Hopp til hovedinnhold

Praktisering av krav til informasjonssikkerhet og personvern

Samsvar og avvik hos statlige universiteter og høgskoler

RapportTilhører rapportserie: Nei

Kunnskapsdepartementets policy for informasjonssikkerhet og personvern stiller krav til arbeidet innen disse forvaltningsområdene i UH-sektoren. I denne temarapporten drøftes hvordan statlige universiteter og høgskoler forholder seg til kravene i policyen.

Utgiver:Direktoratet for høyere utdanning og kompetanse
Redaktør:Ragnhild Tungesvik
Forfattere:Tommy Tranvik, Benjamin Gangvik
Publisert:02.11.2022

Sammendrag

Rapporten viser at universitetene og høgskolene etterlever enkelte krav i departementets policy i større grad enn andre. Det typiske er at institusjonene i hovedsak oppfyller kravene som gjelder

  • toppledelsens og styrets involvering i arbeidet med informasjonssikkerhet og personvern
  • etablering av rutiner for ivaretakelse av de registrertes personvernrettigheter
  • utnevning av personvernombud
  • bevisstgjøring av studenter og ansatte om utfordringer knyttet til informasjonssikkerhet og personvern

Samtidig peker rapporten på områder hvor det er avvik mellom kravene i policyen og det lokale arbeidet med informasjonssikkerhet og personvern. De mest typiske avvikene finnes innen følgende områder:

  • praktisere ledelsessystemet for informasjonssikkerhet i alle deler av kjernevirksomheten
  • etablere en godt fungerende sikkerhetsorganisering
  • gjennomføre risikovurderinger og iverksette nødvendige sikringstiltak
  • kontroll med tjenesteutsatt personopplysningsbehandling (databehandlere)
  • overføringer av personopplysninger til tredjeland
  • planer for håndtering av alvorlige digitale sikkerhetshendelser og opprettholdelse av kritiske funksjoner/oppgaver (beredskap og kontinuitet)
  • praktisere internkontroll for personvern (GDPR) i alle deler av kjernevirksomheten
  • utarbeide en fullstendig protokoll for behandling av personopplysninger (behandlingsprotokoll)
  • rollespesifikk opplæring av ledere og medarbeidere innen informasjonssikkerhet og personvern