1.Berätta lite kort om er organisation och hur många anställda som ni har Uppsala Universitet är Sverige och Nordens första universitet och grundades 1477. Vi har omkring 7000 anställda och 40 000 studenter. Universitet består av 3 vetenskapsområden; Humaniora och Samhällsvetenskap, Medicin och farmaci samt Teknik och Naturvetenskap och dessa är sedan indelade i 9 fakulteter och närmare 50 institutioner.
2.Vad är din/er roll inom organisationen Informationsäkershetssamordnare på säkerhetsavdel-ning.
3.Hur ser IT-miljön ut? ( t.ex. egen drift, egna system, cloud, vem som förvaltar) Det är blandat, det finns centrala system som förvaltas centralt men också system som är inköpta och förvaltas av institutioner.
4.Vilka policy och styrdokument har ni som rör personlig integritet? Det finns flera dokument bland annat Rutiner för säker Informationshantering, Rutiner för riskhantering.
5.Hur har ni inom organisationen arbetat och delat upp arbetet med införande av GDPR hittills? Projektet har en styrgrupp och en projektgrupp. I dessa grupper har personer från olika institutioner och från olika funktioner suttit med. Olika avdelningar har varit ansvariga för olika delar inom projekten och har spritts ut mellan IT-avdelningen, Säkerhetsavdelningen och Juridiska avdelningen för att nämna några.
6.Har ni eller kommer ni att använda er av pseudonymisering? De gör det på vissa institutioner redan. Är tex ute på institutioner som har patientuppgifter. På den datan kan man dra ned konfidentialiteten till en 1 men på själva nyckeln behövs då högre säkerhet.
7.Om inte varför? Om ja hur har ni valt att använda er av det? Se ovan
8.I vilken omfattning använder ni er av kryptering? ( t.ex. Databaser, loggar, nätverk) Kryp-tering förekommer på olika led med kommunikation tex https. KrypKryp-tering på disk däremot beror lite på om det behövs. I serverhallen som är så säker behöver informationen inte krypteras men däremot i kommunikation används kryptering. Säkerheten är väl avvägd och välbalanserad.
9.Finns det någon behörighetsstyrning som begränsar vilka som får ta del av personuppgifter?
Hur och vem administrerar det i så fall? CAS.-inlogging, man söker behörigheter till de olika system. Se kravanalysen
10.Kan ni berättat lite mer om hur ni klassificerar den information som ni har och hur ni går tillväga? Säkerhetsavdelningen har klassat och gjort kravanalys på alla gemensamma system. De har också gjort en analys över vilken typ av information som vanligast och gett dessa en klassning.
De institutioner som hanterar känslig data, som till exempel patientdata har ett bra tänk men de har inte jobbat med informationsklassniningar som sådant förrän nu.
I projektgruppen har man arbetat med 12 inst där olika typer av institutioner med olika typer av personuppgifter finns och de har fått klassat sin information.
Tidigare har man arbetat med 3 klasser, bas, hög och särskilda krav. Nu är det istället en fyrgradig skala, numerisk 0-3 och efter KRT ; Konfidentialitet, riktighet och tillgänglighet. Så varje info klassas med mot de tre samt hur hög den är på den fyrgradiga skalan.
För att kolla system används istället Kravanalyser, kraven kopplas tydligt mot en klassning.
Kravanalysen av system ska göra så att man vet vilken information som man får lägga vart. Man ger system en klassningen också och de krav som kommer ut ur klassningen är plockade under ISO 27000 standarden. Det finns ungefär 40-50 krav.
Institutionerna behöver göra infoklassningar medan kravanalys bara behövs om man har egna system. Från klass 2 så skruvas det åt och blir hårdare regler.
Molntjänster är besvärligare och UUs policy säger nej till molntjänster om de innehåller känslig information som är sekretessbelagt eller innehåller personuppgifter. Klass 0-2 så är molntjänster ok men inte något som rekommenderat. Sunetbox är det som finns och som rekommenderas för tillfället om man vill använda molntjänster. Ett problem är att man vill dela forskning med forskargrupper vid andra universitet i olika länder och det blir svårt utan en molntjänst.
Finns ett gemensamt projekt där man utvecklar en molntjänst. Målet är att det ska finnas en centraltjänst som man använder och som rekommenderas. Ute på institutionerna används lite blandad av tjänster bland annat finns det några egensnickrade lösningar.
Epost kulturen är också besvärlig då personuppgifter skickas mellan flera personer.
11.Rätten att bli bortglömd blir ju lite knepigare för en statlig myndighet som lyder under offentlighetsprincipen. Hur ser organisationen på den delen av lagen? Se längre ned.
12.Kan man utifrån den information som ni loggar se vad som har hänt med en informations-post? Vem som har gjort vad och när? Loggar finns och används där de behövs. Om det finns krav på hög riktighet så är det viktigt med loggar.
13.Vilka rutiner finns det/ kommer det att finnas för att säkerhetsställa att den datainsamling som sker är nödvändigt? Vi har anordnat workshops för de anställda där de får utbildning i informationsklassning. Det har också varit flera informationstillfällen angående GDPR och vårt Dataskyddsombud skickar ut information. På varje institution ska det finns en person som ansvarar för dessa frågor som man kan vända sig till. Det finns också regler och riktlinjer på vår interna yta Medarbetarportalen. Man ska anmäla att man behandlar personuppgifter till förvaltningen via en blankett vilket gör att organisationen som sådan kan få en bra överblick.
14.Vad kommer det finns för rutiner kring att upptäcka om ett brott inträffat eller om någon obehörig kommer åt uppgifter den inte har rätt till? För att upptäcka brott- löpande skydd. Log-gar, brandväggar bland annat. Oavsett om det är en IT incident (MSB), personuppgiftsincident (datainspektionen) så ska det vara samma hantering.
15.Hur säkerhetsställer ni att de anställda arbetar enligt de regler och riktlinjer som finns och förstår vad som menas med nödvändig datainsamling? Workshops, infotillfällen. Både infor-mationssäkerhetsutbildningar samt workshop i infoklassningar. Det finns också utbildningar för informationsäkerhet.
16.Har ni inför införande haft utbildningar/workshop för anställda kring hur man kan klassifi-cera information och/eller vad de behöver tänka på efter lagen börjat gälla? Ja
17.Är det något med den nya lagen som känns svårtolkat och som ni har upplevt som svårt att införa? De olika tolkningar kring kraven som riktas mot oss. I vissa tolkningar kanske man inte beaktar att man är en myndighet som tex rätten att bli bortglömd. Det är inte förordningen mening att man ska belastas administrativt utan meningen ska ju vara att man skyddas som person och personuppgifter.
Det är viktigt att man tar ett steg tillbaka och fundera på syftet kring lagen. Man ska läsa förordningen i ljuset av hela förordningen. Innebörden av den och inte paragraf per paragraf.
Rimlighet.
Folk befinner sig lite på olika delar av stresskala på universitet men Säkerhetsavldeningen känner sig väl förberedda.
Allt som hittas i kravanalyser kommer inte hinnas åtgärdas innan 25 maj men så länge man arbetar med det på ett bra och strukturerat sätt så kommer det gå bra. Vi på UU känner oss förberedd och har en god bild över läget.
Vi säkerhetssamordnare ser detta som en skjuts för det jobb som de redan har gjort och där kraven som funnits tidigare blir stärkta och lättare att arbeta med.
18.Är det okej om jag kontaktar er med några fler frågor/följdfrågor? Ja.
C Bilaga 3
C.1 Slutrapport GDPR-projektet Dnr: 3020-1.1.1-2017
Sten Leander, AVM 2018-03-23 Dnr: 3020-1.1.1-2017 Slutrapport GDPR-projektet
Bakgrund
Den 25:e maj 2018 träder Dataskyddsförordningen (GDPR) i kraft inom EU med stora förändringar i hanteringen av personuppgifter som följd, och allvarliga sanktioner vid brister i hanteringen. Som myndigheter har landets lärosäten en rad anpassningar som ska finnas på plats till dess och det ställs stora krav på inte minst information till studenter, anställda och andra vars personuppgifter hanteras av lärosätet.
Bland de anpassningar som måste göras kan nämnas tvånget på ett register för samtliga person-uppgiftsbehandlingar som görs inom högskolan (GDPR art. 30). Vidare ska information lämnas till den vars personuppgifter är insamlade (GDPR art. 13 och 14). Informationen är lite olika beroende på om den inhämtats från den person uppgifterna berör eller från en tredje part.
Dataskyddsförordningen ställer också krav på myndigheter att ha ett dataskyddsombud, vilka kvalifikationer en sådan bör ha, samt den organisatoriska placeringen för tjänsten (GDPR Art.
37-39).
Förordningen ställer också krav på förhållandet personuppgiftsansvarig och personuppgiftsbi-träde, dvs. högskolan och en tredje part som behandlar personuppgifter för dess räkning (GDPR Art. 28).
Med anledning av ovanstående beslutades att Södertörns högskola skulle bilda ett projekt för att möta dataskyddsförordningens utmaningar. En projektplan skrevs i slutet av september 2017.
Projektets uppdrag
Projektet har enligt projektplanen haft i uppdrag att:
• Ta fram register över högskolans personuppgiftsbehandlingar
• Upprätta avtal mellan personuppgiftsansvariga och personuppgiftsbiträden (tredje part)
• Upprätta rutiner för insamlande och gallring av systeminformation
• Ta fram informationsmaterial till samtliga berörda (till stor del genom samarbete med ITCF - ett samarbete mellan högskolor gällande IT)
• Upprätta rutiner för dataskyddsincidenter
• Upprätta riktlinjer för personuppgiftsbehandlingar
• Skapa en organisation för löpande arbete med dataskyddsförordningen efter implementering-en
Senaste datum för projektets slutrapport sattes till den 29 mars 2018.
Projektets genomförande
För att ta fram ett register över högskolans personuppgiftsbehandlingar engagerades systemkun-niga personer från förvaltningen avdelningar. Dessa var: Karin Magnusson, Anna Sande, Veronica Waldermarson, Victor Takala, Ilhem Bouroucha, Tomas Englund, Lotta Odmar, Anders Fredriks-son och Lovisa Björklund. Senare tillkom Mari Gerdin och Latinka Simic.
En blankett togs fram där uppgifter enligt GDPR:s krav i artikel 30 kunde föras in (bilaga 1) och efter att ha gjort systeminventeringar på samtliga av förvaltningens avdelningar upprättades ett register med 50 system som behandlade personuppgifter på högskolan (bilaga 2). Förfrågningar gjordes också till institutionerna, där hittades inte några system, men väl ostrukturerade handlingar som vi återkommer till nedan där projektets uppföljning diskuteras.
I samband med systeminventeringen undersöktes också om det i några fall var så att tredje part behandlade personuppgifter åt högskolan, om så var fallet skulle personuppgiftsbiträdesavtal behöva upprättas enligt artikel 28 i GDPR. Flera av systemleverantörerna var redan medvetna om situationen och hade tagit fram egna avtal som skickades till oss, för dem som inte hade sådana avtal hade vi egna på både svenska och engelska (bilaga 3 och 4).
Vid ifyllandet av blanketterna som nämns ovan i samband med systeminventeringen framkom att flera system saknade gallringsrutiner och i många fall också gallringsfrister. Problemet med gallringsrutiner, och över huvud taget möjligeheten att kunna gallra, är också uppmärksammat av systemleverantörerna då detta är ett krav enligt GDPR. Följaktligen håller systemleverantörerna på att bygga till gallringsmöjligheter där sådana inte finns. Avsaknaden av gallringsfrister kräver dock en eller flera gallringsutredningar av högskolan varför arkivfunktionen kommer att starta ett sådant projekt.
Att ta fram informationsmaterial till anställda och studenter gällande GDPR har varit ett hög-skolegemensamt projekt lett av Jesper Wokander vid Malmö universitet. Resultatet har blivit ett antal moduler, som också finns i en förkortad sammanställning (bilaga 5). Modulerna, som kom-mer att finnas tillgängliga på medarbetarwebben, består av en introduktion (bilaga 6), ett stycke om utbildningsområdet generellt (bilaga 7), en modul om forskning (bilaga 8), en handledning för handledare (bilaga 9), en modul om administrativa handlingar (bilaga 10), en om arkivering (bila-ga 11) samt en modul för studenter som behöver använda personuppgifter i sitt uppsatsskrivande (bilaga 12).
Modulerna saknar för närvarande en del information, främst då det handlar om kontaktupp-gifter till dataskyddsombudet. Detta kan självfallet inte fyllas i förrän en sådan är tillsatt. Tillika skulle modulerna för forskare och handledare behöva synas av en referensgrupp. Rutiner för data-skyddsincidenter visade sig vara enklare än förväntat.
Enligt artikel 33-34 måste som regel en incident, alltså en händelse som har lett till eller riskera att leda till oavsiktlig förstörelse, förlust eller ändring av personuppgift, anmälas till Datainspek-tionen inom 72 timmar. Detta ska göras av dataskyddsombudet. Artikel 33 förklarar vidare att den som ska sköta anmälan till dataskyddsombudet är personuppgiftsbiträdet, alltså den som arbetar med personuppgifterna – och att detta ska ske snarast möjligt. Den här processen besskrivs på webbsidan. Riktlinjer för personuppgiftsbehandlingar är framtagna (bilaga 13), dock behöver de läggas fram och antas i vederbörlig instans.
En framtida organisation för GDPR-arbetet kommer att ledas av dataskyddsombudet och be-stå av de personer som har ingått i det nuvarande GDPR-projektet. Den största arbetsbördan kommer att ligga på dataskyddsombudet som kommer att vara kontaktperson för allehanda frå-gor rörande GDPR, men också till exempel genomföra utbildningar, färdigställa och uppdatera informationsmaterial, samt inventera det ostrukturerade materialet.
Webbsidan1 (bilaga14) som redan har omtalats ett flertal gånger här ovan är en samlingssida på medarbetarwebben för all slags information rörande GDPR och innehåller de dokument som har nämnts ovan. Men också några fler. Här finns till exempel en blankett att använda när någon begär ut personuppgifter från ett specifikt system (bilaga15), vet inte den frågande vilket system som är aktuellt finns en blankett där alla sådana är listade (bilaga 16).
Webbsidan är i skrivandets stund färdigställd så när som på kontaktuppgifter till dataskydds-ombudet och kan publiceras så snart dessa är klara.
Till den 25 maj, datumet då den nya lagen börjar gälla, måste också en enkel extern webb-sida skapas. Den behöver innehålla kontaktuppgifter till dataskyddsombudet, högskolans rikt-linjer för personuppgiftsbehandlingar, alltså bilaga 13, samt information till personer som har sökt en tjänst på högskolan och information till högskolans studenter 1 URL:en kommer att bli:https://ssd03.web.sh.se/medarbetarwebben/avdelningen_for_verksamhetsutveckling _och_myndighetsstod_1/dataskyddsforordningen
3 (5)