28.11.14&

1&

Skoleeier og skoleleders ansvar for personvern Bjørn Erik Thon | direktør Personvernbloggen.no | @bjornerikthon

Dagens tema

•  Kort om Datatilsynets arbeid med skolen og henvendelser vi får inn til vår veiledningstjeneste

•  Hvorfor samler skolene inn mer personopplysninger?

•  Hva er personvernutfordringene i dagens skole?

•  Hva kan vi gjøre for å bedre på situasjonen?

2

28.11.14&

2&

Personverntanken – opprinnelig

•  Selvbestemmelse – samtykke og reservasjonsrett

•  Informasjon og innsyn

•  Sletting av opplysninger

•  Korrekt informasjon

•  God informasjonssikkerhet

•  God internkontroll

3

Personverntanken – prinsipper under oppseiling

-  Retten til å bli glemt – en styrket sletteplikt

-  Dataportabilitetet – en styrking av eiendomsretten til egne data

-  Innebygd personvern -  Personvern skal bygges inn i de teknologiske løsningene -  Personvernet skal ivaretas i ”opplysningens levetid” – fra den

fødes til den dør

4

28.11.14&

3&

Hvorfor fokus på skolen?

-  Billigere – og mer brukervennlig teknologi

-  Digitale læringsplatformer -  ”Alt” kan lagres – prøver, innleveringer, karakterer,

anmerkninger, tilbakemeldinger -  Mulighet for logging kan si ganske mye

-  tidspunkt innlevering skjer: sitter eleven oppe til klokken 0100 på natta når han bare er 11 år gammel?

-  Chat, meldetjeneste, diskusjonsforum -  Tilgang – foreldre, lærer, elev

5

Hvorfor fokus på skolen?

-  Stadig større krav til måling av resultatet og kvalitet

” Bakgrunnen for forslaget [om et sentralt elevregister] var intensjonen Stortinget har om et nasjonalt kvalitetsregistrering-system i skolen som skal brukes til å regne ut sentrale kvalitetsindikatorer for kvalitetsutvikling og legge til rette for styring, forskning og tilsyn” Meld St 11 – Personvern – utsikter og utfordringer

-  Deling med tredjeparter -  Næringsliv -  Kulturtilbud

6

28.11.14&

4&

Datatilsynet og skolen – hva gjør vi?

•  Mottar klager og henvendelser, og gir råd og veiledning

•  Gjennomfører tilsyn

•  DuBestemmer

•  Bruker ombudsrollen – debatt om barn og unge – i og utenfor skolen

7

Henvendelser, råd og veiledning

•  Det er ikke klagestorm knyttet til skoler og barnehager

•  Men , ca 20% økning 1. halvår 2014 for skoler og 50% økning for barnehager

•  Grunnen er økt oppmerksomhet om personopplysninger i skoler og barnehager

•  …og generell interesse om personvern

8

28.11.14&

5&

22&%&

55&%&

23&%&26&%&

61&%&

13&%&

0&%&

10&%&

20&%&

30&%&

40&%&

50&%&

60&%&

70&%&

Svært&oppta5&av&personvern&

Ganske&oppta5&av&personvern&

Lite&oppta5&av&personvern&

I"hvilken"grad"er"du"oppta2"av"personvern?"

1997&2013&

9

46&%& 49&%&

2&%& 3&%&0&%&

10&%&

20&%&

30&%&

40&%&

50&%&

60&%&

Mer&oppta5&enn&før&&

Like&oppta5&som&før&

Mindre&oppta5&enn&

før&

Vet&ikke&

Har"du"bli2"mer"eller"mindre"oppta2"av"personvern"de"siste""

to8tre"årene?"

10

28.11.14&

6&

Hva henvendelsene gjelder

•  Skolen: –  Overvåking av elevenes PC –  Læringsplattformer – og hvem som kan se hvilke opplysninger –  Bilder av barn og elevlister

•  Barnehager: –  Hvilke opplysninger kan barnehagen be om? –  Hvor lenge kan opplysningene oppbevares –  Hva kan overføres til skolen? –  Kartleggingsverktøy

11

Skole – og barnehageprosjekt 2013-14

•  Hvilke opplysninger samles inn om barna og hvordan blir de behandlet?

•  Lage verktøy for å hjelpe barnehage- og skoleeiere til å ivareta personvernet i en digitalisert hverdag

•  Møter med ulike aktører innen opplæringssektoren •  Brevlige tilsyn 9 grunn- og videregående skoler

•  Stedlige tilsyn 11 grunnskoler, 4 videregående skoler og 5 barnehager

•  Sluttrapport med beskrivelse av tilstand og anbefalte tiltak

12

28.11.14&

7&

Personvern i skolen

13

Funn fra tilsynene

-  Skoleeier og skolene mangler oversikt over hvilke personopplysninger de faktisk har lagret

-  Manglende risikovurderinger skoleeier har med andre ord ikke vurdert sannsynligheten for at personopplysningene kan komme på avveier, hvilke konsekvenser det vil få, og hvilke sikkerhetstiltak som må på plass for å forhindre at det skal skje

-  Deling av personopplysninger med tredjeparter, som for eksempel skyleverandører

-  Uklarhet om hvem som egentlig har ansvar for at personopplysningene behandles skikkelig

- Logging av elevenes bruk av IKT

14

28.11.14&

8&

Fire råd for bedre personvern i skolen

•  Internkontroll

•  Riskovurderinger

•  Databehandleravtaler

•  Vær en krevende kunde og gjør gode vurderinger innomhus

15

Internkontroll

Lag rutiner for internkontroll for hver enkelt skole og barnehage

•  Lag oversikt over hvilke personopplysninger om barna som lagres •  Lag egne interne regler og rutiner for bruk av opplysninger •  Lag skreddersydd og tydelig informasjon

16

28.11.14&

9&

• &Kartlegg&og&klassifiser&alle&behandlinger&–&ElevMPC,&karakterer,&elevsamtaler,&fravær&• &IdenRfiser&uønskede&hendelser&(og&årsaker!)&–&Hacking,&feilregistrering,&Rlgang&for&

&uvedkommende &&• &Konsekvensvurdering&(1M4)&• &Sannsynlighetsvurdering&(le5het&1M4)&&Sammenlign&resultater&og&iverkse5&Rltak&for&å&komme&innenfor&akseptabel&risiko&(ikke&på&totalkonsepter,&men&alle&delene)&

Konsekvens"

Risikovurdering

Sannsynlighet"17

Databehandleravtale

Dette glipper:

•  Sikkerhetsrevisjon •  Hvilke personopplysninger

omfattes av avtalen •  Konkret beskrivelse av hvorfor (formål) •  Beskrivelse av hvor dataene lagres •  Når slettes personopplysningene •  Beskrivelse av sikkerhetstiltak

18

28.11.14&

10&

…. og gode vurderinger

•  Begrens overvåking og gi god informasjon •  Informasjon om hvordan og hvorfor

•  Still krav til leverandører

•  Spør hvordan andre har gjort det – og lær!

19

Neste skritt for Datatilsynet

•  Mål: Norm for behandling personopplysninger i skoler og barnehager

•  Hvorfor? –  Det er behov for veiledning og hjelp for å få gjort ting riktig

•  Datatilsynets vil bidra med sin kompetanse, men det er sektoren som eier problemet

20