Prosjekt: Risikovurdering og databehandleravtale (ROS og DBA)

Prosjektet ROS (risikovurdering) og DBA (databehandleravtale) har som mål å gjøre det enklere for vertsorganisasjoner å ta i bruk nye digitale tjenester i Feide. 

Det har lenge vært et behov i sektoren for å finne enklere måter å gjøre risikovurderinger. Nå er risikovurderinger både tidkrevende og vanskelige å gjøre. Vertsorganisasjonene opplever også at de gjør dobbeltarbeid fordi alle gjør det samme.

Målet er å gjøre det enklere for både vertsorganisasjoner og tjenesteleverandører å gjennomføre en risikovurdering og databehandleravtale.

Hvilke forbedringer er gjort?

Leverandørerklæring for informasjonssikkerhet og personvern

Leverandørerklæring for informasjonssikkerhet og personvern er et sett med standardspørsmål som tjenesteleverandører skal svare på. Denne leverandørerklæringen finner dere i kundeportalen til Feide under fanen "informasjonssikkerhet og personvern" på tjenesten.

Tjenesteleverandørene svarer på spørsmålene i leverandørerklæringen én gang og alle vertsorganisasjonene kan se den samme leverandørerklæringen. Dette gjør det enklere for vertsorganisasjonene når de skal vurdere og gjennomføre risikovurderingen.

Vertsorganisasjonene må selv vurdere om informasjonen tjenesteleverandørene oppgir i leverandørerklæringen faktisk er riktig. 

Risikogrunnlag

Risikogrunnlaget i kundeportalen til Feide er et hjelpemiddel som vertsorganisasjonene kan bruke når de skal risikovurdere tjenester.

Risikogrunnlaget er en samling av risikoer knyttet til en spesifikk tjeneste. Risikoene er lagt til av en utvalgt gruppe vertsorganisasjoner. 

Slik bruker dere risikogrunnlaget til å gjøre risikovurderinger.

Veien videre

Nedenfor finner du mer informasjon om hver enkelt oppgave som vi skal jobbe med fremover. 

Databehandleravtale (DBA)

Alle tjenester som behandler personopplysninger, må ha en databehandleravtale mellom databehandler (tjenesteleverandør) og behandlingsansvarlig (vertsorganisasjon). Dette kan være en tidkrevende prosess.

I dag har kundeportalen støtte for å laste opp mal for databehandleravtale for en tjeneste, og en standard mal for databehandleravtale fra DFØ for vertsorganisasjoner. Vi vet at det er et stort behov fra sektoren å støtte opp denne prosessen enda mer.

Vi kommer til å se på og prøve ut muligheten for autogenerert innhold til en databehandleravtale.

Hvordan har vi jobbet med prosjektet?

Hvem har vi snakket med?

Det har vært viktig for oss å involvere både små og store vertsorganisasjoner og kommuner i flere områder i landet. Rollene til de vi har snakket med inkludert for eksempel Feide-administratorer, rektorer og ansvarlige for informasjonssikkerhet.

Vi har også hatt samtaler med tjenesteleverandører for å forstå og inkludere perspektivene deres.

Hovedfunn fra vertsorganisasjonene

Ut fra samtalene vi hadde med de ulike vertsorganisasjonene, ser vi at de opplever det som vanskelig og tidkrevende å vurdere en tjeneste. Hovedfunnene våre kan oppsummeres i disse punktene:

  • Det mangler jevnt over kompetanse og kapasitet på området personvern og informasjonssikkerhet.
  • Mange, både store og små kommuner, opplever at det er vanskelig å gå gjennom en databehandleravtale (DBA) og forstå hva som står der.
  • Noen sentralt må gjøre de vanskelige vurderingene (knyttet til personvern). Det er ansvarsfraskrivelse fra sentralt hold. Kommunene føler de trenger noen sentralt til å "godkjenne" tjenester/databehandleravtale (DBA).
  • Skolene kan bli skeptisk til å igangsette bestillinger fordi det er så mye som må være på plass i forbindelse med databehandleravtale (DBA) og risikovurderinger (ROS).
  • Ikke alle leverandører er like gode på å opplyse om hvilke data de henter, og noe av det mest frustrerende kan være dialogen med leverandøren i forbindelse med databehandleravtale (DBA).

Hovedfunn fra tjenesteleverandørene

Hovedfunnene fra samtalene våre med tjenesteleverandører kan oppsummeres slik:

  • Enkelte spørsmål som oppstår rundt databehandleravtaler (DBA) kunne vært strømlinjeformet for å gjøre prosessen smidigere, særlig i forbindelse med erstatningskrav og underleverandører.
  • Leverandører kan bruke svært mye tid og ressurser på å svare opp på spørsmål som kommunene kanskje egentlig ikke trenger å vite svaret på, og mange spør om veldig mye av det samme knyttet til risikovurderinger (ROS).
  • Mange små kommuner har ikke kapasitet eller kompetanse på personvern og informasjonssikkerhet. De kopierer derfor spørsmål fra større kommuner og sender til leverandørene.

Hvem samarbeider om prosjektet?

Prosjektet er et samarbeid mellom Sikt og Utdanningsdirektoratet.