Risikovurderinger
Innledning
Barnehagen og skolen skal jevnlig gjennomføre risikovurderinger for å finne ut om IKT-systemene er godt nok sikret. En risikovurdering er et verktøy for å identifisere uønskede hendelser og risikoen for at disse skal inntreffe.
Risikovurderinger gir dere kunnskap om hvordan dere skal sikre personopplysninger på en god måte. Barnehage- og skoleeier har ansvaret, og en rettslig plikt til å foreta slike vurderinger. Dere skal gjøre vurderingene før dere tar i bruk et nytt system som skal behandle personopplysninger, og ved endringer i systemet. Vurderingene skal oppdateres jevnlig. Eier kan delegere oppgaven til ledere eller ansatte, og både eiere, ledere og ansatte bør kunne gjennomføre risikovurderinger.
Vi gjør alle mer eller mindre ubevisste risikovurderinger hver dag. Mange av oss vurderer for eksempel risikoen for trafikkulykker som såpass liten at vi kjører bil. Vi aksepterer denne risikoen, men de fleste av oss vil nøle med å forlate bilen ulåst. Denne risikoen aksepterer vi ikke. Vi bruker et sikringstiltak og låser bilen.
Dere kan bruke noe av samme tankegang når dere skal gjøre risikovurderinger for behandling av personopplysninger ved bruk av IKT. Forskjellen er at nå skal dere sette risikovurderinger inn i et system. Dere skal finne frem til hva som kan gå galt, og hva dere må gjøre for å senke risikoen.
IKT i barnehagen og skolen
Det er økende bruk av digitale læremidler og annen læringsteknologi i barnehagen og skolen, og digitale ferdigheter er synliggjort i læreplanene. Barnehagene og skolene må derfor ha styring og kontroll med hvordan IKT blir brukt i hverdagen. Det er helt avgjørende at IKT-systemene virker som de skal, og er godt sikret når dere for eksempel skal registrere karakterer, fravær eller adresseinformasjon. Likevel må ikke bruk av IKT øke sannsynligheten for at barnehagen eller skolen mister kontrollen med hvem som har tilgang til opplysninger, eller at uvedkommende kan endre opplysningene.
Ved å gjennomføre risikovurderinger kan barnehagen og skolen avdekke hvilke uønskede hendelser som kan oppstå, og iverksette tiltak for enten å forhindre at hendelsene skjer, eller å redusere skadevirkningene.
Det kan for eksempel være snakk om
- tekniske eller fysiske tiltak, som skjermlås, tofaktorautentisering eller å låse dører
- organisatoriske tiltak, som rutiner for håndtering av personopplysninger
- personellmessige tiltak som kompetanseheving, bevisstgjøring og taushetsplikt
- arbeidsmetodikk og styring, som kontroll med systemer, prosesser og personopplysninger
Datatilsynet har mye nyttig informasjon om sikker håndtering av personopplysninger
KS har veiledere om hvilke sikkerhetskrav du bør stille ved innkjøp av tjenester og skytjenester, og en spørsmålsliste for arbeid med risikovurderinger.
Mal for risikomatrise