Avtaler Utdanningsetaten har med Facebook

Innsynshenvendelsen var delvis vellykket.

P. Reinholdtsen

Kjære Oslo kommune, utdanningsetaten,

I medhold av offentlighetsloven ber jeg om innsyn i:

* Alle avtaler Utdanningsetaten har med Facebook, inkludert dem som er inngått elektronisk og dem som inneholder konfidensialitetsklausuler.

Innsynskrav skal behandles uten ugrunnet opphold og organet som mottar et innsynskrav skal «vurdere kravet konkret og sjølvstendig», jf. offl. § 29. Det er en maksimal frist på 3 virkedager for å saksbehandle innsynskrav, og svar skal følge formkravene i offentleglova og oppgi presis hjemmel for unntak og opplyse om klageadgang dersom dere ikke gir fullt innsyn, jf. § 31 første ledd. Manglende svar etter femdagersfristen vil bli påklaget til overordnet organ, jf. § 32 andre ledd.

Med vennlig hilsen,

P. Reinholdtsen

postmottak@ude.oslo.kommune.no, Oslo kommune, utdanningsetaten

Din henvendelse er mottatt av Utdanningsetaten.
Henvendelser som er underlagt journalføringsplikt vil bli journalført og
videreformidlet til rett avdeling for saksbehandling. Saksbehandlingstiden kan
variere fra sak til sak, men du vil få svar så snart saksbehandlingen er ferdig.
Hvis henvendelsen ikke krever saksbehandling vil den bli besvart på e-post i
løpet av kort tid.

Publikum henstilles til ikke å sende henvendelser
inneholdende sensitive personopplysninger på e-post. I slike tilfeller
oppfordres det til bruk av ordinær
postforsendelse.

Utdanningsetaten
Postboks 6127, Etterstad
0602 Oslo

Tlf: 23 46 71 23 (Utdanningsadministrasjonens sentralarkiv)

vis sitert seksjon

Postmottak Utdanningsadm, Oslo kommune, utdanningsetaten

Hei

Det er Utvikling og kompetanseetaten som har avtalen med Workplace by Facebook, som gjelder alle ansatte i kommunen. Du må rette henvendelsen din dit.

Med vennlig hilsen

Utdanningsetaten | Oslo kommune
Besøksadresse: Grensesvingen 6, 0661 OSLO
Postadresse: Postboks 6127 Etterstad, 0602 OSLO
Telefon: 23 05 10 13 (postmottak/arkiv) / 02180 (sentralbord)
[Oslo kommune, utdanningsetaten henvendelses-e-postadresse]
www.ude.oslo.kommune.no
Tenk på miljøet. Skriv ikke ut denne e-posten hvis du ikke må.

-----Opprinnelig melding-----
Fra: P. Reinholdtsen <[Innsyns-e-postadresse #1583]>
Sendt: 7. mai 2019 14:55
Til: Postmottak Utdanningsadm <[epostadresse]>
Emne: innsyn etter Offentleglova - Avtaler Utdanningsetaten har med Facebook

Kjære Oslo kommune, utdanningsetaten,

I medhold av offentlighetsloven ber jeg om innsyn i:

* Alle avtaler Utdanningsetaten har med Facebook, inkludert dem som er inngått elektronisk og dem som inneholder konfidensialitetsklausuler.

Innsynskrav skal behandles uten ugrunnet opphold og organet som mottar et innsynskrav skal «vurdere kravet konkret og sjølvstendig», jf. offl. § 29. Det er en maksimal frist på 3 virkedager for å saksbehandle innsynskrav, og svar skal følge formkravene i offentleglova og oppgi presis hjemmel for unntak og opplyse om klageadgang dersom dere ikke gir fullt innsyn, jf. § 31 første ledd. Manglende svar etter femdagersfristen vil bli påklaget til overordnet organ, jf. § 32 andre ledd.

Med vennlig hilsen,

P. Reinholdtsen

-------------------------------------------------------------------

Vennligst bruk denne e-post adressen for alle svar:
[Innsyns-e-postadresse #1583]

Er [Oslo kommune, utdanningsetaten henvendelses-e-postadresse] feil adresse for henvendelser om innsyn etter Offentleglova til Oslo kommune, utdanningsetaten? I så fall, vær så snill å ta kontakt med oss ved å bruke dette skjemaet:
https://www.mimesbronn.no/change_request...

Merk: Innholdet i denne innsynsforespørselen og alle dine svar vil bli offentliggjort på Internett. Du finner våre regler for personvern og åndsverk her:
https://www.mimesbronn.no/help/officers

Om du, som saksbehandler, syntes denne tjenesten er nyttig, be gjerne nettredaktøren hos dere lenke til oss fra din organisasjons innsyn-side.

-------------------------------------------------------------------

P. Reinholdtsen

Kjære Postmottak Utdanningsadm,

Viser til Deres svar av i dag der det fortelles at Utvikling og kompetanseetaten har en avtale om Workplace by Facebook, som gjelder alle ansatte i kommunen. Dette virker å være litt på siden av det jeg spør om, da jeg er ute etter avtaler som gjelder Utdanningsetatens og osloskolenes bruk av og deling av informasjon om elever og nettsidebrukere med Facebook. Er disse forholdene regulert av eventuell avtale om Workplace by Facebook for ansatte i kommunen?

Det fremgår ikke klart fra svaret om Utdanningsetaten har avtaler med Facebook eller ikke. Kan dere avklare dette?

Med vennlig hilsen,

P. Reinholdtsen

Postmottak@ude.oslo.kommune.no, Oslo kommune, utdanningsetaten

Din henvendelse er mottatt av Utdanningsetaten.
Henvendelser som er underlagt journalføringsplikt vil bli journalført og
videreformidlet til rett avdeling for saksbehandling. Saksbehandlingstiden kan
variere fra sak til sak, men du vil få svar så snart saksbehandlingen er ferdig.
Hvis henvendelsen ikke krever saksbehandling vil den bli besvart på e-post i
løpet av kort tid.

Publikum henstilles til ikke å sende henvendelser
inneholdende sensitive personopplysninger på e-post. I slike tilfeller
oppfordres det til bruk av ordinær
postforsendelse.

Utdanningsetaten
Postboks 6127, Etterstad
0602 Oslo

Tlf: 23 46 71 23 (Utdanningsadministrasjonens sentralarkiv)

vis sitert seksjon

Postmottak Utdanningsadm, Oslo kommune, utdanningsetaten

Utdanningsetaten har ingen avtaler med Facebook. Det er Utviklings og kompetanseetaten som har inngått en avtale om Workplace og dette gjelder kun for ansatte.

Med vennlig hilsen

Utdanningsetaten | Oslo kommune
Besøksadresse: Grensesvingen 6, 0661 OSLO
Postadresse: Postboks 6127 Etterstad, 0602 OSLO
Telefon: 23 05 10 13 (postmottak/arkiv) / 02180 (sentralbord)
[Oslo kommune, utdanningsetaten henvendelses-e-postadresse]
www.ude.oslo.kommune.no
Tenk på miljøet. Skriv ikke ut denne e-posten hvis du ikke må.

-----Opprinnelig melding-----
Fra: P. Reinholdtsen <[Innsyns-e-postadresse #1583]>
Sendt: 8. mai 2019 12:26
Til: Postmottak Utdanningsadm <[epostadresse]>
Emne: Re: SV: innsyn etter Offentleglova - Avtaler Utdanningsetaten har med Facebook

Kjære Postmottak Utdanningsadm,

Viser til Deres svar av i dag der det fortelles at Utvikling og kompetanseetaten har en avtale om Workplace by Facebook, som gjelder alle ansatte i kommunen. Dette virker å være litt på siden av det jeg spør om, da jeg er ute etter avtaler som gjelder Utdanningsetatens og osloskolenes bruk av og deling av informasjon om elever og nettsidebrukere med Facebook. Er disse forholdene regulert av eventuell avtale om Workplace by Facebook for ansatte i kommunen?

Det fremgår ikke klart fra svaret om Utdanningsetaten har avtaler med Facebook eller ikke. Kan dere avklare dette?

Med vennlig hilsen,

P. Reinholdtsen

vis sitert seksjon

P. Reinholdtsen

Kjære Postmottak Utdanningsadm,

Tusen takk for raskte svar. Det setter jeg veldig stor pris på. Men jeg blir bare mer og mer forvirret.

Når en for eksempel besøker UDEs nettsider https://majorstuen.osloskolen.no/ og https://kampen.osloskolen.no/ , så rapporteres besøket til connect.facebook.com. Dette kan en se selv i sin nettleser hvis en for eksempel tar i bruk utviklerverktøyene i Firefox og Chrome. Dette betyr at det sendes over personopplysninger (blant annet brukerens IP-adresse, hvilken nettside som besøkes i Referer-hodefeltet samt når besøket ble gjort). Slik overføring av personopplysninger til tredjepart krever i følge personopplysningsloven at den behandlingsansvarlige (her UDE) har inngått en databehandleravtale med de som får overført slike personopplysninger.

I følge Utdanningsetatens retningslinjer for bruk av skytjenester, tilgjengelig fra https://www.mimesbronn.no/request/konsek... , så skal databehandleravtaler kun inngås av UDE sentralt.

Hvis UDE ikke har inngått noen databehandleravtale med Facebook, hva er det som gjør at denne overføringen av personopplysninger til Facebook om de som besøker skolers nettsider ikke er i strid med personopplysningsloven?

Med vennlig hilsen,

P. Reinholdtsen

Postmottak@ude.oslo.kommune.no, Oslo kommune, utdanningsetaten

Din henvendelse er mottatt av Utdanningsetaten.
Henvendelser som er underlagt journalføringsplikt vil bli journalført og
videreformidlet til rett avdeling for saksbehandling. Saksbehandlingstiden kan
variere fra sak til sak, men du vil få svar så snart saksbehandlingen er ferdig.
Hvis henvendelsen ikke krever saksbehandling vil den bli besvart på e-post i
løpet av kort tid.

Publikum henstilles til ikke å sende henvendelser
inneholdende sensitive personopplysninger på e-post. I slike tilfeller
oppfordres det til bruk av ordinær
postforsendelse.

Utdanningsetaten
Postboks 6127, Etterstad
0602 Oslo

Tlf: 23 46 71 23 (Utdanningsadministrasjonens sentralarkiv)

vis sitert seksjon

P. Reinholdtsen la igjen en merknad ()

Problemstillingen med nettsider som lekker informasjon om sine brukere er omtalt av NRK Beta på https://nrkbeta.no/2019/05/02/disse-knap... . I den artikkelen ser en på bruken av AddThis og ikke Facebook, men problemstillingen er den samme.

P. Reinholdtsen la igjen en merknad ()

Oversending av personopplysninger fra UDE til USA uten databehandleravtale er også omtalt i https://www.mimesbronn.no/request/inform... .

Trine Synøve Lie Larsen, Oslo kommune, utdanningsetaten

1 Attachment

 

 

Hei

Vi ser nærmere på henvendelsen din, og gir deg svar når vi har fått
undersøkt saken nærmere. Det krever dialog med noen av våre
leverandører, så det kan ta noe tid før du får et utfyllende svar. Håper
det er i orden.

Med vennlig hilsen

 

Trine Lie Larsen

Kommunikasjonsdirektør

[1]http://iz-web01/signatur/osloskolen.png

Utdanningsetaten | Oslo kommune

Grensesvingen 6, Pb. 6127 Etterstad, 0602 OSLO

Tlf.: 450 25 633

tll[2]@ude.oslo.kommune.no

https://www.oslo.kommune.no/skole-og-utd...

 

 

-----Opprinnelig melding-----
Fra: P. Reinholdtsen <[3][Innsyns-e-postadresse #1583]>
Sendt: 8. mai 2019 23:39
Til: Postmottak Utdanningsadm <[4][epostadresse]>
Emne: Re: SV: SV: innsyn etter Offentleglova - Avtaler Utdanningsetaten
har med Facebook

Kjære Postmottak Utdanningsadm,

Tusen takk for raskte svar.  Det setter jeg veldig stor pris på.  Men
jeg blir bare mer og mer forvirret.

Når en for eksempel besøker UDEs nettsider
[5]https://majorstuen.osloskolen.no/ og [6]https://kampen.osloskolen.no/
, så rapporteres besøket til [7]connect.facebook.com.  Dette kan en se
selv i sin nettleser hvis en for eksempel tar i bruk utviklerverktøyene
i Firefox og Chrome.  Dette betyr at det sendes over personopplysninger
(blant annet brukerens IP-adresse, hvilken nettside som besøkes i
Referer-hodefeltet samt når besøket ble gjort).  Slik overføring av
personopplysninger til tredjepart krever i følge personopplysningsloven
at den behandlingsansvarlige (her UDE) har inngått en
databehandleravtale med de som får overført slike personopplysninger.

I følge Utdanningsetatens retningslinjer for bruk av skytjenester,
tilgjengelig fra
[8]https://www.mimesbronn.no/request/konsek...
, så skal databehandleravtaler kun inngås av UDE sentralt.

Hvis UDE ikke har inngått noen databehandleravtale med Facebook, hva er
det som gjør at denne overføringen av personopplysninger til Facebook om
de som besøker skolers nettsider ikke er i strid med
personopplysningsloven?

Med vennlig hilsen,

P. Reinholdtsen

vis sitert seksjon

P. Reinholdtsen

Kjære Trine Synøve Lie Larsen,

Takk for oppdateringen.

Jeg antar vi er enige om at det skal være mulig å sende unger på skolen i Oslo uten at opplysninger om barnas gjøren og laden sendes til utlandet eller deles med aktører utenfor skolen, og er glad for at dere følger opp mot leverandører. Det er jo lett å trø feil med dagens Internett-baserte tjenester, og dette eksemplet med Facebook er jo bare et av mange eksempler på hvordan informasjon om unger i skolen sendes ut fra skolen.

Jeg leser ut av din tilbakemelding at det stemmer at UDE ikke har databehandleravtale med Facebook når det sendes over personopplysninger slik tidligere beskrevet, og at dette er en problemstilling som er ny for dere i og med at dere må diskutere saken med underleverandører. Det er dog litt overraskende om dette er en ny problemstilling, da tilsvarende problemstilling er tatt opp tidligere, både om bruken av nettbasert Scratch-tjeneste og bruken av iPad, der elever personpplysninger sendes ut av skolen. Vil dere vurdere om denne håndteringen av personopplysninger omtalt i min henvendelse er et meldepliktige avvik etter personopplysningsloven?

Med vennlig hilsen,

P. Reinholdtsen

Trine Synøve Lie Larsen, Oslo kommune, utdanningsetaten

Hei igjen

Beklager at det har tatt noe tid før du fikk svar. Skolenes nettsider bruker en webserver fra Microsoft (tjenesten leveres av CGI). Internet Information Server (IIS), som er webserveren fra Microsoft som benyttes for skolens nettsider, logger metadata knyttet til bruken av nettstedet. Data som logges er blant annet tidspunkt, hvilken side/funksjon som blir etterspurt, hvilken IP adresse henvendelsen kommer fra og URL til siden som sendte henvendelsen. Disse metadata benyttes i forvaltningen av nettstedet for å sikre stabil og sikker drift.

Mekanismen du beskriver, hvor man i innholdet på nettsidene linker til en rekke andre nettsider, hvor metadata sendes til den andre nettsiden, er det debatt om rundt i verden. Dersom rettssystemet i ulike land slår fast at den ikke er akseptabel, får det trolig konsekvenser for en rekke nettsteder.

Imidlertid er det viktig for meg å understreke at det er klientens nettleser som sender informasjon til Facebook/andre nettsteder. Man kan selv styre hvilken informasjon som overføres til tredjepart i utviklerverktøyene til Firefox og Chrome. Informasjonen som sendes kan altså begrenses av brukeren ved f.eks. å bruke en plug-in i Google Chrome.

En nettaktør, som f.eks. Facebook, har et selvstendig ansvar for å tilfredsstille kravene til "lovlig behandlingsgrunnlag". På åpne nettsider, er bruk av lenker, og eventuell overføring av personopplysninger, et anliggende mellom brukeren og aktøren bak den aktuelle nettsiden det lenkes til. IP-adresser er i følge Datatilsynet personopplysninger dersom nettstedseieren får mulighet til å identifisere brukeren bak IP-adressen ved hjelp av tilleggsinformasjon fra internettleverandøren, eller i tilfeller der nettstedeieren har mulighet ("legal means") til å få slik informasjon utlevert. Såfremt du ikke har vært logget på personlige sider og tillatt at informasjonen lagres i cookies, er ikke dette aktuelt i denne sammenhengen. Tredjeparts nettsider (som Facebook) skal derfor ikke ha mulighet til å identifisere brukeren bak IP-adressen, såfremt man ikke selv har tillatt det.

Vi følger debatten om spørsmålet om overlevering av IP-adresser mellom nettsteder med stor interesse, og dersom det blir slått fast at dagens praksis ikke er akseptabel, vil vi selvsagt følge opp dette.

Med vennlig hilsen
 
Trine Lie Larsen
Kommunikasjonsdirektør
+47 450 256 33

Osloskolen
Utdanningsetaten
https://www.oslo.kommune.no/skole-og-utd...

-----Opprinnelig melding-----
Fra: P. Reinholdtsen <[Innsyns-e-postadresse #1583]>
Sendt: 14. mai 2019 13:02
Til: Trine Synøve Lie Larsen <[epostadresse]>
Emne: Re: VS: VS: SV: SV: innsyn etter Offentleglova - Avtaler Utdanningsetaten har med Facebook

Kjære Trine Synøve Lie Larsen,

Takk for oppdateringen.

Jeg antar vi er enige om at det skal være mulig å sende unger på skolen i Oslo uten at opplysninger om barnas gjøren og laden sendes til utlandet eller deles med aktører utenfor skolen, og er glad for at dere følger opp mot leverandører. Det er jo lett å trø feil med dagens Internett-baserte tjenester, og dette eksemplet med Facebook er jo bare et av mange eksempler på hvordan informasjon om unger i skolen sendes ut fra skolen.

Jeg leser ut av din tilbakemelding at det stemmer at UDE ikke har databehandleravtale med Facebook når det sendes over personopplysninger slik tidligere beskrevet, og at dette er en problemstilling som er ny for dere i og med at dere må diskutere saken med underleverandører. Det er dog litt overraskende om dette er en ny problemstilling, da tilsvarende problemstilling er tatt opp tidligere, både om bruken av nettbasert Scratch-tjeneste og bruken av iPad, der elever personpplysninger sendes ut av skolen. Vil dere vurdere om denne håndteringen av personopplysninger omtalt i min henvendelse er et meldepliktige avvik etter personopplysningsloven?

Med vennlig hilsen,

P. Reinholdtsen

vis sitert seksjon

P. Reinholdtsen la igjen en merknad ()

En oversikt over personvernstatus for Majorstuen skoles nettsted kan ses på https://webbkoll.dataskydd.net/no/result... . Det viser hvilke nettsteder informasjon om brukerne lekker til.