Krav til skoleeiere som skal bruke læringsplattformer
Sterk autentisering, databehandleravtale og risikovurdering er stikkord for kravene som stilles til skoleeiere som vil bruke læringsverktøy.
Sterk autentisering, databehandleravtale og risikovurdering er stikkord for kravene som stilles til skoleeiere som vil bruke læringsverktøy.
Datatilsynet gjennomførte for noen år siden tilsyn ved en rekke grunnskoler og videregående skoler for å se på hvilke rutiner skolene har for bruk av læringsplattformer.
Her har vi oppsummert noen viktige krav som stilles for bruk av denne type informasjonssystemer.
For ansattes tilgang til læringsplattformen mener vi at det må kreves en sterkere autentisering enn brukernavn og passord. Særlig gjelder dette når tilgang er mulig fra eksterne nett eller elevnett. Grunnen til at vi krever strengere sikkerhet ved ansattes innlogging utenfor de ansattes nettverk, er at en ansatt ved innlogging på en læringsplattform eller skoleadministrativt system får tilgang til personopplysninger om svært mange barn. Dersom uvedkommende klarer å skaffe seg et brukernavn og passord, er det mulig, å logge seg på systemet fra hvor som helst, uten å møte på flere hindre, og det kan de gjøre når som helst.
Brukernavn er ofte statisk og lett å gjette seg til. Passord er det også mulig å finne ut av. Uten et tiltak i tillegg til brukernavn og passord, er opplysningene om barna ikke godt nok beskyttet. Sterk autentisering gjør det betydelig vanskeligere for at noen som får tak i brukernavn og passord, klarer å skaffe seg tilgang til systemet. Med sterk autentisering mener vi for eksempel bruk av kodebrikke eller sikkerhetskode tilsendt på SMS, i tillegg til brukernavn og passord.
Sterk autentisering kan også realiseres i en fjernarbeidsløsning som gir tilgang til for eksempel læringsplattform, skoleadministrative system eller annet pedagogisk verktøy på nett.
For elevers og foresattes tilgang til læringsplattformen, mener vi at det er tilstrekkelig med innlogging med brukernavn og passord.
Skoleeierne må vite hvem som behandler opplysninger på deres vegne og etablere databehandleravtaler. De skal være kjent med sikkerhetsarbeidet hos leverandørene gjennom kunnskap om sikkerhetsstrategien til slike virksomheter. Videre skal de forsikre seg om at informasjonssikkerheten hos leverandøren er tilfredsstillende. Dette kan oppnås ved at skoleeier innhenter resultater fra ledelsesgjennomganger, sikkerhetsrevisjoner og avviksbehandlinger hos leverandøren av læringsplattformen de bruker.
Det er skoleeier som er ansvarlig for at risikovurderinger blir gjennomført og at det blir gjort nye vurderinger ved endringer som har betydning for informasjonssikkerheten. Vi mener at risikovurderinger skal gjøres ved innføring av nye systemer, ved endringer av eksisterende systemer og at de gjentas årlig.
Risikovurderinger kan gjøres som et gruppearbeid. På denne måten sikrer man at flest mulig scenarioer blir drøftet. For en skole kan en slik gruppe bestå av rektor, IKT-ansvarlig (fylkeskommunen/kommunen), sikkerhetsansvarlig (fylkeskommunen/kommunen), system-/fagansvarlig og lærere/pedagoger. Ved videregående skoler kan også elever delta i et slikt arbeid, siden de kan være litt mer kreative og kanskje kan tenke ut andre mulige uønskede hendelser enn de ansatte.
Vi mener også at det er en fordel å være konkrete når det gjelder hendelsene, men ikke så spesifikke at det vil være usannsynlig at de vil inntreffe. Vi oppfordrer dessuten til å beskrive årsaker i tillegg til hendelser. Det er viktig å vurdere både konsekvens og sannsynlighet. En hendelse kan være vurdert til lite sannsynlig, men ha stor konsekvens dersom den inntreffer.