Personvern i skytjenester
Leverandører av skytjenester må fylle de samme sikkerhetskravene som alle andre leverandører som skal behandle personopplysninger på deres vegne.
De fleste barnehage- og skoleeiere tar i bruk skytjenester, og lar dermed eksterne leverandører behandle personopplysninger. Skytjenester kan være alt fra dataprosessering og datalagring, til programvare på servere som er eksternt tilgjengelig. De fleste av disse tjenestene behandler data utenfor Norge, og mange utenfor EU/EØS.
For å ta i bruk skytjenester må dere gjennomføre en risikovurdering av skytjenesten, og gjøre gode vurderinger rundt både personopplysningene leverandøren skal behandle og databehandleravtalen dere inngår.
Veiledere om sikkerhetskrav som kan være aktuelle ved innkjøp av skytjenester (SkoleSec/KS)
Personopplysninger i skyen
Når barnehagen eller skolen velger å ta i bruk skytjenester fra en ekstern leverandør, er normalt barnehage- eller skoleeier behandlingsansvarlig. Hvis leverandøren av skytjenesten behandler personopplysninger på vegne av barnehagen eller skolen, regnes leverandøren som en databehandler.
Les mer om behandlingsansvarlig og databehandler (Datatilsynet)
Oversikt over behandlingene
Barnehage- eller skoleeier skal ha oversikt over hvilke behandlinger av personopplysninger som foretas i skyen. Dette kaller vi internkontroll. Oversikten er nødvendig for at dere skal kunne ivareta pliktene deres. Oversikten danner også grunnlag for risikovurderingene dere må gjøre.
Oversikten bør inneholde:
- hvilke opplysninger leverandøren av skytjenesten vil behandle og hvorfor de vil bli behandlet
- hvilket behandlingsgrunnlag som ligger til grunn for den behandlingen leverandøren skal gjøre
- om personopplysningene er særlig kategori
- sikkerhetstiltak
- hvor leverandøren lagrer opplysningene og om de overfører opplysningene til andre land
- personopplysningenes omfang
- hvem som behandler personopplysningene, og om leverandøren overfører opplysningene til andre
Risikovurdering og informasjonssikkerhet
Barnehage- og skoleeier skal gjennomføre en risikovurdering både før dere tar i bruk en skytjeneste, og ved endringer som kan påvirke risikobildet for personvern eller informasjonssikkerheten. Slike endringer kan være at skytjenesten endrer vilkår for lagring av personopplysninger, engasjerer nye underleverandører, nedgraderer sikkerhetsnivået eller endrer andre vilkår.
Ikke alle skytjenester er utformet slik at de ivaretar personopplysningene i tråd med personvernregelverket og retningslinjer dere har for behandling av personopplysninger. Når barnehagen eller skolen skal ta i bruk eksterne tjenester, har dere ansvaret for å kvalitetssikre og dermed også foreta en risikovurdering av tjenesten.
Dere må være sikre på at skytjenesten møter sikkerhetskravene dere har.
Sjekkliste
Før dere tar i bruk en skytjeneste bør dere gjennomgå disse stegene.
Gjennomfør en risikovurdering
Se veiledning om risikovurdering
Sørg for å ha en databehandleravtale med leverandøren
Dere må inngå en databehandleravtale med leverandøren av skytjenestene.
Vi anbefaler at dere bruker statens mal for databehandleravtale. Noen leverandører ønsker å bruke sin egen databehandleravtale. Da må dere lese avtalen nøye, gå gjennom punktene over og gjennomføre en risikovurdering. Vurder om databehandleravtalen og leverandøren sikrer personopplysningene dere er ansvarlige for på en god nok måte til at dere kan ta tjenesten i bruk. Er risikoen for stor, og databehandleravtalen ikke god nok, anbefaler vi at dere ikke tar i bruk tjenesten.
Få på plass nødvendig dokumentasjon
Sørg for at løsningen er tilstrekkelig dokumentert slik at du eller offentlige myndigheter kan gjennomføre en kontroll.
Eksempler på dokumentasjon du trenger er:
- en gjennomført risikovurdering av tjenesten
- databehandleravtale som er inngått med leverandøren
- dokumentasjon på eventuell løpende oppfølging av leverandøren.
- dokumentasjon fra egne revisjoner eller revisjoner dere ber andre om å gjøre på deres vegne