Tjenesteleverandører som tilbyr tjenester til høgskoler/universiteter, skoleeiere (vertsorganisasjoner) er pålagt å overholde visse plikter. Tjenesteleverandører omtales i personvernlovgivningen (GDPR) som databehandlere. Databehandlere er virksomheter som leverer og administrerer datatjenester for andre virksomheter (behandlingsansvarlige) hvor personopplysninger behandles.
Når tjenesteleverandøren tilbyr tjenester til vertsorganisasjoner via Feide, gjelder pliktene når:
- vertsorganisasjoner er tjenesteleverandørenes kunder
- tjenestene behandler opplysninger om studenter/elever, lærere, forskere og ansatt
Tjenesteleverandørens viktigste plikter
De viktigste pliktene for en tjenesteleverandør er å:
- vurdere om informasjonssikkerheten i tjenesten er tilfredsstillende
- rette seg etter vertsorganisasjonens instrukser for behandling av opplysninger om sluttbrukerne
- kontrollere at vertsorganisasjonens instrukser følges opp i egen virksomhet
Tjenesteleverandører som velger å åpne opp for internasjonal pålogging via eduGAIN, må også følge vilkårene i GÉANT Data Protection Code of Conduct.
Feide og GDPR
Tjenesteleverandører (databehandlere) som tilbyr tjenester til vertsorganisasjoner (behandlingsansvarlige) via Feide, er pålagt å følge visse lover og regler. Det skyldes at leverandørene vanligvis behandler personopplysninger om studenter/elever, lærere, forskere og ansatte på vegne av vertsorganisasjonene.
Nedenfor følger en kort oversikt over hvilke regler i personvernlovgivningen (GDPR) som er særlig relevante for tjenesteleverandører i Feide.
Feide og tjenesteutsetting
Når vertsorganisasjoner – universiteter, høyskoler eller skoleeier – bestiller tjenester via Feide, er dette en form for tjenesteutsetting. Det betyr at tjenesteleverandørene utfører visse oppgaver på oppdrag fra bestilleren (vertsorganisasjonen), for eksempel levering og teknisk administrasjon av datatjenester.
Tjenesteleverandører i Feide vil vanligvis behandle personopplysninger på vegne av vertsorganisasjoner. Dette kan skje på mange måter, avhengig av tjenestens bruksområde og funksjonalitet. Eksempler på slik behandling kan være at
- tjenesten brukes av administrativt ansatte hos vertsorganisasjonen til å produsere, dele eller lagre dokumenter hvor det forekommer opplysninger om elever, studenter eller andre ansatte,
- tjenesten brukes av elever eller studenter hos vertsorganisasjonen til å produsere, dele eller lagre personlige notater, videoopptak av medstudenter/-elever, oppgavebesvarelser eller hjemmeeksamener,
- tjenesten brukes av forskere hos vertsorganisasjonen til lagring eller deling av forskningsdata om respondenter eller informanter i forskningsprosjekter, for eksempel svar på spørreundersøkelser, lyd- eller videoopptak ved intervju- eller observasjonsstudier,
- leverandøren logger opplysninger om hvordan ansatte og studenter eller elever anvender tjenesten.
Når vertsorganisasjonen bestiller tjenester som behandler slike opplysninger, er prinsippet at leverandøren bare kan behandle opplysningene på den måten som vertsorganisasjonen har bestemt. Tjenesteleverandøren kan derfor ikke gjøre hva den vil med opplysningene. Dette gjelder også for tjenester som anvendes via Feide.
Plikter før og etter at tjenesten bestilles:
Prinsippet om at tjenesteleverandøren bare kan behandle opplysninger på den måten som bestilleren (vertsorganisasjonen) har bestemt, betyr at tjenesteleverandøren skal ivareta enkelte plikter. Pliktene gjelder både før og etter at tjenesten er bestilt av vertsorganisasjonen.
Merk at pliktene gjelder uavhengig av om det tas betalt for tjenesten eller ikke.
Nedenfor gis en skjematisk oversikt over de viktigste pliktene:
1. Vurdere om det er forsvarlig å tilby tjenesten
Før leverandøren tilbyr tjenesten via Feide skal leverandøren vurdere om det er forsvarlig å tilby den aktuelle tjenesten. Dette skal skje i form av en risikovurdering av informasjonssikkerheten i tjenesten, det vil si om personopplysninger som behandles i tjenesten er tilfredsstillende sikret mot uautorisert innsyn, eksponering, endring, sletting, tap eller ødeleggelse. Dersom risikovurderingen viser at informasjonssikkerheten i tjenesten ikke er tilfredsstillende, vil det ikke være forsvarlig og lovlig å tilby tjenesten via Feide. Dersom risikovurderingen viser at informasjonssikkerheten i tjenesten er tilfredsstillende, vil det være forsvarlig og lovlig å tilby tjenesten.
2. Rette seg etter det vertsorganisasjonen har bestemt
Dersom tjenesteleverandøren finner at det er forsvarlig å tilby tjenesten, skal vertsorganisasjoner som tar tjenesten i bruk stille krav til hva tjenesteleverandøren kan gjøre med personopplysninger som behandles i tjenesten. Det vertsorganisasjonen bestemmer skal skrives ned i en databehandleravtale som undertegnes av begge parter. Avtalen skal blant annet stille krav til informasjonssikkerheten i tjenesten, sette begrensninger for hva leverandøren kan bruke opplysningene til og sikre at sluttbrukernes personvernrettigheter ivaretas. Det må vanligvis inngås en særskilt dataoverføringsavtale med vertsorganisasjonen dersom tjenesteleverandøren benytter underleverandører i land utenfor EU/EØS.
3. Kontrollere at det vertsorganisasjonen har bestemt følges opp
Etter at det er inngått en databehandleravtale med vertsorganisasjonen, skal tjenesteleverandøren kontrollere at bestemmelsene i avtalen overholdes for sin egen del. Det skal særlig legges vekt på periodisk kontroll med at informasjonssikkerheten i tjenesten fortsatt er tilfredsstillende. Tjenesteleverandøren skal også oppdatere sin risikovurdering dersom det skjer vesentlige endringer i tjenestens oppbygning og virkemåte. Periodiske kontroller av avtaleoverholdelse og informasjonssikkerhet skal dokumenteres, og vertsorganisasjonen bør få tilgang til dokumentasjonen. Vertsorganisasjonene skal varsles om alvorlige brudd på informasjonssikkerheten til personopplysninger om deres sluttbrukere.
Råd og veiledning
Sikt kan bistå tjenesteleverandører med råd og veiledning om hvordan de kan ivareta sine plikter som tilbydere av tjenester i Feide.