Endelig kontrollrapport

Transkript

1 Saksnummer: 13/00933 Dato for kontroll: Foreløpig rapport: Endelig rapport: Innledning Endelig kontrollrapport Kontrollobjekt: Asker kommune, Borgen ungdomsskole Sted: Asker Utarbeidet av: Martha Eike Eirin Oda Lauvset Datatilsynet gjennomførte en kontroll hos Asker kommune ved Borgen ungdomsskole den 11. oktober Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var kommunens behandling av personopplysninger ut fra de krav som personopplysningsloven med forskrifter oppstiller. Under kontrollen var det spesiell oppmerksomhet omkring skolens plikter til å ha oversikt over elevopplysninger som behandles i skoleadministrativt system, læringsplattform og andre digitale læringsressurser, samt informasjonssikkerheten rundt disse behandlingene. Kontrollen fant sted ved Borgen ungdomsskole. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Kathinka Blickfeldt, rektor - Ole-Kristian Tangen, IKT-sjef/Informasjonssikkerhet - Kari Søvik, sekretær - Aage E. Johansen, personvernombud - Jo Fiske, direktør oppvekst og utdanning - Jo Rasmus H. Zachariassen, skolefaglig rådgiver - Magnus Johansson, rådgiver IKT - Kristine Simonsen, undervisningsinspektør - Gro Egeberg, lærer - Sissel Mundal, controller (repr. Rådmannen) 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver 1 av 12

2 3 Kort om systemportefølje i Asker kommune og Askerskolene Arbeidsverktøy er saksbehandlings- og arkivsystemet ESA. Her foregår fullelektronisk saksbehandling, og fagsystemer benytter ESA for all arkivering av journalpliktige dokumenter. Skoleadministrativt system Oppad Læringsplattform It s learning Skoleportal for elevresultater VOKAL Annet: Cyberbook, Creaza, Forlagshuset Vigmostad & Bjørke AS 4 Oversendelse av informasjon Datatilsynet ba i varselet om at Asker kommune oversendte følgende dokumentasjon: a) oversikt over virksomhetens organisering, eksempelvis i form av organisasjonskart, b) styrende dokumenter for internkontroll og informasjonssikkerhet, jf. personopplysningsloven 13 og 14, og personopplysningsforskriften kapittel 2 og 3, c) oversikt over personopplysninger som behandles, d) oversikt over informasjonssystemets utforming, eksempelvis i form av konfigurasjonseller systemkart, e) risikovurderinger av informasjonssystemet, jf. personopplysningsforskriften 2-4, f) avviksrutiner, jf. personopplysningsforskriften 2-6, g) navn og funksjon på de som deltar fra virksomheten under kontrollen, dersom dette er avklart. Dokumentasjon ble sendt Datatilsynet i brev datert 4. oktober Noe dokumentasjon ble ettersendt 10. oktober En detaljert agenda ble oversendt Asker kommune på e-post før kontrollen. 5 Kort om bruk av personopplysninger samt formålet med behandlingene Hovedtema for kontrollen var ivaretakelsen av plikter til å føre internkontroll samt å sørge for tilfredsstillende informasjonssikkerhet for virksomhetens behandling av personopplysninger. Internkontroll danner en viktig basis i behandlingsansvarliges arbeid med å sørge for etterlevelse av gjeldende lover og forskrifter. Internkontroll er et ledelsesansvar. Under kontrollen ble Asker kommunes internkontrollsystem og sikkerhetsdokumentasjon gjennomgått på overordnet nivå. Videre ble det ført kontroll med hvorvidt skolen er kjent med kommunens overordnede rutiner, og på hvilken måte disse er implementert. 2 av 12

3 6 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 6.1 Internkontroll Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som: den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for enhver virksomhet å være tydelige på hvor behandlingsansvaret er lagt. Personopplysningsforskriften 2-3 sikkerhetsledelse understreker f.eks at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Asker kommune er tydelige på at det er kommunens øverste ledelse som er behandlingsansvarlig. Behandlingsansvaret er dokumentert, blant annet gjennom oversendt organisasjonskart. Samtidig har Asker kommune valgt å organisere sine oppgaver etter linjeansvar. De har et felles ledelsessystem med en organisasjonsplan som blant annet skal sørge for et tydelig linjeansvar altså at den enkelte medarbeider ikke skal være i tvil om hvilke oppgaver vedkommende har ansvar for. Behandlingsansvaret etter personopplysningsloven består først og fremst i å ha oversikt over hvilke behandlinger av personopplysninger som foretas innen virksomheten, og sørge for at pliktene etter personopplysningsloven blir overholdt. Asker kommune står selvsagt fritt til å velge hvordan de velger å organisere sine oppgaver, men det å organisere oppgaver etter linjeansvar fritar ikke kommuneledelsen for ansvar etter personopplysningsloven. Dersom ledelsen ved Borgen skole er gitt i oppgave å sørge for at pliktene etter personopplysningsloven skal oppfylles, så har kommuneledelsen fortsatt ansvaret for å legge til rette for at ledelsen ved skolen kan utarbeide de rutinene de er pliktige å ha. 3 av 12

4 Asker kommune er tydelige på hvem som er behandlingsansvarlig, og vi vil ikke konstatere avvik med hensyn til dette. Vi er imidlertid mer usikker på om kommuneledelsen i tilstrekkelig grad gjør Askerskolene i stand til å overholde det ansvaret de er delegert. Vi ønsker derfor å påpeke plikten kommuneledelsen har til å tilrettelegge for at skolene på en enkel måte kan tilpasse og implementere de rutinene som kommunen har sentralt. Datatilsynet har ikke konstatert avvik Implementering av internkontroll Asker kommune har etter personopplysningsloven 14 plikt til å sørge for at internkontrollsystemet og de tilhørende rutinene er tilgjengelig for alle medarbeidere. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Asker kommune er klar på at det er kommunens øverste ledelse som har det overordnede ansvaret for at rutiner for oppfyllelse av personopplysningsloven er kjent i hele organisasjonen. Kommunen tilbyr opplæring i internkontrollsystemet og det gis også retningslinjer for bruk av skoleadministrativt system, læringsplattform og arkiv. Under kontrollen ble det opplyst at rektorene ved de enkelte skolene er delegert ansvaret for implementering av internkontrollsystemet på den enkelte skole. Kommuneledelsen gjør imidlertid ingen revisjon av om dette er gjort. Internkontroll for behandling av personopplysninger er ikke implementert ved Borgen skole. En sentral del av plikten som Asker kommune har etter personopplysningsloven 14, jf forskriften 3-1 er å sørge for at alle medarbeidere er kjent med hvilke rutiner som gjelder for behandling av personopplysninger. For de delene av kommunen som er nært knyttet til sentraladministrasjonen i sitt daglige virke kan det være tilstrekkelig å gi opplæring i internkontroll og gjøre det kjent hvor rutinebeskrivelsene er å finne. Etter vår vurdering er imidlertid skolene i kommunen så autonome og selvdrevne at det vil kreves noe mer fra kommunens side for å sørge for at de overordnede rutinene blir implementert her. Kommunen kan for eksempel inkludere spørsmål om implementerte rutiner for behandling av personopplysninger i en årlig revisjon av skolene. Manglende implementering av internkontroll for behandling av personopplysninger ved Borgen skole er et avvik fra personopplysningslovens 14, jf. personopplysningsforskriften av 12

5 6.1.4 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. og vurdering Asker kommune har ikke en oversikt over behandlinger av personopplysninger som foretas innenfor kommunens virksomhet. En slik oversikt finnes heller ikke for skolens behandlinger av elevopplysninger. Manglende oversikt over behandlinger av personopplysninger er å anse som et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 og personopplysningsloven 13, jf. personopplysningsforskriften Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter 5 av 12

6 personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. : Asker kommune har ingen dokumenterte rutiner for innsynsbegjæringer. Skolen opplever sjelden krav om innsyn i elevopplysninger. I de få tilfellene det kommer krav håndteres dette av arkivpersonale. Delkonklusjon Manglende dokumenterte rutiner for innsynsbegjæringer er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Asker kommune har ingen dokumenterte rutiner for å gi informasjon til elever og foresatte om hvor og hvordan personopplysninger om elevene blir behandlet. Det var heller ikke gjort vurderinger om hvorvidt unntakene fra informasjonsplikten kom til anvendelse. Ved Borgen ungdomsskole har de rutine for å dele ut et informasjonshefte ved skolestart hvor de blant annet opplyser om skolens miljø og ordensregler, konsekvensene av brudd på 6 av 12

7 ordensregler, hva som er elevens ansvar, regler for bruk av PC og konsekvensene av brudd på PC-regler. Dette heftet er også brukt til å innhente samtykke fra de foresatte til vaksinasjon, distribusjon av kontaktinformasjon, deltakelse i spørreundersøkelser og publisering av bilder. Informasjonsheftet inneholder ingen informasjon om hvor og hvordan skolen behandler personopplysninger om elevene. Under Asker kommune sitt nettsted har Borgen ungdomsskole også egne sider hvor de kan legge ut informasjon til elever og foresatte. Nettsidene inneholder ingen informasjon om hvor og hvordan skolen behandler personopplysninger om elevene. Borgen ungdomsskole har dessuten opprettet egne brukerkontoer for alle foresatte på læringsplattformen It s Learning. Dette er følgelig ytterligere en kanal for informasjon ut til elever og foresatte. Læringsplattformen inneholder ingen informasjon om hvordan skolen behandler personopplysningene til elevene. Det er positivt at Borgen ungdomsskole har etablert flere kanaler for kommunikasjon til elever og foresatte. For oppfyllelsen av personopplysningslovens informasjonsplikt hjelper det imidlertid ikke å ha kanalene når de ikke brukes til å gi den informasjon om hvordan personopplysningene om elevene behandles. Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til elever og foresatte er et avvik, jf. personopplysningsloven 14, jf. forskriften 3-1 bokstav d Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. Asker kommune har rutiner for sletting av personopplysninger både når det gjelder fysiske arkiv (elevmapper) og digitale arbeidsflater (læringsplattform). Det er imidlertid kun rutinene som gjelder elevmappene som er skriftlige. Datatilsynet konstaterer ikke avvik på dette punktet, men påpeker at det også bør finnes skriftlige rutiner for opprydding av digitale ressurser hvor personopplysninger lagres/mellomlagres. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrete krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 ( ) side av 12

8 Delkonklusjon Datatilsynet har ikke konstatert avvik Mangelfulle dokumenterte rutiner for innsynsbegjæringer og informasjon til den registrerte er avvik fra personopplysningsloven 14, jf. forskriften 3-1 bokstav d. 6.2 Krav til informasjonssikkerhet I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi I oversendt dokumentasjon av Felles ledelsessystem fremgår det at sikkerhetsmål og sikkerhetsstrategi er nedfelt i kapittel Informasjonssikkerhet. Det er ikke tydelige overskrifter som sier hva som er mål og strategi, men innholdet er på plass. Datatilsynet er tilfreds med at sikkerhetsmål og sikkerhetsstrategi er utarbeidet. Datatilsynets kontroll ga ikke tilstrekkelig grunnlag for å kontrollere etterlevelse av valg og prioriteringer av sikkerhetsarbeidet med hensyn til sikkerhetsmål og sikkerhetsstrategi. Sikkerhetsorganisasjon Ansvaret for sikkerhetsarbeidet er tydelig plassert i organisasjonen. Dette vistes i dokumentasjonen og fremgikk under kontrollen. 8 av 12

9 Datatilsynet understreker at sentral del av behandlingsansvarliges ansvar er at sikkerhetsorganisasjonen gjøres kjent for de ansatte. Datatilsynet har ikke konstatert avvik Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. Asker kommune har oversendt risikovurderinger av læringsplattformen It s Learning og skoleadministrativt system Oppad, samt informasjonssikkerhet mer generelt. Datatilsynet mener at de risikovurderingene som er oversendt bærer preg av å være overflatiske. Risikovurderingen av It s Learning fremstår dessuten mer som en systemtest enn en risikovurdering. Asker kommune har dessuten tatt i bruk andre programvarer som behandler personopplysninger uten at disse er risikovurdert. Eksempel på dette er VOKAL. Det kom frem under kontrollen at de vurderingene som ble oversendt var utarbeidet av én medarbeider alene. Tilsynsteamet anbefalte under kontrollen at risikovurderinger gjøres som gruppearbeid. Dette for å sikre drøftelse av flest mulig scenarier. Det ble foreslått at en slik gruppe kunne bestå av rektor, IKT-ansvarlig, systemansvarlig og lærere. Mangelfull gjennomføring og dokumentasjon av risikoanalyse er et avvik, jf. personopplysningsloven 13, jf. forskriften Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. 9 av 12

10 Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. Datatilsynet ble informert om at virksomheten ikke hadde gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. I databehandleravtalene inngått med Conexus og Cyberbook AS er det presisert at behandlingsansvarlig jevnlig skal avtale sikkerhetsrevisjon for systemer som er omfattet av avtalen. Dette er ikke gjort. Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. forskriften Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger forskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Asker kommune bruker Active Directory til å styre autoriseringen. For autentisering benyttes brukernavn og passord for alle system. Under kontrollen ble det fortalt at alt av tilganger er beskrevet i en rutine kalt Identweb. For å få tilgang til et system på skolen må rektor sende en melding til systemansvarlig/drift om hvilke rettigheter en bruker skal ha. Asker kommune har tre soner; én sikker sone, én intern sone, og en åpen sone (Internett), men det er kun intern og åpen sone som benyttes på Borgen skole. Det er ikke utført klassifisering av systemene som skolen bruker, slik at kommunen ikke med sikkerhet kan vite hvilke behandlinger som bør være på sikker, intern og åpen sone. Ansatte i Askerskolen logger seg på It s learning med brukernavn og passord (svak autentisering). Det er ikke satt noen sperrer for pålogging utenfor skolens nettverk. I praksis er det derfor fullt mulig for ansatte å logge seg på læringsplattformen når og hvor som helst. Datatilsynet bemerker at Asker kommune ved Borgen skole skal ha tilfredsstillende informasjonssikkerhet. Det kan for eksempel oppnås ved å utføre klassifisering av systemene 10 av 12

11 som skolen bruker, og dersom det er system som behandler sensitive opplysninger, bør en vurdere om disse skal inn i sikker sone. Dersom et informasjonssystem, som inneholder personopplysninger om mange elever, skal gjøres tilgjengelig for ansatte fra utsiden av den ansvarlige virksomheten, er Datatilsynets vurdering at det kreves en sterkere autentisering enn brukernavn og passord. Med sterk autentisering menes for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til fagapplikasjonen. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til informasjonssystemet. I læringsplattformen, som er tilgjengelig for ansatte, er det personopplysninger om mange elever som må beskyttes. Den er tilgjengelig for pålogging over Internett med svak autentisering. Dette er ikke tilfredsstillende. Svak autentisering for ansattes pålogging til læringsplattform over eksterne nett og på elevnett, gir ikke tilfredsstillende informasjonssikkerhet. Dette er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-1, 2-2, 2-11 og Rutiner for bruk av informasjonssystemer Personopplysningsloven 13, jf. personopplysningsforskriften 2-7 første og femte ledd og 2-8 stiller som krav til den behandlingsansvarlige at det skal etableres klare ansvars- og myndighetsforhold for bruk av informasjonssystemene. Personopplysningsforskriften 2-7 femte ledd pålegger at det skal utarbeides skriftlige rutiner for bruken av alle informasjonssystem som inneholder personopplysninger. Videre pålegger forskriften 2-8 andre ledd at alle medarbeidere som bruker informasjonssystemene skal ha nødvendig kunnskap til å bruke disse i samsvar med de rutinene som er bestemt. Asker kommune har ingen skriftlige rutiner for hva og hvordan læringsplattformen skal, og ikke skal, brukes til. Manglende skriftlige rutiner for hvordan læringsplattformen skal brukes er et avvik, jf. personopplysningsloven 13, jf. forskriften 2-7 første og femte ledd og 2-8 andre ledd. 2 Teksten er endret noe fra varselet, men endringen består i hovedsak av en presisering og endrer således ikke innholdet i pålegget. 11 av 12

12 6.4 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Asker kommune v/ Borgen ungdomsskole bruker følgende databehandlere: It s Learning (læringsplattform) Oppad (skoleadministrativt system) Conexus (VOKAL prøve- og kartleggingsadminitrasjon) Cyberbook AS Creaza AS Forlagshuset Vigmostad & Bjørke AS Kikora Avtalen med Cyberbook AS inneholder ikke informasjon om: Hvordan dataene skal behandles hos databehandleren, herunder Konkret hvilke digitale verktøy avtalen omfatter, og rutiner for bruk av personopplysninger i de enkelte verktøyene Konkret hvilke personopplysninger verktøyene lagrer Formålet med behandlingen hva brukes de enkelte verktøyene til og hvorfor er det nødvendig å lagre personopplysninger Avtalen med Creaza AS inneholdt ikke informasjon om: Hvordan dataene skal behandles hos databehandleren, herunder Konkret hvilke digitale verktøy avtalen omfatter, og rutiner for bruk av personopplysninger i de enkelte verktøyene Formålet med behandlingen hva brukes de enkelte verktøyene til og hvorfor er det nødvendig å lagre personopplysninger Avtalens varighet Opplysninger om avtalens varighet Mangelfulle databehandleravtaler med Cyberbook AS og Creaza AS er et avvik, jf. personopplysningsloven 15, jf. forskriften av 12