Utdanningsetaten P. Reinholdsen Dato: 22.03.2016 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 16/02641-2 Rohan Fininger, 95754230 Innsynshenvendelse etter Offentlighetslova - Konsekvenser ved valg av nettbrett som læremateriell på skolen Vi viser til spørsmål rettet til Postmottak i Utdanningsetaten 16/2 om "Konsekvenser ved valg av nettbrett som læremateriell på skolen". Skoleplattform Oslo er en sentral felles ikt-løsning for Osloskolen. Løsningen støtter per i dag ikke bruk av nettbrett. Utdanningsetaten jobber med å etablere en felles løsning for administrering av nettbrett i Skoleplattform Oslo. I dette arbeidet vil alle problemstillinger som tas opp i e-posten bli nøye vurdert. Det er viktig for Utdanningsetaten å følge anbefalinger fra Datatilsynet, og sikre god praksis for personvern på nettbrett i Osloskolen. Skolene må aktivt følge sentrale retningslinjer for Osloskolen: Vedlegg 01 - Retningslinjer for bruk av eksterne IKT tjenester og skytjenester.pdf Vedlegg 02 - Sjekkliste for etablering av ekstern tjeneste.pdf Vedlegg 03 - Informasjon om bruk av nettbrett og kartlegging av skytjenester i skolen.pdf Fernanda Nissen skole ønsker å bruke nettbrett som et av flere verktøy i undervisningen. Skolen åpner høsten 2016. Skolen er fortsatt i undersøkelsesfasen når det gjelder i hvilket omfang, og på hvilken måte nettbrettet skal understøtte læringen. Skolen vil følge Utdanningsetatens sentrale føringer for personvern på nettbrett. Med hilsen Bjørn Marthinsen IKT-direktør Rohan Fininger IKT-sikkerhetskoordinator Dokumentet er elektronisk godkjent Vedlegg: 3 Utdanningsetaten Besøksadresse: Telefon: 02 180 Org.nr.: 976820037 Strømsveien 102 Telefaks: 22 65 79 71 0663 OSLO Postadresse: postmottak@ude.oslo.kommune.no Pb 6127 Etterstad, 0602 OSLO www.ude.oslo.kommune.no
Mottakere: P. Reinholdsen Kopi til: Fernanda Nissen skole 2
Oslo kommune Utdanningsetaten Retningslinjer for bruk av eksterne IKT-tjenester/skytjenester Versjon 1.0 (27.03.2014)
Utdanningsetaten Side 3 Formål og virkeområde Formål Oslo kommune styrer etatens bruk av IKT gjennom blant annet Instruks for informasjonssikkerhet (IKT-reglementet) og Reglement for Informasjons- og kommunikasjonsteknologi og Informasjonssikkerhet i Oslo kommune. Reglementene stiller også krav til bruk av eksterne IKT-tjenester. Hensikten med retningslinjene er å beskrive forutsetninger for skolenes bruk av eksterne IKT-tjenester med særlig vekt på tjenester som skal behandle personopplysninger. Det er utarbeidet egne anbefalinger om bruk av sosiale medier til kommunikasjonsformål. En egen sjekkliste viser hva man må gjøre eller vurdere før en ekstern IKT-tjeneste tas i bruk. Virkeområde All bruk av eksterne IKT-tjenester/skytjenester, herunder sosiale medier, i Utdanningsetaten sentralt og på skolene. Definisjoner 1) Eksterne IKT-tjenester; Tjenester som ikke er levert av Utdanningsetaten eller Oslo kommune. Fronter, InnsIKT og Oslos prøveplattform er eksempler på eksterne IKT-tjenester som behandler personopplysninger og som leveres av eksterne leverandører i henhold til egne databehandleravtaler. 2) Skytjenester; Eksterne IKT-tjenester som kan benyttes via Internett og som befinner seg på serverparker tilknyttet Internett. Facebook, Twitter, Dropbox, Evernote, Google Disk, Google mail (Gmail) og icloud er eksempler på eksterne IKT-tjenester. Det er ikke inngått databehandleravtaler for disse skytjenestene. 3) Sosiale medier; kanaler eller plattformer som ved hjelp av internett eller web-basert teknologi åpner for interaksjon mellom to eller flere brukere. Twitter, Facebook, LinkedIn og YouTube er eksempler på sosiale medier. 4) Personopplysninger; Opplysninger eller vurderinger som kan knyttes til enkeltpersoner. 5) Databehandleravtale; Hvis en virksomhet (eks. skole eller UDE) setter ut behandlingen av personopplysninger til virksomheter (leverandører) utenfor kommunen, skal forholdet mellom virksomhet (behandlingsansvarlig) og leverandør (databehandler) være regulert i en avtale databehandleravtale. Avtalen skal sikre at opplysningene blir behandlet i tråd med personopplysningsloven. Retningslinjer for bruk av eksterne IKT-tjenester/skytjenester
Utdanningsetaten Side 4 Hva er en skytjeneste? Skytjenester (Cloud Computing) er tjenester som har blitt svært utbredt de siste årene. Tjenestene leveres av eksterne aktører, er varierte og kan inkludere alt fra databehandling og datalagring til fullstendige løsninger som kan gjøres tilgjengelig for alle som har internettilgang. Tjenestetilbudet er stort og variert, de er enkle å ta i bruk og de innebærer ofte liten eller ingen kostnad for sluttbrukeren. Viktig ting å være klar over Hovedproblemområder knyttet til bruk av skytjenester oppsummeres nedenfor. Leverandører gir som regel ingen garantier, og deres avtalevilkår er ofte mangelfulle og komplekse med hensyn til: Hvordan data beskyttes (garanterer leverandøren for at filene er sikre?) Hvem som kan få innsyn Tilgjengelighet på tjenesten? (er dette opplyst om?) Ytelse, (hva man normalt kan forvente av svartider ved bruk av tjenesten?) Rettigheter med hensyn til eierskap og bruk (hvem eier og hvem kan bruke opplysningene/dataene?) Eksempler på vilkår man bør vurdere nøye: Lisens og brukerbetingelser Reklame rettet mot brukere av tjenesten Rett til bruk av data i andre sammenheng Stenging av konto og fjerning av data Forutsetninger for bruk av eksterne IKT-tjenester/skytjenester Bruk av eksterne IKT-tjenester/skytjenester som ikke omfatter behandling av personopplysninger skal tilfredsstille sjekkliste for skoler som ønsker å ta i bruk eksterne IKT-tjenester/skytjenester. Skolene trenger ikke søke om godkjenning for slike tjenester. Skoler som ønsker å benytte eksterne IKT-tjenester/skytjenester som behandler personopplysninger og som ikke er godkjent, må søke om godkjenning i tråd med disse retningslinjene. Kravet om søknad gjelder også dersom skolen ønsker å bruke en allerede godkjent IKT-tjeneste til andre formål enn det tjenesten er godkjent for. Databehandleravtaler skal inngås av UDE sentralt. Informasjon om eksterne IKT-tjenester/skytjenester som er godkjent til å behandle personopplysninger finnes på Tavla under temaet IKT-tjenester/IKT-styring. Retningslinjer for bruk av eksterne IKT-tjenester/skytjenester
Utdanningsetaten Side 5 Dersom bruk av eksterne IKT-tjenester/Skytjenester innebærer at elever må opprette en egen konto eller registrere seg med egen personlig profil, må skolen legge til rette for elever som ikke ønsker dette. Sjekkliste for skoler som ønsker å ta bruk eksterne IKT-tjenester / skytjenester Dersom det er et funksjonelt behov som ikke er dekket av IKT-løsninger i Utdanningsetaten eller Oslo kommune, kan bruk av eksterne IKT-tjenester/skytjenester være aktuelt. Det er utarbeidet en sjekkliste for å sikre at eksterne IKT-tjenester/skytjenester ivaretar Utdanningsetatens forpliktelser i henhold til personopplysningsloven, annen lovgivning og kommunens eget regelverk. Søknad om godkjennelse av eksterne IKT-tjenester/skytjenester som skal behandle personopplysninger Søknad med risikovurdering og utfylt sjekkliste skal sendes til IKT-avdelingen. Risikovurderingen skal følge mal for risikovurdering av databehandling på Tavla, klikk her. IKT-tjenesten skal ikke tas i bruk før søknaden er godkjent. Retningslinjer for bruk av eksterne IKT-tjenester/skytjenester
Utdanningsetaten Strømsveien 102 Pb 6127 Etterstad, 0602 Oslo Tlf: 02 180 Faks: 22 65 79 71 www.ude.oslo.kommune.no postmottak@ude.oslo.kommune.no
Utdanningsetaten Bruk av eksterne IKT-tjenester/skytjenester Sjekkliste for etablering av ekstern tjeneste Dato Navn på ekstern tjeneste Skole Utdanningsetaten har utarbeidet retningslinjer for bruk av eksterne IKT-tjenester/skytjenester. Hensikten med retningslinjene er å beskrive forutsetninger for skolenes bruk av eksterne IKTtjenester med særlig vekt på tjenester som skal behandle personopplysninger. Retningslinjene beskriver bruk av sjekkliste og i hvilke tilfeller skolen er pålagt å søke om godkjennelse om bruk av eksterne IKT-tjenester/skytjenester. Skolen må sette seg inn i retningslinjene før sjekklisten fylles ut. Du finner retningslinjene på Tavla under temaet IKTtjenester/Styring av IKT. Oppsummering av behovet for ekstern IKT-tjeneste/skytjeneste Tjenesten skal ikke behandle personopplysninger Tjenesten skal behandle personopplysninger Tjenesten er godkjent for å behandle personopplysninger i UDE Tjenesten er godkjent for å behandle personopplysninger i UDE, men skal benyttes til annet formål Behovskartlegging Innen man vurderer bruk av skytjenester eller eksterne IKT-tjenester skal følgende være avklart: 1. Behovet er definert og dokumentert Ja/nei 2. Behovet dekkes ikke av eksisterende IKT-løsninger i Utdanningsetaten eller Oslo kommune 3. Informasjon som skal behandles er identifisert
Utdanningsetaten Side 2 4. Det er gjennomført en risikovurdering Se mal for risikovurdering av databehandling på Tavla, klikk her. Ja/nei 5. Det er etablert en rutine for løpende risikovurderinger ved endringer Kommentar: Krav til tilgang, sikring og behandling av informasjon 6. Behov for databeskyttelse er ivaretatt Ja/nei 7. Det er tilfredsstillende tilgjengelighet til tjenesten 8. Det er tilfredsstillende ytelse i tjenesten 9. Det er tilfredsstillende rettigheter med hensyn til eierskap og bruk av informasjon tjenesten 10. Det er utarbeidet retningslinjer for bruk av tjenesten 11. Det gis informasjon om retningslinjer for bruk av tjenesten 12. Dersom bruk av den eksterne IKT-tjenesten innebærer at elever må på opprette egen konto eller registrere seg med egen personlig profil, har skolen lagt til rette for elever som ikke ønsker dette. Signering Dato Navn Funksjon Bruk av eksterne IKT-tjenester/skytjenester Sjekkliste for etablering av ekstern tjeneste
Utdanningsetaten Alle skoler Dato: 16.05.2013 Deres ref: Vår ref (saksnr): Saksbeh: Arkivkode: 13/03106-1 Britt Helen Risåsen, 23 46 72 46 Informasjon om bruk av nettbrett og kartlegging av skytjenester i skolen. Bruk av nettbrett i InnsIKT-løsningen Dagens IKT-løsning (InnsIKT 2.0) for skolene har ikke støtte for nettbrett og det ble derfor sendt et brev til skolene med anmodning om å utsette anskaffelse av nettbrett. Bakgrunn for denne anmodning var manglende støtte for nettbrett i dagens IKT-løsninger, svakheter i teknologien og usikkerhet i forhold til den teknologiske utviklingen. Bruk av nettbrett uten sentralisert støtte reiser en rekke problemstillinger med hensyn til sikkerhet fordi nettbrett teknologien er beregnet til personlig bruk. Nettbrettene har også begrenset eller ingen støtte for teknologien som brukes i forbindelse med eksamen, nasjonale prøver og Osloprøver og er i tillegg ressurskrevende for den enkelte skole om de skal forvaltes på en forsvarlig måte. Det er ikke tilrådelig å forsøke å legge til rette for støtte av nettbrett i dagens IKT-systemer for skolene. Bakgrunnen for dette er delvis den korte tiden som er igjen av kontraktsperioden med nåværende leverandør og kompleksiteten ved å etablere en teknisk løsning for håndtering av nettbrett. I forbindelse med anskaffelser av nye IKT-løsninger for Osloskolen (SIKT-prosjektet) er støtte for nettbrett et av mange behov. Det vil i SIKT-prosjektet utarbeides krav for blant annet støtte av nettbrett i ny løsning. Anskaffelsen av nye løsninger vil sannsynligvis først være klar for bruk til skolestart i 2015. Skoler som likevel ønsker å ta i bruk nettbrett for undervisningsformål må sørge for å ha tilstrekkelig utstyr til gjennomføring av eksamen, Osloprøver, nasjonale prøver og kartlegginger. Anskaffelser av nettbrett må være i tråd med anskaffelsesregelverket og skoler som ønsker å ta i bruk nettbrett for undervisningsformål må ivareta følgende krav til forvaltning av nettbrett: Det må utpekes en ansvarlig for nettbrettene på skolen. Det må dokumenteres hvordan data på nettbrettene er sikret Utdanningsetaten Besøksadresse: Telefon: 02 180 Org.nr: 976820037 Strømsveien 102 Telefaks: 22 65 79 71 0663 OSLO Postadresse: postmottak@ude.oslo.kommune.no Pb 6127 Etterstad, 0602 OSLO www.ude.oslo.kommune.no
Det må finnes en løsning for sletting av alt innhold på nettbrettene dersom den mistes eller blir stjålet. Det må dokumenteres at lisensbetingelser for applikasjoner på nettbrettene ikke brytes Nettbrettene må sikres med tilgangskontroll Personopplysninger må ikke lagres på nettbrettene dersom de ikke er for personlig bruk Skytjenester I løpet av de senere årene har flere skoler tatt i bruk en type eksterne IKT-tjenester som går under samlebetegnelsen skytjenester (Cloud Computing). Eksempler på slike tjenester er Dropbox, SkyDrive, YouTube, Office 365, Gmail, Hotmail, Google Apps, Evernote, Prezi, Facebook og Twitter. Brukerne (ansatte, elever og i enkelte tilfeller foreldre/foresatte) får tilgang til informasjonsverdiene og applikasjonene over Internett. Bruk av skytjenester krever i de fleste tilfeller en registrering hvor den enkelte bruker godtar ulike brukervilkår gitt av leverandøren. Ofte innebærer bruken at skolene setter ut behandlingen av personopplysninger til skytjenesteleverandører eller andre typer eksterne tjenesteleverandører. I sentralt distribuerte skytjenester som f. eks Fronter, VOKAL, Osloprøver er dette ivaretatt gjennom sentrale avtaler. Utdanningsetaten har behov for å få en oversikt over bruk av skytjenester som benyttes i skolene hvor det ikke foreligger sentralt inngåtte avtaler. Det innebærer blant annet å få kartlagt bruken av tjenester som omfatter opplysninger som omfattes av personopplysningsloven. Kartlegging Det skal gjennomføres en kartlegging for å identifisere dagens bruk av nettbrett og eksterne IKT-tjenester, hvilke behov som dekkes og om det er etablert lokale policy- og retningslinjer. Skolene vil derfor i løpet av kort tid motta en spørreundersøkelse om ovennevnte og det er viktig at den enkelte skole besvarer denne. Etter at kartleggingen er ferdigstilt og bevarelsene evaluert, vil Utdanningsetaten informere skolene om det er nødvendig med noen generelle tiltak på tvers av skolene, og eventuelle særskilte tiltak på enkelte skoler. Med hilsen Astrid Søgnen direktør Bjørn Marthinsen IKT-direktør Kopi til: Områdedirektørene 2
3