Krav til en vertsorganisasjon

Det stilles en rekke krav til vertsorganisasjoner som benytter Feide. Det er derfor viktig å sette seg godt inn i hva som kreves, og sørge for å ha gode rutiner og prosesser for å ivareta dette ansvaret. 

God datakvalitet

Et av de viktigste krav til en vertsorganisasjoner er å ha god kvalitet på informasjonen som registreres. Uten god datakvalitet er det en stor risiko for at Feide ikke vil fungere godt for deres elever og lærere når Feide-tjenester tas i bruk. Grunnlaget for datakvaliteten vil primært avhenge av informasjonen registrert i det skoleadministrative systemet/oppvekstsystemet og hvordan brukerkatalogen(e) henter disse dataene og hvordan de driftes. Feide er avhengig av å kommunisere med en brukerkatalog som gir informasjon om personer, deres roller ved organisasjonen, samt undervisningsgrupper, klassegrupper og andre grupper. Det er essensielt at datakvaliteten er god siden dette påvirker hvorvidt brukerne får brukt tjenesten uten problemer. Mer om hvorfor datakvalitet er viktig.

Attributter

Attributter er informasjonsfelt som skal fylles ut om brukeren, for eksempel navn og roller på en person. Noen felt er obligatoriske å registrere, mens andre felt anbefales å registrere. Foretrukket språkform er for eksempel ikke obligatorisk, men mange tjenesteleverandører vil gjerne vite hvilket språk brukeren foretrekker. Det er derfor viktig å sjekke hvilke attributter en tjeneste krever før den aktiveres, fordi brukerne får kanskje ikke brukt tjenesten om nødvendige attributter ikke er fylt ut. Selv om det ikke er obligatorisk å fylle ut et felt, så kan det være smart å gjøre det slik at alle funksjoner i tjenesten kan benyttes. Det vil også resultere i en bedre opplevelse for brukerne. Feide-administrator for organisasjonen kan sjekke hvilken attributter tjenesten krever i Feide sin kundeportal.

Det er viktig at man ikke fyller inn feltet med oppdiktet informasjon. Det gjelder også når feltet er anbefalt eller obligatorisk å fylle inn. Dersom det ikke er mulig å fylle inn innhold i et felt, for eksempel fødselsnummer så skal feltet stå tomt. Det skal ikke legges inn et fiktivt fødselsnummer ettersom det fiktive nummeret raskt kan bli identisk med et annet ekte nummer eller et annet fiktivt nummer som noen andre registrerer. Dette kan føre til at en person får tilgang til en annen persons innhold i tjenester som benytter fødselsnummer. Mer om hvorfor datakvalitet er viktig.

Les mer om beskrivelse av attributtene og eksempler på formatet i Feides informasjonsmodellen for: 

Grunnopplæringen
Høyre utdanning

Gode rutiner og prosesser

Vi krever at alle vertsorganisasjoner har gode rutiner og prosesser på brukerkataloger som er tilkoblet Feide. Hvordan sørger dere for å ha god datakvalitet, hvordan sikrer dere riktig bruk av attributter, og hvordan sikrer dere endringer og slettinger? Hva skjer i tilfeller hvor en lærer blir syk og en vikar tilkalles som ikke tilhører skolen? Hva skjer i forbindelse med nytt skoleår, når noen slutter eller bytter skole?

Det er viktig å håndtere gruppeinformasjon riktig. Sørg for at det er gode rutiner slik at skolen unngår frustrasjon ved skolestart når elevene ikke ligger i riktig gruppe. 

Sikkerhet

Det er ikke mulig å bruke Feide uten å ha en brukerkatalog (LDAP-tjener). Feide er avhengig av å kommunisere med brukerkatalog som gir informasjon om brukere på riktig format.

Det er viktig at informasjonen som er lagret hos vertsorganisasjonen går gjennom Feide til den enkelte tjeneste på en sikret måte. Det er vertsorganisasjonenes sitt ansvar å sørge for at sikkerheten er på plass. Krav til sikker kommunikasjon med brukerkatalogene er at de støtter TLS versjon 1.2 eller høyere, og at katalogen er konfigurert med et sertifikat utlevert av en offentlig sertifikat-leverandør. Det stilles også krav til hvilke krypteringsmetoder som benyttes. Se https://docs.feide.no/reference/tls-requirements-ldap.html for detaljer.

Vertsorganisasjoner kan opprette brukerkatalogen selv, men det stilles høye krav til sikkerhet og teknisk oppsett. Er dere i tvil om din organisasjon kan sette opp, holde vedlike og drive en pålitelig stabil brukerkatalog over flere år anbefaler vi at dere benytter en ekstern leverandør. Det finnes leverandører som setter opp og/eller drifter hele løsningen for vertsorganisasjonen. Mer informasjon om brukerkataloger.

Behandling av personopplysninger

Det er vertsorganisasjonene selv som har ansvar for at personopplysninger behandles i henhold til personvernlovgivningen. Det er Datatilsynet som fører kontroll med at loven overholdes. Formålet med loven er å ivareta sluttbrukernes rett til kontroll og avgjørelse over hva vertsorganisasjoner og tjenesteleverandører kan gjøre med deres personopplysninger. I grunnopplæringen har man et stort ansvar fordi barn er en spesielt sårbar gruppe. Flere skoleeiere har etter innføring av den nye personvernlovgivningen (GDPR) fått bøter fra Datatilsynet for manglende informasjonssikkerhet. Tilsynet vektla i to av tilfellene at personvernbruddet rammet mange, og det gjaldt videre opplysninger om barn som har krav på en særlig beskyttelse etter personvernforordningen. Tilsynet la også vekt på at skoleeierne hadde brutt en grunnleggende rettighet. Sikkerhet og behandling av personopplysninger er derfor områder som er viktig å ta på høyeste alvor.

For utfyllende informasjon om personvern og regler om elektronisk behandling av personopplysninger, se Datatilsynets nettsider.

Hva som skal vurderes før og etter tjeneste benyttes, samt mer om vertsorganisasjons plikter til personvern finner dere her: https://www.feide.no/vertsorganisasjoners-plikter

Databehandleravtale

Vertsorganisasjonene må ha en databehandleravtale med Uninett, men også en databehandleravtale med hver tjenesteleverandør som de benytter tjenestene til, hvor personinformasjon benyttes. Tjenesteleverandører kan legge inn egne maler for databehandleravtale som vertsorganisasjonen kan laste ned fra Feide sin kundeportal. Det er viktig at organisasjonen selv vurderer om tjenesteleverandørens forslag til databehandleravtale er akseptabel. Husk at denne ikke bare må omfatte informasjonen tjenesten får utlevert via Feide, men også personinformasjon som tjenesten henter inn fra andre kilder, eller som produseres inne i tjenesten. 

På grunn av at mange av brukerne til vertsorganisasjonene ikke kan gi eget samtykke da de er under 13 år, så er det viktig at organisasjonen får samtykke fra foresatte, og dette gjøres utenfor Feide. Dette gjøres ofte på starten av skoleåret. For at vertsorganisasjonene skal kunne ivareta lovpålagte oppgaver knyttet til undervisning eller forskning er det likevel mulig for vertsorganisasjon selv å gi samtykke for eleven.

Risikovurdering

Før vertsorganisasjon tar i bruk en tjeneste med Feide-innlogging skal det vurderes om den er forsvarlig å bruke. Dette skal skje i en form av en risikovurdering av informasjonssikkerheten i tjenesten. Dersom risikovurderingen viser at informasjonssikkerheten i tjenesten er tilfredsstillende, vil det være forsvarlig og lovlig å ta tjenesten i bruk. Dersom konklusjonen er at informasjonssikkerheten ikke er tilfredsstillende, vil det ikke være forsvarlig og lovlig å bruke tjenesten. Mer informasjon om dette finner dere her: https://www.feide.no/vertsorganisasjoners-plikter

Forslag til momenter som vertsorganisasjoner bør vurdere ved risikovurdering av tjenester som tilbys via Feide

Ytterligere informasjon

https://www.feide.no/vertsorganisasjoners-plikter

https://docs.feide.no/reference/schema/info_go/index.html

https://docs.feide.no/home_organizations/activating_new_feide.html#apne-...