Allmän informationssäkerhet

• Aktivera tvåfaktorsinloggning, MFA. Det gör det mycket svårare för hackers att ta sig in i våra system. På intranätet kan du läsa mer om hur du aktiverar tvåfaktorsinloggning.
• Uppdatera dig kring vilka rutiner vi har i Helsingborgs stad vad gäller informationssäkerhet.
• På styrning.helsingborg.se kan du läsa mer om Helsingborgs stads policyer.

• Välj ett långt och lite krångligt lösenord som ingen kan lista ut. Då blir det säkrare. På intranätet kan du läsa mer om lösenord.
• Lås alltid datorn när du lämnar den, även om det är för en kort stund. På en PC håller du nere windowsknappen och trycker på bokstaven L. På en Mac och Chromebook är det enklaste att stänga locket. På en Chromebook kan du dessutom trycka på strömbrytaren och sedan välja lås eller logga ut.
• Sitter du ofta på offentliga platser och hanterar känslig information är det klokt att välja en datorskärm där man inte kan se vad det står om man kikar lite från sidan. Din chef kan hjälpa dig att beställa en sådan.

• Du ska ha en lösenkod, även kallad PIN-kod, på din mobil. Mobiltelefoner som staden managerar kräver en obligatorisk lösenkod med minst 6 tecken. På äldre mobiler som inte manageras av staden måste du själv skapa din PIN-kod.

Här är några tips på hur du kan tänka kring hantering av mejl och chattar:

• Genomför utbildningarna som digitaliseringsavdelningen skickat till din e-post. De heter Security Awareness Training.
• Klicka inte på okända länkar, pdf-filer och liknande. Var sunt misstänksam. Dubbelkolla gärna med avsändaren om du känner dig minsta osäker.

All slags information som direkt eller indirekt kan knytas till en (fysisk) person som är i livet. Även bild- och ljuduppgifter om en (fysisk) person räknas som personuppgifter, även om inga namn nämns. Krypterade eller kodade uppgifter är också personuppgifter om någon har en nyckel som kan koppla dem till en person. Observera att du har oftast rätt använda alla de personuppgifter som du behöver i tjänsten för att fullfölja uppdraget. Lagstiftningen GDPR handlar framförallt om vad som gäller när du väl hanterar personuppgifter. 

Ja, vår bedömning är att du får hantera icke integritetskänsliga personuppgifter i molntjänst utanför EU, under förutsättning att de inte innehåller skyddsvärd information, sekretess eller känsliga personuppgifter.  

Exempel på icke integritetskänsliga personuppgifter är namn, födelseår, adress, e-postadress, telefonnummer, befattning eller enstaka prestationer och omdömen. Du får inte hantera detaljerade eller omfattande uppgifter i molntjänst utanför EU då uppgifterna sammanvägt kan bli integritetskänsliga. ​

Vi bedömer att du med stor försiktighet i molntjänst utanför EU får hantera namn och personnummer tillsammans med övergripande ändamål, klass, kurs och enhet. Du får dock inte koppla dessa uppgifter med skyddsvärd information, information som har sekretess eller känsliga personuppgifter. 

Det är uppgifter som är kritiska för vår verksamhet, detaljerade eller integritetskänsliga för enskilda personer. Man kan säga att det är de flesta uppgifterna vi dagligen hanterar i verksamheten som inte är offentliga eller integritietskänsliga. Det kan handla om lön och andra uppgifter om anställning, användarnamn, värderande uppgifter, till exempel uppgifter från medarbetarsamtal, uppgifter om resultat från personlighetstester och profilering, summativa elevbedömningar, samlade mätuppgifter, information från någons privata sfär eller uppgifter om sociala förhållanden och lagöverträdelser. Det kan också handla om pågående utredningar, incidentrapporter, krisledning/risk och sårbarhetsanalyser, systeminformation och information om teknisk struktur. 

Ställ dig alltid frågan om uppgiften är nödvändig information för mottagaren och om du kan referera till uppgiften på annat sätt, tex en länk till verksamhetssystemet den lagras i.

Undvik att hantera skyddsvärda uppgifter i molntjänst utanför EU. Rådgör med din chef om du inte vet hur du ska hantera er verksamhets skyddsvärda uppgifter. Normalt hanterar man skyddsvärda uppgifter i verksamhetssystem där man har kontroll på vilka som har tillgång samt vad olika användare får lov att se i systemet. Har ni ingen bra plats eller system för er verksamhets uppgifter finns det anledning till att försöka utveckla er hantering av uppgifterna så att den blir säker och effektiv. 

Det är en term som kommer från GDPR-lagstiftningen och innefattar personuppgifter som till exempel avslöjar etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i en fackförening, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person. Vanliga exempel på hälsouppgifter handlar om sjukdom, läkarbesök, graviditet, könsdysfori och olika diagnoser. 

Nej, känsliga personuppgifter får INTE hanteras i molntjänst utanför EU. Du får inte hantera dem någon annanstans heller om du inte har stöd i lag för att göra så. Känsliga personuppgifter får endast hanteras i avsedda verksamhetssystem med hög säkerhet där endast direkt berörda har tillgång. Ska du kommunicera känsliga personuppgifter utanför ett verksamhetssystem måste det ske på ett säkert sätt, inte via mejl, chatt och liknande verktyg. 

Regler om sekretess finns i offentlighets- och sekretesslagen (OSL). Uppgifter som omfattas av sekretess får inte röjas (avslöjas) vare sig det sker muntligen, genom att allmän handling lämnas ut, eller genom att uppgiften offentliggörs på annat sätt. 

 En allmän handling är en handling som kommit in till eller som har upprättats och förvaras hos myndigheten. Det kan till exempel vara ett schema som skapas av skolan, ett mejl från en vårdnadshavare, ett åtgärdsprogram för en elev eller ett veckobrev. 

 En allmän handling kan vara offentlig i sin helhet eller omfattas av sekretess i vissa delar/i sin helhet. Allmänna handlingar ska inte lämnas ut utan att du först har gjort en sekretessbedömning av innehållet i handlingen. Till exempel en klasslista är allmän handling, men det kan finnas uppgifter i klasslistan som omfattas av sekretess. Därför måste en sekretessbedömning alltid göras innan klasslistan lämnas ut. 

Det finns svag, stark och absolut sekretess och det finns sekretess som rör rikets säkerhet.  

Svag sekretess

För svag sekretess gäller offentlighet i första hand, men uppgifter kan sekretessbeläggas om det kan antas att den enskilde eller någon närstående kan lida skada (ekonomiskt) eller men (intrång i den personliga integriteten) om uppgiften röjs. Svag sekretess gäller t ex inom skolans elevstödjande verksamhet (ej utförd av psykolog, kurator eller specialpedagog).  

Stark sekretess  

För stark sekretess gäller att uppgiften i första hand inte blir offentlig men kan bli så om det står klart efter sekretessprövning att den kan röjas utan att den enskilde eller någon närstående lider skada eller men. Stark sekretess gäller till exempel uppgifter inom förskolan, elevhälsan, uppgifter i socialförvaltning och vård.

Absolut sekretess  

För absolut sekretess får uppgifterna inte lämnas ut och sekretessprövas därför inte heller. Uppgifterna får enbart vara tillgängliga för de som behöver uppgifterna för att utföra sitt arbete. Absolut sekretess gäller till exempel pågående upphandlingsärenden. 

För sekretess gällande rikets säkerhet finns ännu striktare regler och normalt hanterar vi inte sådana uppgifter inom vår förvaltning. 

I molntjänster utanför EU hanteras både allmänna handlingar, arbetsmaterial och andra uppgifter. Därför gäller samma regler runt sekretess och offentliggörande som överallt annars. Så olika uppgifter kan ha sekretess eller inte som avgör om de får lämnas ut, men det finns också olika nivåer på sekretess som avgör var vi kan hantera uppgifterna. Det finns uppgifter med sekretess som vi inte ens ska få se internt, utöver de som är direkt berörda, och det finns uppgifter som har så hög sekretessnivå att vi inte ens vill att leverantörer ska ha tillgång till uppgifterna eftersom de då kan räknas som röjda. 

Innehåll med absolut sekretess får du inte hantera alls i molntjänster utanför EU. Exempel på det är upphandlingsdokument som inte är annonserade. 

Uppgifter med stark sekretess får inte hanteras i molntjänster utanför EU av flera anledningar. Normalt har verksamheten uppgifterna i andra system eller platser som är avsedda för hanteringen. Sekretessprövning ska alltid ske innan uppgifter lämnas ut och blir offentliga. 

Uppgifter med svag sekretess, det vill säga sådana som i första hand blir offentliga om de begärs utlämnade bör som försiktighetsprincip inte behandlas i molntjänst utanför EU. Till exempel personaladministrativa uppgifter som inte är känsliga eller skyddsvärda. Men tänk på att alla uppgifter ändå ska sekretessprövas innan de lämnas ut och blir offentliga. 

Gränsen mellan svag och stark sekretess och vad du får hantera eller inte i M365 kan vara svår att avgöra och får bedömas i enskilda fall och typer av uppgifter. Rådgör med din chef om du behöver stöd runt sekretess och offentliga handlingar. 

Det är främst två andra anledningar till att du inte kan hantera all information i molntjänster utanför EU, dels det som gäller behandling av personuppgifter och dels risken för att sekretess kan röjas. 

 För lagstiftningen runt personuppgiftsbehandling (GDPR) handlar det om att uppgifterna överförs till tredje land utanför EU/EES och att de registrerades rättigheter och annan lagstiftning inte gäller där samt att viss behandling av uppgifterna är utanför vår kontroll. Därför måste vi vara försiktiga med vilken typ av uppgifter vi hanterar i molntjänster utanför EU. 

 För offentlighet och sekretesslagstiftningen (OSL) handlar det om att inte bryta sekretess när uppgifter hanteras externt av leverantörer, även där finns lagstiftning och rekommendationer som ska följas. 

Många IT-system och leverantörer har idag behandling av uppgifter helt eller delvis utanför EU och lämnar ut uppgifter antingen öppet och medvetet, omedvetet eller på uppmaning av sitt lands myndigheter. Det är en risk som vi måste betrakta när vi använder tjänster med behandling av uppgifter både innanför och utanför EU. 

Det första som händer är att du utsätter de registrerade (elev, VH och personal) för risker med hanteringen som vi bedömt att vi inte ska göra. För vissa typer av uppgifter kan det vara allvarliga konsekvenser för de registrerade. Även organisationen kan lida skada ekonomiskt på olika sätt, som merarbete, sanktionsavgifter och försämrat varumärke.  

Integritetsskyddsmyndigheten IMY som har tillsyn för området kan utfärda sanktionsavgifter på upp till 10 miljoner kronor för överträdelser. IMY kommer bland annat att titta på hur allvarlig överträdelsen är, hur stor skada som skett, om det är fråga om känsliga personuppgifter, om det rör sig om upprepade överträdelser och om överträdelsen är avsiktlig. En stor organisation som vi kan få en stor sanktionsavgift då den “ska vara effektiv, proportionerlig och avskräckande”. 

IMY kan dessutom förelägga en organisation att de måste upphöra omedelbart med en viss behandling. Om vi behöver stänga ned hela eller delar av våra molntjänster för att vi hanterat uppgifter på fel sätt så skulle det få mycket stora konsekvenser för hela stadens verksamhet. 

Antagligen, men svårt att säga när. Molnfrågan kan snabbt förändras, både till det bättre och till det sämre, men ett troligt scenario är en långsam utveckling framåt där olika parters villkor möts till en hållbar hantering av känslig data. Frågan bevakas kontinuerligt av stadens och förvaltningarnas jurister.

Praxis på den lagstiftning vi har idag inom EU prövas sakta men säkert via olika rättsfall och sätter press på stora aktörer. Det i sin tur har fått flera länder utanför EU att fundera på om de ska införa dataskyddslagar som liknar GDPR och som ger ett bättre skydd för individer och organisationer. Inom EU har lagstiftningen skyndat på utvecklingen av informationssäkerhet, minskat felaktig hantering och ökat rättsskyddet för de som får sina uppgifter behandlade.  

Har du frågor om hur och var vi får behandla personuppgifter, vem som är personuppgiftsansvarig eller om något som har inträffat kan vara en personuppgiftsincident? Kontakta Pär Emilsson, samordnare för personuppgiftsfrågor.

Har du allmänna juridiska frågor eller frågor om kategoriseringen i matrisen, exempelvis om en viss uppgift är känslig eller omfattas av sekretess? Kontakta Julia Alnervik, förvaltningsjurist.

Övriga frågor skickas till pedagogisktcenter@helsingborg.se