Barnehage- og skoleeiers personvernansvar

Det er barnehageeier og skoleeier som er ansvarlig for å oppfylle kravene i personvernregelverket.

For offentlige barnehager og skoler er det kommunen/fylkeskommunen som er barnehageeier og skoleeier. Hvem som er eier for private barnehager, private skoler og friskoler, er avhengig av hvordan barnehagen eller skolen er organisert. I mange tilfeller vil styret i barnehagen eller skolen være eier.

Selv om det er barnehage- og skoleeier som er ansvarlig for å overholde plikter og rettigheter i personvernregelverket, vil mye av det daglige arbeidet med å følge opp reglene foregå i den enkelte barnehage og skole. Det er derfor viktig at du som eier legger godt til rette for at de ansatte har nødvendig kunnskap om personvern, og at dere har kvalitetssikrede systemer for håndtering av personvern.  

Personvernprinsippene

Personvernprinsippene er grunnleggende prinsipper for all behandling av personopplysninger. Som barnehage- eller skoleeier er du er ansvarlig for at dere følger dem.

De viktigste prinsippene er:

  • behandlingsgrunnlag (lovlig, rettferdig og åpent)
  • behandlingen skal skje til spesifikke formål (formålsbegrensning)
  • det skal ikke behandles flere opplysninger enn nødvendig for å oppfylle formålet (dataminimering)
  • opplysningene skal være riktige (riktighet)
  • lovlig og sikker lagring (lagringsbegrensning)
  • sikkerhet for opplysningene (integritet og konfidensialitet)

Les mer om personvernprinsippene

Det lokale personvernombudet og statsforvalteren kan gi råd og veiledning om hvordan du skal forstå og praktisere reglene i personvernregelverket. Du kan også få veiledning hos Datatilsynet, som gir råd og informasjon og fører tilsyn på personvernfeltet.

Eiers ansvar – hvor starter du?

Som barnehage- eller skoleeier er det ditt ansvar å sørge for, og å kunne dokumentere, at barnehagen/skolen oppfyller kravene til personvern i sin behandling av personopplysninger. Du må også ha oversikt over hvilke personopplysninger som blir behandlet, og gode rutiner for å sikre at kravene i personvernregelverket blir fulgt.

Hvis dine ansatte mangler kunnskap om personvern, bør du se på hvordan dere kan øke kunnskapen.

Aktuelle ressurser/informasjon som kan veilede dere i arbeidet med personvern

Nedenfor finner du noen tips til de viktigste grepene du bør ta i forbindelse med behandling av personopplysninger.  Du kan også finne råd og tips om dette i Datatilsynets sjekkliste for virksomheter.  

Oversikt over personopplysninger og formål

Skaff deg en oversikt over hvilke personopplysninger barnehagen eller skolen behandler og hvorfor. Dette kan være alt fra alminnelige personopplysninger, som for eksempel kontaktinformasjon til foreldre, til særlige kategorier av personopplysninger, som for eksempel barns helse.

Sørg for at barnehagen eller skolen har klart definerte formål for behandlingen av personopplysningene.

Gyldig behandlingsgrunnlag

Sørg for at barnehagen eller skolen har et gyldig behandlingsgrunnlag for behandlingen av de ulike personopplysningene.

På barnehage- og skolefeltet vil du i hovedsak finne grunnlag for behandlingen i de aktuelle lovene på området.

Nødvendig informasjon

Sørg for å gi nødvendig informasjon til barn, elever og foreldre.

Finn ut hvordan du kan overholde informasjonsplikten best mulig. Hvordan skal du for eksempel sørge for god informasjon til barn, elever og foreldre om hvilke personopplysninger barnehagen eller skolen behandler om dem?

Rettigheter du må ivareta

Sett deg inn i hvilke andre rettigheter barnet, eleven og foreldrene har.

Som eier må du også passe på at barnehagen eller skolen har systemer som sikrer at barn, elever og foreldre får oppfylt sine rettigheter innen visse tidsfrister. Det betyr for eksempel at du må sørge for gode rutiner, systemer og kompetanse til å vurdere krav fra den enkelte.

Innebygd personvern

Innebygd personvern er en plikt. Når dere skal utarbeide rutiner og systemer, bør du derfor lese om innebygd personvern hos Datatilsynet.

Innebygd personvern betyr at du skal ta hensyn til personvern i alle utviklingsfaser av et system eller en løsning. Innebygd personvern skal sørge for at systemene/løsningene oppfyller personvernprinsippene, og at de ivaretar barnet eller elevens rettigheter.

Når du for eksempel skal få utviklet et system for barnehager og skoler der dere skal behandle personopplysninger, må du som eier i en tidlig fase sørge for å få vurdert  hvordan personvernet skal ivaretas i systemet. Vi anbefaler at du får dokumentert skriftlig hvordan personvernet i systemet er vurdert, og hvordan systemet skal sørge for at personvernprinsippene blir overholdt og barnet eller elevens rettigheter blir ivaretatt.

Databehandleravtale

Skal en databehandler behandle personopplysninger på dine vegne? Da må du ha en databehandleravtale.

Det er strenge krav til behandling av personopplysninger i land utenfor EU/EØS-området.

Mal for databehandleravtale (Digitaliseringsdirektoratet)

Personvernombud

Hvordan oppfyller barnehagen eller skolen plikten til å ha et personvernombud?

Gode rutiner

Lag rutiner som gjør deg i stand til å oppfylle alle pliktene dine etter personvernregelverket. For å sikre dette, må du ha internkontroll. Du har også plikt til å beskytte personopplysningene, altså ha informasjonssikkerhet.

Avvik

Du må også legge en plan for hvordan du skal håndtere avvik når noe går galt.

På Datatilsynets sider finner du mye informasjon om pliktene en virksomhet har når den skal behandle personopplysninger. Begrepet «virksomhet» kan virke fremmed, men tenk at virksomhet kan erstattes med «barnehage» eller «skole».

Virksomhetenes plikter (Datatilsynet)
Sjekkliste (Datatilsynet)

For å få et overblikk over ansvaret ditt som barnehage- eller skoleeier, kan det være nyttig å identifisere forskjellige oppgaver, situasjoner og nivåer der du skal sørge for at kravene etter personvernregelverket blir oppfylt.

Typiske situasjoner der dere behandler personopplysninger i det daglige er

  • for å oppfylle eleven eller barnets rettigheter etter barnehageloven, opplæringsloven eller friskoleloven
  • i forbindelse med kontakt med hjemmet 
  • i forbindelse med generell oppfølging av det enkelte barnet eller eleven

For å sikre at dere behandler personopplysninger på riktig måte, bør du som eier sørge for kunnskap om personvern hos barnehagen eller skolen.

Hva slags kunnskap trenger dere?

Kunnskap om personvern generelt, kjennskap til grunnlaget for og formålet med den konkrete behandlingen av personopplysninger.

Hvem trenger kunnskapen?

Ansatte i barnehagen eller skolen, både medarbeidere og ledere.

Tiltak for å oppnå kunnskap

Opplæring, gode rutiner (internkontroll og informasjonssikkerhet) og informasjon til nyansatte.

Du setter viktige rammer for behandling av personopplysninger i forbindelse med generelle drifts- og forvaltningsoppgaver. Typiske eksempler på dette er

  • innkjøp av dataløsninger/systemer som skoleadministrative systemer eller læringsplattformer
  • innkjøp av digitale læremidler og annen digital læringsteknologi
  • inngåelse av avtaler med databehandlere 
  • oppfølging av avtaleforhold 

For å sikre at dere ivaretar personvernet i forbindelse med drifts- og forvaltningsoppgaver, bør du som eier sørge for kunnskap om personvern hos ansatte som utfører slike oppgaver.

Hva slags kunnskap trenger dere?

Kunnskap om krav til behandlingsgrunnlag og formål, krav til sikkerhet, innebygget personvern, risikoanalyser, vurdering av personvernkonsekvenser (DPIA), rutiner for sletting og oppfølging av avtaleparten/databehandleren.

Hvem trenger kunnskapen?

Innkjøpere, forvaltere og sikkerhetsansvarlige.

Tiltak for å oppnå kunnskap

Opplæring, gode rutiner (internkontroll og informasjonssikkerhet), informasjon til nyansatte, klare ansvarslinjer, rutiner for kvalitetssikring for eksempel gjennom involvering av sikkerhetsansvarlige og personvernombud.

Viktige ansvarsområder

En vurdering av personvernkonsekvenser (Data Protection Impact Assessment - DPIA) er en prosess som skal beskrive behandlingen dere gjør av personopplysningene. Den skal også vurdere om behandlingen er nødvendig og proporsjonal, og om den medfører høy risiko for barnets eller elevens rettigheter og friheter. En DPIA skal være rettet mot den registrertes (barnet eller elevens) perspektiv.

DPIA er et viktig verktøy for å sikre at du opptrer ansvarlig. Verktøyet hjelper deg som eier med å være sikker på at dere oppfyller personvernkravene, og med å dokumentere at dere har gjort tilstrekkelige tiltak for å sikre at dere overholder regelverket.

Du har plikt til å sørge for å gjennomføre en DPIA dersom behandlingen av personopplysninger barnehagen eller skolen skal gjøre vil medføre en høy risiko for rettighetene til dem det gjelder (barn/elever/foreldre). Hos Datatilsynet finner du veiledning om hva som regnes som høy risiko.

Datatilsynet har laget en liste over behandling av personopplysninger der du alltid har plikt til å gjennomføre en DPIA. To eksempler fra denne listen er:

  • behandling av personopplysninger for å evaluere læring, mestring og trivsel i skoler eller barnehager. Dette inkluderer alle utdanningsnivåer, fra barne- og ungdomsskole, videregående skoler og høyere utdanning
  • kameraovervåking i skoler og barnehager i åpningstiden

Når du skal vurdere om en DPIA er nødvendig, bør du derfor om den aktuelle behandlingen står på Datatilsynets liste over behandlingsaktiviteter som alltid krever vurdering. Hvis ikke må du vurdere om behandlingen vil medføre høy risiko for barns/elevers/foreldres rettigheter og friheter.

Når må man gjennomføre en vurdering av personvernkonsekvenser? (Datatilsynet)
Sjekkliste for vurdering av personvernkonsekvenser (DPIA) (Datatilsynet)

Maler for DPIA

Personvernregelverket krever at offentlige barnehage- og skoleeiere må ha et personvernombud. Personvernombudets hovedoppgave er å informere og gi råd om pliktene barnehagen og skolen har etter personvernlovgivningen, både til deg som er behandlingsansvarlig, til databehandlere, og til de ansatte som behandler personopplysninger. Ombudet skal kontrollere at dere overholder personvernregelverket og deres egne interne retningslinjer for personvern.

Det er mulig å utnevne et felles personvernombud på vegne av flere barnehager eller skoler, dersom det er forsvarlig ut fra struktur og størrelse, omfang og kompleksitet. Personvernombudet kan være ansatt, eller en ekstern person du leier inn.

For offentlige barnehage- og skoleeiere er plikten til å ha et personvernombud klar. Når det gjelder private barnehage- og skoleeiere, er det plikt til å ha et personvernombud dersom barnehagen eller skolen har som kjernevirksomhet å behandle særlige kategorier av personopplysninger i stor skala. Som eier må du vurdere og ta stilling til om dette gjelder i din barnehage eller skole. 

Personvernombudets oppgaver (Datatilsynet)
Hvem må ha personvernombud? (Datatilsynet)

Som barnehage- eller skoleeier må du ha et system for internkontroll og informasjonssikkerhet, som bidrar til å sikre og dokumentere at personvernregelverket blir fulgt.

Internkontroll handler om å sikre at barnehagen eller skolen behandler personopplysninger på en forsvarlig måte. Du må sørge for at barnet eller elevens rettigheter blir ivaretatt, samtidig som du ivaretar barnehagen eller skolens mål med behandlingen av personopplysninger.

Informasjonssikkerhet handler om å sikre at ingen får uberettiget innsyn eller gjør endringer i personopplysningene, samtidig som opplysningene skal være tilgjengelige for de som trenger dem.

I forbindelse med internkontroll og informasjonssikkerhet skal du som eier sørge for konkrete, nødvendige, tekniske og organisatoriske tiltak. Disse tiltakene skal for eksempel sikre og dokumentere at barnehagen eller skolen har lov til å behandle personopplysningene det er snakk om, at opplysningene ikke blir brukt til andre formål enn de er innhentet for, og at opplysningene bare er tilgjengelige for de som skal ha tilgang til dem.

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger du som eier for at barnehagen eller skolen behandler personopplysninger lovlig, sikkert og forsvarlig.

Internkontroll 

Som barnehage- eller skoleeier er du sikkert allerede kjent med plikten til å ha internkontroll for å sikre at dere følger lover og forskrifter. Betydningen av internkontroll er langt på vei den samme etter kommuneloven, friskoleloven og barnehageloven, som etter personvernregelverket.

Eier skal arbeide systematisk med internkontroll, og tilpasse omfanget av internkontrollen etter en risikovurdering.

Internkontroll kalles noen ganger også «styringssystem», «ledelsessystem», «internkontrollsystem» eller «styring og kontroll».

Internkontroll og personvern

På personvernfeltet betyr internkontroll å sette arbeidet med personvern i system, slik at du har kontroll med at dere behandler personopplysninger i tråd med regelverket. Internkontroll er eiers verktøy for å ivareta ansvaret sitt og dokumentere at barnehagen eller skolen følger personvernregelverket, og de ansattes verktøy for å utføre oppgaver på en forsvarlig og sikker måte.

Gjennom internkontroll skal du sikre en forsvarlig behandling av personopplysninger. Det betyr at du må sørge for rutiner som ivaretar både hensynet til barnet eller elevens rettigheter og friheter, og målet med barnehagens eller skolens behandling av personopplysningene.

Det er noen særskilte krav til internkontroll på personvernfeltet. For å sikre en forsvarlig behandling, skal du sørge for at dere ser på behandlingens art, omfang, formål og sammenheng, og på risikoene dette innebærer for rettighetene og frihetene til barnet eller eleven (eventuelt foreldrene) som personopplysningene gjelder. Du må også sørge for at de tekniske og organisatoriske tiltakene dere velger står i forhold til behandlingen.

Dokumentere internkontroll

For all internkontroll er det krav om at du må dokumentere og følge opp tiltakene. Internkontroll kan dokumenteres på flere forskjellige måter. Noen bruker egne digitale verktøy i dette arbeidet, mens andre bruker egenutviklede internkontrollskjemaer.

Mal for internkontrollskjema

Det er ikke noe krav om at du lager et eget internkontrollsystem for personvern. Du kan derfor velge å koble dette på andre internkontrollsystem. Vær oppmerksom på om systemet du bruker oppfyller de særskilte kravene til internkontroll på personvernfeltet.

Etablere internkontroll (Datatilsynet) 

Informasjonssikkerhet 

Personvernregelverket krever at personopplysninger skal beskyttes godt nok mot uberettiget innsyn og endringer. Samtidig skal opplysningene være tilgjengelige for de som trenger opplysningene, når de har behov for dem. 

Informasjonssikkerhet dreier seg om å sørge for at dere ivaretar personopplysninger og andre informasjonsverdier på en tilfredsstillende måte. Dette gjør du ved først å identifisere hvilke personopplysninger barnehagen eller skolen behandler eller har, og deretter gjennomføre en risikovurdering for å avklare om sikkerhetstiltakene deres er tilfredsstillende.

Dersom risikovurderingen avdekker mangler, må du vurdere om du skal sette i verk nye tiltak for å oppnå tilfredsstillende sikkerhetsnivå. Du må utarbeide kontrollrutiner som dere gjennomfører jevnlig, for å kontrollere at tiltakene blir fulgt opp og virker etter hensikten.

En slik fremgangsmåte vil, sammen med tilhørende rutiner, kunne utgjøre barnehagen eller skolens system for informasjonssikkerhet. Dette systemet for informasjonssikkerhet vil være en sentral del av virksomhetens generelle, overordnede internkontroll. Det er utviklet standarder som beskriver hvordan styringssystem for informasjonssikkerhet skal etableres. 

Internkontroll og informasjonssikkerhet (Datatilsynet)

Veileder om risikovurderinger for behandling av personopplysninger ved bruk av IKT

Som eier må du sørge for at barnehagen eller skolen fører en protokoll over behandlingsaktiviteter. Også databehandlere skal føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på dine vegne.

Protokollen skal blant annet inneholde følgende informasjon: 

  • navnet på og kontaktopplysningene til den behandlingsansvarlige (barnehageeier/skoleeier), den behandlingsansvarliges representant (barnehagen/skolen) og personvernombudet
  • formålene med behandlingen 
  • en beskrivelse av kategoriene av registrerte (for eksempel elever, barn, foreldre, ansatte) og kategoriene av personopplysninger
  • kategoriene av mottakere som personopplysningene er blitt, eller vil bli, utlevert til.
  • om det er mulig; de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger 
  • om det er mulig; en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene hos dem som skal behandle personopplysningene

Det kan være aktuelt med mer informasjon i en protokoll, blant annet hvis dere skal overføre personopplysninger til tredjeland. 

Protokoll over behandlingsaktiviteter (Datatilsynet)

Som eier må du sørge for å inngå databehandleravtaler med leverandører (databehandlere) som tar seg av personopplysninger på dine vegne, for eksempel ved å drifte IT-systemene deres. De fleste leverandører av skoleadministrative systemer, digitale læringsplattformer og digitale læremidler er for eksempel databehandlere for barnehage-/skoleeierne. Det samme gjelder leverandører av skytjenester. 

Databehandleravtalen sikrer at databehandleren behandler personopplysninger i samsvar med regelverket. Databehandleren har ingen egen råderett over personopplysningene. De kan ikke bruke opplysningene på andre måter enn det som er skriftlig avtalt med deg som er behandlingsansvarlig.

Hvis du som barnehage-/skoleeier ikke har en slik avtale med dine databehandlere, eller hvis avtalen ikke følges opp, er dette i strid med personvernregelverket. 

Mal til databehandleravtale (Digitaliseringsdirektoratet)
Hvordan lage en databehandleravtale (Datatilsynet)

Et avvik er et brudd på personopplysningssikkerheten. Det kan for eksempel være at personopplysninger ved en feil er tilgjengelig for andre enn de som skal ha tilgang til dem. Dette kan være at filer med brukernavn og passord ligger offentlig tilgjengelig, eller at noen uten foreldreansvar blir lagt til i apper skolen bruker, og får tilgang på informasjon som de ikke skulle hatt. 

Dersom du oppdager eller får beskjed om at det har skjedd et brudd på personopplysningssikkerheten i et system eller en løsning du er behandlingsansvarlig for, har du i mange tilfeller plikt til å rapportere det til Datatilsynet så snart som mulig, og senest innen 72 timer. 

Håndtere avvik (Datatilsynet)

Det er viktig at du er oppmerksom på hvor personopplysningene faktisk blir behandlet. Grunnen til dette er at land utenfor EU/EØS-området (tredjeland) ikke er omfattet av personvernregelverket. Dersom personopplysninger blir overført til et slikt land, gjelder det derfor spesielle krav for overføringen. Kravene skal sikre at personopplysningene blir beskyttet like godt som i EU/EØS.

Overføring av opplysninger til tredjeland kan for eksempel skje dersom barnehagen eller skolen bruker en app de finner på nettet, og legger inn opplysninger om seg selv som brukere der. Overføring av personopplysninger omfatter også for eksempel bruk av kundestøtte som befinner seg utenfor EU/EØS, dersom kundestøtten har såkalt fjerntilgang til opplysninger. Når dere anskaffer IT-løsninger for barnehagen eller skolen, må dere undersøke hvor personopplysningene vil bli behandlet og hvilke underleverandører leverandøren deres samarbeider med.

Det er flere tiltak du kan iverksette for å redusere risikoen for behandling av personopplysninger som ikke oppfyller kravene i personvernregelverket. For eksempel kan du innføre en rutine som sier at dere i forbindelse med undervisning bare skal bruke programmer og apper som er sjekket på forhånd med tanke på eventuell overføring til tredjeland.

Et annet relevant tiltak er å bruke en mal for databehandleravtale som sikrer at databehandleren din må forholde seg til kravene etter personvernforordningen, både selv og ved bruk av eventuelle underleverandører.

Spesielt om overføring av opplysninger til utlandet (Datatilsynet)

En viktig del av ansvaret til barnehage- og skoleeier er å oppfylle rettighetene til barnet som barnehagen eller skolen har registrert personopplysninger om. 

Eier må legge til rette for at barnet/eleven og eventuelt foreldrene enkelt kan benytte rettighetene sine. Det bør for eksempel være mulig å henvende seg elektronisk om egne rettigheter. Pass på at dere har satt av ressurser til å håndtere henvendelsene. 

Du må passe på at kommunikasjonen med barn eller elever og foreldre skjer på en kortfattet, åpen, forståelig og lett tilgjengelig måte. Språket skal være klart og enkelt, særlig når informasjonen er spesifikt rettet mot barn. 

Når et barn, en elev eller foreldre ønsker å benytte seg av rettigheter skal du sørge for at barnehagen eller skolen har rutiner som sikrer at det blir gitt et svar uten ugrunnet opphold.

Innen en måned skal dere ha

  • vurdert henvendelsen
  • utført det barnet, eleven eller foreldrene ønsker, eller svart på hvorfor dere ikke vil gjøre dette
  • svart barnet, eleven eller foreldrene

Det er viktig å sikre at barnehagen eller skolen ikke gir ut personopplysninger til uvedkommende. Hvis dere ikke er sikre på identiteten til personen som henvender seg, bør dere be om mer informasjon for å få bekreftet identiteten.  

Å bruke rettighetene sine skal være gratis.  

Læringsplattformer

Datatilsynet har laget krav til skoleeiere som skal bruke læringsplattformer. Her finner du krav til sterk autentisering, databehandleravtaler og risikovurderinger.

Krav til skoleeiere som skal bruke læringsplattformer (Datatilsynet)

Fant du det du lette etter?

0/250
0/250

Tusen takk for hjelpen!