Sjekkliste for behandling av personopplysninger i skole og barnehage

Datatilsynet har utarbeidet en sjekkliste skole- og barnehageeiere kan gå gjennom dersom de skal introdusere et nytt informasjonssystem. 

Gå gjennom punktene og huk av etterhvert:

 1. Vi har utarbeidet en oversikt over alle behandlinger som inneholder personopplysninger om barn i skole/barnehage. Det inkluderer alle digitale system med følgende informasjon:
  • Systemnavn
  • Formål
  • Behandlingsgrunnlag
  • Melding/konsesjon
  • Klassifikasjon
  • Sikringstiltak
  • Lagring og kommunikasjon
  • Opplysningenes omfang
  • Avdeling
  • System-/dataeier
 2. Vi har utarbeidet skriftlige rutiner for internkontroll som inkluderer:
  • Samtykke (når trenger vi å innhente samtykke)
  • Innsyn (når skal vi gi innsyn og til hvem)
  • Retting (hvor ofte og når skal vi kontrollere at personopplysningene er korrekt)
  • Sletting (hvor ofte og når skal vi slette personopplysninger)
  • Informasjon (hvor ofte/når/til hvem/om hva/hvordan, skal vi gi ut informasjon)
 3. Vi har etablert rutine for, og gjennomført risikovurdering. Vi har vurdert konsekvens og sannsynlighet for hendelsesbrudd på konfidensialitet, integritet og tilgjengelighet, for:
  • hele informasjonssystemet (PC, nettverk, servere)
  • årlig og ved endringer
  • hvert enkelt system som inneholder personopplysninger (for eksempel læringsplattform, kommunikasjonsplattform, skoleadministrativt system, digitale nettressurser)
  • ved innføring av nye system, årlig og ved endringer
 4. Vi har innført sikkerhetstiltak som kom frem under risikovurderingen. Sikkerhetstiltakene er:
  • tekniske tiltak (for eksempel sterk autentisering av læringsplattform)
  • organisatoriske tiltak (rutiner, opplæring og så videre)
  • fysiske tiltak
 5. Vi begrenser overvåking av våre elever og lærere, og gir ut informasjon om hva vi logger og når vi sletter loggene.
 6. Vi har rutine for sikkerhetsrevisjon og skal gjennomføre sikkerhetsrevisjon årlig for hvert enkelt system som inneholder personopplysninger.
 7. Vi har inngått databehandleravtale med alle leverandører av system som inneholder personopplysninger. Vi har også vurdert avtalene nøye og vet at avtalene som minimum inneholder informasjon om:
  • formål og type personopplysninger som blir lagret/overført
  • rett til tilgang til sikkerhetsdokumentasjon og sikkerhetsrevisjoner
  • hvem som har tilgang hos databehandler
  • tilfredsstillende sikkerhetstiltak etter personopplysningsloven med forskrift
  • avvikshåndtering
  • eventuelle underleverandører
  • lagringssted for personopplysningene
  • at personopplysningene er forsvarlig adskilt fra andre kunders personopplysninger
  • sletting av data (ved avtalens utløp, når brukere slutter eller er inaktive)
 8. Vi har gjennomført opplæring av alle ansatte i skolen/barnehagen i:
  • rutiner for internkontroll
  • informasjonssikkerhet

God informasjonssikkerhet - en veileder i internkontroll

Med god internkontroll og et bevisst forhold til å sikre opplysninger sørger virksomheten for at den behandler personopplysninger lovlig, sikkert og forsvarlig.

God informasjonssikkerhet - en veileder i internkontroll