Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014



Like dokumenter
Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/ /MEI 5. november 2014

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Vi viser til Datatilsynets kontroll hos Lier kommune ved Høvik skole den 21. mars 2014 og vårt varsel om vedtak 27. juni 2014.

Vår referanse (bes oppgitt ved svar)

Vår referanse (bes oppgitt ved svar)

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport - Flekkefjord kommune - Internkontroll og informasjonssikkerhet

Vedtak - Endelig kontrollrapport for Hovedredningssentralen Nord-Norge Internkontroll og informasjonssikkerhet

Varsel om pålegg - Personvern og informasjonssikkerhet i smartklokker for barn - PepCall AS

Foreløpig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Pålegg om stans av behandling av personopplysninger - Gator AS

Vedrørende publisering av personopplysninger på nettstedet - Varsel om vedtak

Endelig kontrollrapport

13/ /MEP 26. mars Vedtak om pålegg og endelig kontrollrapport - Interkommunal øyeblikkelig hjelp - Kongsvinger kommune

Det vises til Datatilsynets kontroll hos NextGenTel AS 27. april 2011 og Datatilsynets varsel om vedtak av 3. juni 2011.

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

om konsesjon til å behandle personopplysninger i forbindelse med program om antidoping ved treningssentre.

AVTALE OM BEHANDLING AV PERSONOPPLYSNINGER I HENHOLD TIL PERSONOPPLYSNINGSLOVEN. Felles Studentsystem (FS)

Klage fra SpareBank 1 Markets AS på Datatilsynets vedtak

Vedtak - Endelig kontrollrapport - Justis -og beredskapsdepartementet - Internkontroll og informasjonssikkerhet

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Høring - Endringer i eforvaltningsforskriften - Digital kommunikasjon som

Vedlegg 6. Versjon Databehanlderavtale. Busstjenster Årnes Gardermoen 2016

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Stavanger Taxi - Kameraovervåking av taxi

Databehandleravtale. Denne avtalen er inngått mellom

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Endelig kontrollrapport

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Bedre personvern i skole og barnehage

Det vises til Datatilsynets tilsynets varsel om vedtak og overtredelsesgebyr av 16. april 2013 og virksomhetens merknader i brev av 14. mai 2013.

Kontrollobjekt: Østfold fylkeskommune, Malakoff videregående skole Sted: Moss

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Foreløpig kontrollrapport

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Databehandleravtaler

Velferdsteknologi og personvern. Camilla Nervik, Datatilsynet

Det vil også være mulig å la seg registrere med opplysningen Har ingen verv eller økonomiske interesser.

Bilag 14 Databehandleravtale

Oslo kommune Utdanningsetaten

Deres referanse Vår referanse Dato 15/ /JSK

Endelig kontrollrapport

Endelig kontrollrapport

Kontroll av Follo legevakt Vedtak om pålegg og endelig kontrollrapport

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

Omgjøring av vedtak om delvis avslag på søknad om endring av konsesjon til Regional Forskningsbiobank Midt-Norge

Bruk av skytjenester Sikkerhet, personvern og juridiske forhold i skyen. Hallstein Husand, fagdirektør IKA Trøndelag Trondheim 24.

Vedtak om pålegg og overtredelsesgebyr Kameraovervåking hos Mona Lisa huset

Personvern - sjekkliste for databehandleravtale

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Deres ref Vår ref (bes oppgitt ved svar) Dato

Vedtak om pålegg - endelig kontrollrapport kontroll hos Direktoratet for arbeidstilsynet

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Databehandleravtale. I henhold til gjeldende norsk personopplysningslovgivning og EUs Personvernforordning 2016/679 inngås følgende avtale.

Høringsuttalelse - Forslag til endringer i sprøyteromsordningen

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Vår referanse (bes oppgitt ved svar)

Kontroll hos TV2 Sumo Internettbaserte TV-tjenester

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Endelig Kontrollrapport

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Endelig kontrollrapport

Endelig kontrollrapport

Databehandleravtale for NLF-medlemmer

Vår referanse (bes oppgitt ved svar)

Kommentarer til bestemmelser og temaer i vernepliktsforskriften

2016/1 l434/hesk 16/ /TJU Pålegg om overtredelsesgebyr - Misbruk av kamerasystem - NTNU - Olympiatoppen Midt-Norge

Databehandleravtale digitale arkiv og uttrekk for deponering

Det vises til Datatilsynets kontroll hos Brønnøy kommune den 6. juni 2013 varsel om vedtak 13. juni 2013.

Statens vegvesen. Behandlende enhet: Saksbehandler/innvalgsnr: Vår referanse: Deres referanse: Vår dato:

Vår referanse (bes oppgitt ved svar) 12/ /CBR

Endelig kontrollrapport

Informasjon interesseorganisasjoner

Foreløpig kontrollrapport

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Vår referanse (bes oppgitt ved svar)

Databehandleravtale. mellom. [NAVN], org.nr. [ ], [Adresse] heretter «Databehandler» Xledger AS org.nr , Østensjøveien OSLO

Foreløpig kontrollrapport

Arkiv skal ikkje førast ut or landet

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

AVTALE OM BEHANDLING AV HELSE- OG PERSONOPPLYSNINGER (DATABEHANDLERAVTALE) I FORBINDELSE MED DRIFT AV HELSENETTET OG TILKNYTTEDE TJENESTER

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Endelig kontrollrapport

Klage på standpunktkarakter

BEHANDLING AV PERSONOPPLYSNINGER

Vedtak om pålegg - Endelig kontrollrapport for Direktoratet for naturforvaltning - Internkontroll og informasjonssikkerhet

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Endelig kontrollrapport

TILSYNSRAPPORT - VEDTAK

Vedtak om pålegg - Endelig kontrollrapport for Fiskeridirektoratet Internkontroll og informasjonssikkerhet

Transkript:

Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets brevkontroll med Finnmark fylkeskommune ved Alta videregående skole den 21. november 2013, deres tilsvar 1. april 2014, og vårt varsel om vedtak 6. august 2014. Frist for tilsvar på varsel om vedtak ble utsatt til 10. oktober 2014. Vurdering av tilsvar Datatilsynet mottok deres kommentarer til vårt varslede vedtak i brev av 7. oktober 2014. I e- post av 25. november 2014 ba vi om noen utfyllende opplysninger og fikk svar på disse i e- post korrespondanse de tre påfølgende dagene. Vi legger til grunn at dere ikke har merknader til innholdet i vårt varsel om vedtak og vedtakspunktene som sådan. Vedtakene fattes dermed i tråd med varselet. Finnmark fylkeskommune foreslår selv enkelte frister for å lukke avvik. Datatilsynet har ikke merknader til deres foreløpige plan for å lukke avvik og legger de angitte tidsfristene til grunn som frister i vedtak om pålegg. Der hvor tidsangivelsen enten mangler eller er noe vag har vi tatt oss den frihet å spesifisere en frist. Vi har følgende kommentarer til det som fremkommer av deres gjennomgang av pålegg: Pålegg 1 Informasjon Alle elever som søker videregående opplæring gjennom søkeportalen vigo.no må krysse av for at de har lest og forstått at fylkeskommunen lagrer og bruker personopplysninger. Finnmark fylkeskommune mener at denne rutinen tilfredsstiller kravet til den informasjon som skal gis elevene om hvordan deres personopplysninger blir behandlet av fylkeskommunen. Datatilsynet er ikke enig i at den informasjonen som gis gjennom vigo.no er tilstrekkelig. Vigo.no er en felles kanal som gjelder all søknad på videregående opplæring. Fylkeskommunene som er tilknyttet denne kanalen kan ha ulike informasjonssystemer og ulike rutiner for hvordan personopplysninger behandles. Finnmark fylkeskommune har en forpliktelse til å informere spesifikt om hvor og hvordan personopplysninger behandles ved sine skoler. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO

Vi har fått tilsendt skjermdump av den informasjonen som elevene krysser av for å ha lest og godtatt i vigo.no. Dette er informasjon om hvordan personopplysninger behandles i forbindelse med opptak. Fylkeskommunens plikt til å informere strekker seg lengre enn dette. Fylkeskommunen skal informere om sine informasjonssystemer og hvordan personopplysninger om elevene blir behandlet i den perioden de er tilknyttet videregående opplæring. På bakgrunn av ovenstående opprettholder vi konklusjonen om avvik på dette punktet. Pålegg 2 - Innsyn Finnmark fylkeskommune erklærer at rutiner for innsyn i personopplysninger vil være på plass innen 1. mai 2015. Tiltak og tidsplan ser rimelig ut. Pålegg 3 - Sletting Finnmark fylkeskommune erklærer at rutiner for sletting vil utarbeides for de informasjonssystemene som ikke har slike rutiner. Det er ikke angitt tidsfrist for når slike rutiner skal være på plass. Datatilsynet legger til grunn at rutiner for sletting kan være på plass innen 1. mai 2015. Pålegg 4 - Sikkerhetstiltak Finnmark fylkeskommune erklærer at rutiner for tilgangsstyring skal utarbeides. Det er ikke angitt tidsfrist for når slike rutiner skal være på plass. Datatilsynet legger til grunn at rutine for tilgangsstyring kan være på plass innen 1. mai 2015. Pålegg 5 - Risikovurdering Finnmark fylkeskommune erklærte i brev av 7. oktober 2014 at de har rutine for risikovurdering av informasjonssystemer. Da Datatilsynet etterlyste eksempel på gjennomført risikovurdering kunne fylkeskommunen imidlertid ikke fremlegge dette. Vi opprettholder derfor avvikspunktet. Datatilsynet legger til grunn at rutine for faktisk gjennomføring av risikovurdering kan være på plass innen 1. mai 2015. Pålegg 6 - Databehandleravtaler Finnmark fylkeskommune erklærer i brev av 7. oktober 2014 at databehandleravtaler er inngått. Datatilsynet ba i e-post av 25. november 2014 om å få tilsendt databehandleravtalene, og fikk i e-post av 27. november 2014 tilsendt databehandleravtale med IST. Datatilsynet forstår dette slik som at Finnmark fylkeskommune er av den oppfatning at IST er den eneste leverandøren av informasjonssystemer til skolen som det er nødvendig å ha databehandleravtale med. Datatilsynet har kommentarer både til den oversendte avtalen og fylkeskommunens vurdering av at de ikke er behov for øvrige avtaler. 2

Avtalen med IST Etter vår vurdering har den oversendte avtalen vesentlige mangler med hensyn til hva en databehandleravtale skal inneholde. Hensikten med en databehandleravtale er å synliggjøre hvilke personopplysninger som lagres hvor og til hvilket formål. I tillegg er det viktig å synliggjøre ansvarsforhold og hvem som har tilgang til opplysningene. Avtalen vi har fått tilsendt inneholder ingen informasjon om hvilke informasjonssystemer avtalen gjelder for. Av deres svarbrev av 7. oktober 2014 fremgår det at Alta videregående skole bruker OTTO, SATS og Skolearena Dette er informasjonssystemer som leveres av IST, og vi antar at avtalen skal gjelde for disse. Det er imidlertid kun angitt at avtalen gjelder for «bruk av datasystemer for videregående skole». Dette er for lite konkret. Det er nødvendig å spesifisere informasjonssystemer for å kunne angi konkret hvilke personopplysninger som lagres hvor, hvor lenge, hva de skal brukes til og hvem som har tilgang. Avtalen med IST inneholder ikke informasjon om: Hvordan dataene skal behandles hos databehandleren, herunder Konkret hvilke digitale verktøy avtalen omfatter, og rutiner for bruk av personopplysninger i de enkelte verktøyene Konkret hvilke personopplysninger verktøyene lagrer Formålet med behandlingen hva brukes de enkelte verktøyene til og hvorfor er det nødvendig å lagre personopplysninger Avtalen er ikke datert Om vurderingen av at det ikke er behov for flere databehandleravtaler En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. I henhold til svarbrev av 7. oktober 2014 bruker Finnmark fylkeskommune v/ Alta videregående skole blant annet følgende informasjonssystemer/programvarer: SATS (skoleadministrativt system) OTTO (registrering av ungdom uten skoleplass) Skolearena (fravær, karakterer og merknader) Fronter (læringsplattform) Mikromarc (låneregistrering bibliotek) Novaschem (timeplanprogram) 3

De tre første informasjonssystemene leveres av IST, og omfattes av punktet ovenfor. Avtale finnes, men er mangelfull og må suppleres. Fronter inneholder utvilsomt personopplysninger og bruk krever databehandleravtale. De øvrige informasjonssystemene mener vi på bakgrunn av egne undersøkelser også inneholder personopplysninger og krever databehandleravtale. Dersom dere er av en annen oppfatning må dere gjerne legge frem dokumentasjon som understøtter dette. I og med at avtale kun er inngått med IST, og ikke de andre leverandørene av informasjonssystemer som behandler personopplysninger, opprettholder vi avvikspunktet. Det forventes at Finnmark fylkeskommune foretar en gjennomgang av alle informasjonssystemer og programvarer som er i bruk ved de videregående skolene i fylket, og tar stilling til følgende: 1. Registreres det opplysninger som direkte eller indirekte kan knyttes til enkeltpersoner (e-post, IP-adresse, initialer, navn, klasse, annet som er egnet til å identifisere) 2. Har leverandør av informasjonssystemet/programvaren tilgang til de opplysningene som kan identifisere personer. For de tilfellene hvor svaret er ja på begge disse spørsmålene må Finnmark fylkeskommune inngå databehandleravtale. Vedtak om pålegg Med hjemmel i personopplysningslovens 46 fatter Datatilsynet følgende pålegg: 1. Finnmark fylkeskommune må gi tilstrekkelig informasjon til elever og foresatte i samsvar med personopplysningslovens 14, jf. personopplysningsforskriften 3-1 bokstav d. Vi viser til vurderingen i varselbrevets punkt 3 og dette brevets pålegg 1. 2. Finnmark fylkeskommune må lage rutine for å sikre at innsyn i personopplysninger foretas i samsvar med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. Vi viser til vurderingen i varselbrevets punkt 4. 4

3. Finnmark fylkeskommune må lage rutine for å sikre at sletting av personopplysninger foretas i samsvar med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. Vi viser til vurderingen i varselbrevets punkt 5. 4. Finnmark fylkeskommune må dokumentere tilfredsstillende informasjonssikkerhet ved at tilgangsstyringen i systemene beskrives i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-7, 2-8, 2-11 og 2-14. Vi viser til vurderingen i varselbrevets punkt 6. 5. Finnmark fylkeskommune må dokumentere tilfredsstillende informasjonssikkerhet for informasjonssystemet. Risikovurderinger må gjennomføres, dokumenteres og gjentas ved endringer som har betydning for informasjonssikkerhet, i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og 2-16. Vi viser til vurderingen i punkt 6 og dette brevets pålegg 5. 6. Finnmark fylkeskommune må inngå databehandleravtaler med alle som får tilgang til/behandler personopplysninger på vegne av fylkeskommunen, jf. personopplysningsloven 15, jf. personopplysningsforskriften 2-15. Dette gjelder for eksempel Fronter (læringsplattform), Mikromarc (låneregistrering bibliotek) og Novaschem (timeplanprogram). Vi viser til vurderingen i punkt 7 og dette brevets pålegg 6. Mangelfull databehandleravtale med IST er et avvik, jf. personopplysningsloven 15, jf. forskriften 2-15. Databehandleravtale må inngås for bruken av SATS (skoleadministrativt system), OTTO (registrering av ungdom uten skoleplass) og Skolearena (fravær, karakterer og merknader) Frist for gjennomføring av samtlige pålegg er 1. mai 2015. Finnmark fylkeskommune må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt krever vi ikke ytterligere dokumentasjon på at pålegget er gjennomført. Vi gjør imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 5

Klageadgang Dere kan klage på dette vedtaket i henhold til forvaltningslovens bestemmelser. Dere må fremsette en eventuell klage overfor Datatilsynet senest 22. desember 2014. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Martha Eike senioringeniør Eirin Oda Lauvset seniorrådgiver Kopi til: Alta videregående skole, 9509 ALTA 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding