Endelig kontrollrapport



Like dokumenter
Mandal kommunes styringssystem for informasjonssikkerhet Utkast, mars 2011

Endelig kontrollrapport

VEDLEGG TIL HOVEDAVTALE DATABEHANDLERAVTALE

Lagring av personopplysninger. Øyvind Eilertsen UNINETT CERT. SUHS-konferansen Informasjonssikkerhet Behandling av personopplysninger:

Databehandleravtale etter personopplysningsloven

Personopplysninger og opplæring i kriminalomsorgen

Eksamensoppgave for FINF 4001 Forvaltningsinformatikk Fredag Kl (6 timer)

Endelig kontrollrapport

Kontrollrapport. Kontrollobjekt: Fylkesmannen i Nord- Trøndelag Sted: Steinkjer

Informasjonssikkerhet i Nord-Trøndelag fylkeskommune

Endelig kontrollrapport

Vedtak om pålegg og endelig kontrollrapport - Kontroll hos Norsk Medisinaldepot AS

Kontrollrapport. Kontrollobjekt: Svelvik kommune Sted: Svelvik

Endelig kontrollrapport

Endelig kontrollrapport

Det vises til Datatilsynets kontroll hos virksomheten den 28. september 2011 og Datatilsynets varsel om vedtak av 3.november 2011.

Hvordan revidere etterlevelse av personvernregelverket? Presentasjon NIRF 16. april 2015

Kontrollrapport. Kontrollobjekt: Våler kommune Sted: Våler

Kontrollrapport. Kontrollobjekt: Østfold fylkeskommune Sted: Sarpsborg

Internkontroll og informasjonssikkerhet lover og standarder

Bilag 14 Databehandleravtale

Informasjonssikkerhet Retningslinjer for behandling av personopplysninger og annen informasjon underlagt taushetsplikt

Kontrollrapport. Kontrollobjekt: Nittedal kommune Sted: Nittedal

Policy for personvern

Innsyn i og håndtering av sensitiv personinformasjon. v/ Kirsti Torbjørnson og Gerd Smedsrud

Endelig kontrollrapport

E-billetteringsnorm: Mal for databehandleravtale (bearbeidet utgave av Datatilsynets avtaleskisse)

Databehandleravtale. I henhold til personopplysningslovens 13, jf. 15 og personopplysningsforskriftens kapittel 2. mellom

Konkurranse om minibusstjenester. Vedlegg 8. Databehandleravtale

Endelig kontrollrapport

Endelig Kontrollrapport

Go to use the code /10/2016. En liten undersøkelse: Mobil/ nettbrett. INF1000/ INF1001: IT og samfunn.

Vedlegg 14 Behandleravtalen. Bussanbud Stor-Trondheim

Kontrollrapport. Kontrollobjekt: Øksnes kommune Sted: Myre

Kontrollrapport. Kontrollobjekt: Eigersund kommune Sted: Egersund

Databehandleravtale. I henhold til helseregisterlovens 16, jf. 18 og personopplysningsforskriftens kapittel 2. mellom. Bærum kommune, Pleie- og omsorg

Avslutning av sak og endelig kontrollrapport - Kontroll hos Blålys

Kontrollrapport. Kontrollobjekt: Verdal kommune Sted: Levanger

Vedlegg 8 Databehandleravtalen. Bussanbud Stor-Trondheim

Endelig kontrollrapport

Vedtak om pålegg - Endelig kontrollrapport for Bindal kommune

Kontrollrapport. Kontrollobjekt: Vestby kommune Sted: Vestby

DATABEHANDLERAVTALE. mellom. [Skjåk Kommune] (heretter kalt "Behandlingsansvarlig") Mattilsynet. (heretter kalt "Databehandler")

Kontrollrapport. Kontrollobjekt: Horten kommune Sted: Horten

Kontrollrapport. Kontrollobjekt: Kongsvinger kommune Sted: Kongsvinger

Nye personvernregler

Endelig kontrollrapport

BEHANDLING AV PERSONOPPLYSNINGER

Deres referanse Vår referanse (bes oppgitt ved svar) Dato 13/ /MEI 11. juli 2014

Databehandleravtale Pilot Digitalt Bortsettingsarkiv

Endelig kontrollrapport

INF1000: IT og samfunn. Uke 6, høst 2014 Siri Moe Jensen

Deres referanse Vår referanse Dato / /EOL

Sporveien AS standardvilkår for Databehandleravtaler Versjon Vedlegg 1 til Databehandleravtale mellom Sporveien AS og Databehandler

Vedtak om pålegg - Endelig kontrollrapport for Averøy kommune Internkontroll og informasjonssikkerhet

Avslutning av sak og endelig kontrollrapport - Kontroll hos Boots Norge AS

Kontrollrapport. Kontrollobjekt: Flekkefjord kommune Sted: Flekkefjord

Databehandleravtale. (versjon 1) mellom. behandlingsansvarlig. databehandler

Databehandleravtaler

GDPR Ny personvernforordning

Retningslinjer for databehandleravtaler

Databehandleravtale I henhold til ny personvernlov, jf. personvernforordningen art. 28 nr. 3, inngås databehandleravtale mellom Kunden

Endelig kontrollrapport

Personvern og informasjonssikkerhet

Vedtak om pålegg - Endelig kontrollrapport for Kristiansund kommune Internkontroll og informasjonssikkerhet

Endelig kontrollrapport

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001

Arbeids- og velferdsetaten Vedlegg [sett inn vedlegg] Databehandleravtale Kontraktsnummer: [sett inn kontraktsnummer] Side 1 av 6

Kontrollrapport. Kontrollobjekt: Steinkjer kommune Sted: Steinkjer

Brevkontroll - TVNorge WebTV - Internettbaserte TV-tjenester - Vedtak

VIRKE. 12. mars 2015

Personvern - sjekkliste for databehandleravtale

Vedtak om pålegg - Endelig kontrollrapport for Vega kommune

Kontrollrapport. Kontrollobjekt: Hovedredningssentralen Nord-Norge Sted: Bodø

Databehandleravtale mellom [Kunde] og Tibe T Reklamebyrå AS

Endelig kontrollrapport

Kan du legge personopplysninger i skyen?

Vedtak om pålegg - Endelig kontrollrapport for Sømna kommune

Endelig kontrollrapport

Endelig kontrollrapport

Veiledningsdokument for håndtering av personopplysninger i Norge digitalt

Personopplysningsloven: Formål og grunnleggende begreper. DR1010 Personvern i offentlig forvaltning Vår 2011 Seniorrådgiver Mona Naomi Lintvedt, Difi

Personvernerklæring. Del 1. Personvern og datasikkerhet i Det frivillige Skyttervesen (DFS) Det frivillige Skyttervesen

Personvernkrav ved behandling av kundeopplysninger utvalgte emner. Bård Soløy Ødegaard Juridisk rådgiver Datatilsynet

Behandlingsansvarlig Virksomheter som bestiller opplæring i forbindelse med Nasjonal sikkerhetsmåned

Endelig kontrollrapport

Under henvisning til Yrkesskadeforsikringsforeningens vedtekter 4 varsles det om behandling av følgende sak på årsmøte :

Er din bedrift klar for ny personopplysningslov?

Skytjenester. Forside og Databehandleravtale. Telenor Norge

Databehandleravtale etter personopplysningsloven

PERSONVERNERKLÆRING FOR KUNDER OG ANDRE (EKSTERN)

Vår referanse (bes oppgitt ved svar)

Databehandleravtale. Denne avtalen er inngått mellom

Avtale om leveranse av IKT-tjenester. Del II - Databehandleravtale

Cloud computing en veileder i bruk av nettskytjenester. En vurdering av nettskytjenester opp mot kravene i personopplysningsloven 1.

Endelig kontrollrapport

14/ /KBK Vedtak - Endelig kontrollrapport - Eigersund kommune - Internkontroll og informasjonssikkerhet

DRI1010 Emnekode. Oppgave Kandidatnummer Dato

Endelig kontrollrapport

Foreløpig kontrollrapport

Transkript:

Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte kontroll hos Drømtorp videregående skole 1. desember 2011. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med behandling av personopplysninger i elevadministrasjonssystemer (LMS). Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Frank Westby, rektor - Tone Gunnæs Holck, administrasjonsleder - Morten Skari, systemansvarlig - Roger Kristiansen, studieleder 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Stein Erik Vetland, overingeniør 3 Generelt Skolen er underlagt Akershus fylkeskommune. Fylkeskommunen har 34 videregående skoler med mer enn 20 000 elever. Drømtorp videregående skole ligger i Ski kommune. Den er en av syv videregående skoler i Folloregionen, som omfatter kommunene Ski, Oppegård, Ås, Vestby, Frogn, Nesodden og Enebakk. Skolen har i overkant av fem hundre elever og ett hundre ansatte. Drømtorp videregående skole har både yrkesfaglige og studieforberedende opplæringstilbud. - Medier og kommunikasjon - Helse og sosialfag - Service og samferdsel - Allmennfaglig påbygning 1 av 6

- Voksenopplæring Barne og ungdomsarbeiderfag - Tilrettelagt avdeling 4 Kort om bruk av personopplysninger samt formålet med behandlingene Skolen behandler personopplysninger om elever og egne ansatte. Tilsynet har fokusert kun på behandling av elevopplysninger ved denne anledningen. I forbindelse med søknad om skoleplass, behandlingen av søknaden, utvelgelse av elever som tilbys skoleplass, ordinær skolegang og behandling av opplysninger om tidligere elever vil skolen behandle mange personopplysninger. Tilsynet begrenset kontrollen til ikke å omfatte skolen sin bruk av VIGO. Eksempler på hvilke personopplysninger skolen behandler: Kontaktopplysninger til elev og foresatte, karakterer fra tidligere skolegang, elevmapper, individuelle opplæringsplaner, individuelle planer, karakterer og fravær. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generelt om behandling av personopplysninger begreper og forutsetninger Datatilsynet har som en av sine oppgaver å kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, jf. personopplysningsloven 42 tredje ledd. Dette innebærer blant annet at tilsynet skal påse at personopplysningsloven med tilhørende forskrift opphører blir fulgt. 1 Personopplysningsloven gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. lovens 3. Bestemmelsen i lovens 2 nr. 1 definerer personopplysninger som opplysninger og vurderinger som kan knyttes til en enkeltperson. Personopplysningsbegrepet favner med andre ord svært vidt, og omfatter blant annet opplysninger om en persons navn, personbilde eller bopel, men også vedkommendes ytringer eller handlinger. Loven gjelder også opplysninger om indirekte identifiserbare individer. Behandling av opplysninger om personer som er anonyme, er derimot ikke omfattet av regelverket. Når det gjelder uttrykket behandling, siktes det i loven til enhver formålsbestemt bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter. Personopplysningsloven med tilhørende forskrift retter seg i utgangspunktet til alle fysiske og juridiske personer som er ansvarlige for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. Dette pliktsubjektet er i loven og forskriften omtalt som den behandlingsansvarlige. 1 Lov av 14. april 2000 nr. 31 om behandling av personopplysninger, og forskrift av 15. desember 2000 nr. 1265 om behandling av personopplysninger. 2 av 6

Pliktene i regelverket gjenspeiles gjerne i tilsvarende rettigheter. Rettighetshaver er i lov og forskrift kalt den registrerte. 5.2 Internkontroll 5.2.1 Lovkrav Personopplysningsloven 14 stadfester at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Videre skal den behandlingsansvarlige dokumentere tiltakene, jf personopplysningslovens forskrift 3-1. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 5.2.2 Funn Kontaktlærere er i all hovedsak representanten fra skolen som er nærmest den enkelte elev. Det er derfor naturlig at disse lærerne får tilgang til flest personopplysninger. Skolen har utstyrt kontaktlærerne med låsbare skap for å sikre at lærerne kan lagre dokumenter uten at uautoriserte personer kan få tilgang. Hvilke dokumenter som skolen forventer at kontaktlærerne skal lagre i skapet finnes ikke. Det er heller ikke utarbeidet rutiner for hvordan skolen forventer at den enkelte kontaktlærer rydder og makulerer når personopplysningene ikke lengre er nødvendige. 5.2.3 Datatilsynets vurdering og konklusjon Virksomheten er lovpålagt å ha skriftlig dokumentasjon for sitt internkontrollsystem, jf. personopplysningslovens forskrift 3-1. Det er formålstjenlig at dokumentasjonen deles opp i tre hoveddeler: a) styrende dokumentasjon b) gjennomførende dokumentasjon c) kontrollerende dokumentasjon Manglende skriftlig dokumentasjon er uheldig siden det gjør det vanskelig å kunne kvalitetsvurdere opplæringen og rutinene virksomheten har. Manglende dokumentasjon gjør det også vanskelig for tilsynet å få kunnskap om virksomheten har en rutine som etterleves eller ikke. Dokumentasjon om hvordan skolen forventer at sine ansatte skal behandle opplysninger om elever er viktig for å kunne ha en omforent kultur blant de ansatte. Ved ansettelser trenger nye medarbeidere ikke være i tvil om hva som forventes av den enkelte og hvordan dette kan organiseres. Dokumenterte rutiner er også viktig for å kunne identifisere avvik fra rutiner. Uten rutiner er det umulig å vite hva som er i strid med rutinen. Virksomheten har da ingen instrumenter for å identifisere problemområder og kunne igangsette tiltak for å minimere eller forhindre faren ved avvik. 3 av 6

Manglende skriftlig dokumentasjon om rutiner for hva kontaktlærere skal behandle i sine arkivskap regnes som et avvik og er et brudd på personopplysningsloven 14, jf personopplysningsforskriftens 3-1. 5.3 Databehandleravtale 5.3.1 Lovkrav Personopplysningsloven 15 stadfester at en databehandler ikke kan behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13. 5.3.2 Funn Skolen hadde ingen oversikt over databehandleravtaler mellom de ulike leverandørene og skolen. Skolen antok at siden Akershus fylkeskommune er ansvarlig for utformingen av datasystemene er det de som skal ha tegnet databehandleravtaler. Tilsynet tilskrev fylkeskommunen i brev av 14. desember 2011 og har fått tilsendt oversikt over hvilke databehandlere fylkeskommunen har og hvilke databehandlere de har databehandleravtale med. På denne listen fremgår det at fylkeskommunen ikke kan fremlegge databehandleravtale med leverandørene Novasoftware, Elevinfo og Agresso. 5.3.3 Datatilsynets vurdering og konklusjon Så lenge leverandøren behandler personopplysninger på vegne av den behandlingsansvarlige skal dette avtalefestes stadfester personopplysningsloven 15. Denne avtalen skal sikre at det er avklart hvordan den behandlingsansvarlige forventer at databehandleren skal behandle personopplysningene denne blir betrodd. Datatilsynet har kommet med en veileder av hva tilsynet forventer av innhold i en databehandleravtale. Ved gjennomgang ser det ut til at fylkeskommunen har brukt malene som tilsynet har utarbeidet i noen av de avtalene som er inngått. Manglende databehandleravtale med de tre ovennevnte leverandørene anses som et avvik og er et brudd på personopplysningsloven 15. 5.4 Informasjonssikkerhet Personopplysningsloven 13 stadfester at den behandlingsansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjenglig for medarbeiderne hos den behandlingsansvarlige. 4 av 6

Personopplysningsforskriften kapittel 2 utleder personopplysningsloven 13. 5.4.1 Fødselsnummer i Active Directory 5.4.1.1 Lovkrav Personopplysingsloven 12 stadfester at fødselsnummer kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Personopplysningsforskriften 2-11 stadfester at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. 5.4.1.2 Funn Alle brukere i fylkeskommunen kan opprette nye mapper på sitt område. Ved å høyreklikke på den nye mappen kan brukeren dele denne mappen med andre som er registrert i Active Directory (AD). Akershus fylkeskommune har organisert alle sine ansatte og elever inn i samme AD. Dette medfører at hver enkelt elev og ansatt får tilgang til de opplysningene som er registrert i AD om de andre brukerne. Tilsynet registrerte at AD blir blant annet brukt for å lagre fødselsnummer på mange av brukerne. 5.4.1.3 Datatilsynet vurdering og konklusjon Tilsynet har ikke kunnskap om hva fylkeskommunen bruker fødselsnummeret som er lagret i AD til. Datatilsynet ser at fylkeskommunen trenger fødselsnummeret til både elever og ansatte, men at disse trenger tilgang til hverandres ser ikke tilsynet er nødvendig. ID-tyveri er et økende problem og en grunn til dette er at fødselsnummer kan brukes som døråpner for å få tak i flere opplysninger. Datatilsynet har dermed en restriktiv holdning til bruk og publisering av fødselsnummer. At fødselsnummerer er tilgjengelig for en vid krets av personer er et avvik fra personopplysningsloven 13, jf personopplysningsforskriften 2-11 om konfidensialitetssikring. 5.4.2 Referat fra klasselærerråd 5.4.2.1 Lovkrav Personopplysningsloven 2 nr 8 definerer sensitive personopplysninger til å være opplysninger om a) rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. 5 av 6

Personopplysningsforskriften 2-1 stadfester at det skal være forholdsmessig krav om sikring av personopplysninger. Der det er for å hindre fare for tap av liv og helse, økonomiske tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjenglighet og integritet skal de planlagte og systematiske tiltakene stå i forhold til sannsynligheten for og konsekvensene av sikkerhetsbrudd. Personopplysningsforskriften 2-4 annet ledd stadfester at den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser ved sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Videre stadfester personopplysningsforskriften 2-11 og 2-14 at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. 5.4.2.2 Funn Skolen registrerer referater fra klasselærerråd. I disse møtene blir den enkelte elev i klassen diskutert i forhold til utfordringer i skolegangen. Referatet inneholder blant annet navn på eleven med de to første bokstavene i fornavn og etternavn, diagnoser, fravær, medisinering, tilrettelegging, karakteristikker, henvisninger, ansvar, oppfølging og enkeltvedtak. Under kontrollen fikk tilsynet versifisert at man kunne høyreklikke på filen og sende den direkte på e-post. 5.4.2.3 Datatilsynets vurdering og konklusjon Datatilsynet vurderer at bruk av de to første bokstavene i fornavn og etternavn vil være tilstrekkelig til å identifisere den enkelte elev siden klasselærerrådsreferatene skrives per klasse. Datatilsynet mener videre at siden referatet blant annet inneholder diagnose vil tilsynet forvente at referatet i sin helhet sikres bedre enn ordinære opplysninger. Datatilsynet anser det som meget problematisk hvis klasselærerrådsreferatene kommer uautoriserte i hende. Risikovurderingen jf personopplysningsforskriften 2-4 burde ha slått fast at opplysningene regnes som sensitive og dermed burde sikres ytterligere. Datatilsynet reviderte dog ikke at risikovurdering var gjennomført for denne behandlingen. Sensitive personopplysninger bør sikres med to uavhengige sikkerhetstiltak 2. I skolen sin løsning, hvor den ansatte kan sende filen ut direkte, er det ikke innført uavhengige sikkerhetstiltak Datatilsynet finner sikringen av sensitive personopplysninger i referat fra klasselærerråd ikke tilstrekkelig. Mangelfull sikring anses som et avvik fra personopplysningsloven 13, jf personopplysningsforskriften 2-1, 2-11 og 2-14. 2 Norm for informasjonssikkerhet i helse- sosial- og omsorgssektoren gir føringer for hvordan sensitive personopplysninger bør sikres. 6 av 6

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding