Felles løft for informasjonssikkerheten i skolesektoren

Datatilsynet samlet onsdag 20. mars en rekke private og offentlige aktører til en prat om utfordringer knyttet til sikringen av personopplysninger i skolen. Målet var å diskutere hvordan vi kan heve bevisstheten om viktigheten av god informasjonssikkerhet, samt å enes om noen konkrete tiltak vi kan jobbe sammen med i tiden fremover.

Med vedtaket til Bergen kommune om gebyr på grunn av manglende personopplysningssikkerhet friskt i minne, ønsket Datatilsynet å sette fokus på denne typen utfordringer for å hindre at slike hendelser skjer igjen. Med på møtet var statssekretær Paul Chaffey fra Kommunal- og moderniseringsdepartementet, i tillegg til deltagere fra både organisasjoner, etater og kommuner.

– Skolen kommer til å bruke stadig flere digitale verktøy i årene som kommer, og tillit til at disse verktøyene brukes riktig og at informasjonen som samles inn er sikret og behandles riktig, er grunnleggende, sa Chaffey.

Situasjonen nå er ikke god nok

– Vi ønsker å drøfte utfordringer, løsninger og hva vi sammen kan gjøre. Situasjonen slik den er i norske kommuner nå, er rett og slett ikke god nok, sa direktør i Datatilsynet Bjørn Erik Thon. – Dette er spesielt viktig i den situasjonen vi står i nå, med en ny forordning, storstilt digitalisering, og ikke minst mange kommunesammenslåinger, der ulike fagsystemer, kulturer og mennesker skal «slås sammen». Dette er noe som erfaringsmessig kan skape store utfordringer for personvern og informasjonssikkerhet, sa han.

Personvernforordningen retter et særlig fokus på ivaretakelse av personvernrettighetene til barn. Datatilsynet er derfor opptatt av å jobbe helhetlig og langsiktig med personvern og informasjonssikkerhet i skolen, men har siden forordningen trådte i kraft, mottatt flere avviksmeldinger fra skoler når det gjelder brudd på informasjonssikkerheten.

Utfordringer

På møtet ble særlig tre problemstillinger fremhevet:

  1. Gratis programvare er et nyttig og verdifullt supplement i norsk skole, men gratis programvare har også ulike utfordringer knyttet til informasjonssikkerhet og personvern. Hvordan skal man høyne bevisstheten om disse utfordringene før gratis programvare tas i bruk? Går sikkerhet på bekostning av kreativitet?
  2. Hvordan kan man forbedre bestillerkompetansen på nye digitale løsninger? Hva kan ulike aktører gjøre for å bidra til å heve denne kompetansen?
  3. Hvordan skal man jobbe frem en god kultur for informasjonssikkerhet i skolen?

Tiltak

På møtet var det enighet om viktigheten av både forebyggende virksomhet og kompetanseheving i alle ledd. Det ble også vektlagt hvor avgjørende det er at aktørene, og da særlig kommunene, får til et enda bedre samarbeid for å ta tak i disse utfordringene på en mest mulig hensiktsmessig måte.

De ulike aktørene vil ta med seg utfordringene og innspillene som kom i møtet tilbake til sine respektive arbeidsplasser, og vurdere hva de kan bidra med i dette arbeidet fremover. Datatilsynet fremhevet viktigheten av en adferdsnorm for denne sektoren, og vil kalle inn til et nytt møte i løpet av høsten der vi tar opp igjen tråden.

19