Stig Nissen, daglig leder i Mpluss IT som leverer tjenesten Kompetansia, forteller at leverandørerklæringen i Feide kundeportal har effektivisert prosessen med å få ut informasjon om informasjonssikkerhet og personvern i tjenesten deres.
– Tidligere måtte vi fylle ut omfattende og detaljerte spørreskjema fra kommuner, og det kunne være en krevende oppgave. Med leverandørerklæringen gjør vi den samme jobben bare én gang. Selv om erklæringen må holdes oppdatert, er dette en langt mindre arbeidskrevende oppgave enn å fylle ut nye skjema hver gang, sier Nissen.
Leverandørerklæringen skal gjøre det enklere for vertsorganisasjoner å ta i bruk nye digitale tjenester i Feide kundeportal, og gjøre det enklere for tjenesteleverandører å dele informasjon om tjenestene sine.
Trenger bare å registrere informasjonen én gang
Erklæringen er et sett med standardspørsmål om informasjonssikkerhet og personvern som tjenesteleverandører svarer på. Dette kan vertsorganisasjoner bruke som underlag i sin risiko- og sårbarhetsvurdering.
På denne måten trenger tjenesteleverandørene bare registrere informasjonen om sin tjeneste én gang, og slipper å sende ut dette til hver enkelt vertsorganisasjon.
Gir mer tid til å videreutvikle tjenester
Nissen forteller at erklæringen senker terskelen for å ta i bruk tjenesten deres.
– Fordelen med leverandørerklæringen er at den kan bidra til å effektivisere risikovurderingsprosessen og dermed senke barrieren for å ta i bruk vårt nye produkt for lesekartlegging.
En annen positiv bieffekt er at Nissen kan bruke mer tid på å utvikle tjenesten sin, og mindre på administrativt arbeid.
– Ved å fylle ut erklæringen én gang kan vi unngå gjentatte spørreskjemaer og bruke mindre tid på administrativt arbeid. Dette lar oss fokusere mer på å levere en kvalitetsløsning til våre brukere.
Leverandørerklæringen sparer tid og ressurser
– Hva vil du si til andre tjenesteleverandører som vurderer å ta i bruk leverandørerklæringen?
– Jeg vil oppfordre andre tjenesteleverandører til å vurdere å bruke leverandørerklæringen. Det gir en mulighet til å rasjonalisere arbeidet og spare tid og ressurser. Når flere begynner å bruke erklæringen, vil den sannsynligvis også bli mer aktivt utnyttet av brukerne. Dette er absolutt en vinn-vinn-situasjon, avslutter Nissen.
Behov for sentralisert organ
Ellers mener Nissen at det ikke er rasjonelt at hver behandlingsansvarlig skal gjøre sin egen risikovurdering for hver enkelt app de tar i bruk:
– Vi bør vurdere å implementere et sentralisert organ i skolesektoren, lignende NEMKO for risikovurderinger av elektriske apparater. Dette vil øke effektiviteten, kvaliteten og samarbeidet innen personvern og sikkerhet, og beskytte personopplysninger i tråd med personvernforordningen (GDPR). Vi bør også merke oss at nasjonale myndigheter kan vurdere alternative tilnærminger for å støtte skolesektoren med risikovurderinger, basert på nasjonale behov og forhold. Den nåværende ordningen kan være en hindring for skolene i å ta i bruk nye applikasjoner på grunn av langvarige godkjenningsprosesser og ressurskrav.
Hva skjer fremover?
Et sentralisert organ er noe som flere i sektoren etterspør. Frem til en slik ordning er etablert, jobber vi i Sikt aktivt for å gjøre det enklere og mer effektivt å ta i bruk digitale tjenester i Feide kundeportal. Leverandørerklæringen er den første leveransen i det pågående arbeidet. Les mer om prosjektet i sin helhet her.
I tråd med den nye digitaliseringsstrategien skal det gjøres en utredning av hvordan det best kan etableres en eller flere felles støttetjenester for ivaretakelse av personvern, informasjonssikkerhet og universell utforming for, digitale læremidler og læringsressurser innen barnehage- og skolesektoren.