Resultater

Skal lette arbeidet med å ta i bruk nye tjenester med Feide

19.10.2021 09:53

Kravene for risiko- og sårbarhetsanalyse (ROS) og databehandleravtale (DBA) gjør det vanskelig for kommuner å ta i bruk nye digitale tjenester med Feide. Dette er krevende prosesser som vi ønsker å forenkle, og vi har derfor startet et arbeid med Sikts designlab.

Hvorfor er dette krevende? 

Første steg i denne prosessen var å samle inn innsikt – hvorfor er risiko- og sårbarhetsanalyser og databehandleravtaler krevende? Vi hadde brukersamtaler med ulike personer fra vertsorganisasjoner, tjenesteleverandører og prioriteringsrådet.

Resultatene viste blant annet at: 

  • Det er ulik kompetanse og kapasitet rundt personvern og informasjonssikkerhet i kommunene 
  • Det er vanskelig å forstå innholdet i en databehandleravtale 
  • Tjenesteleverandørene bruker mye tid og ressurser på å svare på spørsmål fra kommunene rundt risiko- og sårbarhetsanalyser 
  • Vertsorganisasjonene er villig til å samarbeide med hverandre om dette arbeidet

Hvordan kan vi løse dette? 

Arbeidet med å finne en løsning på problemet startet med en heldagsworkshop med Udir, Feide og Uninetts designlab. Målet var å bli enige om et konsept som kunne utforskes videre gjennom testing og iterasjoner. 

Konseptet fra workshopen legger til rette for at vertsorganisasjoner kan utveksle erfaringer og potensielt kunne dele noe av innholdet fra egne databehandleravtaler og risiko- og sårbarhetsanalyser. I tillegg er tanken å legge til rette for ofte stilte spørsmål til tjenesteleverandørene.  

På denne måten åpner vi for at organisasjonene kan dele erfaringer mellom seg, og slik bidra til å forenkle arbeidet med risiko- og sårbarhetsanalyser og databehandleravtaler. Samtidig slipper leverandørene å svare på samme spørsmål igjen og igjen.  

Veien videre 

Det er viktig å presisere at dette er et konsept og ikke en vedtatt løsning. Veien videre innebærer å samarbeide med Uninetts Cybersikkerhetssenter for å sikre personvernet og informasjonssikkerheten rundt en slik eventuell løsning. I tillegg må konseptet avklares med personer med juridisk kompetanse, samt testes og itereres. Hvis konseptet likevel ikke er gjennomførbart, vil prosessen videre være å teste en av de andre idéene fra workshopen.

Ta gjerne kontakt med oss om du vil vite mer om arbeidet vårt eller har innspill!