Utvidet spørsmål
I hvilken grad kan systemadministrator på en skole ha tilgang til elevopplysninger?Svar
Systemadministrator skal i utgangspunktet kun ha tilgang til slike personopplysninger som er nødvendige for å utføre systemadministrative oppgaver. I praksis betyr dette at tilgangen primært skal gjelde opplysninger som har betydning for drift og sikkerhet. Den behandlingsansvarlige skal autorisere personen for tilgang til slike opplysninger, dvs. det skal treffes eksplisitt bestemmelse om hva vedkommende kan ha tilgang til (se personopplysningsforskriften § 2-8). Tilgang til andre opplysninger, for eksempel i elevers, læreres og skoleadministrasjonens dokumenter, ligger utenfor det systemadministrator kan autoriseres til. Slike opplysninger skal om mulig skjermes for administrators innsyn.
Dersom systemoppsettet ikke gjør det mulig å unngå at systemadministrator kan skaffe seg uautorisert tilgang til opplysninger, skal all tilgang uansett logges slik at det blir mulig å avdekke ulovlig tilgang (se personopplysningsforskriften § 2-11 første og annet ledd og § 2-14). I hvilken grad det faktisk er mulig å sikre seg mot uautorisert tilgang fra systemadministrator avhenger av systemløsningen og kan ikke besvares generelt.
Uansett har systemadministrator selvfølgelig taushetsplikt for enhver opplysning som vedkommende skaffer seg tilgang til om noens personlige forhold. Behandlingsansvarlige skal dessuten drive internkontroll og denne aktiviteten skal fange opp eventuelle tilfelle av ulovlig tilgang.
