Teams apper

I Microsoft Teams kan man finne mange ekstra apper som er laget for Teams. De fleste av disse appene er laget av tredjeparts firmaer, og ved bruk vil appen få ulike rettigheter til USN innhold. Pga. Personopplysningsloven (GDPR) kan ikke USN gi fri tilgang til å bruke alle disse appene.

Rettigheter som Teams apper krever

Et eksempel på et tillegg er appen "Kahoot!". Hvis man klikker på appen slik at man får opp mer informasjon om appen, kan man se hvilke tillatelser appen ber om. Appen Kahoot! ber f.eks. om følgende tillatelser

--- sitat ---

  • Access my profile information such as my name, email address, company name and preferred language.
  • Access information from this team or chat such as team or chat name, channel list and roster (including team or chat member's names and email addresses) - and use this to contact them​.

--- sitat slutt ---

Hver app trenger altså ulike slags tillatelser til ting. I dette tilfellet ser vi at Kahoot! ber om tilgang til brukerprofil og informasjon om team eller chat navn.

Personopplysningsloven

Utdrag fra https://www.datatilsynet.no/regelverk-og-verktoy/lover-og-regler/om-personopplysningsloven-og-nar-den-gjelder/:  "Personopplysningsloven handler om behandling – altså innsamling og bruk – av personopplysninger.".

Personopplysninger defineres videre som "alle opplysninger og vurderinger som kan knyttes til deg som enkeltperson" (https://www.datatilsynet.no/rettigheter-og-plikter/personopplysninger/)

Det at en app får tilgang til personopplysninger (brukerens profil) utløser dermed behovet for å følge personopplysningsloven.

Datatilsynet har laget mye god informasjon angående dette. På nettsiden https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/ kan man lese om personvernprinsippene som ligger til grunn for personopplysningsloven.

Dataminimering

Ett av avsnittene på Datatilsynets nettside om personvernprinsipper handler om dataminimering. Ut fra det som står der kan man lese at "Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere formålet med innsamlingen. Dersom personopplysninger ikke er nødvendige for å oppnå formålet, skal man heller ikke samle dem inn."

Det handler altså om å samle inn/lagre minst mulig personopplysninger for å kunne oppnå et definert formål. Da må man også se på hva slags formål man vil oppnå, og hva man kanskje allerede har av tjenester. Hvis for eksempel formålet er å kunne kommunisere innad i USN og med resten av verden med epost, trenger man ikke å ha to eposttjenester.

Skal det åpnes for en Teams app?

Hvis man ønsker å ta i bruk en app som dekker et formål som ikke dekkes av noen av de andre tilleggene USN allerede benytter, kan vi vurdere å åpne for å bruke den ønskede appen. Da må det i så fall gjøres en prosess på dette, som bl.a. innebærer følgende:

Behov

Behovet for å ta i bruk tillegget bør være at en slik art at det er hensiktsmessig for USN å ta i bruk tillegget. Det bør da helst være flere (ansatte eller studenter) som har dette behovet.

Riktig app for formålet?

Det bør undersøkes om det finnes andre apper som dekker det samme formålet som kanskje er bedre egnet.

Personvernkonsekvenser

USN plikter å gjøre en vurdering av personvernkonsekvensene ved å ta i bruk programtillegget.

Risikovurdering

USN plikter også å gjennomføre en risikovurdering før personopplysninger behandles og før man tar i bruk et informasjonssystem. Dette er for å vurdere om personoppslysningene og andre informasjonsverdier kan håndteres på en tilfredsstillende måte.

Databehandleravtale

Alle virksomheter som benytter seg av en underleverandør har plikt til å ha en databehandleravtale. En databehandleravtale skal sikre at personopplysninger blir behandlet i samsvar med lover og regler, og bestemmer hvordan databehandleren kan behandle opplysningene.

Hvis en app skal benyttes sammen med en USN brukerkonto og dermed automatisk lagrer en del informasjon, hvor noe av informasjonen kan regnes som personopplysninger, skal da USN ha en databehandleravtale med den virksomheten som er ansvarlig for det aktuelle programtillegget.