Skytjenester i skolen

Transkript

1

2 Skytjenester i skolen NKUL 2012 Tommy Tranvik og Harald Torbjørnsen

3 Agenda 1. Skytjenester fordeler og ulemper 2. Rettslige reguleringer personopplysningsloven med forskrift 3. Praktiske eksempel fra skolesektoren

4 Enkel definisjon Datatjenester som tilbys over internettet Den vanligste tjenestemodellen er programvare som en tjeneste (SaaS)

5 Eksempler på skytjenester

6 Hva kjennetegner skytjenester? 1. Tjenesten driftes av en ekstern tilbyder 2. Ingen lokal installasjon av programvare 3. Tilgang til tjenesten krever internettettilkobling og nettleser 4. Betaler etter hvor omfattende bruken av tjenesten er 5. Opplysninger om enkeltpersoner blir lagret hos skytjenesten

7 Fordeler Trenger ikke kjøpe programvaren Lavere driftskostnader Mindre behov for teknisk kompetanse Ny funksjonalitet kan skrus på eller av etter behov Bedre beredskap raskere disaster recovery

8 Ulemper Mindre kontroll med egne IT-ressurser Mer avhengig av eksterne tjenesteleverandører Mindre rom for lokale tilpasninger (standardiserte tjenester) Utfordringer knyttet til overholdelse av lover og regler

9 Regulering av skytjenester Skoleeier er ansvarlig for all elektronisk bruk av personopplysninger i grunnopplæringen Ansvaret gjelder også når skoleeiere benytter seg av skytjenester Skoleeier pålegges å følge visse regler: Personopplysningsloven 15 Personopplysningsloven 13 Personopplysningsforskriften kapittel to

10 Databehandleravtaler Inngås mellom skoleeier og skytjenesten Skoleeiers kontroll med skytjenesten Viktige punkter i avtalen: 1. Avklare hva skytjenesten kan bruke personopplysningene til 2. Avklare om skytjenesten kan overføre personopplysninger til underleverandører eller andre samarbeidsparter 3. Kreve at skytjenesten iverksetter nødvendige tiltak for å sikre personopplysninger godt nok, jf pol. 13

11 Mulig å inngå avtaler? Kjenner skytjenesten til regelverket? Ønsker skytjenesten å følge regelverket? Har skoleeier forhandlingsstyrke overfor skytjenesten? Sjekk avtalen som skytjenesten tilbyr opp mot minimumskravene i Datatilsynets veileder

12 Mulig å følge opp avtaleinnholdet? Krav fra Datatilsynet til skoleeier: 1. Har informasjon om skytjenestens sikkerhetsløsninger 2. Får informasjon om og godkjenner endringer i sikkerhetsløsningene 3. Sikrer seg adgang til å gjennomføre sikkerhetsrevisjoner

13 Risikovurderinger og informasjonssikkerhet Skoleeier skal vurdere risikoen for brudd på informasjonssikkerheten ved bruk av skytjenesten Skoleeier skal foreta nye risikovurdere av skytjenesten med jevne mellomrom (for eksempel hvert andre år)

14 Hvor lagres opplysningene? Kan overføres til land innenfor EØS-området Kan ikke overføres til land utenfor EØS-området Unntak: 1. Land godkjent av EU 2. Safe Harbor-bedrifter i USA 3. Unntakene i 30 (samtykke) 4. Hvis det foreligger tilstrekkelige personverngarantier fra skytjenesten

15 Case 1 Bruk av globale skoletjenester live@edu, Google Apps for Edu Hvordan gå fram? 1 6

16 Hvordan gå fram? Les datatilsynets veileder for bruk Skytjenester. Ha grundig gjennomgang av tjenestenes Terms of use. 1 7

17 Hvordan gå fram? Gjennomfør risikovurdering Vurder ulike sikkerhetssenarioer Hva kan inntreffe? Hva vil konsekvensen kunne bli? Hvor stor risiko innebærer det? Hvilke tiltak kan redusere risikoen? 1 8

18 Hvordan risikovurdere? Hvilke risikoer kan inntreffe? Sikkerhetshull, data på avveie, uautorisert tilgang til elevdata, endring av policy 1 9

19 Hvordan risikovurdere? Hvilke lover og krav må bli tatt hensyn til? Personopplysningsloven med forskrift Krav til sikkerhetsrevisjon, krav til databehandleravtale og lignende

20 Databehandleravtale Be om databehandleravtale. Veileder fra Datatilsynet. Eksempel fra SÅTEsamarbeidet og Elverum NB: må vurderes av hver enkelt organisasjon. 2 1

21 Databehandleravtale Fundamenter avgjørelsen på høyt nivå. Rådmann/skolesjef 2 2

22 2 3 Oppsummering