Setter fokus på informasjonssikkerheten i skoleverket

Datatilsynet innkalte i mars i år til møte om manglende sikring av personopplysninger i skoleverket. Både offentlige og private aktører stilte opp.

Datatilsynets direktør  Bjørn Erik Thon følger opp skolene tett.
Datatilsynets direktør Bjørn Erik Thon følger opp skolene tett. Foto Åsa Mikkelsen Datatilsynet.

Bakgrunnen for møtet var både innføringen av Personvernforordningen i 2018 og at resultatet av tilsyn på skolene gjennom de siste 5 - 6 årene ikke viste tilfredsstillende resultater. Tilsynet har også mottatt flere avviksmeldinger fra skoler om brudd på informasjonssikkerheten.

I tillegg kom den mye omtalte saken der Bergen kommune fikk en klekkelig bot etter at en elev i barneskolen hadde oppdaget et hull i kommunens datasystem. Det endte opp med et overtredelsesgebyr på 1,6 mill. kr.

Situasjonen er ikke god nok

Nå vil Datatilsynet sette fokus på denne typen utfordringer for å hindre gjentagelser.

 - Vi ønsker å drøfte utfordringer, løsninger og hva vi kan gjøre sammen. Situasjonen slik den er i norske kommuner nå, er rett og slett ikke god nok, sa direktøren i Datatilsynet, Bjørn Erik Thon, til de frammøtte representantene. Bl.a. stilte IKT-Norge, Foreningen Kommunal Informasjonssikkerhet (KiNS) og Bærum kommune. Sistnevnte blir fremhevet av Thon som en kommune som har jobbet godt og lyktes med å heve sikkerhetsnivået i skolene.

  – Dette er spesielt viktig i den situasjonen vi står i nå med storstilt digitalisering og ikke minst mange kommunesammenslåinger der ulike fagsystemer, kulturer og mennesker skal «slås sammen». Dette er noe som erfaringsmessig kan skape store utfordringer for personvern og informasjonssikkerhet, sa han videre.

Bevisstheten må høynes

Tre hovedområder ble fremhevet på møtet:

  1. Gratis programvare er et nyttig og verdifullt supplement i norsk skole, men gratis programvare har også ulike utfordringer knyttet til informasjonssikkerhet og personvern. Hvordan skal man høyne bevisstheten om disse utfordringene før gratis programvare tas i bruk? Går sikkerhet på bekostning av kreativitet?
  2. Hvordan kan man forbedre bestillerkompetansen på nye digitale løsninger? Hva kan ulike aktører gjøre for å bidra til å heve denne kompetansen?
  3. Hvordan skal man jobbe frem en god kultur for informasjonssikkerhet i skolen?

Gratis programvare ikke trygg

 - Gratis programvare kan inneholde sikkerhetshull slik at den generelle sikkerheten ved bruk ikke er god nok. Man opplever også at noen programmer krever at bruker må oppgi opplysninger om seg selv, noe som i realiteten fungerer som en slags betaling, forteller Thon til SkoleMagasinet. Og han peker på behovet for å gjøre en grundig risikovurdering før den typen programvare blir tatt i bruk i en klasse. Skoleeier sitter med ansvaret for dette.

Samarbeidet må styrkes

På møtet ble det også pekt på viktigheten av å ytterligere forbedre samarbeidet mellom de ulike aktørene – særskilt mellom kommunene – for å møte utfordringene på en hensiktsmessig måte.

– Skolen kommer til å bruke stadig flere digitale verktøy i årene som kommer, og tillit til at disse verktøyene brukes riktig og at informasjonen som samles inn er sikret og blir behandlet riktig, er grunnleggende, påpekte statssekretær i Kommunal- og moderniseringsdepartementet, Paul Chaffey.

 - Jeg har lyttet til innspill fra ulike aktører, blant annet Datatilsynet, kommuner, leverandører og statlige utdanningsmyndigheter. Disse innspillene tar jeg med meg i det videre arbeidet med personvern og informasjonssikkerhet, sier han videre i en kommentar til SkoleMagasinet.

Datatilsynet vil kalle inn til et nytt møte i løpet av høsten for videre oppfølging av det som ble vedtatt.