Legg til ny
    Legg til ny

    Conexus Elevate

    Conexus Norge AS

    Om tenesta

    Kommunen bruker Conexus Elevate til å sikra systematisk oppfølging av elevar, både fagleg og sosialt. Løysinga hjelper kommunen til å følga opp lovkrav knytta til tilpassa opplæring og skulemiljøsaker, styrkjer samarbeidet mellom dei tilsette og skuleleiinga og gjev oversikt over tiltak og utfordringar. Informasjonen blir lagra trygt, og sikrar kontinuerleg oppfølging av elevane, sjølv ved endringar i personalet.

    Plattform
    Bruksområde
    Er tenesta godkjent?
    Tenesta blir vurdert.
    Kva kommunar bruker tenesta?
    Målgruppe
    Innlogging
    ID-Porten
    Lagring
    Filene blir lagra i skyteneste hjå leverandør
    Lisensmodell
    Tenesta er lisensbasert (betalt)
    Personvernrisiko

    Svært høg – Det blir lagra sensitive personopplysningar om elevane, som for eksempel ikkje-anonyme spørjeundersøkingar om læring og trivsel, fritekstfelt som legg opp til å skriva inn sensitive personopplysningar, eller liknande.

    Personopplysningar
    • Tenesta lagrar personopplysningar
    • Følgjande brukarar blir registrerte i tenesta: elevar, tilsette
    • Følgjande personopplysningar blir lagra i tenesta: namn, fødselsdato, fødselsnummer, telefonnummer, e-postadresse, brukarnamn, rolle, gruppe, eining, organisasjon, fråver/merknader, fagleg progresjon, sensitive personopplysningar
    Databehandlarar
    • Leverandør: Conexus Norge AS
    • Underleverandør(ar): Microsoft Norge AS, Crayon AS, Twilio Ireland Ltd. Norwegian Branch, Defendable AS
    • Personopplysningar blir ikkje utleverte til tredjepart.
    • Personopplysningar blir ikkje overførte til tredjestat.
    Sikkerheitstiltak
    • Rutinar for lagring, sletting og informasjonstryggleik:

      • Aktive saker: Personopplysningar blir lagra så lenge det er nødvendig for å følgja opp skulemiljøsaker (opplæringslova kap. 12) eller fagleg oppfølging/tilpassa opplæring (kap. 11). I praksis gjeld dette så lenge eleven tilhøyrer ein offentleg grunnskule i kommunen.
      • Avslutta saker: Avslutta saker blir overførte til kommunen sitt arkivsystem, og kommunen må vurdera kva for opplysningar som er arkivpliktige etter arkivlova. Andre personopplysningar blir sletta frå Conexus Elevate.
      • Teknisk sletting hjå databehandlar: Når ein elev-konto eller sak blir sletta, blir personopplysningar pseudonymiserte innan tre månader. Full sletting skjer seinast innan 90 dagar, i tråd med databehandlaravtalen.
      • Brukaradministrasjon: Når tilsette sluttar, blir tilgangen deaktivert via Feide/skuleadministrativt system, og brukarkontoar blir fjerna frå Elevate i tråd med kommunens rutinar.
      • Kontroll og revisjon: Kommunen gjennomfører jamlege kontrollar for å sikra at opplysningar ikkje blir lagra lenger enn nødvendig, og at sletting/arkivering skjer i tråd med gjeldande regelverk.
    • Organisatoriske sikkerheitstiltak: person/rolle med ansvar for informasjonstryggleik, utdanning og fagopplæring, grundig opplæring i bruk av tenesta, rutinar for bruk av tenesta, registrering og oppfølging av avvik, inngått avtale med leverandør, systemansvarleg i kommunen, jamnleg testing av tenesta, dokumentasjon av tenesta
    • Tekniske sikkerheitstiltak: fleirfaktor-autentisering, passordbeskyttelse, kryptering, brannmur, tilgangsavgrensing, sikkerheitskopiering, innebygd personvern, pseudonymisering, overvaking og logging, infrastrukturredundans
    Personvernstatus
    • Leverandørerklæring
      N/A
    • Gjennomført innleiande vurdering?
    • Gjennomført risiko- og sårbarheitsvurdering?
    • Gjennomført vurdering av personvernkonsekvensar?
    • Signert databehandlaravtale?
      Hjelmeland
    • Revisjonsfrist
      23.04.2027
    Personvernombod
    Samanstilling og presentasjon av funn

    Klar føremålsavgrensing: Behandlinga er avgrensa til oppfølging av skulemiljø og tilpassa opplæring, i tråd med opplæringslova. Opplysningane blir ikkje brukte til andre føremål.

    Dataminimering i praksis: Tilsette blir instruerte i å registrera berre nødvendige opplysningar, og systemet legg til rette for avgrensa datainnsamling. Praksis blir følgd opp gjennom opplæring og internkontroll.

    Sikring av riktigheit gjennom rutinar og innsyn: Opplysningar blir kvalitetssikra gjennom rutinar for registrering og løpande oppdatering. Elev og føresette kan be om innsyn og bidra til å retta feil.

    Lagringsavgrensing og sletting: Opplysningar blir lagra så lenge det er nødvendig for føremålet, og blir sletta eller arkiverte i samsvar med regelverk og rutinar. Teknisk sletting skjer innan fastsette fristar.

    Tilrettelegging for rettar (innsyn, retting, sletting): Kommunen har rutinar for å handtera førespurnader om innsyn, retting og sletting. Dei registrerte får informasjon om rettane sine og korleis dei kan utøva dei.

    Innebygd personvern i løysinga: Systemet er utforma med personvern som standard, mellom anna gjennom tilgangsstyring, logging og avgrensa datainnsamling. Dette reduserer risiko for feil og misbruk.

    Sterk autentisering via BankID: Tilgang til systemet krev sterk autentisering. Dette reduserer risikoen for uautorisert tilgang.

    Kryptering av data: Alle personopplysningar blir krypterte både under overføring og ved lagring. Dette vernar data mot innsyn ved tekniske angrep eller feil.

    Drift i sikker skyløysing: Systemet er drifta i Microsoft Azure innanfor EU/EØS, med høg grad av fysisk og teknisk sikring. Løysinga har redundans og vern mot ytre angrep.

    Logging og overvaking: Alle relevante handlingar i systemet blir loggførte, og aktivitet blir overvaka for å avdekka mistenkjeleg bruk. Dette gjer det mogleg å reagera raskt ved avvik.

    Backup og beredskap: Det er etablert rutinar for sikkerheitskopiering og gjenoppretting av data. Dette sikrar kontinuitet ved driftsavbrot eller tekniske feil.

    Avvikshandtering: Det finst rutinar for å oppdaga, handtera og rapportera tryggleiksavvik. Leverandøren og kommunen samarbeider om oppfølging og varsling ved brot.

    Opplæring av tilsette: Tilsette får opplæring i trygg bruk av systemet og handtering av personopplysningar. Dette reduserer risikoen for menneskelege feil.

    DPIA-arbeidet har identifisert fleire potensielle risikoar for dei registrerte, som er vurderte med omsyn til sannsyn og konsekvens, og der det er sett inn konkrete tiltak for å redusera risikoen.

    Nokre av dei sentrale risikoane var:

    • Brot på konfidensialitet (særleg for sårbare registrerte):
      Opphavleg vurdering: høg konsekvens (opplysningar om mobbing, helse eller læringsvanskar kan koma på avvegar) og låg til middels sannsyn. Etter tiltak (rollebasert tilgang, kryptering, logging og opplæring): restrisiko låg til middels.
    • Feil eller mangelfulle opplysningar (integritet): Opphavleg vurdering: moderat til høg konsekvens (kan føra til feil oppfølging av elevar) og middels sannsyn (manuell registrering). Etter tiltak (rutinar, innsynsrett og fagleg kvalitetssikring): restrisiko middels.
    • Manglande openheit overfor elevar og føresette: Opphavleg vurdering: moderat sannsyn og moderat konsekvens (kan svekka tillit og rettstryggleik). Etter tiltak (tydeleg informasjon og rutinar): restrisiko låg.
    • Manglande medbestemming: Opphavleg vurdering: moderat konsekvens og høg sannsyn (behandlinga er lovpålagt og ikkje frivillig). Etter tiltak (elevmedverknad, informasjon og rettar): restrisiko middels, men vurdert som akseptabel.
    • Uforutsigbar eller utvida bruk av data: Opphavleg vurdering: låg sannsyn, men høg konsekvens dersom det skjer. Etter tiltak (klår føremålsavgrensing, avtalar og kontroll): restrisiko låg.

    Samla sett er alle identifiserte risikoar reduserte gjennom tekniske og organisatoriske tiltak. Ingen risikoar er vurderte som høge etter at tiltaka er på plass, og dei fleste ligg på låg til moderat nivå.

    Den samla rest-risikoen blir vurdert som akseptabel sett opp mot føremålet med behandlinga og nytteverdien for elevane.

    Gjennom DPIA-prosessen er det identifisert fleire tiltak som vil styrka personvernet ytterlegare:

    1. Utarbeida og formidla tydeleg informasjon til elevar og føresette om bruk av Conexus Elevate, inkludert føremål, kva opplysningar som blir registrerte og rettar etter GDPR. Informasjonen bør gjevast ved skulestart og ved behov i enkeltsaker. Ansvar: Skuleeigar utarbeider, medan rektor formidlar den. Frist: Før full implementering, og deretter årleg
    2. Styrka opplæring av tilsette i bruk av systemet og personvern, med særleg vekt på dataminimering, dokumentasjonspraksis og handtering av sensitive opplysningar i fritekstfelt. Ansvar: Skuleeigar ved systemansvarleg Frist: Når skulen begynner å bruka Conexus Elevate, og deretter årleg.
    3. Gjennomføra periodisk kontroll av tilgangar, for å sikra at berre personar med tenestleg behov har tilgang til elevopplysningar. Dette omfattar òg fjerning av tilgang for tilsette som sluttar eller byter rolle. Ansvar: Rektor ved skulen. Frist: Minst éin gong per år.
    4. Evaluera praksis i enkeltsaker, for eksempel gjennom stikkprøvar, for å sikra at registreringar er nødvendige, relevante og i tråd med regelverket. Ansvar: Skuleleiinga i samarbeid med skuleeigar ved systemansvarleg. Frist: Årleg.
    5. Oppdatera DPIA ved vesentlege endringar i systemet eller behandlinga, for eksempel ved nye funksjonar, utvida bruk, endra datatypar eller nye integrasjonar. Ansvar: Skuleeigar ved systemansvarleg i samarbeid med personvernombod. Frist: Løpande ved endringar

    Tiltak 1–2 bør vera på plass ved oppstart av systemet og er føresetnader for forsvarleg bruk. Tiltak 3–5 er løpande tiltak for kvalitetssikring og vidare utvikling av praksis.

    Handlingsplanen skal bidra til at identifiserte risikoar blir følgde opp systematisk, og at personvernet blir ivareteke over tid. Skuleeigar har ansvar for å følgja opp framdrift og gjennomføring gjennom faste oppfølgingspunkt.

    Behandlinga sin art

    Behandlinga omfattar registrering, lagring, deling og oppfølging av opplysningar om elevar og tilsette i skulen. Løysinga blir brukt til å dokumentera og følgja opp saker knytte til skulemiljø (opplæringslova kapittel 12) og tilpassa opplæring (kapittel 11). Dette omfattar både vanlege personopplysningar (namn, kontaktinformasjon, Feide-ID, klasse, rolle) og særlege kategoriar personopplysningar (helseopplysningar, psykososiale forhold, opplysningar om læringsvanskar, trivsel og tiltak).

    Behandlinga skjer delvis automatisk gjennom integrasjon mot skuleadministrative system, og delvis manuelt ved at lærarar, skuleleiing og støtteapparat registrerer observasjonar, tiltak og evalueringar i systemet. Løysinga loggfører alle hendingar for å sikra sporbarheit, og kommunen kan gje tilgang til relevante støtteinstansar som PP-tenesta når det ligg føre lovheimel eller eksplisitt samtykke til utveksling av informasjon.

    Behandlinga er kontinuerleg så lenge ein elev er innskriven i den offentlege grunnskulen, og blir avslutta ved sletting når eleven flyttar eller går ut av 10. trinn. Relevant informasjon blir då overført til elevmappa i kommunen sitt arkivsystem.

    Kor kjem personopplysningane frå?

    Personopplysningane kjem hovudsakleg frå skulen sine eigne system, gjennom automatisk import frå skuleadministrativt system. I tillegg blir opplysningar registrerte manuelt av lærarar, skuleleiing og støtteapparat i samband med oppfølging av skulemiljøsaker og tilpassa opplæring. I nokre tilfelle kjem informasjon frå elev, føresette eller kommunale støtteinstansar som PP-tenesta, når dette er nødvendig og har rettsleg grunnlag. Det blir ikkje brukt sporingsteknologi eller eksterne nettsider som kjelde til elevdata.

    Kor blir personopplysningane lagra?
    i skyteneste hjå leverandør

    Korleis blir personopplysningane lagra?

    Personopplysningane i Conexus Elevate blir lagra i Microsoft Azure, i datasenter som er plasserte i EU/EØS. Lagringa skjer kryptert både under overføring (TLS 1.2/1.3) og i ro (AES-256). Systemet har innebygd logging som registrerer alle oppslag og endringar. Data blir ikkje lagra lokalt på skulen sine maskinar, og informasjonen ligg beskytta bak sikker pålogging gjennom Feide.

    Leverandøren bruker Crayon AS som underleverandør for drift og administrasjon, men alle data ligg fysisk på Microsoft sine norske datasenter. Det er etablert rutinar for sikkerheitskopiering, redundans og lastbalansering slik at data ikkje går tapt ved driftsfeil.

    Når ein elevkonto eller ei sak blir avslutta, blir opplysningane sletta eller pseudonymiserte i tråd med kommunen sine rutinar og databehandlaravtalen. Som hovudregel skjer full sletting innan 90 dagar etter at føremålet er avslutta.

    Korleis blir personopplysningane brukte?

    I Conexus Elevate blir personopplysningane nytta til to konkrete føremål: oppfølging av skulemiljøsaker (opplæringslova kap. 12) og oppfølging av elevane si faglege utvikling og tilpassa opplæring (opplæringslova kap. 11).

    Bruken skjer på desse måtane:

    • Opprette og administrere brukarkontoar: Elev- og tilsettoplysningar frå skuleadministrativt system blir brukte til sikker innlogging og rollebasert tilgangsstyring.
    • Registrere bekymringar og tiltak: Lærarar og skuleleiing registrerer opplysningar om hendingar, kartleggingar, samtalar og tiltak knytt til den enkelte elev.
    • Dokumentera oppfølging: Elevens stemme og erfaringar blir loggført i saker, slik at aktivitetsplikta og retten til tilpassa opplæring kan dokumenterast og evaluerast.
    • Samhandling og samarbeid: Opplysningar blir delte mellom lærarar, skuleleiing og støtteinstansar (t.d. PP-tenesta), med nødvendige tilgangsavgrensingar.
    • Rapportering og oversikt: Systemet gir skuleleiinga oversikt over aktive saker og tiltak, og mogleggjer rapportering ved tilsyn eller internkontroll.
    • Kontinuitet: Sikker lagring av data er viktig for at oppfølginga av eleven skal halda fram sjølv om tilsette blir bytta ut.

    Alle desse bruksområda er direkte knytte til elevens rett til eit trygt skulemiljø og tilpassa opplæring. Opplysningane blir ikkje brukte til andre føremål som forsking, marknadsføring eller kommersiell utnytting.

    Kven har tilgang til personopplysningane?

    Tilgangen til personopplysningane er strengt rollebasert, og blir berre gjeven til tilsette med reelt behov:

    • Lærarar og kontaktlærarar får tilgang til opplysningar om eigne elevar for å kunna registrera og følgja opp saker knytte til skulemiljø og fagleg utvikling.
    • Skuleleiing (rektorar, avdelingsleiarar) har tilgang til oversikt på skulenivå for å kunna leia arbeidet, fordela ansvar og sikra at aktivitetsplikta blir følgt opp.
    • Rådgjevarar, miljøarbeidarar og andre støttefunksjonar kan få tilgang til enkeltsaker når dei er direkte involverte i oppfølginga av eleven.
    • Kommunale støtteinstansar som PP-tenesta kan få tilgang til enkeltsaker når dette er nødvendig og har lovheimel eller er basert på samtykke, til dømes ved sakkyndig vurdering.
    • Systemadministratorar i kommunen har teknisk tilgang til å administrera brukarar og roller, men ikkje til innhaldet i elevsaker utover det som er nødvendig for driftsoppgåver.
    • Databehandlar (Conexus) har berre tilgang til data i den grad det er nødvendig for drift, vedlikehald og support, og dette skjer underlagt strenge avtalar og logging.

    Ingen andre eksterne aktørar, inkludert underleverandørar til Conexus, har tilgang til personopplysningar utover det som er nødvendig for å levera tenesta i samsvar med databehandlaravtalen.

    Behandlinga sitt omfang

    Behandlinga omfattar både løpande registrering av enkelthendingar og meir systematiske kartleggingar av elevar si trivsel og læring. Omfanget varierer frå elev til elev – for nokre avgrensar det seg til enkle notat eller tiltak, medan det for andre kan innebera omfattande dokumentasjon knytt til skulemiljøsaker eller tilpassa opplæring over lengre tid.

    Løysinga legg til rette for samarbeid mellom fleire roller i skulen og støtteapparatet, slik at oppfølginga blir heilskapleg. Dette inneber òg at fleire aktørar kan få tilgang til elevopplysningar, og difor er det avgjerande at kommunen har gode rutinar for tilgangsstyring, opplæring av tilsette og jamleg gjennomgang av kva opplysningar som faktisk er nødvendige å registrera.

    Omfanget av behandlinga er dynamisk, men alltid avgrensa til det som er nødvendig for å sikra og følgja opp elevane sin rett til eit trygt skulemiljø og tilpassa opplæring.

    Kva slags personopplysningar blir lagra?
    namn, fødselsdato, fødselsnummer, telefonnummer, e-postadresse, brukarnamn, rolle, gruppe, eining, organisasjon, fråver/merknader, fagleg progresjon, sensitive personopplysningar

    Blir det behandla sensitive personopplysningar (særskilde kategoriar av personopplysningar)?
    Ja, det blir behandla særskilde kategoriar av personopplysningar (sensitive personopplysningar).

    I Conexus Elevate kan det bli registrert opplysningar som fell inn under kategorien særlege personopplysningar etter GDPR artikkel 9. Dette gjeld til dømes:

    • Helseopplysningar (t.d. opplysningar frå skulehelsetenesta, dokumentasjon av sjukdom, funksjonsnedsetjing eller psykiske utfordringar som påverkar skulegangen).
    • Psykososiale forhold (t.d. opplevd mobbing, konfliktsituasjonar, trivsel og relasjonar i skulemiljøet).
    • Opplysningar om læringsvanskar eller spesialpedagogiske behov (t.d. dysleksi, konsentrasjonsvanskar, sakkyndige vurderingar frå PPT).
    • Tiltak og evalueringar (planar for oppfølging, individuelle tilretteleggingar, dokumentasjon av samtalar med elev/føresette).

    Det rettslege grunnlaget for å behandla særlege kategoriar av personopplysningar er opplæringslova § 25-1, som gjev kommunen heimel til å behandla slike opplysningar når det er nødvendig for å utføra oppgåver etter denne lova, inkludert å følgja opp eleven sin rett til eit trygt skulemiljø (kap. 12) og retten til tilpassa opplæring (kap. 11).

    Kva kommunar blir det samla inn personopplysningar frå?
    Hjelmeland

    Kven og kor mange blir det samla inn personopplysningar om?
    mellom 100 og 999 elevar, tilsette

    Kor ofte blir det samla inn personopplysningar?
    éin gong, fleire gonger, uregelmessig, regelmessig, kontinuerleg, systematisk

    Kor lenge blir personopplysningane lagra?

    Personopplysningar blir lagra så lenge det er nødvendig for å oppfylla føremålet med behandlinga. For elevar i grunnskulen inneber dette at nødvendige opplysningar blir lagra gjennom heile skuleløpet, òg i periodar der det ikkje er aktive saker, fordi skulen har eit kontinuerleg ansvar for oppfølging av elevens skulemiljø og opplæring. Når ein elev flyttar eller fullfører grunnskuleutdanninga, skal opplysningane slettast eller arkiverast i tråd med kommunen sine rutinar for elevdokumentasjon og arkivlova.

    Personidentifiserbare opplysningar blir pseudonymiserte innan tre månader etter at ein elevkonto er sletta, og all data blir sletta seinast innan 90 dagar etter at formålet er opphøyrt eller hovudavtalen er avslutta, dersom ikkje anna er avtalt. Kommunen har ansvar for å sikra at nødvendige opplysningar blir overførte til arkivsystem i samsvar med arkivlova, og at øvrige opplysningar blir sletta.

    Behandlinga sin kontekst

    Behandlinga skjer innanfor ein utdanningskontekst, der kommunen har eit tydeleg lovpålagt ansvar for å sikra både eit trygt skulemiljø og tilpassa opplæring. Systemet er ikkje ei isolert løysing, men inngår som ein del av kommunen sitt heilskaplege arbeid med oppfølging av elevane, der òg skuleadministrative system, PP-tenesta, helsetenesta og føresette kan vera involverte. Denne samanhengen gjer at behandlinga ofte må sjåast i lys av samarbeid på tvers av aktørar, og at det difor er avgjerande med tydelege avklaringar av roller, ansvar og tilgang. Bruken av systemet er tett knytta til den daglege drifta ved skulen, og opplysningane som blir behandla får direkte konsekvensar for korleis tiltak blir sette i verk og følgde opp. Dette understrekar behovet for at behandlinga skjer på ein føreseieleg, open og etterprøvbar måte.

    I denne behandlinga er det ein tydeleg ubalanse i maktforholdet mellom den behandlingsansvarlege (kommunen ved skulen) og dei registrerte (elevar). Elevane er i ein sårbar posisjon fordi dei er under opplæringsplikt, og skulen har eit lovpålagt ansvar for å følgja opp både skulemiljø og læringsutvikling. Elevane kan difor ikkje fritt velja om personopplysningane deira skal behandlast eller ikkje, sidan behandlinga er nødvendig for at kommunen skal kunna oppfylla pliktene sine etter opplæringslova.

    For å dempa konsekvensane av maktubalansen er det viktig at skulen er open om korleis opplysningar blir brukte, at eleven får medverka i saker som gjeld eige skulemiljø, og at kommunen legg til rette for innsyn, retting og sletting i tråd med GDPR kapittel 3.

    Elevar (og føresette) har avgrensa kontroll over eigne personopplysningar i Conexus Elevate, fordi behandlinga skjer med heimel i opplæringslova og er nødvendig for at kommunen skal kunna oppfylla sine lovpålagde plikter. Dei kan difor ikkje sjølve bestemma om opplysningane skal behandlast eller ikkje.

    Samtidig har dei registrerte fleire rettar etter GDPR som gir dei ein viss kontroll:

    • Rett til informasjon og innsyn i kva opplysningar som er lagra.
    • Rett til retting av uriktige eller ufullstendige opplysningar.
    • Rett til sletting dersom opplysningane ikkje lenger er nødvendige, eller dersom det manglar rettsleg grunnlag.
    • Rett til å krevja avgrensa behandling, til dømes dersom det er tvil om opplysningane er korrekte.
    • Rett til dataportabilitet, altså å få utlevert eigne opplysningar i eit eigna format ved byte av skule eller kommune.
    • Rett til å klaga til Datatilsynet dersom dei meiner personvernregelverket er brote.

    Den praktiske kontrollen er likevel avgrensa sidan behandlinga er lovpålagt og ikkje basert på samtykke. Risikoen ved maktubalansen blir redusert ved at kommunen har klare rutinar for å ivareta desse rettane, og ved at elevane får medverka i prosessar som gjeld dei sjølve, særleg i skulemiljøsaker.

    For elevar og føresette kan behandlinga opplevast som både nødvendig og nyttig, fordi ho sikrar at bekymringar, tiltak og oppfølging blir dokumentert og følgde opp systematisk. Samstundes kan ho òg kjennast sårbar eller ubehageleg, sidan opplysningane ofte handlar om sensitive forhold som mobbing, trivsel, helse eller læringsvanskar.

    Dersom kommunen ikkje gir tydeleg informasjon om korleis opplysningane blir behandla, kven som har tilgang og kor lenge dei blir lagra, kan dei registrerte oppfatta behandlinga som uforutsigbar. Det kan skapa uro for at opplysningane blir brukte utover det som er nødvendig, eller at dei kan bli delte med fleire enn strengt tatt nødvendig.

    For å redusera denne risikoen er det avgjerande at skulen er open og forklarar formålet tydeleg, gir innsyn på førespurnad og involverer eleven i prosessen på ein forståeleg måte. Då vil behandlinga i større grad opplevast som legitim, føreseieleg og til beste for eleven.

    Personvernprinsippa

    Kva er behandlingsgrunnlaget?
    Nødvendig for å utøva offentleg mynde.

    Behandlinga av personopplysningar i Conexus Elevate er nødvendig for at kommunen skal kunne oppfylle fleire av sine lovpålagde plikter etter opplæringslova.

    For dei fleste personopplysningane er behandlingsgrunnlaget GDPR artikkel 6 nr. 1 bokstav e, fordi kommunen utøver ei oppgåve i ålmenta si interesse og som ledd i utøving av offentleg mynde. Heimelen i norsk rett er opplæringslova kapittel 11 (tilpassa opplæring) og kapittel 12 (skulemiljø).

    For særlege kategoriar av personopplysningar (helse, psykososiale forhold, læringsvanskar m.m.) er grunnlaget opplæringslova § 25-1, som gjev kommunen rett til å behandla slike opplysningar når det er nødvendig for å utføra oppgåver etter opplæringslova. Denne føresegna opnar uttrykkeleg for behandling av opplysningar som fell inn under GDPR artikkel 9 om særskilte kategoriar av personopplysningar.

    Conexus opptrer som databehandlar, og behandlar personopplysningane på vegner av kommunen, og berre i samsvar med inngått databehandlaravtale, jf. GDPR artikkel 28.

    Formålet med å lagra personopplysningar i Conexus Elevate, er å sikra at alle elevar får eit trygt og godt skulemiljø og den tilpassa opplæringa dei har rett på, samtidig som kommunen får dokumentert oppfølginga og kan leggja fram etterprøvbar dokumentasjon ved tilsyn. Personopplysningane blir brukte til å støtta skulen i å følgja opp sine plikter knytta til opplæringslova:

    1. Skulemiljøsaker (kapittel 12): Opplysningane skal brukast til å registrera bekymringar, dokumentera hendingar, setja inn og følgja opp tiltak, og evaluera resultat i saker som gjeld elevane sitt psykososiale miljø. Dette gjer at skulen kan visa at aktivitetsplikta er oppfylt, at eleven si stemme er tekne med i vurderingane og at skulen kan visa til nødvendig dokumentasjon ved tilsyn.

    2. Tilpassa opplæring (kapittel 11): Opplysningane skal brukast til å kartleggja og dokumentera elevane si faglege utvikling, identifisera behov for tilpassa opplæring eller spesialpedagogiske tiltak, og registrera tiltak som blir sette i verk. Dette gjer det mogleg å følgja utviklinga over tid, evaluera effekten av tiltaka og sikra kontinuitet ved byte av personale.

    Blir personopplysningane brukte til…

    … kontrollføremål (skatt, NAV, toll, politi, forsikring)?
    … systematisk og omfattande analyse av personlege aspekt?
    … avgjerder som får betydning for den registrerte?
    … profilering av den registrerte?
    … avdekka ukjende sider eller mønster?
    … vidarebehandling til nye formål (t.d. forsking)?

    Behandlinga er basert på prinsippet om at berre nødvendige opplysningar skal registrerast. Systemet legg til rette for at opplysningar blir registrerte manuelt av fagpersonar som sjølv vurderer kva opplysningar som er relevante for kvar enkelt elev og i kvar enkelt sak. Det er etablert rutinar og opplæring som skal hindra overregistrering. Berre opplysningar som er nødvendige for å dokumentera, vurdera og følgja opp tiltak for kvar enkelt elev og kvar enkelt sak, skal førast inn. Minst éin gong i året skal kommunen som skuleeigar gjennomføra internrevisjon, for å sikra at prinsippet om dataminimering blir etterlevd i praksis.

    Riktigheit blir sikra gjennom fleire mekanismar. Opplysningar om elevane og kva klassar dei tilhøyrer, blir henta frå kommunen sitt skuleadministrative system, noko som sikrar oppdatert og kvalitetssikra data. Faglege vurderingar, observasjonar og tiltak blir registrerte av tilsette ved skulen, og kan oppdaterast ved behov. Elevar og føresette har rett til innsyn og kan krevja retting av eventuelle feil.

    Personopplysningar blir lagra så lenge det er nødvendig for å oppfylla føremålet med behandlinga. For elevar inneber dette at opplysningar blir lagra gjennom heile skuleløpet, òg i periodar utan aktive saker, fordi oppfølginga er kontinuerleg. Når ein elev flyttar eller fullfører grunnskulen, blir opplysningane sletta eller arkiverte i samsvar med kommunen sine rutinar og arkivlova. Teknisk sletting skjer seinast innan 90 dagar etter at formålet er opphøyrt, med pseudonymisering som mellomsteg.

    Kommunen er behandlingsansvarleg. Conexus AS er databehandlar og behandlar personopplysningane berre på vegner av kommunen, i samsvar med inngått databehandlaravtale. Underleverandørar (Microsoft og Crayon) har ikkje sjølvstendig tilgang til data, og er bundne av tilsvarande krav til informasjonstryggleik og personvern.

    Dei registrerte sine rettar og fridommar

    Elevar og føresette får informasjon om behandlinga gjennom Ryfylkeskulen.no, og gjennom eventuell kommunikasjon frå skulen. Elevar og føresette har rett til innsyn i eigne opplysningar, og kan få tilgang til registrert informasjon gjennom førespurnad til skulen. Skulen skal legga til rette for at innsyn blir gitt på ein forståeleg måte.

    Dei registrerte har rett til å få retta feilaktige eller ufullstendige opplysningar. Retting skjer gjennom skulen sine rutinar, der tilsette oppdaterer informasjon ved behov. Rett til sletting gjeld når opplysningane ikkje lenger er nødvendige eller manglar rettsleg grunnlag, men kan vera avgrensa når behandlinga er nødvendig for å oppfylla lovpålagde plikter. Sletting skjer elles i tråd med fastsette lagringsreglar.

    Retten til å protestera er avgrensa, sidan behandlinga er nødvendig for å utføra lovpålagde oppgåver. Dataportabilitet kjem i liten grad til bruk, då behandlingsgrunnlaget ikkje er samtykke eller avtale, men offentleg myndigheitsutøving. Ved skulebyte kan likevel relevante opplysningar delast mellom skulane på ein kontrollert måte som del av oppfølginga av eleven.

    Behandlinga kan påverka elevane sitt personvern og oppleving av privatliv, særleg fordi det blir behandla opplysningar om trivsel, helse og læring. Det er ein viss risiko for stigmatisering eller uønskt eksponering dersom opplysningane ikkje blir handterte korrekt. Samtidig er føremålet med behandlinga å styrka elevane sine rettar, spesielt retten til eit trygt skulemiljø og tilpassa opplæring. Det skjer ingen automatiserte avgjerder eller profilering, og opplysningane blir brukte som grunnlag for faglege vurderingar og tiltak. Med etablerte sikkerheitstiltak, tilgangsstyring og elevmedverknad blir inngrepet i elevane sine fridommar vurdert som avgrensa og proporsjonalt.

    Risiko- og sårbarheitsvurdering

    Risiko: Personopplysningar om elevar kan bli tilgjengelege for uvedkomande, anten gjennom feil i tilgangsstyring, feil deling mellom tilsette, eller uheldig handtering av informasjon (t.d. utskrift, skjermdeling eller feil adressat).

    Konsekvens: Høg. Opplysningane kan omfatta sensitive forhold (mobbing, helse, læringsvanskar), og brot på konfidensialitet kan føra til stigmatisering, tillitsbrot og belastning for eleven.

    Sannsyn: Låg til middels. Systemet har gode tekniske sikringstiltak, men menneskelege feil kan framleis skje.

    Tiltak:

    • Rollebasert tilgangsstyring (tilgang etter behov)
    • Pålogging via Bank ID med sterk autentisering
    • Kryptering av data i ro og under overføring
    • Støtteinstansar får berre tilgang dersom eleven og dei føresette gjev samtykke til det.
    • Avgrensa tilgang for databehandlar
    • Opplæring i trygg handtering av personopplysningar

    Rest-risiko: Låg til middels. Risikoen er primært knytt til menneskeleg bruk, ikkje teknisk svakheit.

    Risiko: Opplysningar kan bli feilregistrerte, misforståtte eller mangelfulle, og likevel lagt til grunn for vidare oppfølging og tiltak.

    Konsekvens: Middels til høg. Kan føra til feil vurderingar, feil tiltak eller manglande oppfølging av eleven.

    Sannsyn: Middels. Registrering skjer manuelt i stor grad, og kvaliteten er avhengig av fagleg vurdering og praksis.

    Tiltak:

    • Klare rutinar for dokumentasjon og registrering
    • Fagleg ansvar hjå dei tilsette som registrerer opplysningar
    • Moglegheit for løpande oppdatering og korrigering
    • Innsynsrett for elev og føresette

    Rest-risiko: Middels. Integriteten er avhengig av praksis og vurderingar, men risikoen er handterbar.

    Det er ikkje identifisert risikoar knytt til tilgjengelegheit, utover det som allereie er vurdert på overordna nivå.

    Risiko: Elevar og føresette kan oppleva at dei ikkje har reell påverknad på korleis opplysningar blir registrerte og brukte.

    Konsekvens: Middels. Kan svekka tillit og oppleving av rettstryggleik.

    Sannsyn: Høg. Behandlinga er lovpålagt, og elevane kan ikkje reservera seg.

    Tiltak:

    • Elevmedverknad i konkrete saker sikrar at eleven si stemme blir dokumentert
    • Openheit og informasjon til elevar og føresette
    • Moglegheit for dialog med skulen
    • Innsynsrett og rett til retting

    Rest-risiko: Middels. Det er framleis maktubalanse, men den blir dempa gjennom involvering og openheit.

    Risiko: Elevar og føresette forstår ikkje kva opplysningar som blir behandla, kvifor og kven som har tilgang.

    Konsekvens: Middels. Kan føra til mistillit og redusert evne til å utøva rettane sine.

    Sannsyn: Middels. Informasjon kan bli oversett eller misforstått.

    Tiltak:

    • Personvernerklæring på Ryfylkeskulen.no og eventuell informasjon frå skulen
    • Klar kommunikasjon om føremål og bruk
    • Tilgjengeleg informasjon ved førespurnad

    Rest-risiko: Låg. Dei fleste elevar og føresette får tilstrekkeleg informasjon.

    Risiko: Behandlinga kan opplevast som lite føreseieleg dersom opplysningar blir brukte på måtar som ikkje er tydelege for dei registrerte.

    Konsekvens: Middels. Kan skapa uro og svekka tilliten til skulen.

    Sannsyn: Låg til middels. Føremålet er avgrensa, men kompleksiteten i systemet kan skapa uvisse.

    Tiltak:

    • Klart definert og avgrensa føremål
    • Ingen bruk til profilering eller automatiserte avgjerder
    • Rutinar for kontroll og intern gjennomgang

    Rest-risiko: Låg. Behandlinga skjer innanfor kjende rammer i skulen.

    Etter gjennomført ROS-vurdering blir dei identifiserte risikoane vurderte som handterte og reduserte til eit akseptabelt nivå. Dei mest alvorlege risikoane gjeld konfidensialitet og sårbare registrerte, men desse er i stor grad reduserte gjennom sterke tekniske og organisatoriske tiltak. Risiko knytt til integritet og medbestemming er i større grad avhengig av praksis og menneskelege faktorar, men blir handtert gjennom opplæring, rutinar og elevmedverknad.

    Ingen av risikoane blir vurderte som høg risiko etter at tiltaka er på plass. Den samla rest-risikoen er difor akseptabel sett opp mot føremålet med behandlinga, som er å sikra elevane sine rettar til eit trygt skulemiljø og tilpassa opplæring.

    Tiltak

    Arkitektur og drift: Løysinga blir drifta på Microsoft Azure i datasenter i EU/EØS, med høg grad av nettverks- og infrastruktursikring. Plattformen har innebygde mekanismar for overvaking, tilgangskontroll og vern mot ytre angrep. Redundans og lastbalansering sikrar stabil drift.

    Oppdateringar og vedlikehald: Leverandøren har rutinar for kontinuerleg oppdatering av systemet, inkludert sikkerheitsoppdateringar. Ved tryggleiksbrot har leverandøren plikt til å varsla kommunen utan ugrunna opphald.

    Brukaradministrasjon: Tilgang for tilsette blir styrt av skuleleiar gjennom Conexus Engage. Tilgangar blir jamleg gjennomgått, og fjerna når behovet fell bort.

    Fysisk sikkerheit: Data blir lagra i profesjonelle datasenter med streng fysisk sikring. Det blir ikkje lagra sensitive data lokalt på skulen sine einingar.

    Opplæring: Tilsette får opplæring i bruk av systemet og i trygg handtering av personopplysningar.

    Retningslinjer: Bruken er regulert av kommunen sine overordna retningslinjer for informasjonssikkerheit og personvern.

    Gjenoppretting: Databehandlar har etablert rutinar for sikkerheitskopiering og gjenoppretting av data ved driftsavbrot.

    Innebygd personvern: Systemet er utvikla med innebygd personvern, mellom anna gjennom tilgangsstyring, logging og avgrensa datainnsamling.

    Avtaleverk: Databehandlaravtale regulerer behandlinga og stiller krav til sikkerheit og etterleving av GDPR.

    Styringssystem: Kommunen har internkontroll for personvern og informasjonssikkerheit, inkludert oversikt over behandlingsaktivitetar.

    Personvernombodet: Personvernombodet er involvert i vurderingar og gjev råd om tiltak.

    Opplæring og bevisstgjering: Tilsette får opplæring i systembruk og personvern.

    Rutinar og prosedyrar: Det er etablert rutinar for registrering, tilgang, innsyn, retting, sletting og avvikshandtering.

    Kontroll og revisjon: DPIA og praksis blir gjennomgått jamleg, minst éin gong i året, og ved vesentlege endringar.

    Dokumentasjon: Alle vurderingar og tiltak blir dokumenterte.

    Forankring i leiinga: Leiinga har ansvar for godkjenning og oppfølging.

    Klart definert føremål knytt til opplæringslova: Behandlinga av personopplysningar er avgrensa til oppfølging av skulemiljø (kap. 12) og tilpassa opplæring (kap. 11), i tråd med kommunen sine lovpålagde plikter. Opplysningane blir ikkje brukte til andre føremål.

    Dataminimering gjennom praksis og opplæring: Tilsette får opplæring i å registrera berre opplysningar som er nødvendige for saka, særleg i fritekstfelt. Kommunen følgjer opp praksis for å unngå overregistrering av sensitive opplysningar.

    Rollebasert tilgang: Tilgang til opplysningar blir gitt basert på rolle og tenestleg behov, slik at tilsette berre ser informasjon om elevar dei har ansvar for. Dette reduserer risikoen for uautorisert innsyn.

    Elevmedverknad i oppretta saker: Eleven sin stemme skal dokumenterast i oppretta saker, og eleven skal få høve til å uttala seg i tråd med alder og modenheit. Dette bidreg til å styrka medbestemming og kvaliteten i oppfølginga.

    Avgrensa deling til andre aktørar: Opplysningar blir berre delte med aktørar som har behov for dei, som skuleleiing eller PP-tenesta, og berre når det finst lovgrunnlag eller samtykke. Deling blir dokumentert og avgrensa til det som er nødvendig.

    Lagringsavgrensing og sletting: Opplysningar blir lagra så lenge det er nødvendig for oppfølging av eleven, og blir sletta eller arkiverte når formålet er oppfylt. Teknisk sletting skjer innan fastsette fristar.

    Innsyns- og rettingsrettar: Elevar og føresette kan be om innsyn i registrerte opplysningar og få retta feil. Skulen har ansvar for å handtera slike førespurnader på ein forsvarleg måte.

    Ingen bruk til profilering eller automatiserte avgjerder: Opplysningane blir ikkje brukte til profilering eller automatiserte avgjerder. Alle vurderingar og tiltak blir gjort av fagpersonar basert på heilskaplege vurderingar.

    Kryptering (TLS og AES-256): All data blir kryptert både under overføring (TLS) og ved lagring (AES-256). Dette hindrar uautorisert innsyn dersom data blir fanga opp eller kompromittert.

    Sterk autentisering: Brukarar autentiserer seg med sterk autentisering gjennom BankID. Dette sikrar at berre verifiserte brukarar får tilgang til systemet.

    Rollebasert tilgangsstyring: Tilgang til personopplysningar blir avgrensa basert på rolle og behov. Brukarar får berre tilgang til informasjon som er nødvendig for å utføra arbeidsoppgåvene sine.

    Logging og sporbarheit: Alle oppslag og endringar i systemet blir loggførte med tidspunkt og brukar. Dette gjer det mogleg å etterprøva aktivitet og avdekka misbruk.

    Backup og redundans: Data blir jamleg sikkerheitskopiert og lagra redundant. Dette sikrar at data kan gjenopprettast ved tekniske feil eller driftsavbrot.

    Sikra kommunikasjon: All kommunikasjon med systemet skjer over krypterte samband. Personopplysningar blir ikkje sende ukryptert mellom system eller aktørar.

    Avgrensa tilgang for databehandlar: Databehandlar har berre tilgang til data i den grad det er nødvendig for drift og support. Tilgang er regulert gjennom avtale og blir loggført.

    Overvaking av systemaktivitet: Systemet blir overvaka for å avdekka uvanleg eller mistenkjeleg aktivitet. Dette gjer det mogleg å reagera raskt på potensielle tryggleiksbrot.

    Omsynet til interessentar

    FORSLAG:

    Personvernombodet i Hjelmeland kommune, Anne Auglend, har gått gjennom utkast til DPIA, og legg særleg vekt på at elevar og føresette må få tydeleg, forståeleg og tilpassa informasjon om korleis personopplysningar blir behandla i Conexus Elevate. Sidan behandlinga omfattar opplysningar om skulemiljø, helse og læring, er det viktig at informasjonsplikta blir tatt på alvor, og at informasjon blir gjeven både ved skulestart og i konkrete saker.

    Personvernombodet understrekar òg behovet for god praksis for dataminimering, særleg ved bruk av fritekstfelt, der det er risiko for å registrera fleire eller meir sensitive opplysningar enn nødvendig. Det blir peika på at opplæring av tilsette og jamleg gjennomgang av praksis er avgjerande for å avgrensa denne risikoen.

    Vidare framhevar personvernombodet særleg at skulen må sikra at elevane får reell rett til medverknad i saker som gjeld dei sjølv.

    Personvernombodet støttar vurderinga om at rest-risikoen er akseptabel, og har ingen motførestillingar mot bruk av Conexus Elevate, føresett at dei føreslegne tiltaka blir gjennomførte og følgde opp.

    I arbeidet med DPIA har kommunen vurdert synspunkt frå dei registrerte med utgangspunkt i erfaringar frå skulekvardagen og dialog med elevar og føresette i saker knytte til skulemiljø og tilpassa opplæring. Føresette har heile tida høve til å stilla spørsmål og ta opp ulike forhold med skulen, og så langt er det ikkje registrert vesentleg motstand mot sjølve behandlinga.

    Elevane har avgrensa føresetnad for å vurdera personvernspørsmål, men kan vera opptekne av korleis opplysningar om dei blir brukte og kven som får tilgang. Det blir difor lagt vekt på alderstilpassa informasjon og elevmedverknad i saker, slik at elevane forstår kva som skjer og får høve til å uttala seg.

    Samla sett opplever kommunen at elevar og føresette aksepterer behandlinga som nødvendig for å sikra eit trygt skulemiljø og tilpassa opplæring, så lenge det er openheit om føremålet og god kommunikasjon. Kommunen vil følgja med på eventuelle nye synspunkt eller klager og justera praksis ved behov.

    Leiinga si validering

    FORSLAG:

    Kommunalsjef oppvekst i Hjelmeland kommune, Ruth Nina Fiskå Rypestøl, har XX.XX.XXXX gjennomgått DPIA-rapporten og vurdert dei identifiserte risikoane, tiltaka som er sette inn, samt innspel frå personvernombodet og erfaringar frå elevar og føresette.

    Kommunalsjef oppvekst merkar seg at alle identifiserte risikoar er knytte til konkrete tiltak, og at råda frå personvernombodet er innarbeidde, særleg når det gjeld informasjon, dataminimering og varetaking av dei registrerte sine rettar. Det blir òg lagt til grunn at elevar og føresette i hovudsak aksepterer behandlinga, føresett at det er openheit og god kommunikasjon.

    Kommunalsjef oppvekst vurderer at dei etablerte tryggleiks- og personverntiltaka er tilstrekkelege og i tråd med god praksis i skulesektoren. Rest-risikoen er låg til moderat, og er i hovudsak knytt til menneskelege faktorar i registrering og bruk av opplysningar.

    Føremålet med behandlinga er sentralt for å sikra elevane sine rettar til eit trygt skulemiljø og tilpassa opplæring. Kommunalsjef oppvekst vurderer at fordelane ved behandlinga veg tyngre enn dei gjenverande risikoane, og at behandlinga er forholdsmessig og forsvarleg innanfor dei rammene som er sette.

    FORSLAG:

    Kommunalsjef oppvekst har, på bakgrunn av dokumentasjonen og vurderingane i DPIA, godkjent bruk av Conexus Elevate, under føresetnad av at dei identifiserte tiltaka blir gjennomførte og følgde opp i praksis.

    Godkjenninga er grunngjeven med at personvernomsynet er godt balansert opp mot føremålet med behandlinga. Elevane sitt personvern blir vareteke gjennom tydelege avgrensingar, tilgangsstyring og etablerte tryggingstiltak, samtidig som løysinga støttar kommunen sitt lovpålagde arbeid med skulemiljø og tilpassa opplæring.

    Kommunalsjef oppvekst godkjenner difor bruk av Conexus Elevate i Hjelmeland kommune. Det skal gjennomførast internkontroll innan 6–12 månader etter oppstart, for å sikra at tiltaka i handlingsplanen blir følgde. DPIA skal reviderast ved vesentlege endringar, og minimum årleg.

    Kommunen som skuleeigar har det overordna ansvaret for oppfølging av handlingsplanen. Det operative ansvaret for gjennomføring av tiltak, oppfølging av rutinar og kontroll med praksis blir delegert til rådgjevar skuleutvikling i samarbeid med skuleleiarane og personvernombodet.

    Strand kommune
    Vel målgruppe:
    Elev
    Tilsett
    Føresett
    Vel målgruppe:
    Elev
    Tilsett
    Føresett