Hopp til hovedinnhold

Nettside under konstruksjon

Nettside under konstruksjon

hkdir.no fylles fortsatt med innhold og funksjonalitet. Du vil derfor oppleve at noe innhold fortsatt befinner seg på andre nettsteder, at det mangler eller at det er funksjonalitet som ikke virker 100%. Ta kontakt med oss på post@hkdir.no hvis du savner innhold.

Søk
Forsiden
>Rapporter undersokelser og statistikk
>Praktisering av krav til informasjonssikkerhet og personvern

Praktisering av krav til informasjonssikkerhet og personvern

Samsvar og avvik hos statlige universiteter og høgskolerRapportTilhører rapportserie: Nei

Kunnskapsdepartementets policy for informasjonssikkerhet og personvern stiller krav til arbeidet innen disse forvaltningsområdene i UH-sektoren. I denne temarapporten drøftes hvordan statlige universiteter og høgskoler forholder seg til kravene i policyen.

Utgiver:Direktoratet for høyere utdanning og kompetanse
Redaktør:Ragnhild Tungesvik
Forfattere:Tommy Tranvik, Benjamin Gangvik
Publisert:02.11.2022

Last ned (PDF, 467.7 KB)

Rapporten viser at universitetene og høgskolene etterlever enkelte krav i departementets policy i større grad enn andre. Det typiske er at institusjonene i hovedsak oppfyller kravene som gjelder

  • toppledelsens og styrets involvering i arbeidet med informasjonssikkerhet og personvern
  • etablering av rutiner for ivaretakelse av de registrertes personvernrettigheter
  • utnevning av personvernombud
  • bevisstgjøring av studenter og ansatte om utfordringer knyttet til informasjonssikkerhet og personvern

Samtidig peker rapporten på områder hvor det er avvik mellom kravene i policyen og det lokale arbeidet med informasjonssikkerhet og personvern. De mest typiske avvikene finnes innen følgende områder:

  • praktisere ledelsessystemet for informasjonssikkerhet i alle deler av kjernevirksomheten
  • etablere en godt fungerende sikkerhetsorganisering
  • gjennomføre risikovurderinger og iverksette nødvendige sikringstiltak
  • kontroll med tjenesteutsatt personopplysningsbehandling (databehandlere)
  • overføringer av personopplysninger til tredjeland
  • planer for håndtering av alvorlige digitale sikkerhetshendelser og opprettholdelse av kritiske funksjoner/oppgaver (beredskap og kontinuitet)
  • praktisere internkontroll for personvern (GDPR) i alle deler av kjernevirksomheten
  • utarbeide en fullstendig protokoll for behandling av personopplysninger (behandlingsprotokoll)
  • rollespesifikk opplæring av ledere og medarbeidere innen informasjonssikkerhet og personvern