Praktisering av krav til informasjonssikkerhet og personvern Samsvar og avvik hos statlige universiteter og høgskoler

Kunnskapsdepartementets policy for informasjonssikkerhet og personvern stiller krav til arbeidet innen disse forvaltningsområdene i UH-sektoren. I denne temarapporten drøftes hvordan statlige universiteter og høgskoler forholder seg til kravene i policyen.

Utgiver: Direktoratet for høyere utdanning og kompetanse

Last ned rapport

Rapporten viser at universitetene og høgskolene etterlever enkelte krav i departementets policy i større grad enn andre. Det typiske er at institusjonene i hovedsak oppfyller kravene som gjelder

toppledelsens og styrets involvering i arbeidet med informasjonssikkerhet og personvern
etablering av rutiner for ivaretakelse av de registrertes personvernrettigheter
utnevning av personvernombud
bevisstgjøring av studenter og ansatte om utfordringer knyttet til informasjonssikkerhet og personvern

Samtidig peker rapporten på områder hvor det er avvik mellom kravene i policyen og det lokale arbeidet med informasjonssikkerhet og personvern. De mest typiske avvikene finnes innen følgende områder:

praktisere ledelsessystemet for informasjonssikkerhet i alle deler av kjernevirksomheten
etablere en godt fungerende sikkerhetsorganisering
gjennomføre risikovurderinger og iverksette nødvendige sikringstiltak
kontroll med tjenesteutsatt personopplysningsbehandling (databehandlere)
overføringer av personopplysninger til tredjeland
planer for håndtering av alvorlige digitale sikkerhetshendelser og opprettholdelse av kritiske funksjoner/oppgaver (beredskap og kontinuitet)
praktisere internkontroll for personvern (GDPR) i alle deler av kjernevirksomheten
utarbeide en fullstendig protokoll for behandling av personopplysninger (behandlingsprotokoll)
rollespesifikk opplæring av ledere og medarbeidere innen informasjonssikkerhet og personvern