Vertsorganisasjoners plikter

Vertsorganisasjoner – universiteter, høyskoler eller skoleeiere – som bestiller og bruker tjenester i Feide omtales som behandlingsansvarlige. Det betyr at vertsorganisasjonene er pålagt å overholde visse plikter. Pliktene gjelder når tjenestene behandler opplysninger om sluttbrukerne, for eksempel studenter, elever, lærere, forskere og andre ansatte.
 

Vertsorganisasjonens viktigste plikter

De viktigste personvernpliktene for en vertsorganisasjon er å:
  • Ha en lovlig grunn for bruk av tjenesten
  • Vurdere om informasjonssikkerheten i tjenesten er tilfredsstillende
  • Bestemme hva tjenesteleverandøren kan gjøre med sluttbrukernes opplysninger
  • Kontrollere at det som bestemmes følges opp av tjenesteleverandøren
  • Forvalte sluttbrukernes personvernrettigheter

 

Feide og GDPR

Nedenfor følger en kort oversikt over hvilke regler i personvernlovgivningen (GDPR) som er særlig relevante for vertsorganisasjoner (behandlingsansvarlige) ved bruk av tjenester i Feide.
 

Feide og tjenesteutsetting

I personvernlovgivningen (GDPR) defineres all bruk av eksterne datatjenester hvor personopplysninger behandles som en form for tjenesteutsetting. Det samme vil gjelde for tjenester som vertsorganisasjoner bestiller og bruker via Feide, inkludert bruken av selve Feide som tjenesteplattform. Det betyr at leverandører av disse tjenestene behandler personopplysninger på oppdrag (eller etter bestilling) fra vertsorganisasjonene.
 
Tjenesteleverandører behandler personopplysninger på vegne av vertsorganisasjoner på flere måter, for eksempel ved at
  • opplysninger om ansatte og studenter/elever behandles i Feide i forbindelse med bruk av andre eksterne tjenester
  • administrativt ansatte bruker en tjeneste til å produsere, dele eller lagre dokumenter hvor det forekommer opplysninger om elever, studenter eller andre ansatte
  • elever/studenter bruker tjenesten til å produsere, dele eller lagre personlige notater, videoopptak av medstudenter/-elever, oppgavebesvarelser eller hjemmeeksamener
  • forskere bruker tjenesten til lagring eller deling av forskningsdata om respondenter eller informanter i forskningsprosjekter, for eksempel svar på spørreundersøkelser, lyd- eller videoopptak ved intervju- eller observasjonsstudier
Vertsorganisasjonen har ansvaret for hva tjenesteleverandøren gjør med disse opplysningene. Dersom leverandøren gjør noe ulovlig, vil dette være noe som vertsorganisasjonen må svare for. Prinsippet i personopplysningsloven er derfor at ansvaret følger opplysningene. Dette gjelder også for tjenester som bestilles via Feide.

 

Plikter før og etter tjenesteutsetting

Prinsippet om at ansvaret følger opplysningene betyr at personopplysningsloven pålegger vertsorganisasjoner enkelte plikter. Pliktene gjelder både før og etter at tjenester som bestilles via Feide er tatt i bruk.
 
Merk at pliktene gjelder uavhengig av (a) om leverandøren er norsk eller utenlandsk og (b) om leverandøren tar betalt for tjenesten eller ikke. Nedenfor gis en oversikt over de viktigste pliktene.
 

1. Bestemme lovlig grunn

Vertsorganisasjoner må ha lovlig grunn (hjemmel/behandlingsgrunnlag) til å bruke tjenester i Feide som behandler opplysninger om sluttbrukerne. Slik lovlig grunn kan for eksempel være at bruken av bestemte tjenester i Feide er viktig for at vertsorganisasjonene skal kunne ivareta lovpålagte oppgaver knyttet til undervisning eller forskning. 
 

2. Vurdere om det er forsvarlig å ta i bruk en bestemt tjeneste

Før vertsorganisasjonen tar i bruk en datatjeneste i Feide skal den vurdere om det er forsvarlig å bruke den aktuelle tjenesten. Dette skal skje i form av en risikovurdering av informasjonssikkerheten i tjenesten, det vil si om sluttbrukernes personopplysninger er tilfredsstillende sikret mot uautorisert innsyn, eksponering, endring, sletting, tap eller ødeleggelse. Risikovurderingen skal også omfatte bruk av Feide til innlogging på og datadeling med tjenesten. Dersom risikovurderingen viser at informasjonssikkerheten i tjenesten er tilfredsstillende, vil det være forsvarlig og lovlig å ta tjenesten i bruk. Dersom konklusjonen er at informasjonssikkerheten ikke er tilfredsstillende, vil det ikke være forsvarlig og lovlig å bruke tjenesten.
 

3. Bestemme hva tjenesteleverandøren kan gjøre med personopplysningene

Dersom vertsorganisasjonen finner at det er forsvarlig å ta tjenesten i bruk, skal vertsorganisasjonen bestemme hva leverandøren kan gjøre med sluttbrukernes personopplysninger. Dette skal skrives ned i en databehandleravtale som undertegnes av begge parter. Avtalen skal blant annet stille krav til informasjonssikkerheten hos tjenesteleverandøren, sette begrensninger for hva leverandøren kan bruke opplysningene til og sikre at sluttbrukernes personvernrettigheter ivaretas. Det må vanligvis inngås en særskilt dataoverføringsavtale dersom personopplysninger overføres til tjenesteleverandører i land utenfor EU/EØS (EUs standardkontrakt for overføring av personopplysninger til databehandlere i tredjeland). Vertsorganisasjonen skal også inngå en databehandleravtale med Feide for personopplysninger som behandles i forbindelse med bruk av tjenesteplattformen.  
 

4. Kontrollere at det som er bestemt følges opp av tjenesteleverandøren   

Etter at det er inngått en databehandleravtale mellom vertsorganisasjonen og tjenesteleverandøren, skal vertsorganisasjonen (med jevne mellomrom) kontrollere at leverandøren følger opp bestemmelsene i avtalen. Dette skal skje ved at vertsorganisasjonen får tilgang til og gjennomgår dokumenter som viser hvordan tjenesteleverandøren ivaretar informasjonssikkerheten i tjenesten. Det skal også skje ved at vertsorganisasjonen oppdaterer sin risikovurdering dersom (i) det skjer vesentlige endringer i tjenestens oppbygning/virkemåte eller (ii) vertsorganisasjonen blir varslet av leverandøren om brudd på informasjonssikkerheten (vertsorganisasjonen kan ha plikt til å videre-varsle Datatilsynet og sluttbrukerne om sikkerhetsbruddet). Kontrollen skal også omfatte hvordan vilkårene i avtalen med Feide følges opp.
 

5. Forvalte sluttbrukernes personvernrettigheter

Etter at tjenesten er tatt i bruk hos vertsorganisasjonen, er det vertsorganisasjonens oppgave å forvalte sluttbrukernes personvernrettigheter. Vertsorganisasjonen må derfor ha utformet rutiner for ivaretakelse av sluttbrukernes rettigheter. Hvordan dette skal foregå i praksis kan for eksempel avtales i databehandleravtalen med tjenesteleverandøren.
 

6. Foreta personvernkonsekvensvurderinger

Vertsorganisasjonen kan ved bruk av visse eksterne tjenester ha plikt til å gjennomføre personvernkonsekvensvurderinger før tjenester som velges via Feide tas i bruk. Vurderingene skal kartlegge risiko for krenkelser av sluttbrukernes personvern og brudd på reglene i personvernlovgivningen (GDPR). Datatilsynet vil offentliggjøre en liste over teknologier og tekniske løsninger som omfattes av denne plikten.
 

7. Sørge for innebygd personvern

Overholde kravet om innebygd personvern. Dette innebære å gjøre vurderinger av og stille krav til at funksjonaliteten i tjenesten tilrettelegges slik at personvernet til sluttbrukerne og reglene i personvernlovgivningen (GDPR) blir enklere å ivareta.
 

Råd og veiledning

Uninett kan bistå vertsorganisasjoner med råd og veiledning om hvordan de kan ivareta sine plikter i forbindelse med bruk av tjenester i Feide.
 
Uninett har også utarbeidet veiledere og maler som kan være til hjelp for vertsorganisasjoner. Dette gjelder særlig: