Stadsrevisionen Projektplan Hanteringen av personuppgifter i skolans it-system goteborg.se/stadsrevisionen
2 PROJEKTPLAN Hanteringen av personuppgifter i skolans it-system Utvecklingen inom it-området är snabb vilket medför att hotbilden och riskerna förändras eller ändrar karaktär. Under senare år har det till exempel blivit vanligt med så kallade molnlösningar, vilket leder till nya frågor om säkerhet och ansvar. Inom skolans område används idag olika it-system och molnlösningar i skolarbetet. Göteborgs Stad har bland annat tecknat ett avtal med Google avseende en molnbaserad it-plattform. Skolan hanterar personuppgifter. När det gäller personuppgifter finns särskilda krav i lagstiftning och i rekommendationer från datainspektionen. Det är väsentligt ur ett integritetsperspektiv att dessa regler för personuppgifter beaktas mot bakgrund av de it-system som förekommer i skolan inklusive de molnbaserade system som skolan använder sig av. Granskningens syfte Granskningens syfte är att belysa risken att obehöriga användare kan komma åt personuppgifter som hanteras i skolan. Ett delsyfte mot bakgrund av ovanstående är att fastställa om skolan i Göteborgs Stad hanterar personuppgifter i enlighet med personuppgiftslagens krav. Frågor för granskningen Granskningen ska mot bakgrund av granskningens syfte besvara följande frågor: Finns det en risk att personuppgifter kan spridas på ett oönskat sätt via de it-system som skolan använder i sin verksamhet? Förekommer skugg-it på skolan och hur hanteras i så fall risken att personuppgifter sprids via icke sanktionerade it-system? Hanteras eller tillgängliggörs personuppgifter via öppna nät som internet, till exempel via en webbhemsida eller genom e-post? STADSREVISIONEN 2015-11- 10
PROJEKTPLAN 3 Hanteras personuppgifter i molnbaserade system och i så fall på vilket sätt? Vilka eventuella molnbaserade it-system förekommer utöver Googles? Har skolan i så fall säkerställt att dessa system ej används på ett sätt som står i konflikt med personuppgiftslagens krav. Om det finns elever med skyddad identitet, vidtas i så fall några särskilda åtgärder för att skydda dessa elevers personuppgifter? Granskningens omfattning Granskningen genomförs i tre stadsdelsnämnder och i utbildningsnämnden. De tre stadsdelsnämnderna är Västra Göteborg, Örgryte-Härlanda och Lundby. Granskningen ska genomföras både på förvaltningscentral nivå och på skolnivå. Det betyder att granskningen ska omfatta förvaltningens centralt organiserade it-säkerhetsarbete i kombination med den konkreta situationen i skolorna. Två grundskolor ska granskas i varje stadsdelsnämnd och tre gymnasieskolor som utbildningsnämnden ansvarar för. Eventuellt kan även nämnden för Intraservice och kommunstyrelsen komma att beröras av granskningen. Avgränsningar Granskningen avser inte generell it-säkerhet utan är avgränsad till hur personuppgifter hanteras i de it-system som skolan använder, inklusive de molnbaserade system som förekommer i skolan. Revisionskriterier Relevanta kriterier för granskningen finns i personuppgiftslagen och i datainspektionens rekommendationer. Därutöver utgör stadens riktlinje för informationssäkerhet ett kriterium för granskningens bedömningar. Metod Det kommer att bli aktuellt med såväl intervjuer som dokumentstudier. STADSREVISIONEN 2015-11- 10
4 PROJEKTPLAN Genomförande Granskningen genomförs av konsult. Revisionskontoret kommer att följa granskningen löpande. Konsulten ska föreslå ett urval för granskningen i samverkan med revisionskontoret. Revisionskontoret ska fastställa urvalet. Projektledning Projektledare på revisionskontoret är Pär Lindén. Oberoende och integritet De sakkunnigas oberoende och integritet har prövats enligt stadsrevisionens oberoendedeklaration, vilken baseras på Sveriges kommunala yrkesrevisorers modell. Inga omständigheter har framkommit som kan ifrågasätta förtroendet för de sakkunnigas oberoende och integritet som granskare. Avrapportering Avrapportering till revisorsgruppen planeras att ske våren 2016. Kvalitetssäkring Rapportens innehåll kommer att stämmas av med de granskade verksamheterna. Kvalitetssäkring sker genom projektets styrgrupp och kvalitetsansvarig för fördjupade granskningar. Pär Lindén certifierad kommunal yrkesrevisor projektledare STADSREVISIONEN 2015-11- 10
goteborg.se/stadsrevisionen