Innleiðing persónuverndarreglna í grunnskólum

Innleiðing á persónuverndarreglum í grunnskólum landsins, vegna vefkerfisins Mentors og nýrrar löggjafar í persónuvernd, kalla á umtalsverðar aðgerðir að hálfu sveitarfélaga.

Um tvíþættar aðgerðir er að ræða, sem beinast fyrst í stað að Mentor-málinu svokallaða, en þar liggur fyrir að notkun grunnskóla á vefkerfinu Mentor brýtur í bága við núgildandi persónuverndarlög, skv. áliti Persónuverndar frá árinu 2015.

Sú heildurendurskoðun á persónuverndarlöggjöf sem stendur yfir, mun síðan kalla á frekari aðgerðir. Má þar nefna sem dæmi vinnsluskrár, sem skólum verður gert að halda vegna persónuupplýsinga og tengilið sem skólar gætu þurft að skipa við persónuverndarfulltrúa sveitarfélags.

Heildaráhrif af nýrri persónuverndarlöggjöf skýrast ekki að fullu fyrr en frumvarp að þeim verður kynnt, en gert er ráð fyrir að það komi fram nú á vorþingi 2018. Þó er ljóst að aðgerðir í Mentor-málinu munu gera grunnskólum auðveldara um vik, að uppfylla kröfur nýju persónuverndarlaganna.

Öryggi og upplýsingatæknimál vega sífellt þyngra í upplýsingaöryggi. Brjótast má inn í nánast öll kerfi sem styðjast að einhverju leyti við veraldarvefinn og eru mýmörg dæmi um misnotkun upplýsinga sem teknar hafa verið ófrjálsri hendi á netinu.  Núgildandi og væntanleg lög um persónuvernd gera mjög ríkar kröfur til þess að þessi mál séu eins trygg og mögulegt er.

Þau sveitarfélög sem vilja nýta sér þjónustupakka sem samið hefur verið um við öryggissérfræðing í upplýsingatækni vegna Mentor-málsins eru beðin um að tilkynna þátttöku sína með tölvupósti á thordur.kristjansson@samband.is.

Ýtarlegt kynningarbréf hefur verið sent út til sveitarstjóra, skólastjóra í grunnskólum, fræðslustjóra og Kennarasambands Íslands vegna málsins: Kynningarbréf janúar 2018 - innleiðing í grunnskólum

Farið er yfir helstu atriði þessara umfangsmiklu mála í Spurt og svarað hér að neðan.

Spurt og svarað

Hvers vegna eiga sveitarfélögin að innleiða persónuverndarreglur í grunnskólum út af Mentor?

Persónuvernd komst að þeirri niðurstöðu í úttekt sinni árið 2015, að notkun á vefkerfinu Mentor væri ekki í samræmi við kröfur laga um persónuvernd og meðferð persónuupplýsinga (lög nr. 77/2000). Um frumkvæðisúttekt var að ræða hjá stofnuninni sem náði til fimm grunnskóla í Reykjavík, í framhaldi af ábendingum um víðtæka söfnun persónuupplýsinga í vefkerfinu Mentor.

Niðurstaða Persónuverndar var að beina þeim tilmælum til allra grunnskóla, að endurskoðuð verði meðferð og varsla persónuupplýsinga á þeirra vegum með hliðsjón af gildandi lögum og reglum. Er ljóst að tilmælin taka til allrar slíkrar vinnslu óháð hugbúnaði eða vinnsluaðferðum  og einskorðast álitið því ekki við vefkerfið Mentor.

Í framhaldinu varð til sn. Mentor-mál sem sambandið hefur leitað almennra lausna við með hliðsjón af stöðu allra grunnskóla landsins.

Hvað felst í þeim tilmælum Persónuverndar – að endurskoða meðferð og vörslu persónuupplýsingna?

Í þessu felst að grunnskólum er gert að uppfylla eftirtalin skilyrði:

  1. Að skrá ekki viðkvæmar persónuupplýsingar í vefkerfi eins og Mentor, nema því aðeins að útbúnar hafi verið verklagsreglur sem fullnægja kröfum persónuverndarlaga.
  2. Að meðalhófs og sanngirnissjónarmiða sé gætt við skráningu persónuupplýsinga.
  3. Að sveitarfélögin útbúi sem ábyrgðaraðilar grunnskólans öryggisstefnu, áhættumat, öryggisráðstafanir og lýsingu á fyrirkomulagi innra eftirlits vegna meðferðar og vörslu persónuupplýsinga. Þetta allt þarf síðan að innleið í hvern og einn skóla.
  4. Að grunnskólar sannreyni hvort vinnsluaðili (t.d. Mentor) geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit áður en samið er við hann.

Hvað er átt við með verklagsreglum sem fullnægja kröfum persónuverndarlaga?

Verklagsreglur vegna meðferðar og vörslu persónuupplýsinga segja t.d. fyrir um hvaða upplýsingar megi skrá, hvenær megi skrá (einkum í dagbókarflipa), hver hafi aðgang að færslum í dagbók, hvernig haldið er utan fræðslu innan stofnunar um meðferð og vörslu persónuupplýsinga og hvernig innra eftirliti sé háttað í þeim efnum. Verklagsreglunum er ætlað m.a. að einfalda og staðla innan skóla og milli skóla hvaða upplýsingum er safnað og gera  aðganginn að persónuupplýsingum gagnsæjan. Tilgangurinn með því er m.a. sá að gera upplýsingaleka eða –misnotkun rekjalegri en ella.

Meðalhóf og sanngirnissjónarmið – hvað þýðir það í þessu samhengi?

Aðallega er átt við að ekki megi safna persónuupplýsingum án þess að tilgangur og markmið þess liggi fyrir. Einnig er gott að hafa í huga að ef upplýsingum er safnað um einn, verður að vera hægt að safna upplýsingum um alla sem eru í sambærilegri stöðu. Það vinnur með öðrum orðum gegn sanngirnissjónarmiðum að halda nákvæmari skrá um suma en ekki aðra, nema skýr rök standi til þess.

Hvernig geta grunnskólar sannreynt hvort vinnsluaðili geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit áður en samið er við hann?

Í framhaldi af úrskurði Persónuverndar lét Reykjavíkurborg gera úttekt á Mentor og Námsfús til að sannreyna hvort þessir vinnsluaðilar „geti framkvæmt viðeigandi öryggisráðstafanir og viðhaft innra eftirlit áður en samið er við hann“.

Að úttekt lokinni fóru í hönd samningaviðræður sem sambandið hafiði aðkomu aðog hafa nýir vinnslusamningar verið undirritaðir fyrir hönd Reykjavíkurborgar og þeirra skóla sem nefndir eru í Mentor máli við viðkomandi aðila.

Sambærilega samninga þarf að gera á vegum allra grunnskóla landsins með tilvísun í áðurnefnda úttekt, óski viðkomandi skólar eftir áframhaldandi þjónustu vinnsluaðila sem bjóða veflausnir við upplýsingasöfnun, -vinnslu og -miðlun.

Hvernig eiga sveitarfélögin að útbúa öryggisstefnu, áhættumat … eða hvað þetta nú heitir allt sbr. 3. tölulið?

Sambandið réð á síðasta ári Marinó G. Njálsson, sérfræðing í upplýsingatækniöryggi og áhættumati, til að vinna að lausnum fyrir grunnskóla landsins í Metor-málinu. Marinó hefur nú unnið öryggisstefnu í upplýsingatækniöryggi og öryggishandbók vegna notkunar grunnskólanna á rafrænum upplýsingakerfum. Verkefnið var fjármagnað á síðasta ári með framlagi úr Jöfnunarsjóði sveitarfélaga. 

Hvað getur sveitarfélagið gert í þessum málum?

Hverju sveitarfélagi/grunnskóla stendur til boða að semja við Marinó G. Njálsson um innleiðingu á öryggisstefnu, gerð áhættumats og lýsingu á fyrirkomulagi innra eftirlits (sbr. 3. tölulið). Samið hefur verið um fastan þjónustupakka fyrir hvern grunnskóla eða 5 vinnustundir á 14.9oo kr. (sem samsvarar með vsk. um 100 þ.kr.) Innfalið eru fundir og leiðsögn vegna innleiðingarinnar.

Þau sveitarfélög sem vilja nýta sér þessa þjónustu þurfa að tilkynna þátttöku með tölvupósti á thordur.kristjansson@samband.is.

Hvernig fer innleiðingin fram?

Innleiðingin byggir á eftirtöldum framkvæmdaþáttum:

  • Öryggisstefna, samþykkt og undirrituð af skólastjóra og yfirmanni skólastjóra hvort sem um er að ræða fræðslustjóra eða bæjarstjóra.
  • Skólarnir framkvæma áhættumat vegna upplýsinga nemendaskrár, sem nær m.a. yfir upplýsingar í Mentor eða sambærilegum vefkerfum. Um er að ræða sjálfsmatsskjal með leiðbeiningum.
  • Áhættumatsskýrsla útbúin.
  • Reglubók með öryggisreglum – fyrsta útgáfa er í lokavinnslu
  • Nothæfislýsing (Statement of applicability) – er í lokavinnslu
  • Verklagsreglur í samræmi við kröfur í reglubók –  er í lokavinnslu

Framkvæmdin byggir á reynslu þeirra fimm grunnskóla sem frumkvæðisúttekt Persónuverndar náði til. Persónuvernd komst svo að þeirri niðurstöðu að málið gilti fyrir alla skóla landsins og var ákveðið að vinna málið fyrst út frá þessum fimm skólum sem tilraunaverkefni og yfirfæra að því búnu aðferðafræðina á alla skóla landsins.  

Gert er ráð fyrir að þessum fyrstu innleiðingum ljúki í janúar eða febrúar 2018. Verður í framhaldi af því mótað ferli sem nær til allra grunnskóla landsins.

Hvernig verður staðið að innleiðingu á landsvísu?

Þar sem innleiðing í tilraunaskólunum fimm er nánast lokið, ef undanskilin er fullvinnsla nokkurra skjala, tekur við innleiðing í aðra grunnskóla á landinu. Sú vinna verður unnin undir stjórn Marinós G. Njálssonar.

  1. Skólum verður skipt upp í vinnulotur í samstarfi við SÍ og svæðisfélög þess.
  2. Haldinn er kynningarfundur með þessum skólum og Marinó þar sem farið er yfir skjöl í málinu. Einkum sjálfsmat við áhættumat. Mjög ákjósanlegt er að einhver sem þekkir til Mentor og vinnu grunnskóla sitji fundinn með skjólastjórnendum.
  3. Hver og einn grunnskóli undirritar  öryggisstefnu en fyrirmynd  er tilbúin sem svarar spurningum um sjálfsmat vegna  áhættumats.
  4. Marinó fer yfir svör hvers skóla og verður í samskiptum eftir því sem þörf er á og lýkur gerð áhættumatsskýrslu fyrir hvern og einn skóla.
  5. Öryggishandbók/reglubók afhent skóla og  ásamt nothæfisyfirlýsingu og verklagsreglum.
  6. Hver og einn skóli gerir áætlun um og innleiðir reglubók ásamt nothæfislýsingu  og tryggir fræðslu til starfsfólks, nemenda og foreldra.

Persónuverndarfulltrúi/tilsjónarmaður persónverndar

Gert er ráð fyrir, að með gildistöku nýrrar persónuverndarlöggjafar verði sveitarfélögum gert skylt að skipa persónuverndarfulltrúa eða tilsjónarmann persónuverndar. Við þennan aðila ber grunnskólum sveitarfélags að hafa skipaðan tengilið.

Hvað gerist að innleiðingu lokinni?

Þegar innleiðingu Mentor-málsins er lokið tekur við vinna hjá skólastjórnendum við að kynna nýjar reglur - öryggishandbók, verklagsreglur o.fl.  ásamt persónuverndarsjónarmiðum innan sinna grunnskóla. Í nýjum lögum um persónuvernd verður jafnframt gert ráð fyrir ríkri ábyrgð á fræðslu til starfsmanna um reglurnar. Veruleg skilvirkni er fólgin í því að grunnskólar vinni saman að upplýsingaöryggismálum og stuðli með því móti að eins hagfelldri framkvæmd og unnt er.