Transcript Last ned - Feide i skolen - Senter for IKT i utdanningen

Dette faktaarket er et supplement
til veilederen Sikker håndtering
av personopplysninger i skolen
faktafolder
Sikker håndtering av personopplysninger
i forbindelse med spesialundervisning
http://iktsenteret.no/ressurser/sikker-handtering-av-personopplysninger-i-skolen.
Risikovurderinger
En økende andel elever i grunnopplæringen
har behov for spesialundervisning. Dersom det
fattes vedtak om spesialundervisning, skal skolen
lage en individuell opplæringsplan (IOP). Planen
gjelder helt til behovet for spesialundervisning
ikke lenger er til stede, og den skal derfor evalueres (og eventuelt revideres) to ganger i året.
I løpet av denne prosessen behandles store
mengder personopplysninger. Mange av disse
vil være av sensitiv eller sterkt personlig karakter,
for eksempel informasjon om diagnoser, atferdsmønstre, sosiale ferdigheter, kunnskapsnivå,
læringsevner, osv. Opplysninger om hjemmeforhold kan også behandles i løpet av prosessen.
Dette betyr at elektronisk behandling av personopplysninger i tilknytning til spesialundervisning
skal risikovurderes. Skoleeier skal derfor identifisere alle hendelser som kan føre til brudd på
informasjonssikkerheten.3 Slike hendelser omtales
gjerne som uønskede hendelser.
Skoleeier er pålagt å iverksette tiltak for å forebygge alle uønskede hendelser som vurderes som
særlig sannsynlige og alvorlige. Hvordan slike
vurderinger kan gjøres er forklart i Sikker håndtering av personopplysninger i skolen.
I denne veilederen
skisserer Senter for
IKT i Utdanningen
hvordan skoleeier
kan gjennomføre
risikovurderinger når
personopplysninger
behandles i skolens ITsystemer eller ved hjelp
av skolens IT-utstyr.1
Slike risikovurderinger
er skoleeier rettslig
forpliktet til å
gjennomføre for å
unngå krenkelser
av personvernet til
ansatte, elever og
foreldre/foresatte.2
personvern
Nedenfor presenteres noen typiske eksempler på
uønskede hendelser som kan oppstå i forbindelse
med spesialundervisning. Deretter viser vi hvordan
hendelsene kan innebære brudd på informasjonssikkerheten, det vil si opplysningenes konfidensialitet, integritet og tilgjengelighet.
Eksempler på uønskede
hendelser
Arkivskap blir stående ulåst:
Dersom rektor eller spesialpedagogisk
lærer forlater kontoret og glemmer å låse arkivskap hvor minnepenner som inneholder vedtak
om spesialundervisning og IOP oppbevares, kan
uvedkommende få tak i sensitive personopplysninger. Dette vil være et brudd på opplysningenes
konfidensialitet.
Manglende sletting av dokumenter:
Dersom IOP-er, halvårsrapporter, møtereferater, osv. som skoleledere eller lærere lagrer
på bærbare pc-er eller minnepenner ikke slettes
når det ikke lenger er behov for dem, kan de
komme på avveier. Slike mobile enheter har stor
lagringskapasitet og kan derfor inneholde store
mengder sensitive opplysninger om mange elever.
Dette vil i så fall representere et brudd på opplysningenes konfidensialitet.
Vedtak, IOP-er eller halvårsrapporter lagres
på fellesområder: Dersom skoleledere eller
lærere jobber med IOP-er eller halvårsrapporter
og lagrer disse på fellesområdet på skoleeiers
nettverk, kan uvedkommende få tak i sensitive
personopplysninger (for eksempel lærere som ikke
har tjenestelige behov for å vite om opplysningene). Dette er et brudd på opplysningenes
konfidensialitet.
Sakarkivsystem utenfor sikker sone:
Mange skoleeiere har et elektronisk
sakarkivsystem hvor vedtak om spesialundervisning, utredningen fra PPT, opplæringsplanen og
andre dokumenter lagres. Dersom systemet ligger
utenfor sikker sone i skoleeiers datanettverk (for
eksempel fordi dokumentene blir lettere tilgjengelig for de ansatte), kan det føre til at uvedkommende får tak i, endrer eller sletter sensitive
personopplysninger. Det kan innebære brudd
på opplysningenes konfidensialitet og integritet.
Utskrift av vedtak, IOP eller halvårsrapport
blir liggende på skriver: Dersom skolele-
dere eller lærere bestiller utskrift av dokumenter
på skriver som både ansatte og elever benytter,
kan sensitive personopplysninger komme
uvedkommende i hende. Dette er et brudd
på opplysningenes konfidensialitet.
Lærer har tilgang til eget barns mappe:
Skoleledere eller lærere kan ha egne barn
i skolen som mottar spesialundervisning. Dersom
Kopiering til mobile enheter ved ustabil
leder/lærer har tilgang til sitt eget barns spesialtilgang til lokale systemer: Hvis skoleledere pedagogiske mappe, kan han eller hun endre
og lærere opplever at tilgangen til skoleeiers
opplysninger som oppfattes som feilaktige eller
elektroniske sakarkivsystemet går tregt eller er
misvisende. Hvis den aktuelle lederen/læreren
ustabil, kan private nødløsninger bli tatt i bruk.
ikke er autorisert til å foreta endringene, vil dette
Det kan blant annet innebære at dokumenter med være et brudd på opplysningenes integritet.
sensitive personopplysninger bli kopiert til usikrede
minnepenner eller bærbare pc-er. Dette kan føre
til brudd på opplysningenes konfidensialitet.
Dokumenter lagres hos skytjenester:
Skoleledere og lærere kan anvende
skytjenester (av typen Dropbox eller liknende)
for lagring av dokumenter i forbindelse med
elever som har spesialundervisning. På denne
måten kan ansatte ha tilgang til sensitive personopplysninger via internett. Hvor sikre disse
tjenestene, kan være vanskelig å vurdere: hvem
har tilgang til opplysningene hos leverandøren
og hva er risikoen for at opplysningene går tapt?
Det kan derfor være en viss fare for brudd på
opplysningenes konfidensialitet og tilgjengelighet.
Det kan også komme frem at de skytjenestene
som brukes ikke har vært risikovurdert av
skoleeier før ledere eller lærere tok dem i bruk.
Andre forhold som er
viktig å tenke på
I løpet av risikovurderingen kan det avdekkes
hendelser som ikke har med informasjonssikkerhet å gjøre. Versjonskontroll og datakvalitet
kan være temaer som enkelte deltakere identifiserer som problematiske. Det kan blant annet
handle om at kontaktlærer reviderer elevens IOP
eller halvårsrapport, men glemmer å legge den
nye og oppdaterte versjonen av dokumentet
tilbake i elevens mappe. Dersom det skjer vil opplysningene i elevmappen være ufullstendige eller
misvisende.
God versjonskontroll og datakvalitet i tilknytning
til spesialundervisning er viktig, spesielt etter
som skoleeiere opplever å bli saksøkt av tidligere
elever med påstand om at elevene ikke mottok
den opplæringen som skoleeier er lovpålagt
å tilby. Risikovurderingen kan derfor benyttes
til å avdekke om rutinene for håndtering av dokumenter og opplysninger er hensiktsmessige dersom skolen senere må avklare omstendighetene
rundt elevenes undervisningstilbud og skolegang.
1 Veilederen er tilgjengelig på http://iktsenteret.no/ressurser/sikker-handtering-av-personopplysninger-i-skolen.
2 Se spesielt personopplysningsloven § 13 og personopplysningsforskriften § 2-4.
3 Dette er hendelser som kan føre til at opplysninger om ansatte, elever eller foreldre/foresatte eksponeres
for uvedkommende (konfidensialitetsbrudd), endres eller manipuleres av uvedkommende (integritetsbrudd)
eller er utilgjengelige for de som har behov for å bruke opplysningene (tilgjengelighetsbrudd).
www.iktsenteret.no
@iktsenteret
facebook.com/iktsenteret
youtube.com/user/iktsenter