Tjenesteutsetting og digitalisering i UH-sektoren – hvordan ivaretas sikkerheten og personvernet?


I den nye temarapporten fra Unit rettes søkelyset mot hvordan informasjonssikkerhet og personvern håndteres i forbindelse med tjenesteutsetting.  

Tjenesteutsetting har blitt en viktig del av digitaliseringen i UH-sektoren. Eksamensløsninger, læringsplattformer og økonomisystemer er eksempler på dette.

I Kunnskapsdepartementets policy for informasjonssikkerhet og personvern stilles det krav om at virksomhetene vurderer sikkerheten i eksterne systemer eller tjenester før de tas i bruk, og at det inngås databehandleravtaler med leverandørene. Virksomhetene må også sjekke at leverandørene overholder det de lover i databehandleravtaler.

Temarapporten oppsummerer og drøfter hvordan disse kravene praktiseres i UH-sektoren.

Hovedfunn

Rapporten viser at stadig mer av databehandlingen i UH-sektoren skjer ved hjelp av eksterne leverandører. 12 av 29 virksomheter svarte for eksempel at mer enn 75 prosent av databehandlingen er satt ut til eksterne leverandører. De øvrige virksomhetene regnet med eller hadde allerede planlagt å utvide bruken av eksterne tjenesteleveranser.

Majoriteten av virksomhetene oppga at de hadde rutiner både for risikovurdering av informasjonssikkerheten før tjenesteutsetting og inngåelse av databehandleravtaler med leverandører. Rutinene ble i stor grad praktisert når det gjaldt større tjenesteleveranser, men virksomhetene antok at det ble tatt i bruk systemer eller tjenester, gjerne på privat initiativ, uten at rutinene ble fulgt.

Rutiner for periodisk sjekk av at vilkår i databehandleravtaler faktisk ble overholdt av leverandørene (databehandlerne) var i liten grad fastsatt.

Konklusjoner og anbefalinger

Unit mener at resultatene i temarapporten viser at sektoren i hovedsak jobber godt med personvern og informasjonssikkerhet i forbindelse med tjenesteutsetting. Sektoren har imidlertid et forbedringspotensial når det gjelder avtaleoppfølging.

Den forventede veksten i omfang av tjenesteutsettingen, sammen med at tjenesteporteføljen blir mer sammensatt og kompleks, vil trolig stille sektoren overfor enkelte nye utfordringer i fremtiden. Dette gjelder særlig behovet for å styrke kompetansen om hvordan tjenesteutsatte systemer og tjenester kan settes opp og driftes på trygge og sikre måter. Det kan også være behov for å styrke sektorens kompetanse om juridiske, spesielt personvernrettslige, problemstillinger som kan oppstå i forbindelse med tjenesteutsetting.

Om Units temarapporter

Units temarapporter retter søkelyset mot viktige områder i arbeidet med informasjonssikkerhet og personvern, og vil vanligvis bli publisert i forbindelse med nasjonal sikkerhetsmåned.

I tillegg til å gi informasjon om utvalgte temaområder, kan virksomhetene benytte rapportene til å vurdere eget ståsted opp mot den generelle tilstanden i sektoren.


Share: Share to LinkedIn Share to Facebook Share by mail Share to Twitter