7. www.iktsenteret.no
Feide, personvern og internkontroll
• ”digitalt
internkontrollsystem
innkjøpt etter tilsyn i
skolen”.
• ....skolen får avvik av
datatilsynet flere år etterpå
for ikke å bruke
internkontrollsystemet...
Feide og informasjonssikkerhet henger tett sammen.
Det er imidlertid ikke slik at alle brukere, skoleeiere, driftsmiljøer og tjenesteleverandører nødvendigvis er observante på den sammenhengen
Dette er en situasjon vi ofte opplever i samtale med skoleeiere. Og Ja, dessverre kan det være grunn til å stille dette spørsmålet. Her er noen eksempler
K06
En kode i hode - Out-put
SAML2.0 og SSO
Passordpolicy lokalt, passord sendes ikke til tjenestene
Enkel passordbytte
Tilganger åpnes og termineres ved administrering av kildesystemet.
Ved ID-tyveri byttes passord en gang og er automatisk synket til alle tilganger.
Feide standardiserer bruken av IKT på skolen, gjennom å kreve gode IKT-reglement
Feide sin hovedoppgave er å ivareta personvernet til brukerne ved innlogging og ved behandling lokalt hos skoleeier. Feide er et rammeverk for behandling av personopplysninger hos skoleeier. Et hjelpemiddel for å gjøre jobben enklere for skoleeier.
Feide er IDENTITETSFORVALTNING sikrerer personvernet til brukerne i skolen
Feide påpeker at det er skoleeier som er ansvarlig for at personvernet blir ivaretatt på en ordentlig måte også i et digitalt landskap.
Feide gir konsistente og oppdaterte data hos skoleeier.
Feide setter skoleeier i stand til å kunne dokumenter behandlingen av persondata i skolene.
Feide sikrer at det er rett bruker med rett tilgang til riktig tid som logger inn i en ressurs.
Feide krever gode rutiner for behandling av persondata lokalt.
kartlegging og datavask av personopplysninger for godkjenning.
Feide stiller krav om IKT-reglement, som igjen er en del av skolens ordensreglement, som igjen er en lokal forskrift. Slik at brukerne, skoleeier, skolen og foreldre vet om sine rettigheter og plikter forbundet til bruk av IKT.
Feide er teknologi og plattform uavhengig. tTydelig rammeverk for hvordan et BrukerAdministrativt System, BAS eller IDM skal fungere i norsk skole. Feide stiller klare krav til oppsett av kataloger, overføring av data og attributtsett. Tekniske løsninger må tilfredsstille Feide sin krav til den tekniske løsningen. Det gjelder lokalt i hos skoleeier, til BAS/IDM løsning og i tjenestene.
Feide er ikke noe man drifter ved leilighet. Brukerne skal vite hvor de får hjelp, brukerne skal vite hva de gjør noe innloggingen ikke fungere som den skal.
1. bytt passord
2. meld feilen. Elever til lærere, lærere til support, eventuelt både elever og lærere til support.
Feide er en godkjenningsordning, dere få et godkjentstempel der og da på at rutiner er gode, reglement for bruk er godt og tekniske løsningene er gode.
Likevel er det ikke sikkert at tilstanden er slik når det er gått ett år. Fordi Feide må forvaltes!!
BAS har som oppgave å holde på persondata knytte til en bruker og oppdatere og vedlikeholde data om brukeren. BASet skal også sende relevante data videre til definerte kataloger/systemer via standardiserte konnketorer.
Hvordan øker så Feide informasjonssikkerheten?
Rutiner og regelverk må ligge i internkontrollen og ansvar må være delegert. Og dem må være håndtert av skole og ikke IT. Kun skole har forutsetninger til å vite om rutiner må revideres osv. Selvfølgelig i samspill med IT.
Oppfølging av rutiner
ansvarsforhold,
kildsystem,
BAS
bestilling,
tilrettelegging,
feilsøking
Gjennom Feideinnføringen, rutinene og IKT-reglementet fører Feide til økt kompetanse på personvern Skoleledere
Gjennom egne samlinger for administratorer i Feide setter vi fokus på bruk av Feide. Pedagogisk og administrativt. Men også på behovet for risikovurderinger og databehandleravtaler. Feide gir god oversikt over hva du sender fra deg, men ikke hvordan en tjenesten behandler dataene fra deg.
Feide sin innsynstjeneste og Feide sin kundeportal gir muligheter for:
Tilrettelegging for SSO
Kvalitetssjekk av LDAP –katalog
Oversikt over persondata
Statistikk
Feide justeres etter når behovene tilsier at det er nødvendig. 15oktober 2015 var sist gang det var nødvendig. Vi ønsker å gjøre det så sjelden som mulig, men av og til må det likevel gjøres. Da er det viktig at alle godkjente Feide vertsorganisasjoner, altså skoleeiere så raskt som mulig oppgraderer sine BAS/IDM –løsninger. Når mange nok gjør det vil tjenestene kunne tilby bedre og sikrer tjenester basert på siste versjon av Feide.
En av de tingene som ble aktualisert og som gjorde det nødvendig med å en skjemaendring for Feide, var kravet til høyere nivå sikkerhet på innlogging. Krav til sterk autentisering på innlogging til webtjenester med store mengder persondata.
Dette er blitt relativt vanlig ellers i samfunnet. Lærerne er vant til det fra hjemmebane. Derfor anser vi det som viktig at Feide også kan brukes med sterk autentisering når skoleeier har definert det som nødvendig. Her skiller Feide seg fra Google og Microsoft, hvor brukeren selv definere om det er nødvendig. I skolen er det arbeidsgiver og skoleeier som definerer nødvendigheten
Skoleeier kan tilby Feide med tofaktor
Kun for lærere og andre ansatte
Nasjonalløsning
Brukernavn og passord + tilleggsfaktor
SMS,
Godkjennerklient basert på (Google Authenticator)
ID-porten (i prod ved første bestilling)
Anbefales ikke i nåværende form
Først og fremst er det datatilsynet sine avvik på innlogging inn mot LMS og webaserte SAS som har trigget dette. Datatilsynet
Har pålagt høyere sikkerhet på innlogging fra eksterne nett og elevnett.
Risikovurderinger
Vurderingsverktøy, kartleggingsverktøy + +
SAS og LMS osv
norEduPersonServiceAuthnLevel
Registrering av eventuelle enkelt tjenester?
Registrering av alle tjenester?
norEduPersonAuthn Method
Hvilken to-faktormetode skal brukerne benytte?
Vi driver utstrakt erfaringsdeling gjennom administratorsamlingene vi har i løpet av året. I forhold til sterk autentisering jobber vi tett inn mot noen av kommunene som har fått avvik på dette fra datatilsynet, slik at vi kan gi råd til andre om hvordan gå fram.
For sterk autentisering er en viktig suksessfaktor å bruke god tid på forberedelse, innsalg og testing slik at det blir en relevant og god løsning som blir implementert.
Mye skal tenkes på.
Kompensasjon?
Privat telefon?
Kodeklient?
Distribuering
Sertifisering av utstedere? – når? hvor?
Obligatorisk å registrere informasjon om elevers og læreres tilhørighet i basisgrupper/klasser og undervisningsgrupper i LDAP
Brukes /brukt til Grep
Dynamisk bygging av grupper og medlemskap i grupper ved innlogging på tjenestene.
Gruppetyper
B – Basisgrupper/klasser
U – Undervisningsgrupper/faggrupper
A – Andre grupper
Rutineelementer
Opprettelse
Endring
Sletting
Nytt skoleår
Digitaliserer behandlingen av persondata!
Ett kildesystem
Enkel passordløsning
Passord tilpasset bruk
Standardiserte rutiner
Sikker innlogging
Ressurskontroll
Verktøy for statistikk
Standardisert IKT-reglement