View
29
Download
0
Embed Size (px)
DESCRIPTION
Digitale ferdigheter og digital dømmekraft: Datatilsynet ved Bjørn Erik Thon
Citation preview
28.11.14&
1&
Skoleeier og skoleleders ansvar for personvern Bjørn Erik Thon | direktør Personvernbloggen.no | @bjornerikthon
Dagens tema
• Kort om Datatilsynets arbeid med skolen og henvendelser vi får inn til vår veiledningstjeneste
• Hvorfor samler skolene inn mer personopplysninger?
• Hva er personvernutfordringene i dagens skole?
• Hva kan vi gjøre for å bedre på situasjonen?
2
28.11.14&
2&
Personverntanken – opprinnelig
• Selvbestemmelse – samtykke og reservasjonsrett
• Informasjon og innsyn
• Sletting av opplysninger
• Korrekt informasjon
• God informasjonssikkerhet
• God internkontroll
3
Personverntanken – prinsipper under oppseiling
- Retten til å bli glemt – en styrket sletteplikt
- Dataportabilitetet – en styrking av eiendomsretten til egne data
- Innebygd personvern - Personvern skal bygges inn i de teknologiske løsningene - Personvernet skal ivaretas i ”opplysningens levetid” – fra den
fødes til den dør
4
28.11.14&
3&
Hvorfor fokus på skolen?
- Billigere – og mer brukervennlig teknologi
- Digitale læringsplatformer - ”Alt” kan lagres – prøver, innleveringer, karakterer,
anmerkninger, tilbakemeldinger - Mulighet for logging kan si ganske mye
- tidspunkt innlevering skjer: sitter eleven oppe til klokken 0100 på natta når han bare er 11 år gammel?
- Chat, meldetjeneste, diskusjonsforum - Tilgang – foreldre, lærer, elev
5
Hvorfor fokus på skolen?
- Stadig større krav til måling av resultatet og kvalitet
” Bakgrunnen for forslaget [om et sentralt elevregister] var intensjonen Stortinget har om et nasjonalt kvalitetsregistrering-system i skolen som skal brukes til å regne ut sentrale kvalitetsindikatorer for kvalitetsutvikling og legge til rette for styring, forskning og tilsyn” Meld St 11 – Personvern – utsikter og utfordringer
- Deling med tredjeparter - Næringsliv - Kulturtilbud
6
28.11.14&
4&
Datatilsynet og skolen – hva gjør vi?
• Mottar klager og henvendelser, og gir råd og veiledning
• Gjennomfører tilsyn
• DuBestemmer
• Bruker ombudsrollen – debatt om barn og unge – i og utenfor skolen
7
Henvendelser, råd og veiledning
• Det er ikke klagestorm knyttet til skoler og barnehager
• Men , ca 20% økning 1. halvår 2014 for skoler og 50% økning for barnehager
• Grunnen er økt oppmerksomhet om personopplysninger i skoler og barnehager
• …og generell interesse om personvern
8
28.11.14&
5&
22&%&
55&%&
23&%&26&%&
61&%&
13&%&
0&%&
10&%&
20&%&
30&%&
40&%&
50&%&
60&%&
70&%&
Svært&oppta5&av&personvern&
Ganske&oppta5&av&personvern&
Lite&oppta5&av&personvern&
I"hvilken"grad"er"du"oppta2"av"personvern?"
1997&2013&
9
46&%& 49&%&
2&%& 3&%&0&%&
10&%&
20&%&
30&%&
40&%&
50&%&
60&%&
Mer&oppta5&enn&før&&
Like&oppta5&som&før&
Mindre&oppta5&enn&
før&
Vet&ikke&
Har"du"bli2"mer"eller"mindre"oppta2"av"personvern"de"siste""
to8tre"årene?"
10
28.11.14&
6&
Hva henvendelsene gjelder
• Skolen: – Overvåking av elevenes PC – Læringsplattformer – og hvem som kan se hvilke opplysninger – Bilder av barn og elevlister
• Barnehager: – Hvilke opplysninger kan barnehagen be om? – Hvor lenge kan opplysningene oppbevares – Hva kan overføres til skolen? – Kartleggingsverktøy
11
Skole – og barnehageprosjekt 2013-14
• Hvilke opplysninger samles inn om barna og hvordan blir de behandlet?
• Lage verktøy for å hjelpe barnehage- og skoleeiere til å ivareta personvernet i en digitalisert hverdag
• Møter med ulike aktører innen opplæringssektoren • Brevlige tilsyn 9 grunn- og videregående skoler
• Stedlige tilsyn 11 grunnskoler, 4 videregående skoler og 5 barnehager
• Sluttrapport med beskrivelse av tilstand og anbefalte tiltak
12
28.11.14&
7&
Personvern i skolen
13
Funn fra tilsynene
- Skoleeier og skolene mangler oversikt over hvilke personopplysninger de faktisk har lagret
- Manglende risikovurderinger skoleeier har med andre ord ikke vurdert sannsynligheten for at personopplysningene kan komme på avveier, hvilke konsekvenser det vil få, og hvilke sikkerhetstiltak som må på plass for å forhindre at det skal skje
- Deling av personopplysninger med tredjeparter, som for eksempel skyleverandører
- Uklarhet om hvem som egentlig har ansvar for at personopplysningene behandles skikkelig
- Logging av elevenes bruk av IKT
14
28.11.14&
8&
Fire råd for bedre personvern i skolen
• Internkontroll
• Riskovurderinger
• Databehandleravtaler
• Vær en krevende kunde og gjør gode vurderinger innomhus
15
Internkontroll
Lag rutiner for internkontroll for hver enkelt skole og barnehage
• Lag oversikt over hvilke personopplysninger om barna som lagres • Lag egne interne regler og rutiner for bruk av opplysninger • Lag skreddersydd og tydelig informasjon
16
28.11.14&
9&
• &Kartlegg&og&klassifiser&alle&behandlinger&–&ElevMPC,&karakterer,&elevsamtaler,&fravær&• &IdenRfiser&uønskede&hendelser&(og&årsaker!)&–&Hacking,&feilregistrering,&Rlgang&for&
&uvedkommende &&• &Konsekvensvurdering&(1M4)&• &Sannsynlighetsvurdering&(le5het&1M4)&&Sammenlign&resultater&og&iverkse5&Rltak&for&å&komme&innenfor&akseptabel&risiko&(ikke&på&totalkonsepter,&men&alle&delene)&
Konsekvens"
Risikovurdering
Sannsynlighet"17
Databehandleravtale
Dette glipper:
• Sikkerhetsrevisjon • Hvilke personopplysninger
omfattes av avtalen • Konkret beskrivelse av hvorfor (formål) • Beskrivelse av hvor dataene lagres • Når slettes personopplysningene • Beskrivelse av sikkerhetstiltak
18
28.11.14&
10&
…. og gode vurderinger
• Begrens overvåking og gi god informasjon • Informasjon om hvordan og hvorfor
• Still krav til leverandører
• Spør hvordan andre har gjort det – og lær!
19
Neste skritt for Datatilsynet
• Mål: Norm for behandling personopplysninger i skoler og barnehager
• Hvorfor? – Det er behov for veiledning og hjelp for å få gjort ting riktig
• Datatilsynets vil bidra med sin kompetanse, men det er sektoren som eier problemet
20