Hvordan kan lærere som kontinuerlig bruker bærbare datamaskiner til å dokumentere gjennomført arbeid sikre opplysningene på maskinen?

Spør ekspertene

Klikk på knappen under for å stille oss ditt spørsmål.

Hvordan kan lærere som kontinuerlig bruker bærbare datamaskiner til å dokumentere gjennomført arbeid sikre opplysningene på maskinen?

Utvidet spørsmål

Hvordan kan lærere som kontinuerlig bruker bærbare datamaskiner til å dokumentere gjennomført arbeid sikre opplysningene på maskinen? Skal bærbare maskiner låses inn i eget skap når de ikke er i bruk? Er det beste å bruke minnepenn som låses ned?

Svar

Kravene til sikring av personopplysninger avhenger av hvilken risiko for skade for personvernet som eksisterer. Den behandlingsansvarlige/skolen har plikt til å vurdere hvilken risiko som foreligger, og hvilke tiltak som er nødvendige for at risikoen blir akseptabel, se personopplysningsforskriften § 2-4. En bærbar PC er i utgangspunktet temmelig sårbar fordi den lett kan flyttes og komme på avveie. Det samme er i enda større grad tilfellet for minnepenner.

Selv om svaret avhenger av en konkret vurdering, vil vi anta at det vanskelig kan tenkes sikringstiltak som gjør bruk av minnepenner med personopplysninger akseptabelt. Helt trivielle, åpne opplysninger kan muligens aksepteres på slike lagringsmedier, men ikke opplysninger som gir opplysninger om personlige forhold mv (jf. taushetsplikt). Årsaken er at minnepenner er små og derfor er lette å glemme og miste, noe som skaper veldig stor fare for at de kommer uvedkommende i hende.

Også bærbare PCer kan relativt lett komme på avveie (forglemmelse, tyveri), men er i utgangspunktet akseptabelt lagringsmedium for elevopplysninger. Det kan imidlertid ikke utelukkes tilfelle der opplysningene er så sensitive og mange at også en bærbar PC gir for stor risiko.

Fordi opplysninger som er lagret på små flyttbare maskiner i utgangspunktet er vanskeligere å sikre enn opplysninger i stasjonære anlegg, er det alltid grunn til å unngå å lagre flere opplysninger på slike maskiner enn de som er i aktiv bruk. Det skal med andre ord ikke være flere opplysninger på maskinen enn det som er nødvendig ut i fra formålet med opplysningene. Dernest skal en alltid treffe tilstrekkelige tiltak for å sikre mot uautorisert tilgang til opplysningene. Dette vil normalt omfatte pålogging med bruker og passord. Pålogging med fingeravtrykk (biometri) kan også være aktuelt. Automatisk avlogging etter kort tid uten bruk, og plassering av maskin i låst skap, og/eller låst rom mv er blant andre veldig aktuelle tiltak. Dersom PCen inneholder opplysninger som er beskyttelsesverdig, må harddisken normalt krypteres. Hvilke tiltak som faktisk må iverksettes, avhenger imidlertid av en konkret risikovurdering (jf første avsnitt).