Saksnummer: 14/00122 Dato for kontroll: 7.3.2014 Foreløpig rapport: 16.5.2014 Endelig rapport: 12.8.2014 Endelig kontrollrapport Kontrollobjekt: Espira Gruppen AS Sted: Blåveisbakken barnehage Utarbeidet av: Martha Eike Eirin Oda Lauvset Ylva Marrable 1 Innledning Datatilsynet gjennomførte en kontroll hos Espira Gruppen AS ved Blåveisbakken barnehage den 7. mars 2014. Kontrollen ble utført med hjemmel i personopplysningsloven 44, jf. 42, tredje ledd. Temaet for kontrollen var å se om barnehagens behandling av personopplysninger er i tråd med kravene som stilles i personopplysningsloven med forskrift. Mer spesifikt ønsker vi å undersøke barnehagens håndtering av opplysningene om barna som behandles i barnehagens informasjonssystemer, og eventuelle andre digitale plattformer som brukes pedagogisk og/eller for å kommunisere med foresatte. I kontrollrapporten beskriver Datatilsynet de faktiske forhold som ble avdekket under kontrollen. Rapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Sissel Wahl-Olsen, regionsjef Espira Evje AS - Jens Shei Hansen, kommunikasjonssjef Espira Evje AS - Rachel Leonardsen, styrer Blåveisbakken barnehage - Merete Melnes, styrerassistent Blåveisbakken barnehage 2.2 Fra Datatilsynet: - Martha Eike, overingeniør - Eirin Oda Lauvset, seniorrådgiver - Ylva Marrable, rådgiver 3 Oversendelse av informasjon Datatilsynet ba i varselet om at følgende dokumentasjon ble oversendt: Rutiner for innhenting av samtykke fra foresatte når det gjelder personopplysninger om barna (bilder, kartleggingsverktøy, overføring av opplysninger til skole og lignende). Rutiner for informasjon til foresatte og hvilken informasjon som lagres i kommunikasjonsplattformen og eventuelt kartleggingsverktøy. Rutiner for innsyn i opplysninger som er lagret ved bruk av kartleggingsverktøy. Rutiner for om/når barnas personopplysninger skal slettes. 1 av 18
Risikovurderinger som er gjort før det ble besluttet at kommunikasjonsplattform og kartleggingsverktøy skulle tas i bruk. Oversikt over systemenes utforming: a) Et konfigurasjons- eller systemkart hvor kommunikasjonsplattform og eventuelt kartleggingsverktøy er inntegnet. b) En beskrivelse av kommunikasjonsplattformen og hva den brukes til c) En beskrivelse av kartleggingsverktøyet og hva det brukes til d) En beskrivelse av hvem som har tilgang til opplysningene i henholdsvis kommunikasjonsplattformen og kartleggingsverktøyet, og hvordan disse tilgangene blir styrt. Databehandleravtale med leverandør av kommunikasjonsplattform og eventuelt kartleggingsverktøy. Navn og funksjon på de som deltar fra barnehagen under kontrollen. Følgende dokumentasjon ble mottatt hos Datatilsynet 3. mars 2014: Avtale om disponering av barnehageplass Skjema for overføring av opplysninger fra barnehage til skole Samtykkeerklæring bildebruk Skjema med opplysninger om barnet (personalia, foresatte og div. tillatelser) Samtykke språkkartlegginger Oversikt over plikter og rettigheter i forhold til barnehageloven, personopplysningsloven og arkivloven (dokument utarbeidet av Vigilo) Beskrivelse av kommunikasjonsplattformen Databehandleravtale Vigilo barnehage Følgende ble sendt Datatilsynet i e-post datert 4. mars 2014: Beskrivelse av TRAS (skjemaet som fylles ut) Beskrivelse av Alle med (skjemaet som fylles ut) Vedlegg til databehandleravtale med Vigilo Espira databehandleravtale vedlegg 1 Vedlegg til databehandleravtale med Vigilo Espira databehandleravtale vedlegg 1B Beskrivelse av innholder i Spireportalen Etter kontrollen ble følgende dokumenter sendt Datatilsynet i e-post datert 24. mars 2014: Mal for innleggelse av bilder Redegjørelse for hva Vigilo har basert retningslinjene for arkivering på Mal/rutiner for sikkerhetsrevisjon Beskrivelse av tilgangsstyringen i Vigilo Agenda ble oversendt Blåveisbakken barnehage på e-post før kontrollen. Blåveisbakken barnehage bruker: Vigilo barnehage - Spireportalen TRAS Alle med Askeladden 2 av 18
4 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 4.1 Internkontroll 4.1.1 Generelt om personopplysningsloven 14 Virksomheten har etter personopplysningsloven 14 plikt til å etablere og holde ved like systematiske tiltak som er nødvendige for å oppfylle kravene i personopplysningslovens regelverk gitt i medhold av denne. Bestemmelsen er utdypet i personopplysningsforskriften kapittel 3. Internkontrollen omfatter styrende, gjennomførende og kontrollerende dokumenter. 4.1.2 Ansvarsforhold etter loven - behandlingsansvarlig Behandlingsansvar defineres i personopplysningsloven 2 nr. 4 som : den som bestemmer formålet med behandlingen av personopplysninger og hvilke virkemiddel som skal brukes. Det er den behandlingsansvarlige som er pliktsubjekt etter personopplysningsloven. Det er derfor av avgjørende betydning for ivaretakelsen av pliktene etter loven at behandlingsansvaret er klart definert med hensyn til hvor det er lagt. Personopplysningsforskriften 2-3 Sikkerhetsledelse understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. Faktiske forhold Tilsynet fant sted i Blåveisbakken barnehage som er en av tre avdelinger eiet av selskapet Espira Evje AS. Espira Evje AS eies av Espira barnehager AS. Espira barnehager AS eier samtlige av de pr. dag 75 Espira barnehagene (driftsselskapene) i Espira konsernet. Espira barnehager AS eies 100% av Espira Gruppen AS som er konsernets morselskap. På kontrollen deltok både representanter fra Espira sentralt (regionsjef og kommunikasjonssjef) og ledelsen ved Espira Blåveisbakken (styrer og ass. styrer). Datatilsynet fikk opplyst at det er Espiras øverste ledelse som beslutter hvilke informasjonssystemer og programvare som skal tas i bruk innen Espira gruppen. Ledelsen sitter i morselskapet Espira Gruppen AS. Både Espira Gruppen og Espira Evje AS bestemmer formålet med behandlingen av personopplysninger i barnehagene og hvilke hjelpemidler som skal benyttes. Eksempelvis har Espira Evje AS bestemt at det skal inngås avtale om support med Office senter Hønefoss AS. Ledelsen delegerer også vanligvis ansvaret for opplæring av de ansatte til styrer i barnehagen. Espira Gruppen AS selv legger til grunn at det foreligger delt behandlingsansvar mellom Espira Gruppen AS og den enkelte barnehage som alle er organisert som selvstendige rettssubjekter. Vurdering Personopplysningsforskriften 2-3 understreker at det er den behandlingsansvarlige som skal sørge for tilfredsstillende informasjonssikkerhet ved at det blant annet opprettes en sikkerhetsorganisering med klare roller, ansvar og myndighet. 3 av 18
Datatilsynet legger selskapets egen vurdering av ansvarsforholdene til grunn og konkluderer med at det er øverste ledelse i Espira Gruppen AS som er å anse som behandlingsansvarlig for den behandlingen av personopplysninger som foretas i Blåveisbakken barnehage. Det er altså ledelsen i Espira Gruppen AS som skal sørge for en sikkerhetsorganisering med klare roller, ansvar og myndighet. For Espira Gruppen AS ser vi at ivaretakelsen av behandlingsansvaret manifesterer seg i organisasjonskart og klart definerte roller og ansvarsområder. Det at Blåveisbakken barnehage følger føringer fra sentralt hold er noe som taler i retning av at roller og ansvar er avklart. Slik vi vurderer det har derfor Espira Gruppen AS etablert et internkontrollsystem og en sikkerhetsledelse som oppfyller personopplysningslovens krav. Konklusjon Datatilsynet konstaterer ikke avvik på dette punktet. I det følgende vil Espira Gruppen AS omtales som Espira. 4.1.3 Oversikt over behandlinger og behandlingsgrunnlag For at den behandlingsansvarlige skal ha oversikt over omfanget av sitt ansvar må virksomheten ha en oversikt over hvilke behandlinger av personopplysninger som foretas og hvilke opplysninger som inngår i disse. Oversikten er nødvendig for å sikre at grunnvilkårene i personopplysningsloven 11 er oppfylt. Videre danner oversikten grunnlag for utarbeidelse av virksomhetens sikkerhetsmål og sikkerhetsstrategi, og vil være underlag ved virksomhetens risikovurderinger. Kravet til oversikt over behandlinger følger derfor også av personopplysningsforskriften 2-4. Oversikten over behandlinger må blant annet omfatte den enkelte behandlingens behandlingsgrunnlag (personopplysningsloven 8 og 9) samt formålet med behandlingen ( 11). Alternativt må angivelse av behandlingsgrunnlag og formål fremkomme et annet sted i dokumentasjonen. Kravene til oversikt over behandlinger og behandlingsgrunnlag er utdypet i kapittel 3.5 i veilederen Internkontroll og informasjonssikkerhet som Datatilsynet refererte til under kontrollen. Her fremkommer blant annet et eksempel på hvordan oversikten kan utformes. Faktiske forhold Espira har ikke en skjematisk oversikt over behandlinger av personopplysninger som foretas i barnehagene som hører inn under deres virksomhet. En slik oversikt finnes heller ikke for Blåveisbakken barnehages behandlinger av personopplysninger om barn og foresatte. De informasjonssystemene barnehagene bruker er Styrerassistenten og Vigilo, i tillegg til papirarkivet med fysiske mapper. 4 av 18
Vurdering Datatilsynet mener at en overordnet oversikt over behandlinger av personopplysninger er et svært viktig verktøy for behandlingsansvarlig for å kunne ivareta pliktene etter personopplysningsloven. Uten en slik oversikt er det vanskelig å ha oversikt over hvilke informasjonssystemer som lagrer personopplysninger, hvilke rettslige grunnlag de enkelte behandlinger av personopplysninger er basert på, hvem som har tilgang til de enkelte opplysningene og når de enkelte opplysningene skal slettes. Espira opererer riktignok med en oversiktlig systemportefølje (to systemer), og dette kunne isolert sett tilsi at det ikke er nødvendig å utarbeide en skjematisk oversikt. På den annen side inneholder disse to systemene opplysninger av mange kategorier (sensitive, ikke-sensitive, både avtale og samtykke som rettslig grunnlag, etc). Dette tilsier at det er behov for en oversikt for å sikre at rettslig grunnlag er på plass, riktige sikkerhetstiltak er på plass, etc. Datatilsynet har konkludert med at Espira sin mangelfulle oversikt over hvilke behandlinger av personopplysninger som foretas i barnehagene, og hvilke informasjonssystemer som brukes, er å anse som et avvik fra personopplysningsloven og personopplysningsforskriftens krav. Vi bemerker at det ikke må være én oversikt som omfatter hele virksomheten, men Espira må etablere et system som sørger for oversikt over behandlingene, og at detaljer kan hentes inn fra underliggende oversikter. Konklusjon Mangelfull oversikt over behandlinger av personopplysninger som foretas innenfor Espira sin virksomhet, er et avvik fra personopplysningsloven 11, jf. personopplysningsforskriften 2-4. 4.1.4 Øvrige plikter etter personopplysningsloven 14, jf. personopplysningsforskriften 3-1 Behandlingsansvarlige må i henhold til personopplysningsloven 14 kartlegge relevante plikter i personopplysningsloven. Aktuelle plikter vil blant annet omfatte plikt til å gi innsyn etter 18, informasjonsplikt etter 19 og 20, samt sletteplikt etter 28. Oversikten over plikter vil være en del av den styrende internkontrollen. Etter at kartleggingen er gjennomført må det utarbeides rutiner for ivaretakelse av de kartlagte pliktene. Dette er en del av den gjennomførende internkontrollen. Slike rutiner kan for eksempel omfatte prosedyrer for innhenting av samtykke og retningslinjer for hvordan informasjon til elever og foresatte skal gis. 4.1.4.1 Samtykke Enhver behandling av personopplysninger må baseres på et rettslig grunnlag, jf. personopplysningsloven 11, jf. 8 og 9. Personopplysningsloven angir en rekke behandlingsgrunnlag hvorav samtykke og hjemmel i lov er utgangspunktet. 5 av 18
For at et samtykke skal være gyldig må det være frivillig, uttrykkelig og informert, jf personopplysningsloven 2 nr. 7. Behandlingsansvarlig har en plikt til å ha oversikt over hvilke rettslige grunnlag de ulike behandlinger av personopplysninger som foretas er basert på. For de behandlinger som er basert på samtykke er det spesielt viktig å sørge for at det blir gitt tilstrekkelig informasjon til at den registrerte forstår hva det samtykkes til, og at informasjonen som gis er objektiv. Faktiske forhold I Blåveisbakken barnehage baseres følgende behandlinger av personopplysninger på samtykke: Ta bilder og bruke dem internt i barnehagen, for profilering av Espira Gruppen og til bruk i pressen Utlevering av personopplysninger til skolen ved overgang til skolen Samtykke for språkkartlegging Bruk av språkkartleggingsverktøy skal være basert på samtykke. Bruk av andre kartleggingsverktøy enn for språkkartlegging er ikke spesifisert til å være basert på samtykke (sansing/motorikk, sosial forståelse, lek og trivsel). Dette skillet er ikke særskilt begrunnet. Vurdering Ledelsen ved Blåveisbakken barnehage har gjort en vurdering av hvilke personopplysninger om barna de må ha samtykke fra de foresatte for å behandle. Etter vår vurdering er imidlertid noen av samtykkeerklæringene for lite differensierte og balanserte til at foresatte kan ta kvalifiserte valg med hensyn til hvordan de ønsker at opplysninger om barna skal behandles. I tillegg mener vi at det mangler samtykkeerklæringer for enkelte behandlinger. Etter vår vurdering er samtykkeerklæringen, som gjelder bilder av barn, godt forståelig, samtidig som den er differensiert nok til at foresatte kan ta kvalifiserte valg med hensyn til hvordan de ønsker at bilder av barna skal behandles. Det at Espira ikke har overordnede rutiner for hvilke behandlinger som skal baseres på samtykke er likevel et avvik, og en praksis som medfører fare for at det blir tilfeldig hva de ulike barnehagene i konsernet innhenter samtykke for. Et eksempel på dette er bruk av verktøy for kartlegging av barnas atferd, språk etc. Blåveisbakken bruker Bærum kommunes samtykkeskjema som gjelder språkkartlegging, men har ikke et samtykkeskjema for ALLE MED som kartlegger også andre ferdigheter enn språk. Bærum kommunes samtykkeskjema er i tillegg mangelfullt da det verken beskriver kartleggingsverktøyene som brukes (TRAS og Askeladden) eller gir noen informasjon om hvilke opplysninger om barna som blir lagret, hvem som har tilgang til dem, hvor lenge de lagres osv. 6 av 18
Kartleggingsverktøyene TRAS, ALLE MED og Askeladden må beskrives på en objektiv og nøytral måte slik at de foresatte har gode forutsetninger for å sette seg inn i hva dette er, og ta stilling til om dette er noe de ønsker for sitt barn. Det ville f.eks vært naturlig å levere ut registreringsskjemaet til de foresatte slik at de kan se hvordan det ser ut og få muligheten til å sette seg inn i hvordan det fungerer. Oppsummert er vi kommet til at Espira til tross for at de har enkeltrutiner som omtaler samtykke, ikke tilfredsstiller kravene i personopplysningsloven siden enkelte av samtykkene som finnes ikke er differensiert nok, og at det for andre behandlinger ikke er laget rutine for innhenting av samtykke. Delkonklusjon Mangelfulle rutiner for innhenting og kontroll av de registrertes samtykke er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav a. 4.1.4.2 Rett til innsyn Det følger av personopplysningsloven 18, første ledd at enhver som ber om det skal få vite hva slags behandling av opplysninger behandlingsansvarlig foretar. Den registrertes rett til innsyn følger også av bestemmelsens andre ledd. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d) ha rutiner for å sikre at innsyn foretas i samsvar med bestemmelsene i loven. Unntak fra retten til innsyn følger av personopplysningsloven 18 siste ledd og 23. Faktiske forhold: Espira har ingen dokumenterte rutiner som gjelder innsynsbegjæringer. Vurdering Datatilsynet mener det er viktig for ivaretakelsen av barnas personvern at barnehager har tydelige og lett tilgjengelige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. Barnehager lagrer opplysninger om barn som er relevante og interessante for flere aktører, for eksempel forsikringsselskaper og advokater som håndterer barnefordelingssaker. Det er heller ikke unaturlig at andre i barnets omsorgskrets enn den/de som har foreldreansvaret kan henvende seg for å få opplysninger. Dette kan være biologisk forelder uten foreldreansvar eller foreldres nye partnere. I slike situasjoner er det viktig at barnehagen har klare retningslinjer for hvem som har rett til innsyn. Espira må utarbeide overordnede, skriftlige rutiner for hvordan begjæringer om innsyn i barnas opplysninger skal håndteres. I den grad de enkelte barnehagene innenfor virksomheten opplever særskilte problemstillinger med hensyn til hvem som ber om innsyn, eller har behov for egne rutiner for håndtering av innsyn, må det vurderes hvorvidt den overordnede rutinen skal tilpasses den enkelte barnehage. 7 av 18
Delkonklusjon Manglende dokumenterte rutiner for innsynsbegjæringer er et avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. 4.1.4.3 Informasjonsplikt når det samles inn opplysninger fra den registrerte selv, eller fra andre enn den registrerte Det følger av personopplysningsloven 19 første ledd at når det samles inn opplysninger fra den registrerte selv skal den behandlingsansvarlige av eget tiltak først informere den registrerte om a) navn og adresse på den behandlingsansvarlige og dennes eventuelle representant, b) formålet med behandlingen, c) opplysningene vil bli utlevert, og eventuelt hvem som er mottaker, d) det er frivillig å gi fra seg opplysningene, og e) annet som gjør den registrerte i stand til å bruke sine rettigheter etter loven her på en best mulig måte, som for eksempel informasjon om retten til å kreve innsyn, jf 18, og retten til å kreve retting, jf. 27 og 28. Det følger av personopplysningsloven 20 at en behandlingsansvarlig som samler inn personopplysninger fra andre enn den registrerte selv, av eget tiltak skal gi informasjon som nevnt i 19. Virksomheten skal etter personopplysningsforskriften 3-1, tredje ledd bokstav d ha rutiner for å sikre at informasjonsplikten foretas i samsvar med bestemmelsene i loven. Unntak fra informasjonsplikten følger av personopplysningsloven 19 siste ledd og personopplysningsloven 23. Faktiske forhold Espira har ingen dokumenterte rutiner for hvordan og når informasjon gis til foresatte om hvilke personopplysninger barnehagen behandler. Styrer i barnehagen opplyser at foreldremøte er en arena hvor det blir gitt informasjon til de foresatte, men at det varierer hva som blir tatt med på disse møtene. Også oppstartsmøte kan være en arena for informasjon, men heller ikke her har behandling av personopplysninger vært tema. Barnehagens bruk av Vigilo er imidlertid fast punkt på agendaen på felles foreldremøte, og foresatte har fått utlevert brosjyre om systemet og hvordan det fungerer. Vurdering Informasjon om hvor, hvorfor og hvordan personopplysninger blir behandlet er grunnleggende for ivaretakelsen av personvernet. Dersom en registrert ikke får informasjon om at personopplysninger behandles, får vedkommende heller ikke mulighet til å stille spørsmål ved nødvendigheten av at disse opplysningene lagres, hvor mange som har tilgang til dem, hvordan de er sikret osv. 8 av 18
I sammenheng med inngåelse av avtale om barnehageplass er det særlig viktig å informere om hvilke opplysninger som det er nødvendig for barnehagen å ha for å oppfylle avtalen, og hvilke opplysninger som det er opp til den enkelte foresatte å bestemme om barnehagen skal ha (samtykke). Det er dessuten viktig å informere om hvorfor barnehagen innhenter visse opplysninger (formål), om de vil bli utlevert, og eventuelt hvem som er mottaker. Lagringstid og når opplysningene vil bli slettet er også viktig for foresatte å vite. Barnehagen har en plikt til å informere om alle former for behandling av personopplysninger som gjøres i barnehagen. Kontrollen som ble foretatt denne gangen var imidlertid konsentrert om kommunikasjonsplattformer og kartleggingsverktøy. Espira må utarbeide overordnede, skriftlige rutiner for hvordan foresatte skal informeres om barnehagenes behandling av personopplysninger. I den grad de enkelte barnehagene innenfor virksomheten har særskilte informasjonssystemer må informasjonen som gis tilpasses den enkelte barnehage. For Blåveisbakkens del vil det være naturlig å utarbeide informasjon om bruken av Vigilo, TRAS, ALLE MED og Askeladden og evt. andre verktøy/applikasjoner som behandler personopplysninger. Foresatte har riktignok fått en brosjyre som beskriver Vigilo fra utvikler/selgers synsvinkel. Vi ser imidlertid behov for en mer balansert og utfyllende informasjon, samt bedre informasjon om konkret hvilke personopplysninger om barna som lagres her. For eksempel bør foresatte få utlevert databehandleravtalen med Vigilo, samt vedleggene som lister opp hvilken informasjon som lagres. Under kontrollen kom det dessuten frem at all inn- og utlogging, og bruk av Vigilo blir logget. Dette gjelder for alle brukere både ansatte og foresatte. Dette er noe som er viktig å informere om, og samtidig forklare hvorfor det er nødvendig. Delkonklusjon Mangelfulle dokumenterte rutiner for informasjon til foresatte om barnehagens behandling av personopplysninger er et avvik, jf. personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav d. 4.1.4.4 Sletting I henhold til personopplysningsloven 11 e, jf 28, skal personopplysninger slettes når de ikke lenger er nødvendige for formålet med behandlingen. 1 Virksomheten skal etter personopplysningsforskriften 3-1, bokstav c ha rutiner for å sikre at sletting foretas i samsvar med bestemmelsene i loven. 1 Personopplysningsloven 11 bokstav e krever at den behandlingsansvarlige skal rette eller slette, ufullstendige eller overflødige opplysninger. Bestemmelsen presiserer at disse pliktene ikke bare er rettigheter som tilkommer den registrerte, men selvstendige plikter som påhviler den behandlingsansvarlige uavhengig av om den registrerte krever det. Det vises i den sammenheng også til Ot.prp. nr. 92 (1998-1999) side 114. 9 av 18
Faktiske forhold Espira har ingen dokumenterte rutiner for hvordan og når personopplysninger skal slettes. I dokumentet «Barnehagen, barna og foresattes rettigheter og plikter» er det skrevet noe om hva som skal være førende for sletting av personopplysninger innen Espira gruppen. Dokumentet er utarbeidet av Vigilo. Prosedyrer for sletting nevnt i tilknytning til arkivplikt, kassasjon og bevaring. Når det gjelder arkivplikt konkluderes det med at private barnehager er å regne som offentlige organ og dermed skal følge både offentlighetsloven, forvaltningsloven og arkivloven i sin helhet. Dette betyr i så fall at barnehagene innen Espira gruppen er arkivpliktige på lik linje med kommunale barnehager. Dette vil innebære en lagrings- og arkiveringsplikt av personopplysninger om barna som har gått i barnehagen langt utover tidsrommet avtale om barnehageplass gjelder. F.eks praktiserer kommunale barnehager en lagringstid på 10 år for pedagogiske rapporter. Blåveisbakken barnehage har imidlertid søkt råd i dette spørsmålet hos Private barnehagers landsforbund (PBL) og Bærum kommune, og fått til svar at private barnehager i utgangspunktet ikke er forpliktet etter arkivloven og at personopplysninger om det enkelte barn skal slettes når barnet slutter i barnehagen. Blåveisbakken barnehage har lagt opp sin praksis etter anbefalingen fra PBL og Bærum kommune. Denne praksisen er ikke skriftliggjort. Når det gjelder kassasjon og bevaring omtaler dokumentet særskilt plikten til å lagre logg over når det enkelte barn er levert til og hentet fra barnehagen. Det konkluderes med at lagring av slik logg ikke bare er tillatt, men også en plikt for barnehagen. Det skilles ikke mellom logg til bruk for «dagen i dag» og lagring av historikk. Det angis heller ikke noe tidspunkt for sletting av slik logg. Espira har ingen retningslinjer for når bilder av barna slettes. På direkte spørsmål fikk vi opplyst under kontrollen at barnehagens holdning er at bilder tatt av barna kan slettes hvis foresatte ber om det. Tilsvarende vil gjelde TRAS skjema. Dette er imidlertid ikke retningslinjer som er skriftliggjort. Vurdering Espira må utarbeide overordnede, skriftlige rutiner for sletting. Disse rutinene må omfatte både manuelle arkiv og digitalt lagrede personopplysninger. I den grad de enkelte barnehagene innenfor virksomheten har personopplysninger hvor det vil gjelde særskilte sletteregler må rutiner tilpasses for den enkelte barnehage. Datatilsynet er ikke enig i konklusjonen som fremkommer i dokumentet «Barnehagen, barna og foresattes rettigheter og plikter» om at private barnehager i utgangspunktet er å regne som offentlig organ som skal følge arkivloven fullt ut. Vi kjenner godt til Riksarkivarens vurdering 10 av 18
av arkivplikten for private barnehager, og vi mener at forfatter av dokumentet «Barnehagen, barna og foresattes rettigheter og plikter» må ha misforstått Riksarkivarens uttalelse. Slik vi forstår Riksarkivarens uttalelse er private barnehager bare unntaksvis forpliktet etter arkivloven, og da kun etter vedtak fra Riksarkivarens side 2. En viktig begrunnelse for arkivplikten er borgernes mulighet til å ettergå dokumentasjon på hvordan en offentlig tjeneste er blitt utført, og om den enkelte borger har fått den hjelp vedkommende har krav på. For tjenester gitt i barnehager vil det særlig være aktuelt å undersøke om barn som har hatt behov for ekstra oppfølging med hensyn til språkutvikling og lignende har fått tilstrekkelig hjelp. Dokumentasjon for hvordan slike tjenester er gitt vil være bevart hos den enkelte hjelpeinstans, f.eks PPT og barnevern. Det er for det første ingen grunn til å arkivere slik dokumentasjon dobbelt (både hos hjelpeinstansen og hos barnehagen). For det andre vil en slik praksis være uheldig med tanke på mulige korrigeringer eller suppleringer i originaljournalen. Man vil kunne ende opp med at for eksempel en pedagogisk rapport foreligger i to ulike versjoner hos PPT og hos barnehagen. Kommunen, og andre offentlige organ, er forpliktet til å arkivere etter arkivloven. Private barnehager er i utgangspunktet ikke forpliktet etter denne loven, med mindre det foreligger et vedtak fra Riksarkivaren som sier noe annet. Dersom Espira skal lagre personopplysninger om barna som har gått i barnehagene etter at de har sluttet i barnehagen må det angis et gyldig rettslig grunnlag for slik lagring. Uten slik rettslig grunnlag må opplysningene slettes. Delkonklusjon Mangelfulle dokumenterte rutiner for sletting av personopplysninger er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav c. 4.1.4.5 Konklusjon Mangelfulle dokumenterte rutiner for oppfyllelse av sine plikter og de registrertes rettigheter er avvik fra personopplysningsloven 14, jf. personopplysningsforskriften 3-1 bokstav a, c og d. 4.2 Krav om informasjonssikkerhet 4.2.1 I henhold til personopplysningsloven 13 skal virksomheten gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger. Tiltakene skal være dokumenterte. Kravene til informasjonssikkerhet er utdypet i personopplysningsforskriften kapittel 2. For øvrig vises det til Datatilsynets hjemmeside, www.datatilsynet.no. 2 Se brev fra Riksarkivaren til Private Barnehagers Landsforbund av 10.02.2004 11 av 18
12 av 18
4.2.2 Sikkerhetsledelse I henhold til personopplysningsforskriften 2-3 skal formålet med behandling av personopplysninger og overordnede føringer for bruk av informasjonsteknologi beskrives i sikkerhetsmål. Valg og prioriteringer skal beskrives i en sikkerhetsstrategi. Bruk av informasjonssystemet skal jevnlig, eksempelvis årlig, gjennomgås for å kartlegge om den er hensiktsmessig for virksomhetens behov og om sikkerhetsstrategien gir tilfredsstillende informasjonssikkerhet som resultat. Sikkerhetsstrategier vil omfatte grunnleggende beslutninger om organisering og gjennomføring av sikkerhetsarbeidet i virksomheten. Bestemmelsene innebærer blant annet at behandlingsansvarlig skal etablere en sikkerhetsorganisasjon i virksomheten. Sikkerhetsmål og sikkerhetsstrategi Faktiske forhold Espira har ingen overordnede føringer for bruk av informasjonsteknologi i barnehagene innen virksomheten. Valg og prioriteringer er heller ikke beskrevet i en sikkerhetsstrategi. Sikkerhetsansvarlig opplyses å være Andrè Kidess som er kombinert IT-ansvarlig og økonomidirektør. Vurdering Datatilsynet har en forventning om en tydeligere kommunikasjon av rollen som sikkerhetsledelse i en såpass stor organisasjon som Espira. Det er positivt at virksomheten har signalisert at dokumentasjon av sikkerhetsmål og sikkerhetsstrategi er underveis. Inntil dette er på plass må det imidlertid konstateres avvik på dette punktet. Konklusjon Manglende dokumentasjon av sikkerhetsledelse er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-3. 4.2.3 Risikovurdering I henhold til personopplysningsforskriften 2-4 skal det føres en oversikt over hvilke personopplysninger som behandles. Det skal fastsettes kriterier for akseptabel risiko forbundet med behandlingen av personopplysninger. På bakgrunn av dette skal den behandlingsansvarlige foreta risikovurderinger for å kartlegge sannsynligheten for og konsekvenser av sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Resultatet av risikovurderingen skal sammenlignes med de fastlagte kriterier for akseptabel risiko. Resultatet av risikovurderingen skal dokumenteres. 13 av 18
Faktiske forhold Espira har ingen rutine for at informasjonssystemer innen barnehagedrift skal risikovurderes før bruk. Da Espira første gang ble kontaktet av Vigilo med tilbud om å ta i bruk deres programvare ble dette lagt på is av både økonomiske årsaker og fordi man mente at plattformen ikke var tilpasset Espira sitt behov. Ny kontakt ble opprettet etter at Vigilo kom med et tilbud om en tilpasset versjon av plattformen Spireportalen. Det ble da igangsatt et pilotprosjekt i to barnehager. Sikkerhet var et gjennomgående tema. Fra 2013 har Espira gjennomført full implementering av Spireportalen i sine barnehager, og pr i dag har 72 av 75 barnehager tatt i bruk verktøyet. Vurdering Espira må utarbeide overordnede, skriftlige rutiner for risikovurdering av informasjonssystemer som behandler personopplysninger. I den grad det tillates at de enkelte barnehagene innenfor virksomheten tar i bruk særskilte informasjonssystemer, må barnehagene gjøres i stand til å gjennomføre og dokumentere risikovurdering selv. Slik prosessen i forkant av innkjøp av Vigilo er beskrevet synes det som Espira gjorde en risikovurdering i forkant av at de tok i bruk dette verktøyet. Det finnes imidlertid ingen dokumentasjon som viser hva risikovurderingen gikk ut på. Uten at risikovurdering innlemmes i det systematiske arbeidet med informasjonssikkerhet, blir det for tilfeldig om det blir gjort eller ikke. En faktor som tilsier at det er behov for grundige risikovurderinger hos barnehagen er at Vigilo inneholder sensitive personopplysninger (helseopplysninger, opplysninger om atferd, og opplysninger som kan indikere allergi og religionstilhørighet etc). Konklusjon Manglende gjennomføring og dokumentasjon av risikovurdering er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-4. 4.2.4 Sikkerhetsrevisjon Virksomheten plikter i henhold til personopplysningsforskriften 2-5 å gjennomføre sikkerhetsrevisjon jevnlig, eksempelvis årlig. Sikkerhetsrevisjon skal omfatte vurdering av organisering og at sikkerhetstiltak som er besluttet etablert faktisk er iverksatt og fungerer etter sin hensikt. Resultatet av sikkerhetsrevisjon skal dokumenteres. Sikkerhetsrevisjon er et viktig grunnlag for kontinuerlig forbedring av informasjonssikkerhet i virksomheten. Resultatet fra sikkerhetsrevisjonen vil være en del av grunnlaget for ledelsens gjennomgang, jf. personopplysningsforskriften 2-3. 14 av 18
Faktiske forhold Datatilsynet har blitt informert om at virksomheten ikke har gjennomført sikkerhetsrevisjon slik det fremgår av kravene i personopplysningsforskriften. Konklusjon Manglende gjennomføring og dokumentasjon av sikkerhetsrevisjon er et avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-5. 4.2.5 Sikkerhetstiltak Personopplysningsloven 13, jf. personopplysningsforskriften 2-11, 2-12 og 2-13 stiller som krav til den behandlingsansvarlige at det gjennomføres tiltak som sørger for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet. Personopplysningsforskriften 2-14 pålegger at det skal innføres sikkerhetstiltak som skal hindre uautorisert bruk av informasjonssystemet og gjøre det mulig å oppdage forsøk på slik bruk. Videre pålegger personopplysningsforskriften 2-8 tredje ledd og 2-14 andre ledd at henholdsvis autorisert og uautorisert bruk av informasjonssystemet skal registreres. Faktiske forhold Hatteland har satt opp en Citrix oppkobling for Espira, inkludert Blåveisbakken barnehage. Dokumenter lagres ikke lokalt på pc ene, men på egen filplassering hos Hatteland. Office Center på Hønefoss drifter løsningen. Kun styrer og ass.styrer har tilgang til Citrix-løsningen. Det er brukernavn og passord for tilgang til alle systemer. Ansattes tilgang i Vigilo er knyttet til fire roller: Administrator, pedagog, ansatt og vikar. Ut fra disse rollene er det spesifisert hvilke opplysninger og ressurser i systemet man har bruk for i sin jobb. Ansatte i Blåveisbakken barnehage logger seg på Vigilo barnehage med brukernavn og passord (svak autentisering). Det er ikke satt noen sperrer for pålogging utenfor barnehagens nettverk. I praksis er det derfor fullt mulig for ansatte å logge seg på Vigilo barnehage når og hvor som helst. Vurdering Espira har ikke utarbeidet konfigurasjonskart eller annen beskrivelse av sine IKT-systemer og IKT-løsninger for barnehagene. Datatilsynet mener at Espira må gjøre en risikovurdering av informasjonssystemet for å komme frem til hvilke sikkerhetstiltak som skal dokumenteres og innføres. Kapittel 2 i personopplysningsforskriften inneholder en del minimumskrav til konkrete sikkerhetstiltak alle virksomheter som behandler personopplysninger skal oppfylle. Dette gjelder eksempelvis 15 av 18
tilgangskontroll, avvikshåndtering, logging, sletting og taushetsplikt. I tillegg må informasjonssystemet dokumenteres i form av konfigurasjonskart og driftsrutiner. Dersom et informasjonssystem, som inneholder personopplysninger om mange barn, skal gjøres tilgjengelig for ansatte fra utsiden av den ansvarlige virksomheten, er Datatilsynets vurdering at det kreves en sterkere autentisering enn brukernavn og passord. Med sterk autentisering menes for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS. Dette kan også realiseres i en fjernarbeidsløsning med sterk autentisering, og påfølgende tilgang til fagapplikasjonen. Dette hindrer at noen som får tak i brukernavn og passord klarer å skaffe seg tilgang til informasjonssystemet. I Vigilo, som er tilgjengelig for ansatte, er det personopplysninger om mange barn som må beskyttes. Vigilo inneholder sensitive personopplysninger (helseopplysninger, opplysninger om atferd, og opplysninger som kan indikere allergi og religionstilhørighet etc). Den er tilgjengelig for pålogging for ansatte over Internett med svak autentisering. Dette er ikke tilfredsstillende. Espira har en plikt til å sørge for tilfredsstillende informasjonssikkerhet. Det kan for eksempel oppnås ved å utføre klassifisering av systemene som barnehagen bruker, og dersom det er system som behandler sensitive opplysninger, bør en vurdere om disse skal inn i en sikker sone. Konklusjon Mangelfull dokumentasjon av sikkerhetstiltak er avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-14. Svak autentisering for pålogging for ansatte til Vigilo over eksterne nett gir ikke tilfredsstillende informasjonssikkerhet. Dette er et avvik fra personopplysningsloven 13, jf. personopplysningsforskriften 2-1, 2-2, 2-11 og 2-14. 4.2.6 Opplæring I henhold til personopplysningsforskriften 2-8 skal medarbeideren ha nødvendig kunnskap for å bruke informasjonssystemet i samsvar med fastlagte rutiner. Dette medfører at de rutiner som utformes med bakgrunn i de øvrige bestemmelser må implementeres i virksomheten, og at de ansatte må gis den opplæring som er nødvendig for å kunne følge dem. Faktiske forhold Det finnes ingen dokumentert oversikt over informasjonssystemets utforming og heller ingen sikkerhetsinstruks for brukerne av systemet. Det finnes prosedyrer for bruk av Vigilo, bildebruk og oppbevaring av kontrakter og sensitive opplysninger. Disse prosedyrene blir fulgt når de ansatte skal læres opp. 16 av 18
Vurdering Sikkerhetsrutiner for brukere, ledere og sikkerhetsansvarlige må utarbeides. Videre må de ansatte læres opp. Konklusjon Manglende opplæring i bruk av IT i barnehagen er avvik, jf. personopplysningsloven 13, jf. personopplysningsforskriften 2-8. 4.3 Databehandlere En databehandler er i personopplysningsloven 2 nr 5 definert som den som behandler personopplysninger på vegne av den behandlingsansvarlige. Dersom andre virksomheter behandler personopplysninger på vegne av virksomheten må det inngås en skriftlig databehandleravtale med virksomheten, jf. personopplysningsloven 15. I avtalen skal det fremgå at databehandleren plikter å gjennomføre tiltak for å ivareta tilfredsstillende informasjonssikkerhet, jf. personopplysningsloven 13. Databehandler har et selvstendig ansvar for å ha tilfredsstillende informasjonssikkerhet, for å verne personopplysningene som behandles på vegne av virksomheten, jf. personopplysningsloven 13. Databehandler kan bare behandle opplysninger i henhold til en avtale med virksomheten. Faktiske forhold Vi har fått tilsendt databehandleravtale mellom Espira Gruppen AS og Vigilo med vedlegg. Espira Gruppen AS har inngått avtale med Jacob Hatteland Solutions AS (Hatteland) i forbindelse med drift av Espira barnehagenes Citrix løsning. Avtalen er basert på IKT Norges standardavtale og inngått 1. oktober 2010. Avtalen oppfyller minimumskravene til en databehandleravtale etter personopplysningsloven 15. Partene har i etterkant av Datatilsynets kontroll valgt å inngå en mer utfyllende avtale. Det er ikke inngått databehandleravtale med Office Center Hønefoss AS. Vurdering Det er positivt at det i vedlegget til databehandleravtalen finnes en oversikt over hvilke personopplysninger som Vigilo behandler på vegne av Espira. Det er også positivt at det er et punkt i avtalen som fastslår at behandlingsansvarlig (Espira) skal ha tilgang til sikkerhetsdokumentasjon og sikkerhetsrevisjon av informasjonssystemet. Avtalen inneholder imidlertid en del feil og mangler. For eksempel mangler det informasjon om hvor data lagres. Avtalen beskriver videre at data slettes ved avtalens opphør, men det bør også dokumenteres rutiner for når personopplysninger slettes dersom det initieres sletting fra barnehagen underveis i avtaleperioden. Dette er forhold som tilsier at avtalen bør revideres. Revidering bør skje av følgende punkter: 17 av 18
Det er brukt feil avtalemal. Avtalen viser til helseregisterloven. Riktig mal viser til personopplysningsloven. Vedlegget beskriver hvilke personopplysninger som blir lagret i Vigilo. Kategorisering av disse opplysningene kan med fordel tas inn i avtalens hoveddokument med henvisning til vedlegget for mer detaljer. Avtalen bør beskrive hvem i Vigilo som har tilgang til personopplysninger i Espira sin løsning. Avtalen bør beskrive rutinene for logging av autorisert og uautorisert bruk. Avtalen bør beskrive hvor data lagres. Avtalen bør beskrive rutiner for backup. Avtalen bør beskrive rutiner for sletting underveis i avtaleforholdet. Det var på kontrolltidspunktet uklart for de som deltok på kontrollen om Hatteland og Office Center behandler personopplysninger på vegne av barnehagen. Det er senere kommet frem at det forelå en avtale med Hatteland som tilfredsstiller kravene til en databehandleravtale. Slik vi ser det må en virksomhet som har satt bort vedlikeholdsarbeid av IKT-utstyr til en annen virksomhet, må ha en form for avtaleregulering, som sikrer sikker håndtering av personopplysninger, selv om formålet til den eksterne virksomheten ikke er behandling av personopplysninger på vegne av denne. Dersom dere må oppgi brukernavn/passord til Hatteland og/eller Office Center, har de muligheten til å håndtere personopplysninger, og på en måte gjør de det ved å ha service på IKT-utstyr, om enn indirekte. De lagrer alle opplysningene som ligger på utstyret all den tid den er i deres besittelse, de har passordet, og de lagrer dette midlertidig på vegne av barnehagen. Espira må avklare om bruk av Office Center innebærer behandling av personopplysninger og at det derfor må inngås en databehandleravtale i samsvar med personopplysningsloven 15. Dersom Office Center ikke behandler personopplysninger, må barnehagen uansett inngå en avtale med Office Center i samsvar med personopplysningsloven 13, jf. personopplysningsforskriften 2-15. Dette fordi Office Center som leverandører av tjenester har betydning for barnehagens informasjonssikkerhet. Konklusjon Mangelfull databehandleravtale med Vigilo er avvik, jf. personopplysningsloven 15, jf. personopplysningsforskriften 2-15. Manglende vurdering, og avklaring om bruk av Office Center forutsetter behandling av personopplysninger og inngåelse avtale, er et avvik, jf. personopplysningsloven 14, 15 og 13, jf. personopplysningsforskriften 3-1 og 2-15. 18 av 18