Sikker håndtering av personopplysninger i skolen

Størrelse: px
Begynne med side:

Download "Sikker håndtering av personopplysninger i skolen"

Transkript

1 Sikker håndtering av personopplysninger i skolen veiledning

2 Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra til at bruken av IKT i skolen styrker kvaliteten på undervisningen, øker elevenes læringsutbytte og utvikler deres læringsstrategier. Målgrupper for senteret er barnehagen, grunnskolen og videregående opplæring, i tillegg til førskolelærer- og lærerutdanningen. Senter for IKT i utdanningen / Utgitt 2011

3 Forord Denne veilederen har som formål å gi skoler og skoleeiere hjelp til å håndtere personopplysninger (og andre informasjonsverdier) på en sikker måte når opplysningene behandles ved bruk av informasjons- og kommunikasjonsteknologi (IKT). Det viktigste arbeidsredskapet for å ivareta skolens personopplysninger på en trygg og lovmessig måte, er risikovurderinger. Veilederen gir derfor råd om hvordan skolen/skoleeier kan gjennomføre risikovurderinger for å sikre forsvarlig håndtering av personopplysninger som behandles ved bruk av elektroniske hjelpemidler. Veilederen har tre målgrupper. Den retter seg mot (1) rektorer og IKT-ansvarlige på skolenivå, (2) IKT-koordinatorer hos skoleeier og de som har driftsansvar for skolens IKT-løsninger og (3) ansatte på skolenivå som tillegges ansvaret med å gjennomføre risikovurderinger. HVORFOR RISIKOVURDERINGER I SKOLEN? I dette arbeidet er såkalte risikovurderinger det fremste redskapet. Samtidig krever personopplysningsloven med forskrift at skoleeiere foretar risikovurderinger av hvordan personopplysninger behandles. Ved å gjennomføre slike vurderinger vil skolen og skoleeier få svar på om sikringen av personopplysningene (og skolens øvrige informasjonsverdier) er god nok, eller om det bør iverksettes tiltak for å ivareta verdiene enda bedre. Veilederen bygger på metodikk for risikovurdering slik den er beskrevet i Norsk Standard og i veileder for risikovurdering utgitt av Datatilsynet. 2 PILOTKOMMUNENE Kommunene i SÅTE-samarbeidet (Stor-Elvdal, Åmot, Trysil og Engerdal) har vært piloter i arbeidet med å lage denne veilederen. Senter for IKT i utdanningen ønsker å takke SÅTEkommunene for deres deltakelse og innsats. Senteret ønsker også å takke alle de enkeltpersoner fra skole- og IT-sektoren i SÅTE-kommunene som deltok i pilotarbeidet. Stadig flere av skolens informasjonsverdier, spesielt opplysninger som kan knyttes til den enkelte elev, foreldre, lærer, leder eller administrativt ansatt, behandles ved hjelp av komplisert datautstyr og programvare. Dermed er det avgjørende at skolen og skoleeier har kunnskap om hvordan personopplysninger (og andre informasjonsverdier) kan sikres på en betryggende måte aspx

4

5 Innhold Forord 3 Innledning 6 01 Rettslige plikter og risikovurderinger 8 Personopplysninger i skolen 8 Hva er informasjonssikkerhet? 9 Rutiner for sikker håndtering av personopplysninger 10 Generelt om risikovurdering Gjennomføring av risikovurdering i praksis 14 Forberedende fase 14 Beskrivelse av arbeidsverktøyene (metodikk) 19 Planlegging av risikovurderingsmøter 24 Gjennomføring av risikovurderingsmøter Etterarbeid, utarbeide risikorapport 38 Hva består etterarbeidet av? 38 Nye risikovurderinger 42 Avslutning 42

6 Innledning 6 Sikker håndtering av personopplysninger i en digital skolehverdag forutsetter kunnskap om bruk av risikovurderinger. Denne veilederen handler derfor om hvordan skolen kan gjennomføre risikovurderinger på en god måte. Veilederen har en praktisk og konkret tilnærming til arbeidet med risikovurderinger. Målet er at veilederen skal sette ansatte i skolen i stand til å gjennomføre slike vurderinger uten at de har kompetanse på eller erfaring med dette fra tidligere. Veilederen er spesielt tilpasset skolesektorens behov, men den kan også benyttes innenfor andre kommunale tjenesteområder (for eksempel barnehager). Det særegne med skolen er at den involverer mange forskjellige aktører (elever, foreldre, lærere, ledere, administrativt ansatte, osv.). Samtidig skiftes deler av elev- og foreldremassen ut hvert eneste år. I tillegg forvalter skolen opplysninger som elever og foreldre/foresatte plikter å gi fra seg, og mange av elevene kan ikke forventes å passe på sine egne opplysninger selv. Dette gir skolen et spesielt ansvar for, og stiller skolen og skoleeier overfor særlige utfordringer, når det gjelder sikker håndtering av personopplysninger. BRUKEN AV IKT I SKOLEN Det er et viktig mål for nasjonale skolemyndigheter å styrke kvaliteten på bruken av IKT i skolen, og digital kompetanse er i læreplanene til Kunnskapsløftet definert som den femte basisferdigheten. For å kunne ta i bruk IKT på en enda bedre måte enn i dag, er det avgjørende at skolen og skoleeier har en viss styring og kontroll med hvordan IKT anvendes i skolehverdagen. Tillit er et nøkkelord i denne sammenheng. Alle som er tilknyttet skolen må for eksempel kunne stole på at bruken av IKT ikke øker sannsynligheten for at skolen mister kontrollen med hvem som har tilgang til sensitive elevopplysninger. De må også kunne stole på at uvedkommende ikke endrer opplysninger om karakterer og fravær som er registrert i det skole- administrative systemet. Samtidig kan mobbing og trakassering få større dimensjoner når dette skjer ved hjelp av digitale medier, og det er helt avgjørende at IKT-systemene virker som de skal når digitale prøver eller eksamener gjennomføres. Hensikten med å gjennomføre risikovurderinger er å styrke skolens og skoleeiers digitale kompetanse. Ved å foreta slike vurderinger kan skolen og skoleeier avdekke uønskede hendelser som kan oppstå i forbindelse med bruken av IKT. Dermed har skolen eller skoleeier mulighet til å iverksette tiltak for enten å forhindre at hendelsene inntreffer eller å redusere skadevirkningene av dem hvis de likevel skulle skje. På denne måten kan skolen og skoleeier styrke tilliten til at digitale teknologier er et nyttig hjelpemiddel i skolehverdagen. RISIKOVURDERINGER OG LOVGIVINGEN I tillegg til at gjennomføring av risikovurderinger kan styrke tilliten til skolens bruk av IKT, har skoleeier en rettslig plikt til å foreta slike vurderinger. Denne plikten følger av personopplysningsloven 13 og personopplysningsforskriften kapittel to. Her kreves det at risikovurderinger gjennomføres når opplysninger om enkeltpersoner behandles ved hjelp av digital teknologi. Plikten innebærer at skoleeier skal forvisse seg om at opplysninger om den enkelte elev, foreldre, lærer, leder eller administrativt ansatt er tilfredsstillende sikret. Det skoleeier skal unngå, er at uvedkommende får tak i opplysningene og at uvedkommende endrer eller sletter opplysningene, og skoleeier skal sørge for at de som har rettmessig behov for opplysningene får tilgang til dem. Denne veilederen vil hjelpe skoleeiere med å ivareta sine plikter etter personopplysningsloven og forskriften.

7 RISIKOVURDERINGER OG KOMPETANSETERSKELEN Mange ansatte i kommuner og fylkeskommuner synes å tro at de trenger hjelp fra eksterne eksperter for å få til en god risikovurdering. Men det er de som bruker IKT-systemene i det daglige (digitale læringsplattformer, skoleadministrative systemer, bærbare pc-er, spesialpedagogisk programvare, e-post, osv.) som er best kvalifisert til å gjøre dette arbeidet. Derfor bør de tre hovedelementene i risikovurderingsprosessen forberedelse til, gjennomføring av og oppsummering i etterkant av risikovurderingsmøtene tas hånd om lokalt. Dette betyr ikke at ekstern hjelp er uten interesse eller verdi. Men husk at ingen eksterne eksperter har like god kompetanse på bruk av skolens IKT-systemer som det skolens egne brukere har. Ved at det er brukerne selv som styrer arbeidet med risikovurderinger, øker sannsynligheten for at problemer oppdages og rettes slik at IKT anvendes på en trygg og sikker måte. STRUKTUREN I VEILEDEREN Veilederen er inndelt i tre hoveddeler. Første del presenterer viktig bakgrunnsstoff, det vil si ting som kan være verdt å vite før den praktiske gjennomføringen av risikovurderingen tar til. Her dreier det seg om hvilke rettslige plikter skoleeier har når det gjelder risikovurderinger og informasjonssikkerhet. Til slutt gis en generell introduksjon til hva risikovurderinger er, og sentrale begreper forklares. Del to tar for seg den praktiske utførelsen av selve risikovurderingsprosessen: forberedelsene til og gjennomføringen av risikovurderingsmøtene. Her gis råd om hvordan prosessen kan forankres på ledelsesnivå (både på skolen og hos skoleeier). Dernest forklares de mer tekniske sidene av en risikovurdering, spesielt hvordan sannsynlighets- og konsekvensverdier kan utformes, og hvordan en risikomatrise skal brukes og forstås. Så rettes oppmerksomheten mot hvilke dokumenter som bør lages forut for risikovurderingsmøtene, hvem og hvor mange som bør delta på møtene, valg av møtelokaler, hvordan møtene kan struktureres og ledes og hva de typiske fallgruvene er. Del tre tar for seg oppsummeringen av resultatene fra risikovurderingsmøtene. Her forklares hva rapporten fra risikovurderingen bør inneholde, hvordan rapporten kan kvalitetssikres og hvem du bør presentere dine konklusjoner og anbefalinger til. 7

8 01 Del 1 Rettslige plikter og risikovurderinger I første del av veilederen tar vi for oss viktig bakgrunnsstoff: de rettslige plikter som skoleeier har når det gjelder risikovurderinger og informasjonssikkerhet, hva en risikovurdering er og viktige begreper som brukes i en risikovurderingssammenheng. Hvis du allerede er kjent med alt dette, så kan du gå direkte til del to, det vil si den praktiske gjennomføringen av selve risikovurderingsarbeidet. Lovverket skiller mellom sensitive og alminnelige personopplysninger. Med sensitive personopplysninger menes informasjon om helse og helserelaterte forhold; om etnisk eller rasemessig bakgrunn; om politisk, religiøs eller livssynsmessig oppfatning; om seksuell legning; om strafferettslige forhold og om fagforeningsmedlemskap. Alle andre typer personopplysninger regnes som alminnelige. Datatilsynet stiller strenge krav til sikring av sensitive personopplysninger, blant annet at de behandles i en ekstra sikker del av skoleeiers datanettverk. 8 PERSONOPPLYSNINGER I SKOLEN Når skolen tar i bruk IKT i undervisningen og til administrative formål, så innebærer det at personopplysninger behandles elektronisk. Som allerede antydet, betyr dette at bruken av opplysningene styres av reglene i personopplysningsloven 3 med forskrift 4. Reglene i lovverket har til hensikt å ivareta personvernet privatlivets fred, den personlige integriteten og opplysningskvaliteten til de som opplysningene gjelder (elever, foreldre/foresatte, lærere, osv.). Reglene gjelder ikke bare for opplysninger som behandles ved bruk av elektroniske hjelpemidler, men også for opplysninger som inngår i manuelle personregistre, for eksempel i fysiske elevmapper. Det er Datatilsynet som fører kontroll med at reglene følges. Med personopplysninger menes all informasjon og alle vurderinger som kan knyttes til en person som vi kjenner navnet på (eller som vi kan identifisere på andre måter). Opplysningene kan foreligge i form av tekst, bilder, film, video- eller lydopptak. Navn, adresse, alder, telefonnummer og fødselsnummer er eksempler på personopplysninger. I skolen vil opplysninger om elevenes karakterer, fravær, anmerkninger, faglig progresjon, spesielle undervisningsbehov, atferdsmønstre og sosiale ferdigheter være personopplysninger. Det samme gjelder opplysninger om innlevering av og innholdet i elevarbeider, besvarelser på prøver og eksamener, e-postkommunikasjon og innholdet i andre former for elektroniske meldinger Sensitive personopplysninger vil blant annet være informasjon om sykdom og diagnoser, for eksempel i tilknytning til elever med lærevansker. Samtidig er dette informasjon som gjerne registreres i forbindelse med fravær. Slik informasjon vil også ofte behandles i forbindelse med elever som har krav på tilrettelegging ved prøver og eksamener. Informasjon om elevenes sosiale ferdigheter, atferdsmønstre og kommunikasjonsevner kan være å regne som sensitive (eller i det minste sterkt personlige). I tillegg kreves det nok at informasjon om vanskelige familie- eller hjemmeforhold behandles med ekstra varsomhet (selv om de juridisk sett ikke alltid vil være sensitive). Ansatte og skoleledere bør dessuten være oppmerksom på at informasjon om fagforeningsaktivitet regnes som sensitiv og har krav på et spesielt vern. Hvis skolen mistenker elever eller ansatte for straffbare handlinger, for eksempel skadeverk, tyveri, seksuelle krenkelser eller omsetning av rusmidler, er også disse personopplysningene sensitive. Det samme gjelder for informasjon om elever (og deres foreldre/foresatte) som av religiøse eller livssynsmessige grunner er fritatt fra deler av undervisningen (eller som følger et spesielt undervisningsopplegg). Selv om det stilles ekstra strenge krav til sikring av sensitive personopplysninger, er det viktig å være oppmerksom på at også ikke-sensitive (alminnelige) personopplysninger skal sikres på en tilfredsstillende måte. Skoleeier har derfor ikke oppfylt sine rettslige plikter uten at det iverksettes tiltak for å ivareta alle typer personopplysninger som behandles i skolen. I personopplysningsloven finnes regler for hvordan skoleeier skal gå frem for å sikre seg lov til å behandle opplysninger om enkeltpersoner. I grunn- og videregående skoler er en god del av bruken av personopplysninger hjemlet i opplæringsloven

9 01 med forskrifter. Personopplysningsloven inneholder også regler om rettighetene til de som opplysningene gjelder (for eksempel retten til å få innsyn i egne opplysninger eller retten til å kreve endring og sletting av opplysningene). Det er viktig å være oppmerksom på at rettighetene ikke har en nedre aldersgrense. De gjelder derfor for alle personer under 18 år, men for de yngste elevene vil det normalt være foreldrene/ foresatte som ivaretar rettighetene på elevenes vegne. I kommuner og fylkeskommuner er det rådmannen som er øverste ansvarlig for at skolene gjennomfører risikovurderinger. I privateide skoler vil det være den daglige lederen for virksomheten (eller organisasjonen) som sitter med dette ansvaret. Det er vanlig at rådmannen eller daglig leder har delegert ansvaret for arbeidet med risikovurderinger og informasjonssikkerhet til en sikkerhetsansvarlig. Mange skoleeiere har også en egen sikkerhetshåndbok som blant annet beskriver hvordan arbeidet med risikovurderinger skal foregå. 9 Hvem har ansvaret? Det er skoleeier som er ansvarlig for at reglene i loven og forskriften følges, ikke den enkelte skolen. Skoleeier må derfor ha et system som blant annet sikrer at elevenes rettigheter ivaretas. Det samme gjelder for forhold til foreldre/foresatte, lærere og administrativt ansatte. For mer informasjon om rettigheter, se Datatilsynets hjemmeside (www.datatilsynet.no). Reglene om risikovurderinger og informasjonssikkerhet Som nevnt innledningsvis, finnes reglene om risikovurderinger og sikring av personopplysninger (informasjonssikkerhet) i personopplysningsloven 13 og personopplysningsforskriften kapittel to. Særlig forskriftens kapittel to inneholder en rekke bestemmelser om hvordan arbeidet med å sikre personopplysningene skal organiseres, gjennomføres, kontrolleres og dokumenteres (for nærmere informasjon om dette, viser vi igjen til Datatilsynets hjemmeside). Det som er viktig å være oppmerksom på i denne sammenheng, er at risikovurderinger er noe skoleeierne (enten det er kommuner, fylkeskommuner eller private aktører) skal gjennomføre både jevnlig (for eksempel hvert år) eller ved behov (for eksempel før et nytt IKT-system tas i bruk). Kravet som stilles til skoleeiers sikring av personopplysninger, er at sikkerheten skal være tilfredsstillende. Hva som menes med tilfredsstillende sikring av opplysningene, er det opp til skoleeieren selv å bestemme: «Hvor strenge krav til sikkerheten har vi behov for å stille her hos oss?» Risikovurderinger skal avdekke om de kravene som skoleeier stiller til sikkerheten er oppfylt, eller om det må iverksettes nye og strengere sikringstiltak. Rektorer bør sjekke skoleeierens sikkerhetshåndbok. Her vil det vanligvis være angitt hvem hos skoleeieren som har ansvaret for den rent praktiske gjennomføringen av risikovurderinger. Ofte er det virksomhetslederne rektorene som pålegges å utføre denne oppgaven. Hvis du som rektor oppdager at din skoleeier ikke har egne rutiner for å følge opp reglene om risikovurdering og informasjonssikkerhet, bør du be din rådmann eller daglige leder om at slike lages. Be også om at rutinene samles i en sikkerhetshåndbok, som gjerne kan tilgjengeliggjøres på skoleeierens intranett. HVA ER INFORMASJONSSIKKERHET? I Datatilsynets veileder for internkontroll defineres informasjonssikkerhet på følgende måte: «Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.» Datatilsynets definisjon er relatert til personopplysninger. Men generelt kan vi si at også informasjon som ikke er personopplysninger, for eksempel undervisningsopplegg, ukeplaner, oppgavetekster, osv., bør sikres på en tilfredsstillende måte.

10 01 10 Det personopplysninger i skolen skal sikres mot, er tre typer sikkerhetsbrudd: Brudd på konfidensialiteten At personopplysninger ikke kommer uvedkommende eller uautoriserte personer i eller utenfor skolen i hende. Uvedkommende er i denne sammenheng også ansatte i skolen som ikke har tjenestelig behov for å vite om opplysningene. Skoleeier skal derfor tilstrebe at ikke flere enn strengt tatt nødvendig får tilgang til spesielt sensitive eller sterkt personlige opplysninger. Skoleeier skal treffe tiltak slik at verken tilsiktede eller utilsiktede handlinger fører til brudd på opplysningenes konfidensialitet. 5 Brudd på integriteten At personopplysninger ikke endres eller slettes av personer i eller utenfor skolen som ikke har fått lov til å gjøre dette. Uautorisert endring eller sletting av personopplysninger kan lett føre til at opplysningene blir feilaktige, misvisende eller ufullstendige. Det kan innebære at beslutninger fattes på sviktende grunnlag. Men det kan også innebære at det gis et falskt bilde av den som opplysningene handler om. I verste fall kan dette få store og problematiske konsekvenser for den som utsettes for brudd på opplysningenes integritet. Brudd på tilgjengeligheten At personopplysningene til enhver tid er tilgjengelige for personer i eller utenfor skolen som har rettmessig behov for tilgang til dem. Sikring av opplysningenes tilgjengelighet er selvsagt viktig for at ansatte i skolen skal kunne gjøre jobben sin. Men det er også viktig for de som opplysningene gjelder. Hvis skolen ikke finner igjen viktige opplysninger om for eksempel elever eller foreldre, kan det skape utrygghet for hva som har skjedd med opplysningene og hvem som eventuelt har fått tak i dem. Det er viktig at skolen og skoleeier har et bevisst forhold til hvem som skal ha tilgang til opplysningene og hvem som ikke skal ha det. RUTINER FOR SIKKER HÅNDTERING AV PERSONOPPLYSNINGER For å sikre seg mot brudd på konfidensialiteten, integriteten og tilgjengeligheten, er det nødvendig at skolen eller skoleeier lager rutiner for hvem som skal håndtere personopplysninger og hvordan dette skal foregå. Dette er samtidig en plikt som følger av bestemmelsene om internkontroll i personopplysningsloven med forskrift. 6 Det kan derfor være lurt å tenke igjennom følgende spørsmål: Registrering av opplysninger Hvem har ansvaret for å registrere personopplysninger? Finnes det rutiner for hvordan (og eventuelt når) registreringen skal foregå? Finnes det rutiner for hvor opplysningene skal registreres? Finnes det rutiner for å sjekke kvaliteten på opplysningene? Lagring av opplysninger Hvem har ansvaret for at opplysningene tas vare på? Finnes det rutiner for hvilke opplysninger som skal lagres hvor? Finnes det rutiner for sikkerhetskopiering av lagrede opplysninger? Endring og sletting/arkivering av opplysninger Hvem har ansvaret for at opplysningene er korrekte og oppdaterte? Hvem har ansvaret for å slette opplysninger som det ikke lenger er bruk for? Finnes det rutiner for hvordan (og eventuelt når) opplysningene skal endres eller slettes? Finnes det rutiner for hvilke opplysninger som skal arkiveres og hvilke som skal slettes? Tilgang til opplysningene Hvem har tjenestelig behov for tilgang til ulike opplysninger? Finnes det rutiner for hvem som gis tilgang til hvilke opplysninger? Finnes det rutiner for å avslutte tilgangen når det tjenestelige behovet faller bort? 5 Opplæringsloven og forvaltningsloven inneholder i tillegg regler om konfidensialitet (taushetsplikt) for opplysninger om enkeltpersoner i skolen. Disse reglene gjelder selv om opplysningene ikke behandles elektronisk. 6 Se personopplysningsloven 14 og personopplysningsforskriften kap. 3.

11 01 11 Ved å gi svar på disse spørsmålene, er det iverksatt tiltak som sier noe om hvordan ulike typer personopplysninger skal håndteres og hvem som har ansvaret for at håndteringer skjer på rett måte. Dermed kan risikovurderingen fokusere på om rutinene og retningslinjene faktisk følges om de er godt nok kjent, om de er hensiktsmessige eller om de bør forandres. GENERELT OM RISIKOVURDERING Risikovurderinger kan virke som noe fremmed og veldig teknisk. Det er det ikke. Vi gjør alle risikovurderinger hver eneste dag. Mange av oss vurderer for eksempel risikoen for trafikkulykker som såpass liten at vi kjører bilen til jobben hver morgen. Vi aksepterer denne risikoen. Men de fleste av oss vil nøle med å forlate bilen ulåst på parkeringsplassen utenfor kjøpesenteret. Denne risikoen aksepterer vi ikke. Isteden bruker vi et sikringstiltak vi låser den for å redusere risikoen for at bilen eller noe i den blir stjålet. Hvis vi tar utgangspunkt i det siste eksempelet, kan vi si at risikovurderinger består av en beskrivelse av hva som skal risikovurderes: «Bilen blir stående ulåst på parkeringsplassen utenfor kjøpesenteret.» Så spør vi: Hva kan skje hvilke uønskede hendelser kan inntreffe? - Bilen kan bli stjålet. - Noe i bilen kan bli stjålet, for eksempel stereoanlegget eller fotoapparatet. Til slutt vurderer vi hvor sannsynlig det er at disse hendelsene inntreffer og hvilke negative konsekvenser det kan få hvis hendelsene faktisk skjer. Dersom vi finner ut at sannsynligheten for og konsekvensene (eller skadevirkningene) av hendelsene er store, vil risikoen være uakseptabel høy. Løsningen blir da å iverksette ulike typer sikringstiltak, for eksempel å låse bilen eller å utstyre den med innbruddsalarm, for å redusere risikoen for at hendelsene inntreffer. Risikovurdering som muliggjører Poenget med risikovurderinger er ikke å finne grunner til ikke å bruke IKT i skolen, men å forsikre oss om at teknologien anvendes på en sikker og forsvarlig måte (slik at vi kan ha tillit til skolens håndtering av personopplysninger og andre informasjonsverdier). Vi kan si at risikovurderinger fungerer omtrent på samme måten som bremsesystemet i en bil: Det er bremsesystemet som gjør det forsvarlig å kjøre like fort som fartsgrensen tillater. En bil uten bremser hører ikke hjemme på motorveien, men i garasjen. Slik kan vi også tenke når det gjelder skolens bruk av IKT. Tenk deg at det skoleadministrative systemet lå helt åpent for innsyn og redigering fra resten av verden. Da hadde vi trolig sluttet å bruke det, enten fordi vi var redd for at personopplysningene skulle komme på avveier, eller fordi vi ikke lenger stolte på at opplysningene var korrekte (eller begge deler). Det avgjørende for bruken av det skoleadministrative systemet er at vi kan stole på at det er godt nok sikret. Hvis ikke, ville det være like uforsvarlig å bruke systemet som det er å kjøre en bil uten bremser. Risikovurderinger er det verktøyet vi bruker for å finne ut om skolens IKT-bremser er gode nok eller om vi trenger nye. Når og hvor ofte skal risikovurderinger gjennomføres? Som nevnt ovenfor, er skoleeier pålagt å gjennomføre risikovurderinger jevnlig, for eksempel årlig. I tillegg pålegges skoleeier å gjennomføre risikovurderinger etter hver endring av IKT-systemet som kan tenkes å påvirke sikkerheten til det. Videre er det verdt å merke seg at skolen eller skoleeier alltid skal gjennomføre risikovurderinger før et nytt IKT-system tas i bruk. Erfaring tilsier at offentlige skoleeiere (kommuner og fylkeskommuner) ikke alltid er like nøye med å risikovurdere IKT-systemene før de tilbys til brukerne. Da blir det desto viktigere at det gjennomføres risikovurderinger etter at systemene er tatt i bruk.

12 01 12 Hva er risiko? All bruk av IKT innebærer en viss risiko for at personopplysninger kommer uvedkommende i hende, at de blir endret eller slettet på uautoriserte måter eller at de ikke er tilgjengelige. Det vil derfor alltid være en viss usikkerhet knyttet til om noe uønsket kan skje. Risiko betyr at det for enhver uønsket hendelse finnes en viss sannsynlighet for at den kan skje og at hendelsen vil ha et visst skadeomfang om den skulle skje (sannsynlighet og konsekvens). Uønsket hendelse En uønsket hendelse kjennetegnes av at den enten fører til brudd på personopplysningenes konfidensialitet (kommer uvedkommende i hende), integritet (endres eller slettes på uautoriserte måter) eller tilgjengelighet (ikke er å få tak i). Uønskede hendelser kan for eksempel være at sensitive opplysninger kommer på avveier fordi læreren har mistet sin minnepenn eller at personopplysninger går tapt fordi det ikke blir er tatt sikkerhetskopi av rektors dokumenter. Mye av risikovurderingsarbeidet går ut på å finne frem til uønskede hendelser. Sannsynlighet Hvor sannsynlig er det at en uønsket hendelse inntreffer? Sannsynligheten for at «læreren blir frastjålet sin bærbare pc» påvirkes av flere faktorer, for eksempel i hvilken grad det er lett å få tak i den når læreren ikke er på arbeidsrommet. Sannsynligheten kan også påvirkes av hvor fristende det er for personer i eller utenfor skolen å stjele med seg en bærbar pc fra skolens område. Konsekvens Dersom en uønsket hendelse inntreffer, hva er da konsekvensen (eller skadevirkningen)? Hendelse kan for eksempel gå ut over en enkelt elev eller lærer, men den kan også ramme mange personer ved skolen. Skadevirkningen kan bestå i at elevens eller lærerens anseelse eller personlige integritet krenkes. Hvis hendelsen rammer flere personer og det er snakk om at sensitive personopplysninger har kommet på avveier, er skadevirkningen større enn hvis hendelsen rammer én person og det er alminnelige personopplysninger som har forsvunnet. Det samme gjelder for tilgjengelighet: Jo flere som ikke får tilgang til sine opplysninger, dokumenter og andre informasjonsverdier, desto større er skadevirkningen. Risikofaktor Når du har bestemt deg for hvor sannsynlig det er at en uønsket hendelse inntreffer og hva konsekvensen kan bli, kommer du frem til det som kalles for en risikofaktor. Risikofaktoren finner du ved å anslå hendelsens sannsynlighet og konsekvens på en skala fra 1 (lite sannsynlig, ufarlig) til 4 (svært sannsynlig, kritisk). Risikofaktoren blir da produktet av verdien for sannsynlighet multiplisert med verdien for konsekvens (hvis du anslår sannsynligheten til å være 2 og konsekvensen til å være noe høyere, for eksempel 3, så blir risikofaktoren 6). I del to kommer vi nærmere tilbake til sannsynlighet, konsekvens og risikofaktorer. Hva er en vurdering? En vurdering er å tenke igjennom sannsynlighet og konsekvens for hver uønsket hendelse. Hvor sannsynlig er det for eksempel at «læreren mister sitt brukernavn og passord» (lite eller svært sannsynlig), og hva kan skadevirkningen av hendelsen være (ufarlig eller kritisk)? Hva du svarer på disse spørsmålene vil trolig være basert på dine personlige erfaringer. Det er viktig å være oppmerksom på at det ofte er vanskelig å ha noen sikker formening om hvor sannsynlig og skadelig ulike hendelser kan være. Men husk at det ikke finnes noen «fasit» å slå opp i. Alt som kreves er at du (og de andre som deltar i risikovurderingen) foretar en edruelig evaluering av sannsynlighet og konsekvens basert på dine egne forutsetninger og erfaringer. Ingen kan komme i ettertid og si at vurderingen du gjorde var riktig eller feil. Hvilken kompetanse kreves? Det kreves ingen spesialkompetanse for å delta i en risikovurdering (annet enn den erfaringen du har med det IKTsystemet eller den arbeidsprosessen som skal risikovurderes). Det er viktig å ha med seg ressurspersoner som kjenner til de

13 01 daglige rutinene og bruken av de forskjellige systemene eller arbeidsprosessene som skal risikovurderes. Det er også en fordel at den som leder arbeidet med risikovurdering har en viss oversikt over hvordan systemene eller arbeidsprosessene fungerer. Men det er minst like avgjørende at lederen er flink til å sette i gang og styre diskusjonene under idémyldringseller risikovurderingsmøtene. Vi kommer nærmere tilbake til disse møtene i del to. 13

14 Del 2 Gjennomføring av risikovurdering i praksis 14 I del to av veilederen presenteres metodikken som bør benyttes ved gjennomføring av risikovurderinger i skolesektoren. Her gis praktiske råd om og eksempler på hvordan risikovurderingsarbeidet kan foregå. Denne delen vil derfor fokusere på de aktivitetene som inngår i selve risikovurderingen. Først tar vi for oss forberedelsene til risikovurderingsprosessen og de viktigste arbeidsverktøyene som benyttes i en risikovurdering. Så retter vi fokuset mot planleggingen av idémyldrings- eller risikovurderingsmøtene, som er kjernen i risikovurderingsprosessen. Til slutt gis råd om hvordan disse møtene kan avvikles. For særlig interesserte For de som er interessert i å sette seg nærmere inn i risikovurderinger spesielt og arbeidet med informasjonssikkerhet generelt, anbefales følgende standarder og dokumenter: ISOs serie (informasjonssikkerhet). Datatilsynets «Veiledning om internkontroll og informasjonssikkerhet». Datatilsynets «Risikovurdering av informasjonssystem». Norsk Standard 5814 (risikoanalyse). FORBEREDENDE FASE Forberedelsene til risikovurderingen er viktige. Det arbeidet som du gjør før selve risikovurderingen gjennomføres, vil være med på å prege resultatet. Andre risikovurderingsprosesser hos skoleeier Du bør sjekke om kommunen eller fylkeskommunen allerede har satt i gang risikovurderingsaktiviteter eller prosesser på andre områder enn skole. Det kan for eksempel dreie seg om arbeid som er ledet av sikkerhetsansvarlig i kommunen eller fylkeskommunen, risikovurderinger som gjøres på HMSområdet (Helse, Miljø og Sikkerhet) eller som planlegges iverksatt på helse- og sosialområdet. Ved at du skaffer deg en viss oversikt over dette, kan du søke råd fra personer som har kompetanse på og har høstet erfaring med bruken av risikovurderinger. Medspillere fremfor motstandere Du bør søke å involvere personer som utfører en spesiell oppgave eller som har et særskilt ansvar på det området som skal risikovurderes. På denne måten kan du skape medspillere istedenfor motstandere og kritikere. Det er for eksempel naturlig å trekke inn vaktmesteren på skolen dersom risikovurderingen dreier seg om fysisk eller bygningsteknisk sikkerhet. I motsatt fall kan vaktmesteren føle seg tilsidesatt og umyndiggjort, spesielt dersom vurderingen konkluderer med at den fysiske sikkerheten er for dårlig. I tillegg ligger det selvsagt en stor og selvstendig verdi i det å involvere personer som har særlig kompetanse på det som skal risikovurderes. Lokale retningslinjer Det er viktig å forholde seg til retningslinjer og reglement for risikovurderinger og informasjonssikkerhet som finnes i skoleeiers sikkerhetshåndbok. Vær spesielt oppmerksom på hvem som har fått delegert ansvaret med å gjennomføre risikovurderinger og hvor ofte skoleeier forventer at vurderingene foretas. Se også på skoleeiers sikkerhetsmål. Her vil du ofte finne hva skoleeier har definert som tilfredsstillende informasjonssikkerhet i din kommune eller fylkeskommune. Da har du en pekepinn på hvor strenge krav din skoleeier stiller til informasjonssikkerheten i din skole. Savnes et system for informasjonssikkerhet? Dersom du oppdager at skoleeier ikke har etablert et system for å ivareta sine plikter etter personopplysningsloven og forskriften (for eksempel at det ikke foreligger noen sikkerhetshåndbok), kan det være en fordel å informere IKT-leder eller skolefaglig ansvarlig om det arbeidet du har satt i gang. Dette kan være nyttig for kommunen eller fylkeskommunen som sådan, altså at ditt arbeid kan få betydning for gjennomføringen av risikovurderinger på andre tjenesteområder. Kanskje kan ditt arbeide være med på å starte en prosess med etterlevelse av lovverket?

15 15 Utarbeide en prosjektbeskrivelse/notat Før arbeidet starter, kan det være en fordel å lage en prosjektbeskrivelse eller et lite notat som beskriver det du planlegger å gjøre. Denne beskrivelsen kan benyttes til å forankre arbeidet på ledelsesnivå. Det er skolelederne som eier de ressursene du benytter i vurderingsarbeidet. Derfor er det viktig at de er med på å bestemme dimensjoneringen av prosessen. For at skolelederne skal ha et godt beslutningsgrunnlag, bør prosjektbeskrivelsen/notatet inneholde følgende punkter: Hensikt Hva er formålet med å gjøre risikovurderingen? Omfang i timer Omtrent hvor mange arbeidstimer vil risikovurderingen totalt kreve? Ressursbehov Hvilke ressurser i form av personer og kompetanse har du behov for? Periode I hvilken periode vil arbeidet foregå, og når ser du for deg at konklusjonene vil foreligge? Rektormøter kan være en naturlig arena for innsalg av risikovurderingsprosjektet, og for å få velsignelse til å benytte seg av lederens ressurser/personell. Betydningen av forankring Hvordan risikovurderingsprosessen er forankret hos ledelsen, er avgjørende for hva som blir resultatet av prosessen. Utgangspunktet er at en risikovurdering vil avdekke hvilke uønskede hendelser som kan føre til at uvedkommende får tak i personopplysninger, at de endres eller slettes på uautoriserte måter eller at de ikke er tilgjengelige. Når slike hendelser avdekkes, kan de håndteres på fire forskjellige måter. Skolen eller skoleeier kan velge: 1) Å godta risikoen for at hendelsen inntreffer. 2) Å ignorere risikoen for at hendelsen inntreffer. 3) Å kjøpe seg fri fra risikoen (forsikringer, sette ut drift, osv.). 4) Å redusere risikoen for at hendelsen inntreffer (sette i verk sikringstiltak). Hendelser med høy risikofaktor stor sannsynlighet og stort skadepotensiale vil måtte håndteres av skoleledelsen eller ledere på skoleeiernivået: de må bestemme hva som eventuelt skal gjøres med dem (godta risikoen, forkaste den, kjøpe seg fri eller iverksette sikringstiltak). Hvis nye sikringstiltak er nødvendige, medfører dette kanskje økonomiske utlegg. Dermed må tiltakene (og hva de koster) spilles inn i skoleeiers budsjettprosess. For at det skal bli gjort noe med hendelser som er spesielt alvorlige (for eksempel at lærernes bærbare pc krypteres slik at innholdet ikke kan leses av uvedkommende), er det viktig at skoleledere og rådmenn er inneforstått med at risikovurderinger gjennomføres. Dermed kan du unngå at penger til tiltak ikke bevilges fordi utgiftene kommer som en overraskelse på ledelsen. Da vil også personene som deltok i selve vurderingen se at arbeidet ikke var bortkastet, men at det kommer konkrete resultater ut av det. Poenget er at dersom du har skaffet deg en god og riktig forankring, vil det være mye enklere å få ledelsen til å påta seg ansvaret med å håndtere risikoen. Det er liten vits i å gjennomføre risikovurderinger dersom ledelsen i etterkant ikke har tenkt å gjøre noe for å forbedre sikringen av IKT-systemer og personopplysninger. Det er også et poeng at god forankring øker sannsynligheten for at de som inviteres til å delta i risikovurderingen faktisk stiller opp på idémyldrings- eller risikovurderingsmøtene (til tross for at de kanskje ikke helt vet hva risikovurdering er eller hva som er formålet med arbeidet). Vår erfaring er at de som deltar på slike møter synes det har vært lærerikt. Dessuten får de en anledning til å snakke om jobben sin det som fungerer bra og mindre bra; lufte frustrasjoner og formidle gode erfaringer på en måte som de tidligere ikke har gjort (i alle fall ikke veldig ofte).

16 Vanlige forankringsproblemer Vanlige problemer knyttet til det å skaffe seg god forankring i skolen eller hos skoleeier er: Vanskelig å få gehør Det kan være vanskelig å få gehør hos ledelsen i skolen eller på skoleeiernivå, for eksempel fordi de ikke kjenner til de kravene som lovverket stiller til gjennomføring av risikovurderinger. Det er da nødvendig å gjøre ledelsen oppmerksom på hvilke krav som gjelder. Denne veilederen kan kanskje være til noe hjelp i så måte? Kanskje må forankringen starte med opplæring i og orientering om de regulatoriske krav som gjelder. Økonomi Skolen og skoleeier sliter ofte med begrensede økonomiske ressurser. Dette kan være en utfordring i forankringsprosessen. Det er derfor viktig at du har en klar prosjektbeskrivelse og et nøkternt ressurs- og tidsestimat. Da er det lettere å få støtte hos ledelsen. Det er også en mulighet å be Senter for IKT i utdanningen om å bistå med råd og veiledning. Erfaringsmessig gir det større tyngde dersom det benyttes eksterne ressurser i forankringsfasen. Manglende forståelse Ledere på skole- og skoleeiernivået kan mangle kompetanse på hvorfor det er nødvendig å gjennomføre risikovurderinger: «Dette er jo bare noe som tar tid og ressurser bort fra skolens kjerneoppgaver!» Å imøtegå denne typen skepsis og motstand er en utfordring som krever innsats. Hos enkelte skoler og skoleeiere er det nok behov for en modningsprosess når det gjelder å innse at IKT i skolen innebærer flere utfordringer enn de rent pedagogiske. Dersom du har problemer med å forankre prosjektet, er det viktig å peke på kravene i personopplysningsloven med forskrift. Vær oppmerksom på at Senter for IKT i utdanningen og Datatilsynet kan gi nærmere informasjon om de reglene som gjelder. Avgrensning og omfang For å lykkes med risikovurderingen, er det avgjørende at du har en klar avgrensning av hva som skal vurderes. Du lykkes sannsynligvis ikke dersom du setter deg ned sammen med en gruppe mennesker for å risikovurdere «bruken av IKT i skolen». En slik tilnærming blir for upresis og utflytende, og det kan bli vanskelig å styre diskusjonen på idémyldringseller risikovurderingsmøtene. Resultatet blir trolig at du (og de andre som deltar i risikovurderingen) ikke får en rød tråd i vurderingsarbeidet fordi det blir problematisk å holde fokus på hva som skal vurderes. Det du bør gjøre i stedet er å dele risikovurderingen opp i mindre og håndterlige enkeltområder og så risikovurdere hvert område for seg. Nedenfor finner du et eksempel på hvordan «bruken av IKT i skolen» kan brytes opp i mindre og håndterlige enkeltområder: skoleadministrativt system læringsplattformen bruk av bærbar lærer-pc Feide som innloggingsportal IKT infrastruktur i skolen skolens hjemmeside bruken av skytjenester (YouTube, Google Docs, osv.) lagring og fellesområder i skolen spesialundervisning og IOP bruken av bærbare lagringsmedier (minnepenner) utskrifter trådløse nettverk fysiske elevarkiv (elevmapper) Når du har satt opp en liste over aktuelle enkeltområder, må du velge hvilke av områdene du ønsker å risikovurdere (det er neppe realistisk å ta alle områdene i samme runde). De områdene du ikke velger å ta med bør du notere deg, slik at de inkluderes neste gang risikovurderinger gjennomføres ved skolen. Din avgrensning av det som skal risikovurderes, kan for eksempel se slik ut: 16

17 Avgrensninger Prosjektet vil ta for seg systemer og prosesser i skolen hvor IKT benyttes og personopplysninger behandles. Følgende områder vil bli berørt. Områder som ikke står på listen, vil ikke være en del av prosjektet: Det kan være fornuftig å blande disse elementene i en risikovurdering, for eksempel at du både tar for deg et bestemt IKT-system og de arbeidsprosessene som foregår i tilknytning til systemet. Da kan du lettere se bruken av IKT i sammenheng med de oppgavene som skolen ivaretar. På idémyldringsmøtet kan du for eksempel spørre hvordan den digitale læringsplattformen benyttes i forbindelse med utarbeidelsen av halvårsrapporter for elever med vedtak om spesialundervisning. Benyttes læringsplattformen til lagring av denne typen notater eller dokumenter? Er dette i så fall ønsket bruk av læringsplattformen, eller er det problematisk at den anvendes på denne måten? 17 Feide skoleadministrativt system spesielt tilrettelagt undervisning (IOP) bruk av lagringssystemer, felles mapper og private mapper bruk av bærbar lærer-pc fysisk miljø oppgraderinger/endringer digital læringsplattform FIGUR 1: Eksempel på avgrensning Vi ser av eksemplene og figuren ovenfor at vi kan risikovurdere forskjellige ting: et IKT-system (infrastruktur, læringsplattformen, skoleadministrativt system, osv.) en prosess (utredning og vedtak om spesialundervisning, bekymringsmeldinger til barnevernet, hjem-skole samarbeid, osv.) IKT-objekter eller utstyr (bærbar lærer-pc, minnepenner, databaser, osv.) en tjeneste (skytjenester, Feide, osv.) et bestemt personregister (for eksempel fysiske elevmapper) Beskrivelse av områdene Når du har bestemt deg for hvilke områder du ønsker å risikovurdere, er det viktig at du gir en kort beskrivelse av de ulike områdene. Beskrivelsen sender du ut til deltakerne i forkant av idémyldringsmøtet. Hensikten med dette er at alle deltakerne skal være inneforstått med og forberedt på nøyaktig hva som skal risikovurderes. Her kan det også angis hvilke typer personopplysninger som behandles og om det dreier seg om sensitive opplysninger eller ikke. På neste side finner du et eksempel på hvordan en slik beskrivelse kan se ut:

18 5.2.4 Beskrivelse av skolens hjemmesider > Formålet Formålet med skolens individuelle hjemmesider er å ha en publiseringsportal av aktuell informasjon til alle skolenes eksterne brukergrupper. Dvs først og fremst foreldre. > Beskrivelse Hjemmesidene skal være enkle å holde oppdatert med innhold og være enkle i teknisk drift. På skolens hjemmesider er det stort sett ledelsen, noen lærere eller en web-ansvarlig som publiserer innhold. Hjemmesidene brukes i liten grad til elevaktivitet. 18 SÅTE kommunenes driftssamarbeid har det tekniske ansvaret for hjemmesidene som driftes lokalt. Resten av hjemmesidene hostes hos diverse eksterne leverandører. En av hjemmesidene er basert på Frontpage redigering. Resten av de lokalt hostede sidene er basert på Joomla som CSM-system. De eksterne sidene driftes stort sett av Moava. > Hvem har tilgang Lærerne og skolens ledelse er de som i hovedsak har tilgang til hjemmesidene. Noen skoler lar også utvalgte elever få publisere på hjemmesidene. FIGUR 2: Eksempel på beskrivelse av et område Beskrivelsen i figur 2 inneholder tre punkter: Formål (hva er hensikten med det systemet eller den prosessen som vurderes). Selve beskrivelsen (hvordan fungerer systemet eller prosessen). Tilgang (hvem gjør bruk av tjenesten eller prosessen). Det siste punktet hvem har tilgang er først og fremst aktuelt å ha med når det dreier seg om risikovurdering av et IKT-system eller tjeneste. Men hvis beskrivelsen omhandler en arbeidsprosess, er det ikke sikkert at dette er nødvendig. I figur 9 finner du et eksempel på beskrivelse av en arbeidsprosess hvor punktet om hvem som har tilgang ikke er tatt med. Oppsummering Det første steget i en risikovurderingsprosess er å finne ut hva du skal risikovurdere. Er det et IKT-system, en arbeidsprosess, bruken av ulike typer IKT-utstyr eller en bestemt tjeneste? Deretter bør du gjøre tre ting: 1. Skaffe deg oversikt over hva som kan være aktuelt å risikovurdere. 2. Kategorisere og prioritere de ulike områdene (IKT-utstyr, læringsplattformer/læringsressurser, administrative systemer, trådløse nettverk, spesialundervisning, osv.). 3. Beskrive de ulike områdene som du velger ut (har høyest prioritet). Når du har gjort dette, bør du sette deg litt nærmere inn i hvilke arbeidsverktøy som benyttes for å gjennomføre en risikovurdering.

19 BESKRIVELSE AV ARBEIDSVERKTØYENE (METODIKK) I denne delen beskriver vi de arbeidsverktøyene som anvendes i en risikovurdering. Risikovurderinger basert på kravene i personopplysningsloven med forskrift er ofte kvalitative. I slike kvalitative risikovurderinger regnes ikke skadeomfanget i form av kroner og øre, men som den personvernkrenkelsen enkeltpersoner utsettes for ved brudd på informasjonssikkerheten (for eksempel tap av omdømme, svekket anseelse, osv.). I finansverdenen er kvantitative risikovurderinger vanlige, men i det offentlige er kvalitative vurderinger mest brukt. menes med «lite sannsynlig», «moderat sannsynlig», osv. Nedenfor finner du en måte å operasjonalisere sannsynlighetsverdiene på. Eksempel på sannsynlighetsverdier: 1. Lite sannsynlig Hendelsen inntreffer hvert femte skoleår. 2. Moderat sannsynlig Hendelsen kan opptre hvert tredje skoleår. 19 Identifisere uønskede hendelser Som allerede nevnt, går mye av arbeidet med risikovurderinger ut på å finne frem til uønskede hendelser som kan oppstå, for eksempel at uvedkommende får tak i sensitive personopplysninger fordi vedtak om spesialundervisning lagres på lærernes fellesområde. Denne hendelsen behøver ikke å være tilsiktet, men kan like gjerne skyldes uoppmerksomhet eller at kontakt- og faglærere har for dårlig kompetanse om bruk av IKT (vet ikke hvor dokumenter faktisk lagres). Det er slike og liknende hendelser som idèmyldringsmøtene først og fremst tar sikte på å identifisere. Bestemme skala for sannsynlighet For å vurdere hendelsens sannsynlighet, vil en av de viktigste oppgavene i forberedelsene til risikovurderingen være å lage en skala hvor møtedeltakerne angir hvor ofte de mener hendelsen kan inntreffe. Det er vanlig å dele skalaen inn i fire verdier: 1. Lite sannsynlig. 2. Moderat sannsynlig. 3. Sannsynlig. 4. Svært sannsynlig. Verdiene bør operasjonaliseres (eksemplifiseres), slik at de som vurderer hendelsen har samme forståelse av hva som 3. Sannsynlig Hendelsen kan opptre hvert skoleår. 4. Svært sannsynlig Hendelsen opptrer flere ganger i løpet av skoleåret. FIGUR 3: Sannsynlighetsskala Vi ser av figuren at verdiene for sannsynlighet settes ut i fra hvor ofte hendelsen forventes å oppstå. Spørsmålet blir da: Hvor ofte tror vi at uvedkommende kan få tak i vedtak om spesialundervisning som lagres på lærernes fellesområde? Hvis vi for eksempel gir hendelsen verdien 2 («moderat sannsynlig»), betyr det at vi forventer at den skjer hvert tredje år. Bestemme skala for konsekvens På samme måte som med sannsynlighet, er det viktig at du lager en skala for vurdering av hendelsens konsekvens (skadevirkning). Også her er det vanlig å benytte fire verdier. Disse kan se slik ut: 1. Ufarlig. 2. Uheldig. 3. Alvorlig. 4. Kritisk.

20 Igjen er det avgjørende at du operasjonaliserer (eksemplifiserer) hva de ulike konsekvensverdiene betyr hva forstås med «ufarlig», «uheldig», osv.? slik at møtedeltakerne har en felles oppfatning av dette. Nedenfor finner du en måte å operasjonalisere de fire verdiene på. Eksempel på konsekvensverdier: 1. Ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen. 2. Uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, lærere eller andre ansatte. Eksempelvis mindre økonomiske tap, tap av brukernavn passord, utilsiktet utlevering av kontaktinformasjon, publisering av bilder på internt nett uten samtykke, osv. 3. Alvorlig Hendelsen kan få betydelige konsekvenser for elever, foreldre, lærere eller andre ansatte. Eksempelvis uautorisert bruk av elevens eller lærerens brukernavn og passord, utilsiktet tilgang til og endring av karakterer/fravær, osv. 4. Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme. Eksempelvis utlevering av sensitive personopplysninger, vedvarende digital mobbing, osv. FIGUR 4: Konsekvensskala Det finnes ikke noe helt entydig svar på hvilke hendelser som bør betraktes som «ufarlig», «uheldig», osv. Det kan derfor godt tenkes at du har behov for å gjøre tilpasninger når det gjelder eksemplet ovenfor. Men vær oppmerksom på at alle hendelser som involverer uautorisert utlevering, endring eller sletting av sensitive personopplysninger, har et større skadepotensial enn hendelser som involverer alminnelige personopplysninger. Det kan også være verdt å legge merke til at hendelsen vi startet med spredning av sensitive personopplysninger fordi vedtak om spesialundervisning lagres på lærernes fellesområde gis verdien 4 («kritisk»). Dette fordi den gjerne innebærer uautorisert tilgang til sensitive personopplysninger (for eksempel informasjon om helseforhold). Når deltakerne i risikovurderingen angir verdiene for hendelsenes sannsynlighet og konsekvens, skal de alltid oppgi tallverdier. Hvis en av deltakerne for eksempel mener at det er «moderat sannsynlig» at uvedkommende får tak i elevopplysninger (fordi bærbar lærer-pc blir stjålet), så skal verdien 2 oppgis (denne tallverdien tilsvarer «moderat sannsynlig», se figur 3). Hvis vedkommende samtidig mener at konsekvensen av hendelsen er «alvorlig», så skal verdien 3 oppgis (denne tallverdien tilsvarer «alvorlig», se figur 4). Risikomatrise Når vi setter sammen skalaene for vurdering av hendelsens sannsynlighet og konsekvens, får vi det vi kaller for en risikomatrise. 20

21 Risikomatrise: Sannsynlighet Konsekvens Ufarlig Uheldig Alvorlig Kritisk 1 Lite sannsynlig 2 Moderat sannsynlig 3 Sannsynlig 4 Svært sannsynlig FIGUR 5: RISIKOMATRISE Det er denne matrisen du bruker for blant annet å vurdere risikoen for at vedtak om spesialundervisning blir lagret på områder hvor de ikke bør ligge. Det gjør du ved å regne ut det vi tidligere har omtalt som risikofaktoren. Hendelsens risiko-faktor finner du på følgende måte: Alle deltakerne i risikovurderingen angir hvor sannsynlig de mener hendelsen er og hvilken konsekvens (skadevirkning) de tror den kan få. Så legger du sammen alle deltakernes sannsynlighetsverdier og deler produktet på antallet deltakere. Da får du gruppens gjennomsnittlige sannsynlighetsverdi. Deretter gjør du akkurat det samme for verdiene for konsekvens som deltakerne har oppgitt (slik at du får gjennomsnittlig konsekvensverdi). Til slutt multipliserer du gruppens gjennomsnittlige sannsynlighetsverdi med den gjennomsnittlige konsekvensverdien. Det tallet du da kommer frem til, er hendelsens risikofaktor. Hvis du har fire verdier for sannsynlighet og konsekvens (slik som vist i figur 3, 4 og 5 ovenfor), så vil den maksimale risikofaktoren bli 16 (4 * 4 = 16). Regelen er at jo mer risikofaktoren for en hendelse nærmer seg dette maksimaltallet (16), jo større risiko forbindes med hendelsen. Og jo større risikoen er, desto viktigere blir det å vurdere om det bør iverksettes tiltak for å unngå at hendelsen (for eksempel at sensitive elevopplysninger spres fordi vedtak om spesialundervisning lagres på feil område) inntreffer. 21

22 Hendelse V1 V2 V3 V4 V5 Gjennomsnitt Risiko<faktor 1.1 2/2 1/3 2/3 1/3 2/4 1,6/3 4, /4 1/3 2/3 2/4 2/4 1,6/3,6 5, /2 1/4 2/4 2/4 3/3 1,8/3,4 6, /4 3/2 2/4 3/3 2/4 2,4/3,4 8, /2 3/2 3/2 4/3 3/2 3/2,2 6, /4 1/3 2/4 3/4 2/3 1,8/3,6 6, /3 1/3 2/3 2/2 1/2 1,4/2,6 3, /3 2/3 3/4 3/4 1/3 2,4/3,4 8, /3 1/3 2/3 1/2 2/3 1,4/2,8 5, /3 2/3 2/4 2/4 3/3 2/3,4 6,8 FIGUR 6: EKSEMPEL PÅ GJENNOMSNITTSVERDIER OG RISIKOFAKTOR Figur 6 viser en annen måte å finne ut hvor stor risikoen er. Vertikalt lengst til venstre i figuren, finner du noen verdier: 1.1, 1.2, 1.3, osv. Dette er hendelser som kan føre til brudd på konfidensialiteten, integriteten og tilgjengeligheten, men figuren viser ikke hvilke hendelser det dreier seg om. V1-V5 øverst i figuren representerer de ulike deltakerne i risikovurderingen. Verdiene i kolonnen nest lengst til høyre, er gjennomsnittet for sannsynlighet og konsekvens (regnet ut på basis av verdiene for sannsynlighet og konsekvens oppgitt av V1-V5). I kolonnen lengst til høyre, finner du risikofaktoren. Det du kan gjøre istedenfor å fokusere på risikofaktoren, er å bruke gjennomsnittet for sannsynlighet og konsekvens for å plassere hendelsene i risikomatrisen presentert i figur 5 ovenfor. Hvis vi ser på hendelse 1.4 i figur 6, så er den gjennomsnittlige sannsynlighetsverdien 2.4 og den gjennomsnittlige konsekvensverdien er 3.4 (verdien for sannsynlighet oppgis alltid først og deretter oppgis verdien for konsekvens: sannsynlighet/konsekvens). Dette innebærer at hendelsen befinner seg ned mot høyre hjørne i risikomatrisen, altså innenfor det området i matrisen som er markert rødt. Men hva betyr det at hendelsen kan plasseres i «rød sone»? FARGEKODENE I RISIKOMATRISEN Feltene i risikomatrisen er fargelagt med grønt, gult og rødt. Fargene i matrisen skal forstås på samme måte som fargene i et trafikklys: rødt betyr «stopp», gult betyr «mulig å kjøre videre» og grønt betyr «alt klart».

23 Dette innebærer at skolen eller skoleeier bør iverksette risikoreduserende tiltak for å unngå alle hendelser som havner i «rød sone» risikoen er uakseptabel høy. At risikoen er uakseptabel høy betyr at hvis det ikke iverksettes tiltak for å unngå «røde hendelser», så vil skoleeier ikke oppfylle kravet i personopplysningsloven om at informasjonssikkerheten skal være tilfredsstillende. Et slikt risikoreduserende tiltak kan for eksempel være at det lages noen regler som forteller skolens ansatte hvor de trygt kan lagre vedtak om spesialundervisning. Hvis hendelsene havner i de gule feltene, er ikke risikoen like høy, men det kan likevel være aktuelt å iverksette risikoreduserende tiltak. Skolen eller skoleeier må derfor selv vurdere om tiltak er nødvendig for å oppfylle lovverkets krav om tilfredsstillende informasjonssikkerhet. De hendelsene som havner i de grønne feltene, vil man ikke gjøre noe med risikoen er såpass lav at det ikke kan forsvares å bruke ressurser på å redusere den. Det innebærer at personopplysningslovens krav om tilfredsstillende informasjonssikkerhet er oppfylt selv uten at det iverksettes risikoreduserende tiltak. For viderekommende De som har erfaring med gjennomføring av risikovurderinger, kan presentere resultatene fra risikovurderingen som vist i figur 7 nedenfor IKT-KOMPETANSE Uønskede hendelser med stor risikofaktor Nr Hendelse Infrastruktur og kommunikasjon: Sikkerhets behov 1.4 Uautorisert tilgang til nett gjennom trådløse nett K, I, T 2,8 3,2 9 x.x.x 1.7 Det blir koblet opp uautorisert utstyr ved lett tilgjengelig router/svitsj Lagringssystemer og fellesområder 1.1 Sensitive opplysninger lagres på lærerens fellesområde. 1.2 Sensitive eller sterkt personlige opplysninger lagres på lærerens fellesområde 1.3 Utkopiering av konfidensielle/sensitive opplysninger til usikrede minnepenner Sannsynlighet Konsekvens Risiko Tiltak beskrevet K, I, T 3,3 3,2 10,6 x.x.x K, I 3,9 2,9 11,3 x.x.x K 3,6 2,9 10,4 x.x.x K 3,1 3,1 9,6 FIGUR 7: EKSEMPEL PÅ OPPSUMMERINGSTABELL AV RISIKOFAKTORER

24 Helt til venstre i figuren oppsummeres hendelser som havner i den «røde sonen» i risikomatrisen. Neste kolonne i figuren forteller om hendelsene fører til brudd på personopplysningenes konfidensialitet (K), integritet (I) eller tilgjengelighet (T). Så følger to kolonner som viser de ulike hendelsenes gjennomsnittsverdier for sannsynlighet og konsekvens (2.8, 3.2, osv.). Risikofaktoren er oppgitt i kolonnen nest lengst til høyre i figuren. Som vi ser, har vår eksempelhendelse sensitive opplysninger lagres på lærernes fellesområde (hendelse 1.1) en svært høy risikofaktor (3.9 * 2.9 = 11.3). I kolonnen helt til høyre står det noen tall, for eksempel Tallene refererer til ulike typer risikoreduserende tiltak, men disse fremgår ikke av figuren. I del tre av denne veilederen vil vi gå nærmere inn på etterarbeidet i forbindelse med risikovurderingsprosessen. Et av temaene her er hvordan du kan lage en tilsvarende oppsummering av risikovurderingen som vist i figur 7. PLANLEGGING AV RISIKOVURDERINGSMØTER Det du har gjort så langt er å avgrense omfanget av risikovurderingen, beskrevet de ulike områdene som skal være med i vurderingen, og laget skalaer for uønskede hendelsers sannsynlighet og konsekvens. Dessuten har du satt skalaene sammen til en risikomatrise. Det betyr at du er kommet så langt at du kan begynne å planlegge selve idémyldrings- eller risikovurderingsmøtene. Disse møtene tar for seg hvert av de områdene som du har avgrenset risikovurderingen til. Den første oppgaven er å finne passende deltakere til idémyldringsmøtene. I tillegg til at du skal finne deltakere som har erfaring med bruken av systemet eller prosessen, så er det viktig at deres overordnede godkjenner at de er med på risikovurderingen. Dette er tidligere beskrevet under fremstillingen av forankringsprosessen. Hvem bør delta? En hovedregel at de som har spesiell kjennskap til det området som skal risikovurderes, bør få tilbud om å delta på møtene (eller i det minste bli orientert om arbeidet). Ovenfor har vi nevnt at hvis det dreier seg om fysisk eller bygningsteknisk sikkerhet, bør vaktmesteren på skolen inviteres. Handler det derimot om bruken av det skoleadministrative systemet, er det naturlig å invitere skolens merkantilt ansatte. Hvis skolens IKTinfrastruktur skal risikovurderes, er personer fra IT-avdelingen selvskrevne deltakere. Og når skolens læringsplattform risikovurderes, kan det være naturlig å invitere representanter for elevene og foreldrene til å delta på møtene (for eksempel at elevrepresentanter deltar på ungdoms- og videregående skoler, mens foreldrerepresentanter deltar på barneskoler). I tillegg kan det være viktig å få med deltakere som representerer et slags gjennomsnitt av de daglige brukerne. Det kan for eksempel være nyttig ikke bare å ha med personer som anvender IKT i stor stil, men også representanter for de mindre aktive brukerne. På denne måten sikrer du at risikovurderingen baserer seg på et bredt spekter av erfaringer og synspunkter. Hvis det er snakk om å risikovurdere systemer eller tjenester som skolen kan tenke seg å benytte, men som enda ikke er tatt i bruk (for eksempel Youtube, Google Docs eller kan det være en fordel å få med personer som både har en skeptisk, entusiastisk og nøytral holdning til det nye systemet eller tjenesten. Når det gjelder de fleste systemer eller tjenester vil det finnes brukere med ulik holdning til hva som er fornuftig å gjøre. Tenk igjennom dette slik at du ikke sitter igjen kun med brukere som er skeptiske eller overivrige når det gjelder bruken av IKT. Hvis det likevel skjer, kan risikovurderingen fortelle mer om de som deltok i prosessen enn om de reelle utfordringene som knytter seg til bruken av systemet eller tjenesten. 24

25 25 Ta gjerne også med skoleleder og IKT-ansvarlige. De vil ofte i kraft av sine stillinger kjenne godt til det systemet eller den prosessen som skal risikovurderes. Dette kan også bidra til å sette informasjonssikkerhet på skoleledernes dagsorden. Kompetanse Det kreves ingen spesiell «risikokompetanse» for å delta på eller lede idémyldringsmøtene. Ved å lese denne veilederen vil møtelederen få tilstrekkelig kunnskap om hva det handler om. Det viktige er at deltakerne har erfaringer på det området som skal risikovurderes eller at de representerer typiske holdninger til bruken av systemet eller tjenesten (skeptikere, entusiaster, osv.). Den som skal lede møtene (og selve prosjektet) bør være i stand til å skape en avslappet og kollegial stemning på idémyldringsmøtene. Det er viktig å ikke skape et inntrykk av at risikovurdering handler om å finne ut hva som gjøres galt, og så fordele skyld og ansvar for det som ikke er godt nok. Poenget er å komme frem til hva som kan forbedres, ikke å kritisere deltakerne (eller andre ved skolen) for det som eventuelt ikke er så bra. Hvor mange? Antallet deltakere som bør være med på møtene kan variere noe. Risikovurdering av store fellessystemer, for eksempel e-post eller digital læringsplattform, krever trolig noen flere deltakere enn risikovurdering av systemer som har færre brukere (for eksempel det skoleadministrative systemet). Som et utgangspunkt mener vi at det ikke bør være mindre enn fire deltakere og ikke flere enn åtte-ti. Husk at møtene vil være preget av diskusjoner om hvilke uønskede hendelser som kan skje, og av at deltakerne deler erfaringer om dette fra sitt daglige arbeid (eller formidler historier de har hørt). Det er derfor viktig at diskusjonen/ samtalene får flyte litt fritt. Dette kan bidra til at deltakerne får assosiasjoner til nye uønskede hendelser som bør vurderes. Dersom det blir for få deltakere, står du i fare for at mange uønskede hendelser ikke blir identifisert. Men blir det for mange deltakere, kan diskusjonene «ta helt av» og føre til at blir vanskelig å holde orden på alle hendelsene som kastes frem. Lengden på møtene Møtene bør ikke holde på for lenge. Erfaring viser at møter opp til 3-4 timer er maksimum. En tommelfingerregel er at når deltakerne begynner å foreslå uønskede hendelser som allerede har vært diskutert, så har de «tømt seg» for ideer. Da er det på tide å avslutte diskusjonene og ta fatt på selve vurderingen, det vil si at deltakerne anslår de ulike hendelsenes sannsynlighet og konsekvens. Det er neppe realistisk å dekke mer enn to områder på hvert møte (for eksempel e-post og bruk av bærbar lærer-pc). Erfaring viser at hvis du er mer ambisiøs enn dette, så greier du ikke å få til en grundig nok diskusjon av hvert område. Du bør heller ikke ha mer enn ett idémyldringsmøte pr. dag. To møter blir svært strevsomt og omfanget av etterarbeidet blir omfattende. Tidspunkt for møtene Deltakerne bør få innkalling/invitasjon i god tid før møtet gjennomføres. Sjekke eventuelt med deltakernes ledere, og orienter også dem om dato og tidspunkt. Sørge for å unngå kollisjoner med andre arrangementer som det er sannsynlig at deltakerne ønsker å delta på. Forberedende dokumenter Det bør sendes ut enkelte dokumenter til deltakerne slik at de ikke møter opp uforberedt. Dokumentene bør inneholde tre elementer: 1. En kort beskrivelse av hva risikovurderinger er. 2. En kort beskrivelse av det området som skal risikovurderes. 3. Tre-fem eksempler på uønskede hendelser som kan inntreffe.

26 Pass på at dokumentet ikke blir for omfattende og detaljert. Nedenfor finner du eksempler på hvordan de tre elementene i dokumentet kan utformes. Melding til deltakere i risikovurdering: Velkommen til arbeidsmøte for gjennomføring av risikovurdering innenfor området som krever spesialpedagogisk kompetanse. Følgende tema skal belyses og vurderes: IOP Individuell opplæringsplan PP- tjenesten i skolen IUP Individuell utviklingsplan Som forberedelse til arbeidsmøtet ønsker vi at du tar noen minutter til å lese gjennom dette dokumentet. Risikovurderinger: Risikovurdering spiller en sentral rolle i arbeidet med å sikre at vi behandler personopplysninger (bl.a. elevdata, elevarbeider og andre personlige dokumenter) på en trygg og sikker måte. Risikovurderinger kan virke som noe fremmed og veldig teknisk. Det er det ikke. Vi gjør alle risikovurderinger hver eneste dag. Vi vurderer for eksempel risikoen for trafikkulykker som så liten at vi kjører bilen til jobben hver morgen. Vi aksepterer denne risikoen. Men vi forlater ikke bilen ulåst på parkeringsplassen utenfor kjøpesenteret. Denne risikoen aksepterer vi ikke. Isteden bruker vi et sikringstiltak vi låser den for å redusere risikoen for at bilen eller noe i den blir stjålet. 26 FIGUR 8: EKSEMPEL PÅ MELDING TIL DELTAKERNE - INNLEDNING Beskrivelse av prosessen, IOP Formål En individuell opplæringsplan (IOP) skal bidra til å sikre elever med spesialundervisning et likeverdig og tilpasset opplæringstilbud. Den individuelle opplæringsplanen utarbeides av skolen på bakgrunn av den sakkyndige vurderingen fra PP-tjenesten og vedtaket om spesialundervisning. Beskrivelse Det er hele prosessen som tilhører IOP vi skal vurdere. Helt fra mistanke eller melding om behov for spesialundervisning frem til behovet ikke lenger er til stede. IOP er en individuell opplæringsplan som skal revideres/evalueres 2 ganger i året. Den danner grunnlaget for tilbudet skolen skal gi eleven som har fått egen IOP. Alle elever med krav på spesialundervisning skal få utarbeidet IOP hvor mål og arbeidsmetode står beskrevet. Hvert halvår evalueres planen og hvert halvår skal lærerne rapportere i evalueringsprosessen hvor mye av IOPen som har vært gjennomført. Det skal gå klart fram hvor mange timer som er brukt og hva de har vært brukt til. I samarbeid med hjemmet og PPT kan man endre innholdet i IOP ut i fra elevens utvikling i en evalueringsprosess. FIGUR 9: EKSEMPEL PÅ BESKRIVELSE AV OMRÅDE

27 Tenk igjennom Tenk igjennom prosessen som fører til en IOP, PP tjenestens virke i skolen og de individuelle utviklingsplanene (IUP) og hvordan de blir til, hvordan de håndteres ettertid. Er det noe som kan føre til at personopplysninger kommer på avveie, at personopplysninger endres/oppdateres slik at de blir misvisende/uriktige eller som fører til at personopplysninger ikke er tilgjengelige for de som har behov for dem? Nedenfor finner du noen eksempler på uheldige hendelser. Tenk igjennom om du har opplevd eller kan komme på andre typer hendelser som kan være problematiske. Eksempler på hendelser 27 Læreren lagrer sensitive personopplysninger på usikret bærbar PC i forbindelse med mistanke om behov for spesialundervisning Rektor sender melding til foreldrene på usikret kommunikasjonsmedium (epost eller lignende), i forbindelse med utredning av behov for spesialundervisning. IOP slettes ikke fra privat mappe i Citrix, eller gjenopprettes ved en tilbakelegging av sikkerhetskopi. Elevens perm med stegark (IUP) forsvinner fra klasserommet. Oppdatering av IUP registreres på feil elev i Oppad/Moodle. FIGUR 10: EKSEMPEL PÅ HVA DELTAKERNE BØR TENKE IGJENNOM PÅ FORHÅND Årsaken til at du bør finne eksempler på uønskede hendelser (som vist i figur 10), er at det kan sette deltakerne på sporet av hva idémyldringsmøtet i første rekke vil handle om: identifisere hva som kan være problematisk med bruken av IKT i skolen. Forhåpentligvis vil eksemplene gjøre deltakerne i bedre stand til å huske uønskede hendelser som de har opplevd, hørt om eller tenkt på. De forberedende dokumentene bør sendes til deltakerne noen få dager før møtet avholdes. Dette vil gi deltakerne en påminnelse om risikovurderingsmøtet. I tillegg kan det føre til at deltakerne har dokumentinnholdet friskt i minne når de stiller på møtet. Møtelokaler og fasiliteter Ved valg av lokaler bør du tenke på at det i slike møter ofte blir diskutert fortrolige saker (for eksempel hvilke sårbarheter som finnes i skoleeiers datanettverk). Møtet bør derfor avholdes i et lokale hvor deltakerne ikke opplever at det er utrygt å snakke fritt. I så måte vil for eksempel aulaen eller kantina være lite egnede steder. Utstyr Du trenger noe utstyr i forbindelse med gjennomføringen av møtene. Det kan for eksempel være aktuelt å benytte projektor, tavle og flip-over (nedenfor skal vi se nærmere på hva dette utstyret kan brukes til). Deltakerne bør få utdelt penn og papir for å kunne ta notater underveis, og møtereferenten bør kunne bruke pc. Det kan derfor være en fordel å ha følgende utstyr tilgjengelig: Projektor. Flip-over. Penn og papir til deltakerne. PC til møtereferent.

28 28 I noen tilfeller kan det være hensiktsmessig å gjøre lydopptak av møtene (med diktafon eller lignende). Det du oppnår med dette er å få med eksempler på uønskede hendelser som du ikke registrerte på møtet (for eksempel fordi de ble nevnt i forbifarten eller i bisetninger). Det gir deg også bedre mulighet til å gi mer forfinede og korrekte beskrivelser av de hendelsene som ble registrert. Hvis du ønsker å gjøre lydopptak, skal alle deltakerne gi sitt samtykke til dette. Samtidig må lydopptaket behandles på en sikker måte i ettertid, og slettes når arbeidet er ferdig. Vær imidlertid oppmerksom på at lydopptak kan føre til at enkelte deltakere blir mer engstelige for å uttale seg fritt. gjennomføring AV RISIKOVURDERINGSMØTEr Idémyldrings- eller risikovurderingsmøter er selve kjernen i risikovurderingsprosessen. Det er derfor nødvendig at møtelederen stiller godt forberedt. Erfaring viser at møtelederens evne til å følge en tydelig struktur holde en rød tråd gjennom hele møtet er avgjørende for om deltakerne kommer med innspill og deltar aktivt i diskusjonene. Derfor kan det være nyttig å dele møtene inn i ulike faser. Vi anbefaler følgende seks faser: 1. Innledning beskrivelse av hva risikovurdering er (ca. 15 min.). 2. Deltakerne presenterer seg anledning til å stille spørsmål (ca. 15 min.). 3. Gjennomgang av risikoområdet og eksempelhendelsene i dokumentet (ca. 30 min.). 4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt om eller tenkt på (ca. 20 min.). 5. Diskutere, identifisere og notere uønskede hendelser (ca. 75 min.). 6. Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver uønsket hendelse (ca. 15 min.). Nedenfor gjennomgås hver av de seks møtefasene. Vi trekker frem forhold som du bør være spesielt oppmerksom på, og peker på hva som kan være lurt å gjøre. FASE 1: Innledningen Her er det møtelederen som fører ordet. Hensikten er først og fremst å gi deltakerne en liten innføring i hva risikovurderinger er og hvorfor det er viktig at slike vurderinger blir gjennomført i skolen (vis gjerne til de aktuelle bestemmelsene i personopplysningsloven med forskrift). Det kan også være hensiktsmessig å gjøre rede for prosjektets forankring i organisasjonen (for eksempel hvem som har bestemt eller gitt sin velsignelse til at prosjektet gjennomføres). Det kan derfor være en fordel at møtelederen har laget en presentasjon som inneholder følgende momenter: 1) Hva er en risikovurdering? En risikovurdering er å identifisere ulike typer hendelser som kan forårsake at uvedkommende får tak i eller endrer/sletter personopplysninger, eller som kan føre til at vi ikke får tak i opplysningene. Det er å angi hvor sannsynlig det er at hendelsene skjer og hvor alvorlig konsekvensen kan bli dersom hendelsene inntreffer. 2) Hvordan håndterer vi risiko? Risikohåndtering er å sette inn ulike typer tiltak, slik at vi reduserer sannsynligheten for eller konsekvensene av at en hendelse inntreffer. Her vil det være snakk om fem typer tiltak: Tekniske eller fysiske tiltak (skjermlås, kryptering av harddisk, låse dører). Organisatoriske tiltak (rutiner for håndtering av informasjonsverdier). Personellmessige tiltak (opplæring, kompetanseheving, taushetsplikt). Arbeidsmetodikk og styring (kontroll med systemer, prosesser og informasjonsverdier). Kjøpe seg «fri» (forsikring).

29 3) Gå igjennom og forklar hva en risikomatrise er: En risikomatrise brukes til å avgjøre hvor stor risiko deltakerne forbinder med en uønsket hendelse som kan oppstå ved bruk av IKT i skolen. Ufarlig Uheldig Alvorlig Kritisk Lite sannsynlig Moderat sannsynlig Sannsynlig Svært sannsynlig 29

30 4) Gå igjennom og forklar de to elementene som risikomatrisen består av: En skala for vurdering av sannsynlighet og en skala for vurdering av konsekvens. Gå deretter igjennom og forklar hvordan verdiene for sannsynlighet og konsekvens skal forstås. Lite sannsynlig Moderat sannsynlig Sannsynlig Svært sannsynlig Hendelsen inntreffer hvert femte skoleår. Hendelsen kan opptre hvert tredje skoleår. Hendelsen kan opptre hvert skoleår. Hendelsen opptrer flere ganger i løpet av skoleåret. Ufarlig Uheldig Alvorlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen annet enn ubetydelig. Hendelsen kan få konsekvenser av mindre omfang for elever, foreldre lærere eller andre ansatte. Eksempelvis mindre økonomisk tap, tap av brukernavn/passord, publisering av bilder på læringsplattform uten samtykke, osv. Hendelsen kan få betydelige konsekvenser for elever, foreldre, lærere eller andre ansatte. Eksempelvis uautorisert bruk av en elevens/lærerens brukernavn/passord, utilsiktet tilgang til eller endring av karakterer/fravær, osv. Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme. Eksempelvis utlevering av sensitive personopplysninger, publisering av kontaktinformasjon for elever/foreldre som lever på skjermet adresse, vedvarende digital mobbing, osv. 5) Forklar hvorfor akkurat disse deltakerne ble invitert til møtet (forklaringen vil vanligvis være at deltakerne har særlig erfaring med det systemet eller den arbeidsprosessen som skal risikovurderes). 6) Understrek at alle forslag til uønskede hendelser har betydning. Understrek også at det kan være vanskelig å vurdere hvor sannsynlig og skadelig en hendelse er, men at deltakerne bør følge «magefølelsen» hvis de er usikre. 30

31 31 FASE 2: Presentasjonsrunde med deltakerne La deltakerne presentere seg selv. Gi dem anledning til å kommentere forberedelsene til møtet, og om de syntes at beskrivelsene og eksempelhendelsene ga noen mening eller assosiasjoner. Det er viktig å få tilbakemelding på om eksempelhendelsene satte deltakerne i riktig «modus», det vil si om de skjønte hva som var hensikten med dem. Hvis de ikke gjorde det, så har du et forbedringspotensial på dette punktet. FASE 3: Gjennomgang av området som skal risikovurderes Gå igjennom beskrivelsen av det området som skal risikovurderes. Her tar du utgangspunkt i det dokumentet som ble sendt ut til deltakerne noen få dager forut for møtet (se figur 2 og 9). Vær tydelig på avgrensningene. Forsikre deg om at deltakerne har en felles forståelse av hvilket område de skal vurdere, og hvor grensedragningen mot tilstøtende områder går. Det er også viktig å gå igjennom de eksempelhendelsene som deltakerne har fått tilsendt på forhånd. Forsøk å skape en liten dialog rundt disse. Da kan det bli enklere for deltakerne å komme på uønskede hendelser på egen hånd senere i møtet. FASE 4: Deltakerne tenker igjennom uønskede hendelser Deltakerne får utdelt penn og papir slik at de kan skrive ned uønskede hendelser som de har opplevd, hørt om eller tenkt på. Vær tydelig på at ingen forslag er dumme. Vær også tydelig på at ingen trenger å komme frem på «scenen» for å presentere sine forslag. Deltakerne presenterer sine forslag gjennom felles diskusjoner senere i møtet. Dette vil forhåpentligvis gjøre det mer ufarlig for deltakerne å si til resten av gruppen hva de har notert for seg selv. FASE 5: Identifisering av uønskede hendelser Det er i denne fasen at idémyldringen skjer. Her handler det om å diskutere og avdekke så mange uønskede hendelser som mulig. Hendelsene trenger ikke å være erfaringsbasert, de kan like gjerne være tenkte eller hypotetiske. Det avgjørende er altså ikke at hendelsene har skjedd, men at de kan skje. Ovenfor har vi gitt noen eksempler på slike hendelser. Her er noen flere: Uvedkommende får tilgang til personopplysninger fordi kontaktlærer skriver ned elevenes brukernavn og passord på en liste som oppbevares i klasserommet. Personopplysninger går tapt fordi lærerne bruker sine private e-postkontoer, for eksempel Gmail eller Hotmail, for mellomlagring av dokumenter og notater. En elev får tilgang til klassekameratens konto på læringsplattformen og bruker tilgangen til å sende elektroniske meldinger i klassekameratens navn (identitetstyveri). Det skoleadministrative systemet «er nede» når vitnemål skal skrives ut. Selv om det er mange hendelser som kan diskuteres, kan det likevel være tungt å få i gang praten etter at deltakerne har skrevet ned sine tanker og ideer ingen ønsker å være først ut med å presentere forslag. Da kan du som møteleder spørre: «Er det noen av eksempelhendelsene dere har fått tilsendt som vi bør få med oss i risikovurderingen?» Dette kan ofte utløse en mer fri diskusjon. Som antydet ovenfor, kan det være en fordel å ha en referent som skriver ned de hendelsene som kommer frem under møtet. Som møteleder skal du lede diskusjonen og dialogen med deltakerne, og du har ofte nok med dette. Du skal hele tiden være årvåken og forsøke å tenke på hvilke hendelser som diskusjonene dreier seg om. Derfor er det en dårlig idé at møtelederen også er referent. Når deltakerne diskuterer en bestemt problemstilling, bør du forsøke å finne ut hvilken uønsket hendelse det kan dreie seg om. Hendelsen bør du skrive opp på tavla (eller flip-over). Så stiller du spørsmålet: «Kan det være denne hendelsen vi nå diskuterer?» La deltakerne få respondere på dette, eventuelt juster det du har skrevet og gå videre til neste problemstilling. Husk å nummerere alle hendelsene som skrives opp på tavla (eller flip-over), for eksempel 1.1, 1.2, 1.3, osv. Dette har betydning når deltakerne senere skal vurdere hendelsenes

32 32 FIGUR 11: EKSEMPEL PÅ HENDELSER SOM NOTERES PÅ TAVLA (HENDELSENE ER NUMMERERT) sannsynlighet og konsekvens. Istedenfor å skrive opp hele beskrivelsen av hendelsen, trenger deltakerne bare å referere til den ved hjelp av det nummeret du har gitt den. På denne måten effektiviseres gjennomføringen av den siste delen av møtet (se figur 11 ovenfor). En utfordring som du kan komme til å oppleve, er at forslag til uønskede hendelser avvises av én eller flere av deltakerne. Begrunnelsen er ofte at de mener at sannsynligheten for at hendelsen skal skje er liten, eller fordi det allerede er iverksatt tiltak for å hindre at hendelsen skjer: «Men det lagres da ikke sensitive personopplysninger på minnepenner, for alle har jo fått beskjed om at dette ikke skal gjøres!» Derfor, mener de, er det liten vits i å bruke tid på akkurat den hendelsen. Da er det viktig at du som møteleder forklarer at disse deltakerne nettopp har foretatt en risikovurdering: de har uttalt seg om hvor sannsynlig hendelsen er (hendelsen beskrives som lite sannsynlig fordi det allerede er iverksatt et tiltak gitt beskjed om hva praksis skal være). Det er i tillegg viktig at du forklarer at på dette stadiet skal ikke deltakerne vurdere sannsynlighet. De skal heller ikke vurdere hendelsens konsekvenser. Poenget er isteden å få frem alle uønskede hendelser som kan skje, det vil si uavhengig av hvor sannsynlige eller skadelige de er. Det er mot slutten av møtet at deltakerne får anledning til å si hva de mener om sannsynlighet og konsekvens. Møtelederen må være årvåken i slike situasjoner og si at deltakerne skal ta stilling til sannsynlighet og konsekvens senere, «men er vi enige om at hendelsen faktisk kan skje?»

33 Det vil de fleste trolig være enig i, og dermed bør du notere hendelsen på tavla (eller flip-over). Det er også svært viktig at du som møteleder ikke gir uttrykk for en spesiell holdning til de uønskede hendelsene som deltakerne foreslår. Du bør for eksempel ikke si at «joda, jeg kan alltids notere den hendelsen du nevner der, men så veldig relevant for oss er den nok ikke». Slike utsagn kan både føre til at deltakerne blir engstelige for å foreslå hendelser og at deltakerne påvirkes til å gi en annen vurdering av hendelsens sannsynlighet og konsekvens enn de ellers ville gjort. Hvis diskusjonen i møtet stopper opp, er det lurt at møtelederen har ytterligere eksempler på uønskede hendelser som han/hun kan spille inn (eller stille noen spørsmål om det området som risikovurderes, for eksempel hvordan deltakerne faktisk bruker et bestemt IKT-system). På denne måten kan du sette fart i diskusjonen igjen. Dersom du merker at det er lite nytt å spore i diskusjonen, eller du ser at nye forslag til hendelser allerede er notert på tavla (eventuelt flip-over), så er det et tegn på at diskusjonen «går i ring». Da kan det være på tide å avslutte denne delen av møtet. Det kan du gjøre ved å spørre deltakerne om de «har hendelser på papiret sitt som ikke er nevnt eller diskutert?» FASE 6: Vurdere sannsynlighet og konsekvens Neste steg er at deltakerne vurderer hendelsenes sannsynlighet og konsekvens. Før deltakerne setter sine verdier for sannsynlighet og konsekvens, bør du understreke at det er viktig at de gir en så edruelig og realistisk vurderingen som mulig. Erfaring viser at det kan være en viss fare for at deltakerne er påvirket av at diskusjonene i møtet har fokusert på «alt som kan gå galt». Dermed kan det tenkes at enkelte av dem setter høyere verdier for sannsynlighet og konsekvens enn hva det er grunnlag for. Men det er selvsagt også viktig at det ikke settes urealistisk lave sannsynlighets- og konsekvensverdier. Hvis dette likevel skjer, risikerer du å få et resultat som i liten grad reflekterer reelle sikkerhetsutfordringer. Selv om vurderingen på ingen måte er en individuell prøve eller eksamen (det finnes ingen «fasit»), bør du understreke at deltakerne ikke skal samarbeide når de setter sine verdier for sannsynlighet og konsekvens. Poenget med vurderingen er at hver enkelt deltaker, med bakgrunn i sine spesielle erfaringer og sitt unike ståsted, gjør seg opp sin egen mening om de uønskede hendelsene som er identifisert. Hvis deltakerne samarbeider om vurderingen, blir det vanskelig å fange opp ulikheter i forståelsen av hva sikkerhetsutfordringene er. Deretter kan du dele ut en utskrift som beskriver de fire verdiene for sannsynlighet og konsekvens, slik at deltakerne får oppfrisket disse, og du ber deltakerne om å skrive ned hendelsene som du har notert på tavla (eller flip-over). Så lenge du har husket å nummerere hendelsene, trenger ikke deltakerne å skrive ned annet enn numrene for å referere til de ulike hendelsene. Understrek også at deltakerne skal oppgi tallverdier for sannsynlighet og konsekvens (for eksempel verdien 2 hvis de mener en hendelse er «moderat sannsynlig»). Bak hver nummererte hendelse angir deltakerne hvor sannsynlig og skadelig de mener hendelsene er. Verdien for sannsynlighet oppgis alltid først og deretter oppgis verdien for konsekvens (skadevirkning), for eksempel 1.1 3/4. Dette betyr at det dreier seg om hendelse 1.1 (som kan være at personopplysninger endres av uvedkommende fordi læreren har mistet sitt passord), at sannsynligheten for at hendelsen skjer vurderes å være 3 («sannsynlig») og at konsekvensen vurderes å være 4 («kritisk»). 33

34 Eksempel på risikovurdering: FIGUR 12: EKSEMPEL PÅ VURDERING AV SANNSYNLIGHET OG KONSEKVENS Til slutt bør arkene hvor deltakerne oppgir sannsynlighets- og konsekvensverdi samles inn og registreres av referenten i møtereferatet. Risikovurderingene (arkene med sannsynlighets- og konsekvensverdi) skal ikke kunne knyttes opp mot identiteten til de som avga dem. Dette er et viktig prinsipp. Du skal derfor ikke be deltakerne om å skrive navnet sitt på arkene vurderingene skal være anonyme. Oppsummering av risikovurderingen: - Noter uønskede hendelser på tavle (eller flip-over). - Nummerer hendelsene som noteres. - Del ut beskrivelse av sannsynlighets- og konsekvensverdiene (du kan kort gå igjennom disse på nytt). - Del ut ark som deltakerne foretar sine risikovurderinger på. - Gi deltakerne litt tid til å sette sine egne verdier for sannsynlighet og konsekvens (understrek at det ikke finnes noe fasitsvar). - Arkene med deltakernes risikovurderinger samles inn og tallverdiene føres inn i referatet. Etter dette er det bare å takke deltakerne for innsatsen og ønske dem fortsatt god dag! Når referenten er ferdig med sitt arbeid, kan referatet fra møtet se ut som vist i figur 13 på neste side: 34

35 Referat fra arbeidsmøte om risikovurdering av Feide som innloggingstjeneste Til stede: Frafall: Referent: NN NN NN Risikomatrise Risikomatrise vi vurderer ut i fra Sannsynlighet Konsekvens Lite sannsynlig 2 Moderat sannsynlig 3 Sannsynlig 4 Svært sannsynlig Ufarlig Uheldig Alvorlig Kritisk Feide Risikofaktorer 1.1 Elev får tilgang til administratorgrensesnitt i E1 1.2 Det lages en praksis på passord som gjør at de lett kan gjettes. Eks. etternavn, fornavn, etc. 1.3 Det skrives ut en liste over bruker-id/passord som kan komme på avveie. 1.4 Det lages liste med brukernavn/passord på fellesområde med fare for utlevering og ID-tyveri. 1.5 Det lages felles/dårlige passord i en klasse for å forenkle innlogging. 1.6 Svake passord på grunn av mangelfulle retningslinjer for passord. 1.7 På grunn av manglende synkronisering mellom AD/ADAM/Buddy får noen ikke logget på, tilgjenglighet er problemet. 1.8 Passord genereres av lærer, rektor eller adm og leveres til elev med fare for utlevering, ulik praksis. 1.9 Brukernavn og passord til lærer sendes på e-post til lærer med fare for tapping og brukernavn og passord på avveie Lærer endrer passord på feil elev på grunn av at læreren ser alt Oppdaterer feil bruker i passordgrensesnitt på grunn av at det kommer flere alternativer opp i løsningen Elev logger seg på lærerweb med lærers brukernavn og passord med tilhørende endring av karakterer, vurderinger, fravær, etc 1.13 Fødselsnummer kommer i klartekst i innsynsmodul, elev og andre kan lese av dette Synkroniseringsfeil fører til at elever og lærere ikke får tilgang ADAM-serveren blir utsatt for angrep/tapping. 35

36 Sannsynlighet og konsekvens (S/K) 36 Hendelser V1 V2 V3 V4 V5 V6 V7 Oppsummert 1.1 1/4 2/3 3/3 1/ /3 3/4 4/3 3/ /3 3/4 4/3 3/ /2 3/3 4/3 3/ /2 2/4 4/3 4/ /3 3/3 4/3 4/ /2 1/3 2/2 2/ /2 2/3 4/1 3/ /4 3/4 4/3 4/ /2 1/3 2/3 2/ /3 1/3 2/3 3/ /4 2/4 2/4 3/ /4 4/3 2/4 3/ /2 1/2 1/1 3/ /4 2/4 1/4 1/4 FIGUR 13: EKSEMPEL PÅ REFERAT FRA RISIKOVURDERINGSMØTE Som det fremgår av figuren, inneholder møtereferatet tre viktige punkter: 1. Risikomatrisen som ble benyttet for å vurdere sannsynlighet og konsekvens. 2. En nummerert oversikt over de uønskede hendelsene som ble identifisert. 3. En tabell som viser hvordan deltakerne (V1-V4) vurderte sannsynligheten for og konsekvensen av hver enkelt hendelse.

37 37

38 03 Del 3 Etterarbeid, utarbeide risikorapport HVA BESTÅR ETTERARBEIDET AV? Lederen for risikovurderingsprosessen bør ta seg av etterarbeidet. Det bør gjøres like etter at risikovurderingsmøtene er avsluttet, mens du fortsatt har møtene friskt i minne (selv om du har lydopptak av møtene, bør du likevel ikke vente for lenge med å ta fatt på etterarbeidet). Etterarbeidet består av tre hoveddeler: slutt bør du inkludere beskrivelsen av uønskede hendelser og resultatet av selve risikovurderingen, se figur 14 på neste side. 1. Utarbeide risikorapport. 2. Kvalitetssikre innholdet i rapporten. 3. Formidle konklusjoner og anbefalinger. Nedenfor skal vi se nærmere på hver av de tre hoveddelene. 38 Utarbeide risikorapport Referatet fra risikovurderingsmøtet er grunnlaget for risikorapporten. Det betyr at strukturen og innholdet i risikorapporten er relativt likt det vi finner i møtereferatet (se figur 13 ovenfor og kommentarene til denne). Det som skiller risikorapporten fra møtereferatet, er tre ting: 1. Hver uønsket hendelse gis en kort forklaring/beskrivelse. Dette er viktig med tanke på at de som ikke deltok på møtene, men som skal lese rapporten, forstår hva de ulike hendelsene betyr. 2. Det regnes ut en risikofaktor (sammen med gjennomsnittlig sannsynlighets- og konsekvensverdi) for hver uønsket hendelse. Dette er avgjørende for å vite hvilke hendelser som har en uakseptabel høy risiko og hvilke som ikke har det. 3. Oppsummering og forslag til tiltak. De hendelsene som har en uakseptabel høy risiko som plasserer seg i «rød sone» i risikomatrisen plukkes ut og presenteres, og det foreslås tiltak for å redusere risikoen for at hendelsene inntreffer. I risikorapporten bør du også legge ved det dokumentet som ble sendt ut til møtedeltakerne i forkant av risikovurderingsmøtet (beskrivelsen av det området som ble risikovurdert og risikomatrisen som ble benyttet). Så bør du ta med en oversikt over hvem som deltok på risikovurderingsmøtet. Til

39 03 Feide Uønskede hendelser 1.1 Elev får tilgang til administrator grensesnitt i E1 Lærere som har tilgang til elevnettet, kan logge seg inn på et administrasjonsprogram som endrer passordet for elever og lærere. Dersom en elev får tilgang til dette grensesnittet, kan dette medføre at vedkommende kan endre passordet til mange elever. 1.2 Det lages en praksis på passord som gjør at de lett kan gjettes Enkelte lærere gir elevene føringer for hva de skal benytte som passord. Dette kan for eksempel være etternavn. Denne praksisen gjør at de fleste elever skjønner hva medelevenes passord er. 1.3 Det skrives ut en liste over bruker-id/passord som kan komme på avveier Når systemet genererer Feide-brukernavn og passord, blir det distribuert lister over hvem som får tildelt hvilke passord. Dette skrives inn (genereres) i et Exceldokument. Det er avdekket en praksis som går ut på at disse listene (med brukernavn og passord) skrives ut på papir og kan komme uvedkommende i hende. 1.4 Det lages liste med brukernavn/passord på fellesområde med fare for utlevering og ID-tyveri Exceldokumentet som beskrevet i punkt 1.3 ovenfor, lagres på fellesområder. Dette medfører at mange har tilgang til lister med brukernavn/passord. 1.5 Det lages felles/dårlige passord i en klasse for å forenkle innlogging Ref. punkt 1.2, men dette gjelder også klasser som benytter samme passord for alle elevene. 1.6 Svake passord på grunn av mangelfulle retningslinjer På grunn av at det mangler retningslinjer for passord, blir det ofte til at man benytter lettvinte passord. Dette kan føre til svak sikkerhet og kan bidra til at forståelsen for viktigheten av å holde et passord hemmelig undergraves. 1.7 Pga. manglende synkronisering mellom AD/ADAM/Buddy får brukerne ikke logget på Det foregår en synkronisering av brukerdata mellom Fylkeskommunens IDMmotor, AD i den enkelte kommune og ADAM (LDAP) katalogen som Uninett (Moria) kobler seg opp mot. Man er avhengige av vellykket synkronisering, det vil si at opplysningene er korrekte, for at man skal kunne logge seg på med Feide. Dersom synkroniseringen ikke er vellykket, kan man stå i fare for at mange elever og lærere ikke får tilgang til nødvendige ressurser. 1.8 Passord genereres av lærer, rektor eller administrasjonen og leveres til elevene I forbindelse med endring av passord, har både rektor, lærer og noen ganger administrativt personell adgang til å gjøre dette. Passordene overleveres på forskjellige måter, for eksempel gul lapp, muntlig, osv. Manglende varsomhet her kan føre til utlevering av passord til uvedkommende. 39

40 03 Sannsynlighet og konsekvens (S/K) Hendelse V1 V2 V3 V4 Gj.snitt Risiko faktor 1.1 1/1 2/3 4/2 2/4 2,3 / 2,5 5, /2 3/3 4/3 2/4 3,3 / 3 9, /2 3/3 4/4 2/3 3,3 / 3 9, /2 2/2 3/3 1/4 2 / 2,8 5, /1 2/2 2/3 1/3 2,3 / 2,3 5, /1 1/2 2/2 2/2 1,5 / 1,8 2, /1 4/2 4/3 4/2 3,3 / 2 6, /2 2/2 3/2 1/3 1,8 / 2,3 4, /2 3/2 3/3 3/2,3 6, /2 2/2 3/3 2,7/2,3 6,2 FIGUR 14: EKSEMPEL PÅ BESKRIVELSE AV HENDELSER OG RESULTAT AV RISIKOVURDERING Til venstre i figuren listes de uønskede (og nummererte) hendelsene som deltakerne identifiserte under risikovurderingsmøtet, og det gis en liten forklaring til hver hendelse. Til høyre vises en tabell som forteller hvilke sannsynlighets- og konsekvensverdier de fire møtedeltakerne (V1-V4) ga hver enkelt hendelse (sannsynlighetsverdien oppgis alltid først, deretter konsekvensverdien: sannsynlig/konsekvens). For hver hendelse er gjennomsnittet for sannsynlighet og konsekvens regnet ut, og til slutt oppgis risikofaktorene. Som vi ser, er risikofaktorene oppgitt i ulike farger. Fargene (grønt, gult og rødt) viser hvor hendelsene plasserer seg i risikomatrisen. Vi ser at to hendelser 1.2 (passord er enkle å gjette) og 1.3 (lister med passord kan komme på avveier) befinner seg i risikomatrisens «røde sone». Dette er derfor hendelser som skolen eller skoleeier bør iverksette sikringstiltak for å unngå. I rapporten er det viktig at de«røde hendelsene» utheves i en oppsummerende (eller konkluderende) del. Dette fordi lederne, enten på skole- eller skoleeiernivå, bør få tydelig beskjed om hvilke hendelser som ble oppfattet som spesielt sannsynlige og skadelige. Lederne bør også presenteres for forslag til sikringstiltak. Som ansvarlig for risikovurderingsprosjektet, er det din oppgave å utarbeide tiltaksforslag. Når det gjelder hendelse 1.2 i figur 14 (passord er enkle å gjette), kan du foreslå følgende sikringstiltak: «Skolen (eller skoleeier) endrer sin passordpolicy» (for eksempel at brukernes for- eller etternavn ikke lenger godtas som passord). For hendelse 1.3 (lister med passord kan komme på avveier ) er det naturlig å foreslå et annet sikringstiltak: «Skolen (eller skoleeier) introduserer et forbud mot at slike lister lages.» Det er viktig at du er tydelig, konkret og kortfattet når du presenterer forslagene til sikringstiltak. På denne måten øker sannsynligheten for at forslagene dine blir tatt på alvor. Figur 15 viser hvordan det siste punktet i risikorapporten foreslåtte tiltak kan se ut. 40

41 Foreslåtte tiltak Etablere obligatorisk opplæring i håndtering av brukernavn/passord til alle lærere og elever. Dette bør gjentas en gang hvert år Etablere databehandleravtale med eventuell leverandør av skytjenester Gjennomføre opplæring i bruk av Moodle til alle lærere med jevne mellomrom Etablere rutiner for hvordan brukernavn/passord skal distribueres til elev/foreldre på en sikker måte Etablere overvåkning av nettverket Etablere reglement for bruk av e-post for elever Etablere rutiner for hvordan man skal håndtere inngående e-post med sensitivt innhold fra foreldre eller andre (f.eks. helsepersonell) Etablere sterk autentisering i forbindelse med webmail Etablere gode rutiner for hvordan og hvem som skal publisere på skolenes hjemmesider Etablere avtaler med leverandører av websidene Benytte seg av webløsninger som kan forhindre utkopiering av bilder eller lignende. FIGUR 15: EKSEMPEL PÅ TILTAKSLISTE. Kvalitetssikre innholdet i rapporten Før den endelige risikorapporten presenteres for ledere på skole- eller skoleeiernivået, bør innholdet i den kvalitetssikres. Det gjør du ved å sende utkast til endelig rapport til de som deltok på risikovurderingsmøtene. Du bør be deltakerne kommentere forklaringene/beskrivelsene av de uønskede hendelsene, og utfordre dem til å komme med innspill til dine tiltaksforslag. Husk å gi en frist for når deltakerne må komme med forslag til endringer og forbedringer. Formidle konklusjoner og anbefalinger Når du har innarbeidet eventuelle forslag til endringer og forbedringer, er det på tide å gjøre ledere på skole- eller skoleeiernivået kjent med hva risikovurderingen har kommet frem til. Det finnes ingen «standardoppskrift» for hvordan formidlingen av konklusjoner og anbefalinger bør foregå. Det vil blant annet avhenge av hvilke organisatoriske løsninger som din skoleeier har valgt (særlig primærkommunene organiserer seg noe ulikt). Det vil imidlertid vanligvis være slik at rektoren på skolen er din «oppdragsgiver». Da bør rapporten, med oppsummering og forslag til tiltak, formidles til rektoren først. Når du har gjort dette, er jobben din over. Ballen er nå spilt over til rektor, og det er opp til han/hun (eventuelt i samråd med deg eller andre ved skolen) å avgjøre hva som skal skje videre: Hvilke av de foreslåtte tiltakene bør iverksettes (om noen), hvilke av dem kan gjennomføres lokalt på skolen og hvilke må skoleeier ta stilling til? Spesielt hvis sikringstiltakene har en prislapp, vil det være naturlig å involvere skoleeier. Som nevnt tidligere, kan det være aktuelt at tiltakene spilles inn i budsjettprosessen i din kommune eller fylkeskommune.

42 03 For skoleledere og skoleeiere kan det være verdt å merke seg at sikringstiltak som innebærer elektronisk registrering og lagring av opplysninger om de ansatte, for eksempel logging av aktiviteter på læringsplattformen, krever involvering av de ansattes representanter før tiltaket iverksettes (se arbeidsmiljøloven kapittel ni). Også andre brukergrupper enn de ansatte (elever og foreldre) bør involveres, for eksempel via skolens rådsorganer. Det er videre verdt å huske at rettighetene etter personopplysningsloven gjelder for alle som omfattes av denne typen sikringstiltak (for eksempel retten til innsyn i de opplysningene som registreres og lagres om dem). Nye risikovurderinger Et spørsmål som trolig vil dukke opp etter hvert som nye risikovurderinger gjennomføres, er om de samme personene skal delta hver gang eller om det bør være en viss rullering blant deltakerne. Det er viktig å ha et bevisst forhold til dette spørsmålet. Ved at de samme personene deltar hver gang, bygger din skole eller skoleeier opp en grunnstamme av erfarne «risikovurderere». Utfordringen er at prosessen lett kan få et rutinemessig og ekskluderende preg. Ved å legge opp til en viss rullering blant deltakerne, blir flere personer kjent med bruken av teknikken og den kan få en bredere forankring i din skole eller hos din skoleeier. Samtidig kan det tenkes at nye deltakere bringer med seg alternative synspunkter og erfaringer. Dette kan føre til at flere uønskede hendelser blir identifisert og vurdert. Ovenfor har vi sett at personopplysningsloven med forskrift pålegger skoleeier å gjennomføre risikovurderinger med jevne mellomrom (eller ved behov). Når du har foretatt den første runden med risikovurderinger, blir det mye enklere å gjøre den samme øvelsen en gang til: Deltakerne vet nå hva det handler om, avgrensninger og beskrivelser av aktuelle områder kan brukes på nytt, og du har en liste med uønskede hendelser som senere risikovurderinger kan ta utgangspunkt i. Senere risikovurdering bør gå igjennom tidligere identifiserte hendelser for å se om de fortsatt bør stå på listen. Samtidig vil det sikkert dukke opp nye hendelser som dere ikke tenkte på sist gang. I tillegg bør sikringstiltak som ble iverksatt etter forrige risikovurdering, gjennomgås for å se om de har hatt den forventede virkningen. På denne måten etableres en kontinuerlig forbedringsprosess i forbindelse med skolens (eller skoleeiers) bruk av IKT. Avslutning Når risikovurderingen er gjennomført og eventuelle sikringstiltak iverksatt, står din skole og skoleeier bedre rustet til å møte en hverdag preget av informasjons- og kommunikasjonsteknologi. Dermed kan alle ha tillit til at skolen forvalter sine informasjonsverdier på en lovmessig og betryggende måte. Lykke til med arbeidet! 42

43 43

PERSONVERN I SKOLE OG BARNEHAGE

PERSONVERN I SKOLE OG BARNEHAGE PERSONVERN I SKOLE OG BARNEHAGE Samlerapport, juni 2014 Datatilsynet Gateadresse: Tollbugata 3, Oslo Postadresse: Pb 8177 Dep, 0034 Oslo E-post: postkasse@datatilsynet.no Telefon: 22 39 69 00 Faks: 22

Detaljer

Kameraovervåking hva er lov? Sist endret: april 2015

Kameraovervåking hva er lov? Sist endret: april 2015 Kameraovervåking hva er lov? Sist endret: april 2015 Kameraovervåking kan være et inngrep i personvernet. Overvåkingen er derfor lovregulert, og den ansvarlige har plikt til å sette seg godt inn i regelverket

Detaljer

Arbeid med informasjonssikkerhet; fra juss til styring og rutiner

Arbeid med informasjonssikkerhet; fra juss til styring og rutiner Nr. 2006:4 Arbeid med informasjonssikkerhet; fra juss til styring og rutiner Skrevet på oppdrag fra Fornyings- og administrasjonsdepartementet Forord Statskonsult viderefprte i 2005 sitt flerflrige arbeid

Detaljer

En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger

En veiledning. Sikkerhets- og beredskapstiltak mot terrorhandlinger En veiledning Sikkerhets- og beredskapstiltak mot terrorhandlinger Utgitt av Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste Sikkerhetsråd 01 Gjennomfør en risikovurdering

Detaljer

Ett år med arbeidslivsfaget

Ett år med arbeidslivsfaget Ett år med arbeidslivsfaget Læreres og elevers erfaringer med arbeidslivsfaget på 8. trinn Anders Bakken, Marianne Dæhlen, Hedda Haakestad, Mira Aaboen Sletten & Ingrid Smette Rapport nr 1/12 NOva Norsk

Detaljer

SAMARBEID MELLOM HJEM OG SKOLE

SAMARBEID MELLOM HJEM OG SKOLE SAMARBEID MELLOM HJEM OG SKOLE Av Elsa Westergård & Hildegunn Fandrem Om Respekt Dette heftet er produsert som en del av arbeidet under Respekt programmet, som består av kurs, veiledning og eget arbeid

Detaljer

Veileder. Til barnets beste samarbeid mellom barnehagen og barneverntjenesten

Veileder. Til barnets beste samarbeid mellom barnehagen og barneverntjenesten Veileder Til barnets beste samarbeid mellom barnehagen og barneverntjenesten Veileder Til barnets beste samarbeid mellom barnehagen og barneverntjenesten 1.Innledning Veilederen finnes på departementenes

Detaljer

Krav til en vertsorganisasjon i Feide

Krav til en vertsorganisasjon i Feide Krav til en vertsorganisasjon i Feide veiledning Om Senter for IKT i utdanningen Senter for IKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra til at bruken

Detaljer

Tegn på god praksis. Kom igang med skoleutvikling Et arbeidshefte om ekstern skolevurdering

Tegn på god praksis. Kom igang med skoleutvikling Et arbeidshefte om ekstern skolevurdering Tegn på god praksis Kom igang med skoleutvikling Et arbeidshefte om ekstern skolevurdering Forord Dette er et hefte om skolevurderingsmetodikken slik den brukes av det nasjonale Veilederkorpset. Heftet

Detaljer

tenk for du deler aktivitetshefte om ansvar, grenser og respekt på nettet

tenk for du deler aktivitetshefte om ansvar, grenser og respekt på nettet tenk for du deler aktivitetshefte om ansvar, grenser og respekt på nettet FORORD Tenk før du deler er et aktivitetshefte for å legge til rette for samtaler med barn på mellomtrinnet om deres sosiale liv

Detaljer

Catrine Torbjørnsen Halås og Kate Mevik, Universitetet i Nordland. Skolen må bry seg om fravær! Rapport fra dialogkaféer i Telemark

Catrine Torbjørnsen Halås og Kate Mevik, Universitetet i Nordland. Skolen må bry seg om fravær! Rapport fra dialogkaféer i Telemark Catrine Torbjørnsen Halås og Kate Mevik, Universitetet i Nordland Skolen må bry seg om fravær! Rapport fra dialogkaféer i Telemark 1. Forord Talenter for framtida er en felles satsing på barn og unge i

Detaljer

Ulik avviksrapportering et lederspørsmål?

Ulik avviksrapportering et lederspørsmål? Ulik avviksrapportering et lederspørsmål? Masteroppgave i Endringsledelse Samfunnsvitenskapelig fakultet Universitetet i Stavanger Høsten 2014 Gunn Laila Dahlseng Hope 1 UNIVERSITETET I STAVANGER MASTERGRADSSTUDIUM

Detaljer

VEILEDER I UTARBEIDING OG BRUK AV SPØRRESKJEMA I FORVALTNINGSREVISJON I RIKSREVISJONEN

VEILEDER I UTARBEIDING OG BRUK AV SPØRRESKJEMA I FORVALTNINGSREVISJON I RIKSREVISJONEN VEILEDER I UTARBEIDING OG BRUK AV SPØRRESKJEMA I FORVALTNINGSREVISJON I RIKSREVISJONEN Innholdsfortegnelse: 1. Innledning s.2 2. Når skal vi bruke spørreskjema? s.2 3. Hvem skal spørreskjemaet rettes til?

Detaljer

Ting vil bli enklere og ta kortere tid

Ting vil bli enklere og ta kortere tid Ting vil bli enklere og ta kortere tid Holdninger til offentlige tjenester på internett Rapport 2-2006 Ting vil bli enklere og ta kortere tid Holdninger til offentlige tjenester på internett ISBN 82-92447-09-1

Detaljer

Arbeid med kvalitet i opplæringen - Orkdal vidaregåande skole

Arbeid med kvalitet i opplæringen - Orkdal vidaregåande skole FORVALTNINGSREVISJON Arbeid med kvalitet i opplæringen - Orkdal vidaregåande skole Sør-Trøndelag fylkeskommune Mai 2015 - TITTEL - 1 Forord Denne forvaltningsrevisjonen er gjennomført på oppdrag av Sør-Trøndelag

Detaljer

temahefte LMS hva og hvordan

temahefte LMS hva og hvordan temahefte LMS hva og hvordan Innhold 1. Hva er et LMS?... 5 1.1. Forankring i utdanningspolitisk tenkning... 6 1.2. Utbredelse... 7 2. Funksjonalitet (verktøy)... 8 2.1. Informasjon og administrasjon...

Detaljer

KARTLEGGING AV SKOLENES FORHOLD TIL «BRING YOUR OWN DEVICE»

KARTLEGGING AV SKOLENES FORHOLD TIL «BRING YOUR OWN DEVICE» KARTLEGGING AV SKOLENES FORHOLD TIL «BRING YOUR OWN DEVICE» Beregnet til Senter for IKT i utdanningen Dokumenttype Rapport, versjon 1.1 Dato 1. mars 2013 SENTER FOR IKT I UTDANNINGEN KARTLEGGING AV SKOLENES

Detaljer

«HVA GJØR VI MED RESULTATENE?» NINA E. AANDAL NORSK KVALITETSVURDERINGSSYSTEM OG SKOLELEDERS HANDLINGSROM MASTEROPPGAVE I SKOLELEDELSE VÅREN 2014

«HVA GJØR VI MED RESULTATENE?» NINA E. AANDAL NORSK KVALITETSVURDERINGSSYSTEM OG SKOLELEDERS HANDLINGSROM MASTEROPPGAVE I SKOLELEDELSE VÅREN 2014 NINA E. AANDAL «HVA GJØR VI MED RESULTATENE?» NORSK KVALITETSVURDERINGSSYSTEM OG SKOLELEDERS HANDLINGSROM MASTEROPPGAVE I SKOLELEDELSE VÅREN 2014 NORGES TEKNISK-NATURVITENSKAPELIGE UNIVERSITET PROGRAM

Detaljer

«Bare en ekstra tallerken på bordet?»

«Bare en ekstra tallerken på bordet?» Oppsummering av landsomfattende tilsyn i 2013 og 2014 med kommunenes arbeid med oppfølging av barn som bor i fosterhjem «Bare en ekstra tallerken på bordet?» RAPPORT FRA HELSETILSYNET 1/2015 MARS 2015

Detaljer

Miniguide til prosjektledelse

Miniguide til prosjektledelse Miniguide til prosjektledelse LNU - Norges barne- og ungdomsorganisasjoner september 2012 1 Innledning 3 Innledning Kurs og kompetanse Oppsummering av hele teksten - sjekkliste Hva er et prosjekt? Hva

Detaljer

Helsepersonells opplysningsplikt til barnevernet

Helsepersonells opplysningsplikt til barnevernet Oppsummering av kunnskap fra tilsyn mv. Helsepersonells opplysningsplikt til barnevernet RAPPORT FRA HELSETILSYNET 2/2014 MARS 2014 Rapport fra Helsetilsynet 2/2014 Helsepersonells opplysningsplikt til

Detaljer

Veileder Resultatmåling

Veileder Resultatmåling Veileder Resultatmåling Mål- og resultatstyring i staten SSØ 12/2010, 2. opplag 3000 eks. Forord God informasjon om egne resultater er en forutsetning for at statlige virksomheter skal kunne tilpasse seg

Detaljer

Arbeid med etikk. Melhus kommune

Arbeid med etikk. Melhus kommune Arbeid med etikk Melhus kommune Januar 2008 Forord Denne forvaltningsrevisjonen er gjennomført på oppdrag av Melhus kommunes kontrollutvalg i perioden oktober 2007 - januar 2008. Undersøkelsen er utført

Detaljer

Mer mestring og læring på Borgund vidaregåande skole En artikkel i prosjekt: Kunnskapsløftet - fra ord til handling

Mer mestring og læring på Borgund vidaregåande skole En artikkel i prosjekt: Kunnskapsløftet - fra ord til handling Mer mestring og læring på Borgund vidaregåande skole En artikkel i prosjekt: Kunnskapsløftet - fra ord til handling Yngve Lindvig Jarl Inge Wærness Rannveig Andresen 1 Innhold 1 INNLEDNING... 3 2 HISTORIEN

Detaljer

KIRKENS FRIVILLIGE ARBEID FOREBYGGING OG HÅNDTERING AV SEKSUELLE KRENKELSER

KIRKENS FRIVILLIGE ARBEID FOREBYGGING OG HÅNDTERING AV SEKSUELLE KRENKELSER KIRKENS FRIVILLIGE ARBEID FOREBYGGING OG HÅNDTERING AV SEKSUELLE KRENKELSER Januar 2012 FORORD Den norske kirke har siden 1996 hatt prosedyrer og retningslinjer for behandling av overgrepssaker, der den

Detaljer

Veiledning til bruk av materiellet Tema 8

Veiledning til bruk av materiellet Tema 8 Veiledning til bruk av materiellet Tema 8 Fleksibel og målrettet bruk av etterutdanningsmateriellet for fag- og yrkesopplæringen Systematisk opplæring av framtidas fagarbeidere Utgitt av Utdanningsdirektoratet

Detaljer

Veileder Gevinstrealisering

Veileder Gevinstrealisering Veileder Gevinstrealisering planlegging for å hente ut gevinster av offentlige prosjekter Forord I de fleste offentlige prosjekter vil det være forventninger om gevinster som skal realiseres etter at prosjektet

Detaljer

Digitale læringsomgivelsers kommunikasjonsmønstre

Digitale læringsomgivelsers kommunikasjonsmønstre Dramaturgi i distribuert læring April 2005 Jon Hoem Digitale læringsomgivelsers kommunikasjonsmønstre Sammendrag Det er relativt bred enighet om at IKT kan bidra til å stimulere til endring i skolen. Spørsmålet

Detaljer

Veileder. Håndbok for samfunnsøkonomiske analyser

Veileder. Håndbok for samfunnsøkonomiske analyser Veileder Håndbok for samfunnsøkonomiske analyser 2 SSØ 10/2010, 1. opplag 1500 eks. Forord Det er viktig at statlige tiltak er velbegrunnede og gjennomtenkte. Samfunnsøkonomisk analyse er en metode for

Detaljer

Forskningsprosessen: Et veiledningshefte for elever i videregående skoletrinn

Forskningsprosessen: Et veiledningshefte for elever i videregående skoletrinn Forskningsprosessen: Et veiledningshefte for elever i videregående skoletrinn Holbergprisen i skolen Innhold Innledning 4 1. Valg av tema og problemstilling 5 1.1 Forskning gir deg ny kunnskap.........................................6

Detaljer