Harestad skole er en av de heldige vinnerne av Datatilsynet satsingsområde denne høsten – stedlig kontroll av skoler. Og nei, det er ikke ironi – vi synes faktisk det er spennende å få besøk av Datatilsynet og bli kikket litt i kortene.

Selvfølgelig er det også stress å få dem på besøk. De har en interessant list med dokumenter de vil ha inn før kontrollen – og det er ikke til å stikke under en stol at det var mange av disse dokumentene vi ikke hadde helt på plass!

Her er listen…

  • Styrende dokumenter for internkontroll, jf. personopplysningsloven §14 og forskriften kapittel 3 (herunder oversikt over behandlinger av personopplysninger, rettslig grunnlag for behandlingene, ansvarsplassering, identifiserte plikter, oversikt over etablerte rutiner, hvordan følges rutinene opp).
  • Styrende dokumenter for informasjonssikkerhet, jf. personopplysningsloven §13 og forskriften kapittel 2.
  • Risikovurdering av skoleadministrativt system (SAS) og læringsplattform (LMS).
  • Oversikt over informasjonssystemenes utforming
    1. Konfigurasjons- eller systemkart.
    2. Beskrivelse av skoleadministrativt system (SAS).
    3. Beskrivelse av læringsplattform (LMS).
    4. Oversikt over digitale læringsressurser som brukes av skolen (f.eks. Kikora, Salaby, Kartleggeren, etc.).
    5. Oversikt over andre nettressurser som brukes av skolen (f.eks. Dropbox, Google Drive, Facebook, bloggsteder, etc.).
    6. Beskrivelse av tilgangsstyring i løsningene nevnt i 2), 3), 4) og 5).
  • Beskrivelse av dataflyt mellom skoleadministrativt system, læringsplattform og evt. andre systemer.
  • Oversikt over hvor elevopplysninger blir utlevert (f.eks. SSB, UDIR, Fylkeskommunen, forskning, etc.).
  • Databehandleravtale med leverandør av læringsplattform, skoleadmnistrativt system og evt. andre systemer.

Pjuh… det ble 26 vedlegg i eposten til Datatilsynet. Kan de ha det så godt når de må lese dem :-)

Vi har bestemt oss for å være ærlige. Det koster oss lite å si hvor vi har gode rutiner og hvor vi ikke har det. Den siste uken har gått med på å skrive ned alle de rutinene vi faktisk har, men som vi aldri har skrevet ned før. Vi kommer til å feile totalt ift personoppysningloven (med forskrifter) med at vi ikke har hatt systemiske gjennomganger av disse dokumentene (som vi ikke har skrevet før nå ;-) – og hvor vi også skulle ha ført referat. Vi kan bare bli bedre – og dette er slett ikke dumt å bli bedre på.

I prosessen med å lage internkontrolldokumenter for de ulike systemene på Harestad skole har jeg oppdaget flere ting jeg nå tenker at jeg burde gjøre noe med eller vite mer om…

  • Skolesystemet med alle sine linuxservere, nettverket og ulike tjenester – her vet vi mye og vi er flinke å dokumentere hva vi gjør og holder på med. Men – vi kan alltid bli bedre og det er ting jeg for første gang har tenkt og skrevet i internkontrolldokumentet om skolesystemet. Burde vi bruke penger og få på plass ordentlig nødstrøm?
  • IOP-tjeneren – dette er vår egen løsning for å bli kvitt minnepinnene og sikre at det bare finnes en digital utgave av en IOP til en elev. Skal vi ha granulert tilgangskontroll slik at de ansatte bare har «need to know»-tilgang til enhver tid?
  • Visma FLYT skole – det skoleadministrative systemet, som er en skytjeneste. Plutselig begynte jeg å tenke på at jeg faktisk ikke vet noe som helst om hvordan Visma sikrer dataene. Jeg bare antar at de har gode redundansløsninger og sikkerhetskopier – og hvem har egentlig tilgang til elevinformasjonen vår hos Visma. Har hele Visma support tilgang til enhver tid? Ikke det at jeg tror vondt om det – det gjør jeg ikke – men jeg kan heller ikke si at jeg vet at Visma gjør dette på en ordentlig måte. Jeg bare regner med det.
  • Google Apps for Education – som på en eller annen måte alltid virker som en het potet, hvis neste setning inneholder ordet «Datatilsynet». Her har vi så god kontroll som vi kan ha – og jeg vet mer om hvordan Google gjør tingene sine enn hvordan Visma gjør det (eller for den saks skyld Conexus – hvor vi har VOKAL og PULS).
  • De fysiske elevmappene – skal en ikke skal kimse av. Hva havner i dem og hvor blir det av – og hvordan kom de dit? Og hva ville skjedd om hele elevarkivet brant opp – eller ble utsatt for store vannmengder? Og hvem har egentlig tilgang og hvordan kan du være sikker på det?

Jeg har allerede gjort endringer i deler av systemene våre etter å ha skrevet internkontroll dokumentene (har skrudd på en «Angre»-funksjon når du sender epost i Google Apps!). Jeg har også kommet på mange andre kilder til elevdata som jeg aldri har tenkt over at vi har! Det nytter ikke å si at dette ikke har vært nyttig – så ja, vi må gjøre dette årlig!

En ting jeg er lurer på er om det overhode finnes skoler som har så godt som perfekt orden på alt dette papir-/rutinearbeidet. En ting å ha noen generelle fraser om informasjonssikkerhet på kommunenivå – men hvordan er det på den enkelte skole? Det er kanskje det Datatilsynet vil finne ut…

Uansett – torsdag 17. oktober 2013 kl. 09:00 braker det løs!

En kommentar til “Olav, Datatilsynet kjem!

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Dette nettstedet bruker Akismet for å redusere spam. Lær om hvordan dine kommentar-data prosesseres.