Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education, bruk av løsningen

Transkript

1 Google Apps for Education (GAFE) Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education, bruk av løsningen Revidert pr.15.mars 2016 Utarbeidet av: Leif Cato Larsen Gjershaug, Oppvekstkontoret Ole Bjørn Nordland, Rådmannens fagstab Terje Vullum, IT-tjenesten Christian Bøhn, IT-tjenesten Jomar Estenstad, Oppvekstkontoret Godkjent av: Ros-Mari Berre, Oppvekstkontoret

2 1. Bakgrunn 1.1. Beskrivelse av bruken 1.2. Kildesystemer for personopplysninger 1.3. Internkontroll 1.4. Deltakere 2. Behandling av personopplysninger 2.1. Skoleeiers bruk av personopplysninger 2.2. Type informasjon 2.3. Tillatt behandlede personopplysninger 2.4. Begrunnelse for bruk av GAFE 2.5. Informasjon til brukerne 2.6. Databehandleravtale 2.7. Overføring av personopplysninger til tredjeland (land utenfor EU og EØS) 3. Vilkårene for tjenesten 3.1. Standardkontrakter 3.2. Leverandørens formål med behandling av personopplysninger 3.3. Underleverandører og kontroll 3.4. Opphør av tjeneste 3.5. Overføring av personopplysninger og kundeopplysninger til tredjeland 3.6. Oppsummering 4. Risiko- og Sårbarhetanalyse 4.1. Metode 4.2. Identifisering av risiko og trusler 4.3. Hendelser som kan spores tilbake til Google eller tjenesten GAFE 4.4. Hendelser som er uavhengig av Google, men får konsekvenser for bruk av GAFE 5. Plan for informasjon 6. Plan for opplæring 7. Etablering av tjenesteforvalter 7.1. Tilgang til Administrasjonskonsoll i GAFE 8. Internkontroll 9. Signering Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 2

3 1. Bakgrunn Trondheim kommune står foran store investeringer innenfor IKT og skole. Prosjektet IKT i trondheimsskolen har analysert nå-situasjon, og pekt på flere punkter hvor de ser behovet for å gjennomføre endringer. Den klareste konklusjonen som er kommet fra rapporten er at trondheimsskolen skal ta i bruk en kontorpakke som er en del av en skytjeneste. Etter å ha gjennomført en pilot på dette, har Trondheim kommune besluttet å bruke Google Apps for Education (GAFE) til dette formålet. Igjennom dette dokumentet vil vi foreta en vurdering av risikoer som er forbundet med bruk av GAFE i forhold til personvern og andre sikkerhetsaspekter som f.eks tap av data Beskrivelse av bruken GAFE kommer til å bli brukt som et verktøy innenfor skolesektoren i Trondheim kommune. I første rekke vil det gjelde elever og ansatte ved alle barne og ungdomsskoler samt Enhet for voksenopplæring. Ved en senere anledning kan det være aktuelt å utvide bruksområdene ytterligere. Alle vil få tildelt en personlig konto tilhørende domenet skole.trondheim.kommune.no. Disse vil generes automatisk av skolens administrative systemer. Tjenestene de vil få tilgang til innbefatter bl.a. dokumenter, regneark, presentasjoner, kalender og e-post. Alle disse vil benytte seg av Google Disk for lagring. GAFE vil ikke bli benyttet til fraværsføring, karaktersetting eller Individuell Opplæringsplan(IOP). Den vil ikke bli benyttet til behandling av sensitive personopplysninger jf. Personopplysningsloven Kildesystemer for personopplysninger Grunnleggende personopplysninger for både ansatte og elever hentes direkte fra skoleadministrativt system. Karaktersetting og fraværsføring gjøres i dag i læringsplattformen. Hvilke opplysninger som hentes inn, drøftes i pkt Internkontroll Rutinene for internkontroll beskrives i et eget kapittel(se kapittel 8) 1.4. Deltakere Denne Risiko- og sårbarhetsanalysen er gjennomført av Oppvekstkontoret med bistand fra IT-tjenesten og Rådmannens fagstab. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 3

4 2. Behandling av personopplysninger 2.1. Skoleeiers bruk av personopplysninger GAFE er for trondheimsskolen et pedagogisk verktøy som skal brukes av ansatte og elever. Både i individuelt arbeid og for digitalt samarbeid i læringssituasjonen. For at tjenesten skal fungere, kreves det at den har tilgang på grunnleggende personopplysninger. Ingen sensitive personopplysninger blir lagret og behandlet i tjenesten. Kun personopplysninger som er nødvendige for å opprettholde funksjonaliteten i tjenesten blir behandlet Type informasjon Bare personlig informasjon om elevers og ansattes navn, e-post, klasse, skole vil bli behandlet av løsningen. Navn og saklig informasjon om elevarbeid vil skje i løpende tekst. Strukturert dokumentasjon om elevene, med inngående informasjon om elevenes prestasjoner og vurderinger vil ikke bli lagret i tjenesten. Ingen sensitive personopplysninger vil bli behandlet. Dette sikres gjennom fastsetting av rutiner og opplæring av brukere Tillatt behandlede personopplysninger De opplysningene det gis tillatelse til å behandle i løsningen er vurdert å være av ikke sensitiv karakter. Det er kun personopplysninger som er iht kapittel Begrunnelse for bruk av GAFE Digitale ferdigheter er i Kunnskapsløftet definert som en av de grunnleggende ferdighetene. For å kunne øve opp disse på en best mulig måte, er vi avhengige av å ha programvare og maskinvare som er hensiktsmessig for formålet. Dagens løsninger har hatt driftsmessige utfordringer, som har gjort at brukerne har etterspurt endringer og nye løsninger. Google som tjenesteleverandør og GAFE som tjeneste anses av Trondheim kommune som å være den best egnede løsningen pr. i dag og tiden fremover. Dette på bakgrunn av pilotering på Rosenborg skole og Nidarvoll skole. Mange benytter allerede disse tjenesten på eget initiativ, og ved å tilby disse igjennom kommunale kanaler vil en fjerne behovet for at private kontoer benyttes. Det er store muligheter for samarbeide innenfor denne plattformen. Dette muliggjør bedre samarbeid mellom elev/lærer, elev/elev og lærer/lærer. Blant annet vil det bedre mulighetene for lærere til å gi formativ vurdering i elevarbeidene. Det er kun personopplysninger som er nødvendig for å gjennomføre pedagogisk arbeid, kommunikasjon og lagring av pedagogisk arbeid som skal lagres. Dette blir vurdert at det kan gjøres uten å innhente samtykke fra den enkelte Informasjon til brukerne Alle brukere skal informeres om tjenesten sin oppbygning og på hvilken måte tjenesten er tenkt brukt. Dette skal skje gjennom et informasjonsskriv til elever og foresatte, og gjennom opplæring av ansatte. Denne informasjonen vil også være tilgjengelig via intranett og kommunens eksterne nettsider. Det kan også være aktuelt å benytte andre kanaler. Informasjon til foresatte og andre interessenter: Informasjon til ansatte: Informasjon til elever: Det er utarbeidet en egen kommunikasjonsplan ( se kapittel 5) Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 4

5 2.6. Databehandleravtale Det er inngått en databehandleravtale mellom Trondheim kommune og Google som leverandør av tjenesten Google apps for Education. Den omhandler hvordan Google skal ivareta de personopplysninger som blir lagret hos dem. Avtalen ble inngått 11.april 2013 og er signert av Christian Bøhn etter fullmakt fra daværende IT-sjef, Harald Moe Overføring av personopplysninger til tredjeland (land utenfor EU og EØS) EU sin standardkontrakt, MCC 1 (Model contract Clauses) er etablert for Trondheim kommune. Trondheim kommune har i tillegg leverandøravtale med Google som svarer opp alle forhold som ilegges 3.parts revisjon. Avtalen ble inngått 11.april 2013 og er signert av Christian Bøhn etter fullmakt fra daværende ITsjef, Harald Moe. 1 Commission Decision C(2010)593 Standard Contractual Clauses (processors) Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 5

6 3. Vilkårene for tjenesten 3.1. Standardkontrakter Ved oppstart av tjenesten ble det inngått følgende avtale: Hovedavtale om Google Apps for Education. I tillegg er det aktivert en avtale om behandling av personopplysninger: Data Processing Amendment til Google Apps Enterprise Agreement. Denne er aktivert via adminkonsollen for GAFE. Det er også en tilleggsavtale som omhandler leveranser fra underleverandører til Google Apps Enterprise Agreement -Subprocessors. Standard avtale om overføring av data til land utenfor EU/EØS Standard Contractual Clauses (processors) for the purposes of Article 26(2) of Directive 95/46/EC for the transfer of personal data to processers established in third countries which do not ensure an adequate level of data protection. Google kan overføre personopplysninger til land utenfor EU/EØS. For å sikre at et tilstrekkelig sikkerhetsnivå blir ivaretatt benytter Google seg av denne standardavtalen. Samlet sett mener Trondheim kommune at disse avtalene i tilstrekkelig grad ivaretar personsikkerheten i forhold til de forskrifter som er gitt av Datatilsynet og løsningen er godkjent tatt i bruk av Kommunaldirektør for Oppvekst og utdanning - Gunn Røstad Leverandørens formål med behandling av personopplysninger Verken tjenesteleverandøren eller underleverandører kan behandle personopplysninger til noe annet formål enn det som er nødvendig for å levere tjenester i GAFE eller det som er beskrevet av Trondheim kommune. Dette er spesifisert i detalj og sikret i punkt 5.2 i "Data Processing Amendment". Personlige data og brukerdata slettes av leverandør i systemet i henhold til 7 i "Data Processing Amendment." Tilleggsavtalen "Data Processing Amendment" utgjør databehandleravtale mellom leverandør og Trondheim kommune som skoleeier Underleverandører og kontroll Behandlingen av persondata kan i gitte tilfeller skje hos underleverandører. Den ansvarlige hos kommunen skal til en hver tid kunne få tilgang til opplysninger om hvilke underleverandører som har tilgang til personopplysninger tilhørende kommunens brukere. Google skal kunne fremskaffe en liste over disse underleverandørene. Leverandørens ansvarsforhold i forhold til underleverandører reguleres i henhold til kapittel 11 i "Data Processing Amendment" 3.4. Opphør av tjeneste Ved opphør av tjenesten må data og metadata flyttes til en annen IT-løsning for at viktig informasjon skal bli bevart. Leverandøren spesifiserer i Hovedavtalen 12 vilkår for oppsigelse. Personopplysninger og Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 6

7 annen informasjon vil ikke bli beholdt av Google eller deres underleverandører, sletting av data vil bli gjennomført i samsvar med beskrivelsen i hovedkontrakten 12 og "Data Processing Amendment" Overføring av personopplysninger og kundeopplysninger til tredjeland Leverandøren eller dens underleverandører kan lagre og behandle personopplysninger og kundedata utenfor EU, med særavtaler som kreves og som regulerer behandlingen. Tilleggsavtalen Standard Contractual Clauses (processors) sørger for at denne lagringen er i samsvar med EUs regelverk Oppsummering Trondheim kommune som skoleeier har fokus på at personvernet til elevene er ivaretatt og jobber kontinuerlig for å sikre at elevenes data er sikret mot innsyn fra uvedkommende. Basert på scenarier og tiltak beskrevet i denne risikoanalysen legger Trondheim kommune til grunn at Google Apps for Education er en trygg og sikker nok løsning for bruk i skolen. Det understrekes at kommunen må følge utviklingen tett fremover for å sikre at løsningen fortsatt er god og sikker nok for elevene. Det er også definert en rekke tiltak som skal understøtte elevenes personvern i løsningen. Blant annet: Ingen deling utenfor domenet, kun intern bruk av epost, Google+ avslått, opplæring med fokus på personvern og nettvett, egen informasjonsplan, egen opplæringsplan, lokal leverandørstøtte på teknisk løsning, internkontrollrutiner som beskrevet i egen plan. Personvern inngår også som en del av kunnskapsløftet og ligger allerede inne i læreplanene. Trondheim kommune har likevel valgt å ha ekstra fokus på personvern med tanke på den digitale satsningen som trondheimsskolen er inne i. Se trondheim.iktplan.no. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 7

8 4. Risiko- og Sårbarhetanalyse 4.1. Metode Grønne markeringer i tabellen innebærer at vi mener risikoen er akseptabel i forhold til sannsynligheten for at det skal skje. Gule felter forteller at risikoen er akseptabelt forutsatt at bestemte handlinger eller prosedyrer utføres for å minimere risikoen eller konsekvensene av den, og røde felt setter enda høyere krav til forebygging. Under kapittel 4.5 fastsettes de tiltak som det anses nødvendig å bli tatt Identifisering av risiko og trusler Ved å bruke GAFE og bruken av Internettbaserte lagrings- og verktøystjenester har en identifisert en rekke risikofaktorer som må bli vurdert. Nedenfor er en liste over de risikoer vi har identifisert sammen med en vurdering av sannsynligheten for at hendelsen skal inntreffe og en vurdering av hvor alvorlige konsekvensene av en slik hendelse ville være. Risikoelementer har blitt delt inn i de som forårsakes av GAFE, og de som har andre årsaker enn GAFE, men som har en direkte innvirkning på bruken av tjenesten. Den viktigste forskjellen mellom disse kategoriene er at sistnevnte er stort sett under vår egen kontroll, og at disse risikoene kan reduseres eller forebygges i vår egen organisasjon. en for en hendelse er gradert i fire trinn, "svært ", "", "regelmessig" og "ofte". Den omtrentlige betydningen av disse sannsynlighetene er - Hendelsen inntreffer en gang hvert år, men sannsynligvis aldri i løpet av bruksperioden. Sjelden - Hendelsen inntreffer en gang hvert 1-10 år, som trolig vil oppstå noen eller noen få ganger i løpet av bruksperioden. Regelmessig - Hendelsen inntreffer mer enn en gang per år. Ofte- Hendelsen inntreffer mer enn en gang per uke ene av en hendelse er gradert i fire trinn, "", "", "" og "". Den omtrentlige betydningen av disse nivåene er: - Hendelsen merkes og kan oppfattes som irriterende, men får ikke varige konsekvenser for brukeren, hverken for det lagrede arbeidet eller sikkerheten. - Hendelsen påvirker arbeidet i mindre grad, deler av arbeidet må gjøres på nytt. Normalt klarer brukeren selv å utføre de nødvendige tiltak - Hendelsen har stor innvirkning på enkeltpersoner eller gruppers arbeide og i tillegg økt risiko for sikkerhetshull. Hendelsen krever handling av administrator, for eksempel gjennoppretting av backupfiler eller endringer av passord. - Hendelsen har stor innvirkning på mange brukere sitt arbeid og / eller sikkerhet. Hendelsen krever at skoleeier er involvert i å løse problemet og at administratoren må foreta umiddelbare handlinger for å beskytte brukerne og brukernes lagrede arbeider. Dette kan medføre fare for rettslige krav. Vurderingen av sannsynligheten for en risiko og alvorlighetsgraden må ses på som et anslag. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 8

9 4.3. Hendelser som kan spores tilbake til Google eller tjenesten GAFE av hendelsen Elevers lagrede arbeide går tapt på grunn av systemfeil hos leverandøren Merarbeid og forsinkelser for elevene, innleveringsfrister kan ikke overholdes. Vurderingsgrunnlag kan gå tapt. Brukerne mister tillit til tjenesten. Sjelden Regelmessig Ofte av hendelsen Lærernes lagrede arbeide går tapt på grunn av systemfeil hos leverandøren Medfører alvorlig konsekvenser og merarbeid i det pedagogiske arbeidet som rammer mange elever. Vurderingsgrunnlaget for hele klasser / grupper kan gå tapt. Ansatte vil kunne miste tillit til tjenesten og velge å ikke bruke den. av hendelsen Nedetid hos leverandøren. Forsinker det pedagogiske arbeidet. Brukerne mister tillit til tjenesten. s Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 9

10 av hendelsen Leverandøren respekterer ikke avtalene og bruker / sprer data eller persondata til egne formål Målrettet reklame kan sendes til brukerne. Lover og forskrifter som er pålagt skoleeier kan ikke følges, som kan føre til at tjenesten må stenges. Personopplysninger kan distribueres til uvedkommende, som kan få alvorlige konsekvenser for enkeltpersoner og for det pedagogiske arbeidet. Brukerne mister tillit til tjenesten. Leverandøren viser seg ikke å kunne etablere eller opprettholde tilstrekkelig informasjonssikkerhet. Personopplysninger og lagret arbeid kan spres til uvedkommende med alvorlige konsekvenser for enkeltpersoner og for det pedagogiske arbeidet. Lovpålagte krav og forskrifter som kreves av skoleeier kan ikke følges, som kan føre til tjenesten må stoppes. Brukerne mister tillit til tjenesten. av hendelsen Leverandøren går konkurs, blir kjøpt opp av interessenter som ikke respekterer kontraktsforholdet eller at tjenesten fases ut. e konsekvenser for det pedagogiske arbeidet på grunn av tap av lagret arbeid. Personopplysninger og lagret arbeid kan spres til uvedkommende med alvorlige konsekvenser for enkeltpersoner og for det pedagogiske arbeidet. Brukere mister tillit til tjenesten. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 10

11 av hendelses Virus eller annen ondsinnet kode kan gjennom tjenesten true andre kommunale IT-tjenester. Forsinkelser i det pedagogiske arbeidet, undervisningstid går tapt til håndtering av problemer med de digitale tjenestene og utstyr. Mye ekstraarbeid for det lokale og det sentrale støtteapparatet. Brukere mister tillit til tjenesten. Sjelden Regelmessig ofte Risiko- Beskrivelse Leverandøren endrer funksjonalitet i tjenesten mens den er i bruk. Planlagt skolearbeid kan ikke utføres som forutsatt, merarbeid pga. endringene. Avtalen med leverandøren kan måtte endres for å være i samsvar med tjenestens nye innhold. Brukerne mister tillit til tjenesten. Risiko- Beskrivelse Data og metadata kan ikke overføres automatisert til en annen IT-løsning ved opphør av tjenesten. Ferdige lagrede arbeider går tapt. Mye ekstraarbeid for elever og ansatte for å håndtere flytting av data manuelt. s Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 11

12 Risiko- Beskrivelse av hendelses Leverandøren ønsker å endre innholdet i avtalen som regulerer bruk av tjenesten. Kostnader for å fortsette og bruke tjenesten. Lovpålagte krav på skoleeier oppfylles ikke lenger, og tjenesten må avvikles Hendelser som er uavhengig av Google, men får konsekvenser for bruk av GAFE Tjenesten kan ikke benyttes på grunn av feil i, eller overbelastning av kommunens IT-infrastruktur. Det pedagogiske arbeidet blir hindret. Brukerne mister tillit til tjenesten. Elevers lagrede arbeider går tapt på grunn av brukerfeil, eller feil ved teknisk utstyr. Elever må gjøre om igjen arbeide eller det gir økt tidsforbruk. Innleveringsfrister kan ikke overholdes. Vurderingsgrunnlag kan gå tapt. Brukerne mister tillit til tjenesten, og/ eller IT-infrastrukturen. Lærere mister lagret arbeid på grunn av brukerfeil, eller feil ved teknisk utstyr. Gir betydelig konsekvenser for det pedagogiske arbeidet, som rammer mange elever. Vurderingsgrunnlag for hele klasser eller grupper kan gå tapt. Personalet mister tilliten til tjenesten, og / eller IT-infrastrukturen. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 12

13 s Utenforstående får tilgang til ikke-sensitive personopplysninger og lagret arbeid, gjennom å få tak i en annens brukernavn og passord til tjenesten, eller ved å ha stjålet eller ulovlig å ha anvendt en annen brukers utstyr. Utenforstående kan endre, slette eller kopiere lagret arbeid f.eks kan dette gjelde innleveringsoppgaver, materiell til kommende prøver og formative vurderingskriterier. Forårsaker betydelige konsekvenser for det pedagogiske arbeidet gjennom usikker identifisering eller juks. Uønsket spredning av personlig lagret arbeid. Kan medføre tapt tillit til tjenesten. Lagret arbeid som spres via deling og som kan inneholde beskyttede personopplysninger f.eks. bilder og film som viser personer. Personer med skjult identitet kan bli identifisert og lokalisert av uvedkommende med alvorlige konsekvenser for enkeltindividet. Tilliten til tjenesten svekkes. s Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 13

14 Uvedkommende får tilgang til administrasjonskonsollen gjennom urettmessig tilgang til brukernavn og passord for administratorbruker. Uvedkommende kan gis tilgang til, endre og slette andres personopplysninger og lagret arbeide med alvorlige konsekvenser for enkeltpersoner, undervisning og vurderinger. I ekstreme tilfeller kan uvedkommende slette hele siten. Tilliten til IKT-tjenesten svekkes. Gjeldende lover og forskrifter som må følges av skoleeier endres på en slik måte at tjenesten ikke lengre oppfyller disse. Tjenesten må tilpasses gjeldende lover og forskrifter og avtalen eventuelt må reforhandles. Dette kan kan innebære økte kostnader og forhøyet brukerterskel for tjenesten. Overføring av opplysninger til tredjepartsleverandør av programvare (apper). For mange apper må man akseptere at personopplysninger overføres til tredjepart, og andre samtykker må også gis. Personopplysninger spres om elever utenfor kommunens kontroll. Også til tredjepartsleverandører som kommunen ikke har databehandleravtale med, og som ikke forholder seg til MCC eller andre lovmessige krav. Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 14

15 regelmessig ofte Personopplysninger behandlet utenfor gjeldende lovverk. Trondheim kommune bryter loven. Dette kan medføre omdømmetap, forelegg og bøter. Videre kan dette bety stopp av tjenesten. regelmessig ofte Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 15

16 4.5 Hendelser som er knyttet til uønsket bruk av løsningen Dokumenter deles ut av domenet med private google-kontoer. Foresatte får se andre elevers arbeid. Elevarbeid blir indeksert og brukt i reklameøyemed. Foresatte kan kontakte andre barn gjennom chat. Innhold kan spres utenfor kommunens kontroll. regelmessig ofte Deling av dokumenter fra lærere til foresatte Informasjon til foresatte kan bli tilgjengelig for uvedkommende regelmessig ofte 4.6 Konklusjon av risikoanalyse med tiltak Risiko før Tiltak Prioritet Utført Lærernes lagrede arbeide går tapt på grunn av systemfeil hos leverandøren Google har total redundans i sine systemer som garanterer maksimum oppetid og pålitlighet. Ingen av funksjonene til Google er utelukkende avhengig av en server. Google Vault er aktivert for skole.trondheim.kommune. no. Høy Leverandøren respekterer ikke avtalene og bruker / sprer data eller persondata til egne formål Leverandøren viser seg ikke å kunne etablere eller opprettholde tilstrekkelig informasjonssikkerhet. Tjenesten blir avsluttet, skoleeier henter ut alle data og overfører disse til ny løsning. Tjenesten blir avsluttet, skoleeier henter ut alle data og overfører disse til ny løsning. Høy Høy Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 16

17 Leverandøren går konkurs, blir kjøpt opp av interessenter som ikke respekterer kontraktsforholdet eller at tjenesten fases ut. Virus eller annen ondsinnet kode kan gjennom tjenesten true andre kommunale ITtjenester. Lærere mister lagret arbeid på grunn av brukerfeil, eller feil ved teknisk utstyr. Utenforstående får tilgang til ikke sensitive personopplysninger og lagret arbeid, gjennom å få tak i en annens brukernavn og passord til tjenesten, eller ved å ha stjålet eller ulovlig å ha anvendt en annen brukers utstyr. Tjenesten blir avsluttet, skoleeier henter ut alle data og overfører disse til ny løsning. Det vil utarbeides anbefaling for gode apper som blir publisert på kommunens Chrome webstore. Denne praksisen blir evaluert i løpet skoleåret 2016/2017 Lage rutinebeskrivelse for å sikre forsvarlig håndtering. Disse rutinene skal inneholde beskrivelser for hvordan filer kan gjennopprettes fra backup/ arkiv, og det skal etableres rutiner hos ITbrukerhjelp for å støtte opp om dette. Kommunens gjeldende IKTreglement inneholder rutiner som beskriver brukeres håndtering av brukernavn og passord, og tidssperrer ved inaktivitet på utstyr. Disse vil også gjelde her. Gjennomgang av reglement vil være påkrevd både for elever og lærere. En vil kunne benytte tofaktorautentisering der dette er tjenesteforenlig. mune.no/skole/iktreglement / Nytt ikt-reglement må behandles politisk. Meldes inn av prosjektet. Høy Høy Høy Høyeste Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 17

18 Uvedkommende får tilgang til administrasjonskonsollen gjennom urettmessig tilgang til brukernavn og passord for administratorbruker. Overføring av opplysninger til tredjepartsleverandør av programvare (apper). For mange apper må man akseptere at personopplysninger overføres til tredjepart, og andre samtykker må også gis. Personopplysninger behandlet utenfor gjeldende lovverk. Dokumenter deles ut av domenet med private google-kontoer. Deling av dokumenter fra lærere til foresatte Bare et lite antall administratorer finnes og det skal være tydelige rutiner for håndtering av administrasjonsverktøyet. Alle administratorkontoer skal være knyttet til person. Det skal etableres ulike administratornivåer. To faktorautentisering skal benyttes. Det etableres en egen Trondheim kommune appstore med applikasjoner som er godkjent og der lovkrav er ivaretatt. Databehandler avtale, MCC, ROS-analyse, akseptere restrisiko og varsel til datatilsyn Det åpnes ikke for deling for trinn trinn blir vurdert åpnet etter at policyer er utarbeidet og gjennomgått. Informasjon som skal deles med foreldre settes tilgjengelig uten googlekonto. Kun informasjon som kunne vært delt på internett kan deles med foresatte. Andre typer informasjon kan deles i digital meldingsbok. Skal inn i informasjonsplan, FAQ og opplæringsplan. Det må lages rutine. Høy høyeste høyeste middels middels Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 18

19 5. Plan for informasjon Det er utarbeidet en egen kommunikasjonsplan. Se egen plan 6. Plan for opplæring Det er utarbeidet en egen kompetanse- og opplæringsplan. Se egen plan 7. Etablering av tjenesteforvalter Tjenesteeier: Oppvekstkontoret, Trondheim kommune Tjenesteforvalter: Leif Cato Larsen Gjershaug Forvaltning av tjenesten etableres i samarbeid med kommunens leverandører. Dette innbefatter roller og tilknyttede tjenester. Dette er aktiviteter som avklares i etableringsfasen Tilgang til Administrasjonskonsoll i GAFE Oppvekstkontoret: Leif Cato Larsen Gjershaug og Jomar Estenstad IT-tjenesten: Christian Bøhn Leverandør - Evry: Kenneth Skogstrand, Atle Svensson og Frode Langdahl Leverandør - Atea: Martin Brørs Leverandør - Sopra Steria: Roald Nakstad Leverandør - Dustin: Vegard Paulsen 8. Internkontroll Det er utarbeidet egen plan for internkontroll. Se egen plan. 9. Signering Risikoanalysen er gjennomgått og restrisikoen er akseptert Signatur Ros-Mari Berre, Leder oppvekstkontoret og tjenesteeier Risiko- og sårbarhetsanalyse av skytjenesten Google Apps for Education - Trondheim kommune 19