Personopplysninger til Google Skjemaer - avtaler og vurderinger?

Innsynshenvendelsen var delvis vellykket.

Kjære Nasjonalbiblioteket,

I følge [1] som lenker via [2] til [3], så har Nasjonalbiblioteket tatt i bruk Google Docs / Google Skjemaer til mottak av personopplysninger.

Skjemaet gjelder påmelding til seminaret "Veien til et verksregister", der en skal fylle inn blant annet navn. Dette innebærer at personopplysninger sendes til maskiner kontrollert av selskapet Google i USA.

Slik deling av personopplysninger med tredjeparter krever i følge personopplysningsloven en databehandleravtale. Det kreves videre i følge personopplysningsforskriften at det gjøres en risikoanalyse.

Kan dere sende en kopi av databehandleravtale Nasjonalbiblioteket har med Google for behandling av personopplysninger i denne forbindelse? Er det gjort en risikoanalyse og sikkerhetsrevisjon for denne behandlingen? I så tilfelle vil jeg gjerne også ha en kopi av disse.

[1] <URL http://www.nb.no/Bibliotekutvikling/Kunn... >
[2] <URL: http://tinyurl.com/zm2lyte >
[3] <URL: https://docs.google.com/forms/d/e/1FAIpQ... >

Med vennlig hilsen,

P. Reinholdtsen

Cyrille Nolin, Nasjonalbiblioteket

Hei,

Det stemmer at Nasjonalbiblioteket i arbeidet med å registrere påmelding til seminaret "Veien til verksregister" har benyttet seg av et av Googles Skjemaer. Registreringen bestod av at deltakeren oppga sitt fulle navn, hvilken institusjon de tilhørte og eventuelle matallergier. Disse opplysningene vil være personopplysninger i henhold til personopplysningsloven § 2 første ledd nr. 1. Videre er det på det rene at innsamling og registrering av nevnte forhold vil være en behandling av personopplysninger, se nr. 2 i nevnte bestemmelse, og at Nasjonalbiblioteket er å betrakte som behandlingsansvarlig og Google er å betrakte som databehandler, se henholdsvis nr. 4 og 5.

Som du selv er inne på kan ikke en databehandler "behandle personopplysninger på annen måte enn det som er skriftlig avtalt med den behandlingsansvarlige", se loven § 15 første ledd første setning. Nasjonalbiblioteket er av den oppfatning at Nasjonalbibliotekets bruker ved opprettelsen av Google-"konto" har inngått en avtale som også omfatter en databehandleravtale som det i dette tilfeller siktes til - altså registrere påmelding til en begivenhet.

Nasjonalbiblioteket gjør oppmerksom på at brukerne ved registrering ble informert om at personopplysningene ble samlet inn og at innsamlingen gjaldt registrering, samt servering, til et seminar. Avslutningsvis ønsker Nasjonalbiblioteket å trekke frem at det ble inngitt svært lite opplysninger om deltakerne og at Datatilsynet (https://www.datatilsynet.no/Teknologi/In... ikke advarer mot bruk av slike verktøy.

Med vennlig hilsen
Cyrille Nolin
___________________
Cyrille Nolin
juridisk rådgiver
Tlf. 23 27 62 95
[epostadresse]

Nasjonalbiblioteket
Henrik Ibsensgate 110
Postboks 2674 Solli
0203 Oslo

-----Opprinnelig melding-----
Fra: P. Reinholdtsen [mailto:[Innsyns-e-postadresse #205]]
Sendt: 6. oktober 2016 07:59
Til: [Nasjonalbiblioteket henvendelses-e-postadresse]
Emne: Innsynshenvendelse etter Offentlighetslova - Personopplysninger til Google Skjemaer - avtaler og vurderinger?

Kjære Nasjonalbiblioteket,

I følge [1] som lenker via [2] til [3], så har Nasjonalbiblioteket tatt i bruk Google Docs / Google Skjemaer til mottak av personopplysninger.

Skjemaet gjelder påmelding til seminaret "Veien til et verksregister", der en skal fylle inn blant annet navn. Dette innebærer at personopplysninger sendes til maskiner kontrollert av selskapet Google i USA.

Slik deling av personopplysninger med tredjeparter krever i følge personopplysningsloven en databehandleravtale. Det kreves videre i følge personopplysningsforskriften at det gjøres en risikoanalyse.

Kan dere sende en kopi av databehandleravtale Nasjonalbiblioteket har med Google for behandling av personopplysninger i denne forbindelse? Er det gjort en risikoanalyse og sikkerhetsrevisjon for denne behandlingen? I så tilfelle vil jeg gjerne også ha en kopi av disse.

[1] <URL http://www.nb.no/Bibliotekutvikling/Kunn... > [2] <URL: http://tinyurl.com/zm2lyte > [3] <URL: https://docs.google.com/forms/d/e/1FAIpQ... >

Med vennlig hilsen,

P. Reinholdtsen

-------------------------------------------------------------------

Dette er en innsynsforespørsel sendt inn ved hjelp av nett-tjenesten Mimes brønn.

Merk: Innholdet i denne innsynsforespørselen og alle dine svar vil bli offentliggjort på Internett. Du finner våre regler for personvern og åndsverk her:
https://www.mimesbronn.no/help/officers

Om du, som saksbehandler, syntes denne tjenesten er nyttig, be gjerne nettredaktøren hos dere lenke til oss fra din organisasjons innsyn-side.

-------------------------------------------------------------------

P. Reinholdtsen la igjen en merknad ()

Vilkårene for å opprette en Google-konto, som jeg antar er det Nasjonalbibliotekets jurist henviser til, er tilgjengelige fra http://www.google.com/intl/en/policies/t... . Jeg er overrasket over at Nasjonalbiblioteket mener dette er en akseptabel databehandleravtale for å la tredjeparter behandle personopplysninger på Nasjonalbibliotekets vegne, og savner risikovurderingen som ligger til grunn.

P. Reinholdtsen la igjen en merknad ()

Jeg forstår ikke henvisningen fra Nasjonalbiblioteket til Datatilsynets webside om bruken av Google Analytics og andre webanalyseverktøy. Den aktuelle siden fra Datatilsynet når det gjelder Google Skjemaer er jo veiledningen om skytjenester, https://www.datatilsynet.no/Teknologi/Sk... .

Kjære Nasjonalbiblioteket,

Takk for svaret fra juridisk rådgiver Cyrille Nolin datert 2016-10-12. Kan dere fortelle meg hvilket saksnummer dette svaret har fått i den offentlige postjournalen til Nasjonalbiblioteket?

Det var nyttig å vite at vi er enige at å benytte Google Skjemaer til påmelding på seminar er behandling av personopplysninger og dekket av personopplysningsloven, og at Nasjonalbiblioteket anser seg som behandlingsansvarlig og ser på Google som databehandler.

I tillegg til registreringen av fullt navn, institusjonstilhørighet og eventuelle matallergier er det greit å legge merke til at når en blir bedt om å kontakte Google Skjemaer via Internett for å legge igjen denne informasjonen så vil en også sende over sin Internett-adresse (IP-nummer) til Google. Websiden om Webanalyse som dere henviser til hos Datatilsynet[1] observerer:

"En IP-adresse er definert som en personopplysning fordi den kan spores tilbake til en bestemt maskinvare og dermed til en enkeltperson."

Ved hjelp av geolokalisering kan IP-adresser i stedsplasseres, slik at en kan få frem omtrentlig plassering for datautstyret til de som bes bruke Google Skjemaer for å melde seg på. IP-adresse kan (muligens i tidsbegrensede perioder) brukes på tvers av nettsteder til å se hva personer leser, er interessert i og kommuniserer med.

I tillegg til at IP-adresse gjøres tilgjengelig for Google vil den også kunne noteres av alle som lytter på datatrafikken mellom personen som vurderer å melde seg på seminaret og Google. Det er dokumentert at Försvarets radioanstalt (FRA) gjør dette for Internetttrafikk som passerer grensen til Sverige, at Government Communications Headquarters (GCHQ) gjør det for trafikk som passerer gjennom eller nær Storbritannia og at National Security Agency (NSA) gjør det for trafikk flere steder i verden. Dette er ikke de eneste aktørene med tilgang til å se Internett-trafikk. Selv om det brukes kryptering, så finnes det dokumentasjon på at informasjon beskyttet med slik kryptering (såkalt HTTPS) har vært tilgjengelig for uvedkommende på grunn av svakheter i protokoller, implementasjoner og rutiner hos de som utsteder HTTPS-sertifikater. En kan dermed ikke være være trygg på at slik kryptering sikrer at kun sender og mottaker kan lese personinformasjonen som utveksles. For eksempel kunne en lese i Aftenposten for tre dager siden[2] hvordan bedrifter og offentlige myndigheter bryter HTTPS-kryptering for å kunne sjekke hva slags trafikk som beveger seg på sine nett. Jeg nevner dette for å forklare litt mer om hvorfor jeg ser bruken av utenlandske skytjenester til behandling av personopplysninger som problematisk.

Er Nasjonalbibliotekets enig i at helseforhold som matallergier er å anse som sensitive personopplysninger etter personopplysningslovens §2 punkt 8[3], og at behandling av slike opplysninger stiller strengere krav enn behandling av ikke-sensitive opplysninger?

I svaret forklarer dere at Nasjonalbibliotekets bruker ved opprettelsen av Google-"konto" har inngått en avtale som også omfatter en databehandleravtale.

I følge Datatilsynets side om databehandleravtaler[4] inngås slike avtaler mellom virksomheter, mens hvis jeg forstår vilkårene ved oppretting av en Google-"konto" er en slik konto personlig. Kan dere forklare nærmere hvordan oppretting av en personlig Google-"konto" kan inngå en databehandleravtale mellom Nasjonalbiblioteket og Google?

Kan dere sende meg en kopi av avtalen dere refererer til i svaret og anser som en databehandleravtale, da jeg ikke klarer finne noe på Googles websider om vilkår[5] som fremstår som en databehandleravtale for behandling av personopplysninger? Jeg finner ingen bruksvilkår som inneholder det som kreves i følge personopplysningslovens §11[6] eller som inneholder det Datatilsynet på sine sider om Skytjenester[7] mener er nødvendig for å ha en akseptabel databehandleravtale[4]. De vilkårene jeg finner hos Google har få begrensninger i bruk og spredning av personopplysningene og sier for eksempel ingenting om personopplysningene vil slettes når seminaret er avsluttet.

I følge personpplysningsforskriften[8] skal det dokumenteres en risikovurdering og sikkerrevisjon og gjøres regelmessing internkontroll ved behandling av personopplysninger. Det fremgår ikke av svaret om dette er gjort, og jeg ber som tidligere nevnt om innsyn i aktuelle dokumenter relatert til dette.

[1] https://www.datatilsynet.no/Teknologi/In...
[2] http://www.aftenposten.no/norge/Ny-trend...
[3] https://lovdata.no/lov/2000-04-14-31/§2
[4] https://www.datatilsynet.no/Sikkerhet-in...
[5] https://www.google.no/intl/en/policies/t...
[6] https://lovdata.no/lov/2000-04-14-31/§11
[7] https://www.datatilsynet.no/Teknologi/Sk...
[8] https://lovdata.no/dokument/SF/forskrift...

Det jeg konkret lurer på er altså:

(1) Hvilket saksnummer har denne henvendelsen fått i Nasjonalbibliotekets offentlige postjournal?

(2) Anser Nasjonalbiblioteket matallergier som en sensitiv personopplysning?

(3) Hvordan kan det Google anser å være en personlige avtale, være en databehandleravtale mellom Nasjonalbiblioteket og Google?

(4) Kan dere sende meg kopi av det Nasjonalbiblioteket oppfatter å være databehandleravtalen som gjelder for behandlingen av personopplysningene samlet inn i forbindelse med påmelding til seminaret "Veien til verksregister" ?

(5) Kan dere sende meg kopi av dokumenter relatert til risikovurdering, sikkerhetsrevisjon og internkontroll rundt Googles behandling av personopplysninger på vegne av Nasjonalbiblioteket, enten spesifikt for dette seminaret eller mer generelt.

Med vennlig hilsen,

P. Reinholdtsen

Stian Nybro Langgaard-Nielsen, Nasjonalbiblioteket

Hei

 

Nasjonalbiblioteket viser til mottatt innsynhenvendelse innsendt per
e-post 06.10.2016, Nasjonalbibliotekets tilbakemelding på e-post den
12.10.2016, samt mottatt henvendelse per e-post den 13.10.2016.

 

Ad 1.Saken har fått følgende saksnummer hos Nasjonalbiblioteket: 2016/366.

 

Ad 2.Hvorvidt en opplysning om helseforhold er å anse for å være en
sensitiv personopplysning i henhold til personopplysningsloven § 2 nr. 8
bokstav c, vil bero på en konkret vurdering i hvert enkelt tilfelle.
Forarbeidene uttaler om dette i Ot.prp. nr. 92 (1998-99): "Bokstav c,
opplysninger om «helseforhold», er noe forkortet i forhold til utvalgets
forslag til § 2 nr 8 bokstav c, men innholdet er det samme. Uttrykket
«helseforhold» omfatter opplysninger om en persons tidligere, nåværende og
fremtidige fysiske eller psykiske tilstand, inkludert opplysninger om
medisin- og narkotikamisbruk. Uttrykket omfatter dessuten genetiske
opplysninger. Også opplysninger om sosiale forhold kan falle inn under
«helseforhold» dersom de sosiale forholdene påvirker helsen. Om
tilknytningen til helseforhold er sterk nok må vurderes konkret."

 

Nasjonalbiblioteket er av den oppfatning at opplysninger om allergier i
dette tilfellet ikke er å anse for å være sensitive personopplysninger.

 

Bemerker også at det var frivillig å avgi informasjon om allergier. De som
ikke ønsket å gi opplysninger om dette, har latt være å fylle ut dette
punktet i påmeldingsskjemaet.

 

Ad 3. Nasjonalbiblioteket har opprettet en egen Google konto som har blitt
brukt til å lage påmeldingsskjemaer der det er behov for det. Det
fremkommer av Googles vilkår for bruk at deres tjenester kan brukes på
vegne av en bedrift. Bedriften samtykker således i Googles vilkår. På
denne måten mener vi det oppstår en avtale om bruk av Googles tjenester
mellom Nasjonalbiblioteket og Google.

 

Ad 4. Googles "vilkår" for bruk og regler for "personvern", som vi mener
utgjør avtalen som regulerer behandlingen av innsamlede personopplysninger
i forbindelse med seminaret "Veien til verkregister", er å finne på
www.google.no - nederst til høyre.

 

Ad 5. Det følger av personopplysningsforskriften § 2-1 at reglene i
forskriftens kapittel 2 om informasjonssikkerhet gjelder for "behandling
av personopplysninger som helt eller delvis skjer med elektroniske
hjelpemidler der det for å hindre fare for tap av liv og helse, økonomisk
tap eller tap av anseelse og personlig integritet er nødvendig å sikre
konfidensialitet, tilgjengelighet og integritet for opplysningene."

 

Nasjonalbiblioteket mener reglene i personopplysningsforskriftens kapittel
2 ikke kommer til anvendelse for den behandlingen av personopplysninger
som har funnet sted ved påmelding til seminaret "Veien til verkregister",
da det etter Nasjonalbibliotekets mening ikke foreligger fare for tap av
liv og helse, økonomisk tap eller tap av anseelse og personlig integritet.

 

Stian Langgaard-Nielsen

Juridisk stab
Nasjonalbiblioteket
Henrik Ibsensgate 110
Postboks 2674 Solli
0203 Oslo

Tel: + 47 23 27 61 50

 

Hans-Petter Fjeld la igjen en merknad ()

https://www.datatilsynet.no/sikkerhet-in... omhandler databehandleravtale.

Minimumskrav til databehandleravtaler:
1. Angi formålet med behandlingen

2. Beskriv hvordan personopplysningene skal behandles

3. Bruk av underleverandør skal reguleres i avtalen

4. Ivareta den registreres rettigheter

5. Avtalen må pålegge databehandleren å ha tilfredstillende informasjonssikkerhet

6. Avtalens varighet må avtales

Kjære Nasjonalbiblioteket,

Deres referanse 2016/366.

Jeg viser til svar fra Stian Nybro Langgaard-Nielsen ved Juridisk stab hos Nasjonalbiblioteket datert 2016-10-18 og svar fra juridisk rådgiver Cyrille Nolin ved Nasjonalbiblioteket datert 2016-10-12 som begge forklarer at Nasjonalbiblioteket anser standardavtalen som godtas ved opprettelse av Google-"konto" som databehandleravtale for behandling av personopplysninger i Google Skjemaer.

Datatilsynet skriver i sitt varsel om vedtak til Narvik om ny e-postløsning i Narvik kommune - Google Apps (Datatilsynets referanse 2011/00593-7[1], tilgjengelig via Mimes brønn[2]) følgende:

«Datatilsynet kan på bakgrunn av det ovennevnte ikke se at standardavtalen til Google er tilstrekkelig i forhold til hva som forventes av en databehandleravtale, jf. personopplysningsloven § 15. Etter tilsynets vurdering vil manglende databehandleravtale være et avvik i forhold til kravene i personopplysningsloven § 15.»

Med bakgrunn i dette, fastholder Nasjonalbiblioteket fortsatt at behandling av personopplysninger i datasystemer kontrollert av Google gjøres med grunnlag i standardavtalene til Google som Databehandleravtale? I så fall vil jeg ta kontakt med Datatilsynet for å høre om Datatilsynets syn har endret seg siden 2012.

[1] https://www.mimesbronn.no/request/216/re...
[2] https://www.mimesbronn.no/request/201159...

Med vennlig hilsen,

P. Reinholdtsen

Cyrille Nolin, Nasjonalbiblioteket

Hei,

På bakgrunn av din henvendelse og henvisning til Datatilsynets vedtak 2011/00593-7, har Nasjonalbiblioteket besluttet å avslutte bruken av Googles skjemaer/Apps. Nasjonalbiblioteket vil opprette dialog med Difi (Direktoratet for forvaltning og IKT) om hvordan vi på best mulig måte kan ivareta bl.a. personopplysningslovginingen når det gjelder denne typen registreringer.

Med vennlig hilsen
Cyrille Nolin
___________________
Cyrille Nolin
juridisk rådgiver
Tlf. 23 27 62 95
[epostadresse]

Nasjonalbiblioteket
Henrik Ibsensgate 110
Postboks 2674 Solli
0203 Oslo

-----Opprinnelig melding-----
Fra: P. Reinholdtsen [mailto:[Innsyns-e-postadresse #205]]
Sendt: 10. januar 2017 11:54
Til: [Nasjonalbiblioteket henvendelses-e-postadresse]
Emne: Re: Innsynshenvendelse etter Offentlighetslova - Personopplysninger til Google Skjemaer - avtaler og vurderinger?

Kjære Nasjonalbiblioteket,

Deres referanse 2016/366.

Jeg viser til svar fra Stian Nybro Langgaard-Nielsen ved Juridisk stab hos Nasjonalbiblioteket datert 2016-10-18 og svar fra juridisk rådgiver Cyrille Nolin ved Nasjonalbiblioteket datert 2016-10-12 som begge forklarer at Nasjonalbiblioteket anser standardavtalen som godtas ved opprettelse av Google-"konto" som databehandleravtale for behandling av personopplysninger i Google Skjemaer.

Datatilsynet skriver i sitt varsel om vedtak til Narvik om ny e-postløsning i Narvik kommune - Google Apps (Datatilsynets referanse 2011/00593-7[1], tilgjengelig via Mimes brønn[2]) følgende:

«Datatilsynet kan på bakgrunn av det ovennevnte ikke se at standardavtalen til Google er tilstrekkelig i forhold til hva som forventes av en databehandleravtale, jf. personopplysningsloven § 15. Etter tilsynets vurdering vil manglende databehandleravtale være et avvik i forhold til kravene i personopplysningsloven § 15.»

Med bakgrunn i dette, fastholder Nasjonalbiblioteket fortsatt at behandling av personopplysninger i datasystemer kontrollert av Google gjøres med grunnlag i standardavtalene til Google som Databehandleravtale? I så fall vil jeg ta kontakt med Datatilsynet for å høre om Datatilsynets syn har endret seg siden 2012.

[1] https://www.mimesbronn.no/request/216/re...
[2] https://www.mimesbronn.no/request/201159...

Med vennlig hilsen,

P. Reinholdtsen

-------------------------------------------------------------------
Vennligst bruk denne e-post adressen for alle svar:
[Innsyns-e-postadresse #205]

Merk: Innholdet i denne innsynsforespørselen og alle dine svar vil bli offentliggjort på Internett. Du finner våre regler for personvern og åndsverk her:
https://www.mimesbronn.no/help/officers

Om du, som saksbehandler, syntes denne tjenesten er nyttig, be gjerne nettredaktøren hos dere lenke til oss fra din organisasjons innsyn-side.

-------------------------------------------------------------------

P. Reinholdtsen la igjen en merknad ()

Dokumentlisten i saken finnes på OEP som
https://oep.no/search/result.html?period...