Tjenesteleverandørers plikter

Tjenesteleverandører som tilbyr tjenester til høgskoler, universiteter eller skoleeiere (vertsorganisasjoner) skal overholde visse plikter. Tjenesteleverandører omtales i personvernlovgivningen (GDPR) som databehandlere. Databehandlere er virksomheter som leverer og administrerer datatjenester for andre virksomheter (behandlingsansvarlige) hvor personopplysninger behandles.

Når tjenesteleverandøren tilbyr tjenester til vertsorganisasjoner via Feide, gjelder pliktene når

  • vertsorganisasjoner er kundene til tjenesteleverandørene
  • tjenestene behandler opplysninger om studenter, elever, lærere, forskere og ansatte

Tjenesteleverandørens viktigste plikter

De viktigste pliktene for en tjenesteleverandør er å

  • vurdere om informasjonssikkerheten i tjenesten er tilfredsstillende
  • rette seg etter vertsorganisasjonens instrukser for behandling av opplysninger om sluttbrukerne
  • kontrollere at vertsorganisasjonens instrukser følges opp i egen virksomhet

Tjenesteleverandører som velger å åpne opp for internasjonal pålogging via eduGAIN, må også følge vilkårene i GÉANT Data Protection Code of Conduct.

Feide og GDPR

Tjenesteleverandører (databehandlere) som tilbyr tjenester til vertsorganisasjoner (behandlingsansvarlige) via Feide, skal følge visse lover og regler. Det skyldes at leverandørene vanligvis behandler personopplysninger om studenter, elever, lærere, forskere og ansatte på vegne av vertsorganisasjonene.

Nedenfor følger en kort oversikt over hvilke regler i personvernlovgivningen (GDPR) som er særlig relevante for tjenesteleverandører i Feide.

Feide og tjenesteutsetting

Når vertsorganisasjoner – universiteter, høyskoler eller skoleeier – bestiller tjenester via Feide, er dette en form for tjenesteutsetting. Det betyr at tjenesteleverandørene gjør  visse oppgaver på oppdrag fra bestilleren (vertsorganisasjonen), for eksempel levering og teknisk administrasjon av datatjenester.

Tjenesteleverandører i Feide vil vanligvis behandle personopplysninger på vegne av vertsorganisasjoner. Dette kan skje på flere måter, avhengig av tjenestens bruksområde og funksjonalitet. Eksempler på slik behandling kan være at

  • tjenesten brukes av administrativt ansatte hos vertsorganisasjonen til å produsere, dele eller lagre dokumenter hvor det forekommer opplysninger om elever, studenter eller andre ansatte
  • tjenesten brukes av elever eller studenter hos vertsorganisasjonen til å produsere, dele eller lagre personlige notater, videoopptak av medstudenter/-elever, oppgavebesvarelser eller hjemmeeksamener
  • tjenesten brukes av forskere hos vertsorganisasjonen til lagring eller deling av forskningsdata om respondenter eller informanter i forskningsprosjekter, for eksempel svar på spørreundersøkelser, lyd- eller videoopptak ved intervju- eller observasjonsstudier
  • leverandøren logger opplysninger om hvordan ansatte og studenter eller elever anvender tjenesten

Når vertsorganisasjonen bestiller tjenester som behandler slike opplysninger, er prinsippet at leverandøren bare kan behandle opplysningene på den måten som vertsorganisasjonen har bestemt. Tjenesteleverandøren kan derfor ikke gjøre hva den vil med opplysningene. Dette gjelder også for tjenester som anvendes via Feide.

Plikter før og etter at tjenesten bestilles:

Prinsippet om at tjenesteleverandøren bare kan behandle opplysninger på den måten som bestilleren (vertsorganisasjonen) har bestemt, betyr at tjenesteleverandøren skal ivareta enkelte plikter. Pliktene gjelder både før og etter at tjenesten er bestilt av vertsorganisasjonen.

Merk at pliktene gjelder uavhengig av om det tas betalt for tjenesten eller ikke.

Nedenfor gis en skjematisk oversikt over de viktigste pliktene:

1. Vurdere om det er forsvarlig å tilby tjenesten

Før leverandøren tilbyr tjenesten via Feide skal leverandøren vurdere om det er forsvarlig å tilby den aktuelle tjenesten. Dette skal skje i form av en risikovurdering av informasjonssikkerheten i tjenesten. Det vil si om personopplysninger som behandles i tjenesten er tilfredsstillende sikret mot uautorisert innsyn, eksponering, endring, sletting, tap eller ødeleggelse. Hvis risikovurderingen viser at informasjonssikkerheten i tjenesten ikke er tilfredsstillende, vil det ikke være forsvarlig og lovlig å tilby tjenesten via Feide. Hvis risikovurderingen viser at informasjonssikkerheten i tjenesten er tilfredsstillende, vil det være forsvarlig og lovlig å tilby tjenesten.

2. Rette seg etter det vertsorganisasjonen har bestemt

Dersom tjenesteleverandøren finner at det er forsvarlig å tilby tjenesten, skal vertsorganisasjoner som tar tjenesten i bruk, stille krav til hva tjenesteleverandøren kan gjøre med personopplysninger som behandles i tjenesten. Det vertsorganisasjonen bestemmer, skal skrives ned i en databehandleravtale som undertegnes av begge parter. 

Avtalen skal blant annet 

  • stille krav til informasjonssikkerheten i tjenesten
  • sette begrensninger for hva leverandøren kan bruke opplysningene til
  • sikre at sluttbrukernes personvernrettigheter ivaretas

Det må vanligvis inngås en særskilt dataoverføringsavtale med vertsorganisasjonen dersom tjenesteleverandøren bruker underleverandører i land utenfor EU/EØS.

3. Kontrollere at det vertsorganisasjonen har bestemt følges opp

Etter at det er inngått en databehandleravtale med vertsorganisasjonen, skal tjenesteleverandøren kontrollere at bestemmelsene i avtalen overholdes for sin egen del. Det skal særlig legges vekt på periodisk kontroll med at informasjonssikkerheten i tjenesten fortsatt er tilfredsstillende. 

Tjenesteleverandøren skal også oppdatere sin risikovurdering hvis det skjer vesentlige endringer i oppbygningen og virkemåten til tjenesten. Periodiske kontroller av avtaleoverholdelse og informasjonssikkerhet skal dokumenteres, og vertsorganisasjonen bør få tilgang til dokumentasjonen. Vertsorganisasjonene skal varsles om alvorlige brudd på informasjonssikkerheten til personopplysninger om deres sluttbrukere.

Råd og veiledning

Sikt kan bistå tjenesteleverandører med råd og veiledning om hvordan de kan ivareta sine plikter som tilbydere av tjenester i Feide.