MENY

Personvernerklæring for digitalt Spekter

Det stilles strenge krav for personvern når det gjelder innsamling av personopplysninger. Her kan du lese om hvordan dette håndteres i den digitale utgaven av Spekter.

Denne personvernerklæringen beskriver hvordan Nasjonalt senter for læringsmiljø og atferdsforskning (Læringsmiljøsenteret) ved Universitetet i Stavanger (UiS) håndterer elevene og lærernes personopplysninger som blir lagret i digitalt Spekter. Formålet med erklæringen er å informere deg om hvilke personopplysninger som behandles, hvordan de behandles, hvem som er ansvarlig for behandlingen, hvilke rettigheter du har og hvem du kan kontakte.

Innhold:

1. Sentrale begreper og uttrykk
2. Kort om digitalt Spekter
3. Hva regnes som personopplysninger og hva er sensitive personopplysninger?
4. Behandlingsansvar
5. Formålet med behandling av personopplysninger i digitalt Spekter
6. Rettslig grunnlag for behandling av personopplysninger i digitalt Spekter
7. Hvilke personopplysninger blir behandlet/skal behandles i digitalt Spekter?
8. Informasjon om hvor personopplysningene i digitalt Spekter blir hentet fra
9. Informasjon om personopplysningene i digitalt Spekter vil bli utlevert til andre parter/virksomheter, eller til et annet land utenfor EU/EØS
10. Hvor lenge lagres personopplysningene i digitalt Spekter?
11. Sikkerhet
12. Dine rettigheter
13. Informasjonskapsler
14. Kontaktinformasjon

1. Sentrale begreper og uttrykk

Nedenfor følger definisjoner av begreper og uttrykk som brukes i personvernerklæringen. Det kan være nyttig å kjenne til disse begrepene og uttrykkene, blant annet for å bedre kunne forstå innholdet i erklæringen.

  • GDPR (General Data Protection Regulation), er en ny europeisk forordning som skal styrke og harmonisere personvernet ved behandling av personopplysninger i hele EU og EØS. Forordningen skal tre i kraft 01. juli 2018. Forordningen vil gjelde for alle virksomheter som lagrer personopplysninger elektronisk om andre mennesker.
  • Den registrerte er vedkommende person eller personer som opplysningene handler om. Dette kan for eksempel være lærere og elever i digitalt Spekter.
  • Behandling av personopplysninger er behandling av all bruk av personopplysninger. Dette kan omfatte en rekke bruksformer, for eksempel innsamling, strukturering, analyse, lagring, endring, utlevering eller sletting.
  • Behandlingsansvarlig er en virksomhet som bestemmer formålet med behandlingen av personopplysninger og hvilke tekniske hjelpemidler som skal brukes i behandlingen av dem. I digitalt Speker er kommunen/fylkeskommunen behandlingsansvarlig.
  • Databehandler er en virksomhet som behandler personopplysninger på vegne av en annen virksomhet, behandlingsansvarlig. Læringsmiljøsenteret ved Universitetet i Stavanger er skoleeiers (kommunenes/fylkeskommunenes) databehandler, og databehandlers plikter følges av en databehandleravtale mellom den behandlingsansvarlige og databehandleren.
  • Lovlig grunn (behandlingsgrunnlag) er ulike mekanismer i GDPR som gjør det lovlig for behandlingsansvarlig å behandle personopplysninger om de registrerte. Det må derfor finnes én eller flere lovlige grunner for all behandling av personopplysninger i digitalt Spekter.
  • FEIDE (Felles Elektronisk Identitet) er kunnskapsdepartementets valgte løsning for sikker identifisering i utdanningssektoren. For å logge på Spekter må både elever og lærere ha en FEIDE-identitet.

2. Kort om digitalt Spekter

Spekter er et ikke-anonymt digitalt pedagogisk verktøy for lærere, som brukes til å avdekke mobbing og kartlegge læringsmiljøet i en skoleklasse. Spekter er utviklet av Læringsmiljøsenteret ved UiS, med spørsmål utarbeidet av professor Erling Roland. Undersøkelsen er tiltenkt elever fra 3.-/4. klasse på barneskolen og opp til og med videregående skole.

Ved å ta i bruk Spekter kan skolen få opplysninger om mobbing, bråk i klassen, popularitet, maktrelasjoner, grupperinger og holdninger. Dette kan være viktig informasjon når man skal forstå en sak og gjennomføre tiltak, og sikre elevene et trygt og godt skolemiljø.

Spekter kan ses på som en ikke-anonym elevsamtale og kan brukes som en rutine på skolen for å følge med på læringsmiljøet, samt for å undersøke nærmere ved mistanke eller varsling om f.eks. mobbing.

3. Hva regnes som personopplysninger og hva er sensitive personopplysninger?

Personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. For eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilder, fingeravtrykk og fødselsnummer.

Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva du handler, hvilke butikker du går i og hva du søker på nettet er alt sammen personopplysninger.

Sensitive opplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning. For eksempel helseforhold, straffbare handlinger eller seksuelle forhold.

4. Behandlingsansvar

Når en kommune, fylkeskommune eller skole kjøper tilgang til Spekter, som innhenter personopplysninger fra FEIDE, er det skoleeier (kommune/fylkeskommune) som er behandlingsansvarlig og har ansvaret for behandling av personopplysninger.

Læringsmiljøsenteret ved UiS er databehandler for kommunene/fylkeskommunene og formålet vårt for behandling av personopplysninger på vegne av behandlingsansvarlig, er kun å levere og administrere Spekter.

En egen databehandleravtale mellom Læringsmiljøsenteret og skoleeier regulerer hvilke rettigheter og plikter partene har i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving. Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig, eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Bouvet ASA er underleverandør, og sørger for den tekniske driften og forbedringer av digitalt Spekter. Det foreligger også en egen databehandleravtale mellom Læringsmiljøsenteret og Bouvet ASA. Olavstoppen AS har utviklet Spekter og er et datterselskap av Bouvet ASA. For tjenester som krever tyngre systemutvikling og integrasjonstjenester samarbeider Bouvet ASA og Olavstoppen AS sammen. Selskapene samarbeider tett sammen for å sikre at digitalt Spekter opprettholder optimal drift og utvikling. Det foreligger en databehandleravtale mellom Bouvet ASA og Olavstoppen AS som er kvalitetssikret av Læringsmiljøsenteret. 

5. Formålet med behandling av personopplysninger i digitalt Spekter

Det er ifølge opplæringsloven kapittel 9A en del av skolens mandat og plikt å innhente viktig informasjon om elevens læringsmiljø. Formålet med Spekter er å trygge den enkelte elev sin skolehverdag, Spekter kan brukes som et pedagogisk kartleggingsverktøy for lærere til å avdekke om elever har et trygt og godt skolemiljø.

For eksempel er behandling av personopplysninger i Spekter nødvendig for:

  • at løsningen skal fungere på en sikker måte (autentisering gjennom FEIDE)
  • å gi elevene persontilpasset opplevelse når de gjennomfører den ikke anonyme undersøkelsen, Spekter
  • å identifisere elevene ved f.eks. utforming av sosiogram og tabellvisning
  • å forebygge, avdekke og løse mobbesaker

6. Rettslig grunnlag for behandling av personopplysninger i digitalt Spekter

Det står ikke i opplæringsloven at skolene/skoleeier skal bruke et kartleggingsverktøy som Spekter for å avdekke mobbing og kartlegge læringsmiljøet i en skoleklasse, men loven inneholder ulike plikter som skolene kan ivareta ved å ta i bruk digitalt Spekter.

Skoleeier må ha et behandlingsgrunnlag for å behandle personopplysningene i forbindelse med digitalt Spekter. Læringsmiljøsenterets begrunnelser er at behandlingen kan hjemles i opplæringsloven kapittel 9 A. § 9 A-1 til A-5 og GDPR art. 6 nr. 1 bokstav c og d. Begrunnelsene kan utdypes slik:

  • I opplæringsloven § 9 A-3 står det: «Skolen skal arbeide kontinuerleg og systematisk for å fremje helsa, miljøet og tryggleiken til elevane, slik at krava i eller i medhald av kapitlet blir oppfylte. Rektor har ansvaret for at dette blir gjort.» Digitalt Spekter er et pedagogisk verktøy som kan brukes i skolen for å jobbe systematisk med å fremme helsen, miljøet og tryggheten til elevene. I § 9 A-4 står det: «Ved mistanke om eller kjennskap til at ein elev ikkje har eit trygt og godt skolemiljø, skal skolen snarast undersøkje saka.» Digitalt Spekter er et svært hensiktsmessig verktøy som kan brukes også i disse tilfellene.
  • I GDPR art. 6 nr. 1 bokstav c står det: «behandlingen er nødvendig for å oppfylle en rettslig forpliktelse som påhviler den behandlingsansvarlige.» Vi mener skolens rettslige forpliktelser i opplæringsloven kapittel 9 A, § 9 A-1 til A-5, vil være gjeldene her.
  • I GDPR art. 6 nr. 1 bokstav d står det: «behandlingen er nødvendig for å verne den registrertes eller en annen fysisk persons vitale interesser.» Dette behandlingsgrunnlaget er svært snevert. Vi vet fra forskning at mobbing i skolen kan påføre barn alvorlige og livsvarige traumer, eller andre helsemessige konsekvenser. Digitalt Spekter er et kartleggingsverktøy som både bidrar til forebygging av gode læringsmiljø i tillegg til å avdekke og løse mobbesaker. Vi mener derfor at bruk av digitalt Spekter er et effektivt verktøy for å verne om elevenes vitale interesser og gi dem et trygt og godt skolemiljø.

7. Hvilke personopplysninger blir behandlet/skal behandles i digitalt Spekter?

Når digitalt Spekter gjennomføres på en skole som abonnerer på tjenesten, hentes det inn noen personopplysninger fra FEIDE. Typer personopplysninger som Læringsmiljøsenteret forvalter fra FEIDE på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av digitalt Spekter:

  • Personens navn (cn)
  • Visningsnavn (displayName)
  • Roller (eduPersonAffiliation)
  • Organisasjonens foretaksnavn (eduPersonOrgDN:eduOrgLegalName)
  • Organisasjonens e-post (eduPersonOrgDN:mail)
  • Organisasjonsnummer (eduPersonOrgDN:norEduOrgNIN)
  • Navn på organisasjon (eduPersonOrgDN:o)
  • Organisasjonsenhetens unike identifikasjonsnummer (eduPersonOrgUnitDN:norEduOrgUnitUniqueIdentifier)
  • Personens rolle, elev/lærer (eduPersonPrimaryAffiliation)
  • Personens Feide-ID (eduPersonPrincipalName)
  • Skoletilhørighet (feideSchoolList)
  • Fødselsdato (feideYearOfBirth)
  • Fornavn (givenName)
  • E-post (mail)
  • Personens formelle navn (norEduPersonLegalName)
  • Etternavn (sn)
  • Brukernavn (uid)
  • Språk (preferredLanguage)

Attributtene fra FEIDE er nødvendige for å sikre at en bruker er unik, identifisere rolle, skoletilhørighet og lignende på brukeren. Attributtene gir også mulighet for å vise frem en bruker visuelt.

Spekter er et ikke-anonymt digitalt verktøy for lærere, som brukes til å avdekke mobbing og kartlegge læringsmiljøet i en skoleklasse. Læringsmiljøsenteret forvalter derfor den registrerte, eleven, sin besvarelse i digitalt Spekter. Elevenes besvarelser genererer sosiogram og tabellvisning.

Oversikt over typer personopplysninger som blir lagret om historikk og bruk av tjenesten:

  • Bruker (innloggingsinformasjon)
  • IP-adresse
  • Tidspunkt (opprettelse av undersøkelse, start på undersøkelse o.l.)

Personopplysninger gjelder følgende registrerte:

  • Lærere (Kun lærere som logger seg på Spekter)
  • Elever (Kun elever som lærer legger inn i Spekter. Elev må logge seg på Spekter for at personopplysninger skal hentes fra Feide)

8. Informasjon om hvor personopplysningene i digitalt Spekter blir hentet fra

Spekter benytter seg av FEIDE-pålogging. FEIDE sikrer at det kun er et minimum av nødvendige personopplysninger som blir oversendt til Spekter, i henhold til hva Spekter trenger for å fungere (se ovenfor). De nødvendige persondataene blir kun oversendt Spekter hvis den registrerte ved oppstart av Spekter aktivt godtar at Spekter kan få dataene. Dersom den registrerte ikke samtykker i overføring av de gitte persondataene blir vedkommende heller ikke logget inn. Samtykket blir husket til neste gang den registrerte logger seg på Spekter. Personopplysningene som blir lagret i Spekter (elevbesvarelsen) blir ikke lagret hos Feide. Den registrerte har kun gitt samtykke til overføring av personopplysningene som er listet opp ovenfor.

Det er kun ansatte ved skolen som oppretter undersøkelsen i Spekter, som har mulighet til å legge inn personrelatert data på elevene. Det er kun mulig å legge inn elevens navn, kjønn, fødselsår og FEIDE-brukernavn i løsningen. Når eleven logger seg på Spekter med sitt FEIDE-brukernavn og passord, vil Spekter hente inn personopplysninger fra FEIDE.

Den som oppretter undersøkelsen, kan gi tilgang til andre ansatte ved skolen som er brukere av Spekter. Dette skal kun gjøres når det har en hensikt for å oppfylle det som er formålet med undersøkelsen, som f.eks. gi en annen kontaktlærer i klassen tilgang.  Den ansatte kan når som helst trekke tilbake tilgangen. Dersom en lærer slutter, vil vedkommende ikke ha tilgang til Spekter.

9. Informasjon om personopplysningene i digitalt Spekter vil bli utlevert til andre parter/virksomheter eller til et annet land utenfor EU/EØS

Det skal i utgangspunktet ikke utleveres personopplysninger til tredjeparter. I lovbestemte tilfeller, eksempelvis ved pålegg fra domstolene, politiet eller andre offentlige myndigheter kan vi utlevere personopplysninger i henhold til strenge forhåndsdefinerte prosesser.

Vi vil kunne oppgi personopplysninger til «Databehandlere» som arbeider som underleverandør for oss og behandler dine opplysninger på våre vegne. Ved supporthenvendelser vil det kunne oppgis personopplysninger som FEIDE-brukernavn, navn og e-post for å behandle eventuelle feilmeldinger som rapporteres inn. Personopplysninger utover dette vil ikke utleveres. Vår underleverandør kan ikke bruke personopplysningene for noe annet formål enn å yte tjenesten som er avtalt med oss. Vi tar forhåndsregler for å forsikre oss om at vår underleverandør opptrer i samsvar med avtalen.

Vi leverer ikke personopplysningene i Spekter til andre parter/virksomheter eller til andre land utenfor EU/EØS.

10. Hvor lenge lagres personopplysningene i digitalt Spekter?

I utgangspunktet lagres alle personopplysninger i Spekter så lenge skoleeier abonnerer på Spekter. Men den behandlingsansvarlige skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Formålet med Spekter er å trygge den enkelte elevs skolehverdag. Når elevforholdet opphører skal persondata gitt i Spekter slettes. Ansvaret for å slette undersøkelser ligger hos behandlingsansvarlig, men for å hjelpe prosessen vil den tekniske løsningen få en funksjon i form av en «slettedato» på alle undersøkelser som sletter undersøkelser etter en gitt periode slik at personopplysninger ikke lagres lenger enn det som er nødvendig. Behandlingsansvarlig vil da få et bevisst forhold til hvor lenge de skal ha opplysningene lagret, siden løsningen ikke tillater opprettelse av undersøkelser uten å ha fylt inn slettedato. 

11. Sikkerhet

Læringsmiljøsenteret benytter to servere som er lokalisert ved IT-avdelingen ved Universitet i Stavanger som fysisk lagrer dataene (personopplysninger). IT-avdelingen er sertifisert i henhold til ISO 27001 og ISO 9001. IT-avdelingen gjennomfører årlig revisjon i henhold til ISO 27001.

Læringsmiljøsenteret ved UiS gjennomfører regelmessig risiko- og sårbarhetsanalyse for å sikre personopplysninger som blir lagret i Spekter sammen med underleverandør og IT-avdelingen.

12. Dine rettigheter

Rett til informasjon og innsyn
Du har krav på å få informasjon om hvordan Spekter behandler dine personopplysninger. Denne personvernerklæringen er ment å inneholde den informasjonen du har rett til å få.

Rett til retting
Du har rett til å få uriktige personopplysninger om deg rettet. Du har også rett til å få ufullstendige personopplysninger om deg supplert. Dersom du mener vi har registrert feil eller mangelfulle personopplysninger om deg, ber vi deg kontakte behandlingsansvarlig. Det er viktig at du begrunner og eventuelt dokumenterer hvorfor du mener personopplysningene er feil eller mangelfulle.

Rett til å begrense behandlingen
I enkelte tilfeller kan du ha rett til å kreve behandlingen av dine personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling blir begrensede.

Dersom du mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se mer om dette under), har du rett til å kreve at behandlingen av dine personopplysninger midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil behandlingsansvarlig eventuelt har rettet dine personopplysninger, eller har fått vurdert om innsigelsen din er berettiget.

I andre tilfeller kan du også kreve en mer permanent begrensning av dine personopplysninger. For å ha rett til å kreve begrensning av dine personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylte. Dersom behandlingsansvarlig mottar en henvendelse fra deg om begrensning av personopplysninger, vil vi i dialog med behandlingsansvarlig vurdere om lovens vilkår er oppfylte.

Rett til sletting
I noen tilfeller har du rett til å kreve at vi sletter personopplysninger om deg. Retten til sletting er ikke en ubetinget rett, og hvorvidt du har rett til sletting må vurderes i lys av gjeldende lover om personvern, det vil si personopplysningsloven og GDPR. Dersom du ønsker å få slettet dine personopplysninger, ber vi deg om å ta kontakt med behandlingsansvarlig. Det er viktig at du begrunner hvorfor du ønsker at personopplysningene blir slettet, og om mulig også opplyser hvilke personopplysninger du ønsker å få slettet. Behandlingsansvarlig vil i dialog med Læringsmiljøsenteret vurdere om vilkårene for å kreve sletting i loven er oppfylt.

Rett til å protestere
Du kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom du har et særskilt behov for å få stanset behandlingen. F.eks. hvis du har et beskyttelsesbehov, eller lignende. Innsigelsesretten er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om du har et særskilt behov. Vilkårene går frem av GDPR artikkel 21. Hvis du fremmer en innsigelse mot behandlingen, vil behandlingsansvarlig vurdere sammen med oss om vilkårene for å fremme en innsigelse er oppfylt. Dersom vi kommer fram til at du har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil vi stanse behandlingen og du vil også kunne kreve sletting av opplysningene.

Rett til å klage over behandlingen
Dersom du mener behandlingsansvarlig ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller hvis du mener at behandlingsansvarlig ikke har klart å oppfylle dine rettigheter, har du mulighet til å klage over behandlingen.

Dersom vi ikke tar klagen din til følge, har du mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

13. Informasjonskapsler

Vi benytter informasjonskapsler til å lagre innloggingsdetaljer og bedre brukeropplevelsen. Vi lagrer aldri informasjon som kan identifisere deg personlig.

14. Kontaktinformasjon

Dersom du ønsker å benytte deg av dine rettigheter som er omtalt i punkt 12 ovenfor, kan du ta kontakt med skolen/skoleeier som er behandlingsansvarlig for personopplysninger i Spekter, jf. GDPR art. 4 nr. 7.

Dersom du har spørsmål om Spekter sin personvernerklæring, kan du ta kontakt på spekter@uis.no. Vi vil behandle din henvendelse uten ugrunnet opphold, og senest innen 30 dager.