Tjenesteleverandør til opplæring og folkehelse

Anskaffelse og tjenesteleveranse

Eksisterende rammeavtaler for digitale læringsressurser

Skolene i Vestfold og Telemark fylkeskommune skal fortrinnsvis anskaffe pedagogisk programvare og digitale læremidler gjennom enten BS Undervisning eller Crayon. Som leverandør bør dere i første omgang påse at deres tjenester er tilgjengelig gjennom disse tilbyderne. For anskaffelser som ikke omfattes av bestemmelsene i rammeavtalene gjelder øvrig regelverk og prosess for offentlig anskaffelser. Alle databehandleravtaler skal inngås med Vestfold og Telemark fylkeskommune, som del av en aktuell anskaffelse.

Personvern og informasjonssikkerhet

Databehandleravtale

Alle digitale læringsressurser må svare til de overordnede personvernprinsippene, krav om tilgangsstyring i forskrift til opplæringsloven, samt annen relevant lovgivning — før de kan tas i bruk i opplæringen. For leverandører som engasjeres som databehandler på vegne av fylkeskommunen som behandlingsansvarlig, forutsetter det nødvendig kompetanse og en forståelse i virksomheten for de ansvar og plikter som følger av personvernforordningen artikkel 28.

For avtale om behandling av personopplysninger i digitale læringsressurser, benytter Vestfold og Telemark fylkeskommune malen til Digitaliseringsdirektoratet, for databehandleravtale inkl. vedlegg. Dersom en skole ønsker å anskaffe en digital læringsressurs fra dere, vil de ta kontakt med fylkesadministrasjonen for å be om nødvendig vurdering av tjenesten og igangsettelse av prosess. Det er viktig at dere som leverandør kan frembringe nødvendig dokumentasjon i denne prosessen. Databehandleravtalen i seg selv er et offentlig dokument, men dokumentasjon og vurderinger av teknisk og organisatorisk innretning relatert til tjenesten vil kunne være underlagt taushetsplikt og unntatt offentlighet.

Noen viktige punkter ang. databehandleroppdraget:

1. Vestfold og Telemark fylkeskommune er behandlingsansvarlig i alle tilfeller der elever og ansattes personopplysninger behandles i en digital tjeneste som benyttes i forbindelse med opplæringen.
2. Formål og behandlingsgrunnlag er utelukkende definert av Vestfold og Telemark fylkeskommune, og viderebehandling av personopplysninger skal ikke forekomme utenom for arkiv-, forsknings- eller statistiske formål der det ansees å være forenlig med personvernforordningens artikkel 89-1.
   • Vestfold og Telemark fylkeskommune ved sektor for opplæring og folkehelse, aksepterer ikke viderebehandling av personopplysninger til analyse- eller maskinlæringsformål uforenlig med opprinnelig formål og behandlingsgrunnlag.
   • Ingen tjenester til bruk i opplæringen skal behandle opplysninger uten direkte instruks fra fylkeskommunen som behandlingsansvarlig; inklusiv analysedata til utviklingsformål, jf. personvernforordningens artikkel 29.
3. Innebygget personvern, som sørger for ivaretakelse av personvernprinsippene, skal være fundamentalt til utvikling av tjenesten.
   • Prinsippet om dataminimering er et viktig tiltak som databehandler kan etterstrebe i forkant av prosess med databehandleravtale. F.eks. dersom det eneste behovet til tjenesten er å verifisere om en bruker er tilknyttet en skole med aktiv lisens, og ønsker å lese data fra feidekatalogen, så er det kun nødvendig å lese attributter relatert til brukerens organisasjonstilknytning og/eller skoleliste.
   • Det må implementeres automatiske sletterutiner som kan ivareta kravene til sletting som stilles i databehandleravtalen.
4. Leverandør skal kunne dokumentere sin tekniske og organisatoriske innretning i et styringssystem for informasjonssikkerhet, samt iverksette endringer etter innspill.
   
   • Alle sikkerhetstiltak, organisatoriske og tekniske, skal fattes på bakgrunn av den aktuelle behandlingen — ikke ut ifra generelle risikobetraktninger jf. personvernforordningens artikkel 32. 
   • Metode for pseudoanonymisering eller anonymisering skal beskrives i detalj og på slik måte at det kan ansees som en tilstrekkelig garanti for at valgt metode fungerer etter formål.
   • Alle tjenester til bruk i opplæringen som behandler personopplysninger og muliggjør brukergenerert innhold, skal autentisere bruker via Feide eller AzureAD/Microsoft SSO.
5. Digitale læringsressurser skal ikke behandle personopplysninger utenfor EØS eller godkjente tredjeland — eller behandle personopplysninger etter en risikobasert tilnærming for tredjelandsoverføringer, f.eks. standard kontraktsklausuler (SCC) av 4. juni 2021.
   • Eks. analyseverktøy for markedsføringsformål eller supportsystem med behandlingslokasjon i USA, utgjør type tjenester og underdatabehandlere som ikke er forenlig med personvernprinsippene og krav om tilstrekkelig beskyttelse for den registrerte.
6. Inngått databehandleravtale forplikter leverandør til å opptre etter bestemmelser som følger databehandleroppdraget iht. artikkel 28 av personvernforordningen.
   • Løpende dialog og dokumentasjon ved forespørsel, bidrar til å muliggjøre en transparent behandling, samt å tilrettelegge for at tjenesten skal kunne videreutvikles.
   • For tjenester som kan benyttes til å evaluere læring, mestring og trivsel i skolen, vil fylkeskommunen være pålagt å gjennomføre en vurdering av personvernkonsekvenser (DPIA). Databehandler er forpliktet til å bistå fylkeskommunen med sin innsikt om egen tjeneste, i dette arbeidet.

Dere vil få tilsendt mal for databehandleravtale, kravspesifikasjon for informasjonssikkerhet (vi benytter kravspec.kins.no), samt at dere kan gi en gjennomgang av løsning og tilrettelegge for en pilot, som del av dokumentasjons- og vurderingsarbeidet.

Universell utforming av IKT

Alle digitale læringsressurser brukt i grunnopplæringen skal svare til kravene om universell utforming av IKT — om å gjøre webinnhold tilgjengelig for personer med funksjonsnedsettelse. Se WCAG 2.1 retningslinjene.

Kompetanseutvikling og onboarding

For at alle brukere, elever og ansatte, skal være i stand til å bruke digitale læringsressurser på en hensiktsmessig måte og etter formålet, er det nødvendig med god tilgang på opplæringsressurser og en prosess for å introdusere funksjonalitet og "bestepraksis". På intranett og elevsida, finnes brukertilpassede ressurser i form av tekst, steg-for-steg-instrukser og video. For at vi skal kunne tilgjengeliggjøre deres ressurser er det nødvendig med oversikt over innhold som enten kan "embedes" eller lenkes til fra relevante ressurssider.