Finnmark fylkeskommune Fylkeshuset 9815 VADSØ Deres referanse Vår referanse Dato 201300056-69 13/01250-14/EOL 04.12.2014 Vedtak om pålegg - Brevkontroll ved Alta videregående skole Vi viser til Datatilsynets brevkontroll med Finnmark fylkeskommune ved Alta videregående skole den 21. november 2013, deres tilsvar 1. april 2014, og vårt varsel om vedtak 6. august 2014. Frist for tilsvar på varsel om vedtak ble utsatt til 10. oktober 2014. Vurdering av tilsvar Datatilsynet mottok deres kommentarer til vårt varslede vedtak i brev av 7. oktober 2014. I e- post av 25. november 2014 ba vi om noen utfyllende opplysninger og fikk svar på disse i e- post korrespondanse de tre påfølgende dagene. Vi legger til grunn at dere ikke har merknader til innholdet i vårt varsel om vedtak og vedtakspunktene som sådan. Vedtakene fattes dermed i tråd med varselet. Finnmark fylkeskommune foreslår selv enkelte frister for å lukke avvik. Datatilsynet har ikke merknader til deres foreløpige plan for å lukke avvik og legger de angitte tidsfristene til grunn som frister i vedtak om pålegg. Der hvor tidsangivelsen enten mangler eller er noe vag har vi tatt oss den frihet å spesifisere en frist. Vi har følgende kommentarer til det som fremkommer av deres gjennomgang av pålegg: Pålegg 1 Informasjon Alle elever som søker videregående opplæring gjennom søkeportalen vigo.no må krysse av for at de har lest og forstått at fylkeskommunen lagrer og bruker personopplysninger. Finnmark fylkeskommune mener at denne rutinen tilfredsstiller kravet til den informasjon som skal gis elevene om hvordan deres personopplysninger blir behandlet av fylkeskommunen. Datatilsynet er ikke enig i at den informasjonen som gis gjennom vigo.no er tilstrekkelig. Vigo.no er en felles kanal som gjelder all søknad på videregående opplæring. Fylkeskommunene som er tilknyttet denne kanalen kan ha ulike informasjonssystemer og ulike rutiner for hvordan personopplysninger behandles. Finnmark fylkeskommune har en forpliktelse til å informere spesifikt om hvor og hvordan personopplysninger behandles ved sine skoler. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO
Vi har fått tilsendt skjermdump av den informasjonen som elevene krysser av for å ha lest og godtatt i vigo.no. Dette er informasjon om hvordan personopplysninger behandles i forbindelse med opptak. Fylkeskommunens plikt til å informere strekker seg lengre enn dette. Fylkeskommunen skal informere om sine informasjonssystemer og hvordan personopplysninger om elevene blir behandlet i den perioden de er tilknyttet videregående opplæring. På bakgrunn av ovenstående opprettholder vi konklusjonen om avvik på dette punktet. Pålegg 2 - Innsyn Finnmark fylkeskommune erklærer at rutiner for innsyn i personopplysninger vil være på plass innen 1. mai 2015. Tiltak og tidsplan ser rimelig ut. Pålegg 3 - Sletting Finnmark fylkeskommune erklærer at rutiner for sletting vil utarbeides for de informasjonssystemene som ikke har slike rutiner. Det er ikke angitt tidsfrist for når slike rutiner skal være på plass. Datatilsynet legger til grunn at rutiner for sletting kan være på plass innen 1. mai 2015. Pålegg 4 - Sikkerhetstiltak Finnmark fylkeskommune erklærer at rutiner for tilgangsstyring skal utarbeides. Det er ikke angitt tidsfrist for når slike rutiner skal være på plass. Datatilsynet legger til grunn at rutine for tilgangsstyring kan være på plass innen 1. mai 2015. Pålegg 5 - Risikovurdering Finnmark fylkeskommune erklærte i brev av 7. oktober 2014 at de har rutine for risikovurdering av informasjonssystemer. Da Datatilsynet etterlyste eksempel på gjennomført risikovurdering kunne fylkeskommunen imidlertid ikke fremlegge dette. Vi opprettholder derfor avvikspunktet. Datatilsynet legger til grunn at rutine for faktisk gjennomføring av risikovurdering kan være på plass innen 1. mai 2015. Pålegg 6 - Databehandleravtaler Finnmark fylkeskommune erklærer i brev av 7. oktober 2014 at databehandleravtaler er inngått. Datatilsynet ba i e-post av 25. november 2014 om å få tilsendt databehandleravtalene, og fikk i e-post av 27. november 2014 tilsendt databehandleravtale med IST. Datatilsynet forstår dette slik som at Finnmark fylkeskommune er av den oppfatning at IST er den eneste leverandøren av informasjonssystemer til skolen som det er nødvendig å ha databehandleravtale med. Datatilsynet har kommentarer både til den oversendte avtalen og fylkeskommunens vurdering av at de ikke er behov for øvrige avtaler. 2
Avtalen med IST Etter vår vurdering har den oversendte avtalen vesentlige mangler med hensyn til hva en databehandleravtale skal inneholde. Hensikten med en databehandleravtale er å synliggjøre hvilke personopplysninger som lagres hvor og til hvilket formål. I tillegg er det viktig å synliggjøre ansvarsforhold og hvem som har tilgang til opplysningene. Avtalen vi har fått tilsendt inneholder ingen informasjon om hvilke informasjonssystemer avtalen gjelder for. Av deres svarbrev av 7. oktober 2014 fremgår det at Alta videregående skole bruker OTTO, SATS og Skolearena Dette er informasjonssystemer som leveres av IST, og vi antar at avtalen skal gjelde for disse. Det er imidlertid kun angitt at avtalen gjelder for «bruk av datasystemer for videregående skole». Dette er for lite konkret. Det er nødvendig å spesifisere informasjonssystemer for å kunne angi konkret hvilke personopplysninger som lagres hvor, hvor lenge, hva de skal brukes til og hvem som har tilgang. Avtalen med IST inneholder ikke informasjon om: Hvordan dataene skal behandles hos databehandleren, herunder Konkret hvilke digitale verktøy avtalen omfatter, og rutiner for bruk av personopplysninger i de enkelte verktøyene Konkret hvilke personopplysninger verktøyene lagrer Formålet med behandlingen hva brukes de enkelte verktøyene til og hvorfor er det nødvendig å lagre personopplysninger Avtalen er ikke datert Om vurderingen av at det ikke er behov for flere databehandleravtaler En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. I henhold til svarbrev av 7. oktober 2014 bruker Finnmark fylkeskommune v/ Alta videregående skole blant annet følgende informasjonssystemer/programvarer: SATS (skoleadministrativt system) OTTO (registrering av ungdom uten skoleplass) Skolearena (fravær, karakterer og merknader) Fronter (læringsplattform) Mikromarc (låneregistrering bibliotek) Novaschem (timeplanprogram) 3
De tre første informasjonssystemene leveres av IST, og omfattes av punktet ovenfor. Avtale finnes, men er mangelfull og må suppleres. Fronter inneholder utvilsomt personopplysninger og bruk krever databehandleravtale. De øvrige informasjonssystemene mener vi på bakgrunn av egne undersøkelser også inneholder personopplysninger og krever databehandleravtale. Dersom dere er av en annen oppfatning må dere gjerne legge frem dokumentasjon som understøtter dette. I og med at avtale kun er inngått med IST, og ikke de andre leverandørene av informasjonssystemer som behandler personopplysninger, opprettholder vi avvikspunktet. Det forventes at Finnmark fylkeskommune foretar en gjennomgang av alle informasjonssystemer og programvarer som er i bruk ved de videregående skolene i fylket, og tar stilling til følgende: 1. Registreres det opplysninger som direkte eller indirekte kan knyttes til enkeltpersoner (e-post, IP-adresse, initialer, navn, klasse, annet som er egnet til å identifisere) 2. Har leverandør av informasjonssystemet/programvaren tilgang til de opplysningene som kan identifisere personer. For de tilfellene hvor svaret er ja på begge disse spørsmålene må Finnmark fylkeskommune inngå databehandleravtale. Vedtak om pålegg Med hjemmel i personopplysningslovens 46 fatter Datatilsynet følgende pålegg: 1. Finnmark fylkeskommune må gi tilstrekkelig informasjon til elever og foresatte i samsvar med personopplysningslovens 14, jf. personopplysningsforskriften 3-1 bokstav d. Vi viser til vurderingen i varselbrevets punkt 3 og dette brevets pålegg 1. 2. Finnmark fylkeskommune må lage rutine for å sikre at innsyn i personopplysninger foretas i samsvar med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. Vi viser til vurderingen i varselbrevets punkt 4. 4
3. Finnmark fylkeskommune må lage rutine for å sikre at sletting av personopplysninger foretas i samsvar med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. Vi viser til vurderingen i varselbrevets punkt 5. 4. Finnmark fylkeskommune må dokumentere tilfredsstillende informasjonssikkerhet ved at tilgangsstyringen i systemene beskrives i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-7, 2-8, 2-11 og 2-14. Vi viser til vurderingen i varselbrevets punkt 6. 5. Finnmark fylkeskommune må dokumentere tilfredsstillende informasjonssikkerhet for informasjonssystemet. Risikovurderinger må gjennomføres, dokumenteres og gjentas ved endringer som har betydning for informasjonssikkerhet, i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og 2-16. Vi viser til vurderingen i punkt 6 og dette brevets pålegg 5. 6. Finnmark fylkeskommune må inngå databehandleravtaler med alle som får tilgang til/behandler personopplysninger på vegne av fylkeskommunen, jf. personopplysningsloven 15, jf. personopplysningsforskriften 2-15. Dette gjelder for eksempel Fronter (læringsplattform), Mikromarc (låneregistrering bibliotek) og Novaschem (timeplanprogram). Vi viser til vurderingen i punkt 7 og dette brevets pålegg 6. Mangelfull databehandleravtale med IST er et avvik, jf. personopplysningsloven 15, jf. forskriften 2-15. Databehandleravtale må inngås for bruken av SATS (skoleadministrativt system), OTTO (registrering av ungdom uten skoleplass) og Skolearena (fravær, karakterer og merknader) Frist for gjennomføring av samtlige pålegg er 1. mai 2015. Finnmark fylkeskommune må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt krever vi ikke ytterligere dokumentasjon på at pålegget er gjennomført. Vi gjør imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 5
Klageadgang Dere kan klage på dette vedtaket i henhold til forvaltningslovens bestemmelser. Dere må fremsette en eventuell klage overfor Datatilsynet senest 22. desember 2014. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Martha Eike senioringeniør Eirin Oda Lauvset seniorrådgiver Kopi til: Alta videregående skole, 9509 ALTA 6