Risikovurderinger

Arbeidet dere gjør før dere gjennomfører selve risikovurderingen vil være med på å prege resultatet.

Det første steget er å finne ut hva dere skal risikovurdere. Er det et IKT-system, en arbeidsprosess, bruken av ulike typer IKT-utstyr eller en bestemt tjeneste? Deretter bør dere prioritere de ulike områdene og beskrive områdene dere har valgt ut.

Deltagere

Det kreves ingen spesialkompetanse for å delta i en risikovurdering, annet enn den erfaringen dere har med systemet eller den arbeidsprosessen dere skal vurdere. Det er viktig at dere har med ressurspersoner som kjenner til de daglige rutinene og hvordan dere bruker systemene eller arbeidsprosessene dere skal vurdere. Dere bør også involvere ansatte som utfører oppgaver, har kompetanse eller særskilt ansvar på området.

Det vil være en fordel å ha flere å diskutere med og få ulike synspunkt på vurderingene dere skal gjøre. Da blir vurderingene godt gjennomtenkt, og representerer det flere av dere mener.

Lokale retningslinjer

Det er viktig å forholde seg til retningslinjer og reglement for risikovurderinger som finnes i deres barnehage eller skole. Dere bør avklare med leder eller eier om dere bruker egne systemer for risikovurderinger, slik at dere ikke gjennomfører risikovurderingen utenfor for eksempel kommunens system. Denne veilederen kan uansett hjelpe dere til å komme frem til de vurderingene dere skal gjøre i en risikovurdering.

Ofte vil barnehage- og skoleeier ha laget egne sikkerhetsmål. Dette kan gi en pekepinn på hva som er definert som tilfredsstillende sikkerhet i din barnehage eller skole.

Forankring i ledelsen

Uønskede hendelser dere avdekker i risikovurderingen, kan håndteres på ulike måter. Hendelser med høy risikofaktor, altså stor sannsynlighet og stort skadepotensiale, vil måtte håndteres av ledelsen eller ledere på eiernivå. Eier må bestemme hva dere eventuelt skal gjøre med risikoen, om dere skal godta risikoen, forkaste den eller iverksette sikringstiltak. Hvis det er nødvendig med nye sikringstiltak, vil dette kanskje koste penger. Dermed må tiltakene og kostnadene spilles inn i budsjettprosessen.

Hvordan risikovurderingsprosessen er forankret hos din leder er avgjørende for hva som blir resultatet av prosessen.

Avgrensning og omfang

For å lykkes med risikovurderingen, bør dere beskrive et tydelig og avgrenset område dere skal vurdere. Dere kan risikovurdere forskjellige elementer:

• et IKT-system
• en prosess
• digitale enheter og utstyr
• en tjeneste
• et bestemt personregister

Å risikovurdere for eksempel «bruk av IKT i skolen», blir sannsynligvis for upresist. Del opp risikovurderingen i mindre og håndterlige enkeltområder, og risikovurder hvert område for seg. Slike områder kan være

• skoleadministrativt system
• digitale læremidler og annen læringsteknologi
• digitale enheter som bærbar pc eller nettbrett
• Feide som innloggingsportal
• skolens hjemmeside
• bruken av skytjenester som Microsoft Azure, Google Cloud, Amazon Web Services eller live@edu
• lagring og fellesområder i skolen
• spesialundervisning og IOP
• bruken av bærbare lagringsmedier

Når dere har satt opp en liste over aktuelle enkeltområder, må dere velge hvilke av områdene dere ønsker å risikovurdere. Avgrensningen kan for eksempel se slik ut:

Risikovurderingen vil ta for seg systemer og prosesser i skolen der vi behandler personopplysninger ved hjelp av IKT. Følgende områder vil bli berørt:

• Feide
• skoleadministrativt system
• spesielt tilrettelagt undervisning (IOP)
• bruk av digitale enheter som bærbar PC eller nettbrett
• digitale læremidler og annen læringsteknologi

Områder som ikke står på listen, vil ikke være en del av prosjektet.

I vurderingen kan det være nyttig å ta for seg både et bestemt IKT-system og arbeidsprosessene som foregår i tilknytning til systemet. Da kan dere lettere se bruken av IKT i sammenheng med oppgavene dere ivaretar.

Det kan være nyttig å gi en kort beskrivelse av områdene dere ønsker å risikovurdere. Beskrivelsen kan inneholde følgende punkter:

• formålet med systemet eller prosessen
• hvordan fungerer systemet eller prosessen
• hvem bruker tjenesten eller prosessen

Beskrivelsen kan for eksempel se slik ut:

Beskrivelse av skolens hjemmesider

Formålet

Formålet med skolens hjemmesider er å ha en publiseringsportal for aktuell informasjon til alle skolenes eksterne brukergrupper, først og fremst foreldre.

Beskrivelse

Hjemmesidene skal være enkle å holde oppdatert med innhold og være enkle i teknisk drift. På skolens hjemmesider er det stort sett ledelsen, noen lærere eller en webansvarlig som publiserer innhold. Hjemmesidene brukes i liten grad til elevaktivitet. Kommunen har det tekniske ansvaret for hjemmesidene som driftes lokalt. Resten av hjemmesidene hostes hos diverse eksterne leverandører. En av hjemmesidene er basert på Microsoft Frontpage – redigering. Resten av de lokalt hostede sidene er basert på Joomla som CMS-system. De eksterne sidene driftes stort sett av Moava.

Hvem har tilgang

Lærerne og skolens ledelse er de som i hovedsak har redigeringstilgang til hjemmesidene. Noen skoler lar også utvalgte elever få publisere på hjemmesidene.