MENY

Personvernerklæring for digitalt Spekter

Det stilles strenge krav for personvern når det gjelder innsamling av personopplysninger. Her kan du lese om hvordan dette håndteres i den digitale utgaven av Spekter.

Denne personvernerklæringen beskriver hvordan Nasjonalt senter for læringsmiljø og atferdsforskning (Læringsmiljøsenteret) ved Universitetet i Stavanger (UiS) håndterer elevenes og lærernes personopplysninger som blir lagret i digitalt Spekter. Formålet med erklæringen er å informere om Læringsmiljøsenterets behandling av personopplysninger. Herunder innsamling, registrering, sammenstilling, lagring, utlevering av personopplysninger og brukernes rettigheter.

Denne erklæringen oppdateres fortløpende.

 

Innhold

Sentrale begreper og uttrykk

Hva regnes som personopplysninger og hva er sensitive personopplysninger?

Behandlingsansvar

Formålet med behandling av personopplysninger i digitalt Spekter

Hvilke personopplysninger blir behandlet/skal behandles i digitalt Spekter?

Informasjon om hvor personopplysningene i digitalt Spekter blir hentet fra

Informasjon om personopplysningene i digitalt Spekter vil bli utlevert til andre parter/virksomheter eller til et annet land utenfor EU/EØS

Hvor lenge lagres personopplysningene i digitalt Spekter?

Sikkerhet

Den registrertes rettigheter

Informasjonskapsler

Kontaktinformasjon

 

Sentrale begreper og uttrykk

Nedenfor følger definisjoner av begreper og uttrykk som brukes i personvernerklæringen. Det er nyttig å kjenne til disse begrepene og uttrykkene for å bedre kunne forstå innholdet i erklæringen.

«GDPR» (General Data Protection Regulation), er en ny europeisk forordning som skal styrke personvernet ved behandling av personopplysninger i hele EU og EØS. Forordningen trådde i kraft 1. juli 2018. Forordningen vil gjelde for alle virksomheter som lagrer personopplysninger elektronisk om andre mennesker.

«Den registrerte» er personen eller personene som opplysningene handler om. Dette er elever og ansatte på skolen som er registrert i digitalt Spekter.

«Behandling av personopplysninger» er behandling av all bruk av personopplysninger. Dette kan omfatte en rekke bruksformer, for eksempel innsamling, strukturering, analyse, lagring, endring, utlevering og/eller sletting.

«Skoleeier» er kommunen/fylkeskommunen eller styret for friskolen.

«Behandlingsansvarlig» er virksomheten som bestemmer formålet med behandlingen av personopplysninger og hvilke tekniske hjelpemidler som skal brukes i behandlingen av dem. I digitalt Speker er kommunen/fylkeskommunen/styret for friskolen behandlingsansvarlig.

«Databehandler» er virksomheten som behandler personopplysninger på vegne av en annen virksomhet, behandlingsansvarlig. Læringsmiljøsenteret ved Universitetet i Stavanger er skoleeiers databehandler og databehandlers plikter følges av en databehandleravtale mellom den behandlingsansvarlige og databehandleren.

«FEIDE» (Felles Elektronisk Identitet) er kunnskapsdepartementets valgte løsning for sikker identifisering i utdanningssektoren. For å logge på Spekter må både elever og lærere ha en FEIDE-identitet.

 

Hva regnes som personopplysninger og hva er sensitive personopplysninger?

Personopplysninger er enhver opplysning om en identifisert eller identifiserbar fysisk person (den registrerte). Personopplysninger er alle former for data, informasjon, opplysninger og vurderinger som kan knyttes til deg som enkeltperson. For eksempel navn, adresse, telefonnummer, e-postadresse, IP-adresse, bilder, fingeravtrykk og fødselsnummer. Opplysninger om atferdsmønstre er også regnet som personopplysninger. Opplysninger om hva den registrerte handler, hvilke butikker den registrerte går i og hva vedkommende søker på nettet er alt sammen personopplysninger.

Sensitive opplysninger er opplysninger om rasemessig eller etnisk bakgrunn, eller politisk, filosofisk eller religiøs oppfatning. For eksempel helseforhold, straffbare handlinger eller seksuelle forhold.

 

Behandlingsansvar

Når en kommune, fylkeskommune eller skole kjøper tilgang til Spekter, som innhenter personopplysninger fra FEIDE, er det skoleeier som er behandlingsansvarlig og har ansvaret for behandling av personopplysninger.

Læringsmiljøsenteret ved UiS er databehandler og formålet vårt for behandling av personopplysninger på vegne av behandlingsansvarlig, er kun å levere og administrere Spekter.

En egen databehandleravtale mellom Læringsmiljøsenteret og skoleeier regulerer hvilke rettigheter og plikter partene har i forbindelse med behandling av personopplysninger og om fri utveksling av slike opplysninger, samt om oppheving. Avtalen skal sikre at personopplysninger ikke brukes ulovlig, urettmessig, eller at opplysningene behandles på måter som fører til uautorisert tilgang, endring, sletting, skade, tap eller utilgjengelighet.

Bouvet ASA er underleverandør, og sørger for den tekniske driften og forbedringer av digitalt Spekter. Det foreligger også en egen databehandleravtale mellom Læringsmiljøsenteret og Bouvet ASA. Olavstoppen AS har utviklet Spekter og er et datterselskap av Bouvet ASA. For tjenester som krever tyngre systemutvikling og integrasjonstjenester samarbeider Bouvet ASA og Olavstoppen AS sammen. Selskapene samarbeider tett for å sikre at digitalt Spekter opprettholder optimal drift og utvikling. Det foreligger en databehandleravtale mellom Bouvet ASA og Olavstoppen AS.

 

Formålet med behandling av personopplysninger i digitalt Spekter

Det er ifølge opplæringsloven kapittel 9A en del av skolens mandat og plikt å innhente viktig informasjon om elevens læringsmiljø. Formålet med Spekter er å trygge den enkelte elev sin skolehverdag, Spekter kan brukes som et pedagogisk kartleggingsverktøy for lærere til å avdekke om elever har et trygt og godt skolemiljø.

For eksempel er behandling av personopplysninger i Spekter nødvendig for:

  • at løsningen skal fungere på en sikker måte (autentisering gjennom FEIDE)
  • å gi elevene en persontilpasset opplevelse når de gjennomfører den ikke-anonyme undersøkelsen, Spekter
  • å identifisere elevene ved f.eks. utforming av sosiogram og tabellvisning
  • å forebygge, avdekke og løse mobbesaker

 

Hvilke personopplysninger blir behandlet/skal behandles i digitalt Spekter?

Når digitalt Spekter gjennomføres på en skole som abonnerer på tjenesten, hentes det inn noen personopplysninger fra FEIDE. Typer personopplysninger som Læringsmiljøsenteret forvalter fra FEIDE på vegne av behandlingsansvarlig i forbindelse med levering og administrasjon av digitalt Spekter:

  • Fullt navn (cn)
  • Navn som normalt vises (displayName)
  • Tilhørighet (eduPersonAffiliation)
  • Entydig navn (DN) for brukerens vertsorganisasjon (eduPersonOrgDN)
  • Entydig navn (DN) for brukerens organisasjonsenhet (eduPersonOrgUnitDN)
  • Primær tilknytning til organisasjon (eduPersonPrimaryAffiliation)
  • Personlig ID hos organisasjonen (eduPersonPrincipalName)
  • Liste med skoler (feideSchoolList)
  • Fødselsår (feideYearOfBirth)
  • Fornavn (givenName)
  • Folkeregistrert navn (norEduPersonLegalName)
  • Unik ID for organisasjon (schacHomeOrganization)
  • Etternavn (sn)
  • Bruker-ID (uid)
  • Språk (preferredLanguage)

Attributtene fra FEIDE er nødvendige for å sikre at en bruker er unik, identifisere rolle og lignende på brukerne, og muligheten for å vise frem en bruker visuelt.

Læringsmiljøsenteret forvalter den registrerte sin besvarelse i digitalt Spekter. Den registrertes besvarelser genererer sosiogram og tabellvisning. I den tekniske løsningen blir den registrerte spurt «Er det noe annet du ønsker å fortelle om som gjelder hvordan dere har det i klassen?». Under dette spørsmålet kan den registrerte skrive fritt hva de vil. Siden vi ikke vet hvilken informasjon elevene skriver her, må vi ta høyde for at det i den tekniske løsningen kan bli lagret tekst som omhandler sensitive personopplysninger. Spørsmålet oppfordrer ikke til å utlevere eller gi opplysninger av sensitiv karakter.

Oversikt over typer personopplysninger som blir lagret om historikk og bruk av tjenesten:

  • Bruker (innloggingsinformasjon)
  • IP-adresse
  • Tidspunkt (opprettelse av undersøkelse, start på undersøkelse o.l.)

Personopplysninger gjelder følgende registrerte:

  • Lærere (Kun lærere som logger seg på Spekter)
  • Elever (Kun elever som lærer legger inn i Spekter. Elev må logge seg på Spekter for at personopplysninger skal hentes fra Feide)

 

Informasjon om hvor personopplysningene i digitalt Spekter blir hentet fra

Spekter benytter seg av FEIDE-pålogging. FEIDE sikrer at det kun er et minimum av nødvendige personopplysninger som blir oversendt til Spekter, i henhold til hva Spekter trenger for å fungere (se ovenfor). De nødvendige persondataene blir kun oversendt Spekter hvis den registrerte ved oppstart av Spekter aktivt godtar at Spekter kan få dataene. Dersom den registrerte ikke samtykker i overføring av de gitte persondataene blir vedkommende heller ikke logget inn. Samtykket blir husket til neste gang den registrerte logger seg på Spekter. Personopplysningene som blir lagret i Spekter (elevbesvarelsen) blir ikke lagret hos Feide. Den registrerte har kun gitt samtykke til overføring av personopplysningene som er listet opp ovenfor.

Det er kun ansatte ved skolen som oppretter undersøkelsen i Spekter, som har mulighet til å legge inn personrelatert data på elevene. Det er kun mulig å legge inn elevens navn, kjønn, fødselsår og FEIDE-brukernavn i løsningen. Når eleven logger seg på Spekter med sitt FEIDE-brukernavn og passord, vil Spekter hente inn personopplysninger fra FEIDE.

Den som oppretter undersøkelsen, kan gi tilgang til andre ansatte ved skolen som er brukere av Spekter. Dette skal kun gjøres når det har en hensikt for å oppfylle det som er formålet med undersøkelsen, som f.eks. gi en annen kontaktlærer i klassen tilgang.  Den ansatte kan når som helst trekke tilbake tilgangen. Dersom en lærer slutter, vil vedkommende ikke lenger ha tilgang til Spekter.

 

Informasjon om personopplysningene i digitalt Spekter vil bli utlevert til andre parter/virksomheter eller til et annet land utenfor EU/EØS

Det skal i utgangspunktet ikke utleveres personopplysninger til tredjeparter. I lovbestemte tilfeller, eksempelvis ved pålegg fra domstolene, politiet eller andre offentlige myndigheter kan Læringsmiljøsenteret utlevere personopplysninger i henhold til strenge forhåndsdefinerte prosesser.

Læringsmiljøsenteret vil kunne oppgi personopplysninger til «Databehandlere» som arbeider som underleverandør og behandler den registrertes opplysninger på senterets vegne. Ved supporthenvendelser vil det kunne oppgis personopplysninger som FEIDE-brukernavn, navn og e-post for å behandle eventuelle feilmeldinger som rapporteres inn. Personopplysninger utover dette vil ikke utleveres. Læringsmiljøsenterets underleverandør kan ikke bruke personopplysningene for noe annet formål enn å yte tjenesten som er avtalt. Det er tatt forhåndsregler for å forsikre at underleverandør opptrer i samsvar med avtalen.

Læringsmiljøsenteret leverer ikke personopplysningene i Spekter til andre parter/virksomheter eller til andre land utenfor EU/EØS.

 

Hvor lenge lagres personopplysningene i digitalt Spekter?

I utgangspunktet lagres alle personopplysninger i Spekter så lenge skoleeier abonnerer på Spekter, men behandlingsansvarlig skal ikke lagre personopplysninger lenger enn det som er nødvendig for å gjennomføre formålet med behandlingen. Formålet med Spekter er å trygge den enkelte elevs skolehverdag. Når elevforholdet opphører skal persondata gitt i Spekter slettes. Ansvaret for å slette undersøkelser ligger hos behandlingsansvarlig, men for å hjelpe prosessen har den tekniske løsningen en funksjon i form av en «slettedato» på alle undersøkelser som sletter undersøkelser etter en gitt periode satt av skolen slik at personopplysninger ikke lagres lenger enn det som er nødvendig. Behandlingsansvarlig vil da få et bevisst forhold til hvor lenge de skal ha opplysningene lagret, siden løsningen ikke tillater opprettelse av undersøkelser uten å ha fylt inn slettedato.
 

Sikkerhet

Læringsmiljøsenteret benytter to servere som er lokalisert ved IT-avdelingen ved Universitet i Stavanger som fysisk lagrer dataene (personopplysninger). IT-avdelingen er sertifisert i henhold til ISO 27001 og ISO 9001. IT-avdelingen gjennomfører årlig revisjon i henhold til ISO 27001.

Læringsmiljøsenteret ved UiS gjennomfører regelmessig risiko- og sårbarhetsanalyse for å sikre personopplysninger som blir lagret i Spekter sammen med underleverandør og IT-avdelingen.


Den registrertes rettigheter

Rett til informasjon og innsyn

Den registrerte har krav på å få informasjon om hvordan Spekter behandler personopplysninger. Denne personvernerklæringen inneholder informasjonen om den registrertes rettigheter.

Rett til retting

Den registrerte har rett til å få uriktige personopplysninger om seg rettet. Den registrerte har også rett til å få ufullstendige personopplysninger om seg supplert. Dersom den registrerte mener Læringsmiljøsenteret har registrert feil eller mangelfulle personopplysninger, bes vedkommende kontakte behandlingsansvarlig. Det er viktig at den registrerte begrunner og eventuelt dokumenterer hvorfor personopplysningene er feil eller mangelfulle.

Rett til å begrense behandlingen

I enkelte tilfeller kan den registrerte ha rett til å kreve at behandlingen av personopplysninger blir begrenset. Begrensning av personopplysninger vil si at personopplysningene fortsatt blir lagret, men at mulighetene for videre behandling begrenses.

Dersom den registrerte mener at personopplysningene er feil eller mangelfulle, eller har fremmet en innsigelse mot behandlingen (se mer om dette under), har vedkommende rett til å kreve at behandlingen av personopplysningene midlertidig blir begrenset. Det vil si at behandlingen blir begrenset inntil behandlingsansvarlig eventuelt har rettet personopplysningene, eller har fått vurdert om innsigelsen er berettiget.

I andre tilfeller kan den registrerte også kreve en mer permanent begrensning av sine personopplysninger. For å ha rett til å kreve begrensning av personopplysninger, må vilkårene i personopplysningsloven og GDPR artikkel 18 være oppfylte. Dersom behandlingsansvarlig mottar en henvendelse om begrensning av personopplysninger, vil Læringsmiljøsenteret i dialog med behandlingsansvarlig vurdere om lovens vilkår er oppfylt.

Rett til sletting

I noen tilfeller har den registrerte rett til å kreve personopplysninger slettet. Retten til sletting er ikke en ubetinget rett, og hvorvidt den registrerte har rett til sletting må vurderes i lys av gjeldende lover om personvern, det vil si personopplysningsloven og GDPR. Dersom den registrerte ønsker å få slettet sine personopplysninger, bes vedkommende ta kontakt med behandlingsansvarlig. Det er viktig at den registrerte begrunner hvorfor den registrerte ønsker personopplysningene slettet, og om mulig skal den registrerte også opplyse om hvilke personopplysninger som skal slettes. Behandlingsansvarlig vil i dialog med Læringsmiljøsenteret vurdere om vilkårene for å kreve sletting i loven er oppfylt.

Rett til å protestere

Den registrerte kan ha rett til å fremme en innsigelse mot behandlingen, det vil si protestere mot behandlingen, dersom vedkommende har et særskilt behov for å få stanset behandlingen. F.eks. hvis den registrerte har et beskyttelsesbehov eller lignende. Innsigelsesretten er ikke en ubetinget rett, og den avhenger av hva som er det rettslige grunnlaget for behandlingen, og om den registrerte har et særskilt behov. Vilkårene går frem av GDPR artikkel 21. Hvis den registrerte fremmer en innsigelse mot behandlingen, vil behandlingsansvarlig og Læringsmiljøsenteret sammen vurdere om vilkårene for å fremme en innsigelse er oppfylt. Dersom behandlingsansvarlig og Læringsmiljøsenteret kommer fram til at den registrerte har rett til å protestere mot behandlingen, og at innsigelsen er berettiget, vil behandlingen stanses og vedkommende vil også kunne kreve sletting av opplysningene.

Rett til å klage over behandlingen

Dersom den registrerte mener behandlingsansvarlig ikke har behandlet personopplysningene på en korrekt og lovlig måte, eller mener at behandlingsansvarlig ikke har klart å oppfylle den registrertes rettigheter, har vedkommende mulighet til å klage over behandlingen.

Dersom Læringsmiljøsenteret og behandlingsansvarlig ikke tar klagen til følge, har den registrerte mulighet til å fremme klagen for Datatilsynet. Datatilsynet er ansvarlig for å kontrollere at norske virksomheter overholder bestemmelsene i personopplysningsloven og personvernforordningen ved behandling av personopplysninger.

 

Informasjonskapsler

Læringsmiljøsenteret benytter informasjonskapsler til å lagre innloggingsdetaljer og bedre brukeropplevelsen. Det lagres aldri informasjon som kan identifisere den registrerte personlig.

 

Kontaktinformasjon

Dersom den registrerte ønsker å benytte seg av sine rettigheter som er omtalt i punkt 12 ovenfor, kan vedkommende ta kontakt med behandlingsansvarlig for personopplysninger i Spekter, jf. GDPR art. 4 nr. 7.

Dersom den registrerte har spørsmål om denne personvernerklæringen, kan vedkommende ta kontakt på spekter@uis.no. Læringsmiljøsenteret vil behandle henvendelsen uten ugrunnet opphold, og senest innen 30 dager.

For å komme i kontakt med personvernombudet vårt kan den registrerte sende e-post til personvernombud@uis.no.

 

Personvernerklæringen ble sist oppdatert 8. mars 2019.