Vertsorganisasjoner – universiteter, høyskoler eller skoleeiere – som bestiller og bruker tjenester i Feide omtales som behandlingsansvarlige. En behandlingsansvarlig er ifølge personvernlovgivningen (GDPR) den som velger å sette ut behandling av personopplysninger til andre, f.eks. Feide.
Som behandlingsansvarlig er man pålagt å overholde visse plikter. Pliktene gjelder når tjenestene behandler opplysninger om sluttbrukerne, for eksempel studenter, elever, lærere, forskere og andre ansatte.
Vertsorganisasjonens viktigste plikter
De viktigste personvernpliktene for en vertsorganisasjon er å:
- Ha en lovlig grunn for bruk av tjenesten
- Vurdere om informasjonssikkerheten i tjenesten er tilfredsstillende
- Bestemme hva tjenesteleverandøren kan gjøre med sluttbrukernes opplysninger
- Kontrollere at det som bestemmes følges opp av tjenesteleverandøren
- Forvalte sluttbrukernes personvernrettigheter
Feide og GDPR
Nedenfor følger en kort oversikt over hvilke regler i personvernlovgivningen (GDPR) som er særlig relevante for vertsorganisasjoner (behandlingsansvarlige) ved bruk av tjenester i Feide.
Feide og tjenesteutsetting
I personvernlovgivningen (GDPR) defineres all bruk av eksterne datatjenester hvor personopplysninger behandles som en form for tjenesteutsetting. Det samme vil gjelde for tjenester som vertsorganisasjoner bestiller og bruker via Feide, inkludert bruken av selve Feide som tjenesteplattform. Det betyr at leverandører av disse tjenestene behandler personopplysninger på oppdrag (eller etter bestilling) fra vertsorganisasjonene.
Tjenesteleverandører behandler personopplysninger på vegne av vertsorganisasjoner på flere måter, for eksempel ved at
- opplysninger om ansatte og studenter/elever behandles i Feide i forbindelse med bruk av andre eksterne tjenester
- administrativt ansatte bruker en tjeneste til å produsere, dele eller lagre dokumenter hvor det forekommer opplysninger om elever, studenter eller andre ansatte
- elever/studenter bruker tjenesten til å produsere, dele eller lagre personlige notater, videoopptak av medstudenter/-elever, oppgavebesvarelser eller hjemmeeksamener
- forskere bruker tjenesten til lagring eller deling av forskningsdata om respondenter eller informanter i forskningsprosjekter, for eksempel svar på spørreundersøkelser, lyd- eller videoopptak ved intervju- eller observasjonsstudier
Vertsorganisasjonen har ansvaret for hva tjenesteleverandøren gjør med disse opplysningene. Dersom leverandøren gjør noe ulovlig, vil dette være noe som vertsorganisasjonen må svare for. Prinsippet i personopplysningsloven er derfor at ansvaret følger opplysningene. Dette gjelder også for tjenester som bestilles via Feide.
Plikter før og etter tjenesteutsetting
Prinsippet om at ansvaret følger opplysningene betyr at personopplysningsloven pålegger vertsorganisasjoner enkelte plikter. Pliktene gjelder både før og etter at tjenester som bestilles via Feide er tatt i bruk.
Merk at pliktene gjelder uavhengig av (a) om leverandøren er norsk eller utenlandsk og (b) om leverandøren tar betalt for tjenesten eller ikke. Nedenfor gis en oversikt over de viktigste pliktene.
1. Bestemme lovlig grunn
Vertsorganisasjoner må ha lovlig grunn (hjemmel/behandlingsgrunnlag) til å bruke tjenester i Feide som behandler opplysninger om sluttbrukerne. Slik lovlig grunn kan for eksempel være at bruken av bestemte tjenester i Feide er viktig for at vertsorganisasjonene skal kunne ivareta lovpålagte oppgaver knyttet til undervisning eller forskning.
2. Vurdere om det er forsvarlig å ta i bruk en bestemt tjeneste
Før vertsorganisasjonen tar i bruk en datatjeneste i Feide skal den vurdere om det er forsvarlig å bruke den aktuelle tjenesten. Dette skal skje i form av en risikovurdering av informasjonssikkerheten i tjenesten, det vil si om sluttbrukernes personopplysninger er tilfredsstillende sikret mot uautorisert innsyn, eksponering, endring, sletting, tap eller ødeleggelse. Risikovurderingen skal også omfatte bruk av Feide til innlogging på og datadeling med tjenesten. Dersom risikovurderingen viser at informasjonssikkerheten i tjenesten er tilfredsstillende, vil det være forsvarlig og lovlig å ta tjenesten i bruk. Dersom konklusjonen er at informasjonssikkerheten ikke er tilfredsstillende, vil det ikke være forsvarlig og lovlig å bruke tjenesten.
3. Bestemme hva tjenesteleverandøren kan gjøre med personopplysningene
Dersom vertsorganisasjonen finner at det er forsvarlig å ta tjenesten i bruk, skal vertsorganisasjonen bestemme hva leverandøren kan gjøre med sluttbrukernes personopplysninger. Dette skal skrives ned i en databehandleravtale som undertegnes av begge parter. Avtalen skal blant annet stille krav til informasjonssikkerheten hos tjenesteleverandøren, sette begrensninger for hva leverandøren kan bruke opplysningene til og sikre at sluttbrukernes personvernrettigheter ivaretas. Det må vanligvis inngås en særskilt dataoverføringsavtale dersom personopplysninger overføres til tjenesteleverandører i land utenfor EU/EØS (EUs standardkontrakt for overføring av personopplysninger til databehandlere i tredjeland (pdf). Vertsorganisasjonen skal også inngå en databehandleravtale med Feide for personopplysninger som behandles i forbindelse med bruk av tjenesteplattformen.
4. Kontrollere at det som er bestemt følges opp av tjenesteleverandøren
Etter at det er inngått en databehandleravtale mellom vertsorganisasjonen og tjenesteleverandøren, skal vertsorganisasjonen (med jevne mellomrom) kontrollere at leverandøren følger opp bestemmelsene i avtalen. Dette skal skje ved at vertsorganisasjonen får tilgang til og gjennomgår dokumenter som viser hvordan tjenesteleverandøren ivaretar informasjonssikkerheten i tjenesten. Det skal også skje ved at vertsorganisasjonen oppdaterer sin risikovurdering dersom (i) det skjer vesentlige endringer i tjenestens oppbygning/virkemåte eller (ii) vertsorganisasjonen blir varslet av leverandøren om brudd på informasjonssikkerheten (vertsorganisasjonen kan ha plikt til å videre-varsle Datatilsynet og sluttbrukerne om sikkerhetsbruddet). Kontrollen skal også omfatte hvordan vilkårene i avtalen med Feide følges opp.
5. Forvalte sluttbrukernes personvernrettigheter
Etter at tjenesten er tatt i bruk hos vertsorganisasjonen, er det vertsorganisasjonens oppgave å forvalte sluttbrukernes personvernrettigheter. Vertsorganisasjonen må derfor ha utformet rutiner for ivaretakelse av sluttbrukernes rettigheter. Hvordan dette skal foregå i praksis kan for eksempel avtales i databehandleravtalen med tjenesteleverandøren.
6. Foreta personvernkonsekvensvurderinger
Vertsorganisasjonen kan ved bruk av visse eksterne tjenester ha plikt til å gjennomføre personvernkonsekvensvurderinger før tjenester som velges via Feide tas i bruk. Vurderingene skal kartlegge risiko for krenkelser av sluttbrukernes personvern og brudd på reglene i personvernlovgivningen (GDPR). Datatilsynet vil offentliggjøre en liste over teknologier og tekniske løsninger som omfattes av denne plikten.
7. Sørge for innebygd personvern
Overholde kravet om innebygd personvern. Dette innebære å gjøre vurderinger av og stille krav til at funksjonaliteten i tjenesten tilrettelegges slik at personvernet til sluttbrukerne og reglene i personvernlovgivningen (GDPR) blir enklere å ivareta.
Råd og veiledning
Sikt kan bistå vertsorganisasjoner med råd og veiledning om hvordan de kan ivareta sine plikter i forbindelse med bruk av tjenester i Feide.
Sikt har også utarbeidet veiledere og maler som kan være til hjelp for vertsorganisasjoner.
