Rapport
Rapport
02.11.2022

Praktisering av krav til informasjonssikkerhet og personvern Samsvar og avvik hos statlige universiteter og høgskoler

Kunnskapsdepartementets policy for informasjonssikkerhet og personvern stiller krav til arbeidet innen disse forvaltningsområdene i UH-sektoren. I denne temarapporten drøftes hvordan statlige universiteter og høgskoler forholder seg til kravene i policyen.

Utgiver: Direktoratet for høyere utdanning og kompetanse

    Rapporten viser at universitetene og høgskolene etterlever enkelte krav i departementets policy i større grad enn andre. Det typiske er at institusjonene i hovedsak oppfyller kravene som gjelder 

    • toppledelsens og styrets involvering i arbeidet med informasjonssikkerhet og personvern
    • etablering av rutiner for ivaretakelse av de registrertes personvernrettigheter
    • utnevning av personvernombud
    • bevisstgjøring av studenter og ansatte om utfordringer knyttet til informasjonssikkerhet og personvern

    Samtidig peker rapporten på områder hvor det er avvik mellom kravene i policyen og det lokale arbeidet med informasjonssikkerhet og personvern. De mest typiske avvikene finnes innen følgende områder: 

    • praktisere ledelsessystemet for informasjonssikkerhet i alle deler av kjernevirksomheten
    • etablere en godt fungerende sikkerhetsorganisering
    • gjennomføre risikovurderinger og iverksette nødvendige sikringstiltak
    • kontroll med tjenesteutsatt personopplysningsbehandling (databehandlere)
    • overføringer av personopplysninger til tredjeland
    • planer for håndtering av alvorlige digitale sikkerhetshendelser og opprettholdelse av kritiske funksjoner/oppgaver (beredskap og kontinuitet)
    • praktisere internkontroll for personvern (GDPR) i alle deler av kjernevirksomheten
    • utarbeide en fullstendig protokoll for behandling av personopplysninger (behandlingsprotokoll)
    • rollespesifikk opplæring av ledere og medarbeidere innen informasjonssikkerhet og personvern