Risikovurderinger

Internkontroll, informasjonssikkerhet og protokoll

Barnehage- og skoleeier er ansvarlig for å følge personvernregelverket. Dere må derfor ha et internkontrollsystem som blant annet sikrer at dere ivaretar barna og elevenes rettigheter. 

Internkontroll

Dere skal ha kontroll og oversikt over hvilke personopplysninger dere behandler i barnehagen eller skolen. Dette kalles internkontroll. Denne internkontrollen skal brukes som underlag for risikovurderinger.

Informasjonssikkerhet

Informasjonssikkerhet handler om å sikre at informasjonen

  • ikke blir kjent for uvedkommende
  • ikke blir endret av uvedkommende eller endret utilsiktet
  • er tilgjengelig ved behov

Informasjonen skal ikke være tilgjengelig for uvedkommende (konfidensialitet)

Barnehagen og skolen må sikre systemene slik at uvedkommende ikke får tak i data eller informasjon som finnes i systemene. Personer utenfor barnehagen eller skolen skal ikke få tilgang, og ansatte skal heller ikke ha tilgang til flere opplysninger enn det som er nødvendig for å utføre sin jobb.

Dere kan sikre dette ved blant annet å ha god kontroll på hvem som har tilgang til systemene, logge all tilgang, sørge for to-faktor autentisering og ha gode sletterutiner.

Informasjonen skal ikke kunne bli endret utilsiktet eller av uvedkommende (integritet)

Systemene må inneholde informasjon som er gyldig og korrekt. Opplysninger som er ufullstendige eller feil kan gjøre at dere tar beslutninger på et dårlig grunnlag, og at feilinformasjon kan bli videreformidlet.

Informasjonen skal være tilgjengelig ved behov (tilgjengelighet)

Personopplysningene skal til enhver tid være tilgjengelig for dem som har tjenstlig behov for tilgang til informasjonen. Hvis informasjonen ikke er tilgjengelig på grunn av for eksempel systemstans, kan dette forsinke eller stoppe viktige arbeids- og beslutningsprosesser. Hvis dere ikke finner igjen viktige opplysninger kan det skape utrygghet og mistillit.

Barnehage- og skoleeier må ha et bevisst forhold til hvem som skal ha tilgang til opplysningene. Dere må ivareta prinsippet om innebygd personvern.

Protokoll

Barnehager og skoler skal føre en oversikt over alle behandlinger av personopplysninger . Denne oversikten kalles protokoll. Dere kan bruke denne protokollen som underlag for risikovurderingen.

Protokoll over behandlingsaktiviteter (Datatilsynet)