Saksnummer: 11/01168 Dato for kontroll: 01.12.2011 Rapportdato: 21.05.2012 Endelig kontrollrapport Kontrollobjekt: Drømtorp videregående skole Sted: Ski Utarbeidet av: Knut B. Kaspersen Stein Erik Vetland 1 Innledning Datatilsynet gjennomførte kontroll hos Drømtorp videregående skole 1. desember 2011. Kontrollen ble utført med hjemmel i personopplysningslovens 44, jf. 42, 3. ledd. Temaet for kontrollen var virksomhetens behandling av personopplysninger, særlig i forbindelse med behandling av personopplysninger i elevadministrasjonssystemer (LMS). Kontrollen fant sted ved virksomhetens faste forretningsadresse. I det følgende vil Datatilsynet beskrive de faktiske forhold som ble avdekket under kontrollen. Kontrollrapporten danner grunnlag for Datatilsynets vurderinger og eventuelle pålegg. 2 Tilstede under kontrollen 2.1 Fra virksomheten: - Frank Westby, rektor - Tone Gunnæs Holck, administrasjonsleder - Morten Skari, systemansvarlig - Roger Kristiansen, studieleder 2.2 Fra Datatilsynet: - Knut B. Kaspersen, fagdirektør - Stein Erik Vetland, overingeniør 3 Generelt Skolen er underlagt Akershus fylkeskommune. Fylkeskommunen har 34 videregående skoler med mer enn 20 000 elever. Drømtorp videregående skole ligger i Ski kommune. Den er en av syv videregående skoler i Folloregionen, som omfatter kommunene Ski, Oppegård, Ås, Vestby, Frogn, Nesodden og Enebakk. Skolen har i overkant av fem hundre elever og ett hundre ansatte. Drømtorp videregående skole har både yrkesfaglige og studieforberedende opplæringstilbud. - Medier og kommunikasjon - Helse og sosialfag - Service og samferdsel - Allmennfaglig påbygning 1 av 6
- Voksenopplæring Barne og ungdomsarbeiderfag - Tilrettelagt avdeling 4 Kort om bruk av personopplysninger samt formålet med behandlingene Skolen behandler personopplysninger om elever og egne ansatte. Tilsynet har fokusert kun på behandling av elevopplysninger ved denne anledningen. I forbindelse med søknad om skoleplass, behandlingen av søknaden, utvelgelse av elever som tilbys skoleplass, ordinær skolegang og behandling av opplysninger om tidligere elever vil skolen behandle mange personopplysninger. Tilsynet begrenset kontrollen til ikke å omfatte skolen sin bruk av VIGO. Eksempler på hvilke personopplysninger skolen behandler: Kontaktopplysninger til elev og foresatte, karakterer fra tidligere skolegang, elevmapper, individuelle opplæringsplaner, individuelle planer, karakterer og fravær. 5 Funn og avvik fra lovbestemte krav til behandling av personopplysninger 5.1 Generelt om behandling av personopplysninger begreper og forutsetninger Datatilsynet har som en av sine oppgaver å kontrollere at lover og forskrifter som gjelder for behandling av personopplysninger blir fulgt, jf. personopplysningsloven 42 tredje ledd. Dette innebærer blant annet at tilsynet skal påse at personopplysningsloven med tilhørende forskrift opphører blir fulgt. 1 Personopplysningsloven gjelder for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler, jf. lovens 3. Bestemmelsen i lovens 2 nr. 1 definerer personopplysninger som opplysninger og vurderinger som kan knyttes til en enkeltperson. Personopplysningsbegrepet favner med andre ord svært vidt, og omfatter blant annet opplysninger om en persons navn, personbilde eller bopel, men også vedkommendes ytringer eller handlinger. Loven gjelder også opplysninger om indirekte identifiserbare individer. Behandling av opplysninger om personer som er anonyme, er derimot ikke omfattet av regelverket. Når det gjelder uttrykket behandling, siktes det i loven til enhver formålsbestemt bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter. Personopplysningsloven med tilhørende forskrift retter seg i utgangspunktet til alle fysiske og juridiske personer som er ansvarlige for behandling av personopplysninger som helt eller delvis skjer med elektroniske hjelpemidler. Dette pliktsubjektet er i loven og forskriften omtalt som den behandlingsansvarlige. 1 Lov av 14. april 2000 nr. 31 om behandling av personopplysninger, og forskrift av 15. desember 2000 nr. 1265 om behandling av personopplysninger. 2 av 6
Pliktene i regelverket gjenspeiles gjerne i tilsvarende rettigheter. Rettighetshaver er i lov og forskrift kalt den registrerte. 5.2 Internkontroll 5.2.1 Lovkrav Personopplysningsloven 14 stadfester at den behandlingsansvarlige skal etablere og holde ved like planlagte og systematiske tiltak som er nødvendig for å oppfylle kravene i eller i medhold av denne loven, herunder sikre personopplysningenes kvalitet. Videre skal den behandlingsansvarlige dokumentere tiltakene, jf personopplysningslovens forskrift 3-1. Dokumentasjonen skal være tilgjengelig for medarbeiderne hos den behandlingsansvarlige og hos databehandleren. Dokumentasjonen skal også være tilgjengelig for Datatilsynet og Personvernnemnda. 5.2.2 Funn Kontaktlærere er i all hovedsak representanten fra skolen som er nærmest den enkelte elev. Det er derfor naturlig at disse lærerne får tilgang til flest personopplysninger. Skolen har utstyrt kontaktlærerne med låsbare skap for å sikre at lærerne kan lagre dokumenter uten at uautoriserte personer kan få tilgang. Hvilke dokumenter som skolen forventer at kontaktlærerne skal lagre i skapet finnes ikke. Det er heller ikke utarbeidet rutiner for hvordan skolen forventer at den enkelte kontaktlærer rydder og makulerer når personopplysningene ikke lengre er nødvendige. 5.2.3 Datatilsynets vurdering og konklusjon Virksomheten er lovpålagt å ha skriftlig dokumentasjon for sitt internkontrollsystem, jf. personopplysningslovens forskrift 3-1. Det er formålstjenlig at dokumentasjonen deles opp i tre hoveddeler: a) styrende dokumentasjon b) gjennomførende dokumentasjon c) kontrollerende dokumentasjon Manglende skriftlig dokumentasjon er uheldig siden det gjør det vanskelig å kunne kvalitetsvurdere opplæringen og rutinene virksomheten har. Manglende dokumentasjon gjør det også vanskelig for tilsynet å få kunnskap om virksomheten har en rutine som etterleves eller ikke. Dokumentasjon om hvordan skolen forventer at sine ansatte skal behandle opplysninger om elever er viktig for å kunne ha en omforent kultur blant de ansatte. Ved ansettelser trenger nye medarbeidere ikke være i tvil om hva som forventes av den enkelte og hvordan dette kan organiseres. Dokumenterte rutiner er også viktig for å kunne identifisere avvik fra rutiner. Uten rutiner er det umulig å vite hva som er i strid med rutinen. Virksomheten har da ingen instrumenter for å identifisere problemområder og kunne igangsette tiltak for å minimere eller forhindre faren ved avvik. 3 av 6
Manglende skriftlig dokumentasjon om rutiner for hva kontaktlærere skal behandle i sine arkivskap regnes som et avvik og er et brudd på personopplysningsloven 14, jf personopplysningsforskriftens 3-1. 5.3 Databehandleravtale 5.3.1 Lovkrav Personopplysningsloven 15 stadfester at en databehandler ikke kan behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige. Opplysningene kan heller ikke uten slik avtale overlates til noen andre for lagring eller bearbeidelse. I avtalen med den behandlingsansvarlige skal det også gå frem at databehandleren plikter å gjennomføre slike sikringstiltak som følger av 13. 5.3.2 Funn Skolen hadde ingen oversikt over databehandleravtaler mellom de ulike leverandørene og skolen. Skolen antok at siden Akershus fylkeskommune er ansvarlig for utformingen av datasystemene er det de som skal ha tegnet databehandleravtaler. Tilsynet tilskrev fylkeskommunen i brev av 14. desember 2011 og har fått tilsendt oversikt over hvilke databehandlere fylkeskommunen har og hvilke databehandlere de har databehandleravtale med. På denne listen fremgår det at fylkeskommunen ikke kan fremlegge databehandleravtale med leverandørene Novasoftware, Elevinfo og Agresso. 5.3.3 Datatilsynets vurdering og konklusjon Så lenge leverandøren behandler personopplysninger på vegne av den behandlingsansvarlige skal dette avtalefestes stadfester personopplysningsloven 15. Denne avtalen skal sikre at det er avklart hvordan den behandlingsansvarlige forventer at databehandleren skal behandle personopplysningene denne blir betrodd. Datatilsynet har kommet med en veileder av hva tilsynet forventer av innhold i en databehandleravtale. Ved gjennomgang ser det ut til at fylkeskommunen har brukt malene som tilsynet har utarbeidet i noen av de avtalene som er inngått. Manglende databehandleravtale med de tre ovennevnte leverandørene anses som et avvik og er et brudd på personopplysningsloven 15. 5.4 Informasjonssikkerhet Personopplysningsloven 13 stadfester at den behandlingsansvarlige skal gjennom planlagte og systematiske tiltak sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjenglighet ved behandling av personopplysninger. For å oppnå tilfredsstillende informasjonssikkerhet skal den behandlingsansvarlige dokumentere informasjonssystemet og sikkerhetstiltakene. Dokumentasjonen skal være tilgjenglig for medarbeiderne hos den behandlingsansvarlige. 4 av 6
Personopplysningsforskriften kapittel 2 utleder personopplysningsloven 13. 5.4.1 Fødselsnummer i Active Directory 5.4.1.1 Lovkrav Personopplysingsloven 12 stadfester at fødselsnummer kan bare nyttes i behandlingen når det er saklig behov for sikker identifisering og metoden er nødvendig for å oppnå slik identifisering. Personopplysningsforskriften 2-11 stadfester at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. 5.4.1.2 Funn Alle brukere i fylkeskommunen kan opprette nye mapper på sitt område. Ved å høyreklikke på den nye mappen kan brukeren dele denne mappen med andre som er registrert i Active Directory (AD). Akershus fylkeskommune har organisert alle sine ansatte og elever inn i samme AD. Dette medfører at hver enkelt elev og ansatt får tilgang til de opplysningene som er registrert i AD om de andre brukerne. Tilsynet registrerte at AD blir blant annet brukt for å lagre fødselsnummer på mange av brukerne. 5.4.1.3 Datatilsynet vurdering og konklusjon Tilsynet har ikke kunnskap om hva fylkeskommunen bruker fødselsnummeret som er lagret i AD til. Datatilsynet ser at fylkeskommunen trenger fødselsnummeret til både elever og ansatte, men at disse trenger tilgang til hverandres ser ikke tilsynet er nødvendig. ID-tyveri er et økende problem og en grunn til dette er at fødselsnummer kan brukes som døråpner for å få tak i flere opplysninger. Datatilsynet har dermed en restriktiv holdning til bruk og publisering av fødselsnummer. At fødselsnummerer er tilgjengelig for en vid krets av personer er et avvik fra personopplysningsloven 13, jf personopplysningsforskriften 2-11 om konfidensialitetssikring. 5.4.2 Referat fra klasselærerråd 5.4.2.1 Lovkrav Personopplysningsloven 2 nr 8 definerer sensitive personopplysninger til å være opplysninger om a) rasemessige eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning, b) at en person har vært mistenkt, siktet, tiltalt eller dømt for en straffbar handling, c) helseforhold, d) seksuelle forhold, e) medlemskap i fagforeninger. 5 av 6
Personopplysningsforskriften 2-1 stadfester at det skal være forholdsmessig krav om sikring av personopplysninger. Der det er for å hindre fare for tap av liv og helse, økonomiske tap eller tap av anseelse og personlig integritet er nødvendig å sikre konfidensialitet, tilgjenglighet og integritet skal de planlagte og systematiske tiltakene stå i forhold til sannsynligheten for og konsekvensene av sikkerhetsbrudd. Personopplysningsforskriften 2-4 annet ledd stadfester at den behandlingsansvarlige skal gjennomføre risikovurdering for å klarlegge sannsynligheten for og konsekvenser ved sikkerhetsbrudd. Ny risikovurdering skal gjennomføres ved endringer som har betydning for informasjonssikkerheten. Videre stadfester personopplysningsforskriften 2-11 og 2-14 at det skal treffes tiltak mot uautorisert innsyn i personopplysninger hvor konfidensialitet er nødvendig. 5.4.2.2 Funn Skolen registrerer referater fra klasselærerråd. I disse møtene blir den enkelte elev i klassen diskutert i forhold til utfordringer i skolegangen. Referatet inneholder blant annet navn på eleven med de to første bokstavene i fornavn og etternavn, diagnoser, fravær, medisinering, tilrettelegging, karakteristikker, henvisninger, ansvar, oppfølging og enkeltvedtak. Under kontrollen fikk tilsynet versifisert at man kunne høyreklikke på filen og sende den direkte på e-post. 5.4.2.3 Datatilsynets vurdering og konklusjon Datatilsynet vurderer at bruk av de to første bokstavene i fornavn og etternavn vil være tilstrekkelig til å identifisere den enkelte elev siden klasselærerrådsreferatene skrives per klasse. Datatilsynet mener videre at siden referatet blant annet inneholder diagnose vil tilsynet forvente at referatet i sin helhet sikres bedre enn ordinære opplysninger. Datatilsynet anser det som meget problematisk hvis klasselærerrådsreferatene kommer uautoriserte i hende. Risikovurderingen jf personopplysningsforskriften 2-4 burde ha slått fast at opplysningene regnes som sensitive og dermed burde sikres ytterligere. Datatilsynet reviderte dog ikke at risikovurdering var gjennomført for denne behandlingen. Sensitive personopplysninger bør sikres med to uavhengige sikkerhetstiltak 2. I skolen sin løsning, hvor den ansatte kan sende filen ut direkte, er det ikke innført uavhengige sikkerhetstiltak Datatilsynet finner sikringen av sensitive personopplysninger i referat fra klasselærerråd ikke tilstrekkelig. Mangelfull sikring anses som et avvik fra personopplysningsloven 13, jf personopplysningsforskriften 2-1, 2-11 og 2-14. 2 Norm for informasjonssikkerhet i helse- sosial- og omsorgssektoren gir føringer for hvordan sensitive personopplysninger bør sikres. 6 av 6