Sikker håndtering av personopplysninger i skolen

Transkript

1 Sikker håndtering av personopplysninger i skolen Veiledning

2 Om Senter for IKT i utdanningen. Senter for IKT i utdanningen ble opprettet 1. januar 2010 og er underlagt Kunnskapsdepartementet. Senteret skal bidra til å iverksette regjeringens politikk innenfor grunnopplæringen, barnehageområdet og lærer- og førskolelærerutdanningen, og er en sammenslåing av flere tidligere nasjonale initiativ; ITU, Uninett ABC og Utdanning.no. Dette dokumentet er en del av senterets dokumentbibliotek og er derfor løftet frem under senterets samlede profil med ny forside. Rettigheter. Materialet i denne publikasjonen er omfattet av åndsverklovens bestemmelser. Materialet i denne publikasjonene er videre tilgjengelig under følgende Creative Commons-lisens: Navngivelse-DelPåSammeVilkår 3.0 Norge, jf: Det innebærer at du har lov til å dele, kopiere og spre verket, samt å bearbeide (remikse) verket, så fremt følgende to vilkår er oppfylt: Navngivelse Du skal navngi opphavspersonen og/eller lisensgiveren på den måte som disse angir (men ikke på en måte som indikerer at disse har godkjent eller anbefaler din bruk av verket). Del på samme vilkår Om du endrer, bearbeider eller bygger videre på verket, kan du kun distribuere resultatet under samme, lignende eller en kompatibel lisens. Senter for IKT i utdanningen // Publisert 2011, trykket oktober 2012

3 Forord Denne veilederen har som formål å gi skoler og skoleeiere hjelp til å håndtere personopplysninger (og andre informasjonsverdier) på en sikker måte når opplysningene behandles ved bruk av informasjons- og kommunikasjonsteknologi (IKT). Det viktigste arbeidsredskapet for å ivareta skolens personopplysninger på en trygg og lovmessig måte, er risikovurderinger. Veilederen gir derfor råd om hvordan skolen/skoleeier kan gjennomføre risikovurderinger for å sikre forsvarlig håndtering av personopplysninger som behandles ved bruk av elektroniske hjelpemidler. Veilederen har tre målgrupper. Den retter seg mot (1) rektorer og IKT-ansvarlige på skolenivå, (2) IKT-koordinatorer hos skoleeier og de som har driftsansvar for skolens IKT-løsninger og (3) ansatte på skolenivå som tillegges ansvaret med å gjennomføre risikovurderinger. Hvorfor risikovurderinger i skolen? Stadig flere av skolens informasjonsverdier, spesielt opplysninger som kan knyttes til den enkelte elev, foreldre, lærer, leder eller administrativt ansatt, behandles ved hjelp av komplisert datautstyr og programvare. Dermed er det avgjørende at skolen og skoleeier har kunnskap om hvordan personopplysninger (og andre informasjonsverdier) kan sikres på en betryggende måte. I dette arbeidet er såkalte risikovurderinger det fremste redskapet. Samtidig krever personopplysningsloven med forskrift at skoleeiere foretar risikovurderinger av hvordan personopplysninger behandles. Ved å gjennomføre slike vurderinger vil skolen og skoleeier få svar på om sikringen av personopplysningene (og skolens øvrige informasjonsverdier) er god nok, eller om det bør iverksettes tiltak for å ivareta verdiene enda bedre. Veilederen bygger på metodikk for risikovurdering slik den er beskrevet i Norsk Standard og i veileder for risikovurdering utgitt av Datatilsynet. 2 Pilotkommunene Kommunene i SÅTE-samarbeidet (Stor-Elvdal, Åmot, Trysil og Engerdal) har vært piloter i arbeidet med å lage denne veilederen. Senter for IKT i utdanningen ønsker å takke SÅTE-kommunene for deres deltakelse og innsats. Senteret ønsker også å takke alle de enkeltpersoner fra skole- og IT-sektoren i SÅTE-kommunene som deltok i pilotarbeidet aspx

4

5 Innholdsfortegnelse Forord 3 Innledning 6 side 08 KAPITTEL 1 Rettslige plikter og risikovurderinger Rettslige plikter og risikovurderinger 8 Personopplysninger i skolen 8 Hva er informasjonssikkerhet? 9 Rutiner for sikker håndtering av personopplysninger 10 Generelt om risikovurdering 11 Side 14 KAPITTEL 2 Gjennomføring av risikovurdering i praksis Gjennomføring av risikovurdering i praksis 14 Forberedende fase 14 Beskrivelse av arbeidsverktøyene (metodikk) 19 Planlegging av risikovurderingsmøter 24 Gjennomføring av risikovurderingsmøter 28 Side 38 KAPITTEL 3 Etterarbeid, utarbeide risikorapport Etterarbeid, utarbeide risikorapport 38 Hva består etterarbeidet av? 38 Nye risikovurderinger 42 Avslutning 42

6 Innledning 6 Sikker håndtering av personopplysninger i en digital skolehverdag forutsetter kunnskap om bruk av risikovurderinger. Denne veilederen handler derfor om hvordan skolen kan gjennomføre risikovurderinger på en god måte. Veilederen har en praktisk og konkret tilnærming til arbeidet med risikovurderinger. Målet er at veilederen skal sette ansatte i skolen i stand til å gjennomføre slike vurderinger uten at de har kompetanse på eller erfaring med dette fra tidligere. Veilederen er spesielt tilpasset skolesektorens behov, men den kan også benyttes innenfor andre kommunale tjenesteområder (for eksempel barnehager). Det særegne med skolen er at den involverer mange forskjellige aktører (elever, foreldre, lærere, ledere, administrativt ansatte, osv.). Samtidig skiftes deler av elev- og foreldremassen ut hvert eneste år. I tillegg forvalter skolen opplysninger som elever og foreldre/foresatte plikter å gi fra seg, og mange av elevene kan ikke forventes å passe på sine egne opplysninger selv. Dette gir skolen et spesielt ansvar for, og stiller skolen og skoleeier overfor særlige utfordringer, når det gjelder sikker håndtering av personopplysninger. BRUKEN AV IKT I SKOLEN Det er et viktig mål for nasjonale skolemyndigheter å styrke kvaliteten på bruken av IKT i skolen, og digital kompetanse er i læreplanene til Kunnskapsløftet definert som den femte basisferdigheten. For å kunne ta i bruk IKT på en enda bedre måte enn i dag, er det avgjørende at skolen og skoleeier har en viss styring og kontroll med hvordan IKT anvendes i skolehverdagen. Tillit er et nøkkelord i denne sammenheng. Alle som er tilknyttet skolen må for eksempel kunne stole på at bruken av IKT ikke øker sannsynligheten for at skolen mister kontrollen med hvem som har tilgang til sensitive elevopplysninger. De må også kunne stole på at uvedkommende ikke endrer opplysninger om karakterer og fravær som er registrert i det skole- administrative systemet. Samtidig kan mobbing og trakassering få større dimensjoner når dette skjer ved hjelp av digitale medier, og det er helt avgjørende at IKT-systemene virker som de skal når digitale prøver eller eksamener gjennomføres. Hensikten med å gjennomføre risikovurderinger er å styrke skolens og skoleeiers digitale kompetanse. Ved å foreta slike vurderinger kan skolen og skoleeier avdekke uønskede hendelser som kan oppstå i forbindelse med bruken av IKT. Dermed har skolen eller skoleeier mulighet til å iverksette tiltak for enten å forhindre at hendelsene inntreffer eller å redusere skadevirkningene av dem hvis de likevel skulle skje. På denne måten kan skolen og skoleeier styrke tilliten til at digitale teknologier er et nyttig hjelpemiddel i skolehverdagen. RISIKOVURDERINGER OG LOVGIVINGEN I tillegg til at gjennomføring av risikovurderinger kan styrke tilliten til skolens bruk av IKT, har skoleeier en rettslig plikt til å foreta slike vurderinger. Denne plikten følger av personopplysningsloven 13 og personopplysningsforskriften kapittel to. Her kreves det at risikovurderinger gjennomføres når opplysninger om enkeltpersoner behandles ved hjelp av digital teknologi. Plikten innebærer at skoleeier skal forvisse seg om at opplysninger om den enkelte elev, foreldre, lærer, leder eller administrativt ansatt er tilfredsstillende sikret. Det skoleeier skal unngå, er at uvedkommende får tak i opplysningene og at uvedkommende endrer eller sletter opplysningene, og skoleeier skal sørge for at de som har rettmessig behov for opplysningene får tilgang til dem. Denne veilederen vil hjelpe skoleeiere med å ivareta sine plikter etter personopplysningsloven og forskriften.

7 RISIKOVURDERINGER OG KOMPETANSETERSKELEN Mange ansatte i kommuner og fylkeskommuner synes å tro at de trenger hjelp fra eksterne eksperter for å få til en god risikovurdering. Men det er de som bruker IKT-systemene i det daglige (digitale læringsplattformer, skoleadministrative systemer, bærbare pc-er, spesialpedagogisk programvare, e-post, osv.) som er best kvalifisert til å gjøre dette arbeidet. Derfor bør de tre hovedelementene i risikovurderingsprosessen forberedelse til, gjennomføring av og oppsummering i etterkant av risikovurderingsmøtene tas hånd om lokalt. Dette betyr ikke at ekstern hjelp er uten interesse eller verdi. Men husk at ingen eksterne eksperter har like god kompetanse på bruk av skolens IKT-systemer som det skolens egne brukere har. Ved at det er brukerne selv som styrer arbeidet med risikovurderinger, øker sannsynligheten for at problemer oppdages og rettes slik at IKT anvendes på en trygg og sikker måte. STRUKTUREN I VEILEDEREN Veilederen er inndelt i tre hoveddeler. Første del presenterer viktig bakgrunnsstoff, det vil si ting som kan være verdt å vite før den praktiske gjennomføringen av risikovurderingen tar til. Her dreier det seg om hvilke rettslige plikter skoleeier har når det gjelder risikovurderinger og informasjonssikkerhet. Til slutt gis en generell introduksjon til hva risikovurderinger er, og sentrale begreper forklares. Del to tar for seg den praktiske utførelsen av selve risikovurderingsprosessen: forberedelsene til og gjennomføringen av risikovurderingsmøtene. Her gis råd om hvordan prosessen kan forankres på ledelsesnivå (både på skolen og hos skoleeier). Dernest forklares de mer tekniske sidene av en risikovurdering, spesielt hvordan sannsynlighets- og konsekvensverdier kan utformes, og hvordan en risikomatrise skal brukes og forstås. Så rettes oppmerksomheten mot hvilke dokumenter som bør lages forut for risikovurderingsmøtene, hvem og hvor mange som bør delta på møtene, valg av møtelokaler, hvordan møtene kan struktureres og ledes og hva de typiske fallgruvene er. Del tre tar for seg oppsummeringen av resultatene fra risikovurderingsmøtene. Her forklares hva rapporten fra risikovurderingen bør inneholde, hvordan rapporten kan kvalitetssikres og hvem du bør presentere dine konklusjoner og anbefalinger til. 7

8 DEL 1 Rettslige plikter og risikovurderinger I første del av veilederen tar vi for oss viktig bakgrunnsstoff: de rettslige plikter som skoleeier har når det gjelder risikovurderinger og informasjonssikkerhet, hva en risikovurdering er og viktige begreper som brukes i en risikovurderingssammenheng. Hvis du allerede er kjent med alt dette, så kan du gå direkte til del to, det vil si den praktiske gjennomføringen av selve risikovurderingsarbeidet. Lovverket skiller mellom sensitive og alminnelige personopplysninger. Med sensitive personopplysninger menes informasjon om helse og helserelaterte forhold; om etnisk eller rasemessig bakgrunn; om politisk, religiøs eller livssynsmessig oppfatning; om seksuell legning; om strafferettslige forhold og om fagforeningsmedlemskap. Alle andre typer personopplysninger regnes som alminnelige. Datatilsynet stiller strenge krav til sikring av sensitive personopplysninger, blant annet at de behandles i en ekstra sikker del av skoleeiers datanettverk. 8 PERSONOPPLYSNINGER I SKOLEN Når skolen tar i bruk IKT i undervisningen og til administrative formål, så innebærer det at personopplysninger behandles elektronisk. Som allerede antydet, betyr dette at bruken av opplysningene styres av reglene i personopplysningsloven 3 med forskrift 4. Reglene i lovverket har til hensikt å ivareta personvernet privatlivets fred, den personlige integriteten og opplysningskvaliteten til de som opplysningene gjelder (elever, foreldre/foresatte, lærere, osv.). Reglene gjelder ikke bare for opplysninger som behandles ved bruk av elektroniske hjelpemidler, men også for opplysninger som inngår i manuelle personregistre, for eksempel i fysiske elevmapper. Det er Datatilsynet som fører kontroll med at reglene følges. Med personopplysninger menes all informasjon og alle vurderinger som kan knyttes til en person som vi kjenner navnet på (eller som vi kan identifisere på andre måter). Opplysningene kan foreligge i form av tekst, bilder, film, video- eller lydopptak. Navn, adresse, alder, telefonnummer og fødselsnummer er eksempler på personopplysninger. I skolen vil opplysninger om elevenes karakterer, fravær, anmerkninger, faglig progresjon, spesielle undervisningsbehov, atferdsmønstre og sosiale ferdigheter være personopplysninger. Det samme gjelder opplysninger om innlevering av og innholdet i elevarbeider, besvarelser på prøver og eksamener, e-postkommunikasjon og innholdet i andre former for elektroniske meldinger. Sensitive personopplysninger vil blant annet være informasjon om sykdom og diagnoser, for eksempel i tilknytning til elever med lærevansker. Samtidig er dette informasjon som gjerne registreres i forbindelse med fravær. Slik informasjon vil også ofte behandles i forbindelse med elever som har krav på tilrettelegging ved prøver og eksamener. Informasjon om elevenes sosiale ferdigheter, atferdsmønstre og kommunikasjonsevner kan være å regne som sensitive (eller i det minste sterkt personlige). I tillegg kreves det nok at informasjon om vanskelige familie- eller hjemmeforhold behandles med ekstra varsomhet (selv om de juridisk sett ikke alltid vil være sensitive). Ansatte og skoleledere bør dessuten være oppmerksom på at informasjon om fagforeningsaktivitet regnes som sensitiv og har krav på et spesielt vern. Hvis skolen mistenker elever eller ansatte for straffbare handlinger, for eksempel skadeverk, tyveri, seksuelle krenkelser eller omsetning av rusmidler, er også disse personopplysningene sensitive. Det samme gjelder for informasjon om elever (og deres foreldre/foresatte) som av religiøse eller livssynsmessige grunner er fritatt fra deler av undervisningen (eller som følger et spesielt undervisningsopplegg). Selv om det stilles ekstra strenge krav til sikring av sensitive personopplysninger, er det viktig å være oppmerksom på at også ikke-sensitive (alminnelige) personopplysninger skal sikres på en tilfredsstillende måte. Skoleeier har derfor ikke oppfylt sine rettslige plikter uten at det iverksettes tiltak for å ivareta alle typer personopplysninger som behandles i skolen. I personopplysningsloven finnes regler for hvordan skoleeier skal gå frem for å sikre seg lov til å behandle opplysninger om enkeltpersoner. I grunn- og videregående skoler er en god del av bruken av personopplysninger hjemlet i opplæringsloven

9 med forskrifter. Personopplysningsloven inneholder også regler om rettighetene til de som opplysningene gjelder (for eksempel retten til å få innsyn i egne opplysninger eller retten til å kreve endring og sletting av opplysningene). Det er viktig å være oppmerksom på at rettighetene ikke har en nedre aldersgrense. De gjelder derfor for alle personer under 18 år, men for de yngste elevene vil det normalt være foreldrene/ foresatte som ivaretar rettighetene på elevenes vegne. I kommuner og fylkeskommuner er det rådmannen som er øverste ansvarlig for at skolene gjennomfører risikovurderinger. I privateide skoler vil det være den daglige lederen for virksomheten (eller organisasjonen) som sitter med dette ansvaret. Det er vanlig at rådmannen eller daglig leder har delegert ansvaret for arbeidet med risikovurderinger og informasjonssikkerhet til en sikkerhetsansvarlig. Mange skoleeiere har også en egen sikkerhetshåndbok som blant annet beskriver hvordan arbeidet med risikovurderinger skal foregå. Hvem har ansvaret? Det er skoleeier som er ansvarlig for at reglene i loven og forskriften følges, ikke den enkelte skolen. Skoleeier må derfor ha et system som blant annet sikrer at elevenes rettigheter ivaretas. Det samme gjelder for forhold til foreldre/foresatte, lærere og administrativt ansatte. For mer informasjon om rettigheter, se Datatilsynets hjemmeside ( Reglene om risikovurderinger og informasjonssikkerhet Som nevnt innledningsvis, finnes reglene om risikovurderinger og sikring av personopplysninger (informasjonssikkerhet) i personopplysningsloven 13 og personopplysningsforskriften kapittel to. Særlig forskriftens kapittel to inneholder en rekke bestemmelser om hvordan arbeidet med å sikre personopplysningene skal organiseres, gjennomføres, kontrolleres og dokumenteres (for nærmere informasjon om dette, viser vi igjen til Datatilsynets hjemmeside). Det som er viktig å være oppmerksom på i denne sammenheng, er at risikovurderinger er noe skoleeierne (enten det er kommuner, fylkeskommuner eller private aktører) skal gjennomføre både jevnlig (for eksempel hvert år) eller ved behov (for eksempel før et nytt IKT-system tas i bruk). Kravet som stilles til skoleeiers sikring av personopplysninger, er at sikkerheten skal være tilfredsstillende. Hva som menes med tilfredsstillende sikring av opplysningene, er det opp til skoleeieren selv å bestemme: «Hvor strenge krav til sikkerheten har vi behov for å stille her hos oss?» Risikovurderinger skal avdekke om de kravene som skoleeier stiller til sikkerheten er oppfylt, eller om det må iverksettes nye og strengere sikringstiltak. Rektorer bør sjekke skoleeierens sikkerhetshåndbok. Her vil det vanligvis være angitt hvem hos skoleeieren som har ansvaret for den rent praktiske gjennomføringen av risikovurderinger. Ofte er det virksomhetslederne rektorene som pålegges å utføre denne oppgaven. Hvis du som rektor oppdager at din skoleeier ikke har egne rutiner for å følge opp reglene om risikovurdering og informasjonssikkerhet, bør du be din rådmann eller daglige leder om at slike lages. Be også om at rutinene samles i en sikkerhetshåndbok, som gjerne kan tilgjengeliggjøres på skoleeierens intranett. HVA ER INFORMASJONSSIKKERHET? I Datatilsynets veileder for internkontroll defineres informasjonssikkerhet på følgende måte: «Informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. Dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. Deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.» Datatilsynets definisjon er relatert til personopplysninger. Men generelt kan vi si at også informasjon som ikke er personopplysninger, for eksempel undervisningsopplegg, ukeplaner, oppgavetekster, osv., bør sikres på en tilfredsstillende måte. 9

10 10 Det personopplysninger i skolen skal sikres mot, er tre typer sikkerhetsbrudd: Brudd på konfidensialiteten At personopplysninger ikke kommer uvedkommende eller uautoriserte personer i eller utenfor skolen i hende. Uvedkommende er i denne sammenheng også ansatte i skolen som ikke har tjenestelig behov for å vite om opplysningene. Skoleeier skal derfor tilstrebe at ikke flere enn strengt tatt nødvendig får tilgang til spesielt sensitive eller sterkt personlige opplysninger. Skoleeier skal treffe tiltak slik at verken tilsiktede eller utilsiktede handlinger fører til brudd på opplysningenes konfidensialitet. 5 Brudd på integriteten At personopplysninger ikke endres eller slettes av personer i eller utenfor skolen som ikke har fått lov til å gjøre dette. Uautorisert endring eller sletting av personopplysninger kan lett føre til at opplysningene blir feilaktige, misvisende eller ufullstendige. Det kan innebære at beslutninger fattes på sviktende grunnlag. Men det kan også innebære at det gis et falskt bilde av den som opplysningene handler om. I verste fall kan dette få store og problematiske konsekvenser for den som utsettes for brudd på opplysningenes integritet. Brudd på tilgjengeligheten At personopplysningene til enhver tid er tilgjengelige for personer i eller utenfor skolen som har rettmessig behov for tilgang til dem. Sikring av opplysningenes tilgjengelighet er selvsagt viktig for at ansatte i skolen skal kunne gjøre jobben sin. Men det er også viktig for de som opplysningene gjelder. Hvis skolen ikke finner igjen viktige opplysninger om for eksempel elever eller foreldre, kan det skape utrygghet for hva som har skjedd med opplysningene og hvem som eventuelt har fått tak i dem. Det er viktig at skolen og skoleeier har et bevisst forhold til hvem som skal ha tilgang til opplysningene og hvem som ikke skal ha det. RUTINER FOR SIKKER HÅNDTERING AV PERSONOPPLYSNINGER For å sikre seg mot brudd på konfidensialiteten, integriteten og tilgjengeligheten, er det nødvendig at skolen eller skoleeier lager rutiner for hvem som skal håndtere personopplysninger og hvordan dette skal foregå. Dette er samtidig en plikt som følger av bestemmelsene om internkontroll i personopplysningsloven med forskrift. 6 Det kan derfor være lurt å tenke igjennom følgende spørsmål: Registrering av opplysninger Hvem har ansvaret for å registrere personopplysninger? Finnes det rutiner for hvordan (og eventuelt når) registreringen skal foregå? Finnes det rutiner for hvor opplysningene skal registreres? Finnes det rutiner for å sjekke kvaliteten på opplysningene? Lagring av opplysninger Hvem har ansvaret for at opplysningene tas vare på? Finnes det rutiner for hvilke opplysninger som skal lagres hvor? Finnes det rutiner for sikkerhetskopiering av lagrede opplysninger? Endring og sletting/arkivering av opplysninger Hvem har ansvaret for at opplysningene er korrekte og oppdaterte? Hvem har ansvaret for å slette opplysninger som det ikke lenger er bruk for? Finnes det rutiner for hvordan (og eventuelt når) opplysningene skal endres eller slettes? Finnes det rutiner for hvilke opplysninger som skal arkiveres og hvilke som skal slettes? Tilgang til opplysningene Hvem har tjenestelig behov for tilgang til ulike opplysninger? Finnes det rutiner for hvem som gis tilgang til hvilke opplysninger? Finnes det rutiner for å avslutte tilgangen når det tjenestelige behovet faller bort? 5 Opplæringsloven og forvaltningsloven inneholder i tillegg regler om konfidensialitet (taushetsplikt) for opplysninger om enkeltpersoner i skolen. Disse reglene gjelder selv om opplysningene ikke behandles elektronisk. 6 Se personopplysningsloven 14 og personopplysningsforskriften kap. 3.

11 Ved å gi svar på disse spørsmålene, er det iverksatt tiltak som sier noe om hvordan ulike typer personopplysninger skal håndteres og hvem som har ansvaret for at håndteringer skjer på rett måte. Dermed kan risikovurderingen fokusere på om rutinene og retningslinjene faktisk følges om de er godt nok kjent, om de er hensiktsmessige eller om de bør forandres. GENERELT OM RISIKOVURDERING Risikovurderinger kan virke som noe fremmed og veldig teknisk. Det er det ikke. Vi gjør alle risikovurderinger hver eneste dag. Mange av oss vurderer for eksempel risikoen for trafikkulykker som såpass liten at vi kjører bilen til jobben hver morgen. Vi aksepterer denne risikoen. Men de fleste av oss vil nøle med å forlate bilen ulåst på parkeringsplassen utenfor kjøpesenteret. Denne risikoen aksepterer vi ikke. Isteden bruker vi et sikringstiltak vi låser den for å redusere risikoen for at bilen eller noe i den blir stjålet. Hvis vi tar utgangspunkt i det siste eksempelet, kan vi si at risikovurderinger består av en beskrivelse av hva som skal risikovurderes: «Bilen blir stående ulåst på parkeringsplassen utenfor kjøpesenteret.» Så spør vi: Hva kan skje hvilke uønskede hendelser kan inntreffe? - Bilen kan bli stjålet. - Noe i bilen kan bli stjålet, for eksempel stereoanlegget eller fotoapparatet. Til slutt vurderer vi hvor sannsynlig det er at disse hendelsene inntreffer og hvilke negative konsekvenser det kan få hvis hendelsene faktisk skjer. Dersom vi finner ut at sannsynligheten for og konsekvensene (eller skadevirkningene) av hendelsene er store, vil risikoen være uakseptabel høy. Løsningen blir da å iverksette ulike typer sikringstiltak, for eksempel å låse bilen eller å utstyre den med innbruddsalarm, for å redusere risikoen for at hendelsene inntreffer. Risikovurdering som muliggjører Poenget med risikovurderinger er ikke å finne grunner til ikke å bruke IKT i skolen, men å forsikre oss om at teknologien anvendes på en sikker og forsvarlig måte (slik at vi kan ha tillit til skolens håndtering av personopplysninger og andre informasjonsverdier). Vi kan si at risikovurderinger fungerer omtrent på samme måten som bremsesystemet i en bil: Det er bremsesystemet som gjør det forsvarlig å kjøre like fort som fartsgrensen tillater. En bil uten bremser hører ikke hjemme på motorveien, men i garasjen. Slik kan vi også tenke når det gjelder skolens bruk av IKT. Tenk deg at det skoleadministrative systemet lå helt åpent for innsyn og redigering fra resten av verden. Da hadde vi trolig sluttet å bruke det, enten fordi vi var redd for at personopplysningene skulle komme på avveier, eller fordi vi ikke lenger stolte på at opplysningene var korrekte (eller begge deler). Det avgjørende for bruken av det skoleadministrative systemet er at vi kan stole på at det er godt nok sikret. Hvis ikke, ville det være like uforsvarlig å bruke systemet som det er å kjøre en bil uten bremser. Risikovurderinger er det verktøyet vi bruker for å finne ut om skolens IKT-bremser er gode nok eller om vi trenger nye. Når og hvor ofte skal risikovurderinger gjennomføres? Som nevnt ovenfor, er skoleeier pålagt å gjennomføre risikovurderinger jevnlig, for eksempel årlig. I tillegg pålegges skoleeier å gjennomføre risikovurderinger etter hver endring av IKT-systemet som kan tenkes å påvirke sikkerheten til det. Videre er det verdt å merke seg at skolen eller skoleeier alltid skal gjennomføre risikovurderinger før et nytt IKT-system tas i bruk. Erfaring tilsier at offentlige skoleeiere (kommuner og fylkeskommuner) ikke alltid er like nøye med å risikovurdere IKT-systemene før de tilbys til brukerne. Da blir det desto viktigere at det gjennomføres risikovurderinger etter at systemene er tatt i bruk. 11

12 12 Hva er risiko? All bruk av IKT innebærer en viss risiko for at personopplysninger kommer uvedkommende i hende, at de blir endret eller slettet på uautoriserte måter eller at de ikke er tilgjengelige. Det vil derfor alltid være en viss usikkerhet knyttet til om noe uønsket kan skje. Risiko betyr at det for enhver uønsket hendelse finnes en viss sannsynlighet for at den kan skje og at hendelsen vil ha et visst skadeomfang om den skulle skje (sannsynlighet og konsekvens). UØNSKET HENDELSE En uønsket hendelse kjennetegnes av at den enten fører til brudd på personopplysningenes konfidensialitet (kommer uvedkommende i hende), integritet (endres eller slettes på uautoriserte måter) eller tilgjengelighet (ikke er å få tak i). Uønskede hendelser kan for eksempel være at sensitive opplysninger kommer på avveier fordi læreren har mistet sin minnepenn eller at personopplysninger går tapt fordi det ikke blir er tatt sikkerhetskopi av rektors dokumenter. Mye av risikovurderingsarbeidet går ut på å finne frem til uønskede hendelser. SANNSYNLIGHET Hvor sannsynlig er det at en uønsket hendelse inntreffer? Sannsynligheten for at «læreren blir frastjålet sin bærbare pc» påvirkes av flere faktorer, for eksempel i hvilken grad det er lett å få tak i den når læreren ikke er på arbeidsrommet. Sannsynligheten kan også påvirkes av hvor fristende det er for personer i eller utenfor skolen å stjele med seg en bærbar pc fra skolens område. KONSEKVENS Dersom en uønsket hendelse inntreffer, hva er da konsekvensen (eller skadevirkningen)? Hendelse kan for eksempel gå ut over en enkelt elev eller lærer, men den kan også ramme mange personer ved skolen. Skadevirkningen kan bestå i at elevens eller lærerens anseelse eller personlige integritet krenkes. Hvis hendelsen rammer flere personer og det er snakk om at sensitive personopplysninger har kommet på avveier, er skadevirkningen større enn hvis hendelsen rammer én person og det er alminnelige personopplysninger som har forsvunnet. Det samme gjelder for tilgjengelighet: Jo flere som ikke får tilgang til sine opplysninger, dokumenter og andre informasjonsverdier, desto større er skadevirkningen. RISIKOFAKTOR Når du har bestemt deg for hvor sannsynlig det er at en uønsket hendelse inntreffer og hva konsekvensen kan bli, kommer du frem til det som kalles for en risikofaktor. Risikofaktoren finner du ved å anslå hendelsens sannsynlighet og konsekvens på en skala fra 1 (lite sannsynlig, ufarlig) til 4 (svært sannsynlig, kritisk). Risikofaktoren blir da produktet av verdien for sannsynlighet multiplisert med verdien for konsekvens (hvis du anslår sannsynligheten til å være 2 og konsekvensen til å være noe høyere, for eksempel 3, så blir risikofaktoren 6). I del to kommer vi nærmere tilbake til sannsynlighet, konsekvens og risikofaktorer. Hva er en vurdering? En vurdering er å tenke igjennom sannsynlighet og konsekvens for hver uønsket hendelse. Hvor sannsynlig er det for eksempel at «læreren mister sitt brukernavn og passord» (lite eller svært sannsynlig), og hva kan skadevirkningen av hendelsen være (ufarlig eller kritisk)? Hva du svarer på disse spørsmålene vil trolig være basert på dine personlige erfaringer. Det er viktig å være oppmerksom på at det ofte er vanskelig å ha noen sikker formening om hvor sannsynlig og skadelig ulike hendelser kan være. Men husk at det ikke finnes noen «fasit» å slå opp i. Alt som kreves er at du (og de andre som deltar i risikovurderingen) foretar en edruelig evaluering av sannsynlighet og konsekvens basert på dine egne forutsetninger og erfaringer. Ingen kan komme i ettertid og si at vurderingen du gjorde var riktig eller feil. Hvilken kompetanse kreves? Det kreves ingen spesialkompetanse for å delta i en risikovurdering (annet enn den erfaringen du har med det IKTsystemet eller den arbeidsprosessen som skal risikovurderes). Det er viktig å ha med seg ressurspersoner som kjenner til de

13 daglige rutinene og bruken av de forskjellige systemene eller arbeidsprosessene som skal risikovurderes. Det er også en fordel at den som leder arbeidet med risikovurdering har en viss oversikt over hvordan systemene eller arbeidsprosessene fungerer. Men det er minst like avgjørende at lederen er flink til å sette i gang og styre diskusjonene under idémyldringseller risikovurderingsmøtene. Vi kommer nærmere tilbake til disse møtene i del to. 13

14 DEL 2 Gjennomføring av risikovurdering i praksis 14 I del to av veilederen presenteres metodikken som bør benyttes ved gjennomføring av risikovurderinger i skolesektoren. Her gis praktiske råd om og eksempler på hvordan risikovurderingsarbeidet kan foregå. Denne delen vil derfor fokusere på de aktivitetene som inngår i selve risikovurderingen. Først tar vi for oss forberedelsene til risikovurderingsprosessen og de viktigste arbeidsverktøyene som benyttes i en risikovurdering. Så retter vi fokuset mot planleggingen av idémyldrings- eller risikovurderingsmøtene, som er kjernen i risikovurderingsprosessen. Til slutt gis råd om hvordan disse møtene kan avvikles. For særlig interesserte For de som er interessert i å sette seg nærmere inn i risikovurderinger spesielt og arbeidet med informasjonssikkerhet generelt, anbefales følgende standarder og dokumenter: ISOs serie (informasjonssikkerhet). Datatilsynets «Veiledning om internkontroll og informasjonssikkerhet». Datatilsynets «Risikovurdering av informasjonssystem». Norsk Standard 5814 (risikoanalyse). FORBEREDENDE FASE Forberedelsene til risikovurderingen er viktige. Det arbeidet som du gjør før selve risikovurderingen gjennomføres, vil være med på å prege resultatet. Andre risikovurderingsprosesser hos skoleeier Du bør sjekke om kommunen eller fylkeskommunen allerede har satt i gang risikovurderingsaktiviteter eller prosesser på andre områder enn skole. Det kan for eksempel dreie seg om arbeid som er ledet av sikkerhetsansvarlig i kommunen eller fylkeskommunen, risikovurderinger som gjøres på HMSområdet (Helse, Miljø og Sikkerhet) eller som planlegges iverksatt på helse- og sosialområdet. Ved at du skaffer deg en viss oversikt over dette, kan du søke råd fra personer som har kompetanse på og har høstet erfaring med bruken av risikovurderinger. Medspillere fremfor motstandere Du bør søke å involvere personer som utfører en spesiell oppgave eller som har et særskilt ansvar på det området som skal risikovurderes. På denne måten kan du skape medspillere istedenfor motstandere og kritikere. Det er for eksempel naturlig å trekke inn vaktmesteren på skolen dersom risikovurderingen dreier seg om fysisk eller bygningsteknisk sikkerhet. I motsatt fall kan vaktmesteren føle seg tilsidesatt og umyndiggjort, spesielt dersom vurderingen konkluderer med at den fysiske sikkerheten er for dårlig. I tillegg ligger det selvsagt en stor og selvstendig verdi i det å involvere personer som har særlig kompetanse på det som skal risikovurderes. Lokale retningslinjer Det er viktig å forholde seg til retningslinjer og reglement for risikovurderinger og informasjonssikkerhet som finnes i skoleeiers sikkerhetshåndbok. Vær spesielt oppmerksom på hvem som har fått delegert ansvaret med å gjennomføre risikovurderinger og hvor ofte skoleeier forventer at vurderingene foretas. Se også på skoleeiers sikkerhetsmål. Her vil du ofte finne hva skoleeier har definert som tilfredsstillende informasjonssikkerhet i din kommune eller fylkeskommune. Da har du en pekepinn på hvor strenge krav din skoleeier stiller til informasjonssikkerheten i din skole. Savnes et system for informasjonssikkerhet? Dersom du oppdager at skoleeier ikke har etablert et system for å ivareta sine plikter etter personopplysningsloven og forskriften (for eksempel at det ikke foreligger noen sikkerhetshåndbok), kan det være en fordel å informere IKT-leder eller skolefaglig ansvarlig om det arbeidet du har satt i gang. Dette kan være nyttig for kommunen eller fylkeskommunen som sådan, altså at ditt arbeid kan få betydning for gjennomføringen av risikovurderinger på andre tjenesteområder. Kanskje kan ditt arbeide være med på å starte en prosess med etterlevelse av lovverket?

15 Utarbeide en prosjektbeskrivelse/notat Før arbeidet starter, kan det være en fordel å lage en prosjektbeskrivelse eller et lite notat som beskriver det du planlegger å gjøre. Denne beskrivelsen kan benyttes til å forankre arbeidet på ledelsesnivå. Det er skolelederne som eier de ressursene du benytter i vurderingsarbeidet. Derfor er det viktig at de er med på å bestemme dimensjoneringen av prosessen. For at skolelederne skal ha et godt beslutningsgrunnlag, bør prosjektbeskrivelsen/notatet inneholde følgende punkter: Hensikt Hva er formålet med å gjøre risikovurderingen? Omfang i timer Omtrent hvor mange arbeidstimer vil risikovurderingen totalt kreve? Ressursbehov Hvilke ressurser i form av personer og kompetanse har du behov for? Periode I hvilken periode vil arbeidet foregå, og når ser du for deg at konklusjonene vil foreligge? Rektormøter kan være en naturlig arena for innsalg av risikovurderingsprosjektet, og for å få velsignelse til å benytte seg av lederens ressurser/personell. Betydningen av forankring Hvordan risikovurderingsprosessen er forankret hos ledelsen, er avgjørende for hva som blir resultatet av prosessen. Utgangspunktet er at en risikovurdering vil avdekke hvilke uønskede hendelser som kan føre til at uvedkommende får tak i personopplysninger, at de endres eller slettes på uautoriserte måter eller at de ikke er tilgjengelige. Når slike hendelser avdekkes, kan de håndteres på fire forskjellige måter. Skolen eller skoleeier kan velge: 1) Å godta risikoen for at hendelsen inntreffer. 2) Å ignorere risikoen for at hendelsen inntreffer. 3) Å kjøpe seg fri fra risikoen (forsikringer, sette ut drift, osv.). 4) Å redusere risikoen for at hendelsen inntreffer (sette i verk sikringstiltak). Hendelser med høy risikofaktor stor sannsynlighet og stort skadepotensiale vil måtte håndteres av skoleledelsen eller ledere på skoleeiernivået: de må bestemme hva som eventuelt skal gjøres med dem (godta risikoen, forkaste den, kjøpe seg fri eller iverksette sikringstiltak). Hvis nye sikringstiltak er nødvendige, medfører dette kanskje økonomiske utlegg. Dermed må tiltakene (og hva de koster) spilles inn i skoleeiers budsjettprosess. For at det skal bli gjort noe med hendelser som er spesielt alvorlige (for eksempel at lærernes bærbare pc krypteres slik at innholdet ikke kan leses av uvedkommende), er det viktig at skoleledere og rådmenn er inneforstått med at risikovurderinger gjennomføres. Dermed kan du unngå at penger til tiltak ikke bevilges fordi utgiftene kommer som en overraskelse på ledelsen. Da vil også personene som deltok i selve vurderingen se at arbeidet ikke var bortkastet, men at det kommer konkrete resultater ut av det. Poenget er at dersom du har skaffet deg en god og riktig forankring, vil det være mye enklere å få ledelsen til å påta seg ansvaret med å håndtere risikoen. Det er liten vits i å gjennomføre risikovurderinger dersom ledelsen i etterkant ikke har tenkt å gjøre noe for å forbedre sikringen av IKT-systemer og personopplysninger. Det er også et poeng at god forankring øker sannsynligheten for at de som inviteres til å delta i risikovurderingen faktisk stiller opp på idémyldrings- eller risikovurderingsmøtene (til tross for at de kanskje ikke helt vet hva risikovurdering er eller hva som er formålet med arbeidet). Vår erfaring er at de som deltar på slike møter synes det har vært lærerikt. Dessuten får de en anledning til å snakke om jobben sin det som fungerer bra og mindre bra; lufte frustrasjoner og formidle gode erfaringer på en måte som de tidligere ikke har gjort (i alle fall ikke veldig ofte). 15

16 VANLIGE FORANKRINGSPROBLEMER Vanlige problemer knyttet til det å skaffe seg god forankring i skolen eller hos skoleeier er: Vanskelig å få gehør Det kan være vanskelig å få gehør hos ledelsen i skolen eller på skoleeiernivå, for eksempel fordi de ikke kjenner til de kravene som lovverket stiller til gjennomføring av risikovurderinger. Det er da nødvendig å gjøre ledelsen oppmerksom på hvilke krav som gjelder. Denne veilederen kan kanskje være til noe hjelp i så måte? Kanskje må forankringen starte med opplæring i og orientering om de regulatoriske krav som gjelder. Økonomi Skolen og skoleeier sliter ofte med begrensede økonomiske ressurser. Dette kan være en utfordring i forankringsprosessen. Det er derfor viktig at du har en klar prosjektbeskrivelse og et nøkternt ressurs- og tidsestimat. Da er det lettere å få støtte hos ledelsen. Det er også en mulighet å be Senter for IKT i utdanningen om å bistå med råd og veiledning. Erfaringsmessig gir det større tyngde dersom det benyttes eksterne ressurser i forankringsfasen. Manglende forståelse Ledere på skole- og skoleeiernivået kan mangle kompetanse på hvorfor det er nødvendig å gjennomføre risikovurderinger: «Dette er jo bare noe som tar tid og ressurser bort fra skolens kjerneoppgaver!» Å imøtegå denne typen skepsis og motstand er en utfordring som krever innsats. Hos enkelte skoler og skoleeiere er det nok behov for en modningsprosess når det gjelder å innse at IKT i skolen innebærer flere utfordringer enn de rent pedagogiske. Dersom du har problemer med å forankre prosjektet, er det viktig å peke på kravene i personopplysningsloven med forskrift. Vær oppmerksom på at Senter for IKT i utdanningen og Datatilsynet kan gi nærmere informasjon om de reglene som gjelder. Avgrensning og omfang For å lykkes med risikovurderingen, er det avgjørende at du har en klar avgrensning av hva som skal vurderes. Du lykkes sannsynligvis ikke dersom du setter deg ned sammen med en gruppe mennesker for å risikovurdere «bruken av IKT i skolen». En slik tilnærming blir for upresis og utflytende, og det kan bli vanskelig å styre diskusjonen på idémyldringseller risikovurderingsmøtene. Resultatet blir trolig at du (og de andre som deltar i risikovurderingen) ikke får en rød tråd i vurderingsarbeidet fordi det blir problematisk å holde fokus på hva som skal vurderes. Det du bør gjøre i stedet er å dele risikovurderingen opp i mindre og håndterlige enkeltområder og så risikovurdere hvert område for seg. Nedenfor finner du et eksempel på hvordan «bruken av IKT i skolen» kan brytes opp i mindre og håndterlige enkeltområder: skoleadministrativt system læringsplattformen bruk av bærbar lærer-pc Feide som innloggingsportal IKT infrastruktur i skolen skolens hjemmeside bruken av skytjenester (YouTube, Google Docs, Live@edu, osv.) lagring og fellesområder i skolen spesialundervisning og IOP bruken av bærbare lagringsmedier (minnepenner) utskrifter trådløse nettverk fysiske elevarkiv (elevmapper) Når du har satt opp en liste over aktuelle enkeltområder, må du velge hvilke av områdene du ønsker å risikovurdere (det er neppe realistisk å ta alle områdene i samme runde). De områdene du ikke velger å ta med bør du notere deg, slik at de inkluderes neste gang risikovurderinger gjennomføres ved skolen. Din avgrensning av det som skal risikovurderes, kan for eksempel se slik ut: 16

17 Avgrensninger Prosjektet vil ta for seg systemer og prosesser i skolen hvor IKT benyttes og personopplysninger behandles. Følgende områder vil bli berørt. Områder som ikke står på listen, vil ikke være en del av prosjektet: private mapper FIGUR 1: Eksempel på avgrensning Vi ser av eksemplene og figuren ovenfor at vi kan risikovurdere forskjellige ting: et IKT-system (infrastruktur, læringsplattformen, skoleadministrativt system, osv.) en prosess (utredning og vedtak om spesialundervisning, bekymringsmeldinger til barnevernet, hjem-skole samarbeid, osv.) IKT-objekter eller utstyr (bærbar lærer-pc, minnepenner, databaser, osv.) en tjeneste (skytjenester, Feide, osv.) et bestemt personregister (for eksempel fysiske elevmapper) Det kan være fornuftig å blande disse elementene i en risikovurdering, for eksempel at du både tar for deg et bestemt IKTsystem og de arbeidsprosessene som foregår i tilknytning til systemet. Da kan du lettere se bruken av IKT i sammenheng med de oppgavene som skolen ivaretar. På idémyldringsmøtet kan du for eksempel spørre hvordan den digitale læringsplattformen benyttes i forbindelse med utarbeidelsen av halvårsrapporter for elever med vedtak om spesialundervisning. Benyttes læringsplattformen til lagring av denne typen notater eller dokumenter? Er dette i så fall ønsket bruk av læringsplattformen, eller er det problematisk at den anvendes på denne måten? BESKRIVELSE AV OMRÅDENE Når du har bestemt deg for hvilke områder du ønsker å risikovurdere, er det viktig at du gir en kort beskrivelse av de ulike områdene. Beskrivelsen sender du ut til deltakerne i forkant av idémyldringsmøtet. Hensikten med dette er at alle deltakerne skal være inneforstått med og forberedt på nøyaktig hva som skal risikovurderes. Her kan det også angis hvilke typer personopplysninger som behandles og om det dreier seg om sensitive opplysninger eller ikke. På neste side finner du et eksempel på hvordan en slik beskrivelse kan se ut: 17

18 5.2.4 Beskrivelse av skolens hjemmesider > Formålet Formålet med skolens individuelle hjemmesider er å ha en publiseringsportal av aktuell informasjon til alle skolenes eksterne brukergrupper. Dvs først og fremst foreldre. > Beskrivelse Hjemmesidene skal være enkle å holde oppdatert med innhold og være enkle i teknisk drift. På skolens hjemmesider er elevaktivitet. 18 sidene hostes hos diverse eksterne leverandører. En av hjemmesidene er basert på Frontpage redigering. Resten av de > Hvem har tilgang Lærerne og skolens ledelse er de som i hovedsak har tilgang til hjemmesidene. Noen skoler lar også utvalgte elever få publisere på hjemmesidene. FIGUR 2: Eksempel på beskrivelse av et område Beskrivelsen i figur 2 inneholder tre punkter: Formål (hva er hensikten med det systemet eller den prosessen som vurderes). Selve beskrivelsen (hvordan fungerer systemet eller prosessen). Tilgang (hvem gjør bruk av tjenesten eller prosessen). Det siste punktet hvem har tilgang er først og fremst aktuelt å ha med når det dreier seg om risikovurdering av et IKT-system eller tjeneste. Men hvis beskrivelsen omhandler en arbeidsprosess, er det ikke sikkert at dette er nødvendig. I figur 9 finner du et eksempel på beskrivelse av en arbeidsprosess hvor punktet om hvem som har tilgang ikke er tatt med. Oppsummering Det første steget i en risikovurderingsprosess er å finne ut hva du skal risikovurdere. Er det et IKT-system, en arbeidsprosess, bruken av ulike typer IKT-utstyr eller en bestemt tjeneste? Deretter bør du gjøre tre ting: 1. Skaffe deg oversikt over hva som kan være aktuelt å risikovurdere. 2. Kategorisere og prioritere de ulike områdene (IKT-utstyr, læringsplattformer/læringsressurser, administrative systemer, trådløse nettverk, spesialundervisning, osv.). 3. Beskrive de ulike områdene som du velger ut (har høyest prioritet). Når du har gjort dette, bør du sette deg litt nærmere inn i hvilke arbeidsverktøy som benyttes for å gjennomføre en risikovurdering.

19 BESKRIVELSE AV ARBEIDSVERKTØYENE (METODIKK) menes med «lite sannsynlig», «moderat sannsynlig», osv. Nedenfor finner du en måte å operasjonalisere sannsynlighetsverdiene på. I denne delen beskriver vi de arbeidsverktøyene som anvendes i en risikovurdering. Risikovurderinger basert på kravene i personopplysningsloven med forskrift er ofte kvalitative. I slike kvalitative risikovurderinger regnes ikke skadeomfanget i form av kroner og øre, men som den personvernkrenkelsen enkeltpersoner utsettes for ved brudd på informasjonssikkerheten (for eksempel tap av omdømme, svekket anseelse, osv.). I finansverdenen er kvantitative risikovurderinger vanlige, men i det offentlige er kvalitative vurderinger mest brukt. Identifisere uønskede hendelser Som allerede nevnt, går mye av arbeidet med risikovurderinger ut på å finne frem til uønskede hendelser som kan oppstå, for eksempel at uvedkommende får tak i sensitive personopplysninger fordi vedtak om spesialundervisning lagres på lærernes fellesområde. Denne hendelsen behøver ikke å være tilsiktet, men kan like gjerne skyldes uoppmerksomhet eller at kontakt- og faglærere har for dårlig kompetanse om bruk av IKT (vet ikke hvor dokumenter faktisk lagres). Det er slike og liknende hendelser som idèmyldringsmøtene først og fremst tar sikte på å identifisere. BESTEMME SKALA FOR SANNSYNLIGHET For å vurdere hendelsens sannsynlighet, vil en av de viktigste oppgavene i forberedelsene til risikovurderingen være å lage en skala hvor møtedeltakerne angir hvor ofte de mener hendelsen kan inntreffe. Det er vanlig å dele skalaen inn i fire verdier: 1. Lite sannsynlig. 2. Moderat sannsynlig. 3. Sannsynlig. 4. Svært sannsynlig. Verdiene bør operasjonaliseres (eksemplifiseres), slik at de som vurderer hendelsen har samme forståelse av hva som Eksempel på sannsynlighetsverdier: 1. Lite sannsynlig Hendelsen inntreffer hvert femte skoleår. 2. Moderat sannsynlig Hendelsen kan opptre hvert tredje skoleår. 3. Sannsynlig Hendelsen kan opptre hvert skoleår. 4. Svært sannsynlig Hendelsen opptrer flere ganger i løpet av skoleåret. FIGUR 3: Sannsynlighetsskala Vi ser av figuren at verdiene for sannsynlighet settes ut i fra hvor ofte hendelsen forventes å oppstå. Spørsmålet blir da: Hvor ofte tror vi at uvedkommende kan få tak i vedtak om spesialundervisning som lagres på lærernes fellesområde? Hvis vi for eksempel gir hendelsen verdien 2 («moderat sannsynlig»), betyr det at vi forventer at den skjer hvert tredje år. BESTEMME SKALA FOR KONSEKVENS På samme måte som med sannsynlighet, er det viktig at du lager en skala for vurdering av hendelsens konsekvens (skadevirkning). Også her er det vanlig å benytte fire verdier. Disse kan se slik ut: 1. Ufarlig. 2. Uheldig. 3. Alvorlig. 4. Kritisk. 19

20 Igjen er det avgjørende at du operasjonaliserer (eksemplifiserer) hva de ulike konsekvensverdiene betyr hva forstås med «ufarlig», «uheldig», osv.? slik at møtedeltakerne har en felles oppfatning av dette. Nedenfor finner du en måte å operasjonalisere de fire verdiene på. Eksempel på konsekvensverdier: 1. Ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen. 2. Uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, lærere eller andre ansatte. Eksempelvis mindre økonomiske tap, tap av brukernavn passord, utilsiktet sering av bilder på internt nett uten samtykke, osv. ser for elever, foreldre, lærere eller andre ansatte. Eksempelvis uautorisert bruk av elevens eller lærerens brukernavn og passord, utilsiktet tilgang til og endring av 4. Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme. Eksempelvis utlevering av sensitive personopplysninger, vedvarende digital mobbing, osv. FIGUR 4: Konsekvensskala Det finnes ikke noe helt entydig svar på hvilke hendelser som bør betraktes som «ufarlig», «uheldig», osv. Det kan derfor godt tenkes at du har behov for å gjøre tilpasninger når det gjelder eksemplet ovenfor. Men vær oppmerksom på at alle hendelser som involverer uautorisert utlevering, endring eller sletting av sensitive personopplysninger, har et større skadepotensial enn hendelser som involverer alminnelige personopplysninger. Det kan også være verdt å legge merke til at hendelsen vi startet med spredning av sensitive personopplysninger fordi vedtak om spesialundervisning lagres på lærernes fellesområde gis verdien 4 («kritisk»). Dette fordi den gjerne innebærer uautorisert tilgang til sensitive personopplysninger (for eksempel informasjon om helseforhold). Når deltakerne i risikovurderingen angir verdiene for hendelsenes sannsynlighet og konsekvens, skal de alltid oppgi tallverdier. Hvis en av deltakerne for eksempel mener at det er «moderat sannsynlig» at uvedkommende får tak i elevopplysninger (fordi bærbar lærer-pc blir stjålet), så skal verdien 2 oppgis (denne tallverdien tilsvarer «moderat sannsynlig», se figur 3). Hvis vedkommende samtidig mener at konsekvensen av hendelsen er «alvorlig», så skal verdien 3 oppgis (denne tallverdien tilsvarer «alvorlig», se figur 4). Risikomatrise Når vi setter sammen skalaene for vurdering av hendelsens sannsynlighet og konsekvens, får vi det vi kaller for en risikomatrise. 20