Risikovurdering i skolen
Upcoming SlideShare
Loading in...5
×
 

Risikovurdering i skolen

on

  • 1,362 views

Presentasjon av hvordan gjennomføre risikovurdering av skolens behandling av persondata i en digital hverdag

Presentasjon av hvordan gjennomføre risikovurdering av skolens behandling av persondata i en digital hverdag

Statistics

Views

Total Views
1,362
Views on SlideShare
1,285
Embed Views
77

Actions

Likes
0
Downloads
3
Comments
0

2 Embeds 77

http://pdl.asp-hedmark.no 76
http://moodle.asp.local 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Risikovurdering i skolen Risikovurdering i skolen Presentation Transcript

    • Risikovurdering i skolen Gardermoen 15.november 2011 Harald Torbjønsen
    • Hvorfor?
      • Stadig flere av skolens informasjonsverdier, spesielt opplysninger som kan knyttes til den enkelte elev, foreldre, lærer, leder eller administrativt ansatt, behandles ved hjelp av komplisert datautstyr og programvare.
      • Personopplysningsloven med forskrift krever at skoleeiere foretar risikovurderinger av hvordan personopplysninger behandles.
      • Veileder fra Senter for IKT - Sikker håndtering av personopplysninger i skolen.pdf
    • Lovgivningen
      • Skoleeier er rettslig forpliktet til å gjennomføre risikovurderinger.
        • Personopplysningsloven § 13
        • Personopplysningsforskriften, kapittel 2
      • Innebærer å forvisse seg om at personopplysningene til elever, ansatte, foreldre og andre er tilfredstillende sikret
      • Kan i utgangspunktet gjøres uten ekstern hjelp
    • Personopplysninger i skolen
      • All informasjon og alle vurderinger som kan knyttes til en person som vi kjenner navnet på eller som vi kan identifisere på andre måter
      • – veileder for personopplysninger i skolen
      • Eksempler:
          • navn, adresse, alder, telefonnummer og fødselsnummer er eksempler på personopplysninger.
          • elevenes karakterer, fravær, anmerkninger, faglig progresjon, spesielle undervisningsbehov, atferdsmønstre og sosiale ferdigheter
          • opplysninger om innlevering av og innholdet i elevarbeider, besvarelser på prøver og eksamener, e-postkommunikasjon og innholdet i andre former for elektroniske meldinger.
    • Personopplysninger i skolen
      • Lovverket skiller mellom sensitive og alminnelige personopplysninger.
        • Sensitive personopplysninger
          • informasjon om helse og helserelaterte forhold; om etnisk eller rasemessig bakgrunn; om politisk, religiøs eller livssynsmessig oppfatning; om seksuell legning; om strafferettslige forholdog om fagforeningsmedlemskap.
          • Strenge krav til sikring
        • Alle andre typer personopplysninger regnes som alminnelige.
          • Skal sikres tilfredsstillende
      • Skoleier er ansvarlig for personvernet!
    • Personopplysninger skal sikres mot:
      • Brudd på konfidensialiteten
        • At ikke uvedkommende for tilgang på opplysninger
      • Brudd på integriteten
        • At personopplysninger ikke endres eller slettes av uvedkommende
      • Brudd på tilgjengeligheten
        • At personopplysninger til er tilgjengelige for personer som har rettmessig behov for tilgang
    • 3 hovedfaser
      • Forberedelse
      • Gjennomføring
      • Oppsummering og etterarbeid
    • Hva skal risikovurderes?
      • Er det et IKT-system, en arbeidsprosess, bruken av ulike typer IKT-utstyr eller en bestemt tjeneste?
      • Deretter bør du gjøre tre ting:
        • Skaffe deg oversikt over hva som kan være aktuelt å risikovurdere.
        • Kategorisere og prioritere de ulike områdene (IKT-utstyr, læringsplattformer/læringsressurser, administrative systemer, trådløse nettverk, spesialundervisning, osv.).
        • Beskrive de ulike områdene som du velger ut (har høyest prioritet).
    • Sett deg inn i arbeidsverktøyene
      • Identifisering av hendelser
      • Skala for sannsynlighet
      • Skala for konsekvens
      • Konsekvensverdier
      • Risikomatrise
      • Risikovurderingsmøter
    • Forberedelse
      • Utarbeide prosjektbeskrivelse
        • Hensikt
        • Omfang i timer
        • Ressursbehov
        • Periode
      • Forankre prosjektet
        • Avgjørende for resultatet!
        • Viktig med involvering av alle ledd i organisasjonen
        • Medspillere framfor motstandere
        • Lokale rettningslinjer
    • Avgrensing og omfang
      • Viktig for å lykkes
      • Del opp i mindre og håndterlige områder
      • Prioriter områdene du ønsker å risikovurdere
    • Gjennomføring
      • Risikovurderingsmøter kan deles i 6 faser:
        • Innledning – beskrivelse av hva risikovurdering er (ca.15 min.)
        • Deltakerne presenterer seg – anledning til å stille spørsmål (ca. 15 min.)
        • Gjennomgang av risikoområdet og eksempelhendelsene i dokumentet (ca. 30 min.)
        • Deltakerne skriver ned uønskede hendelser de har erfart, hørt om eller tenkt på (ca. 20 min.)
        • Diskutere, identifisere og notere uønskede hendelser (ca. 75 min.)
        • Risikovurderingen: deltakerne angir sannsynlighets- og konsekvensverdi for hver uønsket hendelse (ca. 15 min.)
    • Fase 1: Innledningen
      • Presentasjon av prosjektet
      • 1. Hva er risikovurdering?
          • En risikovurdering er å identifisere ulike typer hendelser som kan forårsake at uvedkommende får tak i eller endrer/sletter personopplysninger, eller som kan føre til at vi ikke får tak i opplysningene. Det er å angi hvor sannsynlig det er at hendelsene skjer og hvor alvorlig konsekvensen kan bli dersom hendelsene inntreffer.
    • Fase 1: Innledningen
      • 2. Hvordan håndterer vi risiko
      • Risikohåndtering er å sette inn ulike typer tiltak, slik at vi reduserer sannsynligheten for eller konsekvensene av at en hendelse inntreffer.
      • Her vil det være snakk om fem typer tiltak:
        • Tekniske eller fysiske tiltak (skjermlås, kryptering av harddisk, låse dører).
        • Organisatoriske tiltak (rutiner for håndtering av informasjonsverdier).
        • Personellmessige tiltak (opplæring, kompetanseheving, taushetsplikt).
        • Arbeidsmetodikk og styring (kontroll med systemer, prosesser og informasjonsverdier).
        • Kjøpe seg «fri» (forsikring).
    • Fase 1: Innledningen
      • 3. Hva er en risikomatrise:
      • En risikomatrise brukes til å avgjøre hvor stor risiko deltakerne forbinder med en uønsket hendelse som kan oppstå ved bruk av IKT i skolen.
    • Fase 1: Innledningen 4. Forståelse av sannsynlighet og konsekvens Lite sannsynlig Hendelsen inntreffer sjeldnere enn hvert 5. år. Moderat sannsynlig Hendelsen kan opptre hvert 3 år. Sannsynlig Hendelsen kan opptre hvert år. Svært sannsynlig Hendelsen opptrer oftere enn hvert år. Ufarlig Hendelsen vil ikke på noen måte kunne skade elever eller andre ansatte ved skolen. Uheldig Hendelsen kan få konsekvenser av mindre omfang for elever, lærere eller andre ansatte. Eksempelvis mindre økomisk tap, tap av brukernavn passord, utilsiktet utlevering av kontaktinformasjon, publisering av bilder på internt nett uten samtykke etc. Alvorlig Hendelsen kan få betydelige konsekvenser for lærere, elever eller andre ansatte. Eksempelvis uautorisert bruk av en elevens/lærerens brukernavn/passord. Utilsiktet tilgang til og eller endring av karakterer/fravær. Etc. Kritisk Hendelsen kan føre til skade på liv og helse, alvorlig integritetskrenkelse og tap av omdømme. Eksempelvis utlevering av sensitive personopplysninger, vedvarende digital mobbing etc..
    • Fase 1: Innledningen
      • Forklar hvorfor akkurat disse deltakerne ble invitert til møtet (forklaringen vil vanligvis være at deltakerne har særlig erfaring med det systemet eller den arbeidsprosessen som skal risikovurderes).
      • Understrek at alle forslag til uønskede hendelser har betydning. Understrek også at det kan være vanskelig å vurdere hvor sannsynlig og skadelig en hendelse er, men at deltakerne bør følge «magefølelsen» hvis de er usikre.
    • Fase 2: Presentasjonsrunde
      • Deltakerne presenterer seg
      • Tilbakemeldinger på innkalling, eksempler og beskrivelser
      • Er deltakerne i riktig modus?
    • Fase 3: Gjennomgang av områder
      • Gjennomgang av beskrivelsen for området som skal risikovurderes.
      • Utgangspunkt i tilsendt materiale
      • Vær tydelig på avgrensningene
      • Prøv dialog rundt tilsendte eksempler
      • Har deltakerne en fellesforståelse av området som skal vurderes?
    • Fase 4: Deltakerne tenker…
      • Skrive ned uønskede hendelser som kan skje
        • Opplevde, tenkte eller hørt om
        • Ingen forslag for dumme!
        • Ingen trenger å presentere sine forslag
    • Fase 5: Identifisering av uønskede hendelser
      • Diskutere og avdekke så mange uønskede hendelser som mulig.
        • Trenger ikke være erfaringsbasert
        • Kan være tenkte eller hypotetiske
      • Det avgjørende er ikke om hendelsen har skjedd, men om den kan skje!
        • Notere på tavle el.
        • Ikke vurdere – bare avdekke
    • Eksempler
      • Uvedkommende får tilgang til personopplysninger fordi kontaktlærer skriver ned elevenes brukernavn og passord på en liste som oppbevares i klasserommet.
      • Personopplysninger går tapt fordi lærerne bruker sine private e-postkontoer, for eksempel gmail eller Hotmail, for mellomlagring av dokumenter og notater.
      • En elev får tilgang til klassekameratens konto på lærings- plattformen og bruker tilgangen til å sende elektroniske meldinger i klassekameratens navn (identitetstyveri).
      • Det skoleadministrative systemet «er nede» når vitnemål skal skrives ut.
    • Fase 6: Sannsynlighet og konsekvens
      • Vurdere hendelsenes sannsynlighet og konsekvens.
        • Edruelig og realistisk.
        • Individuell vurdering ut i fra egen bakgrunn og erfaring
        • Ikke samarbeide
      • Oppgi tallverdier for sannsynlighet og konsekvens
        • Utdeling av beskrivelsen for sannsynlighet og konsekvens
        • Eks 3 / 4 der 3 er sannsynlig og 4 er kritisk
    • Eksempel på risikovurdering
    • Eksempel på referat
    • Eksempel på referat
    • Risikomatrise
    • Gjennomsnittsverdier og risikofaktorer
    • Enda et eksempel
    • Del 3: Oppsummering og etterarbeid
      • Utarbeide risikorapport
      • Kvalitetssikre innholdet i rapporten
      • Formidle konklusjoner og anbefalinger
    • Risikorapporten
      • Referatene danner grunnlag for rapporten
      • 3 nye element kommer inn:
        • Hver uønsket hendelse gis en kort forklaring
        • Risikofaktor regnes ut
        • Oppsummering og forslag til tiltak
    • Eksempel på beskrivelse av risikofaktorer
    • Eksempel på tiltak
    • Videre etterarbeid
      • Kvalitetssikre rapporten
        • Rapporten på høring til deltakerne
        • Utfordre dem til å komme med innspill
      • Formidle konklusjoner og anbefalinger
        • Finn din løsning
        • Viktig at rektor, skoleeier/oppdragsgiver får rapporten
      • Skoleeier prioriterer tiltak.
    • Hva så da???
      • Gjentas jevnlig
      • Gjennomgang av tidligere identifiserte hendelser
      • Eventuelt fjerne dem fra listene
      • Identifisere nye hendelser og vurdere dem
      • Tidligere sikringstiltak gjennomgås for å vurdere effekten
      • Kontinuerlig forbedringsprosess!
    • Risikovurdering av IKT i skolen
      • Gjør skolen bedre rustet til å utnytte IKT i hverdagen!
      • Øker tilliten til at skolen forvalter sine informasjonsverdier på en lovmessig og betryggende måte
      http://iktsenteret.no/veiledning-om-informasjonssikkerhet-og-personvern-i-skolen http://www.slideshare.net/hator