Vestfold fylkeskommune Svend Foynsgt 9 3126 TØNSBERG Deres referanse Vår referanse (bes oppgitt ved svar) Dato 14/00137-12/MEI 5. november 2014 Vedtak om pålegg og endelig kontrollrapport Vi viser til Datatilsynets kontroll hos Vestfold fylkeskommune ved Sandefjord videregående skole den 12. mars 2014 og vårt varsel om vedtak 2. juni 2014. Vurdering av tilsvar Datatilsynet mottok deres kommentarer til vårt varslede vedtak i brev av 11. september 2014. Vi ba om mer informasjon om Lanschool i e-post sendt 15. oktober 2014 og mottok svar 28. oktober 2014. Vi legger til grunn at dere ikke har merknader til innholdet i foreløpig kontrollrapport ellers og de øvrige vedtakspunktene. Rapporten gjøres dermed om til endelig rapport og de vedtak som gjelder avvik, og som ikke er lukket, fattes i tråd med varselet. Vestfold fylkeskommune foreslår selv ulike frister for å lukke avvik. Datatilsynet har ikke merknader til deres foreløpige plan for å lukke avvik og legger de angitte tidsfristene til grunn som frister i vedtak om pålegg. Vi har følgende kommentarer til det som fremkommer av deres gjennomgang av pålegg: Pålegg 1 Oversikt over behandlinger Vestfold fylkeskommune erklærer at arbeidet med å få oversikt over behandlinger vil bli Pålegg 2 - Innsyn, informasjon og sletting Vestfold fylkeskommune erklærer at rutiner for innsyn, informasjon, og sletting vil bli Pålegg 3 - Bruk av Lanschool Etter vår vurdering har Vestfold fylkeskommune iverksatt tilfredsstillende tiltak for å endre sin bruk av Lanschool slik at elever som ikke er til stede i klasserommet ikke blir overvåket. Avvikspunkt anses som lukket. Postadresse: Kontoradresse: Telefon: Telefaks: Org.nr: Hjemmeside: Postboks 8177 Dep Tollbugt 3 22 39 69 00 22 42 23 50 974 761 467 www.datatilsynet.no 0034 OSLO
Pålegg 4 - Bruk av Websence TRITON Webfilter Avvikspunktet gjelder Vestfold fylkeskommunes bruk av Websence TRITON Webfilter. I etterkant av kontrollen fikk vi tilsendt et eksempel på bruk som ikke er i tråd med et formål om administrasjon av systemet, og vi fattet vedtak om dette. Vestfold fylkeskommune mener at avviket i hovedsak må skyldes misforståelse av deres bruk. Fylkeskommunen erklærer at de kun benytter Websence TRITON Webfilter til å sperre uønsket innhold på nettet og logge hvilke nettsider som blir besøkt. URL-filteret beskytter dem mot virus og hindrer misbruk av båndbredde. For å beskytte mot urettmessig innsyn i loggene, har Vestfold fylkeskommune utarbeidet en ny prosedyre for innsyn i logger i Websence TRITON Webfilter. Dette for å sikre at virksomhetsleder alene ikke kan godkjenne innsyn, men at IKT-sjef også må godkjenne. Etter vår vurdering har Vestfold fylkeskommune iverksatt tilfredsstillende tiltak ved å innføre ny prosedyre for å hindre urettmessig innsyn i loggene. Fylkeskommunen har erklært at bruken av Websence TRITON Webfilter brukes kun å administrere systemet eller til å avdekke/oppklare brudd på sikkerheten i informasjonssystemet som samsvarer med personopplysningsloven. Avvikspunktet anses som lukket. Pålegg 5 - Dekryptering av HTTPS-trafikk Avvikspunktet gjelder Vestfold fylkeskommunes praksis med å dekryptere HTTPS-trafikk via proxyløsning. I etterkant av kontrollen ba vi om en beskrivelse av Websence TRITON Webfilter, og vi fikk da vite at verktøyet dekrypterer HTTPS-trafikk via en proxyløsning. Vi fattet vedtak om at dekryptering ikke skal gjøres på antatt sikre nettsteder med høyt behov for konfidensialitet. Vestfold fylkeskommune mener at avviket må skyldes en misforståelse. Fylkeskommunen opplyser om at Websence TRITON Webfilter kan brukes til dekryptering av HTTPS-trafikk, men at dette ikke blir gjort i Vestfold fylkeskommune. Datatilsynet tar Vestfold fylkeskommunes erklæring om at dekryptering ikke blir gjort, til etterretning. Avvikspunktet anses som lukket. Pålegg 6 - Informasjon om Lanschool og Websence TRITON Webfilter Etter vår vurdering har Vestfold fylkeskommune iverksatt tilfredsstillende tiltak til å gi informasjon om bruk av Websence TRITON Webfilter. Datatilsynet mener at fylkeskommunen ikke gir ut tilstrekkelig informasjon om bruk av Lanschool. Informasjonen som gis ut til elever og foresatte må minimum beskrive hva verktøyet faktisk gjør og når det vil bli brukt. Dokumentet «LanSchool - Slik bruker vi det hos oss», som ble sendt til Datatilsynet 28. oktober 2014, gir god informasjon og bør kunne gis ut til elever og foresatte, sammen med en lenke til veiledningsvideoen på YouTube.com. Informasjonen bør kunne ferdigstilles i løpet av 2014. Vi har satt en tidsfrist på ferdigstillelse i vedtakspunktet. 2
Pålegg 7 - Sikkerhetsmål og -strategi Vestfold fylkeskommune erklærer at arbeidet med sikkerhetsmål og sikkerhetsstrategi vil bli Pålegg 8 - Risikovurdering Vestfold fylkeskommune erklærer at risikovurderinger vil bli gjennomført i løpet av høsten 2015. Tiltak og tidsplan ser rimelig ut. Pålegg 9 - Sikkerhetsrevisjon Vestfold fylkeskommune erklærer at sikkerhetsrevisjon vil bli gjennomført i løpet av 2015. Tiltak og tidsplan ser rimelig ut. Pålegg 10 - Sikkerhetstiltak Vestfold fylkeskommune erklærer at arbeidet med sikkerhetstiltak vil bli gjennomført i løpet av høsten 2015. Tiltak og tidsplan ser rimelig ut. Pålegg 11 - Databehandleravtaler Vestfold fylkeskommune erklærer at arbeidet med databehandleravtaler vil bli gjennomført i løpet av våren 2015. Tiltak og tidsplan ser rimelig ut. Vedtak om pålegg Med hjemmel i personopplysningsloven 46 gir Datatilsynet følgende pålegg: 1. Vestfold fylkeskommune må utarbeide en oversikt over behandlinger av personopplysninger som foretas innenfor fylkeskommunens virksomhet i samsvar med personopplysningsloven 14 og 13, jf. personopplysningsforskriften 2-4. Vi viser til kontrollrapportens pkt. 5.1.3. 2. Vestfold fylkeskommune må dokumentere rutiner for innsyn, informasjon til den registrerte og sletting i samsvar med personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d og c. Vi viser til kontrollrapportens pkt. 5.1.4. 3. Vestfold fylkeskommune må gi informasjon til elevene i forbindelse med aktivering av Lanschool og bruk av Websense TRITON Webfilter, i samsvar med personopplysningsloven 19. Vi viser til kontrollrapportens pkt. 5.2.4. Frist settes til 1. januar 2015. 4. Vestfold fylkeskommune må gjennomgå sikkerhetsmål og -strategi, for å kartlegge om disse er hensiktsmessige og gir tilfredsstillende informasjonssikkerhet, i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-3. Vi viser til kontrollrapportens pkt. 5.3.2. 3
5. Vestfold fylkeskommune må dokumentere tilfredsstillende informasjonssikkerhet for informasjonssystemet og digitale læringsressurser. Risikovurderinger må gjennomføres, dokumenteres, og gjentas ved endringer som har betydning for informasjonssikkerheten, i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-4 og 2-16. Vi viser til kontrollrapportens pkt. 5.3.3. Frist settes til 31. oktober 2015. 6. Vestfold fylkeskommune må sørge for gjennomføring og dokumentasjon av sikkerhetsrevisjoner i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-5. Vi viser til kontrollrapportens pkt. 5.3.4. Frist settes til 31. desember 2015. 7. Vestfold fylkeskommune må dokumentere sikkerhetstiltak i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-14. Vi viser til kontrollrapportens pkt. 5.3.5. Frist settes til 31. oktober 2015. 8. Vestfold fylkeskommune må utarbeide databehandleravtaler med alle leverandører av systemer hvor personopplysninger blir behandlet i samsvar med personopplysningsloven 14, 15 og 13, jf. personopplysningsforskriften 2-15. Vi viser til kontrollrapportens pkt. 5.4. Frist settes til 1. mars 2015. Frist for gjennomføring av samtlige pålegg er 5. januar 2016. Vestfold fylkeskommune må innen nevnte dato bekrefte skriftlig overfor Datatilsynet at påleggene er gjennomført. Med mindre annet er særskilt angitt krever vi ikke ytterligere dokumentasjon på at pålegget er gjennomført. Vi gjør imidlertid oppmerksom på at Datatilsynet vil kunne foreta en etterkontroll av dette. 4
Klageadgang Dere kan klage på dette vedtaket i henhold til forvaltningslovens bestemmelser. Dere må fremsette en eventuell klage overfor Datatilsynet senest 26. november 2014. Datatilsynet gjør i den forbindelse oppmerksom på at dere har rett til innsyn i sakens dokumenter, jf. forvaltningsloven 18. Personvernnemnda er klageorgan, og skal behandle saken dersom Datatilsynet ikke finner grunn til å gjøre om sitt eget vedtak. Med vennlig hilsen Eirin Oda Lauvset seniorrådgiver Martha Eike senioringeniør Kopi: Sandefjord videregående skole, Postboks 2006, 3202 SANDEFJORD Vedlegg: Endelig kontrollrapport 5