Legg til ny
    Legg til ny

    IST Everyday

    IST International Software Technology AS

    Om tenesta

    IST Everyday er eit administrasjonssystem for barnehage, skule og SFO. IST blir brukt til å handtera av sentrale kjerneprosessar som:

    • register over elevar, barnehagebarn, føresette og tilsette
    • fråvær, vurdering og dokumentasjon
    • kommunikasjon mellom heim og skule, SFO og barnehage
    • administrasjon knytt til skule, SFO og barnehage
    Plattform
    Bruksområde
    Er tenesta godkjent?
    Tenesta er godkjent for bruk i Suldal, Hjelmeland og Strand, men ikkje godkjent i Sauda.
    Kva kommunar bruker tenesta?
    Innlogging
    Feide, ID-Porten
    Lagring
    Filene blir lagra i skyteneste hjå leverandør
    Lisensmodell
    Tenesta er lisensbasert (betalt)
    Personvernrisiko

    Svært høg – Det blir lagra sensitive personopplysningar om elevane, som for eksempel ikkje-anonyme spørjeundersøkingar om læring og trivsel, fritekstfelt som legg opp til å skriva inn sensitive personopplysningar, eller liknande.

    Personopplysningar
    • Tenesta lagrar personopplysningar
    • Følgjande brukarar blir registrerte i tenesta: elevar, tilsette, føresette
    • Følgjande personopplysningar blir lagra i tenesta: namn, adresse, fødselsdato, fødselsnummer, telefonnummer, e-postadresse, målform, brukarnamn, rolle, gruppe, eining, organisasjon, undervegs-/sluttvurdering, fråver/merknader, fagleg progresjon, sensitive personopplysningar
    Databehandlarar
    • Leverandør: IST International Software Technology AS
    • Underleverandør(ar): IST Group AB, Untis GmbH, InfraCom Group AB/Cellip AB
    • Personopplysningar blir ikkje utleverte til tredjepart.
    • Personopplysningar blir ikkje overførte til tredjestat.
    Sikkerheitstiltak
    • Rutinar for lagring, sletting og informasjonstryggleik:

      • Lagring: Opplysningar blir lagra i IST så lenge kommunen treng dei for skule, barnehage, SFO, fakturering, dokumentasjon eller lovpålagde oppgåver.
      • Arkiv: Vedtak, søknader, samtykke og annan viktig dokumentasjon kan bli overført til kommunen sitt sak-/arkivsystem.
      • Sletting: Opplysningar som ikkje lenger trengst, og som ikkje skal arkiverast, skal slettast etter kommunen sine rutinar.
      • Fritekst: Ikkje skriv sensitive eller unødvendige opplysningar i fritekstfelt. Ved fråvær bør føresette skriva «sjuk», ikkje diagnose, symptom eller private detaljar.
      • Tilgang: Berre tilsette med tenestleg behov skal ha tilgang til opplysningar i systemet.
      • Trygg innlogging: Tilsette og føresette skal bruka godkjend innlogging, til dømes Feide eller ID-porten.
      • Sikkerheit: Opplysningar blir sikra med kryptering, tilgangsstyring, logging og sikkerheitskopiering.
      • Avvik: Feil, uventa innsyn, feilregistrering eller mistanke om misbruk skal meldast til skulen, barnehagen, SFO eller kommunen.
    • Organisatoriske sikkerheitstiltak: grundig opplæring i bruk av tenesta, registrering og oppfølging av avvik, inngått avtale med leverandør, systemansvarleg i kommunen, jamnleg testing av tenesta, dokumentasjon av tenesta
    • Tekniske sikkerheitstiltak: fleirfaktor-autentisering, passordbeskyttelse, kryptering, tilgangsavgrensing, sikkerheitskopiering, overvaking og logging
    Personvernstatus
    • Leverandørerklæring
    • Gjennomført innleiande vurdering?
    • Signert databehandlaravtale?
      Sauda, Suldal, Hjelmeland, Strand
    • Revisjonsfrist
      13.05.2026
    Personvernombod
    Samanstilling og presentasjon av funn
    • Lovleg, rettferdig og open behandling: Kommunane må sikra at behandlinga byggjer på offentleg mynde og lovpålagde oppgåver, og at elevar, føresette og tilsette får konkret og forståeleg informasjon om kva IST blir brukt til.
    • Føremålsavgrensing: Opplysningane skal berre brukast til administrasjon, oppfølging, kommunikasjon, dokumentasjon, arkivering, fakturering og rapportering innan skule, barnehage og SFO. Bruk til andre føremål må vurderast særskilt.
    • Dataminimering: Kommunane må avgrensa registrering til det som er nødvendig. Dette gjeld særleg fritekstfelt, fråværsmeldingar, merknader, sensitive opplysningar og opplysningar om barn med hemmeleg eller skjerma adresse.
    • Riktigheit: Kommunane må ha rutinar for kontroll og retting av opplysningar, særleg mot autoritative kjelder som FREG, HRM og økonomisystem. FREG-vask, direkteoppslag og fortløpande oppdatering må leverast, testast og dokumenterast.
    • Lagringsavgrensing: Opplysningar skal ikkje lagrast lenger enn nødvendig i IST. Arkivverdig dokumentasjon skal overførast til sak-/arkivsystem, medan opplysningar som ikkje lenger er nødvendige eller arkivpliktige, skal slettast eller anonymiserast.
    • Integritet og konfidensialitet: Kommunane må sikra tilgang etter tenestleg behov, trygg innlogging, kryptering, logging, opplæring og rutinar som hindrar at uvedkomande får tilgang til opplysningar.
    • Ansvarlegheit: Kommunane må kunna dokumentera vurderingar, rutinar, kontrollar, tilgangsgjennomgangar, avvik, DPIA, behandlingsprotokoll og leverandøroppfølging.
    • Innebygd personvern: Kommunane må følgja opp at systemet faktisk støttar dataminimering, rett tilgangsstyring, avgrensa fritekst, strukturert registrering og kontroll med vidare deling. Krav om innebygd personvern er ikkje nok dersom funksjonaliteten ikkje fungerer i praksis.
    • Personvern som standardinnstilling: Standardinnstillingane må vera dei mest personvernvennlege. Tilgangar, synlegheit, fritekstfelt og deling må ikkje vera vidare enn nødvendig frå starten av.
    • Rett til informasjon og innsyn: Elevar, føresette og tilsette må få klar informasjon om eigne rettar og korleis dei kan be om innsyn i opplysningar som er registrerte i IST.
    • Rett til retting og sletting: Kommunane må ha rutinar for å retta feil og vurdera krav om sletting, samtidig som arkivplikt og lovpålagd dokumentasjon blir ivaretatt.
    • Rett til avgrensing og protest: Krav om avgrensing eller protest må vurderast konkret, sjølv om behandlinga i hovudsak skjer som del av offentleg mynde og lovpålagde oppgåver.
    • Avgrensa bruk av samtykke: Samtykke skal berre brukast der det er reelt frivillig. Behandling som er nødvendig for skule, barnehage og SFO skal ikkje framstillast som samtykkebasert.
    • Kontroll med fritekst: Føresette må få beskjed om å ikkje skriva sensitive opplysningar i fråværsmeldingar. Tilsette må ha rutinar for å fjerna unødvendig fritekst og skriva nøkternt, konkret og nødvendig.
    • Kontroll med merknader: Kommunane må avklara kva merknader som er synlege for kven, og bør ikkje bruka IST til merknader dersom tilgangsstyring og synlegheit ikkje er godt nok avklart.
    • Konfidensialitet: Kommunane må sikra at berre personar med tenestleg behov får tilgang til opplysningar. Dette krev rollebasert tilgangsstyring, jamleg tilgangskontroll, opplæring og avgrensing av fritekst og merknader.
    • Integritet: Kommunane må sikra at opplysningar er korrekte, fullstendige og oppdaterte. Dette krev kontroll mot FREG, HRM og økonomisystem, dobbelkontroll ved kritiske endringar og testing av integrasjonar.
    • Tilgjengelegheit: Kommunane må sikra at kritiske oppgåver kan gjennomførast sjølv om IST er utilgjengeleg. Dette krev beredskapsrutinar, lokale oversikter over kritiske arbeidsprosessar og dokumentasjon på tekniske tiltak frå leverandør.
    • Rolle- og tilgangsstyring: Kommunane må laga ei konkret tilgangsmatrise for skule, barnehage, SFO, leiarar, merkantile brukarar, vikarar, administratorar og sentraladministrasjon.
    • Jamleg tilgangsgjennomgang: Tilgangar må kontrollerast minst årleg, og ved tilsetjing, rolleendring, permisjon, skulebyte eller avslutta arbeidsforhold.
    • Sterk autentisering: Innlogging skal sikrast med Feide, ID-porten og tofaktorautentisering der dette er kravsett, særleg for administrative roller og tilgang frå usikra nettverk.
    • Kryptering: Kommunikasjon til og frå systemet skal vera kryptert, og lagra data skal vera sikra med kryptering i ro.
    • Sikkerheitskopiering: Backup/sikkerheitskopiering er regulert i databehandlaravtalen og skal følgjast opp som eit etablert teknisk tiltak. Kommunane bør be om nærare dokumentasjon på frekvens, retensjon og testing.
    • Gjenoppretting: RITS må be leverandør dokumentera restore/gjenoppretting, inkludert test av gjenoppretting, RPO/RTO og kor raskt tenesta kan koma tilbake etter alvorleg hending.
    • Brannmur og infrastrukturredundans: RITS må be leverandør dokumentera brannmur, redundans, overvaking og andre tiltak som vernar drift og tilgjengelegheit.
    • Logging og sporbarheit: Kommunane må ha tilgang til relevante loggar for å kontrollera innsyn, endringar, feil, misbruk og avvik.
    • Avvikshandtering: Kommunane må ha rutinar for å melda, vurdera og handtera personvernavvik og informasjonssikkerheitsavvik, inkludert avvik knytt til feil tilgang, feil arkivering og feilregistrering.
    • Testing av integrasjonar: FREG, HRM, økonomi, SvarUt, sak-/arkivsystem, DocumentHub, rapportering og andre integrasjonar må testast jamleg.
    • Arkivtryggleik: Kommunane må kontrollera at arkivverdig dokumentasjon blir overført korrekt, med forståelege metadata, forklarande tekst og kvittering frå arkivsystemet.
    • Beredskap ved nedetid: Skule, barnehage og SFO må ha rutinar for fråvær, inn- og utsjekk, kontakt med føresette, oversikt over barn med særlege omsyn og etterregistrering når IST er oppe igjen.
    • Vikartryggleik: Kommunane må avklara om WebUntis vikarmodul er nødvendig for at vikarar skal få oppdatert og forsvarleg tilgang til fråvær, elevoversikt, timeplanendringar og kontaktinformasjon ved akutte hendingar.
    • Leverandøroppfølging: RITS må følgja opp alle manglar frå godkjenningsprøven som konkrete risikoar, og krevja dokumentasjon på tiltak, status, fristar og rest-risiko.
    • Risikovurdering av mellombelse løysingar: Skuggesystem, manuelle lister, lokale rekneark eller parallelle rutinar må risikovurderast særskilt før dei blir brukte.

    DPIA-arbeidet har identifisert fleire vesentlege risikoar for dei registrerte ved bruk av IST Everyday. Risikoane er vurderte med omsyn til sannsyn og konsekvens, og det er foreslått konkrete tiltak for å redusera risikoen. Til skilnad frå meir avgrensa fagsystem som Dysmate og Conexus Elevate, er IST Everyday eit breitt oppvekstadministrativt system som behandlar store mengder personopplysningar om barn, elevar, føresette og tilsette over tid. Dette omfattar òg sensitive opplysningar, fritekst, fråvær, merknader, inntektsopplysningar, skjermingsopplysningar, vurderingar, vedtak og dokumentasjon av oppfølging.

    Nokre av dei sentrale risikoane er:

    • Brot på konfidensialitet
      • Opphavleg vurdering: høg konsekvens og høg sannsyn.
      • Den mest alvorlege risikoen gjeld fråværstekst og merknader. Føresette kan skriva fråværsgrunn i fritekstfelt, og denne teksten er synleg for alle tilsette ved skulen. Alle tilsette kan òg lesa merknader om alle elevar ved skulen, også elevar dei ikkje har tenestleg behov for å følgja opp. I tillegg kan merknader bli synlege for elevar og føresette, sjølv om systemet gir inntrykk av at denne visinga er skrudd av.
      • Etter tiltak som informasjon til føresette, fjerning av unødvendig fritekst, avgrensing av merknadsbruk, testing av prøveroller og dialog med leverandør, blir rest-risikoen framleis vurdert som høg dersom tilgangsstyring og dataminimering ikkje blir endra i systemet.
    • Feil, mangelfulle eller utdaterte opplysningar
      • Opphavleg vurdering: høg konsekvens og middels til høg sannsyn.
      • Risikoen gjeld mellom anna feil i identitet, familierelasjonar, adresse, skjerming, fråvær, karakterar, vurdering, opphaldstid, fakturagrunnlag, vedtak, samtykke og dokumentasjon av oppfølging. Risikoen blir forsterka av funn knytt til FREG-vask, arkivflyt, manglande utsending gjennom SvarUt, uoversiktleg rapportering og behov for manuelle omvegar eller skuggesystem.
      • Etter tiltak som kontroll mot autoritative kjelder, dobbelkontroll ved kritiske endringar, testing av arkivflyt og opplæring i IST Analyse, blir rest-risikoen vurdert som middels til høg.
    • Manglande tilgjengelegheit
      • Opphavleg vurdering: middels til høg konsekvens og middels sannsyn.
      • IST Everyday blir brukt til dagleg drift, kommunikasjon, fråværsføring, inn- og utsjekk, søknadsbehandling, dokumentproduksjon, arkivering, rapportering og fakturering. Nedetid eller ustabile funksjonar kan føra til at kommunen mistar oversikt, forseinkar saksbehandling eller må bruka mindre sikre kanalar som e-post, SMS, lokale lister eller skuggesystem.
      • Etter tiltak som beredskapsrutinar, oversikt over kritiske arbeidsprosessar, testing av arkivflyt og dokumentasjon frå leverandør, blir rest-risikoen vurdert som middels.
    • Manglande reell openheit
      • Opphavleg vurdering: høg konsekvens og middels til høg sannsyn.
      • Behandlinga er omfattande og skjer gjennom fleire modular, roller, integrasjonar og dataflytar. Det kan vera vanskeleg for elevar, føresette og tilsette å forstå kva som blir registrert, kven som har tilgang, kva som blir overført vidare, og kva som faktisk er synleg i ulike delar av systemet. Risikoen er særleg tydeleg der systemet gir uklart inntrykk av om merknader er synlege for elevar og føresette.
      • Etter tiltak som konkret personverninformasjon, testing med prøveroller og tydeleg informasjon til tilsette og føresette, blir rest-risikoen vurdert som middels til høg.
    • Manglande reell føreseielegheit
      • Opphavleg vurdering: høg konsekvens og høg sannsyn.
      • Dei registrerte kan oppleva behandlinga som lite føreseieleg dersom det ikkje er tydeleg kva som blir registrert, kva det blir brukt til, kven som får tilgang, og kva konsekvensar registreringane kan få. Risikoen blir forsterka av fritekstfelt, merknader, samtykke, arkivering, rapportering og funksjonar som ikkje fungerer slik brukarane forventar.
      • Etter tiltak som klare lokale rutinar, avgrensing av fritekst, opplæring av tilsette og avklaring av synlegheit og tilgangar, blir rest-risikoen vurdert som middels til høg.
    • Manglande reell medbestemming
      • Opphavleg vurdering: middels til høg konsekvens og høg sannsyn.
      • Behandlinga skjer som del av kommunane sine lovpålagde oppgåver, og barn, elevar og føresette kan normalt ikkje velja bort systemet eller reservera seg mot hovudbehandlinga. Dei har likevel rett til informasjon, innsyn, retting og i nokre tilfelle avgrensing eller sletting.
      • Etter tiltak som tydeleg informasjon om kva som er lovpålagt, brukarmedverknad der det er mogleg, korrekt bruk av samtykke og låg terskel for retting, blir rest-risikoen vurdert som middels.
    • Manglande etterleving av innebygd personvern og dataminimering
      • Opphavleg vurdering: høg konsekvens og middels til høg sannsyn.
      • Krav om innebygd personvern er stilt, men godkjenningsprøven viser at prinsippa ikkje fungerer godt nok i praksis på fleire område. Dette gjeld særleg fråværstekst, merknader, tilgangsstyring, fritekstbruk, behov for manuelle omvegar og parallelle system.
      • Etter tiltak som avgrensing av fritekst, dialog med leverandør, tilgangskontroll og lokale rutinar, blir rest-risikoen vurdert som middels til høg.
    • Manglande dokumentasjon av tekniske tryggingstiltak
      • Opphavleg vurdering: middels til høg konsekvens og middels sannsyn.
      • Sikkerheitskopiering er regulert som eit etablert tiltak, men brannmur, konkret gjenoppretting og infrastrukturredundans er ikkje tilstrekkeleg dokumenterte. Dette påverkar særleg vurderinga av tilgjengelegheit, robustheit og evne til å handtera alvorlege hendingar.
      • Etter tiltak der RITS ber leverandør om dokumentasjon på tekniske tiltak, restore-testar, RPO/RTO og driftsarkitektur, blir rest-risikoen vurdert som middels.

    Samla sett er fleire risikoar reduserte gjennom organisatoriske, tekniske og praktiske tiltak, men ikkje alle er reduserte til låg risiko. Særleg konfidensialitetsrisikoen knytt til fråvær og merknader står igjen som høg dersom systemet framleis gir for brei tilgang eller uklår synlegheit.

    Den samla rest-risikoen blir difor vurdert som middels til høg. Behandlinga kan berre vurderast som forsvarleg dersom kommunane set tydelege vilkår for bruk, gjennomfører tiltaka i handlingsplanen, følgjer opp leverandøren tett og unngår bruk av funksjonar som ikkje har forsvarleg tilgangsstyring, dataminimering eller føreseieleg synlegheit.

    Gjennom DPIA- og ROS-prosessen er det identifisert fleire tiltak som må gjennomførast for at IST Everyday skal kunna brukast forsvarleg i RITS-kommunane.

    Handlingsplanen omfattar både etablerte tiltak som må vidareførast, og nye tiltak som må gjennomførast for å redusera rest-risiko knytt til konfidensialitet, integritet, tilgjengelegheit, openheit, føreseielegheit og dataminimering.

    1. Avklara og dokumentera tekniske sikkerheitstiltak frå leverandør

    • Tiltak: RITS ber leverandør om dokumentasjon på tekniske tiltak for tilgjengelegheit og robustheit, inkludert brannmur, sikkerheitskopiering, gjenoppretting/restore, infrastrukturredundans, overvaking, RPO/RTO og eventuelle testar av gjenoppretting.
    • Ansvar: RITS/systemeigar i samarbeid med IT og personvernombod.
    • Frist: Før endeleg godkjenning av DPIA, og deretter ved vesentlege endringar.

    2. Følgja opp uteståande krav frå godkjenningsprøven

    • Tiltak: RITS skal følgja opp alle uteståande krav og avvik frå godkjenningsprøven som konkrete risikoar. Dette gjeld særleg FREG-vask, direkteoppslag og fortløpande oppdatering, arkivflyt, SvarUt, DocumentHub, kommunikasjon, WYSIWYG-editor, rapportering, BASIL, søknadsskjema og vikarfunksjonalitet.
    • Ansvar: RITS/systemeigar i dialog med leverandør.
    • Frist: Løpande, med statusgjennomgang minst kvart kvartal til punkta er lukka.

    3. Sikra FREG-vask og oppdaterte folkeregisteropplysningar

    • Tiltak: RITS må følgja opp at FREG-vask, direkteoppslag og fortløpande oppdatering mot folkeregisteret er levert, testa og dokumentert. Kommunane må etablera rutinar for kontroll av sentrale opplysningar mot autoritative kjelder.
    • Ansvar: RITS/systemansvarleg i samarbeid med kommunane sine lokale administratorar.
    • Frist: Før full drift, og deretter ved årleg kontroll.

    4. Etablera rutinar for kontroll av sentrale opplysningar

    • Tiltak: Kommunane må etablera rutinar for kontroll av identitet, familierelasjonar, foreldreansvar, adresse, skjerming, fakturamottakar, opphaldstid, vedtak og sensitive opplysningar. Endringar i skjerming, foreldreansvar, adresse og fakturamottakar skal ha dobbelkontroll.
    • Ansvar: Lokal systemansvarleg/rektor/barnehagestyrar/SFO-leiar, avhengig av opplysningstype.
    • Frist: Før full drift, og deretter løpande.

    5. Avgrensa fritekst ved fråvær

    • Tiltak: Føresette må få tydeleg informasjon om at fråværsmeldingar ikkje skal innehalda sensitive eller unødvendige personopplysningar. Dei skal skriva «sjuk» som fråværsgrunn, ikkje konkrete helseopplysningar, diagnose, symptom eller andre private detaljar.
    • Ansvar: Skuleeigar utarbeider informasjon. Rektor sørgjer for utsending til føresette.
    • Frist: Før skulestart, og deretter årleg.

    6. Fjerna unødvendig fritekst frå fråværsmeldingar

    • Tiltak: Kontaktlærar må ha fast rutine for å velja rett fråværskode og deretter fjerna fritekst frå føresette når teksten ikkje er nødvendig å lagra vidare.
    • Ansvar: Rektor har ansvar for rutinen. Kontaktlærar gjennomfører.
    • Frist: Rutinen skal vera på plass før systemet blir brukt til fråværsføring. Kontroll minst årleg.

    7. Be leverandør endra fråværsløysinga
    Tiltak: Kommunane går i dialog med leverandør med mål om at fritekstfelt ved fråvær blir erstatta eller avgrensa med strukturerte og førehandsdefinerte alternativ.
    Ansvar: RITS/systemeigar.
    Frist: Skal meldast inn som krav/forbetringspunkt innan første ordinære leverandøroppfølging etter DPIA.

    8. Avklara synlegheit og tilgang til merknader
    Tiltak: Kommunen må avklara med leverandør kva merknader som faktisk blir viste og for kven. Innstillingane må dokumenterast, testast med prøveroller og formidlast tydeleg til tilsette.
    Ansvar: RITS/systemansvarleg i samarbeid med lokale administratorar og leverandør.
    Frist: Før eventuell bruk av merknadsfunksjonen.

    9. Avgrensa eller stoppa bruk av IST til merknader
    Tiltak: Skulen bør ikkje bruka IST til å registrera merknader så lenge tilgangsstyringa ikkje sikrar at berre tilsette med tenestleg behov får tilgang, og det er uklart om merknader er synlege for elevar og føresette. Kommunen bør vurdera eit betre eigna system for oppfølging av orden og oppførsel.
    Ansvar: Skuleeigar i samarbeid med rektorar og personvernombod.
    Frist: Før skulane eventuelt tek merknadsfunksjonen i bruk.

    10. Rutinar dersom IST likevel blir brukt til merknader
    Tiltak: Dersom skulen likevel bruker IST til merknader, må kommunen etablera tydelege rutinar for kven som kan skriva merknader, kva som kan registrerast, korleis tekstane skal formulerast, og korleis merknader skal følgjast opp. Merknader skal vera nøkterne, konkrete og utan unødvendige sensitive opplysningar.
    Ansvar: Skuleeigar utarbeider rutine. Rektor følgjer opp lokalt.
    Frist: Før eventuell bruk.

    11. Årleg kontroll av fråværstekst og merknader
    Tiltak: Kommunen som skuleeigar må gjennomføra jamleg kontroll av praksis for fråværstekst og merknader, inkludert stikkprøvar og kontroll av om rutinar blir følgde.
    Ansvar: Skuleeigar/systemansvarleg i samarbeid med rektor og personvernombod.
    Frist: Minst éin gong i året.

    12. Laga lokal rolle- og tilgangsmatrise
    Tiltak: Kommunane må laga ei konkret rolle- og tilgangsmatrise for skule, barnehage, SFO, leiing, merkantile tilsette, lærarar, miljøarbeidarar, vikarar, administratorar og sentraladministrasjon. Matrisa skal visa kva tilgangar kvar rolle skal ha, og kva tilgangar dei ikkje skal ha.
    Ansvar: Systemansvarleg i kvar kommune, i samarbeid med RITS og lokale leiarar.
    Frist: Før full drift, og deretter ved større endringar.

    13. Jamleg gjennomgang av tilgangar
    Tiltak: Tilgangar skal kontrollerast jamleg for å sikra at berre personar med tenestleg behov har tilgang. Tilgangar skal fjernast ved avslutta arbeidsforhold, rolleendring, permisjon eller byte av eining.
    Ansvar: Lokal administrator/rektor/styrar/SFO-leiar.
    Frist: Minst to gonger i året, og alltid ved rolleendring.

    14. Avklara tilgang til loggar
    Tiltak: Kommunane må avklara kva loggar som finst, kva dei viser, kven som kan lesa dei, kor lenge dei blir lagra, og korleis dei kan brukast ved kontroll, innsyn, mistanke om feil tilgang eller avvik.
    Ansvar: RITS/systemansvarleg i samarbeid med leverandør og personvernombod.
    Frist: Før endeleg godkjenning av DPIA.

    15. Rutinar for arkivflyt og dokumentoverføring
    Tiltak: Kommunane må sikra at arkivverdig dokumentasjon blir overført korrekt til sak-/arkivsystem, med forståelege metadata og forklarande tekst. Dette gjeld mellom anna vedtak, samtykke, søknader, dokumentasjon og standardbrev.
    Ansvar: Arkivansvarleg i kvar kommune, i samarbeid med systemansvarleg og RITS.
    Frist: Før full drift, og deretter løpande.

    16. Testa arkivflyt jamleg
    Tiltak: Kommunane må testa overføring til sak-/arkivsystem jamleg, inkludert SvarUt, DocumentHub og kvitteringar frå arkivsystemet. Det skal førast avvik dersom dokument ikkje blir sendt, arkivert eller kvittert korrekt.
    Ansvar: Arkivansvarleg og systemansvarleg.
    Frist: Før full drift, deretter minst éin gong i året og ved endringar.

    17. Opplæring i IST Analyse og rapportering
    Tiltak: RITS ber leverandør gi opplæring i IST Analyse og rapportering, særleg knytt til faktisk opphaldstid i barnehage som fakturagrunnlag, GSI, BASIL og andre rapportar som blir brukte til styring, kontroll eller rapportering.
    Ansvar: RITS/systemeigar i samarbeid med leverandør.
    Frist: Før rapportering eller fakturering byggjer på slike rapportar.

    18. Kontroll av fakturagrunnlag
    Tiltak: Kommunane må ha rutinar for å kontrollera fakturagrunnlag, moderasjon, opphaldstid, fakturamottakar og eventuelle endringar før fakturering.
    Ansvar: Barnehage-/SFO-administrasjon og økonomiavdeling.
    Frist: Før første fakturakøyring etter implementering, deretter løpande.

    19. Avklara WebUntis vikarmodul
    Tiltak: Kommunane må avklara om WebUntis vikarmodul er nødvendig for forsvarleg drift av skulane. Dersom modulen ikkje blir teken i bruk, må kommunane risikovurdera korleis vikarar skal få nødvendig og oppdatert tilgang til fråvær, elevoversikt, timeplanendringar og kontaktinformasjon til føresette ved akutte hendingar.
    Ansvar: Skuleeigar i samarbeid med rektorar, RITS og IT.
    Frist: Før neste skuleår eller før ny vikarordning blir teken i bruk.

    20. Beredskapsrutinar ved nedetid
    Tiltak: Kommunane må etablera beredskapsrutinar for korleis skule, barnehage og SFO skal kunna gjennomføra kritiske oppgåver dersom IST er utilgjengeleg. Dette gjeld mellom anna fråvær, inn- og utsjekk, kontakt med føresette, oversikt over barn med særlege omsyn og etterregistrering når systemet er tilgjengeleg igjen.
    Ansvar: Skuleeigar/barnehageeigar/SFO-ansvarleg i samarbeid med lokale leiarar.
    Frist: Før full drift.

    21. Lokal oversikt over kritiske arbeidsprosessar
    Tiltak: Kvar skule, barnehage og SFO må laga ei liste over kritiske arbeidsprosessar som ikkje kan stoppa ved nedetid. Lista skal visa kva oppgåver som må løysast, kven som har ansvar, kvar nødvendig informasjon finst, og kva som må etterregistrerast.
    Ansvar: Rektor, styrar og SFO-leiar.
    Frist: Før full drift, og deretter årleg revisjon.

    22. Informasjon til elevar, føresette og tilsette
    Tiltak: Kommunane må utarbeida konkret informasjon om bruk av IST Everyday. Informasjonen skal forklara føremål, kva opplysningar som blir registrerte, kven som har tilgang, kva som blir overført vidare, bruk av fritekst, fråvær, merknader, arkiv, rapportering og kva rettar dei registrerte har.
    Ansvar: Skuleeigar/systemansvarleg i samarbeid med personvernombod. Rektor/styrar/SFO-leiar formidlar lokalt.
    Frist: Før full drift, og deretter årleg eller ved større endringar.

    23. Testa synlegheit med prøveroller
    Tiltak: Kommunane må testa kva elevar, føresette, lærarar, kontaktlærarar, leiarar, merkantile brukarar og administratorar faktisk kan sjå i systemet. Testane skal dokumenterast og brukast til opplæring og rutinar.
    Ansvar: Systemansvarleg i samarbeid med lokale administratorar.
    Frist: Før full drift, og ved større endringar i systemet.

    24. Opplæring av tilsette
    Tiltak: Tilsette må få opplæring i trygg bruk av IST Everyday, med særleg vekt på teieplikt, tilgang etter tenestleg behov, fritekst, fråvær, merknader, arkivflyt, dokumentasjon, avvik og kva elevar/føresette kan sjå.
    Ansvar: Skuleeigar/systemansvarleg. Rektor/styrar/SFO-leiar følgjer opp lokalt.
    Frist: Før bruk, og deretter årleg.

    25. Rutinar for avvikshandtering
    Tiltak: Kommunane må ha tydelege rutinar for å melda og handtera personvernavvik og informasjonssikkerheitsavvik. Dette gjeld mellom anna feil tilgang, feilregistrering, feil arkivering, feil mottakar, utilsikta deling, manglande sletting og bruk av usikre kanalar.
    Ansvar: Alle tilsette melder. Rektor/styrar/SFO-leiar handterer lokalt. Personvernombod og systemansvarleg blir involverte ved behov.
    Frist: Før full drift, og deretter løpande.

    26. Rutinar for retting, sletting og avgrensing
    Tiltak: Kommunane må ha rutinar for å handtera krav om innsyn, retting, sletting og avgrensing. Det må vera tydeleg kva som kan rettast eller slettast i IST, kva som er arkivpliktig, og kva som eventuelt må rettast i fleire system.
    Ansvar: Systemansvarleg i samarbeid med arkivansvarleg og personvernombod.
    Frist: Før full drift.

    27. Avgrensa bruk av samtykke
    Tiltak: Kommunane må sikra at samtykke berre blir brukt der det faktisk er frivillig, spesifikt og mogleg å trekkja tilbake. Lovpålagd behandling skal ikkje framstillast som samtykkebasert.
    Ansvar: Systemansvarleg i samarbeid med personvernombod og fagansvarlege.
    Frist: Før bruk av samtykkefunksjonar.

    28. Risikovurdera mellombelse løysingar og skuggesystem
    Tiltak: Dersom kommunane må bruka manuelle lister, rekneark, e-post, SMS, skuggesystem eller parallelle system fordi IST ikkje dekker behovet, skal dette risikovurderast særskilt.
    Ansvar: Lokal leiar i samarbeid med systemansvarleg og personvernombod.
    Frist: Før løysinga blir teken i bruk.

    29. Følgja opp innebygd personvern i praksis
    Tiltak: Kommunane må følgja opp at innebygd personvern og personvern som standardinnstilling faktisk fungerer i praksis. Dette gjeld særleg dataminimering, tilgangsstyring, fritekst, merknader, arkivflyt, kommunikasjon og rapportering.
    Ansvar: RITS/systemeigar i samarbeid med personvernombod.
    Frist: Ved årleg revisjon og ved endringar i systemet.

    30. Oppdatera DPIA ved vesentlege endringar
    Tiltak: DPIA-en skal oppdaterast dersom det kjem nye modular, nye integrasjonar, endra tilgangsstyring, endra synlegheit, nye rapportar, nye underdatabehandlarar eller endra bruk av systemet.
    Ansvar: Systemeigar/systemansvarleg i samarbeid med personvernombod.
    Frist: Løpande, før endringa blir teken i bruk.

    31. Årleg samla internkontroll

    • Tiltak: Kommunane må gjennomføra årleg internkontroll av IST Everyday. Kontrollen bør omfatta tilgangar, fråværstekst, merknader, arkivflyt, rapportering, avvik, sletting, loggar, beredskap og leverandøroppfølging.
    • Ansvar: Systemeigar/systemansvarleg i samarbeid med personvernombod, arkivansvarleg og lokale leiarar.
    • Frist: Éin gong per år.

    Tiltak 1, 3, 5, 8, 12, 14, 20, 22, 23, 24, 25 og 26 bør vera på plass før full drift eller vidare brei bruk av IST Everyday. Tiltak 2, 7, 15, 16, 17, 19, 28, 29, 30 og 31 er løpande oppfølgingstiltak som må inngå i ordinær internkontroll og leverandøroppfølging.

    Handlingsplanen skal sikra at identifiserte risikoar blir følgde opp systematisk, og at kommunane har kontroll med både tekniske, organisatoriske og praktiske sider ved behandlinga. Den samla rest-risikoen er ikkje låg, og forsvarleg bruk føreset at tiltaka blir gjennomførte, dokumenterte og følgde opp av systemeigar, systemansvarlege og lokale leiarar.

    Behandlinga sin art

    IST Everyday er eit oppvekstadministrativt system for skule, barnehage og SFO, og omfattar registrering, oppdatering, bruk, deling, rapportering, arkivering og sletting av personopplysningar om barn, elevar, føresette og tilsette. Behandlinga er relatert til både administrativ og pedagogisk arbeid, i tillegg til saksbehandling, og omfattar både strukturerte data og fritekst.

    Kor kjem personopplysningane frå?

    Personopplysningane kjem frå fleire kjelder. Dei blir registrerte av føresette, tilsette, leiarar og administratorar, og blir i tillegg henta eller utveksla gjennom integrasjonar med folkeregisteret, Feide, ID-porten, personalsystem, økonomisystem, timeplansystem, SvarUt og sak-/arkivsystem. Det blir òg registrert nye opplysningar ved dagleg bruk av systemet, for eksempel fråvær, meldingar, vurderingar, søknader, vedtak, notat, rapportar og loggar.

    Kor blir personopplysningane lagra?
    i skyteneste hjå leverandør

    Korleis blir personopplysningane lagra?

    Opplysningane blir lagra i ei skybasert teneste levert av IST. Løysinga inneheld både løpande administrative opplysningar og dokumentasjon som kan vera arkivverdig, for eksempel vedtak, samtykke, fråvær, vurderingar, notat og opplysningar knytt til plassering, oppfølging og fakturering.

    Korleis blir personopplysningane brukte?

    Opplysningane blir brukte for å administrera skule, barnehage og SFO, følgja opp barn og elevar, kommunisera med føresette, dokumentera vedtak og vurderingar, føra fråvær, handtera opptak og plassering, laga rapportar, overføra arkivverdig dokumentasjon og oppfylla lovpålagde krav til drift, rapportering og saksbehandling.

    Kven har tilgang til personopplysningane?

    Tilgang skal styrast etter rolle, ansvar, tenestleg behov og tilknyting til barn, elevar, grupper, fag, skule eller kommune. Tilsette, leiarar, merkantile brukarar, administratorar, føresette og elevar har ulike tilgangar, og skal i teorien få desse tildelt automatisk i systemet. Godkjenningsprøven viser likevel at tilgangsstyringa i praksis har fleire svakheiter, særleg for faste vikarar, korttidsvikarar og tilsette som har roller i både skule og SFO.

    Behandlinga sitt omfang

    Behandlinga omfattar alle kommunale skular, barnehagar og SFO-ar i RITS-kommunane, og gjeld store mengder personopplysningar om barn, elevar, føresette og tilsette. Omfanget er stort fordi systemet er eit sentralt fagsystem for oppvekstsektoren, behandlar opplysningar om barn over tid, og kan innehalda helseopplysningar, inntektsopplysningar, opplysningar om barn som bur på hemmeleg adresse, faglege vurderingar, enkeltvedtak, IOP, fritekst, fråvær, karakterar, familierelasjonar og økonomi-/fakturagrunnlag.

    Kva slags personopplysningar blir lagra?
    namn, adresse, fødselsdato, fødselsnummer, telefonnummer, e-postadresse, målform, brukarnamn, rolle, gruppe, eining, organisasjon, undervegs-/sluttvurdering, fråver/merknader, fagleg progresjon, sensitive personopplysningar

    Blir det behandla sensitive personopplysningar (særskilde kategoriar av personopplysningar)?
    Ja, det blir behandla særskilde kategoriar av personopplysningar (sensitive personopplysningar).

    Behandlinga omfattar både alminnelege personopplysningar og særlege kategoriar personopplysningar om barn, elevar, føresette og tilsette. Dette gjeld mellom anna namn, fødselsnummer, kontaktopplysningar, familierelasjonar, klasse, gruppe, plassering, fråvær, karakterar, vurderingar, samtykke, søknader, fakturagrunnlag, inntektsopplysningar, opplysningar om helseforhold, IOP, sakkyndige vurderingar, pedagogiske rapportar, notat frå møte, observasjonar, fritekstfelt og opplysningar om barn som bur på hemmeleg eller skjerma adresse.

    Dei sensitive opplysningane blir behandla fordi kommunane har lovpålagde oppgåver innan skule, barnehage og SFO, og fordi behandlinga er nødvendig for å oppfylla rettar og plikter etter opplæringslova, barnehagelova, forvaltningslova og tilhøyrande forskrifter.

    Det rettslege grunnlaget for den alminnelege behandlinga er personvernforordninga artikkel 6 nr. 1 bokstav e, medan behandling av særlege kategoriar personopplysningar blir vurdert etter artikkel 9 nr. 2 bokstav h, der opplysningane er nødvendige for å gje, forvalta eller følgja opp pedagogiske, spesialpedagogiske, helse- eller velferdsrelaterte tiltak innanfor dei kommunale tenestene.

    Kva kommunar blir det samla inn personopplysningar frå?
    Hjelmeland, Strand, Suldal

    Kven og kor mange blir det samla inn personopplysningar om?
    mellom 1.000 og 9.999 elevar, tilsette, føresette

    Kor ofte blir det samla inn personopplysningar?
    fleire gonger, regelmessig, kontinuerleg

    Kor lenge blir personopplysningane lagra?

    Personopplysningane blir lagra så lenge det er nødvendig for å levera tenesta og oppfylla kommunane sine lovpålagde oppgåver innan skule, barnehage og SFO. Ved avslutning av avtalen med leverandør skal opplysningane tilbakeleverast til kommunen, og leverandør skal sletta alle personopplysningar og annan relevant informasjon innan 30 kalenderdagar. Arkivverdig dokumentasjon blir fortløpande overført til kommunen sitt sak-/arkivsystem, og blir behandla etter gjeldande arkivreglar.

    Behandlinga sin kontekst

    Behandlinga skjer som del av kommunane si lovpålagde drift av skule, barnehage og SFO. IST Everyday er eit sentralt fagsystem for administrasjon, oppfølging, kommunikasjon, dokumentasjon, rapportering og saksbehandling. Tenesta blir brukt i kvardagen av tilsette, leiarar, administratorar, elevar og føresette, og behandlinga skjer over tid medan barnet, eleven eller den tilsette har tilknyting til kommunen sine oppveksttenester.

    Kommunane har ei offentleg rolle som styresmakt ovafor barn, elevar og føresette, og relasjonen er ikkje jamstilt. Dei registrerte kan normalt ikkje velja bort behandlinga dersom dei skal få barnehageplass, SFO-tilbod eller grunnskuleopplæring.

    Behandlinga gjeld i stor grad barn og elevar, som er sårbare registrerte etter personvernregelverket. Det blir behandla opplysningar om dei, fordi kommunane må kunna administrera tenestene, følgja opp rettar og plikter, dokumentera vedtak, vurdera behov for tilrettelegging og sikra forsvarleg oppfølging. Dette kan omfatta sensitive opplysningar som helseforhold, sakkunnige vurderingar, IOP, fråvær, familierelasjonar, inntektsopplysningar og opplysningar om barn med skjerma eller hemmeleg adresse.

    Den registrerte har avgrensa kontroll over behandlinga, fordi IST Everyday blir brukt til lovpålagde kommunale oppgåver innan skule, barnehage og SFO. Barn, elevar og føresette kan ikkje fritt velja bort behandlinga, men dei har rett til informasjon, innsyn, retting og i nokre tilfelle sletting eller avgrensing. Føresette kan i nokre delar av løysinga oppdatera eigne kontaktopplysningar, svara på søknader, gje eller trekkja samtykke og kommunisera med eininga.

    Dei registrerte oppfattar sannsynlegvis behandlinga som nødvendig og naturleg, sidan systemet blir brukt til dagleg administrasjon, kommunikasjon og oppfølging. Samtidig kan behandlinga opplevast som lite oversiktleg, fordi systemet omfattar mange opplysningstypar, fleire modular, integrasjonar og mottakarar. Risikoen for uføreseielegheit aukar dersom føresette og elevar ikkje får tydeleg informasjon om kva som blir registrert, kven som har tilgang, kor lenge opplysningane blir lagra og kva som blir overført til andre system.

    Personvernprinsippa

    Kva er behandlingsgrunnlaget?
    Nødvendig for å utøva offentleg mynde.

    Kommunane har lovpålagde oppgåver som skuleeigar, barnehagemyndigheit, barnehageeigar og ansvarleg for SFO, og desse oppgåvene kan ikkje gjennomførast forsvarleg utan systematisk behandling av personopplysningar om barn, elevar, føresette og tilsette. IST Everyday blir brukt for å oppfylla plikter etter mellom anna opplæringslova, barnehagelova, forvaltningslova og tilhøyrande forskrifter, for eksempel innskriving, opptak, plassering, oppmøte- og fråværsføring, vurdering, dokumentasjon av vedtak, kommunikasjon med føresette, rapportering, arkivering og administrasjon av ressursar og personale. Behandlinga er nødvendig for at kommunane skal kunna ha korrekte og oppdaterte opplysningar, sikra rett oppfølging av barn og elevar, dokumentera lovpålagde avgjerder og utøva offentleg mynde på ein trygg, effektiv og etterprøvbar måte.

    Føremålet med behandlinga er å bruka IST Everyday som eit felles oppvekstadministrativt system for skule, barnehage og SFO i RITS-kommunane. Systemet skal støtta kommunane si lovpålagde drift, administrasjon, saksbehandling, dokumentasjon, kommunikasjon og oppfølging av barn, elevar, føresette og tilsette etter opplæringslova, barnehagelova, forvaltningslova og tilhøyrande forskrifter. Behandlinga skal mellom anna gjera det mogleg å ha oppdaterte opplysningar om barn og elevar, handtera innskriving, opptak, plassering, oppmøte, fråvær, karakterar, vurdering, samtykke, vedtak, fakturagrunnlag, rapportering, arkivering og kommunikasjon mellom heim og eining.

    Blir personopplysningane brukte til…

    … kontrollføremål (skatt, NAV, toll, politi, forsikring)?
    … systematisk og omfattande analyse av personlege aspekt?
    … avgjerder som får betydning for den registrerte?
    … profilering av den registrerte?
    … avdekka ukjende sider eller mønster?
    … vidarebehandling til nye formål (t.d. forsking)?

    Berre opplysningar som er nødvendige for føremålet, skal behandlast. Dette er særleg viktig fordi systemet behandlar opplysningar om barn, inkludert sensitive opplysningar, fritekst og opplysningar om familiar. Godkjenningsprøvane viser likevel risiko for manglande dataminimering i praksis, særleg ved utfordringar med tilgangsstyring, behov for parallelle system, "skuggeføringar", fritekstfelt og funksjonar som ikkje fullt ut støttar prinsippet om dataminimering.

    Opplysningane må vera korrekte og oppdaterte, sidan dei kan påverka oppfølging, vedtak, fakturering, rapportering, tilgangar og kommunikasjon med føresette. Dette krev gode rutinar for registrering, kontroll og retting, òg når det gjeld synkronisering mot kjelder som folkeregisteret og personalsystemet. Uavklart eller mangelfull oppdatering mot folkeregisteret, direkteoppslag eller fortløpande oppdatering frå folkeregisteret inneber ein risiko for feil eller utdaterte personopplysningar.

    Opplysningar skal ikkje lagrast lenger enn nødvendig for føremålet. Personopplysningane skal lagrast så lenge dei trengst for å utføra og oppfylla kommunane sine lovpålagde oppgåver. Ved avslutning av avtalen skal opplysningar leverast tilbake til kommunen, og leverandør skal sletta alle personopplysningar seinast innan 30 kalenderdagar. Arkivverdig dokumentasjon blir fortløpande overført til kommunen sitt sak-/arkivsystem, og blir behandla etter gjeldande arkivreglar.

    Kommunane er behandlingsansvarlege og har ansvar for at behandlinga har gyldig rettsgrunnlag, er nødvendig, forholdsmessig og trygg. IST er databehandlar og skal berre behandla personopplysningar etter dokumenterte instruksar frå kommunane. Eventuelle underdatabehandlarar skal vera godkjende og bundne av tilsvarande krav til tryggleik og personvern. Internt må kommunane ha tydelege roller for systemansvar, tilgangsstyring, arkiv, avvik, opplæring, kontroll og oppfølging av leverandør.

    Dei registrerte sine rettar og fridommar

    Dei registrerte skal få klar og forståeleg informasjon om kva opplysningar som blir behandla, kvifor dei blir behandla, kven som har tilgang, kva system og mottakarar som blir brukte, og kva rettar dei registrerte har. Dei har òg rett til innsyn i eigne personopplysningar. Kommunane må sikra at informasjonen er lett tilgjengeleg for føresette, elevar og tilsette, og at krav om innsyn blir handterte innan gjeldande fristar.

    Dei registrerte har rett til å få retta feilaktige personopplysningar. Sletting kan krevjast der vilkåra er oppfylte, men retten er avgrensa. Kommunane kan avslå krav om sletting av opplysningar, dersom dei er nødvendige for lovpålagde oppgåver eller skal bevarast etter arkivregelverket. Kommunane må ha rutinar for å vurdera slike krav konkret, og for å sikra at feil blir retta både i IST og i eventuelle andre system som har fått overført feil opplysningar.

    Dei registrerte kan i visse tilfelle krevja avgrensing av behandlinga eller protestera mot behandling. Sidan hovudgrunnlaget for behandlinga er offentleg mynde og lovpålagde oppgåver, vil retten til protest ofte vera svært avgrensa, men kvart enkelt krav om avgrensing eller protest må likevel vurderast konkret. Dataportabilitet er lite relevant, så lenge behandlinga ikkje byggjer på samtykke eller avtale, men kommunane må kunna gje innsyn og utlevera opplysningar dersom regelverket krev det.

    Behandlinga kan påverka dei registrerte sine fridommar, fordi systemet samlar og behandlar mykje informasjon om barn, elevar, føresette og tilsette over tid. Feil tilgangar, feil opplysningar, manglande sletting, dårleg arkivflyt, svake loggar eller bruk av parallelle system kan svekka retten til privatliv, konfidensialitet, kontroll over eigne opplysningar og tillit til kommunen si behandling av personopplysningar. Risikoen er særleg høg for barn, elevar med særlege behov og familiar med skjerma adresse, og krev difor strenge tiltak for dataminimering, tilgangsstyring, informasjon, sporbarheit og kontroll.

    Risiko- og sårbarheitsvurdering

    Risiko: Personopplysningar om elevar er tilgjengelege for fleire tilsette enn det som er tenestleg nødvendig. Den mest konkrete risikoen gjeld fråvær og merknader. Når føresette melder fråvær, kan dei skriva grunnen i fritekstfelt, og denne teksten er synleg for alle tilsette ved skulen. Fråværsgrunnen kan innehalda helseopplysningar eller andre private forhold. I tillegg kan alle tilsette ved skulen lesa merknader om alle elevar ved skulen, òg elevar som dei ikkje har ansvar for eller tenestleg behov for å følgja opp. Merknader blir òg synlege for elevar og føresette, sjølv om systemet gjev inntrykk av at denne visinga er skrudd av. Dette kan føra til at tilsette skriv merknader i tru om at dei berre er interne, medan merknadskoden (utan forklarande tekst) likevel blir delt med elev og føresette.

    Konsekvens: Høg. Fråværsteksten kan innehalda sensitive opplysningar, for eksempel helse, familieforhold eller andre private årsaker. Dersom slike opplysningar er tilgjengelege for alle tilsette ved skulen, er det eit brot på prinsippa om dataminimering og tilgang etter tenestleg behov. Mangelen på tilgangsstyring av merknader er eit brot på forventa konfidensialitet, særleg dersom dei er synlege for tilsette utan tentsleg behov, eller at dei blir delte med elevar og føresette som ikkje skulle hatt tilgang.

    Sannsyn: Høg. Risikoen ligg først og fremst i manglande funksjonalitet for dataminimering og tilgangsstyring knytt til fråvær og merknader. Når fritekst frå føresette er synleg for alle tilsette ved skulen, og alle tilsette kan lesa merknader om alle elevar ved skulen, er det sannsynleg at fleire får tilgang til opplysningar som dei ikkje har tenestleg behov for.

    Tiltak:

    • Føresette må få tydeleg informasjon om at fråværsmeldingar ikkje skal innehalda sensitive eller unødvendige personopplysningar. Skriv «sjuk» som fråværsgrunn, i staden for konkrete helseopplysningar, diagnose, symptom eller andre private detaljar som skulen ikkje treng for å registrera fråværet.
    • Kontaktlærar må ha som fast rutine å velja rett fråværskode, og deretter fjerna fritekst frå føresette når teksten ikkje er nødvendig å lagra vidare.
    • RITS går i dialog med leverandør, med mål om at fritekstfelt ved fråvær blir erstatta med strukturerte og førehandsdefinerte alternativ.
    • RITS må avklara med leverandør kva merknader som faktisk blir viste og for kven, dokumentera innstillingane, testa dette med prøveroller og informera dei tilsette ved skulane om kva merknader som er synlege for kven.
    • Skulen bør ikkje bruka IST til å registrera merknader, så lenge tilgangsstyringa ikkje sikrar at berre tilsette med tenestleg behov får tilgang, og det er uklart om merknader er synlege for elevar og føresette. Kommunen bør fortrinnsvis bruka eit betre eigna system, der tilgangsstyring og oppfølging av elevane er betre varetatt.
    • Dersom skulen likevel bruker IST til å registrera merknader, må kommunen etablera tydelege rutinar for kven som kan skriva merknader, kva som kan registrerast, korleis tekstar skal formulerast og korleis merknader skal følgjast opp. Merknader bør som hovudregel skrivast nøkternt, konkret og utan unødvendige sensitive opplysningar.
    • Kommunen som skuleeigar må gjennomføra jamleg kontroll, minst éin gong i året, av praksis for fråværstekst og merknader.

    Rest-risiko: Rest-risikoen blir verande høg dersom systemet framleis viser fråværstekst eller merknader til fleire tilsette enn dei som har tenestleg behov, og dersom merknader som tilsette oppfattar som interne, likevel blir tilgjengelege for elevar og føresette. Risikoen kan reduserast gjennom tydelege rutinar, opplæring og endring av praksis. Rest-risikoen blir først akseptabel når

    • reell tilgangsstyring og dataminimering for fråvær og merknader er etablert, testa og dokumentert,
    • eller at føresette og skulen avgrensar fritekst ved fråvær, og kommunen vel eit anna og betre eigna system for oppfølging av orden og oppførsel.

    Risiko: Personopplysningar kan bli feilregistrerte, mangelfulle, utdaterte, arkiverte feil eller brukte i feil samanheng. Dette kan gjelda opplysningar om identitet, familierelasjonar, adresse, skjerming, fråvær, karakterar, vurdering, opphaldstid, fakturagrunnlag, vedtak, samtykke og dokumentasjon av oppfølging. Risikoen blir forsterka av funn i godkjenningsprøven knytt til FREG-vask, arkivflyt, manglande utsending gjennom SvarUt, uoversiktleg rapportering og behov for manuelle omvegar og «skuggesystem».

    Konsekvens: Høg. Feil eller mangelfulle opplysningar kan føra til feil vedtak, feil faktura, feil oppfølging av barn og elevar, feil rapportering, brot på dokumentasjonsplikt, manglande informasjon og etterprøvbarheit og svekka rettstryggleik. For barn med hemmeleg eller skjerma adresse, kan feil opplysningar eller feil tilgang få særleg alvorlege konsekvensar.

    Sannsyn: Middels til høg. Mykje av behandlinga skjer gjennom manuelle registreringar, lokale rutinar og integrasjonar. Godkjenningsprøven viser fleire område der løysinga ikkje fungerer godt nok i praksis, mellom anna FREG-vask og fortløpande oppdatering mot folkeregisteret, samtykkeskjema som blir arkiverte utan å visa kva dei føresette har gjeve samtykke til, samt manglar i overføring til arkiv.

    Tiltak:

    • Kommunane må etablera rutinar for kontroll av sentrale opplysningar mot autoritative kjelder, særleg FREG, HRM og økonomisystem.
    • RITS må følgja opp at FREG-vask, direkteoppslag og fortløpande oppdatering er levert, testa og dokumentert.
    • Kommunane må etablera rutinar for dobbelkontroll ved endring av skjermingsopplysningar, foreldreansvar, adresse, fakturamottakar, vedtak og sensitive opplysningar.
    • Kommunane må sikra at arkivverdig dokumentasjon blir overført korrekt til sak-/arkivsystem, med forståeleg metadata og forklarande tekstar.
    • Kommunane må etablera rutinar for å testa overføring til sak-/arkivsystem jamleg, og føra avvik dersom dokument ikkje blir sendt, arkivert eller kvittert korrekt.
    • RITS følgjer opp at systemet blir levert med modular og integrasjonar som «snakkar saman», for å unngå «skuggerekneskap» og parallelle system. Dersom mellombelse løysingar er nødvendige, må det gjerast eigne risikovurderingar av desse løysingane.
    • RITS ber om at leverandør gjev opplæring i IST Analyse og rapportering, særleg knytt til å henta fram barnet si faktiske opphaldstid i barnehagen som fakturagrunnlag, samt rapportering til GSI/BASIL.

    Rest-risiko: Middels til høg. Integritetsrisikoen er ikkje berre teknisk, men knytt til datakvalitet, brukarpraksis, integrasjonar, arkivflyt og uferdige eller tungvinte funksjonar. Risikoen blir verande høg, så lenge kommunane må bruka manuelle omvegar, parallelle system eller mellombelse rutinar.

    Risiko: IST Everyday kan vera utilgjengeleg eller ikkje fungera godt nok når kommunane treng systemet til dagleg drift, kommunikasjon, fråværsføring, inn- og utsjekk, søknadsbehandling, dokumentproduksjon, arkivering, rapportering eller fakturering. Risikoen omfattar både teknisk nedetid og der funksjonar ikkje er leverte, ikkje er stabile eller krev tilleggsløysingar.

    Konsekvens: Middels til høg. Manglande tilgang kan påverka den daglege drifta i skule, barnehage og SFO, kommunikasjon med føresette, registrering av oppmøte og fråvær, dokumentasjon av vedtak, arkivering, fakturering og rapportering. Dersom systemet ikkje er tilgjengeleg i kritiske situasjonar, kan kommunen mista oversikt, forseinka saksbehandling eller måtta bruka mindre sikre kanalar som e-post, SMS, lokale lister eller «skuggesystem».

    Sannsyn: Middels. Databehandlaravtalen stiller krav til tryggleik, robustheit, risikovurdering og tiltak for tilgjengelegheit, og sikkerheitskopiering er regulert som eit etablert tiltak. Samtidig er brannmur og konkret gjenoppretting ikkje dokumentert som etablerte tiltak, og godkjenningsprøven viser praktiske utfordringar med mellom anna kommunikasjon, arkivflyt, rapportering, vikarfunksjonalitet og funksjonar som først er planlagde levert på eit seinare tidspunkt.

    Tiltak:

    • RITS ber leverandør om dokumentasjon på tekniske tiltak for tilgjengelegheit, inkludert brannmur, sikkerheitskopiering, gjenoppretting og infrastrukturredundans.
    • Kommunane må laga ei liste over kritiske oppgåver som skulen, barnehagen eller SFO må kunna gjennomføra, sjølv om IST er utilgjengeleg. Dette kan for eksempel vera å føra oversikt over kven som er til stades og kven som er borte, vita kven som skal hentast eller vera på SFO, finna kontaktinformasjon til føresette ved akutte hendingar, senda viktig informasjon til heimane, ha oversikt over barn med særlege omsyn, vita kva som må etterregistrerast i IST når systemet er tilgjengeleg igjen.
    • Kommunane må etablera beredskapsrutinar for korleis skulen, barnehagen eller SFO skal kunna gjennomføra dei kritiske oppgåvene, sjølv om IST er utilgjengeleg.
    • RITS følgjer opp uteståande funksjonar frå godkjenningsprøven, særleg kommunikasjon mellom tilsette, WYSIWYG-editor, rapportering, BASIL og søknadsskjema.
    • Kommunane må testa arkivflyt, SvarUt, DocumentHub og rapportering jamleg, sidan svikt her kan gjera lovpålagd dokumentasjon utilgjengeleg.
    • Kommunane må avklara om WebUntis vikarmodul er nødvendig for forsvarleg drift av skulane, og gjennomføra eigne risikovurderingar for korleis vikarar skal få nødvendig og oppdatert tilgang til fråvær, elevoversikt og kontaktinformasjon til dei føresette dersom modulen ikkje blir tatt i bruk.
    • Etablera lokal oversikt over kritiske arbeidsprosessar som ikkje kan stoppa ved nedetid.

    Rest-risiko: Middels. Risikoen kan handterast med beredskapsrutinar og betre dokumentasjon frå leverandør, men blir ikkje låg før kommunane har fått dokumentert brannmur, sikkerheitskopiering, gjenoppretting og infrastrukturredundans, og fått avklart korleis uteståande funksjonar skal handterast i drift.

    Risiko: Barn, elevar og føresette kan i praksis ha avgrensa påverknad på behandlinga av eigne personopplysningar i IST Everyday. Behandlinga skjer som del av kommunane sine lovpålagde oppgåver innan skule, barnehage og SFO, og dei registrerte kan normalt ikkje velja bort systemet eller reservera seg mot behandlinga. Dette skil seg frå meir avgrensa system som Dysmate og Conexus Elevate, der bruken i større grad er knytt til bestemte formål, konkrete prosessar eller avgrensa brukargrupper. I IST Everyday er behandlinga breiare, meir løpande og meir integrert i dagleg drift.

    Konsekvens: Middels til høg. Manglande reell medbestemming kan svekka tilliten til kommunen og gjera det vanskelegare for barn, elevar og føresette å forstå kva dei faktisk kan påverka. Risikoen blir særleg alvorleg når behandlinga gjeld sensitive opplysningar, fritekstfelt, fråvær, merknader, opplysningar om familiar, inntekt, skjerming eller særlege behov.

    Sannsyn: Høg. Sidan behandlinga byggjer på offentleg mynde og lovpålagde oppgåver, er medbestemminga avgrensa frå starten av. Føresette kan i nokre tilfelle leggja inn, oppdatera eller trekkja tilbake enkelte opplysningar eller samtykke, men dei har ikkje reell kontroll over hovudbehandlinga.

    Tiltak:

    • Kommunane må vera tydelege på kva dei registrerte kan påverka, og kva behandling som skjer uavhengig av samtykke.
    • Føresette og elevar må få forståeleg informasjon om eigne rettar, mellom anna innsyn, retting, avgrensing og klage.
    • Kommunane bør leggja til rette for at føresette og elevar kan melda frå om feil, uklare registreringar eller uheldig bruk av opplysningar.
    • Samtykke må berre brukast der det faktisk er frivillig, spesifikt og mogleg å trekkja tilbake utan negative konsekvensar.
    • Skulane må ha låg terskel for dialog med føresette og elevar når opplysningar blir brukte i oppfølging, merknader, fråvær eller vedtak.

    Rest-risiko: Middels. Risikoen kan ikkje fjernast heilt, fordi behandlinga er knytt til lovpålagde kommunale oppgåver. Han kan likevel reduserast gjennom tydeleg informasjon, god dialog, reelle høve til retting og avgrensa bruk av samtykke.

    Risiko: Barn, elevar, føresette og tilsette kan få for lite konkret informasjon om kva opplysningar som blir behandla i IST Everyday, kven som har tilgang, kva opplysningar som blir delte vidare, og kva funksjonar som faktisk er synlege for ulike brukargrupper. Risikoen blir forsterka av at IST Everyday består av fleire modular, integrasjonar og dataflytar, mellom anna mot FREG, Feide/ID-porten, HRM-/økonomisystem, SvarUt, sak-/arkivsystem og rapporteringsløysingar. Det er òg avdekt at systemet kan gi uklare inntrykk av kva merknader som er synlege for elevar og føresette.

    Konsekvens: Høg. Manglande openheit kan føra til at dei registrerte ikkje forstår korleis opplysningane blir brukte, kven som har tilgang, eller kva rettar dei har. Dette kan svekka tillit, føra til feil forventningar og gjera det vanskelegare å oppdaga feil, urettmessig innsyn eller uheldig praksis. Risikoen er særleg alvorleg der det blir behandla opplysningar om fråvær, helse, merknader, familierelasjonar, inntekt, skjerming, IOP eller sakkyndige vurderingar.

    Sannsyn: Middels til høg. Behandlinga er omfattande og skjer i mange delar av den daglege drifta. Det er krevjande for føresette og elevar å få oversikt over alle behandlingane, særleg når opplysningar blir registrerte manuelt, blir overførte mellom system, eller blir gjorde synlege på måtar som ikkje er intuitive.

    Tiltak:

    • Kommunane må ha ei konkret og oppdatert personvernerklæring for IST Everyday, ikkje berre ei generell personvernerklæring.
    • Informasjonen må forklarast på eit språk som føresette og elevar forstår.
    • Kommunane må informera særskilt om fritekstfelt, fråværsmeldingar, merknader, synlegheit, tilgangar og vidare overføring til arkiv, rapportering og andre system.
    • Tilsette må få tydeleg informasjon om kva elevar og føresette faktisk kan sjå.
    • Kommunane må testa vising med prøveroller og dokumentera kva som er synleg for elev, føresett, lærar, kontaktlærar, leiar, merkantil og administrator.
    • Endringar i funksjonalitet, tilgang eller synlegheit må kommuniserast til relevante brukarar.

    Rest-risiko: Middels til høg. Openheit kan betrast mykje gjennom konkret informasjon og testing av roller, men risikoen blir verande forhøgd så lenge systemet er komplekst, har mange integrasjonar, og enkelte funksjonar gir uklart inntrykk av kva som faktisk er synleg for kven.

    Risiko: Dei registrerte kan oppleva behandlinga som lite føreseieleg dersom det ikkje er tydeleg kva som blir registrert, korleis opplysningane blir brukte, kven som får tilgang, og kva konsekvensar registreringane kan få. Dette gjeld særleg ved fråværstekst, merknader, søknader, samtykke, vurdering, rapportering, arkivering og bruk av fritekst. Risikoen blir forsterka når systemet ikkje fungerer slik brukarane forventar, til dømes når merknader som blir oppfatta som interne, likevel blir synlege for elevar og føresette.

    Konsekvens: Høg. Manglande føreseielegheit kan føra til at føresette deler meir informasjon enn nødvendig, at tilsette skriv opplysningar i feil tru om kven som kan lesa dei, eller at elevar og føresette blir overraska over registreringar dei ikkje visste kunne gjerast synlege. Dette kan føra til tillitsbrot, konflikt, feil bruk av personopplysningar og svekka rettstryggleik.

    Sannsyn: Høg. IST Everyday blir brukt breitt og løpande i kvardagen, og mange registreringar skjer manuelt. Godkjenningsprøvane viser fleire område der funksjonar ikkje er ferdig leverte, ikkje fungerer godt nok i praksis, eller krev lokale rutinar for å hindra feil bruk. Det gjer behandlinga mindre føreseieleg for både registrerte og tilsette.

    Tiltak:

    • Kommunane må beskriva tydeleg kva IST Everyday skal brukast til, og kva systemet ikkje skal brukast til.
    • Det må lagast klare lokale rutinar for fråvær, merknader, fritekst, samtykke, søknader, vedtak, arkivering og rapportering.
    • Føresette må få konkret rettleiing om kva dei ikkje skal skriva i fritekstfelt.
    • Tilsette må få opplæring i kva opplysningar som kan registrerast, kva som er synleg for andre, og kva som skal dokumenterast i andre system.
    • Kommunane må unngå bruk av funksjonar der synlegheit, tilgang eller vidare behandling er uklar.
    • Uteståande funksjonar og mellombelse løysingar må merkast som overgangsrisiko og følgjast opp.

    Rest-risiko: Middels til høg. Risikoen kan reduserast gjennom tydelege rutinar, opplæring og betre informasjon, men blir ikkje låg før systemet fungerer meir føreseieleg i praksis, tilgangar og synlegheit er testa og dokumenterte, og kommunane har avklart kva funksjonar som skal brukast eller ikkje brukast.

    Etter gjennomført ROS-vurdering er det framleis fleire vesentlege rest-risikoar ved bruk av IST Everyday. Systemet behandlar store mengder personopplysningar om barn, elevar, føresette og tilsette, inkludert sensitive opplysningar, fritekstfelt, fråvær, merknader, inntektsopplysningar, opplysningar om barn med skjerma adresse og dokumentasjon knytt til oppfølging, vurdering og vedtak. Risikoane er difor meir omfattande enn i meir avgrensa fagsystem som Dysmate og Conexus Elevate.

    Den samla rest-risikoen blir vurdert som middels til høg. Risikoen for konfidensialitetsbrot er særleg alvorleg fordi fråværstekst frå føresette er synleg for alle tilsette ved skulen, og fordi alle tilsette kan lesa merknader om alle elevar ved skulen, også elevar dei ikkje har tenestleg behov for å følgja opp. I tillegg blir merknader synlege for elevar og føresette, sjølv om systemet gir inntrykk av at denne visinga er skrudd av. Denne risikoen er ikkje fullt ut handtert gjennom lokale rutinar åleine, og rest-risikoen blir vurdert som høg så lenge reell tilgangsstyring og dataminimering for fråvær og merknader ikkje er etablert, testa og dokumentert.

    Integritetsrisikoen blir vurdert som middels til høg. Godkjenningsprøven har vist risiko knytt til FREG-vask, arkivflyt, manglande utsending gjennom SvarUt, uoversiktleg rapportering, samtykkeskjema som blir arkiverte utan tilstrekkeleg forklarande tekst, og behov for manuelle omvegar og skuggesystem. Desse forholda kan føra til feilregistrering, mangelfulle opplysningar, feil arkivering, feil fakturagrunnlag, feil oppfølging og svekka etterprøvbarheit. Risikoen kan reduserast gjennom rutinar, kontrollar, opplæring og leverandøroppfølging, men blir verande forhøgd så lenge kommunane må bruka mellombelse løysingar eller parallelle system.

    Tilgjengelegheitsrisikoen blir vurdert som middels. Databehandlaravtalen regulerer backup/sikkerheitskopiering, men brannmur, konkret gjenoppretting og infrastrukturredundans må dokumenterast betre. I tillegg viser godkjenningsprøven at enkelte funksjonar ikkje er leverte, ikkje er stabile eller krev tilleggsløysingar. Risikoen kan handterast gjennom beredskapsrutinar, oversikt over kritiske arbeidsprosessar og avklaring av vikarfunksjonalitet, men blir ikkje låg før kommunane har fått tilstrekkeleg dokumentasjon frå leverandør og testa kritiske integrasjonar og arbeidsprosessar.

    Samla sett kan behandlinga berre vurderast som forsvarleg dersom tiltaka i handlingsplanen blir gjennomførte og følgde opp. Dei viktigaste tiltaka er avgrensing av fritekst ved fråvær, avklaring av merknadsfunksjon og synlegheit, kontroll av tilgangar, testing av arkivflyt, oppfølging av FREG og rapportering, dokumentasjon av tekniske tryggingstiltak, og etablering av lokale beredskapsrutinar. Rest-risikoen er ikkje låg, men kan aksepterast mellombels dersom kommunane erkjenner risikoen, set klare vilkår for bruk, følgjer opp leverandøren tett og unngår bruk av funksjonar som ikkje har forsvarleg tilgangsstyring eller føreseieleg synlegheit.

    Den samla vurderinga er difor at IST Everyday kan nyttast vidare, men ikkje utan tydelege avgrensingar og aktiv risikostyring. Behandlinga bør godkjennast med vilkår, og DPIA-en må reviderast når uteståande funksjonar er leverte, når leverandøren har dokumentert manglande tekniske tiltak, og når kommunane har testa at tilgangsstyring, arkivflyt, FREG-oppdatering, rapportering og beredskapsrutinar fungerer i praksis.

    Tiltak
    • Databehandlaravtale: Kommunane har inngått databehandlaravtale med IST, som regulerer behandlinga, instruksar, underdatabehandlarar, tryggleik, sletting, tilbakelevering, avvik og bistand til kommunane.
    • Behandlingsprotokoll og DPIA: Behandlinga er dokumentert i behandlingsprotokoll og vurdert gjennom DPIA, sidan systemet behandlar store mengder personopplysningar om barn, elevar, føresette og tilsette.
    • Rollebasert tilgangsstyring: Tilgang skal styrast etter rolle, ansvar, eining og tenestleg behov, slik at brukarar berre får tilgang til opplysningar dei treng for å utføra oppgåvene sine.
    • Sterk autentisering: Tilgang til systemet skal sikrast med trygg innlogging, mellom anna Feide, ID-porten og tofaktorautentisering der det er stilt krav om dette.
    • Kryptering: Trafikk til og frå løysinga skal vera kryptert, og lagra data skal sikrast med kryptering i ro.
    • Sikkerheitskopiering: Backup/sikkerheitskopiering er regulert i databehandlaravtalen og blir lagt til grunn som eit etablert teknisk sikkerheitstiltak.
    • Logging og sporbarheit: Aktivitet i systemet skal vera sporbar, men kommunane må avklara og få tilgang til relevante loggar for kontroll, innsyn og avvikshandtering.
    • Lokale roller og ansvar: Kommunane må definera kven som har ansvar for systemforvaltning, tilgangsstyring, opplæring, arkiv, avvik, leverandøroppfølging og kontroll.
    • Tilgangsmatrise: Kommunane må laga ei konkret matrise som viser kva roller som skal ha tilgang til kva modular og opplysningstypar.
    • Jamleg tilgangskontroll: Tilgangar må gjennomgåast jamleg, minst årleg, og ved rolleendringar, skulebyte, avslutta arbeidsforhold eller endra tenestleg behov.
    • Opplæring av tilsette: Tilsette må få opplæring i teieplikt, tilgang etter tenestleg behov, trygg bruk av fritekstfelt, registrering av fråvær, merknader, dokumentasjon og avvik.
    • Rutinar for fråværstekst: Føresette må få beskjed om å skriva «sjuk» som fråværsgrunn, ikkje diagnosar, symptom eller andre private detaljar. Kontaktlærar må velja rett fråværskode og fjerna unødvendig fritekst.
    • Rutinar for merknader: Skulen bør ikkje bruka IST til merknader så lenge tilgangsstyring og synlegheit ikkje er godt nok avklart. Dersom IST likevel blir brukt, må kommunen ha tydelege rutinar for kven som kan skriva, kva som kan skrivast, og korleis merknader skal følgjast opp.
    • Kontroll med arkivflyt: Kommunane må testa at dokument, vedtak og samtykke blir overførte korrekt til sak-/arkivsystem, med forståelege metadata og forklarande tekst.
    • Beredskapsrutinar ved nedetid: Kommunane må vita korleis kritiske oppgåver skal løysast dersom IST er utilgjengeleg, til dømes fråvær, inn- og utsjekk, kontakt med føresette og oversikt over barn med særlege omsyn.
    • Dataminimering: Kommunane skal berre behandla opplysningar som er nødvendige for føremålet, og må særleg avgrensa fritekst, merknader og sensitive opplysningar.
    • Tenestleg behov: Tilsette skal berre ha tilgang til opplysningar om barn og elevar dei faktisk har ansvar for eller treng opplysningar om for å utføra arbeidet sitt.
    • Avgrensing av fritekst: Fritekstfelt skal brukast med varsemd, og berre der strukturerte val ikkje er tilstrekkelege. Unødvendige sensitive opplysningar skal ikkje skrivast inn.
    • Strukturerte alternativ: Kommunane bør gå i dialog med leverandør om å erstatta fritekst ved fråvær med førehandsdefinerte val.
    • Skjerming av særleg sårbare elevar: Opplysningar om barn med hemmeleg eller skjerma adresse må ha særleg kontroll, dobbelkontroll og avgrensa tilgang.
    • Avgrensa bruk av samtykke: Samtykke skal berre brukast der det faktisk er frivillig. Lovpålagd behandling skal ikkje framstillast som valfri.
    • Informasjon til registrerte: Elevar, føresette og tilsette må få klar informasjon om kva som blir registrert, kven som kan sjå det, kva som blir overført vidare, og kva rettar dei har.
    • Prøveroller og testing: Kommunane må testa med prøveroller kva elevar, føresette, lærarar, kontaktlærarar, leiarar og administratorar faktisk kan sjå.
    • Feide og ID-porten: Innlogging for elevar, tilsette og føresette skal skje gjennom etablerte autentiseringsløysingar.
    • Tofaktorautentisering: Tilgang frå usikre nettverk og administrative roller skal sikrast med tofaktorautentisering der det er stilt krav om dette.
    • Kryptert kommunikasjon: Dataoverføring skal sikrast med kryptering, slik at opplysningar ikkje kan lesast av uvedkomande under transport.
    • Kryptert lagring: Opplysningar som ligg lagra i systemet, skal sikrast med kryptering i ro.
    • Backup/sikkerheitskopiering: Sikkerheitskopiering er eit etablert tiltak, men kommunane bør få nærare dokumentasjon på frekvens, lagringsstad, retensjon og testing.
    • API og kontrollerte integrasjonar: Overføring til og frå FREG, HRM, økonomi, SvarUt, sak-/arkivsystem og rapportering skal skje gjennom kontrollerte integrasjonar.
    • Arkivintegrasjon: Arkivverdig dokumentasjon skal overførast til sak-/arkivsystem, og kommunen må kontrollera at overføringa faktisk skjer rett.
    • Sårbarheitsvarsling: Leverandør skal varsla kommunane om sårbarheiter som kan påverka tenesta eller plattforma.
    • Loggar: Kommunane må sikra tilgang til relevante loggar for å kunna kontrollera innsyn, endringar, feil, misbruk og avvik.
    Omsynet til interessentar

    FORSLAG:

    Personvernombodet tilrår at kommunane berre bruker IST Everyday vidare dersom tiltaka i handlingsplanen blir gjennomførte og følgde opp i praksis. Systemet behandlar omfattande personopplysningar om barn, elevar, føresette og tilsette, og krev difor tydelege avgrensingar for kva systemet skal brukast til, kven som skal ha tilgang, og kva opplysningar som kan registrerast.

    Personvernombodet tilrår at kommunane straks innfører rutinar for fråværsmeldingar. Føresette må få tydeleg beskjed om å skriva «sjuk» som fråværsgrunn, ikkje diagnose, symptom eller andre private detaljar. Skulane må ha fast rutine for å velja rett fråværskode og fjerna unødvendig fritekst.

    Personvernombodet tilrår ikkje at skulane bruker IST til merknader før kommunane har dokumentert kven som faktisk kan sjå merknader, og før tilgangsstyring og synlegheit er testa med prøveroller. Dersom IST likevel blir brukt til merknader, må kommunen ha klare rutinar for kven som kan skriva merknader, kva som kan registrerast, og korleis tekstane skal formulerast.

    Personvernombodet tilrår at RITS følgjer opp leverandøren særleg tett på FREG-vask, arkivflyt, SvarUt, DocumentHub, rapportering, BASIL, søknadsskjema, kommunikasjon og vikarfunksjonalitet. Manglar som fører til manuelle omvegar, skuggesystem eller parallelle rutinar, må ikkje godtakast som varige løysingar utan eiga risikovurdering.

    Personvernombodet tilrår at kommunane ber leverandør dokumentera brannmur, gjenoppretting, infrastrukturredundans, loggar og tekniske tiltak for tilgjengelegheit. Kommunane må òg testa arkivflyt, tilgangar, FREG-oppdatering, rapportering og beredskapsrutinar før dei legg til grunn at systemet fungerer forsvarleg i drift.

    Personvernombodet tilrår at DPIA-en blir revidert minst årleg, og alltid ved nye modular, nye integrasjonar, endra tilgangsstyring, endra synlegheit eller vesentlege endringar i bruken av IST Everyday.

    Det er ikkje gjennomført eiga formell høyring blant alle registrerte i samband med denne DPIA-en. Dei registrerte er i hovudsak barn, elevar, føresette og tilsette i skule, barnehage og SFO. Sidan behandlinga skjer som del av lovpålagde kommunale oppgåver, har dei registrerte avgrensa høve til å velja bort behandlinga. Det er difor særleg viktig at kommunane gir tydeleg og forståeleg informasjon om kva opplysningar som blir behandla, kven som har tilgang, kva som er synleg for andre, og kva rettar dei registrerte har.

     

    Føresette og elevar kan forventa at kommunen berre behandlar nødvendige opplysningar, og at opplysningar om fråvær, helse, merknader, familierelasjonar, inntekt og skjerming ikkje blir synlege for fleire enn dei som har tenestleg behov. Tilsette må òg få tydeleg rettleiing om kva dei kan registrera, kva som er synleg for elevar og føresette, og kva systemet ikkje bør brukast til. Kommunane bør fanga opp vidare innspel gjennom FAU, elevråd, samarbeidsutval, AMU, tillitsvalde, verneombod, brukarstøtte, avvikssystem og dialog med føresette.

    Leiinga si validering

    FORSLAG:

    Koordineringsgruppe oppvekst har gjennomgått DPIA-rapporten for IST Everyday, inkludert risikoar, tiltak, råd frå personvernombodet og omsynet til dei registrerte. Gruppa legg til grunn at systemet behandlar omfattande personopplysningar om barn, elevar, føresette og tilsette, og at behandlinga er nødvendig for lovpålagde oppgåver innan skule, barnehage og SFO.

    Koordineringsgruppa vurderer at systemet berre kan brukast forsvarleg dersom kommunane gjennomfører tiltaka i handlingsplanen. Særleg viktig er tilgangsstyring, avgrensing av fritekst ved fråvær, avklaring av merknadsfunksjonen, kontroll av arkivflyt, oppfølging av FREG, rapportering, beredskap ved nedetid og tett leverandøroppfølging.

    Det er ikkje gjennomført eiga formell høyring blant alle registrerte. Koordineringsgruppa legg likevel til grunn at elevar, føresette og tilsette må få tydeleg informasjon om kva IST blir brukt til, kva som blir registrert, kven som har tilgang, og korleis dei kan melda frå om feil eller uønskt bruk.

    Koordineringsgruppa vurderer at rest-risikoen ikkje er låg, særleg på grunn av fråværstekst og merknader. Bruken kan likevel vera forsvarleg dersom tiltaka blir følgde opp, funksjonar med uavklart tilgang eller synlegheit blir avgrensa, og DPIA-en blir revidert ved vesentlege endringar og minst årleg.

    FORSLAG:

    Koordineringsgruppe oppvekst godkjenner vidare bruk av IST Everyday i Sauda, Suldal, Hjelmeland og Strand, under føresetnad av at tiltaka i handlingsplanen blir gjennomførte og følgde opp i praksis.

    Godkjenninga er grunngjeven med at systemet er nødvendig for lovpålagde oppgåver innan skule, barnehage og SFO. Samtidig viser DPIA-en vesentlege risikoar, særleg knytt til fråværstekst, merknader, tilgangsstyring, arkivflyt, datakvalitet, rapportering og tilgjengelegheit. Bruken blir difor godkjend med vilkår, ikkje som risikofri.

    Koordineringsgruppa føreset at kommunane avgrensar fritekst ved fråvær, gir tydeleg informasjon til føresette, kontrollerer tilgangar, og ikkje bruker IST til merknader før synlegheit og tilgangsstyring er avklart, testa og dokumentert.

    RITS skal følgja opp leverandøren på uteståande punkt frå godkjenningsprøven. Manuelle omvegar, skuggesystem og parallelle rutinar skal risikovurderast særskilt.

    Kommunane har det overordna ansvaret for handlingsplanen. Operativ oppfølging blir lagt til systemeigar/RITS i samarbeid med systemansvarlege, lokale leiarar, IT, arkivansvarlege og personvernombod.

    Det skal gjennomførast internkontroll innan 6–12 månader. DPIA skal reviderast ved vesentlege endringar og minimum årleg.

    Strand kommune
    Vel målgruppe:
    Elev
    Tilsett
    Føresett
    Vel målgruppe:
    Elev
    Tilsett
    Føresett