Resultater

Prosjekt risikovurdering og databehandleravtale (ROS og DBA)

Prosjektet ROS (risikovurdering) og DBA (databehandleravtale) startet opp i januar 2021, og har som mål å gjøre det enklere for vertsorganisasjoner å ta i bruk nye digitale tjenester i Feide. 

I samarbeid med designere fra Sikt, Feide-teamet og Udir, har vi utforsket hvordan prosessen med å ta i bruk en digital tjeneste kan forenkles og effektiviseres.

Det har lenge vært et uttalt behov i sektoren for samkjøring av disse oppgavene, som både er tidkrevende og vanskelige å utføre, og som oppfattes som dobbeltarbeid fordi alle gjør det samme.

Vi jobber kontinuerlig med å utvikle ROS og DBA gjennom testing og erfaringsinnhenting fra vertsorganisasjoner og tjenesteleverandører. Målet vårt er å lage en lettere flyt i prosessen, slik at det blir enklere for både vertsorganisasjoner og tjenesteleverandører å gjennomføre en risikovurdering og databehandleravtale. 

Hva ville vi finne ut?

Vi har prøvd å danne oss et helhetsinntrykk av hvordan prosessen med å ta i bruk en digital tjeneste i dag oppleves. Hva fungerer bra? Hva fungerer ikke bra? Hvor ligger mulighetsrommet for vår del?

Hvem har vi snakket med?

Det har vært viktig for oss å involvere både små og store vertsorganisasjoner og kommuner i flere områder i landet. Rollene til de vi har snakket med har variert fra bl.a. Feide-administratorer til rektorer og ansvarlige for informasjonssikkerhet.

Vi har også hatt samtaler med tjenesteleverandører for å forstå og inkludere deres perspektiv. 

Hovedfunn fra vertsorganisasjoner

Ut fra samtalene vi hadde med de ulike vertsorganisasjonene, ser vi at det oppleves vanskelig og tidkrevende å vurdere en tjeneste. Hovedfunnene våre kan oppsummeres i disse punktene

  • Det mangler jevnt over kompetanse og kapasitet på området personvern og informasjonssikkerhet
  • Mange, både store og små kommuner, opplever at det er vanskelig å gå gjennom en databehandleravtale (DBA) og forstå hva som står der
  • Noen sentralt må gjøre de vanskelige vurderingene (knyttet til personvern). Det er ansvarsfraskrivelse fra sentralt hold. Kommunene føler de trenger noen sentralt til å "godkjenne" tjenester/databehandleravtale (DBA).
  • Skolene kan bli skeptisk til å igangsette bestillinger fordi det er så mye som må være på plass i forbindelse med databehandleravtale (DBA) og risikovurderinger (ROS)
  • Ikke alle leverandører er like gode på å opplyse om hvilke data de henter, og noe av det mest frustrerende kan være dialogen med leverandøren i forbindelse med databehandleravtale (DBA).

Hovedfunn fra tjenesteleverandører

Hovedfunnene fra samtalene våre med tjenesteleverandører kan oppsummeres slik

  • Enkelte spørsmål som oppstår rundt databehandleravtaler (DBA) kunne vært strømlinjeformet for å gjøre prosessen smidigere (særlig i forbindelse med erstatningskrav og underleverandører)
  • Leverandører kan bruke svært mye tid og ressurser på å svare opp på spørsmål som kommunene kanskje egentlig ikke trenger å vite svaret på, og mange spør om veldig mye av det samme knyttet til risikovurderinger (ROS)
  • Mange små kommuner har ikke kapasitet eller kompetanse på personvern og informasjonssikkerhet. De kopierer derfor spørsmål fra større kommuner og sender til leverandørene
    • Fører til at det blir stilt mange "dårlige" spørsmål som ikke har gitt mening, og skaper mye diskusjon og unødvendig tidsbruk

Målet med prosjektet er å få utviklet funksjonalitet i Feide kundeportal som letter arbeidet med ROS (risikovurdering) og DBA (databehandleravtale).  

Vi jobber fremdeles med prosjektet, og har lansert en første versjon av en leverandørerklæring i januar 2023. 

Del din erfaring med risikovurdering og leverandørerklæring!

Vi vil gjerne høre dine erfaringer med anskaffelse av digitale tjenester, enten du representerer en kommune, fylke, privatskole eller høgskole/universitet. Uansett hvor du befinner deg i prosessen, er vi interessert i å lære av deg og forbedre anskaffelsesprosessen. 

Vil du dele av dine erfaringer? Klikk her for å dele dine erfaringer om risikovurdering og leverandørerklæring

Hvilke forbedringer er gjort?

Leverandørerklæring for informasjonssikkerhet og personvern

Første versjon av leverandørerklæring i Feide kundeportal ble lansert januar 2023. Leverandørerklæringen er et sett med standardspørsmål innen informasjonssikkerhet og personvern som tjenesteleverandører skal besvare. Den vil ligge tilgjengelig i kundeportalen til Feide for alle som ønsker og kan benytte tjenesten.

Ved å besvare spørsmålene for tjenesten én gang i kundeportalen, vil dette gjøre at leverandøren ikke trenger å besvare de samme spørsmålene hver gang til hver enkelt vertsorganisasjon.

Vi anbefaler derfor at alle tjenesteleverandører fyller ut en leverandørerklæring for å forenkle vertsorganisasjonenes arbeid med å vurdere og gjennomføre risikovurdering. 

Les mer om hvordan du som tjenesteleverandør fyller ut leverandørerklæringen

Leverandørerklæringen vil gi vertsorganisasjoner friheten til å ta raske og informerte beslutninger uten å måtte vente på svar fra leverandøren. Erklæringen gjør det enkelt og effektivt å vurdere leverandører, og gjør samarbeidet mellom leverandør og vertsorganisasjon til en sømløs opplevelse!

Erklæringen kan brukes som underlag i risikovurdering av en tjeneste.

Les mer og hvordan du som vertsorganisasjon finner erklæringen i Feide kundeportal

Leverandørerklæringen ble utviklet i tett samarbeid med Cybersikkerhetssenteret i Sikt og KiNS (Foreningen kommunal informasjonssikkerhet), der vi blant annet omformulerte spørsmålene fra KS SkoleSec (Kommunesektorens organisasjon) sine ressurser i prosessen til risikovurderingsarbeid.

Løsningen har som mål å

  • forenkle dialog mellom leverandør og vertsorganisasjon
  • tydeliggjøre ansvar for, og innhold i, en risikovurdering av en tjeneste
  • senke terskelen for å kunne gjennomføre en vurdering av en tjeneste.

Vi inkluderte personvernspørsmål i andre versjon av løsningen, som ble lansert i mai 2023.

Etter å ha testet leverandørerklæringen i en anbudsprosess med vertsorganisasjoner, vil vi videreutvikle den i løpet av 2023. 

Vi har lansert en enkel første versjon av erklæringen i januar 2023. Vi jobber smidig, og kommer til å fortsette å videreutvikle både leverandørerklæringen og resten av løsningen på bakgrunn av de tilbakemeldingene vi får.

Risikogrunnlag

Risikovurdering av en tjeneste kan være et omfattende arbeid når man skal vurdere en digital tjeneste. Vi ser at det ofte mangler kompetanse og ressurser blant vertsorganisasjoner i sektoren for å få utført en slik vurdering. 

I samarbeid med én eller flere kommuner har vi derfor utarbeidet et risikogrunnlag. Dette er et grunnlag, og et utgangspunkt som representerer noen risikoelementer knyttet til den aktuelle tjenesten. Risikogrunnlaget kan være et hjelpemiddel for vertsorganisasjoner når digitale læringsressurser skal risikovurderes. 

En risikovurdering av en tjeneste kan ha store likheter på tvers av sektoren, men ansvaret for å foreta vurderingen ligger hos den enkelte vertsorganisasjonen som velger å innføre tjenesten. Den enkelte vertsorganisasjonen må selv vurdere grunnlaget og eventuelt legge til andre risikoelement. 

Dette risikogrunnlaget er tilgjengelig for alle vertsorganisasjoner som har tilgang til Feide kundeportal. Den enkelte tjenesteleverandør ser kun risikogrunnlaget som er utarbeidet for sin(e) tjenester. 

Formålet med risikogrunnlaget er å støtte interne beslutninger og er ikke egnet for offentlig distribusjon. 

Varsling på epost

Fra november 2023 får Feide-administrator automatisk et varsel på e-post når en tjenesteleverandør legger til eller fjerner informasjon de henter inn om brukerne. E-post sendes automatisk til alle Feide-administratorer i vertsorganisasjoner som har aktivert den aktuelle tjenesten. 

Les mer om automatisk varsling på e-post 

Veien videre

Vi vil videreutvikle både leverandørerklæringen og flere andre hjelpemidler i løpet av 2023. 

Nedenfor finner du mer informasjon om hver enkelt oppgave som vi skal jobbe med fremover. 

Varslinger i Feide kundeportal

Varslingsfunksjonaliteten er i første omgang bare tilgjengelig på e-post, men vi vil fremover se på hvordan Feide-administrator kan få varsel om endringer i Feide kundeportal. På denne måten kan tjenesteleverandører informere vertsorganisasjoner om endringer eller justeringer av for eksempel eksisterende avtaler eller tjenester, direkte i kundeportalen.  

I november 2023 ble det laget varsel for endring informasjon som tjenesten henter inn om brukerne. Vi planlegger også å lage flere varsler for andre endringer

I tillegg ser vi på muligheten for at dere kan tilpasse hvem i en organisasjon som får e-post-varsel. For eksempel at en person med ansvar for risikovurdering og databehandleravtale skal få varsler som handler om dette. 

Databehandleravtale (DBA)

Alle tjenester som behandler personopplysninger, må ha en databehandleravtale mellom databehandler (tjenesteleverandør) og behandlingsansvarlig (vertsorganisasjon). Dette kan være en tidkrevende prosess. 

I dag har kundeportalen støtte for å laste opp mal for databehandleravtale for en tjeneste, og en standard mal for databehandleravtale fra DFØ for vertsorganisasjoner. Men, vi vet at det er et stort behov fra sektoren å støtte opp denne prosessen enda mer.

Vi kommer til å se på og prøve ut muligheten for autogenerert innhold til en databehandleravtale tilpasset partene som ønsker å inngå avtale.