Å registrere feil rolle, nasjonalt identitetsnummer og grupper kan føre til at brukere urettmessig får tilgang til andres personopplysninger. Dette er et brudd på personvernet (personopplysningssikkerheten), og kan ende i bøter fra Datatilsynet.
Hvis du oppdager et mulig brudd på personopplysningssikkerheten, må du melde dette til skoleeiers personvernombud. Skoleeier har 72 timers frist på å melde inn personvernbrudd til Datatilsynet.
-
Hva er et personvernbrudd?
-
Et brudd på personopplysningssikkerheten er i personvernforordningen definert som utilsiktet eller ulovlig tilintetgjøring, tap, endring, ulovlig spredning av, eller tilgang til, personopplysninger som er overført, lagret eller på annen måte behandlet.
Et brudd på personopplysningssikkerheten er et sikkerhetsbrudd som kun berører personopplysninger. Sikkerhetsbrudd som bare berører andre typer opplysninger er altså ikke meldepliktige til Datatilsynet.
Les mer om personvernbrudd på Datatilsynet sine nettsider (datatilsynet.no)
-
Hva er personopplysninger?
-
Det er ikke alltid lett å vite hva som er personopplysninger. Blant annet er personopplysninger navn, adresse, telefonnummer, e-post, fødselsnummer og IP Generelt sett behandler alle tjenester i Feide som regel en eller annen form for personopplysninger.
Personopplysninger i Feide er blant annet
- kontaktinformasjon, som adresse, telefonnummer og e-postadresse
- bostedsadresse
- informasjon om en elev sitt vanskelige familie- eller hjemmeforhold
- allergier
- informasjon om elever sine atferdsmønstre og sosiale ferdigheter
- bilder, videoer eller lydfiler av barn og elever
- innholdet i elevenes arbeid
- opplysninger om elevenes underveis- og sluttevalueringer
- fravær og anmerkninger
- faglig progresjon
- spesielle undervisningsbehov
- tilrettelegging på grunn av sykdom eller en skade
- informasjon om fritak fra deler av undervisningen på grunn av religion eller livssyn
- informasjon om fritak for vurdering i fag med på grunn av dysleksi (opplysninger om helsemessige forhold)
- om en elev får karakter i samisk (opplysning om etnisk opprinnelse).
Er du usikker på hva som regnes som personopplysninger i skole? Se oversikten på Utdanningsdirektoratet sine nettsider (udir.no).
Se hva som kvalifiseres som en personopplysning på Datatilsynet sine nettsider (datatilsynet.no)
-
Hvilke brudd skal meldes til Datatilsynet?
-
Har du mistanke om at du eller noen andre har fått tilgang til andre personer sine personopplysninger? Da skal du melde dette til personvernombudet hos skoleeier.
En tjenesteleverandør (databehandler) som oppdager et brudd på personopplysningssikkerheten i en tjeneste er pliktig til å melde dette til skoleeier sitt personvernombud.
Det er skoleeier sitt ansvar å undersøke om det har oppstått et brudd på personopplysningssikkerheten og vurdere om dette skal meldes som avvik til Datatilsynet.
Hovedregelen er at hvis uvedkommende har fått tilgang til andre personer sine personopplysninger, har behandlingsansvarlige (skoleeier) plikt til å melde det til Datatilsynet, med mindre det er sannsynlig at det ikke er noen risiko for de registrerte sine rettigheter og friheter. Hvis den behandlingsansvarlige er usikker på om unntaket er oppfylt, er det bedre å melde til Datatilsynet for sikkerhets skyld.
Skoleeier har 72 timers frist på å melde inn brudd på personopplysningssikkerheten etter at det er avdekket.
- Se Datatilsynet sin nettside om hvilke brudd som skal meldes til Datatilsynet (datatilsynet.no).
- Se Datatilsynet sin nettside om hvordan melde inn et personvernbrudd (datatilsynet.no).
Bestemmelsene om meldeplikten finner dere i personvernforordningen artikkel 33 (lovdata.no).
Hva skal du gjøre ved mistanke om et personvernbrudd?
Ved mistanke om brudd på personvernet (personopplysningssikkerheten), må du finne ut om uvedkommende har fått tilgang til andre personer sine personopplysninger.
Du som skoleeier skal gjøre følgende:
-
1. Deaktiver Feide-bruker
-
Ved mistanke om et brudd på personopplysningssikkerheten, må du deaktivere brukeren som potensielt har fått tilgang til andre personer sine personopplysninger.
Personen får ikke logget inn på en tjeneste, når Feide-kontoen er deaktivert. Dette hindrer at personen får tilgang til tjenester med personopplysninger. Vedkommende kan dermed ikke se, endre eller slette disse.
Det er viktig at Feide-kontoen ikke blir aktivert igjen før du som skoleeier
- har avdekket om det har vært et brudd på personopplysningssikkerheten
- vet at personen ikke lenger har tilgang til disse personopplysningene.
-
2. Gi beskjed til personvernombud
-
Hvis du har mistanke om at du, eller noen andre, har fått tilgang til andre brukeres personopplysninger, skal du melde dette til skoleeier sitt personvernombud.
Tjenesteleverandører (databehandler) som oppdager et brudd på personopplysningssikkerheten i tjenesten, er pliktig til å melde dette til skoleeier sitt personvernombud.
Hvem som er personvernombudet hos din skoleeier (vertsorganisasjon), finner du på nettsiden til skoleeier.
-
3. Ta kontakt med Sikt for å få logger fra innloggingene
-
Du må kartlegge hvilke tjenester Feide-brukeren har logget inn på under personvernbruddet.
Sikt kan gi deg logger som viser hvilke tjenester Feide-kontoen har logget inn på. Feide-administrator hos skoleeier kan sende en e-post til kontakt@sikt.no med informasjon om
- fullt brukernavn
- tidspunkt for bruddet på personopplysningssikkerheten
Feide-brukeren må ha logget inn på noen tjenester for at det skal ha skjedd et brudd på personopplysningssikkerheten. For å unngå et fremtidig brudd må data på Feide-brukeren endres, og rettigheter lokalt i tjenester fjernes (se steg 6) før du kan aktivere Feide-kontoen igjen.
-
4. Logg i tjeneste fra tjenesteleverandører
-
Hvis brukeren har logget inn på Feide-tjenester, må tjenesteleverandørene sjekke i sine systemer om brukeren har sett, endret eller slettet personopplysninger om andre personer.
Ta kontakt med tjenesteleverandørene som leverer tjenestene det gjelder.
Hvis informasjon er endret eller slettet, må den gjenopprettes igjen.
-
5. Meld avvik til Datatilsynet
-
Hvis uvedkommende har fått tilgang til personopplysninger, må du melde dette som avvik til Datatilsynet innen 72 timer etter at dette er avdekket.
-
6. Endre data på Feide-bruker og rettigheter lokalt i tjenester
-
Du må sørge for at brukeren ikke lenger har tilgang til personopplysningene, før du kan aktivere Feide-brukeren igjen.
Hvis bruddet er forårsaket av feilregistrering av data på Feide-brukeren, må dette endres.
Noen tjenester lagrer informasjon lokalt. Derfor må du be tjenesteleverandørene om å fjerne rettigheter som har forårsaket brudd på personopplysningssikkerheten. Hvis ikke dette blir gjort, kan du risikere at brukeren har de samme tilgangene selv om dette er rettet opp på Feide-kontoen.NB! Dette gjelder ikke bare tjenester som brukere har logget inn på, men også tjenester som henter informasjon før brukeren logger inn. Disse tjenestene må også fjerne rettigheter til brukeren lokalt i sine systemer.
Du kan se hvilke tjenester som kan hente informasjon før brukeren logger inn med Feide, under brukerinformasjon-fanen i Feide kundeportal. Disse tjenestene har Alle brukere i organisasjonen (system-all-users).
-
7. Aktiver Feide-bruker
-
Feide-brukeren kan aktiveres igjen når du enten har avdekket at det ikke har skjedd et brudd på personopplysningssikkerheten, eller når personen ikke lenger har tilgang til disse personopplysningene (se steg 6).
-
8. Tiltak for å redusere risikoen for personvernbrudd i fremtiden.
-
Datatilsynet krever at skoleeier gjennomfører tiltak for å redusere risikoen for lignende brudd på personopplysningssikkerheten i fremtiden.
Dette kan være tiltak som å
- sørge for å ha god datakvalitet i brukerkatalogen, og gå gjennom alle feilene i datakvalitetsjekken [Lenke].
- sette opp egne sjekker på data som registreres
- innføre rutiner for registrering av data i organisasjonen
- endre reglene på integrasjon fra kildesystem til brukerkatalog
- innføre sterk autentisering på brukere med tilgang til personopplysninger om andre brukere. Les mer om hvordan du innfører sterk autentisering i Feide.
Hvorfor oppstår et personvernbrudd?
Et brudd på personopplysningssikkerheten oppstår ved et sikkerhetsbrudd som berører personopplysninger som tilgjengeliggjøres, slettes, endres eller spres av uvedkommende – både interne og eksterne.
Et sikkerhetsbrudd kan oppstå på grunn av menneskelig svikt, digitale angrep eller systemfeil.
I Feide kan et brudd på personopplysningssikkerheten oppstå hvis
- informasjon feilregistreres i kildesystem
- informasjon ikke blir oppdatert raskt nok
- det oppgis fiktiv informasjon om personer som ikke har, eller ikke skal ha, registrert reell informasjon på sin Feide-bruker grunnet sikkerhetsårsaker
- personer får feil tilganger grunnet feiltolking av data i overføring av data fra kildesystem til Feide-brukerkatalogen
- det oppstår systemfeil f.eks. i forbindelse med testing, oppgraderinger og vedlikehold som gjør at personopplysninger kommer på avveie
Nedenfor er noen eksempler på feil som kan føre til at brukere får tilgang til andre brukeres personopplysninger.
-
Feilregistrering av rolle – elev registrert som lærer
-
Hvis en elev har fått rollen som lærer, kan eleven som følge av dette se og endre på personopplysninger om sine medelever i flere tjenester. Eleven kan for eksempel se medelever sin faglige progresjon, se hvilke elever som har spesielle undervisningsbehov og endre vurdering i fag og fravær.
Denne feilregistreringen kan oppstå hvis eleven har fått sommerjobb hos sin organisasjon, eller er student ved et universitet/høgskole og jobber som studentassistent. Da opprettes de i lønns- eller personalsystemet til organisasjonen, som kan føre til at en person får endret sin rolle på Feide-brukeren sin fra elev/student til lærer.
For å finne ut om elever eller studenter er registrert med feil rolle, kan du som Feide-administrator ta en datakvalitetssjekk av brukerkatalogen.
Hvis ikke rollen til en bruker (eduPersonAffiliation) samsvarer med rollen i fag, klasser eller andre grupper på brukeren, vil du se feilmeldingen «Missing roles in affiliations» i datakvalitetssjekken.
Det generes ikke noen feilmeldinger i datakvalitetsjekken hvis rollen til brukeren samsvarer både i fag, klasser eller andre grupper, men likevel er feil. Det er derfor viktig at vertsorganisasjonen har mekanismer som hindrer at dette skjer og som sikrer at det oppdages hvis det skjer feilregistreringer.
-
Manglende oppdatering av foresatte-relasjon for elev
-
Det er flere digitale tjenester som skolene benytter for at lærerne enkelt skal kunne kommunisere med foresatte til elevene sine. Disse tjenestene trenger informasjon om hvem som er foresatte til elevene. Informasjon om foresatte kan enten importeres direkte fra Folkeregisteret, oversendes av en vertsorganisasjon eller registreres manuelt i tjenesten.
Ved direkteimport fra Folkeregistrert, registreres det ikke opplysninger om besøksforbud, barnevernstiltak eller lignende. Dette er informasjon som hver vertsorganisasjon har tilgang til, og som innebærer at de må fjerne foresatt-barn-relasjon for disse personene på Feide-kontoen og/eller i tjenestene.
Det kan oppstå feil hvis vertsorganisasjonen ikke oppdaterer denne informasjonen raskt nok, eller hvis oppdatering av foresatt-barn-relasjon overskriver endringer som vertsorganisasjonen har gjort.
Du har ikke mulighet til å sjekke om denne feilen har skjedd i datakvalitetssjekken til Feide enda. Det er derfor viktig at vertsorganisasjonen har mekanismer som hindrer at dette skjer, og at det er gode rutiner for å oppdatere denne informasjonen i alle de systemer der det gjøres endringer i foresatte-barn-relasjonen. Oppdateres ikke denne informasjonen tidsnok, kan dette påvirke sikkerheten til barnet.
-
Nasjonalt identitetsnummer registrert på personer med skjult identitet og hemmelig adresse
-
En Feide-bruker skal i utgangspunktet registreres med et nasjonalt identitetsnummer, men det finnes unntak. For eksempel personer med skjult identitet og personer på hemmelig adresse. I slike tilfeller skal du ikke oppgi nasjonalt identitetsnummer, siden dette kan identifisere hvilken skole personen går på, i tillegg til hvilken kommune og i hvilket fylke personen bor. Dette kan gå ut over sikkerheten til personen.
Hvis personen har fått tildelt et fiktivt nummer fra myndighetene, kan du registrere dette på Feide-kontoen. Om personen ikke har fått et fiktivt nummer i Folkeregisteret, skal du ikke registrere noe nasjonalt identitetsnummer på Feide-brukeren. Det er viktig at du ikke registrerer et oppdiktet identitetsnummer. Et fiktivt identitetsnummer kan gi personer urettmessig tilgang til en annen persons Feide-konto, og omvendt. Dette er også er et brudd på personopplysningssikkerheten.
Denne feilen kan typisk oppstå ved manuelle feil, eller hvis vertsorganisasjonen automatisk importerer data fra andre systemer. Det er viktig at vertsorganisasjonen har mekanismer som hindrer at dette skjer, og som også oppdager om det er registrert feil. Du kan ikke sjekke dette i Feides datakvalitetssjekk. Derfor er det viktig at du holder oversikt over de som ikke skal ha registrert nasjonalt identitetsnummer, og ved endringer sjekker om dette fortsatt stemmer.
Du kan sjekke om flere brukere hos vertsorganisasjonen har registrert samme nasjonale identitetsnummer, ved å ta en datakvalitetssjekk. Da vil du se feilmeldingen «Duplicate identifier for norEduPersonNIN» i datakvalitetssjekken. Datakvalitetsjekken fanger ikke opp hvis samme nasjonale identitetsnummer er registrert på Feide-kontoer hos andre skoleeiere.
Det generes feilmeldinger i datakvalitetsjekken hvis det er oppgitt et nasjonalt identitetsnummer i ugyldig format, men den sjekker ikke om det er personens faktiske nasjonale identitetsnummer. Det er meget viktig at vertsorganisasjonen har mekanismer som hindrer at dette skjer og som sikrer at alle Feide-brukere har registrert sitt nasjonalt identitetsnummer.
-
Feilregistrering av grupper
-
Informasjonen om grupper for fag og klasser brukes av flere tjenester for tilgangskontroll og brukertilpasning i tjenester. Det er derfor viktig at informasjonen som er registrert i gruppene er korrekt.
En lærer skal være registrert i en gruppe kun for de fagene de underviser i, eller er kontaktlærer for. Ingen lærer, rektor eller andre ansatte skal være registrert som lærere i et fag de ikke underviser i eller tilhører. Dette gjelder spesifikk for mindre skoleeiere der lærere kan være foresatte på samme skole i kommunen. Muligheten for å kunne se og vurdere egne barn, som de ikke underviser, kan bli ubehagelig for eleven.
Det er også viktig at kun kontaktlærer skal være registrert i gruppen for klasse. En kontaktlærer har ofte tilgang til mer sensitiv informasjon om eleven, som for eksempel trivsel på skolen eller hjemmesituasjon. Dette er informasjon en vanlig faglærer kanskje ikke bør ha tilgang til hvis det ikke er relevant for undervisningen.
Feides datakvalitetssjekk fanger ikke opp hvis en lærer på samme skole er registrert i fag de ikke underviser i eller er kontaktlærer for. Det er derfor viktig at vertsorganisasjonen har mekanismer som hindrer at dette skjer, og som også oppdager om det er registrert feil.
Du kan sjekke om brukere er registrert i en gruppe på en skole som de ikke tilhører, ved å ta en datakvalitetssjekk. Da vil du se feilmeldingen «Missing schools in orgunits/orgs» i datakvalitetssjekken.
Dette er beskrevet i mer detalj under Skoletilhørigheten til en bruker samsvarer ikke med skolen som er registrert i en gruppe i sjekklisten for god datakvalitet.