Behandling av personopplysninger DIGITAL ARENA BARNEHAGE 2018 Tone Tenold
PERSONVERN - grunnleggende prinsipper Personvern handler om retten til privatliv og retten til å bestemme over sine egne personopplysninger. Reguleres av lover i Norge. I 2018 kommer en styrking av individets rett til reell kontroll over egne personopplysninger.
Lover og forskrifter Lov om behandling av personopplysninger Forskrift om behandling av personopplysninger Forskrift om rammeplan for barnehagen Lov om arkiv Datatilsynets råd Informasjonssikkerhet i barnehagen UDIR (nytt 2018: direktoratet for barnehage, grunnopplæring og IKT)
Rammeplan for barnehagen Kapittel 7.3 «Barn har rett til vern om sin personlige integritet. Et etisk perspektiv skal derfor ligge til grunn ved dokumentasjon av barnegruppen og enkeltbarn». «Personopplysninger skal behandles i samsvar med personopplysningsloven. Med behandling av personopplysninger menes all innsamling, registrering, sammenstilling, lagring og utlevering av opplysninger og vurderinger som kan knyttes til en enkeltperson.»
NYE PLIKTER FOR BEDRIFTER- NYE RETTIGHETER TIL ENKELTPERSONER 1. Lovlig, rettferdig og gjennomsiktig. Nytt lovverk i Norge 2018 GDPR (General Data Protection Regulation ) Eus forordning for personvern blir del av norsk rett når den er innlemmet i EØS avtalen og vedtatt i norsk lov frist 25.mai 2018 2. Formålet med registreringene skal oppgis. 3. Dataminering- ingen unødvendige registreringer 4.Riktighet 5. Lagringsbegrensing- retten til å bli glemt 6.Integritet og fortrolighet 7. Ansvarlighet fra behandlingsansvarlig og databehandler
RISIKOIDENTIFISERING I BARNEHAGEN -Hva kan forårsake avvik? «For å kunne påstå at sikkerhetsnivået er tilfredsstillende, må behandlingsansvarlig gjøre en vurdering av hvilke trusler opplysningene er utsatt for og hvilke konsekvenser det vil kunne få dersom disse truslene blir realisert.» (Datatilsynet)
Tre aspekter må vurderes innen informasjonssikkerhet 1. KONFIDENSIALITET 2. TILGJENGELIGHET 3. INTEGRITET Hvor sannsynlig er det at en uønsket hendelse skal inntreffe? Hvor alvorlig er konsekvensene dersom en uønsket hendelse inntreffer? Risiko betegner forholdet mellom sannsynlighet for at en uønsket hendelse skal inntreffe og konsekvensene dersom dette skjer.
BRUDD PÅ KONFIDENSIALITETEN - Hva kan gå galt? Konfidensialitet Personopplysninger skal ikke bli kjent for uvedkommende. Foreldre eller ansatte legger ut bilder eller andre personopplysninger fra barnehagen i sosiale medier? Nøkkel til barnehagens arkivskap er lett tilgjengelig for uvedkommende? Personopplysninger blir sendt til feil person på e-post? E-poster med helseopplysninger, eller andre sensitive opplysninger, sendes til eksterne instanser (PPT, skole osv.) uten bruk av sikring (kryptering)? Foreldre overhører samtaler ansatte imellom, eller mellom ansatte og andre foreldre, om forhold som de ikke burde vært kjent med? Styrer blir frastjålet sin bærbare pc.- som inneholder personopplysninger? Ansatte snakker med bekjente utenom arbeidstid og disse får informasjon som skulle vært forbeholdt personer tilknyttet barnehagen? Ekstern databehandler har ikke systemer som tilstrekkelig sikrer personopplysningene? Og så videre
BRUDD PÅ INTEGRITETEN - Hva kan gå galt? Viktige beskjeder når ikke frem til riktig mottaker fordi telefonlisten ikke er oppdatert? Opplysningene i papirarkivet er ikke de samme som opplysningene i styrers datasystem? Ansatte legger ut bilde av barn selv om foreldrene ikke har samtykket til deling med andre foreldre? Integritet Personopplysninger skal ikke endres eller slettes utilsiktet eller av uvedkommende. Det skal ikke finnes flere versjoner av de samme opplysninger. Opplysninger blir overført til skolen uten at foreldrene har samtykket? Informasjon blir utilgjengelig fordi den bevisst eller ubevisst blir slettet? Personopplysninger blir ikke slettet når formålet med behandlingen er gjennomført? Kun nødvendige opplysninger skal registreres. Opplysningene skal til enhver tid være korrekte. Når vi ikke trenger personopplysningene lenger skal de slettes.
Integritet-Bilder Forskrift om rammeplan for barnehagens innhold og oppgaver 2017 sier: «Barnehagen skal utøve digital dømmekraft og bidra til at barna utvikler en begynnende etisk forståelse knyttet til digitale medier» FNs konvensjon om barns rettigheter er en del av menneskerettsloven: «Barn har rett til å si sin mening i alt som angår det. Barnets mening skal telle.» Ivaretakelse av barnets integritet: Får jeg ta et bilde av deg? Kan jeg dele bildet med de andre i barnehagen? Vil barnet synes det er greit, også når de blir større? Varsomhet, samtykke og passe mengde bilder! Del bilder via trygge kanaler.
BRUDD PÅ TILGJENGELIGHET - Hva kan gå galt? Tilgjengelighet Personopplysningene skal være tilgjengelig for ansatte som har et reelt behov for det for utføre jobben sin med barnet og familien. Foreldre har rett til å få tilgang til tilstrekkelig informasjon fra barnehagen i saker som omhandler deres barn. Viktig informasjon er ikke tilgjengelig ved behov fordi informasjonen er lagret på et område som den ansatte ikke har tilgang til? Ansatte får ikke tilgang til elektronisk lagret informasjon fordi datamaskinen eller datanettverket ikke er tilgjengelig? Viktig informasjon blir utilgjengelig fordi passordet til en minnepinne blir glemt? Viktige meldinger til foreldre blir ikke sendt ut i en krisesituasjon fordi den som har tilgang til å sende SMS ikke er på jobb? Foreldre får ikke nok informasjon om hva de samtykker til? Far eller mor til barnet får ikke nok informasjon om barnet sitt fra barnehagen fordi det er den andre som henter barnet og informasjonen er på oppslagstavlen i barnehagen eller gis kun muntlig?
Informasjon til foreldre Velg hvilken kanal dere ønsker å benytte som informasjonskanal og til kommunikasjon med foreldre og vær konsekvent med å bruke denne! (Datatilsynets samlerapport: Personvern i skole og barnehage)
Rutiner i barnehagen Elektronisk lagring av personopplysninger Arkivskap med personopplysninger Bildebehandling Felles retningslinjer for alle ansatte Kontroll med databehandlere Samtykke og rett til innsyn Regler for hvordan personopplysninger ang. barn og familie håndteres Regler for hvordan personopplysningene på ansatte behandles Årlige kontroller av at rutiner for å hinder avvik gjennomføres i praksis Håndtering av avvik og meldinger til datatilsynet Osv
Rammeplan for barnehagen: Samtykke Kapittel 6 DOKUMENTASJON «Barnehagen må ha samtykke fra foreldrene for å dele opplysninger om enkeltbarn med skolen.» Kapittel 7 DOKUMENTASJON «Dersom barnehagen skal utlevere personopplysninger om barnet til andre instanser og det ikke foreligger lovhjemmel, må foreldrene samtykke til dette.» «Kravet om samtykke fra foreldrene gjelder for eksempel ikke i tilfeller der personalet deler personopplysninger med barnevernet for å oppfylle opplysningsplikten i barnehageloven 22.»
Rammeplan for barnehagen: Rett til innsyn Kapittel 7 DOKUMENTASJON «Foreldre har rett til å se og få utlevert dokumentasjon om egne barn, og til å få slettet eller korrigert opplysninger som er feilaktige eller misvisende.»
FORSLAG TIL PRAKTISK GJENNOMFØRING 1. Risikoanalyse gjennomføres for å kartlegge hva som kan gå galt og hvilke rutiner som trengs innen informasjonssikkerhet. 2. Rutiner sikrer at alle i barnehagen handler i tråd med regelverket. 3. Databehandleravtaler regulerer eksterne databehandlere og sørger for å ansvarliggjøre dem som har tilgang til personopplysninger. Informasjonssikkerhet -en del av HMS-arbeidet 4. Foreldre og ansatte skal få informasjon på en lett forståelig måte slik at de forstår hvordan personopplysninger behandles. De registrerte skal vite hva som registreres, formålet med innsamlingen, hvordan opplysningene er beskyttet, når de blir slettet og hvilke rettigheter de selv har for samtykke, innsyn, retting og sletting. 5. Behandlingsansvarlig er ansvarlig for nok opplæring til alle ansatte, og at alle følger barnehagens felles retningslinjer for å ivareta informasjonssikkerheten. 6. Avvik skal meldes og behandles oftere enn før. Ved brudd på konfidensialiteten registreres avviket og behandlingen direkte hos datatilsynet innen 72 timer. 7. Risikovurdering («Risikoevaluering») skal gjennomføres jevnlig-helst en gang i året (Datatilsynet). Årlig risikovurdering innen informasjonssikkerheten er en kontroll på at barnehagens rutiner gjennomføres i praksis av alle med tilgang til personopplysninger.
Personopplysninger og sensitive opplysninger skal lagres på passordbeskyttet område. Det bør være mulighet for de registrerte å endre eller legge til egne opplysninger. Rettighetskontroll sikrer høy grad av integritet og konfidensialitet. Del opplysninger med dem som trenger det for å gjøre jobben sin, og med dem som eier opplysningene. Felles retningslinjer for informasjonssikkerhet for alle som får tilgang til personopplysninger! Avvik skal registreres og behandles. Ivareta personvernet!
Sikkerhetssystemer: StyrerAssistenten PersonalWeb ebarnehage ALT I ET SYSTEM: SIKKER DELING MED DE RIKTIGE PERSONENE! www.barn-nett.no FØLG OSS PÅ FACEBOOK!