sendt Datatilsynet i brev datert 8. oktober Noe dokumentasjon ble ettersendt 11. oktober, 11. og 13. november En detaljert agenda ble oversendt Østfold fylkeskommune på e-post før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Østfold fylkeskommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. 2 av 11

3 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Plikten til å ha et internkontrollsystem Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. Østfold fylkeskommune har etablert en form for internkontrollsystem, men systemet bærer preg av å ha hovedsakelig fokus på informasjonssikkerhet. De styrende dokumentene som ble oversendt er IT sikkerhetsstrategi og Håndbok for informasjonssikkerhet. I disse dokumentene er ivaretagelse av blant annet innsyn nevnt 1, men må sies å være vanskelig å finne frem til. Det er positivt at Østfold fylkeskommune har rutiner for ivaretagelse av informasjonssikkerheten, men dette er ikke tilstrekkelig. Østfold fylkeskommune må utarbeide et system hvor det kommer klart frem hva som er rutiner for å sikre de registrertes rettigheter (oversikt, informasjon, innsyn, retting, sletting etc.) og hva som er informasjonssikkerhetstiltak (risikovurderinger, sikkerhetsrevisjon, konfigurasjonskontroll etc.) Mangel på system for ivaretagelse av de registrertes rettigheter (oversikt, informasjon, innsyn, retting, sletting etc.) er avvik iht. personopplysningsloven 14 og personopplysningsforskriften kap Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet hvor behandlingsansvaret er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Dette er nærmere omtalt i kapittel Håndbok for informasjonssikkerhet, side 7, pkt 3.6 Systemeier 3 av 11

4 Behandlingsansvaret er dokumentert, blant annet gjennom oversendt organisasjonskart. Datatilsynet har ikke konstatert avvik Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. og vurdering Østfold fylkeskommune har utarbeidet oversikt over behandlinger av personopplysninger som foretas innenfor fylkeskommunens virksomhet. En spesifisert oversikt over skolens behandlinger av elevopplysninger finnes imidlertid ikke. Datatilsynet har ikke konstatert avvik på dette punkt. Det anbefales imidlertid at fylkeskommunen eller skolen selv utarbeider en oversikt over behandlinger av personopplysninger som er spesifikk for skolen. Datatilsynet har ikke konstatert avvik Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for 4 av 11

5 innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Østfold fylkeskommune har ingen dokumenterte rutiner for innsynsbegjæringer. Delkonklusjon Manglende dokumenterte rutiner for innsynsbegjæringer er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 tredje ledd bokstav d Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven av 11

6 Østfold fylkeskommune har kanaler for å gi informasjon til elever og foresatte. Under kontrollen ble Utdanningsportalen nevnt, sammen med en informasjonsbrosjyre som leveres ut ved skolestart, kontaktlærerhefter, Fronter og kontrakt for PC bruk. Fylkeskommunen og skolen bruker pr. i dag ingen av disse informasjonskanalene til å informere om hvordan Østfold fylkeskommune og Malakoff videregående skole behandler personopplysninger om elevene. Det finnes heller ingen dokumenterte rutiner for hvordan slik informasjon skal gis til elever og foresatte. Delkonklusjon Mangelfullt dokumenterte rutiner for informasjon til den registrerte er et avvik, jf. personopplysningsloven 14, jf. forskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 2 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Østfold fylkeskommune har noen rutiner for sletting av personopplysninger i fysiske arkiv (elevmapper) og skoleadministrativt system (Extens). Sletting i Extens styres av elevens «ident» og dennes status, og skjer 3 mnd etter at eleven har sluttet på Malakoff. Rutinene er skriftliggjort i Håndbok for informasjonssikkerhet kap. 4 «Rutiner for internkontroll, pkt 4.6 «Sikkerhetsinstruks bruker» og underpunkt «lojal og ansvarlig bruk» pkt 8. Østfold fylkeskommune har ingen særskilte rutiner for sletting av personopplysninger i elevens digitale arbeidsflater (bl.a læringsplattform), men slik ordlyden i den nevnte rutine er vil sletting i læringsplattformer kunne omfattes av den generelle rutinen. Datatilsynet har ikke konstatert avvik på dette punkt. Det anbefales imidlertid at fylkeskommunen og skolen har et sterkere fokus på rutiner for lagring og mellomlagring av personopplysninger i læringsplattformer. Delkonklusjon Datatilsynet har ikke konstatert avvik. 2 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 11

7 Mangelfullt dokumenterte rutiner for innsyn, informasjon til den registrerte og sletting er avvik fra personopplysningsloven 14, jf. forskriften 3-1 bokstav d 6.2 Krav om informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Informasjonssikkerhetsstrategi for Østfold fylkeskommune ble vedtatt i oktober 2009 og gjelder fortsatt. Strategien inneholder gode maler, men mangler mal for statusrapport, sikkerhetsrevisjon og ledelsens gjennomgang. Datatilsynets kontroll ga ikke tilstrekkelig grunnlag for å kontrollere etterlevelse av valg og prioriteringer av sikkerhetsarbeidet med hensyn til sikkerhetsmål og sikkerhetsstrategi. Det er likevel tilfredsstillende at sikkerhetsmål og sikkerhetsstrategi er utarbeidet, og Datatilsynet konstaterer derfor ikke avvik på dette punktet. Datatilsynet har ikke konstatert avvik. 7 av 11

8 Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette vistes i dokumentasjonen og fremgikk under kontrollen. Det er mer uklart om sikkerhetsorganisasjonen er kjent blant skolens ansatte. Datatilsynet har ikke konstatert avvik da ansvarsplasseringen formelt sett er klar. Vi understreker imidlertid at en sentral del av behandlingsansvarliges ansvar er å gjøre sikkerhetsorganisasjonen kjent for de ansatte. Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Datatilsynet ble informert om at risikovurdering av fylkeskommunens informasjonssystem er gjort, men det finnes ingen dokumentasjon på dette arbeidet. Manglende dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. forskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften av 11

9 Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. forskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Det er ikke utført klassifisering av systemene som skolen bruker, slik at fylkeskommunen ikke med sikkerhet kan vite hvilke behandlinger som bør være på sikker, intern og åpen sone. Østfold fylkeskommune bruker ID porten og Feide for å styre autentisering. Det er brukernavn og passord for alle system. Ansatte ved Malakoff videregående skole logger seg på læringsplattformen med brukernavn og passord (svak autentisering). Det er ikke satt noen sperrer for pålogging utenfor skolens nettverk. I praksis er det derfor fullt mulig for ansatte å logge seg på læringsplattformen når og hvor som helst. En måte for Østfold fylkeskommune å møte kravene til tilfredsstillende informasjonssikkerhet på er å utføre klassifisering av systemene som skolen bruker. Dersom det er system som behandler sensitive opplysninger bør disse inn i sikker sone. Dersom et informasjonssystem, som inneholder personopplysninger om mange elever, skal gjøres tilgjengelig for ansatte fra utsiden av den ansvarlige virksomheten, er Datatilsynets vurdering at det kreves en sterkere autentisering enn brukernavn og passord. Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til fagapplikasjonen. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til informasjonssystemet. 9 av 11

10 I læringsplattformen, som er tilgjengelig for ansatte, er det personopplysninger om mange elever som må beskyttes. Den er tilgjengelig for pålogging over Internett med svak autentisering. Dette er ikke tilfredsstillende. Svak autentisering for ansattes pålogging til læringsplattform over eksterne nett og på elevnett, gir ikke tilfredsstillende informasjonssikkerhet. Dette er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-1, 2-2, 2-11 og Rutiner for bruk av informasjonssystemer Personopplysningsloven 13, jf. personopplysningsforskriften 2-7 første og femte ledd og 2-8 stiller som krav til den behandlingsansvarlige at det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemene. Personopplysningsforskriften 2-7 femte ledd pålegger at det skal utarbeides skriftlige rutiner for bruken av alle informasjonssystem som inneholder personopplysninger. Videre pålegger forskriften 2-8 andre ledd at alle medarbeidere som bruker informasjonssystemene skal ha nødvendig kunnskap til å bruke disse i samsvar med de rutinene som er bestemt. Østfold fylkeskommune har ingen skriftlige rutiner for hva læringsplattformen skal, og ikke skal, brukes til. Manglende skriftlige rutiner for hvordan læringsplattformen skal brukes er et avvik, jf. personopplysningsloven 13, jf. forskriften 2-7 første og femte ledd og 2-8 andre ledd. 6.4 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. 3 Teksten er endret noe fra varselet, men endringen består i hovedsak av en presisering og endrer således ikke innholdet i pålegget. 10 av 11

11 Østfold fylkeskommune har inngått avtale for bruk av Mobilskole, Puls, Kikora og ID-porten. Østfold fylkeskommune har tatt i bruk følgende tjenester som behandler personopplysninger uten at det er inngått databehandleravtale: Fronter og VOKAL Østfold fylkeskommune har tatt i bruk følgende tjenester uten at det er avklart om disse tjenestene forutsetter behandling av personopplysninger og inngåelse av databehandleravtale: Lokus, Cappelen Damm, Smartbok, Tema, Min vei, TINspire, Facebook, Blogg, Viten.no Manglende databehandleravtale for bruk av Fronter og VOKAL er et avvik, jf. personopplysningsloven 15, jf. forskriften Manglende vurdering og avklaring av om bruk av Lokus, Cappelen Damm, Smartbok, Tema, Min vei, TINspire, Facebook, Blogg, Viten.no forutsetter behandling av personopplysninger og inngåelse av databehandleravtale er et avvik, jf. personopplysningsloven 14, jf 3-1 og 15, jf. forskriften På generelt grunnlag vil Datatilsynet påpeke plikten til å avklare om de digitale læringsressursene som skole tar i bruk på internet behandler personopplysninger og om en slik bruk i så fall krever at det inngås databehandleravtale. Avtalen med virksomhetens databehandlere skal ivareta kravene som oppstilles i personopplysningsloven 15. Veiledere på hvordan slike avtaler bør se ut ligger på Datatilsynets hjemmesider, 11 av 11