Sikker håndtering av personopplysninger i skolen
44
Sikker håndtering av personopplysninger i skolen VEILEDNING
Transcript of Sikker håndtering av personopplysninger i skolen
Sikker håndtering av personopplysninger i skolen
veiledning
Om Senter for IKT i utdanningenSenter for iKT i utdanningen er et forvaltningsorgan under Kunnskapsdepartementet. Senterets oppgave er å bidra til at bruken av iKT i skolen styrker kvaliteten på undervisningen, øker elevenes læringsutbytte og utvikler deres læringsstrategier. Målgrupper for senteret er barnehagen, grunnskolen og videregående opplæring, i tillegg til førskolelærer- og lærerutdanningen.
Senter for IKT i utdanningen // Utgitt 2011
3
Forord
1 http://www.standard.no/nS5814 2 http://www.datatilsynet.no/templates/article____888.aspx
denne veilederen har som formål å gi skoler og skoleeiere hjelp til å håndtere personopplysninger (og andre informasjons-verdier) på en sikker måte når opplysningene behandles ved bruk av informasjons- og kommunikasjonsteknologi (iKT). det viktigste arbeidsredskapet for å ivareta skolens person-opplysninger på en trygg og lovmessig måte, er risikovurder-inger. veilederen gir derfor råd om hvordan skolen/skoleeier kan gjennomføre risikovurderinger for å sikre forsvarlig hånd- tering av personopplysninger som behandles ved bruk av elektroniske hjelpemidler.
veilederen har tre målgrupper. den retter seg mot (1) rektorer og iKT-ansvarlige på skolenivå, (2) iKT-koordinatorer hos skoleeier og de som har driftsansvar for skolens iKT-løsninger og (3) ansatte på skolenivå som tillegges ansvaret med å gjennomføre risikovurderinger.
HvORFOR RiSiKOvURdeRingeR
i SKOlen?
Stadig flere av skolens informasjonsverdier, spesielt opplys-ninger som kan knyttes til den enkelte elev, foreldre, lærer, leder eller administrativt ansatt, behandles ved hjelp av kom-plisert datautstyr og programvare. dermed er det avgjørende at skolen og skoleeier har kunnskap om hvordan person- opplysninger (og andre informasjonsverdier) kan sikres på en betryggende måte.
i dette arbeidet er såkalte risikovurderinger det fremste redska-pet. Samtidig krever personopplysningsloven med forskrift at skoleeiere foretar risikovurderinger av hvordan personopplys-ninger behandles. ved å gjennomføre slike vurderinger vil skolen og skoleeier få svar på om sikringen av personopplysningene (og skolens øvrige informasjonsverdier) er god nok, eller om det bør iverksettes tiltak for å ivareta verdiene enda bedre.
veilederen bygger på metodikk for risikovurdering slik den er beskrevet i norsk Standard 5814 1 og i veileder for risikovur-dering utgitt av datatilsynet. 2
PilOTKOMMUnene
Kommunene i SÅTe-samarbeidet (Stor-elvdal, Åmot, Trysil og engerdal) har vært piloter i arbeidet med å lage denne veilederen. Senter for iKT i utdanningen ønsker å takke SÅTe-kommunene for deres deltakelse og innsats. Senteret ønsker også å takke alle de enkeltpersoner fra skole- og iT-sektoren i SÅTe-kommunene som deltok i pilotarbeidet.
Forord 3
Innledning 6
01
Rettslige plikter og risikovurderinger 8Personopplysninger i skolen 8Hva er informasjonssikkerhet? 9Rutiner for sikker håndtering av personopplysninger 10generelt om risikovurdering 11
02
Gjennomføring av risikovurdering i praksis 14Forberedende fase 14Beskrivelse av arbeidsverktøyene (metodikk) 19Planlegging av risikovurderingsmøter 24gjennomføring av risikovurderingsmøter 28
03
Etterarbeid, utarbeide risikorapport 38Hva består etterarbeidet av? 38nye risikovurderinger 42Avslutning 42
innhold
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
6
Sikker håndtering av personopplysninger i en digital skole-hverdag forutsetter kunnskap om bruk av risikovurderinger. denne veilederen handler derfor om hvordan skolen kan gjen-nomføre risikovurderinger på en god måte. veilederen har en praktisk og konkret tilnærming til arbeidet med risikovurder-inger. Målet er at veilederen skal sette ansatte i skolen i stand til å gjennomføre slike vurderinger uten at de har kompetanse på eller erfaring med dette fra tidligere.
veilederen er spesielt tilpasset skolesektorens behov, men den kan også benyttes innenfor andre kommunale tjenesteområder (for eksempel barnehager). det særegne med skolen er at den involverer mange forskjellige aktører (elever, foreldre, lærere, ledere, administrativt ansatte, osv.). Samtidig skiftes deler av elev- og foreldremassen ut hvert eneste år. i tillegg forvalter skolen opplysninger som elever og foreldre/foresatte plikter å gi fra seg, og mange av elevene kan ikke forventes å passe på sine egne opplysninger selv.
dette gir skolen et spesielt ansvar for, og stiller skolen og skoleeier overfor særlige utfordringer, når det gjelder sikker håndtering av personopplysninger.
BRUKen Av iKT i SKOlen
det er et viktig mål for nasjonale skolemyndigheter å styrke kvaliteten på bruken av iKT i skolen, og digital kompetanse er i læreplanene til Kunnskapsløftet definert som den femte basisferdigheten.
For å kunne ta i bruk iKT på en enda bedre måte enn i dag, er det avgjørende at skolen og skoleeier har en viss styring og kontroll med hvordan iKT anvendes i skolehverdagen. Tillit er et nøkkelord i denne sammenheng. Alle som er tilknyttet skolen må for eksempel kunne stole på at bruken av iKT ikke øker sannsynligheten for at skolen mister kontrollen med hvem som har tilgang til sensitive elevopplysninger. de må også kunne stole på at uvedkommende ikke endrer opplys-ninger om karakterer og fravær som er registrert i det skole-
administrative systemet. Samtidig kan mobbing og trakasser-ing få større dimensjoner når dette skjer ved hjelp av digitale medier, og det er helt avgjørende at iKT-systemene virker som de skal når digitale prøver eller eksamener gjennomføres.
Hensikten med å gjennomføre risikovurderinger er å styrke skolens og skoleeiers digitale kompetanse. ved å foreta slike vurderinger kan skolen og skoleeier avdekke uønskede hendelser som kan oppstå i forbindelse med bruken av iKT. dermed har skolen eller skoleeier mulighet til å iverksette tiltak for enten å forhindre at hendelsene inntreffer eller å redusere skadevirkningene av dem hvis de likevel skulle skje. På denne måten kan skolen og skoleeier styrke tilliten til at digitale teknologier er et nyttig hjelpemiddel i skolehverdagen.
RiSiKOvURdeRingeR Og
lOvgivingen
i tillegg til at gjennomføring av risikovurderinger kan styrke tilliten til skolens bruk av iKT, har skoleeier en rettslig plikt til å foreta slike vurderinger. denne plikten følger av personopp-lysningsloven § 13 og personopplysningsforskriften kapittel to. Her kreves det at risikovurderinger gjennomføres når opplysninger om enkeltpersoner behandles ved hjelp av digital teknologi. Plikten innebærer at skoleeier skal forvisse seg om at opplysninger om den enkelte elev, foreldre, lærer, leder eller administrativt ansatt er tilfredsstillende sikret. det skoleeier skal unngå, er at uvedkommende får tak i opplysningene og at uvedkommende endrer eller sletter opplysningene, og skoleeier skal sørge for at de som har rettmessig behov for opplysningene får tilgang til dem.
denne veilederen vil hjelpe skoleeiere med å ivareta sine plikter etter personopplysningsloven og forskriften.
innledning
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
7
RiSiKOvURdeRingeR Og
KOMPeTAnSeTeRSKelen
Mange ansatte i kommuner og fylkeskommuner synes å tro at de trenger hjelp fra eksterne eksperter for å få til en god risikovurdering. Men det er de som bruker iKT-systemene i det daglige (digitale læringsplattformer, skoleadministrative systemer, bærbare pc-er, spesialpedagogisk programvare, e-post, osv.) som er best kvalifisert til å gjøre dette arbeidet. derfor bør de tre hovedelementene i risikovurderingsproses-sen – forberedelse til, gjennomføring av og oppsummering i etterkant av risikovurderingsmøtene – tas hånd om lokalt.
dette betyr ikke at ekstern hjelp er uten interesse eller verdi. Men husk at ingen eksterne eksperter har like god kom-petanse på bruk av skolens iKT-systemer som det skolens egne brukere har. ved at det er brukerne selv som styrer arbeidet med risikovurderinger, øker sannsynligheten for at problemer oppdages og rettes slik at iKT anvendes på en trygg og sikker måte.
STRUKTURen i veiledeRen
veilederen er inndelt i tre hoveddeler. Første del presenterer viktig bakgrunnsstoff, det vil si ting som kan være verdt å vite før den praktiske gjennomføringen av risikovurderingen tar til. Her dreier det seg om hvilke rettslige plikter skoleeier har når det gjelder risikovurderinger og informasjonssikkerhet. Til slutt gis en generell introduksjon til hva risikovurderinger er, og sentrale begreper forklares.
del to tar for seg den praktiske utførelsen av selve risikovur-deringsprosessen: forberedelsene til og gjennomføringen av risikovurderingsmøtene. Her gis råd om hvordan prosessen kan forankres på ledelsesnivå (både på skolen og hos skoleeier). dernest forklares de mer tekniske sidene av en risikovurder-ing, spesielt hvordan sannsynlighets- og konsekvensverdier kan utformes, og hvordan en risikomatrise skal brukes og forstås. Så rettes oppmerksomheten mot hvilke dokumenter som bør lages forut for risikovurderingsmøtene, hvem og hvor mange som bør delta på møtene, valg av møtelokaler, hvordan møtene kan struktureres og ledes og hva de typiske fallgruvene er.
del tre tar for seg oppsummeringen av resultatene fra risiko-vurderingsmøtene. Her forklares hva rapporten fra risikovurde- ringen bør inneholde, hvordan rapporten kan kvalitetssikres og hvem du bør presentere dine konklusjoner og anbefalinger til.
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
8
del 1 Rettslige plikter og risikovurderinger
i første del av veilederen tar vi for oss viktig bakgrunnsstoff: de rettslige plikter som skoleeier har når det gjelder risikovur-deringer og informasjonssikkerhet, hva en risikovurdering er og viktige begreper som brukes i en risikovurderingssammenheng.
Hvis du allerede er kjent med alt dette, så kan du gå direkte til del to, det vil si den praktiske gjennomføringen av selve risikovurderingsarbeidet.
PeRSOnOPPlySningeR i SKOlen
når skolen tar i bruk iKT i undervisningen og til administrative formål, så innebærer det at personopplysninger behandles elektronisk. Som allerede antydet, betyr dette at bruken av opplysningene styres av reglene i personopplysningsloven3 med forskrift4. Reglene i lovverket har til hensikt å ivareta personvernet – privatlivets fred, den personlige integriteten og opplysningskvaliteten – til de som opplysningene gjelder (elever, foreldre/foresatte, lærere, osv.). Reglene gjelder ikke bare for opplysninger som behandles ved bruk av elektroniske hjelpemidler, men også for opplysninger som inngår i manuelle personregistre, for eksempel i fysiske elevmapper.
det er datatilsynet som fører kontroll med at reglene følges.
Med personopplysninger menes all informasjon og alle vurder-inger som kan knyttes til en person som vi kjenner navnet på (eller som vi kan identifisere på andre måter). Opplysningene kan foreligge i form av tekst, bilder, film, video- eller lydopptak. navn, adresse, alder, telefonnummer og fødselsnummer er eksempler på personopplysninger. i skolen vil opplysninger om elevenes karakterer, fravær, anmerkninger, faglig progres-jon, spesielle undervisningsbehov, atferdsmønstre og sosiale ferdigheter være personopplysninger. det samme gjelder opplysninger om innlevering av og innholdet i elevarbeider, besvarelser på prøver og eksamener, e-postkommunikasjon og innholdet i andre former for elektroniske meldinger.
lovverket skiller mellom sensitive og alminnelige personopp-
lysninger. Med sensitive personopplysninger menes informa-sjon om helse og helserelaterte forhold; om etnisk eller rasemessig bakgrunn; om politisk, religiøs eller livssynsmessig oppfatning; om seksuell legning; om strafferettslige forhold og om fagforeningsmedlemskap. Alle andre typer personopp-lysninger regnes som alminnelige. datatilsynet stiller strenge krav til sikring av sensitive personopplysninger, blant annet at de behandles i en ekstra sikker del av skoleeiers datanettverk.
Sensitive personopplysninger vil blant annet være informas-jon om sykdom og diagnoser, for eksempel i tilknytning til elever med lærevansker. Samtidig er dette informasjon som gjerne registreres i forbindelse med fravær. Slik informasjon vil også ofte behandles i forbindelse med elever som har krav på tilrettelegging ved prøver og eksamener. informasjon om elevenes sosiale ferdigheter, atferdsmønstre og kommunika-sjonsevner kan være å regne som sensitive (eller i det minste sterkt personlige). i tillegg kreves det nok at informasjon om vanskelige familie- eller hjemmeforhold behandles med ekstra varsomhet (selv om de juridisk sett ikke alltid vil være sensitive). Ansatte og skoleledere bør dessuten være oppmerksom på at informasjon om fagforeningsaktivitet regnes som sensitiv og har krav på et spesielt vern. Hvis skolen mistenker elever eller ansatte for straffbare handlinger, for eksempel skadeverk, tyveri, seksuelle krenkelser eller omsetning av rusmidler, er også disse personopplysningene sensitive. det samme gjelder for informas-jon om elever (og deres foreldre/foresatte) som av religiøse eller livssynsmessige grunner er fritatt fra deler av undervisningen (eller som følger et spesielt undervisningsopplegg).
Selv om det stilles ekstra strenge krav til sikring av sensitive personopplysninger, er det viktig å være oppmerksom på at også ikke-sensitive (alminnelige) personopplysninger skal sikres på en tilfredsstillende måte. Skoleeier har derfor ikke oppfylt sine rettslige plikter uten at det iverksettes tiltak for å ivareta alle typer personopplysninger som behandles i skolen. i personopplysningsloven finnes regler for hvordan skoleeier skal gå frem for å sikre seg lov til å behandle opplysninger om enkeltpersoner. i grunn- og videregående skoler er en god del av bruken av personopplysninger hjemlet i opplæringsloven
3 http://www.lovdata.no/all/hl-20000414-031.html 4 http://www.lovdata.no/cgi-wift/ldles?doc=/sf/sf/sf-20001215-1265.html
01
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
9
med forskrifter. Personopplysningsloven inneholder også regler om rettighetene til de som opplysningene gjelder (for eksempel retten til å få innsyn i egne opplysninger eller retten til å kreve endring og sletting av opplysningene).
det er viktig å være oppmerksom på at rettighetene ikke har en nedre aldersgrense. de gjelder derfor for alle personer under 18 år, men for de yngste elevene vil det normalt være foreldrene/foresatte som ivaretar rettighetene på elevenes vegne.
Hvem har ansvaret? det er skoleeier som er ansvarlig for at reglene i loven og for-skriften følges, ikke den enkelte skolen. Skoleeier må derfor ha et system som blant annet sikrer at elevenes rettigheter ivaretas. det samme gjelder for forhold til foreldre/foresatte, lærere og administrativt ansatte. For mer informasjon om rettigheter, se datatilsynets hjemmeside (www.datatilsynet.no).
Reglene om risikovurderinger og informasjonssikkerhetSom nevnt innledningsvis, finnes reglene om risikovurderinger og sikring av personopplysninger (informasjonssikkerhet) i personopplysningsloven § 13 og personopplysningsforskriften kapittel to. Særlig forskriftens kapittel to inneholder en rekke bestemmelser om hvordan arbeidet med å sikre personopp- lysningene skal organiseres, gjennomføres, kontrolleres og dokumenteres (for nærmere informasjon om dette, viser vi igjen til datatilsynets hjemmeside). det som er viktig å være oppmerksom på i denne sammenheng, er at risikovurderinger er noe skoleeierne (enten det er kommuner, fylkeskommuner eller private aktører) skal gjennomføre – både jevnlig (for eksempel hvert år) eller ved behov (for eksempel før et nytt iKT-system tas i bruk).
Kravet som stilles til skoleeiers sikring av personopplysninger, er at sikkerheten skal være tilfredsstillende. Hva som menes med tilfredsstillende sikring av opplysningene, er det opp til skole-eieren selv å bestemme: «Hvor strenge krav til sikkerheten har vi behov for å stille her hos oss?» Risikovurderinger skal avdekke om de kravene som skoleeier stiller til sikkerheten er oppfylt, eller om det må iverksettes nye og strengere sikringstiltak.
i kommuner og fylkeskommuner er det rådmannen som er øverste ansvarlig for at skolene gjennomfører risikovurder-inger. i privateide skoler vil det være den daglige lederen for virksomheten (eller organisasjonen) som sitter med dette ansvaret. det er vanlig at rådmannen eller daglig leder har delegert ansvaret for arbeidet med risikovurderinger og informasjonssikkerhet til en sikkerhetsansvarlig. Mange skole-eiere har også en egen sikkerhetshåndbok som blant annet beskriver hvordan arbeidet med risikovurderinger skal foregå.
Rektorer bør sjekke skoleeierens sikkerhetshåndbok. Her vil det vanligvis være angitt hvem hos skoleeieren som har ansvaret for den rent praktiske gjennomføringen av risiko- vurderinger. Ofte er det virksomhetslederne – rektorene – som pålegges å utføre denne oppgaven.
Hvis du som rektor oppdager at din skoleeier ikke har egne rutiner for å følge opp reglene om risikovurdering og informasjonssikkerhet, bør du be din rådmann eller daglige leder om at slike lages. Be også om at rutinene samles i en sikkerhetshåndbok, som gjerne kan tilgjengeliggjøres på skoleeierens intranett.
HvA eR inFORMASJOnSSiKKeRHeT? i datatilsynets veileder for internkontroll defineres informas-jonssikkerhet på følgende måte:
«informasjonssikkerhet dreier seg om å håndtere risikoen for at personopplysninger og andre informasjonsverdier blir ivaretatt på en tilfredsstillende måte. dette gjøres ved først å identifisere hvilke personopplysninger virksomheten har. deretter gjennomføres en risikovurdering for å avklare om eksisterende sikkerhetstiltak er tilfredsstillende.»
datatilsynets definisjon er relatert til personopplysninger. Men generelt kan vi si at også informasjon som ikke er personopp- lysninger, for eksempel undervisningsopplegg, ukeplaner, oppgavetekster, osv., bør sikres på en tilfredsstillende måte.
01
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
10
5 Opplæringsloven og forvaltningsloven inneholder i tillegg regler om konfidensialitet (taushetsplikt) for opplysninger om enkeltpersoner i skolen. disse reglene gjelder selv om opplysningene ikke behandles elektronisk. 6 Se personopplysningsloven § 14 og personopplysningsforskriften kap. 3.
det personopplysninger i skolen skal sikres mot, er tre typer sikkerhetsbrudd:
Brudd på konfidensialitetenAt personopplysninger ikke kommer uvedkommende eller uau-toriserte personer i eller utenfor skolen i hende. Uvedkommende er i denne sammenheng også ansatte i skolen som ikke har tjenestelig behov for å vite om opplysningene. Skoleeier skal derfor tilstrebe at ikke flere enn strengt tatt nødvendig får tilgang til spesielt sensitive eller sterkt personlige opplysninger. Skoleeier skal treffe tiltak slik at verken tilsiktede eller utilsiktede handlinger fører til brudd på opplysningenes konfidensialitet.5
Brudd på integritetenAt personopplysninger ikke endres eller slettes av personer i eller utenfor skolen som ikke har fått lov til å gjøre dette. Uautorisert endring eller sletting av personopplysninger kan lett føre til at opplysningene blir feilaktige, misvisende eller ufullstendige. det kan innebære at beslutninger fattes på sviktende grunnlag. Men det kan også innebære at det gis et falskt bilde av den som opplysningene handler om. i verste fall kan dette få store og problematiske konsekvenser for den som utsettes for brudd på opplysningenes integritet.
Brudd på tilgjengelighetenAt personopplysningene til enhver tid er tilgjengelige for personer i eller utenfor skolen som har rettmessig behov for tilgang til dem. Sikring av opplysningenes tilgjengelighet er selvsagt viktig for at ansatte i skolen skal kunne gjøre jobben sin. Men det er også viktig for de som opplysningene gjelder. Hvis skolen ikke finner igjen viktige opplysninger om for eksempel elever eller foreldre, kan det skape utrygghet for hva som har skjedd med opplysningene og hvem som eventuelt har fått tak i dem. det er viktig at skolen og skoleeier har et bevisst forhold til hvem som skal ha tilgang til opplysningene og hvem som ikke skal ha det.
RUTineR FOR SiKKeR HÅndTeRing
Av PeRSOnOPPlySningeR
For å sikre seg mot brudd på konfidensialiteten, integriteten og tilgjengeligheten, er det nødvendig at skolen eller skoleeier lager rutiner for hvem som skal håndtere personopplysninger og hvordan dette skal foregå. dette er samtidig en plikt som følger av bestemmelsene om internkontroll i personopplysnings-loven med forskrift.6 det kan derfor være lurt å tenke igjen-nom følgende spørsmål:
Registrering av opplysninger• Hvem har ansvaret for å registrere personopplysninger?• Finnes det rutiner for hvordan (og eventuelt når) registreringen skal foregå?• Finnes det rutiner for hvor opplysningene skal registreres?• Finnes det rutiner for å sjekke kvaliteten på opplysningene?
Lagring av opplysninger• Hvem har ansvaret for at opplysningene tas vare på?• Finnes det rutiner for hvilke opplysninger som skal lagres hvor?• Finnes det rutiner for sikkerhetskopiering av lagrede opplysninger?
Endring og sletting/arkivering av opplysninger• Hvem har ansvaret for at opplysningene er korrekte og oppdaterte?• Hvem har ansvaret for å slette opplysninger som det ikke lenger er bruk for?• Finnes det rutiner for hvordan (og eventuelt når) opplysningene skal endres eller slettes?• Finnes det rutiner for hvilke opplysninger som skal arkiveres og hvilke som skal slettes?
Tilgang til opplysningene• Hvem har tjenestelig behov for tilgang til ulike opplysninger?• Finnes det rutiner for hvem som gis tilgang til hvilke opplysninger?• Finnes det rutiner for å avslutte tilgangen når det tjenestelige behovet faller bort?
01
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
11
ved å gi svar på disse spørsmålene, er det iverksatt tiltak som sier noe om hvordan ulike typer personopplysninger skal håndteres og hvem som har ansvaret for at håndteringer skjer på rett måte. dermed kan risikovurderingen fokusere på om rutinene og retningslinjene faktisk følges – om de er godt nok kjent, om de er hensiktsmessige eller om de bør forandres.
geneRelT OM RiSiKOvURdeRing Risikovurderinger kan virke som noe fremmed og veldig teknisk. det er det ikke. vi gjør alle risikovurderinger hver eneste dag. Mange av oss vurderer for eksempel risikoen for trafikkulykker som såpass liten at vi kjører bilen til jobben hver morgen. vi aksepterer denne risikoen. Men de fleste av oss vil nøle med å forlate bilen ulåst på parkeringsplassen utenfor kjøpesenteret. denne risikoen aksepterer vi ikke. isteden bruker vi et sikringstiltak – vi låser den – for å redusere risikoen for at bilen eller noe i den blir stjålet.
Hvis vi tar utgangspunkt i det siste eksempelet, kan vi si at risikovurderinger består av en beskrivelse av hva som skal risikovurderes:
«Bilen blir stående ulåst på parkeringsplassen utenfor kjøpesenteret.»
Så spør vi: Hva kan skje – hvilke uønskede hendelser kan inntreffe?- Bilen kan bli stjålet.- noe i bilen kan bli stjålet, for eksempel stereoanlegget eller fotoapparatet.
Til slutt vurderer vi hvor sannsynlig det er at disse hendelsene inntreffer og hvilke negative konsekvenser det kan få hvis hendelsene faktisk skjer.
dersom vi finner ut at sannsynligheten for og konsekvensene (eller skadevirkningene) av hendelsene er store, vil risikoen være uakseptabel høy. løsningen blir da å iverksette ulike
typer sikringstiltak, for eksempel å låse bilen eller å utstyre den med innbruddsalarm, for å redusere risikoen for at hendelsene inntreffer.
Risikovurdering som muliggjørerPoenget med risikovurderinger er ikke å finne grunner til ikke å bruke iKT i skolen, men å forsikre oss om at teknologien anvendes på en sikker og forsvarlig måte (slik at vi kan ha tillit til skolens håndtering av personopplysninger og andre informasjonsverdier). vi kan si at risikovurderinger fungerer omtrent på samme måten som bremsesystemet i en bil: det er bremsesystemet som gjør det forsvarlig å kjøre like fort som fartsgrensen tillater. en bil uten bremser hører ikke hjemme på motorveien, men i garasjen.
Slik kan vi også tenke når det gjelder skolens bruk av iKT. Tenk deg at det skoleadministrative systemet lå helt åpent for innsyn og redigering fra resten av verden. da hadde vi trolig sluttet å bruke det, enten fordi vi var redd for at personopp-lysningene skulle komme på avveier, eller fordi vi ikke lenger stolte på at opplysningene var korrekte (eller begge deler). det avgjørende for bruken av det skoleadministrative systemet er at vi kan stole på at det er godt nok sikret. Hvis ikke, ville det være like uforsvarlig å bruke systemet som det er å kjøre en bil uten bremser. Risikovurderinger er det verktøyet vi bruker for å finne ut om skolens iKT-bremser er gode nok eller om vi trenger nye.
når og hvor ofte skal risikovurderinger gjennomføres?Som nevnt ovenfor, er skoleeier pålagt å gjennomføre risiko-vurderinger jevnlig, for eksempel årlig. i tillegg pålegges skoleeier å gjennomføre risikovurderinger etter hver endring av iKT-systemet som kan tenkes å påvirke sikkerheten til det. videre er det verdt å merke seg at skolen eller skoleeier alltid skal gjennomføre risikovurderinger før et nytt iKT-system tas i bruk. erfaring tilsier at offentlige skoleeiere (kommuner og fylkeskommuner) ikke alltid er like nøye med å risiko-vurdere iKT-systemene før de tilbys til brukerne. da blir det desto viktigere at det gjennomføres risikovurderinger etter at systemene er tatt i bruk.
01
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
12
Hva er risiko? All bruk av iKT innebærer en viss risiko for at personopplys-ninger kommer uvedkommende i hende, at de blir endret eller slettet på uautoriserte måter eller at de ikke er tilgjengelige. det vil derfor alltid være en viss usikkerhet knyttet til om noe uønsket kan skje. Risiko betyr at det for enhver uønsket hendelse finnes en viss sannsynlighet for at den kan skje og at hendelsen vil ha et visst skadeomfang om den skulle skje (sannsynlighet og konsekvens).
uønSKET HEndELSE
en uønsket hendelse kjennetegnes av at den enten fører til brudd på personopplysningenes konfidensialitet (kommer uved-kommende i hende), integritet (endres eller slettes på uautori-serte måter) eller tilgjengelighet (ikke er å få tak i). Uønskede hendelser kan for eksempel være at sensitive opplysninger kommer på avveier fordi læreren har mistet sin minnepenn eller at personopplysninger går tapt fordi det ikke blir er tatt sikker-hetskopi av rektors dokumenter. Mye av risikovurderingsarbei-det går ut på å finne frem til uønskede hendelser.
SannSynLIGHET
Hvor sannsynlig er det at en uønsket hendelse inntreffer? Sannsynligheten for at «læreren blir frastjålet sin bærbare pc» påvirkes av flere faktorer, for eksempel i hvilken grad det er lett å få tak i den når læreren ikke er på arbeidsrommet. Sannsynligheten kan også påvirkes av hvor fristende det er for personer i eller utenfor skolen å stjele med seg en bærbar pc fra skolens område.
KOnSEKvEnS
dersom en uønsket hendelse inntreffer, hva er da konsekven-sen (eller skadevirkningen)? Hendelse kan for eksempel gå ut over en enkelt elev eller lærer, men den kan også ramme mange personer ved skolen. Skadevirkningen kan bestå i at elevens eller lærerens anseelse eller personlige integritet kren-kes. Hvis hendelsen rammer flere personer og det er snakk om at sensitive personopplysninger har kommet på avveier, er skadevirkningen større enn hvis hendelsen rammer én person og det er alminnelige personopplysninger som har forsvunnet.
det samme gjelder for tilgjengelighet: Jo flere som ikke får tilgang til sine opplysninger, dokumenter og andre informas-jonsverdier, desto større er skadevirkningen.
RISIKOFaKTOR
når du har bestemt deg for hvor sannsynlig det er at en uønsket hendelse inntreffer og hva konsekvensen kan bli, kommer du frem til det som kalles for en risikofaktor. Risikofaktoren finner du ved å anslå hendelsens sannsynlighet og konsekvens på en skala fra 1 (lite sannsynlig, ufarlig) til 4 (svært sannsynlig, kritisk). Risikofaktoren blir da produktet av verdien for sannsynlighet multiplisert med verdien for konsekvens (hvis du anslår sannsynligheten til å være 2 og konsekvensen til å være noe høyere, for eksempel 3, så blir risikofaktoren 6).
i del to kommer vi nærmere tilbake til sannsynlighet, konse-kvens og risikofaktorer.
Hva er en vurdering? en vurdering er å tenke igjennom sannsynlighet og kon-sekvens for hver uønsket hendelse. Hvor sannsynlig er det for eksempel at «læreren mister sitt brukernavn og passord» (lite eller svært sannsynlig), og hva kan skadevirkningen av hendelsen være (ufarlig eller kritisk)? Hva du svarer på disse spørsmålene vil trolig være basert på dine personlige erfaringer. det er viktig å være oppmerksom på at det ofte er vanskelig å ha noen sikker formening om hvor sannsynlig og skadelig ulike hendelser kan være. Men husk at det ikke finnes noen «fasit» å slå opp i. Alt som kreves er at du (og de andre som deltar i risikovurderingen) foretar en edruelig evaluering av sannsynlighet og konsekvens basert på dine egne forut-setninger og erfaringer. ingen kan komme i ettertid og si at vurderingen du gjorde var riktig eller feil.
Hvilken kompetanse kreves? det kreves ingen spesialkompetanse for å delta i en risiko-vurdering (annet enn den erfaringen du har med det iKT-systemet eller den arbeidsprosessen som skal risikovurderes). det er viktig å ha med seg ressurspersoner som kjenner til de
01
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
13
daglige rutinene og bruken av de forskjellige systemene eller arbeidsprosessene som skal risikovurderes. det er også en fordel at den som leder arbeidet med risikovurdering har en viss oversikt over hvordan systemene eller arbeidsprosessene fungerer. Men det er minst like avgjørende at lederen er flink til å sette i gang og styre diskusjonene under idémyldrings- eller risikovurderingsmøtene.
vi kommer nærmere tilbake til disse møtene i del to.
01
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
14
i del to av veilederen presenteres metodikken som bør benytt- es ved gjennomføring av risikovurderinger i skolesektoren. Her gis praktiske råd om og eksempler på hvordan risikovur-deringsarbeidet kan foregå. denne delen vil derfor fokusere på de aktivitetene som inngår i selve risikovurderingen.
Først tar vi for oss forberedelsene til risikovurderingsproses-sen og de viktigste arbeidsverktøyene som benyttes i en risikovurdering. Så retter vi fokuset mot planleggingen av idémyldrings- eller risikovurderingsmøtene, som er kjernen i risikovurderingsprosessen. Til slutt gis råd om hvordan disse møtene kan avvikles.
For særlig interesserte For de som er interessert i å sette seg nærmere inn i risiko-vurderinger spesielt og arbeidet med informasjonssikkerhet generelt, anbefales følgende standarder og dokumenter:
• iSOs 27000-serie (informasjonssikkerhet).• datatilsynets «veiledning om internkontroll og informasjonssikkerhet». • datatilsynets «Risikovurdering av informasjonssystem». • norsk Standard 5814 (risikoanalyse).
FORBeRedende FASe
Forberedelsene til risikovurderingen er viktige. det arbeidet som du gjør før selve risikovurderingen gjennomføres, vil være med på å prege resultatet.
andre risikovurderingsprosesser hos skoleeierdu bør sjekke om kommunen eller fylkeskommunen allerede har satt i gang risikovurderingsaktiviteter eller prosesser på andre områder enn skole. det kan for eksempel dreie seg om arbeid som er ledet av sikkerhetsansvarlig i kommunen eller fylkeskommunen, risikovurderinger som gjøres på HMS-området (Helse, Miljø og Sikkerhet) eller som planlegges iverksatt på helse- og sosialområdet. ved at du skaffer deg en viss oversikt over dette, kan du søke råd fra personer som har
kompetanse på og har høstet erfaring med bruken av risiko-vurderinger.
Medspillere fremfor motstanderedu bør søke å involvere personer som utfører en spesiell opp-gave eller som har et særskilt ansvar på det området som skal risikovurderes. På denne måten kan du skape medspillere iste- denfor motstandere og kritikere. det er for eksempel naturlig å trekke inn vaktmesteren på skolen dersom risikovurderingen dreier seg om fysisk eller bygningsteknisk sikkerhet. i motsatt fall kan vaktmesteren føle seg tilsidesatt og umyndiggjort, spesielt dersom vurderingen konkluderer med at den fysiske sikkerheten er for dårlig. i tillegg ligger det selvsagt en stor og selvstendig verdi i det å involvere personer som har særlig kompetanse på det som skal risikovurderes.
Lokale retningslinjerdet er viktig å forholde seg til retningslinjer og reglement for risikovurderinger og informasjonssikkerhet som finnes i skoleeiers sikkerhetshåndbok. vær spesielt oppmerksom på hvem som har fått delegert ansvaret med å gjennomføre risikovurderinger og hvor ofte skoleeier forventer at vurderin-gene foretas. Se også på skoleeiers sikkerhetsmål. Her vil du ofte finne hva skoleeier har definert som tilfredsstillende infor-masjonssikkerhet i din kommune eller fylkeskommune. da har du en pekepinn på hvor strenge krav din skoleeier stiller til informasjonssikkerheten i din skole.
Savnes et system for informasjonssikkerhet? dersom du oppdager at skoleeier ikke har etablert et system for å ivareta sine plikter etter personopplysningsloven og forskriften (for eksempel at det ikke foreligger noen sikker-hetshåndbok), kan det være en fordel å informere iKT-leder eller skolefaglig ansvarlig om det arbeidet du har satt i gang. dette kan være nyttig for kommunen eller fylkeskommunen som sådan, altså at ditt arbeid kan få betydning for gjen-nomføringen av risikovurderinger på andre tjenesteområder. Kanskje kan ditt arbeide være med på å starte en prosess med etterlevelse av lovverket?
del 2 gjennomføring av risikovurdering i praksis
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
15
utarbeide en prosjektbeskrivelse/notatFør arbeidet starter, kan det være en fordel å lage en prosjekt-beskrivelse eller et lite notat som beskriver det du planlegger å gjøre. denne beskrivelsen kan benyttes til å forankre arbeidet på ledelsesnivå. det er skolelederne som eier de ressursene du benytter i vurderingsarbeidet. derfor er det viktig at de er med på å bestemme dimensjoneringen av prosessen.
For at skolelederne skal ha et godt beslutningsgrunnlag, bør prosjektbeskrivelsen/notatet inneholde følgende punkter:
• Hensikt • Hva er formålet med å gjøre risikovurderingen?• Omfang i timer • Omtrent hvor mange arbeidstimer vil risikovurderingen totalt kreve?• Ressursbehov • Hvilke ressurser i form av personer og kompetanse har du behov for?• Periode • i hvilken periode vil arbeidet foregå, og når ser du for deg at konklusjonene vil foreligge?
Rektormøter kan være en naturlig arena for innsalg av risiko-vurderingsprosjektet, og for å få velsignelse til å benytte seg av lederens ressurser/personell.
Betydningen av forankring Hvordan risikovurderingsprosessen er forankret hos ledelsen, er avgjørende for hva som blir resultatet av prosessen. Utgangspunktet er at en risikovurdering vil avdekke hvilke uønskede hendelser som kan føre til at uvedkommende får tak i personopplysninger, at de endres eller slettes på uautoris-erte måter eller at de ikke er tilgjengelige. når slike hendelser avdekkes, kan de håndteres på fire forskjellige måter. Skolen eller skoleeier kan velge:
1) Å godta risikoen for at hendelsen inntreffer. 2) Å ignorere risikoen for at hendelsen inntreffer. 3) Å kjøpe seg fri fra risikoen (forsikringer, sette ut drift, osv.).
4) Å redusere risikoen for at hendelsen inntreffer (sette i verk sikringstiltak).
Hendelser med høy risikofaktor – stor sannsynlighet og stort skadepotensiale – vil måtte håndteres av skoleledelsen eller ledere på skoleeiernivået: de må bestemme hva som even-tuelt skal gjøres med dem (godta risikoen, forkaste den, kjøpe seg fri eller iverksette sikringstiltak). Hvis nye sikringstiltak er nødvendige, medfører dette kanskje økonomiske utlegg. dermed må tiltakene (og hva de koster) spilles inn i skoleeiers budsjettprosess.
For at det skal bli gjort noe med hendelser som er spesielt alvorlige (for eksempel at lærernes bærbare pc krypteres slik at innholdet ikke kan leses av uvedkommende), er det viktig at skoleledere og rådmenn er inneforstått med at risikovurder-inger gjennomføres. dermed kan du unngå at penger til tiltak ikke bevilges fordi utgiftene kommer som en overraskelse på ledelsen. da vil også personene som deltok i selve vurder-ingen se at arbeidet ikke var bortkastet, men at det kommer konkrete resultater ut av det.
Poenget er at dersom du har skaffet deg en god og riktig forankring, vil det være mye enklere å få ledelsen til å påta seg ansvaret med å håndtere risikoen. det er liten vits i å gjennom- føre risikovurderinger dersom ledelsen i etterkant ikke har tenkt å gjøre noe for å forbedre sikringen av iKT-systemer og personopplysninger.
det er også et poeng at god forankring øker sannsynligheten for at de som inviteres til å delta i risikovurderingen faktisk stiller opp på idémyldrings- eller risikovurderingsmøtene (til tross for at de kanskje ikke helt vet hva risikovurdering er eller hva som er formålet med arbeidet). vår erfaring er at de som deltar på slike møter synes det har vært lærerikt. dessuten får de en anledning til å snakke om jobben sin – det som fungerer bra og mindre bra; lufte frustrasjoner og formidle gode erfaringer – på en måte som de tidligere ikke har gjort (i alle fall ikke veldig ofte).
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
16
02
vanLIGE FORanKRInGSpROBLEMER
vanlige problemer knyttet til det å skaffe seg god forankring i skolen eller hos skoleeier er:
Vanskelig å få gehør det kan være vanskelig å få gehør hos ledelsen i skolen eller på skoleeiernivå, for eksempel fordi de ikke kjenner til de kravene som lovverket stiller til gjennomføring av risikovurderinger. det er da nødvendig å gjøre ledelsen oppmerksom på hvilke krav som gjelder. denne veilederen kan kanskje være til noe hjelp i så måte? Kanskje må forankringen starte med opplæring i og orientering om de regulatoriske krav som gjelder.
ØkonomiSkolen og skoleeier sliter ofte med begrensede økonomiske ressurser. dette kan være en utfordring i forankringsproses-sen. det er derfor viktig at du har en klar prosjektbeskrivelse og et nøkternt ressurs- og tidsestimat. da er det lettere å få støtte hos ledelsen. det er også en mulighet å be Senter for iKT i utdanningen om å bistå med råd og veiledning. erfaringsmessig gir det større tyngde dersom det benyttes eksterne ressurser i forankringsfasen.
Manglende forståelseledere på skole- og skoleeiernivået kan mangle kompetanse på hvorfor det er nødvendig å gjennomføre risikovurderinger: «dette er jo bare noe som tar tid og ressurser bort fra skolens kjerneoppgaver!» Å imøtegå denne typen skepsis og mot-stand er en utfordring som krever innsats. Hos enkelte skoler og skoleeiere er det nok behov for en modningsprosess når det gjelder å innse at iKT i skolen innebærer flere utfordringer enn de rent pedagogiske.
dersom du har problemer med å forankre prosjektet, er det viktig å peke på kravene i personopplysningsloven med for-skrift. vær oppmerksom på at Senter for iKT i utdanningen og datatilsynet kan gi nærmere informasjon om de reglene som gjelder.
avgrensning og omfang For å lykkes med risikovurderingen, er det avgjørende at du har en klar avgrensning av hva som skal vurderes. du lykkes sannsynligvis ikke dersom du setter deg ned sammen med en gruppe mennesker for å risikovurdere «bruken av iKT i skolen». en slik tilnærming blir for upresis og utflytende, og det kan bli vanskelig å styre diskusjonen på idémyldrings- eller risikovurderingsmøtene. Resultatet blir trolig at du (og de andre som deltar i risikovurderingen) ikke får en rød tråd i vurderingsarbeidet fordi det blir problematisk å holde fokus på hva som skal vurderes. det du bør gjøre i stedet er å dele risikovurderingen opp i mindre og håndterlige enkeltområder – og så risikovurdere hvert område for seg.
nedenfor finner du et eksempel på hvordan «bruken av iKT i skolen» kan brytes opp i mindre og håndterlige enkeltområder:
• skoleadministrativt system• læringsplattformen• bruk av bærbar lærer-pc• Feide som innloggingsportal• iKT infrastruktur i skolen• skolens hjemmeside• bruken av skytjenester (youTube, google docs, live@edu, osv.)• lagring og fellesområder i skolen• spesialundervisning og iOP• bruken av bærbare lagringsmedier (minnepenner)• utskrifter• trådløse nettverk• fysiske elevarkiv (elevmapper)
når du har satt opp en liste over aktuelle enkeltområder, må du velge hvilke av områdene du ønsker å risikovurdere (det er neppe realistisk å ta alle områdene i samme runde). de områdene du ikke velger å ta med bør du notere deg, slik at de inkluderes neste gang risikovurderinger gjennomføres ved skolen. din avgrensning av det som skal risikovurderes, kan for eksempel se slik ut:
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
17
Avgrensninger
prosjektet vil ta for seg systemer og prosesser i skolen hvor IKT benyttes og personopplysninger behandles. Følgende områder vil bli berørt. Områder som ikke står på listen, vil ikke være en del av prosjektet:
• Feide• skoleadministrativtsystem• spesielttilrettelagtundervisning(IOP)• brukavlagringssystemer,fellesmapperog private mapper• brukavbærbarlærer-PC• fysiskmiljø• oppgraderinger/endringer• digitallæringsplattform
FigUR 1: eksempel på avgrensning
vi ser av eksemplene og figuren ovenfor at vi kan risikovur-dere forskjellige ting:
• et iKT-system (infrastruktur, læringsplattformen, skoleadministrativt system, osv.)• en prosess (utredning og vedtak om spesialundervisning, bekymringsmeldinger til barnevernet, hjem-skole samarbeid, osv.)• iKT-objekter eller utstyr (bærbar lærer-pc, minnepenner, databaser, osv.)• en tjeneste (skytjenester, Feide, osv.)• et bestemt personregister (for eksempel fysiske elevmapper)
det kan være fornuftig å blande disse elementene i en risiko-vurdering, for eksempel at du både tar for deg et bestemt iKT-system og de arbeidsprosessene som foregår i tilknytning til systemet. da kan du lettere se bruken av iKT i sammen-heng med de oppgavene som skolen ivaretar. På idémyl-
dringsmøtet kan du for eksempel spørre hvordan den digitale læringsplattformen benyttes i forbindelse med utarbeidelsen av halvårsrapporter for elever med vedtak om spesialundervis-ning. Benyttes læringsplattformen til lagring av denne typen notater eller dokumenter? er dette i så fall ønsket bruk av læringsplattformen, eller er det problematisk at den anvendes på denne måten?
BESKRIvELSE av OMRådEnE
når du har bestemt deg for hvilke områder du ønsker å risiko-vurdere, er det viktig at du gir en kort beskrivelse av de ulike områdene. Beskrivelsen sender du ut til deltakerne i forkant av idémyldringsmøtet. Hensikten med dette er at alle deltak-erne skal være inneforstått med og forberedt på nøyaktig hva som skal risikovurderes. Her kan det også angis hvilke typer personopplysninger som behandles og om det dreier seg om sensitive opplysninger eller ikke. På neste side finner du et eksempel på hvordan en slik beskrivelse kan se ut:
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
18
5.2.4 Beskrivelse av skolens hjemmesider
> FormåletFormålet med skolens individuelle hjemmesider er å ha en publiseringsportal av aktuell informasjon til alle skolenes eksterne brukergrupper. dvs først og fremst foreldre.
> Beskrivelse Hjemmesidene skal være enkle å holde oppdatert med innhold og være enkle i teknisk drift. på skolens hjemmesider er detstortsettledelsen,noenlærereellerenweb-ansvarligsompublisererinnhold.Hjemmesidenebrukesilitengradtilelevaktivitet.
SÅTEkommunenesdriftssamarbeidhardettekniskeansvaretforhjemmesidenesomdrifteslokalt.Restenavhjemme-sidene hostes hos diverse eksterne leverandører. En av hjemmesidene er basert på Frontpage – redigering. Resten av de lokalthostedesideneerbasertpåJoomlasomCSM-system.DeeksternesidenedriftesstortsettavMoava.
> Hvem har tilgangLærerne og skolens ledelse er de som i hovedsak har tilgang til hjemmesidene. noen skoler lar også utvalgte elever få publisere på hjemmesidene.
Beskrivelsen i figur 2 inneholder tre punkter:
• Formål (hva er hensikten med det systemet eller den prosessen som vurderes). • Selve beskrivelsen (hvordan fungerer systemet eller prosessen).• Tilgang (hvem gjør bruk av tjenesten eller prosessen).
det siste punktet – hvem har tilgang – er først og fremst aktuelt å ha med når det dreier seg om risikovurdering av et iKT-system eller tjeneste. Men hvis beskrivelsen omhandler en arbeidsprosess, er det ikke sikkert at dette er nødvendig. i figur 9 finner du et eksempel på beskrivelse av en arbeidspros-ess hvor punktet om hvem som har tilgang ikke er tatt med.
Oppsummeringdet første steget i en risikovurderingsprosess er å finne ut hva du skal risikovurdere. er det et iKT-system, en arbeidsprosess, bruken av ulike typer iKT-utstyr eller en bestemt tjeneste? deretter bør du gjøre tre ting:
1. Skaffe deg oversikt over hva som kan være aktuelt å risikovurdere.2. Kategorisere og prioritere de ulike områdene (iKT-utstyr, læringsplattformer/læringsressurser, administrative systemer, trådløse nettverk, spesialundervisning, osv.).3. Beskrive de ulike områdene som du velger ut (har høyest prioritet).
når du har gjort dette, bør du sette deg litt nærmere inn i hvilke arbeidsverktøy som benyttes for å gjennomføre en risikovurdering.
FigUR 2: eksempel på beskrivelse av et område
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
19
Eksempel på sannsynlighetsverdier:
1. Lite sannsynlig Hendelsen inntreffer hvert femte skoleår.
2. Moderat sannsynlig Hendelsen kan opptre hvert tredje skoleår.
3. Sannsynlig Hendelsen kan opptre hvert skoleår.
4. Svært sannsynlig Hendelsen opptrer flere ganger i løpet av skoleåret.
BeSKRivelSe Av
ARBeidSveRKTØyene (MeTOdiKK)
i denne delen beskriver vi de arbeidsverktøyene som anven-des i en risikovurdering. Risikovurderinger basert på kravene i personopplysningsloven med forskrift er ofte kvalitative. i slike kvalitative risikovurderinger regnes ikke skadeomfanget i form av kroner og øre, men som den personvernkrenkelsen enkeltpersoner utsettes for ved brudd på informasjonssikker-heten (for eksempel tap av omdømme, svekket anseelse, osv.). i finansverdenen er kvantitative risikovurderinger van-lige, men i det offentlige er kvalitative vurderinger mest brukt.
Identifisere uønskede hendelserSom allerede nevnt, går mye av arbeidet med risikovur-deringer ut på å finne frem til uønskede hendelser som kan oppstå, for eksempel at uvedkommende får tak i sensitive per-sonopplysninger fordi vedtak om spesialundervisning lagres på lærernes fellesområde. denne hendelsen behøver ikke å være tilsiktet, men kan like gjerne skyldes uoppmerksomhet eller at kontakt- og faglærere har for dårlig kompetanse om bruk av iKT (vet ikke hvor dokumenter faktisk lagres). det er slike og liknende hendelser som idèmyldringsmøtene først og fremst tar sikte på å identifisere.
BESTEMME SKaLa FOR SannSynLIGHET
For å vurdere hendelsens sannsynlighet, vil en av de viktig-ste oppgavene i forberedelsene til risikovurderingen være å lage en skala hvor møtedeltakerne angir hvor ofte de mener hendelsen kan inntreffe. det er vanlig å dele skalaen inn i fire verdier:
1. lite sannsynlig.2. Moderat sannsynlig.3. Sannsynlig.4. Svært sannsynlig.
verdiene bør operasjonaliseres (eksemplifiseres), slik at de som vurderer hendelsen har samme forståelse av hva som
menes med «lite sannsynlig», «moderat sannsynlig», osv. nedenfor finner du en måte å operasjonalisere sannsynlighets- verdiene på.
FigUR 3: Sannsynlighetsskala
vi ser av figuren at verdiene for sannsynlighet settes ut i fra hvor ofte hendelsen forventes å oppstå. Spørsmålet blir da: Hvor ofte tror vi at uvedkommende kan få tak i vedtak om spesialundervisning som lagres på lærernes fellesområde? Hvis vi for eksempel gir hendelsen verdien 2 («moderat sann-synlig»), betyr det at vi forventer at den skjer hvert tredje år.
BESTEMME SKaLa FOR KOnSEKvEnS
På samme måte som med sannsynlighet, er det viktig at du lager en skala for vurdering av hendelsens konsekvens (skadevirkning). Også her er det vanlig å benytte fire verdier.
disse kan se slik ut:
1. Ufarlig.2. Uheldig.3. Alvorlig.4. Kritisk.
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
20
igjen er det avgjørende at du operasjonaliserer (eksemplifi-serer) hva de ulike konsekvensverdiene betyr – hva forstås med «ufarlig», «uheldig», osv.? – slik at møtedeltakerne har en felles oppfatning av dette. nedenfor finner du en måte å operasjonalisere de fire verdiene på.
Eksempel på konsekvensverdier:
1. ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen.
2. uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, lærere eller andre ansatte. Eksempelvis mindre økonomiske tap, tap av brukernavn passord, utilsiktet utleveringavkontaktinformasjon,publi- sering av bilder på internt nett uten samtykke, osv.
3. Alvorlig Hendelsenkanfåbetydeligekonsekven- ser for elever, foreldre, lærere eller andre ansatte. Eksempelvis uautorisert bruk av elevens eller lærerens brukernavn og passord, utilsiktet tilgang til og endring av karakterer/fravær, osv.
4. Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme. Eksempelvis utlevering av sensitive personopplysninger, vedvarende digital mobbing, osv.
FigUR 4: Konsekvensskala
det finnes ikke noe helt entydig svar på hvilke hendelser som bør betraktes som «ufarlig», «uheldig», osv. det kan derfor godt tenkes at du har behov for å gjøre tilpasninger når det gjelder eksemplet ovenfor. Men vær oppmerksom på at alle hendelser som involverer uautorisert utlevering, endring eller sletting av sensitive personopplysninger, har et større skadepotensial enn hendelser som involverer alminnelige personopplysninger. det kan også være verdt å legge merke til at hendelsen vi startet med – spredning av sensitive personopplysninger fordi vedtak om spesial-undervisning lagres på lærernes fellesområde – gis verdien 4 («kritisk»). dette fordi den gjerne innebærer uautorisert tilgang til sensitive personopplysninger (for eksempel informasjon om helseforhold).
når deltakerne i risikovurderingen angir verdiene for hendels-enes sannsynlighet og konsekvens, skal de alltid oppgi tall-verdier. Hvis en av deltakerne for eksempel mener at det er «moderat sannsynlig» at uvedkommende får tak i elevopp- lysninger (fordi bærbar lærer-pc blir stjålet), så skal verdien 2 oppgis (denne tallverdien tilsvarer «moderat sannsynlig», se figur 3). Hvis vedkommende samtidig mener at konsekvensen av hendelsen er «alvorlig», så skal verdien 3 oppgis (denne tallverdien tilsvarer «alvorlig», se figur 4).
Risikomatrise når vi setter sammen skalaene for vurdering av hendelsens sannsynlighet og konsekvens, får vi det vi kaller for en risikomatrise.
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
21
det er denne matrisen du bruker for blant annet å vurdere risikoen for at vedtak om spesialundervisning blir lagret på områder hvor de ikke bør ligge. det gjør du ved å regne ut det vi tidligere har omtalt som risikofaktoren. Hendelsens risiko-faktor finner du på følgende måte:
• Alledeltakerneirisikovurderingenangirhvorsannsynlig de mener hendelsen er og hvilken konsekvens (skade-virkning) de tror den kan få.
• Såleggerdusammenalledeltakernessannsynlighetsverdierog deler produktet på antallet deltakere. da får du gruppens gjennomsnittlige sannsynlighetsverdi.
• Derettergjørduakkuratdetsammeforverdieneforkonse-kvens som deltakerne har oppgitt (slik at du får gjennom-snittlig konsekvensverdi).
• Tilsluttmultiplisererdugruppensgjennomsnittligesannsynlighetsverdi med den gjennomsnittlige
konsekvensverdien.• Dettalletdudakommerfremtil,erhendelsensrisikofaktor.
Hvis du har fire verdier for sannsynlighet og konsekvens (slik som vist i figur 3, 4 og 5 ovenfor), så vil den maksimale risiko-faktoren bli 16 (4 * 4 = 16). Regelen er at jo mer risikofaktoren for en hendelse nærmer seg dette maksimaltallet (16), jo større risiko forbindes med hendelsen. Og jo større risikoen er, desto viktigere blir det å vurdere om det bør iverksettes tiltak for å unngå at hendelsen (for eksempel at sensitive elevopplysninger spres fordi vedtak om spesialundervisning lagres på feil område) inntreffer.
02
Sannsynlighet Konsekvens 1 2 3 4
Ufarlig Uheldig Alvorlig Kritisk
1 Lite sannsynlig
2 Moderat sannsynlig
3 Sannsynlig
4 Svært sannsynlig
Risikomatrise:
FigUR 5: RiSiKOMATRiSe
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
22
Figur 6 viser en annen måte å finne ut hvor stor risikoen er. vertikalt lengst til venstre i figuren, finner du noen verdier: 1.1, 1.2, 1.3, osv. dette er hendelser som kan føre til brudd på kon-fidensialiteten, integriteten og tilgjengeligheten, men figuren viser ikke hvilke hendelser det dreier seg om. v1-v5 øverst i figuren representerer de ulike deltakerne i risikovurderingen. verdiene i kolonnen nest lengst til høyre, er gjennomsnittet for sannsynlighet og konsekvens (regnet ut på basis av verdiene for sannsynlighet og konsekvens oppgitt av v1-v5). i kolon-nen lengst til høyre, finner du risikofaktoren.
det du kan gjøre istedenfor å fokusere på risikofaktoren, er å bruke gjennomsnittet for sannsynlighet og konsekvens for å plassere hendelsene i risikomatrisen presentert i figur
5 ovenfor. Hvis vi ser på hendelse 1.4 i figur 6, så er den gjennomsnittlige sannsynlighetsverdien 2.4 og den gjennom-snittlige konsekvensverdien er 3.4 (verdien for sannsynlighet oppgis alltid først og deretter oppgis verdien for konsekvens: sannsynlighet/konsekvens). dette innebærer at hendelsen befinner seg ned mot høyre hjørne i risikomatrisen, altså innenfor det området i matrisen som er markert rødt. Men hva betyr det at hendelsen kan plasseres i «rød sone»?
FaRGEKOdEnE I RISIKOMaTRISEn
Feltene i risikomatrisen er fargelagt med grønt, gult og rødt. Fargene i matrisen skal forstås på samme måte som fargene i et trafikklys: rødt betyr «stopp», gult betyr «mulig å kjøre videre» og grønt betyr «alt klart».
02
FigUR 6: eKSeMPel PÅ gJennOMSniTTSveRdieR Og RiSiKOFAKTOR
Hendelse V1 V2 V3 V4 V5 Gjennomsnitt Risiko<faktor
1.1 2/2 1/3 2/3 1/3 2/4 1,6/3 4,8
1.2 1/4 1/3 2/3 2/4 2/4 1,6/3,6 5,8
1.3 1/2 1/4 2/4 2/4 3/3 1,8/3,4 6,1
1.4 2/4 3/2 2/4 3/3 2/4 2,4/3,4 8,2
1.5 2/2 3/2 3/2 4/3 3/2 3/2,2 6,6
1.6 1/4 1/3 2/4 3/4 2/3 1,8/3,6 6,5
1.7 1/3 1/3 2/3 2/2 1/2 1,4/2,6 3,6
1.8 3/3 2/3 3/4 3/4 1/3 2,4/3,4 8,2
1.9 1/3 1/3 2/3 1/2 2/3 1,4/2,8 5,9
1.10 1/3 2/3 2/4 2/4 3/3 2/3,4 6,8
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
23
dette innebærer at skolen eller skoleeier bør iverksette risikoreduserende tiltak for å unngå alle hendelser som havner i «rød sone» – risikoen er uakseptabel høy. At risikoen er uakseptabel høy betyr at hvis det ikke iverksettes tiltak for å unngå «røde hendelser», så vil skoleeier ikke oppfylle kravet i personopplysningsloven om at informasjonssikkerheten skal være tilfredsstillende. et slikt risikoreduserende tiltak kan for eksempel være at det lages noen regler som forteller skolens ansatte hvor de trygt kan lagre vedtak om spesialundervisning. Hvis hendelsene havner i de gule feltene, er ikke risikoen like høy, men det kan likevel være aktuelt å iverksette risikore-duserende tiltak. Skolen eller skoleeier må derfor selv vurdere om tiltak er nødvendig for å oppfylle lovverkets krav om tilfredsstillende informasjonssikkerhet.
de hendelsene som havner i de grønne feltene, vil man ikke gjøre noe med – risikoen er såpass lav at det ikke kan forsvares å bruke ressurser på å redusere den. det inne- bærer at personopplysningslovens krav om tilfredsstillende informasjonssikkerhet er oppfylt selv uten at det iverksettes risikoreduserende tiltak.
For viderekommende de som har erfaring med gjennomføring av risikovurderinger, kan presentere resultatene fra risikovurderingen som vist i figur 7 nedenfor.
1.1 IKT-KOMPETANSE
1.1.1 Uønskede hendelser med stor risikofaktor
Nr Hendelse
Sikk
erhe
ts
beho
v
Sann
synl
ighe
t
Kons
ekve
ns
Risik
o
Tilta
k be
skre
vet
Infrastruktur og kommunikasjon:
1.4 Uautorisert tilgang til nett gjennom trådløse nett K, I, T 2,8 3,2
9
x.x.x
1.7 Det blir koblet opp uautorisert utstyr ved lett tilgjengelig router/svitsj
K, I, T 3,3 3,2 10,6 x.x.x
Lagringssystemer og fellesområder
1.1 Sensitive opplysninger lagres på lærerens fellesområde.
K, I 3,9 2,9 11,3 x.x.x
1.2 Sensitive eller sterkt personlige opplysninger lagres på lærerens fellesområde
K 3,6 2,9 10,4 x.x.x
1.3 Utkopiering av konfidensielle/sensitive opplysninger til usikrede minnepenner
K 3,1 3,1 9,6
02
FigUR 7: eKSeMPel PÅ
OPPSUMMeRingSTABell
Av RiSiKOFAKTOReR
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
24
Helt til venstre i figuren oppsummeres hendelser som havner i den «røde sonen» i risikomatrisen. neste kolonne i figuren forteller om hendelsene fører til brudd på personopplysning-enes konfidensialitet (K), integritet (i) eller tilgjengelighet (T).
Så følger to kolonner som viser de ulike hendelsenes gjen-nomsnittsverdier for sannsynlighet og konsekvens (2.8, 3.2, osv.). Risikofaktoren er oppgitt i kolonnen nest lengst til høyre i figuren. Som vi ser, har vår eksempelhendelse – sensitive opplysninger lagres på lærernes fellesområde (hendelse 1.1) – en svært høy risikofaktor (3.9 * 2.9 = 11.3).
i kolonnen helt til høyre står det noen tall, for eksempel 9.2.2.1. Tallene refererer til ulike typer risikoreduserende tiltak, men disse fremgår ikke av figuren.
i del tre av denne veilederen vil vi gå nærmere inn på etter-arbeidet i forbindelse med risikovurderingsprosessen. et av temaene her er hvordan du kan lage en tilsvarende opp-summering av risikovurderingen som vist i figur 7.
PlAnlegging Av
RiSiKOvURdeRingSMØTeR
det du har gjort så langt er å avgrense omfanget av risiko-vurderingen, beskrevet de ulike områdene som skal være med i vurderingen, og laget skalaer for uønskede hendelsers sannsynlighet og konsekvens. dessuten har du satt skalaene sammen til en risikomatrise. det betyr at du er kommet så langt at du kan begynne å planlegge selve idémyldrings- eller risikovurderingsmøtene. disse møtene tar for seg hvert av de områdene som du har avgrenset risikovurderingen til.
den første oppgaven er å finne passende deltakere til idé-myldringsmøtene. i tillegg til at du skal finne deltakere som har erfaring med bruken av systemet eller prosessen, så er det viktig at deres overordnede godkjenner at de er med på risiko-
vurderingen. dette er tidligere beskrevet under fremstillingen av forankringsprosessen.
Hvem bør delta?en hovedregel at de som har spesiell kjennskap til det området som skal risikovurderes, bør få tilbud om å delta på møtene (eller i det minste bli orientert om arbeidet). Ovenfor har vi nevnt at hvis det dreier seg om fysisk eller bygningsteknisk sikkerhet, bør vaktmesteren på skolen inviteres. Handler det derimot om bruken av det skoleadministrative systemet, er det naturlig å invitere skolens merkantilt ansatte. Hvis skolens iKT-infrastruktur skal risikovurderes, er personer fra iT-avdelingen selvskrevne deltakere. Og når skolens læringsplattform risiko-vurderes, kan det være naturlig å invitere representanter for elevene og foreldrene til å delta på møtene (for eksempel at elevrepresentanter deltar på ungdoms- og videregående skoler, mens foreldrerepresentanter deltar på barneskoler).
i tillegg kan det være viktig å få med deltakere som represen-terer et slags gjennomsnitt av de daglige brukerne. det kan for eksempel være nyttig ikke bare å ha med personer som anvender iKT i stor stil, men også representanter for de mindre aktive brukerne. På denne måten sikrer du at risikovurderingen baserer seg på et bredt spekter av erfaringer og synspunkter.
Hvis det er snakk om å risikovurdere systemer eller tjenester som skolen kan tenke seg å benytte, men som enda ikke er tatt i bruk (for eksempel youtube, google docs eller live@edu), kan det være en fordel å få med personer som både har en skeptisk, entusiastisk og nøytral holdning til det nye systemet eller tjenesten. når det gjelder de fleste systemer eller tjenester vil det finnes brukere med ulik holdning til hva som er fornuftig å gjøre. Tenk igjennom dette slik at du ikke sitter igjen kun med brukere som er skeptiske eller overivrige når det gjelder bruken av iKT. Hvis det likevel skjer, kan risiko-vurderingen fortelle mer om de som deltok i prosessen enn om de reelle utfordringene som knytter seg til bruken av systemet eller tjenesten.
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
25
Ta gjerne også med skoleleder og iKT-ansvarlige. de vil ofte i kraft av sine stillinger kjenne godt til det systemet eller den prosessen som skal risikovurderes. dette kan også bidra til å sette informasjonssikkerhet på skoleledernes dagsorden.
Kompetansedet kreves ingen spesiell «risikokompetanse» for å delta på eller lede idémyldringsmøtene. ved å lese denne veilederen vil møtelederen få tilstrekkelig kunnskap om hva det handler om. det viktige er at deltakerne har erfaringer på det området som skal risikovurderes – eller at de representerer typiske holdninger til bruken av systemet eller tjenesten (skeptikere, entusiaster, osv.).
den som skal lede møtene (og selve prosjektet) bør være i stand til å skape en avslappet og kollegial stemning på idémyldringsmøtene. det er viktig å ikke skape et inntrykk av at risikovurdering handler om å finne ut hva som gjøres galt, og så fordele skyld og ansvar for det som ikke er godt nok. Poenget er å komme frem til hva som kan forbedres, ikke å kritisere deltakerne (eller andre ved skolen) for det som even-tuelt ikke er så bra.
Hvor mange? Antallet deltakere som bør være med på møtene kan variere noe. Risikovurdering av store fellessystemer, for eksempel e-post eller digital læringsplattform, krever trolig noen flere deltakere enn risikovurdering av systemer som har færre brukere (for eksempel det skoleadministrative systemet). Som et utgangspunkt mener vi at det ikke bør være mindre enn fire deltakere og ikke flere enn åtte-ti.
Husk at møtene vil være preget av diskusjoner om hvilke uønskede hendelser som kan skje, og av at deltakerne deler erfaringer om dette fra sitt daglige arbeid (eller formidler historier de har hørt). det er derfor viktig at diskusjonen/samtalene får flyte litt fritt. dette kan bidra til at deltakerne får assosiasjoner til nye uønskede hendelser som bør vurderes. dersom det blir for få deltakere, står du i fare for at mange uønskede hendelser ikke blir identifisert. Men blir det for
mange deltakere, kan diskusjonene «ta helt av» og føre til at blir vanskelig å holde orden på alle hendelsene som kastes frem.
Lengden på møtene Møtene bør ikke holde på for lenge. erfaring viser at møter opp til 3-4 timer er maksimum. en tommelfingerregel er at når deltakerne begynner å foreslå uønskede hendelser som allerede har vært diskutert, så har de «tømt seg» for ideer. da er det på tide å avslutte diskusjonene og ta fatt på selve vurderingen, det vil si at deltakerne anslår de ulike hendelsenes sannsynlighet og konsekvens.
det er neppe realistisk å dekke mer enn to områder på hvert møte (for eksempel e-post og bruk av bærbar lærer-pc). erfaring viser at hvis du er mer ambisiøs enn dette, så greier du ikke å få til en grundig nok diskusjon av hvert område. du bør heller ikke ha mer enn ett idémyldringsmøte pr. dag. To møter blir svært strevsomt og omfanget av etterarbeidet blir omfattende.
Tidspunkt for møtene deltakerne bør få innkalling/invitasjon i god tid før møtet gjennomføres. Sjekke eventuelt med deltakernes ledere, og orienter også dem om dato og tidspunkt. Sørge for å unngå kollisjoner med andre arrangementer som det er sannsynlig at deltakerne ønsker å delta på.
Forberedende dokumenterdet bør sendes ut enkelte dokumenter til deltakerne slik at de ikke møter opp uforberedt. dokumentene bør inneholde tre elementer:
1. en kort beskrivelse av hva risikovurderinger er. 2. en kort beskrivelse av det området som skal risikovurderes. 3. Tre-fem eksempler på uønskede hendelser som kan inntreffe.
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
26
Beskrivelse av prosessen, IOP
Formål En individuell opplæringsplan (IOP) skal bidra til å sikre elever med spesialundervisning et likeverdig og tilpasset opplæringstilbud. Den individuelle opplæringsplanen utarbeides av skolen på bakgrunn av den sakkyndige vurderingen fra PP-tjenesten og vedtaket om spesialundervisning.
Beskrivelse Det er hele prosessen som tilhører IOP vi skal vurdere. Helt fra mistanke eller melding om behov for spesialundervisning frem til behovet ikke lenger er til stede.
IOP er en individuell opplæringsplan som skal revideres/evalueres 2 ganger i året. Den danner grunnlaget for tilbudet skolen skal gi eleven som har fått egen IOP. Alle elever med krav på spesialundervisning skal få utarbeidet IOP hvor mål og arbeidsmetode står beskrevet. Hvert halvår evalueres planen og hvert halvår skal lærerne rapportere i evalueringsprosessen hvor mye av IOPen som har vært gjennomført. Det skal gå klart fram hvor mange timer som er brukt og hva de har vært brukt til. I samarbeid med hjemmet og PPT kan man endre innholdet i IOP ut i fra elevens utvikling i en evalueringsprosess.
Melding til deltakere i risikovurdering:
Velkommen til arbeidsmøte for gjennomføring av risikovurdering innenfor området som krever spesialpedagogisk kompetanse. Følgende tema skal belyses og vurderes:
-‐ IOP – Individuell opplæringsplan
-‐ PP-‐tjenesten i skolen
-‐ IUP – Individuell utviklingsplan
Som forberedelse til arbeidsmøtet ønsker vi at du tar noen minutter til å lese gjennom dette dokumentet.
Risikovurderinger: Risikovurdering spiller en sentral rolle i arbeidet med å sikre at vi behandler personopplysninger (bl.a. elevdata, elevarbeider og andre personlige dokumenter) på en trygg og sikker måte.
Risikovurderinger kan virke som noe fremmed og veldig teknisk. Det er det ikke. Vi gjør alle risikovurderinger hver eneste dag. Vi vurderer for eksempel risikoen for trafikkulykker som så liten at vi kjører bilen til jobben hver morgen. Vi aksepterer denne risikoen. Men vi forlater ikke bilen ulåst på parkeringsplassen utenfor kjøpesenteret. Denne risikoen aksepterer vi ikke. Isteden bruker vi et sikringstiltak – vi låser den – for å redusere risikoen for at bilen eller noe i den blir stjålet.
FigUR 9: eKSeMPel PÅ BeSKRivelSe Av OMRÅde
FigUR 8: eKSeMPel PÅ Melding Til delTAKeRne - innledning
02
Pass på at dokumentet ikke blir for omfattende og detaljert. nedenfor finner du eksempler på hvordan de tre elementene i dokumentet kan utformes.
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
27
Årsaken til at du bør finne eksempler på uønskede hendelser (som vist i figur 10), er at det kan sette deltakerne på sporet av hva idémyldringsmøtet i første rekke vil handle om: iden-tifisere hva som kan være problematisk med bruken av iKT i skolen. Forhåpentligvis vil eksemplene gjøre deltakerne i bedre stand til å huske uønskede hendelser som de har opplevd, hørt om eller tenkt på.
de forberedende dokumentene bør sendes til deltakerne noen få dager før møtet avholdes. dette vil gi deltakerne en påmin-nelse om risikovurderingsmøtet. i tillegg kan det føre til at deltakerne har dokumentinnholdet friskt i minne når de stiller på møtet.
Møtelokaler og fasiliteterved valg av lokaler bør du tenke på at det i slike møter ofte blir diskutert fortrolige saker (for eksempel hvilke sårbarheter som finnes i skoleeiers datanettverk). Møtet bør derfor avholdes i et
lokale hvor deltakerne ikke opplever at det er utrygt å snakke fritt. i så måte vil for eksempel aulaen eller kantina være lite egnede steder.
utstyrdu trenger noe utstyr i forbindelse med gjennomføringen av møtene. det kan for eksempel være aktuelt å benytte projek-tor, tavle og flip-over (nedenfor skal vi se nærmere på hva dette utstyret kan brukes til). deltakerne bør få utdelt penn og papir for å kunne ta notater underveis, og møtereferenten bør kunne bruke pc. det kan derfor være en fordel å ha følgende utstyr tilgjengelig:
• Projektor.• Flip-over.• Pennogpapirtildeltakerne.• PCtilmøtereferent.
Tenk igjennom Tenk igjennom prosessen som fører til en IOP, PP tjenestens virke i skolen og de individuelle utviklingsplanene (IUP) og hvordan de blir til, hvordan de håndteres ettertid. Er det noe som kan føre til at personopplysninger kommer på avveie, at personopplysninger endres/oppdateres slik at de blir misvisende/uriktige eller som fører til at personopplysninger ikke er tilgjengelige for de som har behov for dem?
Nedenfor finner du noen eksempler på uheldige hendelser. Tenk igjennom om du har opplevd eller kan komme på andre typer hendelser som kan være problematiske.
Eksempler på hendelser
Læreren lagrer sensitive personopplysninger på usikret bærbar PC i forbindelse med mistanke om behov for spesialundervisning
Rektor sender melding til foreldrene på usikret kommunikasjonsmedium (epost eller lignende), i forbindelse med utredning av behov for spesialundervisning.
IOP slettes ikke fra privat mappe i Citrix, eller gjenopprettes ved en tilbakelegging av sikkerhetskopi.
Elevens perm med stegark (IUP) forsvinner fra klasserommet. Oppdatering av IUP registreres på feil elev i Oppad/Moodle.
FigUR 10: eKSeMPel PÅ HvA delTAKeRne BØR TenKe igJennOM PÅ FORHÅnd
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
28
i noen tilfeller kan det være hensiktsmessig å gjøre lydopptak av møtene (med diktafon eller lignende). det du oppnår med dette er å få med eksempler på uønskede hendelser som du ikke registrerte på møtet (for eksempel fordi de ble nevnt i forbifarten eller i bisetninger). det gir deg også bedre mulighet til å gi mer forfinede og korrekte beskrivelser av de hendelsene som ble registrert.
Hvis du ønsker å gjøre lydopptak, skal alle deltakerne gi sitt samtykke til dette. Samtidig må lydopptaket behandles på en sikker måte i ettertid, og slettes når arbeidet er ferdig. vær imidlertid oppmerksom på at lydopptak kan føre til at enkelte deltakere blir mer engstelige for å uttale seg fritt.
gJennOMFØRing Av
RiSiKOvURdeRingSMØTeR
idémyldrings- eller risikovurderingsmøter er selve kjernen i risikovurderingsprosessen. det er derfor nødvendig at møtelederen stiller godt forberedt. erfaring viser at møtelede-rens evne til å følge en tydelig struktur – holde en rød tråd gjennom hele møtet – er avgjørende for om deltakerne kommer med innspill og deltar aktivt i diskusjonene. derfor kan det være nyttig å dele møtene inn i ulike faser.
vi anbefaler følgende seks faser:1. innledning – beskrivelse av hva risikovurdering er
(ca. 15 min.).2. deltakerne presenterer seg – anledning til å stille spørsmål
(ca. 15 min.).3. gjennomgang av risikoområdet og eksempelhendelsene i
dokumentet (ca. 30 min.).4. deltakerne skriver ned uønskede hendelser de har erfart,
hørt om eller tenkt på (ca. 20 min.).5. diskutere, identifisere og notere uønskede hendelser (ca. 75 min.).6. Risikovurderingen: deltakerne angir sannsynlighets- og
konsekvensverdi for hver uønsket hendelse (ca. 15 min.).
nedenfor gjennomgås hver av de seks møtefasene. vi trekker frem forhold som du bør være spesielt oppmerksom på, og peker på hva som kan være lurt å gjøre.
FaSE 1: InnledningenHer er det møtelederen som fører ordet. Hensikten er først og fremst å gi deltakerne en liten innføring i hva risikovurderinger er og hvorfor det er viktig at slike vurderinger blir gjennomført i skolen (vis gjerne til de aktuelle bestemmelsene i personop-plysningsloven med forskrift). det kan også være hensikts-messig å gjøre rede for prosjektets forankring i organisasjonen (for eksempel hvem som har bestemt eller gitt sin velsignelse til at prosjektet gjennomføres). det kan derfor være en fordel at møtelederen har laget en presentasjon som inneholder følgende momenter:
1) Hva er en risikovurdering?en risikovurdering er å identifisere ulike typer hendel-ser som kan forårsake at uvedkommende får tak i eller endrer/sletter personopplysninger, eller som kan føre til at vi ikke får tak i opplysningene. det er å angi hvor sannsynlig det er at hendelsene skjer og hvor alvorlig konsekvensen kan bli dersom hendelsene inntreffer.
2) Hvordan håndterer vi risiko?Risikohåndtering er å sette inn ulike typer tiltak, slik at vi reduserer sannsynligheten for eller konsekvensene av at en hendelse inntreffer. Her vil det være snakk om fem typer tiltak:• Tekniskeellerfysisketiltak(skjermlås,krypteringav harddisk, låse dører).• Organisatorisketiltak(rutinerforhåndteringav informasjonsverdier).• Personellmessigetiltak(opplæring,kompetanseheving, taushetsplikt).• Arbeidsmetodikkogstyring(kontrollmedsystemer, prosesser og informasjonsverdier).• Kjøpeseg«fri»(forsikring).
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
29
3) gå igjennom og forklar hva en risikomatrise er: en risikomatrise brukes til å avgjøre hvor stor risiko deltakerne forbinder med en uønsket hendelse som kan oppstå ved bruk av iKT i skolen.
02
Ufarlig Uheldig Alvorlig Kritisk
Lite sannsynlig
Moderat sannsynlig
Sannsynlig
Svært sannsynlig
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
30
5) Forklar hvorfor akkurat disse deltakerne ble invitert til møtet (forklaringen vil vanligvis være at deltakerne har særlig erfaring med det systemet eller den arbeidsproses-sen som skal risikovurderes).
6) Understrek at alle forslag til uønskede hendelser har betydning. Understrek også at det kan være vanskelig å vurdere hvor sannsynlig og skadelig en hendelse er, men at deltakerne bør følge «magefølelsen» hvis de er usikre.
4) gå igjennom og forklar de to elementene som risikomatrisen består av:
en skala for vurdering av sannsynlighet og en skala for vurdering av konsekvens. gå deretter igjennom og forklar hvordan verdiene for sannsynlighet og konsekvens skal forstås.
Lite sannsynlig Hendelsen inntreffer hvert femte skoleår.
Moderat sannsynlig Hendelsen kan opptre hvert tredje skoleår.
Sannsynlig Hendelsen kan opptre hvert skoleår.
Svært sannsynlig Hendelsen opptrer flere ganger i løpet av skoleåret.
Ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen annet enn ubetydelig.
Uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, foreldre lærere eller andre ansatte. Eksempelvis mindre økonomisk tap, tap av brukernavn/passord, publisering av bilder på læringsplattform uten samtykke, osv.
Alvorlig Hendelsen kan få betydelige konsekvenser for elever, foreldre, lærere eller andre ansatte. Eksempelvis uautorisert bruk av en elevens/lærerens brukernavn/passord, utilsiktet tilgang til eller endring av karakterer/fravær, osv.
Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme. Eksempelvis utlevering av sensitive personopplysninger, publisering av kontaktinformasjon for elever/foreldre som lever på skjermet adresse, vedvarende digital mobbing, osv.
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
31
FaSE 2: presentasjonsrunde med deltakernela deltakerne presentere seg selv. gi dem anledning til å kommentere forberedelsene til møtet, og om de syntes at beskrivelsene og eksempelhendelsene ga noen mening eller assosiasjoner. det er viktig å få tilbakemelding på om eksem-pelhendelsene satte deltakerne i riktig «modus», det vil si om de skjønte hva som var hensikten med dem. Hvis de ikke gjorde det, så har du et forbedringspotensial på dette punktet.
FaSE 3: Gjennomgang av området som skal risikovurderesgå igjennom beskrivelsen av det området som skal risiko-vurderes. Her tar du utgangspunkt i det dokumentet som ble sendt ut til deltakerne noen få dager forut for møtet (se figur 2 og 9). vær tydelig på avgrensningene. Forsikre deg om at deltakerne har en felles forståelse av hvilket område de skal vur-dere, og hvor grensedragningen mot tilstøtende områder går.
det er også viktig å gå igjennom de eksempelhendelsene som deltakerne har fått tilsendt på forhånd. Forsøk å skape en liten dialog rundt disse. da kan det bli enklere for deltakerne å komme på uønskede hendelser på egen hånd senere i møtet.
FaSE 4: deltakerne tenker igjennom uønskede hendelser deltakerne får utdelt penn og papir slik at de kan skrive ned uønskede hendelser som de har opplevd, hørt om eller tenkt på. vær tydelig på at ingen forslag er dumme. vær også tydelig på at ingen trenger å komme frem på «scenen» for å presentere sine forslag. deltakerne presenterer sine forslag gjennom felles diskusjoner senere i møtet. dette vil forhåpent-ligvis gjøre det mer ufarlig for deltakerne å si til resten av gruppen hva de har notert for seg selv.
FaSE 5: Identifisering av uønskede hendelserdet er i denne fasen at idémyldringen skjer. Her handler det om å diskutere og avdekke så mange uønskede hendelser som mulig. Hendelsene trenger ikke å være erfaringsbasert, de kan like gjerne være tenkte eller hypotetiske. det avgjørende er altså ikke at hendelsene har skjedd, men at de kan skje.
Ovenfor har vi gitt noen eksempler på slike hendelser. Her er noen flere:
• Uvedkommendefårtilgangtilpersonopplysningerfordikontaktlærer skriver ned elevenes brukernavn og passord på en liste som oppbevares i klasserommet.
• Personopplysningergårtaptfordilærernebrukersineprivate e-postkontoer, for eksempel gmail eller Hotmail, for mellomlagring av dokumenter og notater.
• Enelevfårtilgangtilklassekameratenskontopålærings-plattformen og bruker tilgangen til å sende elektroniske meldinger i klassekameratens navn (identitetstyveri).
• Detskoleadministrativesystemet«ernede»nårvitnemålskal skrives ut.
Selv om det er mange hendelser som kan diskuteres, kan det likevel være tungt å få i gang praten etter at deltakerne har skrevet ned sine tanker og ideer – ingen ønsker å være først ut med å presentere forslag. da kan du som møteleder spørre: «er det noen av eksempelhendelsene dere har fått tilsendt som vi bør få med oss i risikovurderingen?» dette kan ofte utløse en mer fri diskusjon.
Som antydet ovenfor, kan det være en fordel å ha en refer-ent som skriver ned de hendelsene som kommer frem under møtet. Som møteleder skal du lede diskusjonen og dialogen med deltakerne, og du har ofte nok med dette. du skal hele tiden være årvåken og forsøke å tenke på hvilke hendelser som diskusjonene dreier seg om. derfor er det en dårlig idé at møtelederen også er referent.
når deltakerne diskuterer en bestemt problemstilling, bør du forsøke å finne ut hvilken uønsket hendelse det kan dreie seg om. Hendelsen bør du skrive opp på tavla (eller flip-over). Så stiller du spørsmålet: «Kan det være denne hendelsen vi nå diskuterer?» la deltakerne få respondere på dette, eventuelt juster det du har skrevet og gå videre til neste problemstilling. Husk å nummerere alle hendelsene som skrives opp på tavla (eller flip-over), for eksempel 1.1, 1.2, 1.3, osv. dette har betydning når deltakerne senere skal vurdere hendelsenes
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
32
sannsynlighet og konsekvens. istedenfor å skrive opp hele beskrivelsen av hendelsen, trenger deltakerne bare å referere til den ved hjelp av det nummeret du har gitt den. På denne måten effektiviseres gjennomføringen av den siste delen av møtet (se figur 11 ovenfor).
en utfordring som du kan komme til å oppleve, er at forslag til uønskede hendelser avvises av én eller flere av deltakerne. Begrunnelsen er ofte at de mener at sannsynligheten for at hendelsen skal skje er liten, eller fordi det allerede er iverksatt tiltak for å hindre at hendelsen skjer: «Men det lagres da ikke sensitive personopplysninger på minnepenner, for alle har jo fått beskjed om at dette ikke skal gjøres!» derfor, mener de, er det liten vits i å bruke tid på akkurat den hendelsen.
da er det viktig at du som møteleder forklarer at disse deltak-erne nettopp har foretatt en risikovurdering: de har uttalt seg om hvor sannsynlig hendelsen er (hendelsen beskrives som lite sannsynlig fordi det allerede er iverksatt et tiltak – gitt beskjed om hva praksis skal være). det er i tillegg viktig at du forklarer at på dette stadiet skal ikke deltakerne vurdere sannsynlighet. de skal heller ikke vurdere hendelsens konse-kvenser. Poenget er isteden å få frem alle uønskede hendelser som kan skje, det vil si uavhengig av hvor sannsynlige eller skadelige de er. det er mot slutten av møtet at deltakerne får anledning til å si hva de mener om sannsynlighet og konse-kvens. Møtelederen må være årvåken i slike situasjoner og si at deltakerne skal ta stilling til sannsynlighet og konsekvens senere, «men er vi enige om at hendelsen faktisk kan skje?»
FigUR 11: eKSeMPel PÅ HendelSeR SOM nOTeReS PÅ TAvlA (HendelSene eR nUMMeReRT)
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
33
det vil de fleste trolig være enig i, og dermed bør du notere hendelsen på tavla (eller flip-over).
det er også svært viktig at du som møteleder ikke gir uttrykk for en spesiell holdning til de uønskede hendelsene som deltakerne foreslår. du bør for eksempel ikke si at «joda, jeg kan alltids notere den hendelsen du nevner der, men så veldig relevant for oss er den nok ikke». Slike utsagn kan både føre til at deltakerne blir engstelige for å foreslå hendelser og at deltakerne påvirkes til å gi en annen vurdering av hendelsens sannsynlighet og konsekvens enn de ellers ville gjort.
Hvis diskusjonen i møtet stopper opp, er det lurt at møte-lederen har ytterligere eksempler på uønskede hendelser som han/hun kan spille inn (eller stille noen spørsmål om det området som risikovurderes, for eksempel hvordan deltakerne faktisk bruker et bestemt iKT-system). På denne måten kan du sette fart i diskusjonen igjen.
dersom du merker at det er lite nytt å spore i diskusjonen, eller du ser at nye forslag til hendelser allerede er notert på tavla (eventuelt flip-over), så er det et tegn på at diskusjonen «går i ring». da kan det være på tide å avslutte denne delen av møtet. det kan du gjøre ved å spørre deltakerne om de «har hendelser på papiret sitt som ikke er nevnt eller diskutert?»
FaSE 6: vurdere sannsynlighet og konsekvensneste steg er at deltakerne vurderer hendelsenes sannsyn-lighet og konsekvens. Før deltakerne setter sine verdier for sannsynlighet og konsekvens, bør du understreke at det er viktig at de gir en så edruelig og realistisk vurderingen som mulig. erfaring viser at det kan være en viss fare for at deltak-erne er påvirket av at diskusjonene i møtet har fokusert på «alt som kan gå galt». dermed kan det tenkes at enkelte av dem setter høyere verdier for sannsynlighet og konsekvens enn hva det er grunnlag for. Men det er selvsagt også viktig at det ikke settes urealistisk lave sannsynlighets- og konsekvens-verdier. Hvis dette likevel skjer, risikerer du å få et resultat som i liten grad reflekterer reelle sikkerhetsutfordringer.
Selv om vurderingen på ingen måte er en individuell prøve eller eksamen (det finnes ingen «fasit»), bør du understreke at deltakerne ikke skal samarbeide når de setter sine verdier for sannsynlighet og konsekvens. Poenget med vurderingen er at hver enkelt deltaker, med bakgrunn i sine spesielle erfaringer og sitt unike ståsted, gjør seg opp sin egen mening om de uønskede hendelsene som er identifisert. Hvis deltak-erne samarbeider om vurderingen, blir det vanskelig å fange opp ulikheter i forståelsen av hva sikkerhetsutfordringene er.
deretter kan du dele ut en utskrift som beskriver de fire verdiene for sannsynlighet og konsekvens, slik at deltakerne får oppfrisket disse, og du ber deltakerne om å skrive ned hendelsene som du har notert på tavla (eller flip-over). Så lenge du har husket å nummerere hendelsene, trenger ikke deltakerne å skrive ned annet enn numrene for å referere til de ulike hendelsene. Understrek også at deltakerne skal oppgi tallverdier for sannsynlighet og konsekvens (for eksempel verdien 2 hvis de mener en hendelse er «moderat sannsynlig»).
Bak hver nummererte hendelse angir deltakerne hvor sann-synlig og skadelig de mener hendelsene er. verdien for sann- synlighet oppgis alltid først og deretter oppgis verdien for konsekvens (skadevirkning), for eksempel 1.1 – 3/4. dette betyr at det dreier seg om hendelse 1.1 (som kan være at personopplysninger endres av uvedkommende fordi læreren har mistet sitt passord), at sannsynligheten for at hendelsen skjer vurderes å være 3 («sannsynlig») og at konsekvensen vurderes å være 4 («kritisk»).
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
34
eksempel på risikovurdering:
FigUR 12: eKSeMPel PÅ vURdeRing Av SAnnSynligHeT
Og KOnSeKvenS
Til slutt bør arkene hvor deltakerne oppgir sannsynlighets- og konsekvensverdi samles inn og registreres av referenten i møtereferatet.
Risikovurderingene (arkene med sannsynlighets- og konse-kvensverdi) skal ikke kunne knyttes opp mot identiteten til de som avga dem. dette er et viktig prinsipp. du skal derfor ikke be deltakerne om å skrive navnet sitt på arkene – vurderingene skal være anonyme.
Oppsummering av risikovurderingen:- noter uønskede hendelser på tavle (eller flip-over). - nummerer hendelsene som noteres. - del ut beskrivelse av sannsynlighets- og konsekvens-
verdiene (du kan kort gå igjennom disse på nytt).
- del ut ark som deltakerne foretar sine risikovurderinger på.- gi deltakerne litt tid til å sette sine egne verdier for
sannsynlighet og konsekvens (understrek at det ikke finnes noe fasitsvar).
- Arkene med deltakernes risikovurderinger samles inn og tallverdiene føres inn i referatet.
etter dette er det bare å takke deltakerne for innsatsen og ønske dem fortsatt god dag!
når referenten er ferdig med sitt arbeid, kan referatet fra møtet se ut som vist i figur 13 på neste side:
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
35
Referat fra arbeidsmøte om risikovurdering av Feide som innloggingstjeneste Til stede: NN Frafall: NN Referent: NN
Risikomatrise Risikomatrise vi vurderer ut i fra
Sann-synlighet Konsekvens 1 2 3 4
Ufarlig Uheldig Alvorlig Kritisk 1 Lite sannsynlig 2 Moderat sannsynlig 3 Sannsynlig 4 Svært sannsynlig
Feide Risikofaktorer 1.1 Elev får tilgang til administratorgrensesnitt i E1 1.2 Det lages en praksis på passord som gjør at de lett kan gjettes.
Eks. etternavn, fornavn, etc. 1.3 Det skrives ut en liste over bruker-id/passord som kan komme
på avveie. 1.4 Det lages liste med brukernavn/passord på fellesområde med
fare for utlevering og ID-tyveri. 1.5 Det lages felles/dårlige passord i en klasse for å forenkle
innlogging. 1.6 Svake passord på grunn av mangelfulle retningslinjer for
passord. 1.7 På grunn av manglende synkronisering mellom
AD/ADAM/Buddy får noen ikke logget på, tilgjenglighet er problemet.
1.8 Passord genereres av lærer, rektor eller adm og leveres til elev med fare for utlevering, ulik praksis.
1.9 Brukernavn og passord til lærer sendes på e-post til lærer med fare for tapping og brukernavn og passord på avveie.
1.10 Lærer endrer passord på feil elev på grunn av at læreren ser alt. 1.11 Oppdaterer feil bruker i passordgrensesnitt på grunn av at det
kommer flere alternativer opp i løsningen. 1.12 Elev logger seg på lærerweb med lærers brukernavn og passord
med tilhørende endring av karakterer, vurderinger, fravær, etc 1.13 Fødselsnummer kommer i klartekst i innsynsmodul, elev og
andre kan lese av dette. 1.14 Synkroniseringsfeil fører til at elever og lærere ikke får tilgang. 1.15 ADAM-serveren blir utsatt for angrep/tapping.
02
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
36
FigUR 13: eKSeMPel PÅ ReFeRAT FRA RiSiKOvURdeRingSMØTe
Som det fremgår av figuren, inneholder møtereferatet tre viktige punkter:1. Risikomatrisen som ble benyttet for å vurdere
sannsynlighet og konsekvens.2. en nummerert oversikt over de uønskede
hendelsene som ble identifisert.3. en tabell som viser hvordan deltakerne (v1-v4)
vurderte sannsynligheten for og konsekvensen av hver enkelt hendelse.
Sannsynlighet og konsekvens (S/K) Hendelser V1 V2 V3 V4 V5 V6 V7 Oppsummert 1.1 1/4 2/3 3/3 1/3 1.2 4/3 3/4 4/3 3/3 1.3 3/3 3/4 4/3 3/3 1.4 1/2 3/3 4/3 3/3 1.5 3/2 2/4 4/3 4/3 1.6 4/3 3/3 4/3 4/3 1.7 2/2 1/3 2/2 2/2 1.8 4/2 2/3 4/1 3/1 1.9 3/4 3/4 4/3 4/3 1.10 2/2 1/3 2/3 2/3 1.11 3/3 1/3 2/3 3/1 1.12 1/4 2/4 2/4 3/4 1.13 2/4 4/3 2/4 3/4 1.14 3/2 1/2 1/1 3/3 1.15 1/4 2/4 1/4 1/4
02
37
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
38
del 3 etterarbeid, utarbeide risikorapport
HvA BeSTÅR eTTeRARBeideT Av?
lederen for risikovurderingsprosessen bør ta seg av etter-arbeidet. det bør gjøres like etter at risikovurderingsmøtene er avsluttet, mens du fortsatt har møtene friskt i minne (selv om du har lydopptak av møtene, bør du likevel ikke vente for lenge med å ta fatt på etterarbeidet). etterarbeidet består av tre hoveddeler:
1. Utarbeide risikorapport.2. Kvalitetssikre innholdet i rapporten.3. Formidle konklusjoner og anbefalinger.
nedenfor skal vi se nærmere på hver av de tre hoveddelene.
utarbeide risikorapport Referatet fra risikovurderingsmøtet er grunnlaget for risikorap-porten. det betyr at strukturen og innholdet i risikorapporten er relativt likt det vi finner i møtereferatet (se figur 13 ovenfor og kommentarene til denne). det som skiller risikorapporten fra møtereferatet, er tre ting:
1. Hver uønsket hendelse gis en kort forklaring/beskrivelse. dette er viktig med tanke på at de som ikke deltok på møtene, men som skal lese rapporten, forstår hva de ulike hendelsene betyr.
2. det regnes ut en risikofaktor (sammen med gjennomsnittlig sannsynlighets- og konsekvensverdi) for hver uønsket hen-delse. dette er avgjørende for å vite hvilke hendelser som har en uakseptabel høy risiko og hvilke som ikke har det.
3. Oppsummering og forslag til tiltak. de hendelsene som har en uakseptabel høy risiko – som plasserer seg i «rød sone» i risikomatrisen – plukkes ut og presenteres, og det foreslås tiltak for å redusere risikoen for at hendelsene inntreffer.
i risikorapporten bør du også legge ved det dokumentet som ble sendt ut til møtedeltakerne i forkant av risikovurder-ingsmøtet (beskrivelsen av det området som ble risikovurdert og risikomatrisen som ble benyttet). Så bør du ta med en oversikt over hvem som deltok på risikovurderingsmøtet. Til
slutt bør du inkludere beskrivelsen av uønskede hendelser og resultatet av selve risikovurderingen, se figur 14 på neste side.
03
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
39
Feide Uønskede hendelser 1.1 Elev får tilgang til administrator grensesnitt i E1 Lærere som har tilgang til elevnettet, kan logge seg inn på et administrasjonsprogram som endrer passordet for elever og lærere. Dersom en elev får tilgang til dette grensesnittet, kan dette medføre at vedkommende kan endre passordet til mange elever. 1.2 Det lages en praksis på passord som gjør at de lett kan gjettes Enkelte lærere gir elevene føringer for hva de skal benytte som passord. Dette kan for eksempel være etternavn. Denne praksisen gjør at de fleste elever skjønner hva medelevenes passord er. 1.3 Det skrives ut en liste over bruker-id/passord som kan komme på
avveier Når systemet genererer Feide-brukernavn og passord, blir det distribuert lister over hvem som får tildelt hvilke passord. Dette skrives inn (genereres) i et Exceldokument. Det er avdekket en praksis som går ut på at disse listene (med brukernavn og passord) skrives ut på papir og kan komme uvedkommende i hende. 1.4 Det lages liste med brukernavn/passord på fellesområde med fare for
utlevering og ID-tyveri Exceldokumentet som beskrevet i punkt 1.3 ovenfor, lagres på fellesområder. Dette medfører at mange har tilgang til lister med brukernavn/passord. 1.5 Det lages felles/dårlige passord i en klasse for å forenkle innlogging Ref. punkt 1.2, men dette gjelder også klasser som benytter samme passord for alle elevene. 1.6 Svake passord på grunn av mangelfulle retningslinjer På grunn av at det mangler retningslinjer for passord, blir det ofte til at man benytter lettvinte passord. Dette kan føre til svak sikkerhet og kan bidra til at forståelsen for viktigheten av å holde et passord hemmelig undergraves. 1.7 Pga. manglende synkronisering mellom AD/ADAM/Buddy får brukerne
ikke logget på Det foregår en synkronisering av brukerdata mellom Fylkeskommunens IDM-motor, AD i den enkelte kommune og ADAM (LDAP) katalogen som Uninett (Moria) kobler seg opp mot. Man er avhengige av vellykket synkronisering, det vil si at opplysningene er korrekte, for at man skal kunne logge seg på med Feide. Dersom synkroniseringen ikke er vellykket, kan man stå i fare for at mange elever og lærere ikke får tilgang til nødvendige ressurser. 1.8 Passord genereres av lærer, rektor eller administrasjonen og leveres til
elevene I forbindelse med endring av passord, har både rektor, lærer og noen ganger administrativt personell adgang til å gjøre dette. Passordene overleveres på forskjellige måter, for eksempel gul lapp, muntlig, osv. Manglende varsomhet her kan føre til utlevering av passord til uvedkommende.
03
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
40
03
Til venstre i figuren listes de uønskede (og nummererte) hendelsene som deltakerne identifiserte under risikovurder-ingsmøtet, og det gis en liten forklaring til hver hendelse. Til høyre vises en tabell som forteller hvilke sannsynlighets- og konsekvensverdier de fire møtedeltakerne (v1-v4) ga hver enkelt hendelse (sannsynlighetsverdien oppgis alltid først, der-etter konsekvensverdien: sannsynlig/konsekvens). For hver hendelse er gjennomsnittet for sannsynlighet og konsekvens regnet ut, og til slutt oppgis risikofaktorene.
Som vi ser, er risikofaktorene oppgitt i ulike farger. Fargene (grønt, gult og rødt) viser hvor hendelsene plasserer seg i risikomatrisen. vi ser at to hendelser – 1.2 (passord er enkle å gjette) og 1.3 (lister med passord kan komme på avveier) – befinner seg i risikomatrisens «røde sone». dette er derfor hendelser som skolen eller skoleeier bør iverksette sikrings-tiltak for å unngå.
i rapporten er det viktig at de«røde hendelsene» utheves i en oppsummerende (eller konkluderende) del. dette fordi led-
erne, enten på skole- eller skoleeiernivå, bør få tydelig beskjed om hvilke hendelser som ble oppfattet som spesielt sannsyn-lige og skadelige. lederne bør også presenteres for forslag til sikringstiltak.
Som ansvarlig for risikovurderingsprosjektet, er det din oppgave å utarbeide tiltaksforslag. når det gjelder hendelse 1.2 i figur 14 (passord er enkle å gjette), kan du foreslå følgende sikringstiltak: «Skolen (eller skoleeier) endrer sin passordpolicy» (for eksempel at brukernes for- eller etternavn ikke lenger godtas som passord). For hendelse 1.3 (lister med passord kan komme på avveier ) er det naturlig å foreslå et annet sikringstiltak: «Skolen (eller skoleeier) introduserer et forbud mot at slike lister lages.»
det er viktig at du er tydelig, konkret og kortfattet når du presenterer forslagene til sikringstiltak. På denne måten øker sannsynligheten for at forslagene dine blir tatt på alvor. Figur 15 viser hvordan det siste punktet i risikorapporten – foreslåtte tiltak – kan se ut.
Sannsynlighet og konsekvens (S/K)
Hendelse V1 V2 V3 V4 Gj.snitt Risiko faktor
1.1 1/1 2/3 4/2 2/4 2,3 / 2,5 5,8
1.2 4/2 3/3 4/3 2/4 3,3 / 3 9,9
1.3 4/2 3/3 4/4 2/3 3,3 / 3 9,9
1.4 2/2 2/2 3/3 1/4 2 / 2,8 5,6
1.5 4/1 2/2 2/3 1/3 2,3 / 2,3 5,3
1.6 1/1 1/2 2/2 2/2 1,5 / 1,8 2,7
1.7 1/1 4/2 4/3 4/2 3,3 / 2 6,6
1.8 1/2 2/2 3/2 1/3 1,8 / 2,3 4,1
1.9 3/2 3/2 3/3 3/2,3 6,9
1.10 3/2 2/2 3/3 2,7/2,3 6,2
FigUR 14: eKSeMPel PÅ BeSKRivelSe Av
HendelSeR Og ReSUlTAT Av RiSiKOvURdeRing
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
41
Kvalitetssikre innholdet i rapporten Før den endelige risikorapporten presenteres for ledere på skole- eller skoleeiernivået, bør innholdet i den kvalitetssikres. det gjør du ved å sende utkast til endelig rapport til de som deltok på risikovurderingsmøtene. du bør be deltakerne kommentere forklaringene/beskrivelsene av de uønskede hendelsene, og utfordre dem til å komme med innspill til dine tiltaksforslag.
Husk å gi en frist for når deltakerne må komme med forslag til endringer og forbedringer.
Formidle konklusjoner og anbefalinger når du har innarbeidet eventuelle forslag til endringer og forbedringer, er det på tide å gjøre ledere på skole- eller skoleeiernivået kjent med hva risikovurderingen har kommet frem til.
det finnes ingen «standardoppskrift» for hvordan formidlingen av konklusjoner og anbefalinger bør foregå. det vil blant annet avhenge av hvilke organisatoriske løsninger som din skoleeier har valgt (særlig primærkommunene organiserer seg noe ulikt). det vil imidlertid vanligvis være slik at rektoren på skolen er din «oppdragsgiver». da bør rapporten, med oppsummering og forslag til tiltak, formidles til rektoren først.
når du har gjort dette, er jobben din over. Ballen er nå spilt over til rektor, og det er opp til han/hun (eventuelt i samråd med deg eller andre ved skolen) å avgjøre hva som skal skje videre: Hvilke av de foreslåtte tiltakene bør iverksettes (om noen), hvilke av dem kan gjennomføres lokalt på skolen og hvilke må skoleeier ta stilling til? Spesielt hvis sikringstiltakene har en prislapp, vil det være naturlig å involvere skoleeier. Som nevnt tidligere, kan det være aktuelt at tiltakene spilles inn i budsjett-prosessen i din kommune eller fylkeskommune.
9.3.2 Foreslåtte tiltak
9.3.2.1 Etablere obligatorisk opplæring i håndtering av brukernavn/passord til alle lærere og elever. Dette bør gjentas en gang hvert år.
9.3.2.2 Etablere databehandleravtale med eventuell leverandør av skytjenester.
9.3.2.3 Gjennomføre opplæring i bruk av Moodle til alle lærere med jevne mellomrom.
9.3.2.4 Etablere rutiner for hvordan brukernavn/passord skal distribueres til elev/foreldre på en sikker måte.
9.3.2.5 Etablere overvåkning av nettverket.
9.3.2.6 Etablere reglement for bruk av e-post for elever.
9.3.2.7 Etablere rutiner for hvordan man skal håndtere inngående e-post med sensitivt innhold fra foreldre eller andre (f.eks. helsepersonell).
9.3.2.8 Etablere sterk autentisering i forbindelse med webmail.
9.3.2.9 Etablere gode rutiner for hvordan og hvem som skal publisere på skolenes hjemmesider.
9.3.2.10 Etablere avtaler med leverandører av websidene.
9.3.2.11 Benytte seg av webløsninger som kan forhindre utkopiering av bilder eller lignende.
FigUR 15: eKSeMPel PÅ TilTAKSliSTe.
03
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
42
For skoleledere og skoleeiere kan det være verdt å merke seg at sikringstiltak som innebærer elektronisk registrering og lagring av opplysninger om de ansatte, for eksempel logging av aktiviteter på læringsplattformen, krever involvering av de ansattes representanter før tiltaket iverksettes (se arbeids-miljøloven kapittel ni). Også andre brukergrupper enn de ansatte (elever og foreldre) bør involveres, for eksempel via skolens rådsorganer. det er videre verdt å huske at rettig- hetene etter personopplysningsloven gjelder for alle som omfattes av denne typen sikringstiltak (for eksempel retten til innsyn i de opplysningene som registreres og lagres om dem).
nye RiSiKOvURdeRingeR
Ovenfor har vi sett at personopplysningsloven med forskrift pålegger skoleeier å gjennomføre risikovurderinger med jevne mellomrom (eller ved behov). når du har foretatt den første runden med risikovurderinger, blir det mye enklere å gjøre den samme øvelsen en gang til: deltakerne vet nå hva det handler om, avgrensninger og beskrivelser av aktuelle områder kan brukes på nytt, og du har en liste med uønskede hendelser som senere risikovurderinger kan ta utgangspunkt i. Senere risikovurdering bør gå igjennom tidligere identifiserte hendel-ser for å se om de fortsatt bør stå på listen. Samtidig vil det sikkert dukke opp nye hendelser som dere ikke tenkte på sist gang. i tillegg bør sikringstiltak som ble iverksatt etter forrige risikovurdering, gjennomgås for å se om de har hatt den for-ventede virkningen. På denne måten etableres en kontinuerlig forbedringsprosess i forbindelse med skolens (eller skoleeiers) bruk av iKT.
et spørsmål som trolig vil dukke opp etter hvert som nye risikovurderinger gjennomføres, er om de samme personene skal delta hver gang eller om det bør være en viss rullering blant deltakerne. det er viktig å ha et bevisst forhold til dette spørsmålet. ved at de samme personene deltar hver gang, bygger din skole eller skoleeier opp en grunnstamme av erfarne «risikovurderere». Utfordringen er at prosessen lett kan få et rutinemessig og ekskluderende preg. ved å legge opp til en viss rullering blant deltakerne, blir flere personer kjent med bruken av teknikken og den kan få en bredere forankring i din skole eller hos din skoleeier. Samtidig kan det tenkes at nye deltakere bringer med seg alternative synspunkter og erfaringer. dette kan føre til at flere uønskede hendelser blir identifisert og vurdert.
AvSlUTning
når risikovurderingen er gjennomført og eventuelle sikrings-tiltak iverksatt, står din skole og skoleeier bedre rustet til å møte en hverdag preget av informasjons- og kommunikasjons- teknologi. dermed kan alle ha tillit til at skolen forvalter sine informasjonsverdier på en lovmessig og betryggende måte.
Lykke til med arbeidet!
03
SEn
TE
R FO
R IK
T I u
Td
an
nIn
GE
n / SiK
KeR H
Ån
dTeRin
g Av
PeRSOn
OPPly
Snin
geR i SKO
len
43
