Samling for Feide-administratorer 12.06.14

1. Kvalitetssikring av
Feide-forvaltningen
i eget hus
Feide-samling for administratorer 12.6.2014
Harald Torbjørnsen

2. Hva er målet?
2

3. Stabil drift
• Profesjonalisert – FITS
Kompetanse på pedagogisk bruk av IKT
• ”Smart læring” – bruke for å lære
Strategisk IKT-ledelse
Hva må ligge til grunn?
3

4. Hva må ligge til grunn?
Profesjonalisering av IKT i skolen
4

5. Feide = Identitetsforvaltning
Feide krever og
forutsetter robust
forvaltningsregime
Feide er en naturlig
del av kommunens
digitale
identitetsstyring.
5

6. Feide-forvaltning
Vedlikehold og utvikling
• Oppfølging av SAS-rutiner
• Kompetanse på muligheter med
lokalt BAS
• Kompetanse på feilsøking

7. Feide-forvaltning
Tilrettelegging og organisering
• Lenking av Feide-ressurser
• Avklarte ansvarsforhold mellom
Feide-administratorer og resten
av organisasjonen
• Rutiner for bestilling
• Forankring i skoleledelsen

8. Feide-forvaltning
Informasjon og kommunikasjon
• Skoleledere
• Merkantilt ansatte
• Lærere
• Elever
• Foreldre
• IKT-drift

9. Feide-administratorer
Vurdere hvor, hva og hvem
• Systemnivå?
• Kommunalt nivå?
• Skolenivå?
1
0

10. Personopplysninger skal sikres
mot:
Brudd på konfidensialiteten
• At ikke uvedkommende for tilgang på
opplysninger
Brudd på integriteten
• At personopplysninger ikke endres eller
slettes av uvedkommende
Brudd på tilgjengeligheten
• At personopplysninger til er tilgjengelige for
personer som har rettmessig behov for
tilgang
1
1

11. Personopplysninger i skolen
All informasjon og alle vurderinger som kan knyttes til en person
som vi kjenner navnet på eller som vi kan identifisere på andre
måter
– veileder for personopplysninger i skolen
Eksempler:
• navn, adresse, alder, telefonnummer og fødselsnummer er eksempler på
personopplysninger.
• elevenes karakterer, fravær, anmerkninger, faglig progresjon, spesielle
undervisningsbehov, atferdsmønstre og sosiale ferdigheter
• opplysninger om innlevering av og innholdet i elevarbeider, besvarelser på prøver
og eksamener, e-postkommunikasjon og innholdet i andre former for elektroniske
meldinger.
1
2

12. Personopplysninger i skolen
Lovverket skiller mellom sensitive og alminnelige
personopplysninger.
• Sensitive personopplysninger
• informasjon om helse og helserelaterte forhold; om etnisk eller rasemessig
bakgrunn; om politisk, religiøs eller livssynsmessig oppfatning; om
seksuell legning; om strafferettslige forhold og om
fagforeningsmedlemskap.
• Strenge krav til sikring
• Alle andre typer personopplysninger regnes som alminnelige.
• Skal sikres tilfredsstillende
Skoleeier er ansvarlig for personvernet!
1
3

13. Hva med skytjenester?
Skoleeier er ansvarlig for all elektronisk bruk av
personopplysninger i grunnopplæringen
Ansvaret gjelder også når skoleeiere benytter seg
av skytjenester
Skoleeier pålegges å følge visse regler:
• Personopplysningsloven § 13
• Personopplysningsloven § 15
• Personopplysningsforskriften kapittel to

14. Eksempler på skytjenester

15. Risikovurdering – fremste
virkemiddel for kontroll
Jevnlige risikovurdering av skolens
IKT-løsninger og bruken av disse.
Fører til høy kvalitet på rutiner, drift
og dokumentasjon
Viktigere enn noe gang.
• Skytjenester, portaler, LMSer osv.

16. Lovgivningen
Skoleeier er rettslig forpliktet til å
gjennomføre risikovurderinger.
• Personopplysningsloven § 13
• Personopplysningsforskriften, kapittel 2
Innebærer å forvisse seg om at
personopplysningene til elever, ansatte,
foreldre og andre er tilfredsstillende sikret
1
7

17. Risikovurdering
Hvordan gjennomføre?

18. Risikovurderingens 3 hovedfaser
1. Forberedelse
1. Gjennomføring
1. Oppsummering og
etterarbeid
1
9

19. Del 1: Forberedelse
Utarbeide prosjektbeskrivelse
• Hensikt
• Omfang i timer
• Ressursbehov
• Periode
Forankre prosjektet
• Avgjørende for resultatet!
• Viktig med involvering av alle ledd i organisasjonen
• Medspillere framfor motstandere
• Lokale retningslinjer
2
0

20. Eksempel på presentasjon

21. Del 2: Gjennomføring
Risikovurderingsmøter kan deles i 6 faser:
1. Innledning – beskrivelse av hva risikovurdering er (ca.15 min.)
2. Deltakerne presenterer seg – anledning til å stille spørsmål (ca.
15 min.)
3. Gjennomgang av risikoområdet og eksempelhendelsene i
dokumentet (ca. 30 min.)
4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt
om eller tenkt på (ca. 20 min.)
5. Diskutere, identifisere og notere uønskede hendelser (ca. 75
min.)
6. Risikovurderingen: deltakerne angir sannsynlighets- og
konsekvensverdi for hver uønsket hendelse (ca. 15 min.)
2
2

22. Del 3: Oppsummering og etterarbeid
Formidle konklusjoner og anbefalinger
• Finn din løsning
• Viktig at rektor, skoleeier/oppdragsgiver
får rapporten
Skoleeier prioriterer tiltak.
• Rutiner endres
• Dokumentasjon forbedres
• Løsninger forbedres
2
3

23. Eksempel på rapport

24. Databehandleravtaler
Inngås mellom skoleeier og tjenesten
Skoleeiers kontroll med tjenesten
Viktige punkter i avtalen:
1. Avklare hva tjenesten kan bruke
personopplysningene til
2. Avklare om tjenesten kan overføre
personopplysninger til underleverandører
eller andre samarbeidsparter
3. Kreve at tjenesten iverksetter nødvendige
tiltak for å sikre personopplysninger godt
nok, jf pol. § 13

25. Avtalemal
Basert på Datatilsynets veiledning om databehandleravtaler og
avtalemal
Endret noe for å passe til Feide-tjenester
Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen
Skoleeier må selv følge opp at avtalene overholdes av leverandørene
NB: Enkelte leverandører kan tilby egne databehandleravtaler

26. Hva så da???
Risikovurderinger må gjentas jevnlig
• Gjennomgang av tidligere identifiserte hendelser
• Eventuelt fjerne dem fra listene
• Identifisere nye hendelser og vurdere dem
• Tidligere sikringstiltak gjennomgås for å vurdere effekten
Kontinuerlig forbedringsprosess!
2
7

27. Feide-forvaltning, risikovurderinger,
rutiner og dokumentasjon
Gjør skolen bedre rustet til å
utnytte IKT i hverdagen!
Er svært viktig for kvaliteten
på utbytte av IKT i skolen.
2
8

28. Gir en enklere digital
skolehverdag!