Skoleleder

Publisert: 03.12.2021

For deg som er rektor, assisterende rektor, undervisningsinspektør eller annen rolle ved skole og har fått delegert behandlingsansvar for forvalting av digitale ressurser ved din skole.

I denne videleksjonen vil du få innblikk i sentrale begreper og formuleringer som brukes i personvern og informasjonssikehetsarbeid.

Introduksjon til videoleksjonene

Denne videoen gir en introduksjon til videoleksjonene. Her ser vi også på hvordan videoleksjonene henger sammen, og gir noen tips og råd til hva du bør gjøre etter at du har sett selve videoene. Start gjerne med å se denne videoen først.
Sentrale begreper

Personvernforordningen bruker en del begreper som er viktig å kjenne til. Disse begrepene brukes også i videoleksjonene, så det kan være lurt å se over denne leksjonen før du ser de andre.

Oppgaver

Fyll ut begrepslisten med dine egne notater
Last ned begrepslisten her
Treningsportalen

Personopplysninger Sensitive personopplysninger Lokaliseringsdata Behandling Viktige roller

Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Personvernprinsippene
Personvernprinsippene utgjør grunnmuren i personvernforordningen. Behandlingsansvarlig må sikre at alle prinsippene følges, og de må kunne påvise at prinsippene overholdes. I videoleksjonen gjennomgår vi de seks personvernprinsippene.
Oppgaver
- Sjekk at skolen etterlever personvernprinsippene
- Diskuter om det registreres overskuddsinformasjon om elever eller foresatte
- Diskuter om dere har god oversikt over alle behandlinger som skjer på skolen
Treningsportalen

Personvernprinsipper SFO E-post til besvær En sårbar app Vedtak på feil grunnlag
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Behandlingsprotokoll

Alle skoler må oversikt over alle sine behandlinger, og den oversikten finner vi i behandlingsprotokollen. I denne videoleksjonen gjennomgår hva en protokoll må inneholde, og hva den bør inneholde.

Oppgaver

Sjekk om alle behandlingene som gjennomføres på skolen er oppført i behandlingsprotokoll. Dersom ikke skolen har en egen protokoll, så kan skolens behandlinger være oppført i kommunens samlede protokoll.

Treningsportalen

Behandling
Databehandlere og databehandleravtale
Skolene har mange skolesystemer og digitale læremidler som involverer databehandlere. I denne leksjonen gjennomgår vi bruken av databehandlere og databehandleravtaler.
Oppgaver
- Har skolen oversikt over alle databehandlere de bruker i dag? Ta for deg kommunens behandlingsprotokoll (som viser alle kommunens behandlinger). Er alle behandlingene som gjennomføres på skolen registrert i protokollen, og står det hvem som er databehandler (der det er aktuelt)?
- Ta for deg den siste anskaffelsen kommunen gjorde for et skolesystem. Hvordan sikret skolen at databehandleren stilte tilstrekkelige garantier?
Treningsportalen

Leverandører Databehandlers garantier Tvilsom databehandleravtale Underleverandør
Videre arbeid

Datatilsynets veileder om bruk av databehandler Databehandleravtale maler og bilag Anbefalte sikkerhetskrav Treningsplattform for Skolesec
Rettslige grunnlag
Alle behandlinger må ha gyldige rettslige grunnlag. Uten et gyldig rettslig grunnlag er behandlingen ulovlig. I videoleksjonen gjennomgår vi de seks rettslige grunnlagene.
Oppgaver
- Sjekk hvilke rettslige grunnlag skolen bruker for sine digitale læremidler
- Sjekk hvilke behandlinger som bruker samtykke som rettslig grunnlag, og diskuter om det er det beste grunnlaget
- Diskuter om skolen har kameraovervåking og hvordan dette er begrunnet og innført
Treningsportalen

Behandlingsgrunnlag Fullmakt Samtykke Skoleforestillinger Skytjenester
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Informasjon til de registrerte
En av rettighetene til de registrerte er retten til å bli informert. Behandlingsansvarlig må sikre at de gir god og åpen informasjon om sine behandlinger. I videoleksjonen ser vi på hva som ligger i informasjonskravet.
Oppgaver
- Gjennomgå informasjonen som gis til de registrerte; er den tilstrekkelig?
- Diskuter om informasjonen er lett forståelig og tilpasset elevene som målgruppe?
- Diskuter om elever og foresatte kan informeres i større grad
Treningsportalen

Rett til informasjon Informasjon til de registrerte
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Innebygd personvern
Behandlingsansvarlig har en lovpålagt plikt til å sikre innebygd personvern i sine systemer og tjenester. I videoleksjonen utforsker vi hva denne plikten innebærer, og vi belyser innebygd personvern med noen eksempler.
Oppgaver
- Diskuter om skolen sørger for å sikre innebygd personvern når de anskaffer eller tar i bruk nye systemer?
- Diskuter om skolen risikovurderer hvorvidt skolesystemene har innebygd personvern?
- Diskuter hvordan kravene til innebygd personvern kan ivaretas bedre fremover
Treningsportalen

Hvem er ansvarlig for å sikre innebygd personvern Fagsystemer Hva handler innebygd personvern om? Tiltak
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Internkontroll
Alle offentlige virksomheter skal ha internkontrollsystemer, også innenfor informasjonssikkerhets- og personvernområdet. I videoleksjonen gjennomgår vi internkontroll og styringssystem for informasjonssikkerhet.
Oppgaver
- Sjekk hva som er status på internkontrollarbeidet i kommunen. Har kommunen et styringssystem for informasjonssikkerhet?
- Er reglene i styringssystemet kjent for de ansatte på skolen? Hvis ikke, hva bør gjøres?
- Hva er reglene for bruk av passord? Står det når sterk autentisering er påkrevd?
Treningsportalen

Lovkravet Standard Tre deler Valgfriheten
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Personopplysningssikkerhet
Personopplysningssikkerhet er informasjonssikkerhet på personopplysninger. Behandlingsansvarlig må sørge for at de har tilstrekkelig personopplysningssikkerhet i alle sine behandlinger. I videoleksjonen gjennomgår vi hva som ligger i personopplysningssikkerhet.
Oppgaver
- Diskuter om alle ansatte kjenner til hva som menes med informasjonssikkerhet
- Se for dere hva som kan gå galt dersom de dataene dere har ikke er riktige (Brudd på integritet) Hva kan gå galt?
- Hva er de viktigste grepene skolen gjør for å sikre integriteten til personopplysningene?
Treningsportalen

Postlister på hjemmesiden Endring av karakterer Fagsystem utilgjengelig Løsepengevirus
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Brudd på personopplysningssikkerhet
Personopplysninger på avveie er et eksempel på brudd på personopplysningssikkerheten. Hvis en skole opplever et sikkerhetsbrudd, hva må de gjøre? I videoleksjonen gjennomgår vi reglene for varsling til Datatilsynet og til de registrerte.
Oppgaver
- Diskuter om de ansatte på skolen vet hva som er et sikkerhetsbrudd
- Diskuter om de ansatte på skolen vet hvordan de skal melde inn et sikkerhetsbrudd
- Gjennomfør en øvelse på et simulert sikkerhetsbrudd
Treningsportalen

Tidsfrist på varsling Varsel til Datatilsynet Databehandlers meldeplikt Underretning til de registrerte
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Rett til innsyn
De registrerte har rett til innsyn i sine egne personopplysninger. I videoleksjonen gjennomgår vi hvordan skoler på best mulig måte kan legge til rette for utøvelse av denne rettigheten, og hvordan de bør håndtere innsynskrav.
Oppgaver
- Hvordan har skolen/kommunen lagt til rette for innsynsbegjæringer i dag? Hvordan sikrer skolen identiteten til personen som begjærer innsyn?
- Diskuter internt hvordan skolen på best mulig måte kan legge til rette for at de registrerte kan utøve sin innsynsrett.
Treningsportalen

Rett til innsyn Innsyn i LMS
Videre arbeid

Mal for innsynsbegjæring (PDF) Treningsplattform for Skolesec
Risikovurdering av personopplysningssikkerheten
Risikovurderinger er svært viktig å gjennomføre, og en av de meste effektive måtene å demonstrere at behandlingsansvarlig har kontroll på personopplysningssikkerheten. Skoler må også gjennomføre risikovurderinger av sine systemer. I videoleksjonen ser vi på hvordan risikovurderinger kan gjennomføres.

Vi gjør oppmerksom på at sannsynlighet og konsekvens har feil plassering i risikomatrisen. Eksemplet i videoleksjonen tar utgangspunkt i at sannsynlighet vises vannrett og konsekvens loddrett.
Oppgaver
- Finn frem gjennomførte risikovurderinger. Ivaretar de de risikoen til de registrerte?
- Vurder om kommunens prosess for risikovurderinger er god nok for å gjennomføre risikovurderinger av personopplysningssikkerheten. Sjekk spesielt skalaen for sannsynlighet og konsekvens.
- Gjennomfør risikovurderinger for systemene som brukes på skolen
Treningsportalen

Hva bør risikovurderes? Egnet sikkerhetsnivå Ansvar for gjennomføring Gjennomføring av risikovurdering
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec
Vurdering av personvernkonsekvenser
Vurdering av personvernkonsekvenser er også en risikovurdering som må gjøres der risikoen for de registrerte vurderes som høy. Alle skoler har behandlinger som medfører at de må gjøre vurdering av personvernkonsekvenser. I videoleksjonen ser vi på hvordan slike vurderinger kan gjennomføres, og i hvilke tilfeller de må gjennomføres.
Oppgaver
- Diskuter om skolen har oversikt over hvilke behandlinger som medfører høy risiko for de registrerte
- Finn prosedyren og malen som skolen skal bruke for vurdering av personvernkonsekvenser
- Gjennomfør vurdering av personvernkonsekvenser der det er aktuelt
Treningsportalen

Personvernkonsekvenser Kameraovervåking på skolen Databehandler og DPIA
Videre arbeid

Her finner du mer om viktige begreper og uttrykk i arbeidet med personvern og informasjonssikkerhet.
Datatilsynets ordliste over viktige begrep Treningsplattform for SkoleSec