Tilgangsstyring i NTNU Sak

Tilgangstyring i NTNU Sak

Ved innføring av nytt saksbehandlersystem og fornying av arbeid rundt saksområder og -prosesser er det behov for å tenke nytt rundt tilgangsstyring, da dagens løsning ikke umiddelbart kan videreføres.

Tilgangstyringen skal være så åpen som mulig, så lukket som nødvendig.

Foto: NTNU Sak

Prinsippet det siktes mot er at tilgangsstyringen skal være så åpen som mulig, så lukket som nødvendig.

Prosjekteier og styringsgruppe har poengtert at løsningen for tilgangsstyring må gjenspeile NTNUs digitale strategi om Ett NTNU. Det er derfor viktig med størst mulig åpenhet i tilgangene slik at det gir større fleksibilitet i organisering av arbeid, og at man kan lære av saker fra andre deler av organisasjonen, samtidig som personvern og informasjonssikkerhet ivaretas.

Målbilde for tilgangsstyring i NTNU Sak

Målbilde

Tilgangsstyring skal bidra til Ett NTNU

 

Ett NTNU
  • Åpenhet
  • Fleksibilitet
  • Læring på tvers
Personvern må ivaretas

 

Personvern
  • Personvern må ivaretas
Brukeren i sentrum

 

Brukeren i sentrum
  • Ansatte må få gjort jobben sin
  • Så enkelt som mulig
  • Overkommelig administrasjon
  • Sikre meroffentlighet

Tilgangsstyring i NTNU Sak

Arbeidet hittil

Prosjektet har i 2022 gjennomført intervjuer med brukere som jobber med saksbehandling på utdannings- og HR-området. Her har de fortalt oss om største utfordringer og smertepunkter ved dagens løsning. Noe av det vi har hørt fra dem er:

  • Jeg ønsker meg en enkel tilgangsstyring
  • Jeg får ikke tilgang til det jeg trenger
  • Det er viktig at vi skjermer både eksternt og internt. Vi må passe på personvern
  • Jeg ønsker å kunne samarbeide og dele

For å kunne formidle brukernes behov har prosjektet med bakgrunn i intervjuer og workshop, utviklet ulike scenario. Disse scenarioene skal hjelpe oss til å forstå og formidle ulike behov, slik at løsningen vi velger er i takt med brukernes behov.

I 2023 gikk vi videre med å teste ulike løsninger, diskutere scenario og hente inn innspill.  Med utgangspunkt i den informasjonen vi har samlet inn, og styringsgruppens ønsker, har vi laget forslag til modell for tilgangsstyring.

Dekningsgrad for tilgangsstyring

Fra starten av 2024 er vi i en fase med testing av hvordan denne modellen kan gi konkrete tilgangsgrupper, som senere kan opprettes og befolkes før innføring av nytt system. Her jobber prosjektet per nå sammen med avdelingene i Fellesadministrasjonen og de prosessansvarlige om å klassifisere saksprosessene inn i ulike tilgangsroller. Dette gjøres i følgende runder:

  1. Grovsortering og klassifisering av saksområder og prosesser
  2. Medvirkning på klassifisering med brukerne og prosessansvarlige
  3. Intern verifisering og kvalitetssikring av klassifisering
  4. Høringsrunder og godkjenning av klassifisering

100 % dekningsgrad betyr at alle saksprosesser er riktig plassert i tilgangsroller, og alle brukere av systemet har tilgangene de trenger for å arbeide.

Det er mange saksprosesser som skal klassifiseres og opprettes tilgangsroller for, og utdanningsområdet og HR-området utgjør den største andelen av disse.​​​​​

Fordeling av saksprosesser innen saksområder

Virksomhetsområde

Saksprosesser

%

Internadministrasjon

104

28

Forskning

51

14

Utdanning

161

43

Formidling

26

7

Museum og samling

34

9
Fordeling av saksprosesser innen saksområder
Foto: NTNU Sak (stort format)

​​​​Roller for saksbehandling i nytt system

Tilgangene til å lese saker er i utgangspunktet brede, slik at mange har mulig til å lære av saker på tvers av NTNU. På saksområder under virksomhetsområdene, for spesifikke saksprosesser, tilgangsbegrenses saker som er sensitive eller som alle ikke skal ha tilgang til.

Merk: Det skilles mellom skjerming fra offentligheten og tilgangsbegrensning internt i virksomheten. Saker som ikke er ferdigstilt har alltid begrenset tilgang, det er kun når de er ferdigstilte at tilgangsbegrensningene slår inn.

Tilgangsrollene er strukturert ut fra grad av åpenhet, ikke behov for tilgangsbegrensning. Det vil si at for eksempel rollen som saksbehandler for HR for hele NTNU og for en enkelt enhet ikke ekskluderende, den som jobber med HR på en enhet vil ha behov for tilgang til saksprosesser generelt, spesifikt for HR og spesielt for HR ut fra hvor de jobber.

Saksbehandler NTNU – du gis leserettigheter til alle saker som ikke er sensitive eller ytterligere tilgangsbegrenset.

Du kan likevel få tilgang til individuelle, sensitive saker gjennom å bli tildelt eller opprette en sak. Denne tilgangsrollen vil inkludere ca. 2500 medarbeidere.

Saksbehandler HR NTNU – du gis leserettigheter til spesifikke saksprosesser under saksområdene:

  • A.c Personalpolitikk og arbeidsmiljø
  • A.e Personalforvaltning
  • B.a Forskningsstrategi og -kvalitet
  • C.c Undervisning og læringsaktiviteter
  • C.d Oppfølging av studenter og ph.d.-kandidater

Denne tilgangsrollen vil inkludere ca. 450 medarbeidere.

Saksbehandler HR ENHET – du gis leserettigheter til spesifikke saksprosesser under saksområdene:

  • A.b Økonomi
  • A.c Personalpolitikk og arbeidsmiljø
  • A.d Rekruttering og ansettelse av personale
  • A.e Personalforvaltning

Denne tilgangsrollen vil inkludere ca. 25 medarbeidere per enhet. Det foreslås at dette begrenses på fakultetsnivå, som også vil inkludere tilhørende institutter.

Saksbehandler for særlig sensitive saker HR/HMS – du gis leserettigheter til spesifikke saksprosesser under saksområdene:

  • A.e Personalforvaltning
  • A.f Helse, miljø og sikkerhet
  • A.g Sikkerhet og beredskap

Saksbehandler Utdanning NTNU – du gis leserettigheter til spesifikke saksprosesser under saksområdene:

  • C.a Utdanningsstrategi og -kvalitet
  • C.b Opptak
  • C.c Undervisning og læringsaktiviteter
  • C.d Oppfølging av studenter og ph.d.-kandidater
  • C.e Vurdering
  • D.b Kommunikasjon og samfunnskontakt

Denne tilgangsrollen vil inkludere ca. 700 medarbeidere.

Saksbehandler Utdanning ENHET – du gis leserettigheter til spesifikke saksprosesser under saksområdene:

  • C.a Utdanningsstrategi og -kvalitet
  • C.c Undervisning og læringsaktiviteter
  • C.e Vurdering

Denne tilgangsrollen vil inkludere ca. 70 medarbeidere per enhet. Det foreslås at dette begrenses på fakultetsnivå, som også vil inkludere tilhørende institutter.

Saksbehandler for særlig sensitive saker Utdanning – du gis leserettigheter til spesifikke saksprosesser under saksområdene:

  • C.c Undervisning og læringsaktiviteter
  • C.d Oppfølging av studenter og ph.d.-kandidater
  • C.e Vurdering

Saksbehandler for særlig sensitive saker Museum og samling – du gis leserettigheter til spesifikke saksprosesser under saksområdene:

  • E.b Kulturminneforvaltning

Eierskap og forvaltning av roller

Prosjektet NTNU Sak vil jobbe videre med detaljerte beskrivelser av hvordan de ulike tilgangsrollene vil operasjonaliseres opp mot hvordan NTNU er organisert i ulike nivåer. Det må avklares og avgjøres hvem som har ansvar for å bestille tilganger for ansatte, og hvem som har myndighet til å godkjenne tilgang til rollene. For åpne og relativt åpne roller er det mulig at ledere ved ulike avdelinger og enheter kan godkjenne selv, mens for tilgangsbegrensede og særskilt tilgangsbegrensede roller er det mulig at prosessansvarlige må delegeres myndighet til dette av prosesseiere.

Personvernshensyn skal tas og sensitive personopplysninger skjermes, og noen saksprosesser vil være klassifisert som fortrolige eller strengt fortrolige og dermed strengt tilgangsbegrenset hvor svært få gis tilgangsrollen.

Eksempel fra utdanningsområdet

For å kunne formidle brukernes behov har prosjektet med bakgrunn i intervjuer og workshop, utviklet ulike scenario. Disse scenarioene skal hjelpe oss til å forstå og formidle ulike behov, slik at løsningen vi velger, er i takt med brukernes behov.

Beskrivelse av scenario med Effektive Elin, en tenkt bruker fra utdanningsområdet

Foto: NTNU Sak (stort format)

Et eksempel på dette er Effektive Elin, som jobber ved utdanningsseksjonen ved et fakultet. Hun behandler blant annet søknader om permisjon. Når hun skal behandle en slik søknad i det nye saksbehandlingssystemet, har hun tilgang til alle permisjonssøknader som behandles ved NTNU, og kan finne disse igjen gjennom et eget filter i verktøyet som også gjør det enkelt å finne de som tilhører hennes fakultet. Videre tilgangsbegrenser hun en legeattest som var vedlagt søknaden, og hjemler den, slik at den ikke er tilgjengelig for andre. Selv om andre saksbehandlere kan lese selve søknaden, så vil de ikke kunne åpne legeattesten.

Hennes Kollega Kari gis senere tilgang til saken for å bidra til saksbehandlingen. Selv om Kollega Kari i utgangspunktet ikke har tilgang til permisjonssøknader, har Effektive Elin gitt henne spesifikk tilgang til denne saken. Dette for å illustrere at selv om et sett med roller defineres tidlig som et grunnlag for all tilgangsstyring, så hindrer ikke det brukere fra å styre enkelte tilganger selv.