Vilkår for utveksling av personopplysninger mellom HK-dir og kommunen
Her finner du avtalen som regulerer vilkårene for utveksling av personopplysninger mellom HK-dir og kommunene, spesielt knyttet til administrasjon og gjennomføring av norsk- og samfunnskunnskapsprøver samt Statsborgerprøven.
Sist oppdatert : 22. januar 2025Formål
Formålet med disse vilkårene er å regulere utvekslingen av personopplysninger som gjøres i forbindelse med kommunens og HK-dirs gjennomføring av oppgaver etter integreringsloven. Spesifikt gjelder vilkårene utveksling i forbindelse med administrasjon og gjennomføring av prøver i norsk og samfunnskunnskap for voksne innvandrere, herunder Statsborgerprøven.
Personopplysningene skal behandles i samsvar med EUs personvernforordning (forordning 2016/67) og for øvrig i samsvar med krav i lover og regler, herunder gjeldende personopplysningslov og integreringsloven med forskrifter og godkjente adferdsnormer, samlet benevnt «Regelverket».
Begrepsbruken skal forstås i samsvar med EU-forordning 2016/679 artikkel 4.
Utlevering og mottak av personopplysninger
Hjemmelsgrunnlag for utlevering og mottak av personopplysninger
Hjemmelsgrunnlaget for utveksling av personopplysninger som ikke regnes som særlige kategorier, er personvernforordningen art. 6 1. e) og integreringsloven §§ 41–44, jf. integreringsforskriften kapittel 9.
Hjemmelsgrunnlaget for utveksling av personopplysninger som regnes som særlige kategorier, er personvernforordningen art. 6 1. e) samt artikkel 9 nr. 2 bokstav g) og integreringsloven §§ 41–44, jf. integreringsforskriften kapittel 9.
Partenes behandlingsformål i forbindelse med utlevering og mottak av personopplysninger
HK-dirs formål med å behandle personopplysningene er som en del av sine forvaltningsoppgaver innenfor utvikling, kvalitetssikring og å legge til rette for gjennomføring av prøver i norsk og samfunnskunnskap, herunder Statsborgerprøven. Dette inkluderer også ansvaret for det tekniske prøvesystemet hvor kandidater meldes opp, og hvor prøvestedene administrerer og gjennomfører prøvene lokalt.
Kommunenes formål med å behandle personopplysningene er for å gjennomføre prøvene for sine innbyggere i tråd med de forpliktelser som følger av integreringsloven og integreringsforskriften.
Personopplysninger som utveksles
Partene vil i henhold til disse vilkårene utveksle de personopplysninger som er nødvendig for å oppfylle formålene som fremgår av punkt 2.2, hvor det sentrale formålet er å tilrettelegge for og gjennomføre prøver i norsk og samfunnskunnskap, herunder Statsborgerprøven.
Nærmere oversikt over hvilke opplysninger dette er, finner du under "Bilag 1. Personopplysninger som behandles".
Mottakers ansvar for behandlingen og taushetsplikt
Mottaker av personopplysningene regnes som behandlingsansvarlig for opplysningene fra det tidspunktet opplysningene er mottatt eller hentet ut.
Den som får tilgang til opplysninger som er underlagt taushetsplikt, plikter å bevare taushet om disse i henhold til gjeldende regler.
Videreformidling av opplysninger
Videreformidling av opplysninger til underliggende og overordnete myndigheter, samt andre etater og tredjemenn må kun skje innenfor lovgivningens rammer. Før parten gir innhentede opplysninger videre, plikter parten å undersøke om det er tilstrekkelig hjemmelsgrunnlag for slik eventuell videreformidling.
Vurdering av personvernkonsekvenser
Hver av partene har et ansvar for å ta stilling til og eventuelt foreta en vurdering av personvernkonsekvenser iht. personvernforordningen art. 35.
Tekniske og organisatoriske tiltak
Partene skal sørge for at innhenting og utlevering av personopplysningene skjer i henhold til de sikkerhetskrav som følger av Regelverket. Partene skal sørge for tilstrekkelig personopplysningssikkerhet slik det følger av personvernforordningen artikkel 32. Partene skal spesifisere kravene under "Bilag 2. Oversikt over systemer, oppgaver og sikkerhetskrav".
Opplysningskvalitet og rutiner ved utlevering og mottak av opplysninger
Partene utleverer og mottar opplysninger med den kvalitet som til enhver tid eksisterer i partenes systemer.
Partene plikter å inneha interne systemer som effektivt fanger opp feil i opplysninger, eller andre feil ved tjenestene som påvirker behandlingen hos den enkelte part.
Kravene til konfidensialitet, tilgjengelighet og integritet må ivaretas ved elektronisk overføring av opplysninger mellom partene.
Endringer av vilkårene
Endringer i vilkårene kan gjøres med 30 dagers varsel.
Kontaktpersoner og samarbeid
Partene oppnevner hver sin kontaktperson/kontaktenhet og skal sørge for å holde den andre parten informert om gjeldende kontaktpersoner.
Varighet
Vilkårene gjelder så lenge partene utveksler personopplysninger etter integreringsloven med forskrifter.
Bilag 1. Personopplysninger som behandles
Personopplysninger som løpende overføres mellom kommunene og HK-dir:
Basert på kommunenes, herunder prøvestedenes tilganger i det prøveadministrative systemet (PAD), blir følgende personopplysninger tilgjengeliggjort for kommunene fra HK-dir, og kommunene registrerer inn følgende personopplysninger i PAD:
Nr. | Personopplysninger | Utleveres fra HK-dir via PAD | Utleveres fra kommunene ved innregistrering i PAD |
|---|---|---|---|
1. | Fornavn | x | x |
2. | Etternavn | x | x |
3. | Kjønn | x | x |
4. | Fødselsnummer | x | x |
5. | DUF-nummer | x | x |
6. | D-nummer | x | x |
7. | Passnummer | x | x |
8. | Kontaktinformasjon | x | x |
9. | Prøvetype/kategori | x | |
10. | Prøvespråk | x | |
11. | Prøvedato | x | |
12. | Betalingsstatus | x | x |
13. | Prøvested | x | |
14. | Prøveresultat | x | x |
15. | Prøvestatus (oppmeldt, under gjennomføring, avventer vurdering, fravær, teknisk feil, klagestatus o.l.) | x | |
16. | Morsmål | x | x |
17. | Kandidatnummer | x | |
18. | Undervisningsspor | x | x |
19. | Antatt nivå lesing / lytting | x | x |
20. | Opprinnelsesland | x | x |
21. | Fødselsdato | x | x |
22. | Informasjon om fusk | x | x |
Kategorier av registrerte:
- Kandidater
- admin-bruker ved prøvestedet, f.eks.:
- kontaktpersoner hos prøvestedet
- prøveansvarlig
- prøveleder
- eksaminator
- sensor
- adminsupport
Bilag 2. Oversikt over systemer, oppgaver og sikkerhetskrav
Teknisk skisse over informasjonsflyten
I henhold til hjemmelsgrunnlaget beskrevet i vilkårene og personopplysningene som utveksles og som er listet opp i Bilag 1, skjer det en utveksling i det prøveadministrative systemet PAD, mellom HK-dir og kommunene.
Kommunen får tilgang til et eget grensesnitt, hvor de kan opprette nye brukere, som får tilgang til det aktuelle grensesnittet. Grensesnittet gir tilgang på et område hvor det kan planlegges prøver, registrere kandidater, inkludert via Excel-import.
Tilgangsstyring og sikkerhet
HK-dir har ansvar for at systemet legger til rette for forsvarlig tilgangsstyring i systemet, og oppretter de første prøveansvarlig-brukerne ved kommunens prøvested. Når kommunen har fått tilgang ved den utpekte prøveansvarlige, er det kommunen som har ansvaret for å sikre at kun personer med formålstjenlig grunnlag har tilgang til prøvestedet i prøvesystemet. Det er opprettet ulike brukerroller, med tilgang på rollespesifikk informasjon for å gi prøvestedene så god kontroll som mulig:
- Prøveansvarlig
- Adminsupport
- Prøveleder
- Sensor
- C1-admin
En beskrivelse av de ulike brukerrollene er til enhver tid oppdatert på supportportalen for prøvesystemet.
Tilgangsstyringen er basert på en tofaktorpålogging for administrative brukere. Bruker må oppgi et personlig kryptert passord, og engangskode som sendes på SMS. Brukere som er inaktive i mer enn 30 minutter må autentisere seg på nytt.
Brukere som ikke er aktive på 13 måneder, vil bli automatisk deaktivert. Prøveansvarlig ved prøvestedet kan reaktivere brukeren.
HK-dir har ansvaret for å opprette prøvesteder og prøveansvarlig etter henvendelser fra kommunene og deres identifiserte enhet med ansvar for prøvegjennomføringen. Når prøvested og prøveansvarlig er blitt opprettet, vil det være opp til prøveansvarlig å sikre at kun de ved prøvestedet som har behov for tilgang, får tilgang til prøvesystemet. HK-dir må varsles når prøvesteder legges ned, og tilganger til prøveansvarlig skal fjernes.
Nettstedene benytter utelukkende kryptert kommunikasjon over HTTPS. Sertifikatene som benyttes på nettsidene er utstedt av DigiCert Inc, med SHA-256 med RSA-kryptering benyttes som signaturalgoritme. Nettstedene krever TLS 1.2 eller bedre.
Sletterutiner
For alle personopplysninger som utveksles:
Etter at mottakende parts formål er oppfylt skal mottatte personopplysninger slettes så snart dette er mulig, med mindre annet følger av lov, forskrift eller avtale mellom Partene.