Prosjektet ROS (risiko- og sårbarhetsvurdering) og DBA (databehandleravtale) startet opp i januar 2021, og har som mål å gjøre det enklere for vertsorganisasjoner å ta i bruk nye digitale tjenester i Feide.
I samarbeid med designere fra Sikt, Feide-teamet og Udir, har vi utforsket hvordan prosessen med å ta i bruk en digital tjeneste kan forenkles og effektiviseres.
Det har lenge vært et uttalt behov i sektoren for samkjøring av disse oppgavene, som både er tidkrevende og vanskelige å utføre, og som oppfattes som dobbeltarbeid fordi alle gjør det samme.
Vi jobber fremdeles med prosjektet, og har lansert en første versjon av en løsning i januar 2023.
Hva ville vi finne ut?
Vi har prøvd å danne oss et helhetsinntrykk av hvordan prosessen med å ta i bruk en digital tjeneste i dag oppleves. Hva fungerer bra? Hva fungerer ikke bra? Hvor ligger mulighetsrommet for vår del?
Hvem har vi snakket med?
Det har vært viktig for oss å involvere både små og store vertsorganisasjoner og kommuner i flere områder i landet. Rollene til de vi har snakket med har variert fra bl.a. Feide-administratorer til rektorer og informasjonssikkerhetsansvarlige.
Vi har også hatt samtaler med tjenesteleverandører for å forstå og inkludere deres perspektiv.
Hovedfunn fra vertsorganisasjoner
Ut fra samtalene vi hadde med de ulike vertsorganisasjonene, ser vi at det oppleves vanskelig og tidkrevende å vurdere en tjeneste. Hovedfunnene våre kan oppsummeres i disse punktene
- Det mangler jevnt over kompetanse og kapasitet på området personvern og informasjonssikkerhet
- Mange, både store og små kommuner, opplever at det er vanskelig å gå gjennom en databehandleravtale (DBA) og forstå hva som står der
- Noen sentralt må gjøre de vanskelige vurderingene (knyttet til personvern). Det er ansvarsfraskrivelse fra sentralt hold. Kommunene føler de trenger noen sentralt til å "godkjenne" tjenester/databehandleravtale (DBA).
- Skolene kan bli skeptisk til å igangsette bestillinger fordi det er så mye som må være på plass i forbindelse med databehandleravtale (DBA) og risiko- og sårbarhetsanalyser (ROS)
- Ikke alle leverandører er like gode på å opplyse om hvilke data de henter, og noe av det mest frustrerende kan være dialogen med leverandøren i forbindelse med databehandleravtale (DBA).
Hovedfunn fra tjenesteleverandører
Hovedfunnene fra samtalene våre med tjenesteleverandører kan oppsummeres slik
- Enkelte spørsmål som oppstår rundt databehandleravtaler (DBA) kunne vært strømlinjeformet for å gjøre prosessen smidigere (særlig i forbindelse med erstatningskrav og underleverandører)
- Leverandører kan bruke svært mye tid og ressurser på å svare opp på spørsmål som kommunene kanskje egentlig ikke trenger å vite svaret på, og mange spør om veldig mye av det samme knyttet til risiko- og sårbarhetsvurderinger (ROS)
- Mange små kommuner har ikke kapasitet eller kompetanse på personvern og informasjonssikkerhet. De kopierer derfor spørsmål fra større kommuner og sender til leverandørene
- Fører til at det blir stilt mange "dårlige" spørsmål som ikke har gitt mening, og skaper mye diskusjon og unødvendig tidsbruk
Første versjon av løsningen
I første omgang har vi lansert en leverandørerklæring i Feide kundeportal. Leverandørerklæringen er et sett med standardspørsmål som tjenesteleverandører skal besvare. Den vil ligge tilgjengelig i kundeportalen til Feide for alle som ønsker og kan benytte tjenesten.
Ved å besvare spørsmålene for tjenesten én gang i kundeportalen, vil dette gjøre at leverandøren ikke trenger å besvare de samme spørsmålene hver gang til hver enkelt vertsorganisasjon.
Leverandørerklæringen vil gi vertsorganisasjoner friheten til å ta raske og informerte beslutninger uten å måtte vente på svar fra leverandøren. Erklæringen gjør det enkelt og effektivt å vurdere leverandører, og gjør samarbeidet mellom leverandør og vertsorganisasjon til en sømløs opplevelse!
Leverandørerklæringen ble utviklet i tett samarbeid med Cybersikkerhetssenteret i Sikt, der vi blant annet omformulerte spørsmålene fra KiNS (Foreningen kommunal informasjonssikkerhet) og KS SkoleSec (Kommunesektorens organisasjon) sine ressurser i prosessen til risikovurderingsarbeid.
Løsningen har som mål å
- forenkle dialog mellom leverandør og vertsorganisasjon
- tydeliggjøre ansvar for, og innhold i, en risikovurdering av en tjeneste
- senke terskelen for å kunne gjennomføre en vurdering av en tjeneste.
Vi har lansert en enkel, men konkret første versjon av erklæringen, i stedet for å spe på med funksjonalitet og innhold. Vi jobber smidig, og kommer til å fortsette å videreutvikle både leverandørerklæringen og resten av løsningen på bakgrunn av de tilbakemeldingene vi får.
