HVA?
En innledende vurdering er en overordnet vurdering om hvorvidt en bør gå videre med ordinær prosess for å vurdere hvorvidt en digital tjeneste ivaretar personvernet og informasjonssikkerheten.

HVORFOR?
Det er tidkrevende å gjennomføre gode vurderinger for en digital tjeneste. Den innledende vurderingen skal bidra til å avklare tidlig hvorvidt en digital tjeneste bør tas i bruk, og dermed hvorvidt det er behov for å gjennomføre alle vurderingene.

HVORDAN?

1. Lærer eller den som ønsker å bestille tjenesten fyller ut malen «Informasjon om digital ressurs og ønsket bruk (for lærere)» i verktøykassen under. Malen deles med IKT-ansvarlig eller den som har ansvar for innkjøp av digitale tjenester på skolen. I noen kommuner er dette lagt til IKT-samarbeid eller andre interkommunale samarbeid/selskaper.
2. IKT-ansvarlig eller IT-avdelingen fyller ut malen «Innledende vurderinger (for IKT-ansvarlig)» for å gjøre en teknisk kvalitetssikring av tjenesten, og hvorvidt en bør gå videre med ordinær prosess.

Verktøykasse

Mal: Informasjon om digital ressurs og ønsket bruk (for lærere) Mal: Innledende vurderinger (for IKT-ansvarlig)

HVA?
En risikovurdering er et verktøy for å identifisere uønskede hendelser og risikoen for at disse skal inntreffe. En uønsket hendelse kan for eksempel være at personopplysninger enten er tilgjengelige for uvedkommende (brudd på konfidensialiteten), kan endres eller slettes utilsiktet eller av uvedkommende (brudd på integriteten), eller at de ikke er tilgjengelige i det hele tatt (brudd på tilgjengeligheten). Risiko består av sannsynligheten for at en uønsket hendelse kan skje og konsekvensen en uønsket hendelse vil ha.

HVORFOR?
Risikovurderinger gir kunnskap om hvilke uønskede hendelser som kan inntreffe, og hvordan man kan sikre personopplysninger på en god måte.

HVORDAN?
Før gjennomføringen av en risikovurdering må man innhente informasjon om løsningen som skal tas i bruk. I verktøykassen finner du en mal for hvilke informasjon som kan være nyttig å innhente som del av forberedelsene.

En risikovurdering har normalt fire steg:

1. Identifiser uønskede hendelser
2. Vurder sannsynligheten for at hver uønsket hendelse kan skje
3. Vurder konsekvensen hver uønsket hendelse vil ha
4. Iverksett risikoreduserende tiltak ved behov.

Vi anbefaler å bruke malen som du finner i verktøykassen. Dersom din kommune har egen mal bør du bruke denne. I verktøykassen finner du også videoleksjoner som forklarer hva personopplysningssikkerhet er og hvordan man gjennomfører en risikovurdering.

I verktøykassen finner du også Utdanningsdirektoratet og Digitaliseringsdirektoratet sine veiledere for gjennomføring av risikovurdering.

Verktøykasse

Videoleksjon: Personopplysningssikkerhet Videoleksjon: Risikovurdering av personopplysningssikkerheten Mal: Forberedelser til ROS Mal: Risikovurdering Veileder: risikovurderinger (Utdanningsdirektoratet) Veileder: risikovurderinger (Digitaliseringsdirektoratet)

HVA?
En vurdering av personvernkonsekvenser (DPIA) skal beskrive hvilke personopplysninger som behandles og hvordan de behandles, og vurdere om den er nødvendig og rimelig i forhold til formålet med behandlingen. Den skal også vurdere og redusere risiko behandlingen medfører for enkeltpersoners friheter og rettigheter.

HVORFOR?
Vurderingen av personvernkonsekvenser (DPIA) skal sikre at personvernet til de som er registrert i løsningen blir ivaretatt.

HVORDAN?
En vurdering av personvernkonsekvenser (DPIA) har normalt fire steg:

1. En systematisk beskrivelse av de planlagte behandlingsaktivitetene og formålene med behandlingen
2. En vurdering av om behandlingsaktivitetene er nødvendige og står i et rimelig forhold til formålene
3. En vurdering av risikoene for de registrertes rettigheter og friheter, og de planlagte tiltakene for å håndtere risikoene og for å påvise at personvernforordningen overholdes
4. Presentasjon av funn for ledelsen og ledelsens validering

Vi anbefaler å bruke malen som du finner i verktøykassen. Dersom din kommune har egen mal bør du bruke denne. I verktøykassen finner du også et eksempel på en vurdering av personvernkonsekvenser for et oppvekstadministrativt system (Dummy-DPIA).

Verktøykassen har også en videoleksjon som forklarer hva en vurdering av personvernkonsekvenser (DPIA) er. I tillegg finner du også Datatilsynets veileder for gjennomføring av vurdering av personvernkonsekvenser.

Verktøykasse

Videoleksjon: Vurdering av personvernkonsekvenser Mal: Vurdering av personvernkonsekvenser Eksempel: Dummy-DPIA Veileder: Vurdering av personvernkonsekvenser (Datatilsynet)

HVA?
En databehandleravtale er en avtale mellom databehandler og behandlingsansvarlig om hvordan personopplysninger skal behandles. Databehandler er den som behandler personopplysninger på vegne av behandlingsansvarlig, eksempelvis en løsningsleverandør. Behandlingsansvarlig er den som bestemmer formålet og hvilke løsning som skal brukes, eksempelvis øverste leder i en virksomhet.

HVORFOR?
Databehandleravtalen skal sikre at personopplysningene blir behandles i samsvar med personopplysningsloven og setter en klar ramme for hvordan databehandleren kan behandle personopplysningene.

HVORDAN?
En databehandleravtale må beskrive selve behandlingen, den behandlingsansvarliges plikter og rettigheter, samt databehandlerens forpliktelser. Avtalen skal beskrive dette på en klar og tydelige måte slik at det er klare rammer for hva databehandleren kan gjøre med personopplysningene.

Vi anbefaler å bruke malen som du finner i verktøykassen. Dersom din kommune har egen mal bør du bruke denne. I verktøykassen finner du også en videoleksjon som forklarer hva databehandlere og databehandleravtaler er.

I verktøykassen finner du også Datatilsynets veileder for inngåelse av databehandleravtaler.

Verktøykasse

Videoleksjon: Databehandlere og databehandleravtale Mal: Databehandleravtale Veileder: Databehandleravtaler (Datatilsynet)

HVA?
Alle virksomheter som behandler personopplysninger, skal føre en protokoll over behandlingsaktivitetene de har ansvar for. Behandlingsaktiviteter innebærer all bruk av personopplysninger, slik som innsamling, registrering, sammenstilling, lagring og utlevering, eller en kombinasjon av slike bruksmåter.

HVORFOR?
Behandlingsprotokollen skal dokumentere og gi oversikt over hvilke personopplysninger som behandles i virksomheten.

HVORDAN?
Det er ikke noen formkrav til hvordan protokollen skal føres, eller hva slags verktøy som skal benyttes. Man må imidlertid passe på at de kravene som stilles til innhold er dokumentert i en skriftlig og elektronisk tilgjengelig oversikt.

Vi anbefaler å bruke malen som du finner i verktøykassen. Dersom din kommune har egen mal eller en annen løsning bør du bruke denne. I verktøykassen finner du også en videoleksjon som forklarer hva en behandlingsprotokoll er.

I verktøykassen finner du også Datatilsynets veileder for behandlingsprotokoll.

Verktøykasse

Videoleksjon: Behandlingsprotokoll Mal: Behandlingsprotokoll Veileder: Behandlingsprotkoll

Avvikshåndtering

HVA?
Dersom du representerer en behandlingsansvarlig sin virksomhet skal du rapportere inn brudd på personopplysningssikkerheten (avvik) så snart som mulig etter at bruddet er oppdaget, og senest innen 72 timer.

HVORFOR?
Avvik skal meldes for å dokumentere at den behandlingsansvarlige har etterlevd pliktene sine og som en del av det systematiske sikkerhetsarbeidet i en virksomhet.

HVORDAN?
Dersom du oppdager et avvik må du stille deg følgende spørsmål:

1. Er personopplysninger omfattet av bruddet?
2. Innebærer sikkerhetsbruddet en risiko for enkeltpersoners rettigheter og friheter?
3. Er det nødvendig å melde til Datatilsynet?
4. Er det nødvendig å informere de berørte?

Brudd på personopplysningssikkerheten skal alltid håndteres internt. Dersom det ikke meldes til Datatilsynet eller at de berørte ikke varsles, skal det begrunnes i en intern rapport i egen virksomhet.

Datatilsynet har laget en egen mal og veileder for hvordan melde brudd på personopplysningssikkerheten. Du finner disse i verktøykassen.

Der finner du også en videoleksjon som forklarer hva brudd på personopplysningssikkerheten (avvik) er og når det skal meldes.

Verktøykasse

Videoleksjon: Brudd på personopplysningssikkerheten Mal: Hvordan melde brudd på personopplysningssikkerheten? (Datatilsynet) Veileder: Brudd på personopplysningssikkerheten (Datatilsynet)

Tilgangsstyring

HVA?
Tilgangsstyring er et sett med regler for å styre hvem som skal ha tilgang til hvilke opplysninger eller løsninger.

HVORFOR?
Tilgangsstyring har som formål å gi personell med tjenstlig behov tilgang til opplysninger eller løsninger, samtidig som uautoriserte blir hindret tilgang til opplysninger eller løsninger.

HVORDAN?
God tilgangsstyring handler i all hovedsak om tre ting:

1. Autorisering: Innebærer tildeling av rettigheter for å lese, registrere, redigere, rette, slette eller sperre personopplysninger. Autorisasjon skal bare gis i den grad det er nødvendig ut ifra tjenstlig behov. Når en ansatt ikke lenger har tjenstlig behov skal autorisasjonen deaktiveres.
2. Autentisering: Prosessen som gjennomføres for å bekrefte en påstått identitet. Autoriserte personer skal tildeles autentiseringsfaktorer for å bekrefte sin identitet før tilgang til opplysninger eller løsninger gis. Eksempler på autentiseringsfaktorer er brukernavn og passord, to-faktor autentisering (brukernavn og passord kombinert med SMS-kode eller annen bekreftelse) og elektronisk identitetsbevis (Bank ID eller lignende).
3. Kontroll av tilganger: Påse at det jevnlig føres kontroll av hvem som har hatt elektronisk tilgang. Gjennomgang og kontroll av tilganger skal foretas:

• Ved organisasjonsendringer, overflytting av personell til en annen enhet eller endring av arbeidsområde
• Minimum årlig (gjerne i forbindelse med sikkerhetsrevisjon)
• Ved sikkerhetsbrudd

Det finnes ingen generell veileder eller tilpasset veileder for skolesektoren, men helsesektoren har utviklet en god veileder til inspirasjon. Se verktøykassen under.

Verktøykasse

Veileder: Tilgangsstyring (Normen)