Samlade frågor och svar för Microsoft 365 på SFF

Microsoft 365 är en molnbaserad tjänst som ger dig tillgång till de verktyg som tidigare ingick i Microsofts Office-paket. Här hittar du till exempel Word, Excel och PowerPoint. Dessutom har du tillgång till Teams, OneDrive och mejlapplikationen Outlook. Utöver detta innehåller M365 även effektiva säkerhetsfunktioner som bland annat skapar trygg identitets-hantering och inloggning i stadens system, samt bättre skydd mot spam, skadliga länkar och bifogade filer. ​ 

Ett första steg i införandet av Microsoft 365 var att rulla ut Teams till alla anställda i april 2021 för att möta det ökande behovet av samarbete, distansarbete och en mer digital arbetsplats under covid-pandemin.  

Eftersom Microsoft 365 är ett stort paket med flera olika digitala verktyg sker den fortsatta implementeringen stegvis. Flertalet verktyg lanseras löpande, däribland Planner, Whiteboard, Forms och OneNote. Som en del av arbetet att lansera den personliga lagringsytan OneDrive erbjöds en flytthjälp under en 6 månaders period för att flytta utvalda filer från personliga mappar (H:) till OneDrive.

Nästa steg är att gå över till Exchange Online, enkelt beskrivet handlar det om att flytta vår mejl och kalendern upp i molnet.  

Med utgångspunkt i en förstudie som genomförts parallellt, kommer även dokumenthantering i Microsoft 365 som ett tredje steg. Stöd och riktlinjer för dokumenthantering i Microsoft 365 kommer att finnas tillgängliga för att erbjuda moderna verktyg för att lagra, hantera och samarbeta i dokument. 

För dig som arbetar i förskolan och skolan kommer Tempus, Google, Unikum och Itslearning även i fortsättningen att vara den primära kommunikationskanalen mellan dig och barn och elever på samma sätt som du gör idag. 

Du kommer även att fortsätta ta emot mejl i Outlook, och har möjlighet att använda kalenderfunktioner i Teams för att planera din arbetsdag. Efter juni 2024 förväntas du kunna använda dig av Teams för att effektivisera samarbetet. Barn och elever förväntas inte och kan inte använda Microsoft 365 Copilot i dagsläget.

Svar på många av de vanligaste frågorna kring Teams hittar du i Hubben, som är en av flikarna i Teams-applikationen. Gör det till en vana att titta där samt här i den här listan med frågor och svar. 

Teams är ett samarbets- och projektverktyg. Det kan användas för både projektarbete och som digital arbetsplats för din enhet eller avdelning.

I Teams skapar du olika samarbetsytor (team och kanaler) och samlar det som behövs för att driva arbetet framåt. Du kan ha gruppkonversationer, privata chattar och samla filer och dokument som rör ett visst arbetsområde. Du kan också planera, följa upp och tilldela aktiviteter samt föra gemensamma anteckningar där flera personer kan skriva samtidigt. Det är dessutom enkelt att själv bjuda in samarbetspartners, både från andra delar av organisationen och externa parter.

Teams och Google är samarbetsverktyg med liknande funktionalitet. Google har använts i Skol- och fritidsförvaltningen av framför allt förskolor och skolor men även till viss del av förvaltningen. Övriga förvaltningar i staden har saknat denna typ av samarbetsverktyg fram tills införandet av Teams.  

Google är fortfarande förskolornas samt grund- och gymnasieskolornas främsta verktyg för kommunikation, fildelning och t ex videomöte både internt i arbetslag samt inom och mellan enheter och för skolorna även med eleverna. 

Ett publikt team är öppna för alla medarbetare i organisationen och är därmed sökbart för alla. I ett publikt team kan vem som helst se alla konversationer, komma åt alla filer, etc.

Med den ökade användningen av Microsoft 365-grupper och Microsoft Teams behöver administratörer och användare ett sätt att rensa oanvända grupper och team. Därför har Microsoft en inbyggd tjänst där man som ägare av ett team får frågan om teamet ska upphöra eller förnyas när det inte har varit någon aktivitet i det på mer än 120 dagar.

Team som används aktivt förnyas automatiskt. Innan ett team stängs kommer du som är ägare av det att få ut ett mejl där du kan välja att förnya det innan det stängs.

Läs mer här om inaktiva teams och hur man kan transformera gamla teams

Här hittar du bakgrundsbilder med Helsingborgsmotiv 

Ett förtydligande kring iPad och iPhone som används av barn, elever eller flera användare. Ur ett säkerhetsmässigt perspektiv avråds det att installera/skjuta ut Teams, MFA eller andra appar med personligt inlogg som inte stängs ner och loggas ut automatiskt.

Med andra ord ska Teams, MFA, Outlook, Google Drive och övriga Google-applikationer endast installeras/skjutas ut på 1:1 iPads och iPhones. Det innebär att dessa applikationer endast får användas på enheter med personligt inlogg och inte på iPads och iPhones som har flera olika användare.

För att undvika att ovanstående applikationer installeras/skjuts ut på ett felaktigt sätt är det inte möjligt att installera dessa applikationer på iPads/iPhones som används av förskolebarn, som avdelningsenhet eller av flera elever med samma inlogg med eller utan pinkod. 

Undantag gäller dock för de iPads som har konfigurationen ”Delad iPad” (Shared iPad) då varje användare loggar in med en personlig inloggning. Konfigurationen ”Delad iPad” beställs via skolportalssupporten.

Finns det ytterligare frågor om detta eller önskar få rådgivning, vänligen skapa ett ärende på skolportalsupporten. 

Det finns flera olika utbildningar om Teams i Hbg learns. Här nedan ser du några exempel. 

Stadsgemensamma: 

• Introduktion till Microsoft 365 i Helsingborgs stad 
• Introduktion till de grundläggande principerna för uppgiftshantering i Microsoft 365 
• Microsoft 365-utbildningar IC365 

SFF specifika utbildningar: 

• SFF Grundutbildning Teams på HSS 
• Teams och våra system på HSS 
• Teams – Kompetenspaket Arbeta och samarbeta SFF  
• Teams – Kompetenspaket Organisera SFF  

Att rensa din mejl och kalender kontinuerligt har flera fördelar och bidrar till en mer effektiv, säker och organiserad arbetsmiljö. Därför bör du regelbundet ta bort allt som går att slänga utan större problem, tex nyhetsbrev, mötesinbjudningar, svar på mötesinbjudningar och annat som du inte behöver spara.
Uppdatera dig på vad som gäller redan idag för din mejl.

Ja, i HBG learns finns utbildningen M365 – Rensa din mejl och kalender innan flytten till molnet.
Det finns även presentation med praktiska tips på hur du kan rensa. .Här får du några tips på hur du kan göra när du rensar. (.pdf). På stadens samlingssida får du också stöd kring vad du behöver göra och hur du gör det – steg för steg, med vanliga frågor och praktiska tips.
Till stadens sida om mejl och kalender i Microsoft 365

Ja, vi har satt ihop en sida som du kan använda dig av när du ska göra dina avväganden kring vilka uppgifter du får hantera i mejl och kalender.

Stöd för uppgifter du får hantera i mejl och kalender.

Använder du din Outlook lite som arkiv och lagringsplats? För att det är så enkelt att leta fram vad ni sa vid senaste kontakten eller när ni mejlades vid för någon månad sedan? Du är inte ensam. Vi är många som använder Outlook på det sättet. Men så kan vi inte jobba längre. Vi måste ständigt rensa ut i både inkorg och utkorg (och alla andra mappar en del av oss skapat i ett fiffigt system). Mejl som innehåller känsliga uppgifter, personuppgifter och sekretessbelagd information får inte hanteras. 

Om du får ett mejl ska du skyndsamt lägga in vad mejlet handlar om i rätt system. Därefter ska du radera mejlet. Det ska inte ligga kvar i din inkorg. Du ska inte heller mejla det vidare. Istället kan du informera vidare att ”jag har uppdaterat informationen i ärende X i system Y, du kan se mina uppdateringar där”. På så sätt minimerar vi risken att personuppgifter hamnar i orätta händer. 

Mer information om vad du får spara på olika lagrinsytor finns här

Det har blivit tydligt under införandet av M365 att det finns glapp som vi hittills använt Outlook till. Och det kommer att ta lite tid att täppa till det glappet. Om du har ett mejl med ett innehåll som skulle kunna klassas som känslig eller sekretessbelagd information och det inte finns något verksamhetssystem att lägga det i – då får du spara informationen på en säker lagrinsyta och radera mejlet. Mer information om vad du får spara på olika lagrinsytor  och säkra kommunikationssystem finns här.  

Det nya arbetssättet kan kännas krångligt. Men egentligen borde vi ha varit så här noggranna hela tiden. I och med övergången till Microsoft 365 och mejl och kalender flyttas till molnet blev det bara tydligare vad som inte fungerat. Det handlar också om att juridiken på området blivit tydligare och skarpare de senaste åren i och med GDPR och SchremsII.

M365 kräver högre säkerhet när vi använder applikationerna, eftersom det är en molntjänst. Om du inte redan har gjort det kommer du därför att behöva aktivera tvåfaktorsinloggning (MFA). Du hittar en guide som beskriver hur du gör genom att söka på ”MFA – Guide till tvåfaktorsinloggning” på IT-portalen.

Tvåfakatorsinloggning (MFA) ökar säkerheten av ditt konto. Framtidens säkerhetsutmaningar ställer större krav än någonsin på informationssäkerhet och dataskydd. För att bättre kunna skydda informationen i våra datorer och mobila enheter från dataintrång, har staden infört tvåfaktorsinloggning som används när du loggar in i Microsoft 365-tjänster. Skulle någon stjäla ditt lösenord kan de inte logga in eftersom du inte godkänner en sådan inloggning i “Microsoft Authenticator”-appen. Genom att införa tvåfaktorsinloggning (MFA) minskar staden risken för cyberattacker och på så sätt blir hela stadens IT-miljö enormt mycket säkrare.

Läs mer om stadens arbete kring säker digital arbetsplats

Ett förtydligande kring iPad och iPhone som används av barn, elever eller flera användare. Ur ett säkerhetsmässigt perspektiv avråds det att installera/skjuta ut Teams, MFA eller andra appar med personligt inlogg som inte stängs ner och loggas ut automatiskt.

Med andra ord ska Teams, MFA, Outlook, Google Drive och övriga Google-applikationer endast installeras/skjutas ut på 1:1 iPads och iPhones. Det innebär att dessa applikationer endast får användas på enheter med personligt inlogg och inte på iPads och iPhones som har flera olika användare.

För att undvika att ovanstående applikationer installeras/skjuts ut på ett felaktigt sätt är det inte möjligt att installera dessa applikationer på iPads/iPhones som används av förskolebarn, som avdelningsenhet eller av flera elever med samma inlogg med eller utan pinkod. 

Undantag gäller dock för de iPads som har konfigurationen ”Delad iPad” (Shared iPad) då varje användare loggar in med en personlig inloggning. Konfigurationen ”Delad iPad” beställs via skolportalssupporten.

Finns det ytterligare frågor om detta eller önskar få rådgivning, vänligen skapa ett ärende på skolportalsupporten. 

All slags information som direkt eller indirekt kan knytas till en (fysisk) person som är i livet. Även bild- och ljuduppgifter om en (fysisk) person räknas som personuppgifter, även om inga namn nämns. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person. Observera att du har oftast rätt använda alla de personuppgifter som du behöver i tjänsten för att fullfölja uppdraget. Lagstiftningen GDPR handlar framförallt om vad som gäller när du väl hanterar personuppgifter. 

Ja, vår bedömning är att du får hantera icke integritetskänsliga personuppgifter i molntjänst utanför EU, under förutsättning att de inte innehåller skyddsvärd information, sekretess eller känsliga personuppgifter.  

Exempel på icke integritetskänsliga personuppgifter är namn, födelseår, adress, e-postadress, telefonnummer, befattning eller enstaka prestationer och omdömen. Du får inte hantera detaljerade eller omfattande uppgifter i molntjänst utanför EU då uppgifterna sammanvägt kan bli integritetskänsliga. ​

Vi bedömer att du med stor försiktighet i molntjänst utanför EU får hantera namn och personnummer tillsammans med övergripande ändamål, klass, kurs och enhet. Du får dock inte koppla dessa uppgifter med skyddsvärd information, information som har sekretess eller känsliga personuppgifter. 

Det är uppgifter som är kritiska för vår verksamhet, detaljerade eller integritetskänsliga för enskilda personer. Man kan säga att det är de flesta uppgifterna vi dagligen hanterar i verksamheten som inte är offentliga eller integritietskänsliga. Det kan handla om lön och andra uppgifter om anställning, användarnamn, värderande uppgifter, till exempel uppgifter från medarbetarsamtal, uppgifter om resultat från personlighetstester och profilering, summativa elevbedömningar, samlade mätuppgifter, information från någons privata sfär eller uppgifter om sociala förhållanden och lagöverträdelser. Det kan också handla om pågående utredningar, incidentrapporter, krisledning/risk och sårbarhetsanalyser, systeminformation och information om teknisk struktur. 

Ställ dig alltid frågan om uppgiften är nödvändig information för mottagaren och om du kan referera till uppgiften på annat sätt, tex en länk till verksamhetssystemet den lagras i.

Undvik att hantera skyddsvärda uppgifter i molntjänst utanför EU. Rådgör med din chef om du inte vet hur du ska hantera er verksamhets skyddsvärda uppgifter. Normalt hanterar man skyddsvärda uppgifter i verksamhetssystem där man har kontroll på vilka som har tillgång samt vad olika användare får lov att se i systemet. Har ni ingen bra plats eller system för er verksamhets uppgifter finns det anledning till att försöka utveckla er hantering av uppgifterna så att den blir säker och effektiv. 

Det är en term som kommer från GDPR-lagstiftningen och innefattar personuppgifter som till exempel avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person. Vanliga exempel på hälsouppgifter handlar om sjukdom, läkarbesök, graviditet, könsdysfori och olika diagnoser. 

Nej, känsliga personuppgifter får INTE hanteras i molntjänst utanför EU. Du får inte hantera dem någon annanstans heller om du inte har stöd i lag för att göra så. Känsliga personuppgifter får endast hanteras i avsedda verksamhetssystem med hög säkerhet där endast direkt berörda har tillgång. Ska du kommunicera känsliga personuppgifter utanför ett verksamhetssystem måste det ske på ett säkert sätt, inte via mejl, chatt och liknande verktyg. 

Regler om sekretess finns i offentlighets- och sekretesslagen (OSL). Uppgifter som omfattas av sekretess får inte röjas (avslöjas) vare sig det sker muntligen, genom att allmän handling lämnas ut, eller genom att uppgiften offentliggörs på annat sätt. 

 En allmän handling är en handling som kommit in till eller som har upprättats och förvaras hos myndigheten. Det kan till exempel vara ett schema som skapas av skolan, ett mejl från en vårdnadshavare, ett åtgärdsprogram för en elev eller ett veckobrev. 

 En allmän handling kan vara offentlig i sin helhet eller omfattas av sekretess i vissa delar/i sin helhet. Allmänna handlingar ska inte lämnas ut utan att du först har gjort en sekretessbedömning av innehållet i handlingen. Till exempel en klasslista är allmän handling, men det kan finnas uppgifter i klasslistan som omfattas av sekretess. Därför måste en sekretessbedömning alltid göras innan klasslistan lämnas ut. 

Det finns svag, stark och absolut sekretess och det finns sekretess som rör rikets säkerhet.  

Svag sekretess

För svag sekretess gäller offentlighet i första hand, men uppgifter kan sekretessbeläggas om det kan antas att den enskilde eller någon närstående kan lida skada (ekonomiskt) eller men (intrång i den personliga integriteten) om uppgiften röjs. Svag sekretess gäller t ex inom skolans elevstödjande verksamhet (ej utförd av psykolog, kurator eller specialpedagog).  

Stark sekretess  

För stark sekretess gäller att uppgiften i första hand inte blir offentlig men kan bli så om det står klart efter sekretessprövning att den kan röjas utan att den enskilde eller någon närstående lider skada eller men. Stark sekretess gäller till exempel uppgifter inom förskolan, elevhälsan, uppgifter i socialförvaltning och vård.

Absolut sekretess  

För absolut sekretess får uppgifterna inte lämnas ut och sekretessprövas därför inte heller. Uppgifterna får enbart vara tillgängliga för de som behöver uppgifterna för att utföra sitt arbete. Absolut sekretess gäller till exempel pågående upphandlingsärenden. 

För sekretess gällande rikets säkerhet finns ännu striktare regler och normalt hanterar vi inte sådana uppgifter inom vår förvaltning. 

I molntjänster utanför EU hanteras både allmänna handlingar, arbetsmaterial och andra uppgifter. Därför gäller samma regler runt sekretess och offentliggörande som överallt annars. Så olika uppgifter kan ha sekretess eller inte som avgör om de får lämnas ut, men det finns också olika nivåer på sekretess som avgör var vi kan hantera uppgifterna. Det finns uppgifter med sekretess som vi inte ens ska få se internt, utöver de som är direkt berörda, och det finns uppgifter som har så hög sekretessnivå att vi inte ens vill att leverantörer ska ha tillgång till uppgifterna eftersom de då kan räknas som röjda. 

Innehåll med absolut sekretess får du inte hantera alls i molntjänster utanför EU. Exempel på det är upphandlingsdokument som inte är annonserade. 

Uppgifter med stark sekretess får inte hanteras i molntjänster utanför EU av flera anledningar. Normalt har verksamheten uppgifterna i andra system eller platser som är avsedda för hanteringen. Sekretessprövning ska alltid ske innan uppgifter lämnas ut och blir offentliga. 

Uppgifter med svag sekretess, det vill säga sådana som i första hand blir offentliga om de begärs utlämnade bör som försiktighetsprincip inte behandlas i molntjänst utanför EU. Till exempel personaladministrativa uppgifter som inte är känsliga eller skyddsvärda. Men tänk på att alla uppgifter ändå ska sekretessprövas innan de lämnas ut och blir offentliga. 

Gränsen mellan svag och stark sekretess och vad du får hantera eller inte i M365 kan vara svår att avgöra och får bedömas i enskilda fall och typer av uppgifter. Rådgör med din chef om du behöver stöd runt sekretess och offentliga handlingar. 

Det är främst två andra anledningar till att du inte kan hantera all information i molntjänster utanför EU, dels det som gäller behandling av personuppgifter och dels risken för att sekretess kan röjas. 

 För lagstiftningen runt personuppgiftsbehandling (GDPR) handlar det om att uppgifterna överförs till tredje land utanför EU/EES och att de registrerades rättigheter och annan lagstiftning inte gäller där samt att viss behandling av uppgifterna är utanför vår kontroll. Därför måste vi vara försiktiga med vilken typ av uppgifter vi hanterar i molntjänster utanför EU. 

 För offentlighet och sekretesslagstiftningen (OSL) handlar det om att inte bryta sekretess när uppgifter hanteras externt av leverantörer, även där finns lagstiftning och rekommendationer som ska följas. 

Många IT-system och leverantörer har idag behandling av uppgifter helt eller delvis utanför EU och lämnar ut uppgifter antingen öppet och medvetet, omedvetet eller på uppmaning av sitt lands myndigheter. Det är en risk som vi måste betrakta när vi använder tjänster med behandling av uppgifter både innanför och utanför EU. 

Det första som händer är att du utsätter de registrerade (elev, VH och personal) för risker med hanteringen som vi bedömt att vi inte ska göra. För vissa typer av uppgifter kan det vara allvarliga konsekvenser för de registrerade. Även organisationen kan lida skada ekonomiskt på olika sätt, som merarbete, sanktionsavgifter och försämrat varumärke.  

Integritetsskyddsmyndigheten IMY som har tillsyn för området kan utfärda sanktionsavgifter på upp till 10 miljoner kronor för överträdelser. IMY kommer bland annat att titta på hur allvarlig överträdelsen är, hur stor skada som skett, om det är fråga om känsliga personuppgifter, om det rör sig om upprepade överträdelser och om överträdelsen är avsiktlig. En stor organisation som vi kan få en stor sanktionsavgift då den “ska vara effektiv, proportionerlig och avskräckande”. 

IMY kan dessutom förelägga en organisation att de måste upphöra omedelbart med en viss behandling. Om vi behöver stänga ned hela eller delar av våra molntjänster för att vi hanterat uppgifter på fel sätt så skulle det få mycket stora konsekvenser för hela stadens verksamhet. 

Antagligen, men svårt att säga när. Molnfrågan kan snabbt förändras, både till det bättre och till det sämre, men ett troligt scenario är en långsam utveckling framåt där olika parters villkor möts till en hållbar hantering av känslig data. Frågan bevakas kontinuerligt av stadens och förvaltningarnas jurister.

Praxis på den lagstiftning vi har idag inom EU prövas sakta men säkert via olika rättsfall och sätter press på stora aktörer. Det i sin tur har fått flera länder utanför EU att fundera på om de ska införa dataskyddslagar som liknar GDPR och som ger ett bättre skydd för individer och organisationer. Inom EU har lagstiftningen skyndat på utvecklingen av informationssäkerhet, minskat felaktig hantering och ökat rättsskyddet för de som får sina uppgifter behandlade.  

Har du frågor om hur och var vi får behandla personuppgifter, vem som är personuppgiftsansvarig eller om något som har inträffat kan vara en personuppgiftsincident? Kontakta Pär Emilsson, samordnare för personuppgiftsfrågor.

Har du allmänna juridiska frågor eller frågor om kategoriseringen i matrisen, exempelvis om en viss uppgift är känslig eller omfattas av sekretess? Kontakta Julia Alnervik, förvaltningsjurist.

Övriga frågor skickas till pedagogisktcenter@helsingborg.se