Embed Size (px)
DESCRIPTION
Samling for Feide-administratorer 12.06.14
Citation preview
Kvalitetssikring av Feide-forvaltningen i eget hus
Feide-samling for administratorer 12.6.2014Harald Torbjørnsen
Stabil drift
• Profesjonalisert – FITS
Kompetanse på pedagogisk bruk av IKT
• ”Smart læring” – bruke for å lære
Strategisk IKT-ledelse
Hva må ligge til grunn?
3
Hva må ligge til grunn?
Profesjonalisering av IKT i skolen
4
Feide = Identitetsforvaltning
Feide krever og forutsetter robust forvaltningsregime
Feide er en naturlig del av kommunens digitale identitetsstyring.
5
Feide-forvaltning
Vedlikehold og utvikling• Oppfølging av SAS-rutiner
• Kompetanse på muligheter med lokalt BAS
• Kompetanse på feilsøking
Feide-forvaltning
Tilrettelegging og organisering• Lenking av Feide-ressurser
• Avklarte ansvarsforhold mellom Feide-administratorer og resten av organisasjonen
• Rutiner for bestilling
• Forankring i skoleledelsen
Feide-forvaltning
Informasjon og kommunikasjon• Skoleledere
• Merkantilt ansatte
• Lærere
• Elever
• Foreldre
• IKT-drift
Feide-administratorer
Vurdere hvor, hva og hvem
• Systemnivå?
• Kommunalt nivå?
• Skolenivå?
1
0
Personopplysninger skal sikres
mot:
Brudd på konfidensialiteten• At ikke uvedkommende for tilgang på
opplysninger
Brudd på integriteten• At personopplysninger ikke endres eller
slettes av uvedkommende
Brudd på tilgjengeligheten• At personopplysninger til er tilgjengelige for
personer som har rettmessig behov for tilgang
1
1
Personopplysninger i skolen
All informasjon og alle vurderinger som kan knyttes til en person som vi kjenner navnet på eller som vi kan identifisere på andre måter
– veileder for personopplysninger i skolen
Eksempler:
• navn, adresse, alder, telefonnummer og fødselsnummer er eksempler på personopplysninger.
• elevenes karakterer, fravær, anmerkninger, faglig progresjon, spesielle undervisningsbehov, atferdsmønstre og sosiale ferdigheter
• opplysninger om innlevering av og innholdet i elevarbeider, besvarelser på prøver og eksamener, e-postkommunikasjon og innholdet i andre former for elektroniske meldinger.
1
2
Personopplysninger i skolen
Lovverket skiller mellom sensitive og alminnelige personopplysninger.
• Sensitive personopplysninger• informasjon om helse og helserelaterte forhold; om etnisk eller rasemessig
bakgrunn; om politisk, religiøs eller livssynsmessig oppfatning; om seksuell legning; om strafferettslige forhold og om fagforeningsmedlemskap.
• Strenge krav til sikring
• Alle andre typer personopplysninger regnes som alminnelige.• Skal sikres tilfredsstillende
Skoleeier er ansvarlig for personvernet!1
3
Hva med skytjenester?
Skoleeier er ansvarlig for all elektronisk bruk av personopplysninger i grunnopplæringen
Ansvaret gjelder også når skoleeiere benytter seg av skytjenester
Skoleeier pålegges å følge visse regler:• Personopplysningsloven § 13• Personopplysningsloven § 15• Personopplysningsforskriften kapittel to
Eksempler på skytjenester
Risikovurdering – fremste
virkemiddel for kontroll
Jevnlige risikovurdering av skolens IKT-løsninger og bruken av disse.
Fører til høy kvalitet på rutiner, drift og dokumentasjon
Viktigere enn noe gang.• Skytjenester, portaler, LMSer osv.
Lovgivningen
Skoleeier er rettslig forpliktet til å gjennomføre risikovurderinger.
• Personopplysningsloven § 13
• Personopplysningsforskriften, kapittel 2
Innebærer å forvisse seg om at personopplysningene til elever, ansatte, foreldre og andre er tilfredsstillende sikret
1
7
Risikovurdering
Hvordan gjennomføre?
Risikovurderingens 3 hovedfaser
1. Forberedelse
1. Gjennomføring
1. Oppsummering og
etterarbeid
1
9
Del 1: Forberedelse
Utarbeide prosjektbeskrivelse• Hensikt
• Omfang i timer
• Ressursbehov
• Periode
Forankre prosjektet• Avgjørende for resultatet!
• Viktig med involvering av alle ledd i organisasjonen
• Medspillere framfor motstandere
• Lokale retningslinjer2
0
Eksempel på presentasjon
Del 2: Gjennomføring
Risikovurderingsmøter kan deles i 6 faser:
1. Innledning – beskrivelse av hva risikovurdering er (ca.15 min.)
2. Deltakerne presenterer seg – anledning til å stille spørsmål (ca. 15 min.)
3. Gjennomgang av risikoområdet og eksempelhendelsene i dokumentet (ca. 30 min.)
4. Deltakerne skriver ned uønskede hendelser de har erfart, hørt om eller tenkt på (ca. 20 min.)
5. Diskutere, identifisere og notere uønskede hendelser (ca. 75 min.)
6. Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver uønsket hendelse (ca. 15 min.)
2
2
Del 3: Oppsummering og etterarbeid
Formidle konklusjoner og anbefalinger• Finn din løsning
• Viktig at rektor, skoleeier/oppdragsgiver får rapporten
Skoleeier prioriterer tiltak.• Rutiner endres
• Dokumentasjon forbedres
• Løsninger forbedres
2
3
Eksempel på rapport
Databehandleravtaler
Inngås mellom skoleeier og tjenesten Skoleeiers kontroll med tjenesten
Viktige punkter i avtalen:1. Avklare hva tjenesten kan bruke
personopplysningene til 2. Avklare om tjenesten kan overføre
personopplysninger til underleverandører eller andre samarbeidsparter
3. Kreve at tjenesten iverksetter nødvendige tiltak for å sikre personopplysninger godt nok, jf pol. § 13
Avtalemal
Basert på Datatilsynets veiledning om databehandleravtaler og avtalemal
Endret noe for å passe til Feide-tjenester
Skoleeier må selv fylle inn informasjon i enkelte deler av avtalen
Skoleeier må selv følge opp at avtalene overholdes av leverandørene
NB: Enkelte leverandører kan tilby egne databehandleravtaler
Hva så da???
Risikovurderinger må gjentas jevnlig• Gjennomgang av tidligere identifiserte hendelser• Eventuelt fjerne dem fra listene• Identifisere nye hendelser og vurdere dem• Tidligere sikringstiltak gjennomgås for å vurdere effekten
Kontinuerlig forbedringsprosess!2
7
Feide-forvaltning, risikovurderinger,
rutiner og dokumentasjon
Gjør skolen bedre rustet til å utnytte IKT i hverdagen!
Er svært viktig for kvaliteten på utbytte av IKT i skolen.
2
8
Gir en enklere digital skolehverdag!
