Informationssäkerhet-Hur behandlas studentuppgifter vid svenska lärosätena och uppfyller det kraven som GDPR ställer?

(1)

Informationssäkerhet- Hur behandlas studentuppgifter vid svenska lärosätena och

uppfyller det kraven som GDPR ställer?

Lina-Marie Flygerfeldt

Data- och systemvetenskap, kandidat 2020

Luleå tekniska universitet Institutionen för system- och rymdteknik

(2)

Abstract

We are becoming more and more digital and the technology are evolving fast. The flow of information has increased and it has become more important to take measures to protect the personal integrity. The European Union has enacted a law called General data protection regulation or GDPR in an afford to protect privacy and the personal integrity when processing data. This paper looks at the information flow of student data at Swedish universities ,with a case study at Uppsala University, and in which system you can find this type of data. The student data is classified according too CIA-triangle and then the systems are measured against the demands from GDPR. The paper also discuss the importance of information security and the classification of information as a method for adhering to GDPR.

This paper concludes by making suggestion to further analyze or solve weaknesses that was found in the analysis.

(3)

Sammanfattning

I takt med att vi blir allt mer digitala, att tekniken går framåt och den information som flödar blir allt större så blir det också allt viktigare att skydda den information som finns. För att skydda den personliga integriteten när det kommer till personuppgiftsbehandling så har EU lagstfitat om hur man får behandla personuppgfiter. General data protection regulation eller GDPR trädde i kraft den 25 maj 2018. Denna uppsats undersöker vilka system som används för att behandla studentedata vid svenska lärosäten med utgångspunkt från en fallstudie utförd på Uppsala Universitet. Studentdata klassificeras enligt KRT-triangel och sen mäts system mot de krav som GDPR ställer. Denna uppsats diskuterar även vikten av informationssäkerhet och informationsklassificering som en metod att uppfylla konfidentialitetskravet från GDPR.

Som slutssats till denna uppsats diskuteras lösningar och förslag för att åtgärda eller komma vidare med de svagheter som upptäcktes med analysen samt ge förslag på fortsatta studier.

(4)

Innehåll

1 Introduktion 4

1.1 Problemområde . . . 4

1.2 Målsättning och avgränsning . . . 5

1.3 Terminologi . . . 5

2 Teori 7 2.1 Informationssäkerhet . . . 7

2.2 MSB 2016:1 . . . 7

2.3 Best practice . . . 8

2.4 ISO/IEC 27000-serien . . . 8

2.5 Privacy by design . . . 9

2.6 Tekniska skyddsåtgärder . . . 9

2.7 Organisatoriska skyddsåtgärder . . . 10

2.8 Informationsklassificering . . . 11

2.9 Personuppgift- vad är en personuppgift? . . . 11

2.10 General data protection regulation - GDPR . . . 12

2.11 GDPR och KRT-Triangeln . . . 12

3 Metod 14 3.1 Fallstudie . . . 14

3.1.1 Intervjuer . . . 14

3.2 Litteraturstudie . . . 15

3.3 MSB:s metodstöd för systematiskt informatssäkerhetsarbete . . . 15

3.3.1 Identifiera och analysera . . . 16

3.4 Metoddiskussion . . . 16

4 Resultat och analys 18 4.1 Enkätundersökning på fyra svenska lärosäten . . . 18

4.2 Studieadministrativa processer . . . 18

4.2.1 System inblandade vid betygsättning . . . 19

4.2.2 System inblandade vid registrering/omregistrering/studieuppehåll/avbrott 20 4.3 KRT-analys . . . 20

4.3.1 Konsekvens- och riskbedömning . . . 21

4.3.2 GAP-analys . . . 23

5 Diskussion 24 5.1 Systemen som hanterar studentuppgifter . . . 24

5.2 Lagkravens uppfyllnad? . . . 24

5.3 Identifierade problemområden . . . 25

5.4 Åtgärdsförslag för att minmera risker . . . 25

6 Förslag på fortsatt forskning 26 Referenser 27 A Bilaga 1 28 B Bilaga 2 28 B.1 Svaren på intervjuerna . . . 28

B.1.1 Intervju 1 . . . 28

B.1.2 Intervju 2. . . 29

B.1.3 Intervju 3 . . . 30

B.1.4 Intervju 4 . . . 32

C Bilaga 3 33 C.1 Slutrapport GDPR-projektet Dnr: 3020-1.1.1-2017 . . . 33

(5)

1 Introduktion

Informationssäkerhet är ett ämne som har blivit väldigt aktuellt under de senaste åren och satts på kartan även bland allmänheten. Under 2017 var det många rubriker om informationssäkerhet som dök upp i pressen. I Sverige var en av de större rubrikerna Transportstyrelsens IT-händelse (Mårtensson et al., 2018) och under början av 2018 uppdagades det att Cambridge Analytica kommit åt facebookdata för miljontals användare (Confessore, 2018).

De tekniska framstegen som har skett de senaste årtionden samt det faktum att vi blir mer och mer digital har gjort att det även händer mycket inom området informationssäkerhet. Big data och Internet of things börjar att växa allt mer och med det också behovet att kunna skydda den personliga integriteten.

Informationssäkerhet är inte ett nytt ämne utan det har funnits certificeringar och standarder som ska följas även tidigare men från och med 2005 när ISO/IEC-standardfamiljen skapades har det gått snabbt framåt inom området.

Den 25 maj började General data protection regulation eller GDRP att gälla inom hela EU.

Lagen, som är ny, ersätter alla regionala och nationella dataskyddslagar inom EU. Syftet med lagen är att stärka de enskildas grundläggande rättigheter och friheter, särskilt när det gäller deras rätt till skydd av personuppgifter. Även om den nya lagen påminner om och innehåller delar från Personuppgiftslagen så innehåller den också nya regler som organisationerna och företagen måste följa och förstå. I den nya lagen så finns det en hårdare straffavgift som kan behöva betalas utifall att lagen bryts mot. Straffavgiften kan bli hög och vara upp till 4% av den årliga omsättningen.

Förberedelserna för denna lag har pågått ett tag och innebär nya utmaningar för de företag och organisationer som är verksamma inom EU.

Lagen lyfter in koncept som tidigare har varit teoretiska in i lagen och det kommer därför att bli ett ökat intresse för dessa. Det som lyfts in i lagen är bland annat Privacy by design eller inbyggt dataskydd och pseudonymisering som exempel på tekniska skyddsmekanismer. Utöver tekniska skyddsmekanismer så behöver man också skydda den personuppgiftsbehandlingen som man gör med organisatoriska skyddsmekanismer.

Andra utmaningar som man ser i den nya lagen är rätten att bli bortglömd, modifikationer inom 72 timmar vid dataintrång samt att det ställs nya högre krav när personuppgifter samlas in. Eftersom denna lag är ny så saknas det även rättspraxis vilket försvårar arbetet med att tolka lagen och detta kan utgöra ett problem för de personer som ska försöka avväga hur de ska hantera personuppgifter.

Det finns tidigare gjorda studier på hur företag och organisationer har förberett sig inför över- gången och vissa av de fallstudierna visar på att inte alla organisationer har lyckats implementera alla nödvändiga steg för att uppfylla de nya kraven. En av de problemområden som dessa fallstudier pekar är att det finns en brist i överblicken över den information som finns och detta påverkar livscykeln av information (Lam & Wrangmark,2017).

Företagen är bra på datasäkerheten såsom kontroll av access och autentisering men när det kommer till pseudonymisering, transparens och samtycke så är det svårare (Lam & Wrangmark, 2017).

Så vart står vi nu när lagen träder i kraft? Har blivit någon klarhet i hur de statliga myndigheterna ska arbeta för att kunna uppfylla lagkraven?

1.1 Problemområde

Den nya lagen innebär att det kommer vara ett högre tryck på företag och organisationer att följa lagen i och med att det kan bli höga böter om de inte gör det. Tidigare studier har visat på att det verkar vara en brist på en övergripande bild och på hanteringen av livscykeln av information (Lam & Wrangmark,2017).

Organisationer som finns inom den offentliga sektor och då särskilt statliga myndigheter har också en utmaning i och med att de måste se till att följa offentlighetsprincipen (SFS 2009:400) vilket gör detta mer komplext. Handlingar som är upprättade hos, förvaras hos eller är inkomna till en myndighet räknas som en allmän handling (Regeringskansliet,2015) och de behöver registreras (SFS2009:400,2009). Samtidigt så säger även lagen att de handlingar som inkommer till en myndighet som uppenbart är av ringa betydelse för myndighetens verksamhet behöver inte registreras eller hållas ordnad (SFS2009:400,2009).

Innan en organisation kan få en bra överblick så att de vet hur de ska hantera sin information och för att hantera dess livscykel så måste de först veta vad för slag information som de har.

(6)

I Sverige så måste de statliga myndigheterna följa Myndigheten för samhällsskydd och bered- skaps,förkortat MSB, föreskrifter som rör informationsklassificering (MSB,2016a). 2014 skickade MSB ut en enkät till statliga myndigheter för att se hur de hanterade sin informationssäkerhet och för att se vilken support som de önskade från MSB för att kunna uppfylla de lagkrav som var aktuell då. Denna enkät skickades till 334 myndigheter och av dessa så svarade 95%. Av de som svarade så var det 227 myndigheter som hanterade sin egen informationssäkerhet och det var också dessa som behövde svara på hela enkäten. I denna enkät framgick det att myndigheterna önskade mer stöd kring informationsklassificering (MSB,2012).

GDPR som trädde i kraft den 25 maj 2018 är en EU-lag som kommer ställa nya krav på företag och organisationer både inom EU och utanför. I och med de höga böter som kan ges om man bryter mot lagen så kommer det troligen innebära att det kommer vara ett stort fokus kring informationssäkerhet de närmaste åren.

Som med alla nya lager så kommer vissa situationer och fall behövas testa i en rättssal innan tolkningen av lagen är klar. Utbildningsinstitutioner såsom universitet och högskolor har en större komplexitet i sin behandling av personuppgifter då de inte bara hantera sina anställdas uppgifter utan även alla de de som studerar vid lärosätet.

Hur ser behandlingen av personuppgifter ut på statliga myndigheter där det ingår att behandla personuppgifter i myndighetsutövningen?

1.2 Målsättning och avgränsning

Målsättningen med detta arbete är att se hur de svenska lärosätena behandlar studentdata/personuppgifter på studenter, i vilka system dessa behandlas och om behandlingen överensstämmer med de lagkrav som GDPR ställer.

Arbetet kommer att avgränsas till de studieadministrativa processer som rör registrering, omregistrering, registrering av betyg, avbrott och studieuppehåll. Då det finns många ingångar som man kan studera så är detta arbete någorlunda begränsat till processerna och kommer bara kort att nämna de kontrollsystem som finns på plats för de olika systemen som är inblandade i de studieadministrativa processerna. .

Alla svenska lärosäten ska gå över till ett nytt Ladok, Ladok 3 och det projektet har varit igång sedan 2010 och under de senaste åren har många lärosäten gått över. Detta arbete kommer inte ta upp Ladok 3 utan fokusera på de system som används idag.

För att inte arbetet ska bli för stort så har 4 lärosäten valts ut för en förstudie och därefter är själva fallet uppbyggt kring ett av lärosätena.

Forskningsfrågorna som har formulerat är följande:

• I vilka system hanteras studentuppgifter?

• Hur uppfyller dessa system de lagkrav som GDPR ställer?

• Vilka/Vilket problemområden kan identifieras?

• Vilka åtgärder kan tas för att minimera risker kring hanteringen av studentuppgifter?

Genom att undersöka dessa frågor så är förhoppningen att arbetet ska kunna bidra med att ge en överblick över de studieadministrativa processer och system som finns på svenska lärosäten och undersöka om det finns brister som kan åtgärdas.

1.3 Terminologi

• GDPR- General data protection regulation eller Dataskyddsförordningen

• Personuppgift- en uppgift som identifierar en fysisk person

• Personuppgiftsbehandling- hantering/behandling av en personuppgift

• Datasubjekt- den vars personuppgifter behandlas eller finns registrerat

• Studentuppgift- den information som finns en student. Kan vara personnummer, adress, namn, email eller annat som är en personuppgift

(7)

• Personuppgiftsansvariga- en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter

(8)

2 Teori

2.1 Informationssäkerhet

Det är viktigt att arbeta med informationssäkerhet på alla nivåer, dels för att kunna hantera kontinuitet och tillgänglighet men också för att kunna hantera, minska och/eller undvika de risker som skulle kunna skada organisationen (Humphreys,2016).

När det kommer till informationssäkerhet finns det internationella standard som ska följas och i Sverige har MSB, Myndigheten för samhällsskydd och beredskap också regler och riktlinjer för statliga myndigheter (MSB,2016a).

De centrala koncepten inom informationsäkerhet kallas för KRT-triangeln och det står för Konfidentialitet, Riktighet och Tillgänglighet. Dessa tre begrepp måste man komma ihåg oavsett om man pratar om säkerhetspolicy, kontroller eller om man diskuterar motåtgärder eller hot som riktas mot verksamheten (Murphy, 2015).

Konfidentialitet innefattar både data och information om system och för att datat ska vara konfidentiellt så måste information vara skyddad både mot att förloras och att informationen skyddas från att obehöriga kommer åt den (Murphy, 2015).

För att kunnda skydda information och dess konfidentialitet så finns det ett antal åtgärder som man kan göra. I dessa åtgärder så ingår informationsklassificering, säker förvaring av data men också säkerhetspolicy,kryptering och utbildning av anställda (Whitman & Mattord,2013).

De kontroller som man använder sig av för att skydda informationen är sådana som skapar ett skydd på djupet och primärt så är det olika varianter av kryptering som används för detta. Den kryptering som används brukar ofta vara pålitliga, välkända krypteringsalgoritmer som inte har blivit knäckta (Murphy,2015).

Krypteringen kan användas både för data som förvaras men också när den skickas. Man kan även använda sig av andra kontrollfunktioner såsom autentisering och identifikation eller att radera och wipea för att göra information oåtkomliga för obehöriga.

Tillgänglighet betyder att data, information, hårdvara och mjukvara är åtkomligt när det behövs(Murphy,2015). För att kunna garantera tillgänglighet så behöver det finnas säkerhetsruti- ner inkopplade som scannar system efter virus, olika tekniker för att söka efter och minska säker- hetshål såsom SQL-injection, Ddos attacker och buffertöverskridning ( Murphy 2015).

Riktighet innebär att man ska försäkra om att systemen, informationen och datan har integritet och det innebär att man skyddar datat mot modifieringar som kan ske oväntat, oavsiktligt eller av obehöriga (Murphy,2015).

I takt med att tekniken går framåt så har mängden information som samlas ökat och i och med detta ökar också behoven av utöka koncepten inom informationssäkerhet. Privacy är något som har blivit viktigare och som numera också ingår i begreppet informationssäkerhet. För att kunna garantera privacy så betyder det att de data som samlas in enbart används i det syfte som de har samlats in för och som är känt för den som ger datat/informationen (Whitman & Mattord,2013).

2.2 MSB 2016:1

MSB 2016:1 är den föreskrift från MSB som trädde i kraft 4 april 2016 och denna föreskrift gäller för statliga myndigheter och ställer krav på hur de organiserar sitt arbete rörande informationssä- kerheten.

Varje myndighet måste arbeta systematisk och riskbaserat med informationssäkerhet med hjälp av ett ledningssystem för informationssäkerhet. Detta ledningssystem ska baseras på ISO/IEC 27000 standard och ska utformas efter varje myndighets behov samt vara styrande för all hantering av information (MSB,2016a).

I detta ledningssystem ska det finnas policydokument gällande informationssäkerhet samt alla annan dokumentation och styrande dokument som behövs för att myndigheten ska kunna bedriva ett informationssäkerhetsarbete(MSB,2016a). Föreskriften säger också att myndigheter ska sträva efter en god säkerhetskultur där alla inom organisationen förstår varför samt har kunskap om säker informationshantering. Detta kan ske genom utbildningar, övningar eller andra sätt för att informera de anställda (MSB,2016a).

I 9§ är den paragraf som rör informationsklassificeringsarbetet och där framgår det att myndigheter ska klassa sin information “med utgångspunkt i konfidentialitet, riktighet och tillgänglighet”

och denna klassning ska ske efter olika nivåer utifrån vilka konsekvenser det kan bli om skyddet

(9)

är bristande (MSB, 2016a). Denna paragraf stället också krav på att myndigheten ska identifiera, analysera och bedöma hot och de risker som finns för verksamheten när det gäller system, information och tjänster.

Det är också nödvändigt att identifiera vilka åtgärder som behövs för att uppfylla skyddsbeho- ven och att sedan följa upp och utvärdera de åtgärder som man vidtagit.

Utöver detta så behöver även myndigheter fortsätta att utveckla skyddet så att skyddsbehovet håller över tid samt att dokumentera alla vidtagna åtgärder.

De två sista paragraferna handlar om incidenthantering och kontinuitetshantering där det ställs krav på att myndigheter har rutiner för att identifiera, rapportera, bedöma, hantera och dokumentera incidenter som kan påverka säkerheten i informationshanteringen samt att det ska finnas rutiner om hur myndigheten ska ha rutiner för vad som gäller för informationshanteringen vid större avbrott eller störningar (MSB,2016a).

2.3 Best practice

Best practice har varit en viktigt del av informationssäkerhet för att skapa en baseline av säker- hetskontroller. Dessa best practice-kontroller gör att företag och organisationer kan implementera en säkerhetsbas utan att behöver investera så mycket, för att sedan bygga vidare och anpassa samt lägga till det som behövs för verksamheten. Baseline-kontroller har funnits sen 1980-talet då man började utveckla ‘common use’ controls eller baseline-kontroller.

En baseline-kontroll är enligt International Integrity Institut, I4, något som “if the majority of organisations uses a specific security control, then it is defined as control in ‘common use’ ” (Humphreys,2016).

Det finns kataloger med ‘common use’ kontroller indelade per bransch och detta utvecklades på 1990-talet till riktlinjer ( code of practise) av det brittiska DTI, Department of Trade and Industry.

I dessa riktlinjer, som byggde vidare på de baseline-kontroller från 80-talet, introducerades riska- nalyser så att det var möjligt att anpassa informationssäkerheten till de behov som verksamheten hade (Humphreys,2016).

Redan 1998 uppdaterades denna och blev en familj av standards och det är utvecklingen av dessa som så småningom leder till ISO/IEC standard familjen (Humphreys,2016).

När BS 7799 reviderades så lades riskanalys till som ett krav för att kunna möte de säkerhetskrav som ställs i standarden och för att organisationen skulle kunna välja vilka kontroller som behövs implementeras för att uppfylla kraven. BS 7799 part 1 var den ‘code of practice’ som DTI hade tagit fram och part 2 var specifikationer för ett ledningssystem för informationssäkerhet (Humphreys, 2016).

Organisationer kunde nu alltså implementera ett ledningssystem för informationssäkerhet och sedan söka en ‘third party’ certifiering och på så sätt visa att deras informationssäkerhet var “fit for purpose”. Certifikatet signalerade för kunder, investerare och andra organisationer att den som hade detta certifikat uppfyller en viss uppsättning med krav och skapar på så sätt trygghet och säkerhet (Humphreys,2016).

Fram till år 2000 så användes BS 7799 av många företag och organisationer i olika branscher runt om i världen och på så sätt var de redan då internationella standarder (Humphreys,2016).

År 2000 röstades det om internationella standards och BS 7799 blev ISO/IEC 17799:2000 och 2005 reviderades detta och BS 7799 part 2 blev ISO/IEC 27001:2005 och på så sätt föddes den internationella standarden som används idag (Humphreys,2016).

2.4 ISO/IEC 27000-serien

ISO står för International standard organisation och IEC för International Electrical committee och i dessa arbetar det personer som sitter i Technical committee och Subcommittees. Det är dessa två kommitteer som är ansvarig för besluten och hanteringen av ISO/IEC standards (Humphreys, 2016).

ISO/IEC 27000-serie är en nummerserie av internationella standards för att hantera informa- tionssystem men även ett certifikat som de företag och organisationer kan få om de följer denna standard. Detta certifikat talar om för kunden att de följer ett säkert sätt att hantera sin information. Under detta paraply av standarder så är det två stycken som är särskilt intressanta och det är ISO/IEC 27001 och ISO/IEC 27002 (Calder & Watkins,2012).

Dessa standard revideras regelbundet, ungefär vart femte år, för att se till att de är aktuella.

ISO/IEC 27001 är kärnan bland dessa då den handlar om hur man ska införa ett ledningssystem

(10)

för informationssäkerhet och i den finns de krav som ställs för att kunna etablera, implementera, sjösätta, övervaka, bedöma, hantera och uppdatera sitt ledningssystem för informationssäkerhet (Humphreys,2016).

ISO/IEC 27001 tillhör den grupp av standard av ISO/IEC som rör ledningssystem och bland dessa så finns det också ledningssystem för miljö, livsmedel med mera. Det är fullt möjligt att integrera flera ledningssystem men det blir då även mer komplext (Humphreys,2016).

ISO/IEC 27002-27005 innehåller stöd för processen att införa ett ledningssystem och dessa standard handlar då om: Riktlinjer för informationssäkerhetsåtgärder, Vägledning för införande av ledningssystem för informationssäkerhet, Styrning av informationssäkerhet och Riskhantering för informationssäkerhet (Humphreys,2016).

Meningen med dessa är alltså att de ska ge stöd och råd för att man ska lyckas möta de krav som ställs i ISO/IEC 27001. Utöver dessa standarder så finns de också såna som ger råd för de som ska granska att en standard följs och det finns också standard för specifika organisationer som finanssektor eller för de som håller på med cloud computing (Humphreys,2016). För att få dessa certifikat så måste organisationen genomgå en granskning av en utomstående granskare som jämför en mot den publicerade standarden.

Det måste finns en djupare förståelse för ISO 27000 av de som ska implementera ISMS så att de kan förklara och försvara de val som har gjorts när de blir granskade (Calder & Watkins,2012)

2.5 Privacy by design

Privacy by Design, PbD eller inbyggt dataskydd som det också kallas är en designprincip där man ser till att integriteten eller integritetsskyddsreglerna finns implementerade från design till färdig produkt.

Detta inbyggda dataskydd ska vara default eller standard vilket betyder att det ska vara standard att personuppgifter inte behandlas i onödan i tex förvalda inställningar i program eller på sociala medier (Datainspektionen,2018). Målet med inbyggt dataskydd och dataskydd som standard är alltså att minimera de uppgifter som samlas in och för att skydda de personuppgifter som blir behandlade (EU2016/679,2018).

Detta har i och med GDPR gått från att vara ett teoretisk ramverk till att bli ett juridiskt då det är inskrivet i själva lagen.

2.6 Tekniska skyddsåtgärder

Det finns olika sätta att hindra att identiteten på datasubjektet röjs. Bland annat så kan information anonymiseras, avpersonifieras, krypteras, rollbaserad-åtkomstkontroll (RBAC) eller pseudonymisering (Neubauer & Riedl,2008). I GDPR så lyfts pseudonymisering in som en möjlig åtgärd för att kunna uppnå konfidentialitet i skäl 28 (EU2016/679, 2018) och som en lämplig teknisk skyddsåtgärd i skäl 156 (EU2016/679,2018). Detta innebär däremot inte att det kan ersätta andra sorters dataskydd utan ses som ett komplement.

GDPR definierar pseudonymisering enligt: “behandling av personuppgifter på ett sätt som inne- bär att personuppgifterna inte längre kan tillskrivas en specifik registrerad utan att kompletterande uppgifter används, under förutsättning att dessa kompletterande uppgifter förvaras separat och är föremål för tekniska och organisatoriska åtgärder som säkerställer att personuppgifterna inte till- skrivs en identifierad eller identifierbar fysisk person” (EU2016/679,2018).

Pseudonymisering innebär att identiteten på datasubjektet endast är tillgängligt under vissa bestämda omständigheter. Den data som är identifierade ersätts annan data som inte går att koppla till orginal datat såvida man inte har tillgång till nyckeln (Neubauer & Riedl,2008).

Denna process innebär att information hamnar under en pseudonym för att säkerhetsställa att det inte går att identifiera personen direkt när man ser informationen. För att låsa upp denna information så måste man använda en nyckel (Neubauer & Riedl, 2008). Den stora fördel som pseudonymisering ger är att det går att arbeta i ett dokument som är pseudonymiserat medan om det är krypterat så behöver behöver hela dokumentet avkrypteras.

Det är också betydligt mindre minneskrävande att göra pseudonymisering då denna processen endast innebär att man förvränger den information som gör att man kan identifiera personer (Neubauer & Riedl,2008). Detta innebär att man lättare kan dela dokument som är pseudonymi- serade.

Pseudonymisering är mest använd inom den medicinska sektorn där man hanterar patientdata.

Fördelen med att använda sig av psuedonymiseringen är att man alltid kan backa informationen

(11)

och ta reda på identitet på datasubjektet (Neubauer & Riedl,2008). Detta möjliggöra att man tex inom forskning kan gå tillbaka och göra fler undersökningar eller att datasubjektet kan få tillgång till det data som finns registrerat om en.

Inom medicinforskning där den ofta används för att skydda patientdata så innebär psueduny- miseringen att forskarna kan under vissa bestämda omständigheter återställa datatset, detta kan vara till hjälp delvis om det är en studie där patienten ska vara anonym men ändå vill få reda på resultatet eller där forskarna kanske själva skulle vilja göra mer uppföljningar (Neubauer & Riedl, 2008).

Svagheter som denna metod har är om man misslyckas med att dölja de algoritmer som används för att pseudonymisera datan vilket skulle kunna göra det möjligt att återskapa datat trots att man inte har behörighet till det (Neubauer & Riedl, 2008).

Det kan också finnas sårbarheter i metoden om man använder sig av ett centraliserad pseu- donymlista eftersom om en obehörig skulle lyckas komma åt listan så röjs all pseudonymiserad information (Neubauer & Riedl, 2008). Kryptering är en annan teknisk skyddsåtgärd som kan användas för att skydda konfidentialiteten hos information eller system.

Kryptering används främst för data/information “in transit” och för att garantera dess integritet. Det vill säga att datat/information inte har ändrats under tiden som den transporterat (Murphy, 2015). Det finns olika sätt att kryptera data men grunden är att det finns en krypte- ringsalgoritm och en nyckel som gör att det krypterade datat kan läsas av den mottagande parten.

Krypterad information, som är krypterad enligt dagens standard kan troligen bli lösta inom några år på grund av den ökande processorkraften(Murphy, 2015).

Rollbaserad åtkomstkontroll är att personer med liknande eller samma roller inom en organisation sätt ihop en i grupp som tilldelas samma åtkomst (Murphy,2015).

2.7 Organisatoriska skyddsåtgärder

GDPR nämner på flera ställen att organisatoriska åtgärder måste tas för att kunna följa förordning- en och i artikel 25 nämns att det personuppgiftsansvariga ska genom tekniska och organisatoriska åtgärder se till att det endast är nödvändiga personuppgifter som samlas in och behandlas för ändamålet.

Detta gäller alltså både mängden som samlas in, hur länge man sparar dem och dess tillgäng- lighet för andra. Det finns inga exempel på organisatoriska åtgärder i lagtexten utöver detta.

(12)

2.8 Informationsklassificering

En av grunderna för informationssäkerhet är klassificeringen av data och klassificeringen av information (Murphy,2015). Klassificering av information är en viktig att göra för att kunna garantera konfidentialiteten på informationen (Whitman & Mattord, 2013). Det är nödvändigt att veta vad man har för slags data och information om man ska kunna veta hur den ska skyddas och vilka steg som måste tas för att göra detta.

För att klassificera data och information så rekommenderar MSB att man använder sig av KRT-triangel. KRT-triangel står för Konfidentialitet, riktighet och tillgänglighet. Inom varje spets i triangel har man en skala på 0-3.

Figur 1: Bild MSB informationssakerhet.se.

2.9 Personuppgift- vad är en personuppgift?

En personuppgift är en uppgift som kan identifiera en person och det kan räcka med ett namn under förutsättningen att det namnet är ovanligt. Andra typer av personuppgifter är ip-nummer, adresser, personnummer, foton, ljudupptagningar, användarnamn etc (EU2016/679,2018).

Det finns också uppgifter som klassas som särskilda personuppgifter eller känsliga och dessa är de uppgifter som pekar ut ras eller etniskt ursprung, politiska åsikter, medlemskap i fackförening,

(13)

religiös eller filosofisk övertygelse, hälsa, en persons sexualliv eller sexuella läggning, genetiska uppgifter eller biometriska uppgifter som entydigt identifiera en person (EU2016/679,2018).

Dessa uppgifter har en starkare ställning i lagen och får inte behandlas utom vid särskilda omständighet såsom vid samtycke från de registrerade eller om det finns ett allmänt intresse, ingår i yrkesutövning vid tex hälsa- och sjukvård, omfattas av tystnadsplikt eller inom ramen för berättigad verksamhet för att nämna några undantag (EU2016/679,2018).

2.10 General data protection regulation - GDPR

GDPR eller General data protection regulation, består av 11 kapitel, totalt 99 artiklar och 173 beak- tandesatser som behandlar allt från allmänna bestämmelser, principer, datasubjektets rättigheter, personuppgiftsansvariga och personuppgiftsbiträden, Överföring till tredje land, tillsynsmyndighe- ter, samarbete och enhetlighet, ansvar och sanktioner, genomförandeakter samt slutbestämmelser (EU2016/679,2018).

Syftet med lagen är att skydda personer och deras grundläggande rättigheter och friheter när de kommer till behandlingen av personuppgifter och flödet av dessa personuppgifter. GDPR är en omfattande lag men det finns vissa kärnprinciper som kan kortas ned till följandet enligt Datainspektionen; De personuppgifter som samlas in ska behandlas lagligt, korrekt och med en öppenhet. Det ska finnas en rättslig grund att samla in dem och de ska behandlas på ett öppet sätt gentemot datasubjektet. Det ska vara tydligt hur och varför uppgifterna samlas in och hur de kommer behandlas. Datasubjektet ska få denna information lättillgängligt och på ett tydligt sätt.

Dessa uppgifter som samlas in ska vara för ett tydligt ändamål som är uttryckligen specificerade.

Den som samlar in uppgifterna måste alltså redan innan insamlingen av personuppgifter veta varför den samlar in dessa och för vilket ändamål.

Man kan alltså inte använda de insamlade personuppgifterna till ett annat ändamål än det man har uppgett utan att informera datasubjekten om detta och få samtycke.

De uppgifter som samlas in måste vara relevanta, adekvata och inte för omfattande, det vill säga man ska minimera de uppgifter som samlas in och bara samla in de uppgifter som man behöver för det specifika ändamålet. Personuppgifterna som samlas in ska vara korrekta och uppdaterade och den som samlar in uppgifterna måste se till att alla eventuella fel rättas till eller raderas utan dröjsmål.

Personuppgifterna får inte heller sparas på ett sånt sätt så att de möjliggör en identifiering av datasubjektet. De får inte heller sparas längre tid än nödvändigt.

Det bör finnas rutiner för radering och avidentifiering av personuppgifter. Personuppgifterna ska skyddas från obehörig och otillåten behandling , det ska finnas lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna.

Den som behandlar personuppgifter är skyldig till att se till att principerna om personupp- giftshantering följs och måste också kunna visa på att man följt dessa (Dataskyddsförordningens grundläggande principer,2018).

Som privatperson så ska man kunna kräva ut ett registerutdrag från företag och myndigheter om vilka uppgifter de har, hur och varför de har samlats in samt i vilka system dessa finns. Man ska kunna begära rättelser, radering eller att begränsa personuppgiftsbehandlingen. Det ska framgå på vilken laglig grund som uppgifterna har samlats in och det ska gå att ta tillbaka samtycket om det är en behandling som bygger på den lagliga grunden att det finns ett samtycke. Man har också rätt i vissa fall att få sin uppgifter flyttade, dvs dataportabilitet (Dataskyddsförordningens grundläggande principer,2018).

I GDPR står det uttryckligen att det krävs både organisatoriska och tekniska skyddsåtgärder för att uppfylla kraven i förordningen/lagen (EU2016/679,2018)

2.11 GDPR och KRT-Triangeln

Det finns ett antal kärnprinciper inom GDPR som kan knytas till KRT-triangeln.

Många punkterna kommer in under konfidentialitet där vi kan hitta både att informationen ska skyddas från otillåten behandling men också att obehöriga har tillgång till den.

Om obehöriga skulle komma åt informationen så berörs konfidentialiteten men det kan även komma att påverka riktighet samt tillgänglighet.

Om detta brister så går inte längre att garantera att informationen är riktig och inte har manipulerat eller ändras men det kan också vara att om obehöriga kommer åt information att

(14)

Figur 2: KRT-triangel.

det inte heller går att garantera tillgängligheten, det vill säga att informationen kanske inte finns tillgänglig när den behövs.

Det finns olika sätt som man kan uppnå konfidentialitet som till exempel åtkomstkontroller där vissa yrkeskategorier får olika åtkomst till information beroende på vad de behöver i sin yrkesut- övning.

De uppgifter som samlas in ska vara relevanta och de ska vid behov uppdateras, ändras för att rätta fel eller raderas vilket faller inom skopet av Riktighet och Tillgänglighet under KRT-triangel.

Informationen måste vara lätt att hitta och vara tillgänglig om den ska kunna uppdateras, ändras vid fel eller raderas utan dröjsmål.

För att kunna garantera att informationens riktighet eller att den är korrekt så kan man använda sig av loggar för att kunna se om någon har ändrat något i ett system. Om alla som använder systemet loggar in med en specifik användare så kan man sedan genom loggar undersöka om något blivit manipulerat.

Tillgängligheten på information kan både vara sånt som att det finns ordentliga anti-virus program eller backuper men också att det finns rutiner för hur information ska sparas.

Sådan som ska sparas hos myndigheter ska spara i arkiv eller via diarier för att kunna garantera att det finns en åtkomst till dem för alltid och att de även går att hitta för andra och inte den som har upprättat dokumentet. Försumbar som är den lägsta nivån 0 behöver inte skyddas då det varken finns krav på konfidentialitet, riktighet eller tillgänglighet. Informationen eller datan klassas enligt den högsta nivån som den lever upp till, det vill säga att det räcker att ett dataset/information når upp till en högre nivå för att man ska klassa den därefter.

(15)

3 Metod

Detta arbete är en kvalitativ studie som utfördes med hjälp av två fallstudier där enkätintervjuer samt en fördjupningsintervju med fokusgrupper på lärosäten skedde för att få en förståelse för fråga (Yin, 2017). Denna studie är begränsad till Sverige och svenska lärosäten och detta för att kunna se hur organisationer inom samma fält har valt att hantera implementationen av GDPR.

De statliga myndigheterna har en extra utmaning med implementeringen i och med att de måste lyda under offentlighetsprincipen (Regeringskansliet,2015).

Första delen av fallstudien bestod av en enkät som skickats ut till några svenska lärosäten och studien begränsades därefter till ett av lärosätena för en undersökning kring den studieadministrativa processen och flödet av studentuppgifter genom system och program.

3.1 Fallstudie

Fallstudien består av en fokusgrupp, fokusgruppen består av personer med olika titlar men de arbetar alla med införande av GDPR.

Målet var att nå personer som arbetar med mer än bara IT-säkerhet. Data samlades in med hjälp av intervjuer men även genom policydokument, handlingsplaner och e-förvaltningsplaner.

Fallstudien innehåller fyra stycken lärosäten där personer som arbetar med införande av GDPR har blivit intervjuad via en enkätintervju och på ett av lärosäten gjordes det även en djupintervju.

Under arbetes gång har det blivit klart att det är personer från olika avdelningar som har arbetat med dessa frågor och bland de avdelningar som var inblandade i införandet hittar man bland annat IT, informationssäkerhet, kommunikationsavdelning samt juridiska avdelning.

Förfrågan om att vara delaktig i enkäten ställdes till flera lärosäten och det har varit en del av dem som svarade att de inte hade tid att vara med, att det var för tidigt i processen och att de inte kunde komma med så mycket information samt att de inte hade arbetat med informationsklassificering inför införandet.

Bland de universitet som har tackat ja så finns det likheter men också lite skillnader. Ett av universiteten är ett renodlat medicinsk universitet medan de andra tre har en blandning av fakulteter knutna till sig, två har också sjukhusverksamhet kopplad till universitet.

Målet med fallstudien och fokusgruppen var att försöka få en överblick av vad som hänt hittills, se om det är något som upplevs som problematiskt samt få en inblick i huruvida de fokuserat på informationsklassificering, om de använt sig av pseudonymisering och sedan se om någon av processerna vid personuppgiftsbehandling har brister.

3.1.1 Intervjuer

Det finns olika strukturer som kan väljas för en intervju där man kan välja en strukturerad, semistrukturerad eller ostrukturerad intervju.

Med en strukturerad intervju används samma frågor och bara de frågorna när intervjun sker.

Denna form kan vara begränsande då den inte ger frihet att kunna följa upp vissa spår och särskilt för kvalitativa intervjuer är denna begränsande.

I en kvalitativ intervju är det bättre att använda sig av semistrukturerad intervju där det finns en uppsättning frågor som ska ställas men där det också finns friheten att ställa fler frågor eller följa olika spår.

Om valet istället faller på en ostrukturerad intervju så har den som intervjuar inga frågor färdiga men det bör finnas en plan om vart intervjun är på väg. Den ostrukturerade intervjun kan liknas mer vid ett samtal men nackdelen med denna form är att det är svårare att dra slutsatser och analysera datat (Wilson,2012).

Det finns även flera olika sätt man kan lägga upp själva frågorna på och en populär variant är trattmodellen och med detta menas att frågorna är mer öppna i början, för att bli mer konkreta i mitten och sen öppna upp igen på slutet (Lanz,1993). När en intervju hålls så bör det finnas en klar ram för att minska nervositeten hos den som ska intervjuas. Det är också viktiga att ha en tydlig plan innan då detta kommer minska efterarbetet.

Om det är möjligt så bör platsen där intervjun hålls vara neutral (Lanz,1993).

Det är viktigt att den som håller i intervjun lyssnar aktiv och inte ställer ledande frågor, det är också bra att upprepa det som den som blir intervjuad har sagt för att bekräftat att det är rätt uppfattat. En väldigt bra sätt att göra detta är att säga “Har jag förstått dig rätt. . . .”(Goodwin, 2009).

(16)

Denna studie är en blandning av en strukturerad intervju i form av en enkät samt en semistrukturerad intervju som fördjupningsintervjun.

3.2 Litteraturstudie

En av aspekterna av detta arbete var att samla information genom att göra en litteraturstudie.

Detta gjordes för att få en bättre uppfattning kring olika termer och tolkningar som finns i lagen och hur förberedelserna inför att lagen träder i kraft har sett ut.

Mycket av de arbeten som finns sedan tidigare är uppsatser på kandidat- och masternivå inom olika områden såsom systemvetenskap, juridik, IT-säkerhet och Medicin. Det är också främst engelska artiklar och böcker som kommer att användas då det i skrivandets stund saknas svenska källor utöver kandidat- och masterarbeten.

Datainspektionens hemsida har också använts i stor utsträckning då det är den myndighet som är tillsynsmyndighet så deras tolkning av GDPR har varit vägledande.

3.3 MSB:s metodstöd för systematiskt informatssäkerhetsarbete

Myndigheten för beredskap, MSB har skapat ett metodstöd för organisationer som ska hjälpa dem med deras informationssäkerhetsarbete. Metodstödet bygger på standarden ISO/IEC 2700 och särskilt ISO/IEC 27001 Ledningsstöd för informationssytem och ISO/IEC 27002. Standarna är internationella och visar främst vad som behövs göras medan detta stöd är gjort för att visa hur man kan utforma sitt systematiska arbete med informationssäkerhet. Stödet kan användas i sin helhet eller bara delar av det och är uppdelat i fyra metodsteg; Identifiera och analysera, Utforma, Använda och Följa upp och Förbättra. Eftersom detta arbete kommer fokusera på statliga verk- samheter så kommer detta metodstöd användas för att göra en verksamhetsanalys, omvärldsanalys, riskanalys samt en GAP analys vilket är samtliga delar som ingår i den del som heter Identifiera och analysera i metodstödet (MSB,2016b).

Figur 3: Kugghjul,MSB informationssakerhet.se.

(17)

3.3.1 Identifiera och analysera

Innan man kan påbörja analyserna av verksamheten så behöver man ha en uppfattning om hur nuläget ser ut. Detta kan man skaffa sig genom att samla in information, denna informationsin- samling kan gå till på flera olika sätt och då bland annat genom att läsa igenom dokument eller ha workshops där man diskuterar vad nuläget är. Målet med anlyserna är att få en lista på interna och externa förutsättningar så att man vet hur man ska utforma informationssäkerhetsarbetet. Ana- lyserna kommer också ge en lista på vilka informationstillgångar som finns och vilka skyddsbehov dessa har. Genom att kartlägga och analysera verksamhetens informationstillgångar, de krav som finns samt vilket skyddbehov som finns så kan man på detta sätt få en tydligt bild över vad man har som fungerar idag och vad som behöver prioriteras i framtiden (MSB, 2016b).

Verksamhetsanalys Verksamhetsanalysen innehåller ska innehålla de informationstillgångar som verksamheten har samt vilka interna intressenter som finns samt de förutsättningar som finns.

Förutsättningarna som man talar om när det kommer till verksamhetsanalysen handlar om mål, strategier, infrastruktur eller organisationsstruktur (MSB, 2016b). Verksamhetsanalysen i detta arbete kommer fokusera på de system där studenters personuppgifter finns.

Omvärldsanalys Omvärldanalysen kan bland annat innehålla de extrerna intressenter som finns, som till exempel medborgare eller kunder. I en omvärldsanalys så behöver man analysera de förut- sättningar som finns som till exempel lagtexter. Efter att omvärldsanalysen är gjord finns en bra bild över vilka rättsliga krav som ställs på verksamheten (MSB,2016b). Omvärldanalysen i detta arbete kommer vara de krav som GDPR ställer.

Riskanalys Riskanalysen kan användas både övergripande på processer och på enskilda informa- tionstillgångar. Riskerna kan tas fram genom en kreativ och systematisk process där de potentiella risker och konsekvenser beskrivs. Dessa ska sedan bedömmas utifrån hur sannolikt det är att de inträffar samt vilken konsekvens det skulle innebära om det inträffade. En metod som kan användas vid en riskanalys är så kallad brainstorming. Resultatet som man får fram är inte en sanning utan ska fungera som stöd och underlag för beslut kring säkerhetsåtgärder men kan också fungera som ett sätt att höja medvetandenivån kring vilka sårbarheter som finns (MSB,2016b).

GAP-analys En GAP- analys är till för att analyser vilken skillnad det är mellan nulägesanaly- sen och det önskade läget eller mot specifika säkerhetsåtgärder. Om det upptäcks säkerhetsåtgärder som inte är tillräckliga så behöver dessa åtgärdas genom tex en handlingsplan (MSB, 2016b).

3.4 Metoddiskussion

Intervjuerna som skedde med lärosätena var delvis en enkätinterjvu som skickades ut till ett flertal lärosäten men också en semstrukturerad intervju med lärosätet som valdes ut till som fördjup- ningsstudie. Det var bara det lärosäte som valdes ut för fördjupningsintervjuen som hade en fysisk intervju vilket gör att den intervjuen har en högre kvalite än de enkäter som skickades ut. Det var möjligt att i den fysiska intervjuen ställa följdfrågor som enkätinterjuerna inte riktigt inbjöd till. Det var inte möjligt göra en semistrukturerad intervju med alla lärsoäten på grund av tidsra- men och avstånden. Enktintervjuerna blev därför bara ett avstamp för att se vilka gemensamma problemormåden som kunde finnas.

Litteraturstudien som gjordes i samband med arbetet blev inte omfattande på grund av att det saknades littertur i området som detta berörde. Eftersom lagen inte hade införts än när littertur- studien gjordes så var många av de arbeten som studerades fokuserade på att tolka den lagtexten snarare än arbeta med att implementera åtgärder och analysera processer. Det är alltid lättare att analysera processer i efterhand när alla bitar finns plats än i förhand.

Det finns flera olika sätt att arbeta systematiskt med informationssäkerhet, till detta arbete valdes MSB:s metoddstöd eftersom den metoden är utvecklad för att ge stöd till myndigheter. Man kan även göra en egen metod att arbeta efter men den bör bygga på ISO 27001- ledningssystem för informationssäkerhetsarbete vilket gör att den kommer likna MSBs metodsstöd. Bedömningarna som sker i både KRT-analysen, konsekvens- riskbedömningen samt GAP-analysen är en skattning eftersom det är svårt att mäta exakta risker. Att skatta kan vara ganska vanskligt och det finns en möjlighet att skattningen kan peka ut olika risker och konsekvenser beroende på vilka det är

(18)

som utför skattningen. Resultaten kan alltså variera och ska inte ses som en absolut sanning utan fungerar som ett stöd för att kunna utreda frågor vidare. En KRT-analys och konsekvens- och riskbedömning kommer till sin natur alltid vara ett arbetsvektyg snarare än sanning. Analyserna är också begränsade till de system som återfinns i de utvalda studieadministrativa processerna och tar inte hänsyn till ekonomi. Får att få en fullvärdig bild så skulle även den ekonomiska aspekten behöva räknas in men det är något som skulle ligga utanför detta arbetes fokus.

(19)

4 Resultat och analys

4.1 Enkätundersökning på fyra svenska lärosäten

Som en bakgrund till denna studie så gjordes en enkätundersökning på fyra lärosäten ( se Bi- laga 1). Detta gjordes för att få en förståelse för hur arbetet med GDPR har gått samt för att göra små stickprov för att se vart det potentiellt kunde finnas processer lämpliga att undersöka.

Förfrågan kring att vara med i enkätundersökningen skickades ut till ett flertalet lärosäten där mailet berättade om att det frågor som skulle ställs gällde GDPR, informationsklassificering och pseudonymisering.

Ett femte lärosäte kontaktades men hade tyvärr inte tid att vara med i undersökningen och kände inte heller att de hade så mycket fokus på informationsklassificering enligt arkivarie M.

Dorrian (personlig kommunikation 23 mars 2018) men bifogade sin projektplan inför införande samt slutrapporten som hörde till (se Bilaga 3).

Enkäterna visade på att lärosätena var medvetna de lagkrav som fanns och att de följer MSBs riktlinjer för myndigheter. Frågor ställdes också till lärosätena om hur stor vikt de lade vid informationsklassificering och majoriteten hade någon form av central informationsklassificeringsmodell men en av dem berättade att de hade ett universitetsövergripande projekt angående klassificeringar på gång där de när denna var klar skulle behöva gå igenom all sin information igen ( se Bilaga 2, intervju nr 2).

Det femte lärosätets slutrapport nämner ostrukturerat material som behöver inventeras men att det materialet är så pass stort att det måste ses som ett eget projekt ( se Bilaga 3). Med ostrukturerat material syftas sådant material som inte finns i “verksamhetsystem” utan finns sparat lokalt på antingen digitala diskar eller på papper i text pärmar ( se Bilaga 3).

Ett av lärosätena hade satsat extra mycket på informationsklassificering och workshops för de anställda kring dessa frågor ( se Bilaga 2, intervju nr 4) var för dem ett viktigt led i att kunna implementera GDPR.

För vidare studier kring i studenters personuppgifter valdes Uppsala Universitet ut, dels på grund av deras fokus på informationsklassificering men också på grund av egna kontakter inom universitet. En fördjupad KRT-analys kommer att utföras på några av de studieadministrativa processer där studenters personuppgifter återfinns. Analysen kommer bestå av att dels mäta de olika systemen som återfinns i processerna mot Konfidentialitet, Riktighet och Tillgänglighet men också att ta eventuella system som inte uppfyller alla krav på KRT ställer vidare för en konsekvens- och riskbedömning för att slutligen gör en GAP-analys för att se vilket gap som finns mellan nuläge och önskatläge.

4.2 Studieadministrativa processer

Uppsala Universitet använder sig av ett flertal administrativa system och de som är involverade i de processerna som rör registrering, omregistrering, betygssättning, avbrott och studieupphåll är även de ett flertal (UppsalaUniversitet,2017), (UppsalaUniversitet,2018).

Alla kurser skapas i en utbildningsdatabas som heter Selma. Dessa kurser som skapats i Selma skickas sedan över till Ladok där de får en kurskod och där de sedan även exporteras över till NyA.

NyA är det nationella antagningssystemet som dels studenter använder för att söka sina kurser men som också administratörer använder för att till exempel kalla reserver, ta bort antagningar som har villkor eller för att se studenters meriter. Detta antagningssystem har olika interface beroende på vilken sida som man går in på. För studenter som ska söka utbildning så är det www.antagning.se som de kommer till medan interfacet för administratörer ser annorlunda ut.

Efter att andra antagningsbesked så skickas alla antagningar och studentuppgifter över till Ladok.

Ladok är ett nationellt system som hanterar studenters registreringar, betyg, avbrott och studi- euppehåll. Detta system finns med hela vägen under studenternas studietid ända fram till examen.

Varje högskola och universitet har en lokal databas som är kopplat med ladok och där de inte kommer åt uppgifter från andra universitet och högskolor. Det är från detta system som CSN, UHR ( Universitets- och högskolerådet) samt SCB (Statistiska centralbyrån) hämtar sina uppgifter.

På Uppsala Universitet kallas den lokal databasen för Uppdok och det är i denna som admi- nistratörerna arbetar i. Uppdok är ett äldre system, infördes i nuvarande form 1999 ,som har ett enkelt interface och där man kopplar upp sig mot databasen med en remote desktop vilket gör att det krävs att man sitter på UUs nätverk.

(20)

Utöver detta så finns det också en läroplattform som kallas Studentportalen där studenterna kan webbregistrera sig, lärare kan föra anteckningar kring resultat samt skicka in betyg till Uppdok.

Det är också här som studenterna anmäler sig till tentor. Det finns även två stycken läroplattformar som används vid distansstudier och dessa är PingPong samt Model men båda dessa fasas ut just nu.

Administratörerna behöver använda sig av ett flertal system för att utföra sitt jobb och dessa system kommunicerar en del med varandra som syns ovan. Utöver de system som redan har diskuterats så använder sig även administratörerna till stor utsträckning av mail för att hantera studentdata. Det är via mailen som studenterna kontaktar administratörerna för att fråga om betyg, begära studieuppehåll, avbrott och för att be om omregistrering och ibland även registrering.

För att kunna hjälpa studenterna så krävs det att de uppger sina personnummer vilket är en personuppgift. Särskilt för de administratörer som arbetar med studievägledning så kan det här även förekomma känsliga personuppgifter som rör studenters hälsa.

Samtliga system måste man söka behörighet till för att få använda och det finns även olika behörighetsnivåer. Behörigheterna söks via blanketter som även behöver ha prefekten eller en administrativchefs underskrift och detta skickas sedan in till avdelningar som håller i systemför- valtningen av systemen. Inloggningen till Selma, NyA samt Studentportalen är kopplade till den CAS-inloggning som man har som anställd vilket betyder att man inte kan logga in i systemen om anställningen har upphört. För Uppdok så får man ett användarnamn och man skapar ett lösenord första gången som man loggar in. Detta lösenord måste uppfylla vissa kriterier för att bli godkänt.

Man måste även sitta på Uppsala Universitets nätverk eller använda sig av en VPN för att kunna komma åt systemet.

4.2.1 System inblandade vid betygsättning

Figur 4: Betygsättning.

Vid betygssättning så är det främst tre system inblandade. Läraren kan välja mellan att skicka in betygen via Studentportalen och detta skickas då direkt till Uppdok som genererar ett betygslista samt skickar ett automatiskt meddelande till administratören om att det finns en lista att skriva ut.

Administratören skriver ut denna lista och ger den till examinatorn som går skriva under den och ge tillbaka den till administratören som lägger in betygen definitivt i Uppdok via kontrollnummer som finns på listan. Efter att betygen är inlagda definitivt så är de också synliga för studenten.

Scenario 2 är att läraren mailar in betygen via sin mail till administratören och i mailet uppger : Kursens namn, studenter, betyg och betygsdatum.

Administratören skapar därefter en betygslista i Uppdok som skrivs ut och sedan cirkuleras på samma sätt som ovan.

(21)

Figur 5: Registrering/omregistrering/avbrott/studieupphåll.

4.2.2 System inblandade vid registrering/omregistrering/studieuppehåll/avbrott Vid registrering, omregistrering, studieuppehåll och avbrott så är det även här tre stycken system som främst är inblandade. Studenter kan ofta registrera sig via en webbregistrering i Student- portalen och administratören måste sedan godkänna registreringen, eller bekräfta den om man så vill i Uppdok. Webbregistreringen är öppen under en viss period och om en student missar sin webbregistrering så kan de behöva maila till en administratör.

För omregistreringar så måste studenterna maila att de vill bli omregistrerad och då även uppge sitt personnummer samt vilken kurs. Mailen med omregistreringar kan innehålla känsliga personuppgifter då de kan innehålla förklaringar kring varför en omregistrering ska ske.

Om studenter vill söka studieuppehåll eller göra avbrott på en kurs så är det via mail som detta sker. I fallet med studieuppehåll eller avbrott så kan det förekomma känsliga personuppgifter då studenterna ibland uppger sina skäl för studieuppehåll eller avbrott.

I samtliga processer som visas ovan så skickas det personuppgifter via mail, både internt och externt och ibland även känsliga personuppgifter.

4.3 KRT-analys

Det finns fyra system som majoriteten av de studieadministrativa processer sker i och som inne- håller personuppgifter. För att kunna analysera om dessa har några brister så ställs dessa system mot KRT-triangeln för att se om det finns några svagheter. Om något system eller process visar på svagheter så kommer det att tas vidare för en riskbedömning och konsekvensanalys. De system som mäts mot KRT-triangeln är NyA, Uppdok, Studentportalen och Email. Eftersom de mäts mot KRT-triangeln så är det konfidentialitet, riktighet och tillgänglighet som är intressanta i denna analys. Med konfidentialitet så har jag tittat på de kontroller som finns för att skydda information såsom kryptering och kontrollfunktioner såsom autentisering och identifiering. För att mäta riktigheten så har jag undersökt om datat har integritet och att den skyddas mot modifieringar.

Med tillgänglighet så har jag tittat på om systemen är åtkomliga när det behövs.

För systemet NyA, som är ett nationellt system, finns det två olika varianter för administratörer, en klientbaserad och en webbaserad och den som syftas på i denna undersökning är den webbaserade då den klientbaserad användas främst av antagningshandläggare. Detta är ett system som man som använder behöver söka behörighet till och det finns olika roller där behörigheten kan begränsas till att bara få se meriter och anmälan eller högre behörigheter som att hantera reserver och bedöma villkor. NyA har en automatisk utloggning vid inaktivitet. Eftersom systemet har ett ansökningsförfarande där man tilldelas en behörighetsroll som styr vad man kan göra och se, det man som användare görs loggas samt att det är ett externt webbsystem så bedöms detta system vara säkert utifrån KRT.

Systemet Uppdok, som är en lokal version av Ladok, söker man som användare behörighet via den lokal förvaltningen och behörigheten som man får är kopplad till den institution som den anställde tillhör och vilka arbetsuppgifter den person har. Det finns en bredd på behörigheterna med allt från läsbehörighet till högre behörigheter som ger en rätt att anta, registrera studenter och

(22)

lägga in betyg. För att kunna arbeta i Uppdok så krävs det att man antingen sitter på UU:s nätverk eller har en VPN och man behöver även logga in med specifika användaruppgifter. Det användarna gör i Uppdok loggas och vid inläggning av resultat så skrivs arkivlistor ut med kontrollsiffror.

Arkivlistorna ska signeras, kontrollsiffrorna matas in i Uppdok och sen arkiveras. Detta system bedöms som väldigt säkert utifrån KRT-triangel då det dels har olika roller, behörigheterna är knutna till specifika institutioner, det krävs att användaren sitter på UUs nätverk eller via VPN och att systemet synkar mot en nationell databas.

Studentportalen, som är en läroplattform, är det system som både administratörer, studenter och lärare är inloggade i. Även detta system söker man som administratör och lärare behörighet till och det knyts till den institution man har anställning vid eller söker behörighet vid. Det finns olika behörigheter beroende på den arbetsuppgifter som man behöver utföra. Läraren kan till exempel få behörigheter att skicka in betyg via systemet till Uppdok. Det som användaregör i Studentportalen loggas och är spårbart. Studentportalen har en automatisk utloggning vid inaktivitet. Även detta system är säkert utifrån KRT-triangeln.

Email, den mailklient som används vid UU är främst Microsoft Outlook om det är tjänstemailen som åsyftas , används både för intern och extern kommunikation och innehåller ofta olika sorters personuppgifter. Den allra vanligaste personuppgift som skickas är personnummer och namn men det förekommer även i vissa fall känsliga personuppgifter såsom sjukdomstillstånd. Med email så finns det ingen loggning vad som görs av användaren och ingen automatisk utloggning sker. Detta system är inte säkert utifrån KRT-triangel och en riskbedömning krävs för att kunna utvärdera vilka risker som kan uppstå och vilka konsekvenser dessa har.

Översikt över systemen

System Konfidentialitet Riktighet Tillgänglighet

NyA Ja Ja Ja

Uppdok Ja Ja Ja

Studentportalen Ja Ja Ja

Email Nej Nej Ja

Figur 6: KRT analys.

4.3.1 Konsekvens- och riskbedömning

Riskbedömningen och konsekvensanalysen är gjord genom att omformulera de viktigaste GDPR principerna för privatpersoner till risker och sedan skatta dessa mot hur riskerna ser ut på en skala från låg till hög samt konsekvenser på en skala från försumbar till allvarlig (Datainspektionen, 2019). Det system som bedömdes som osäkert utifrån KRT-triangel, Email, är det system som tas vidare för en riskbedömning och konsekvensanalys.

Riskvärderingen och konsekvensnanalysen bygger på MSBs metodstöd för Informationssäkerhet Det finns två stycken risker som hamnar på Hög vilket är Svårt att på begäran radera personuppgifter

(23)

Figur 7: Riskvärdering och konsekvensanalys.

samt Att uppgifterna blir kvar och inte gallras. Anledningen att dessa bedöms som en hög risk är att det kan vara svårt att leta i outlook beroende på dels hur van användaren är vid att söka samt vilka sökord som används. Det kan vara väldigt personberoende med andra ord vilket gör att risken bedöms som hög. Om begäran kommer in till registratorn vid myndigheten så kan det också vara svårt för denna att hitta de personuppgifter som finns i outlook ute hos institutionerna. För konsekvensanalysen så är det bara en risk som hamnar som hög och det är Känsliga personuppgifter riskeras att spridas. Att känsliga personuppgifter sprids kan innebära både en hög risk för den som äger personuppgifterna men också för den personuppgiftsanasvarige. På de svenska lärosäten finns det personer med skyddade identiteter och om deras uppgifter skulle spridas så skulle detta inverka negativt på organisationen och kan potentiellt innebära en livsfara för den enskilde personen som blir röjd.

(24)

4.3.2 GAP-analys

Den risk som har kommit fram i detta arbete är den mängd email som skickas med personuppgifter och dessa kan innebära en negativ påverkan för både den som personuppgiften gäller men också den personuppgiftsansvarige. För att minska risken för detta så bör mängden personuppgifter som skickas i email minska och det finns två kategorier att se över och det är den interna emailen och de externa emailen. För att nå drömläget identifieras framförallt fyra åtgärder: rutiner och utbildning kring GDPR, arkivering och diarieföring, Ärendehanteringssystem och sammanföra fler studieadministrativa processer i ett och samma system för att underlätta flödet av uppgifter.

Figur 8: GAP-analys.

(25)

5 Diskussion

5.1 Systemen som hanterar studentuppgifter

Den hantering av studieadministation som sker på grund- och avancerad nivå på Uppsala Univer- sitet ser olika ut beroende på vilken instituion och/eller vilken fakultet som man tittar på. Vissa använder sig mer av studentportalen för betygsrapportering och andra betydligt mindre eller inte alls.

De system där studentuppgifter återfinns i de utvalda studieadministrativa processerna betyg- sättning och registrering/omregistrering/studieupphåll/ avbrott är NyA, Uppdok ( Ladok), Stu- dentportalen och email. Uppgifterna finns alltså utspridda i ett antal system där vissa är nationella och andra lokala. För de lokala systemen så finns det två olika varianter dels studentportalen där en större mängd personer kan se och komma åt uppgifterna och sedan email som antingen tillhör en funktionsadress eller till en enskild anställd.

5.2 Lagkravens uppfyllnad?

För en myndigheten så är den främsta anledningen till personuppgiftsbehandlingen att det in- går i myndighetsutövandet och det är den lagliga grunden som man förhåller sig till. Det är inte förbjudet att ha fler än en laglig grund men för de studieadministrativa processerna så är myndig- hetsutövningen den lagliga grunden.

Det kan få väldigt negativa konsekvenser om uppgifterna brister i konfidentialitet, till exempel kan det förekomma person med skyddad identitet, medan riktighet och tillgänglighet är bara är betydande.

Studentdata kan innehålla känsliga personuppgifter vilket gör att den får den högsta möjliga klassningen inom konfidentialiteten, medan riktighet och tillgänglighet fortfarande kommer upp till den näst högsta. Om datat inte är tillgängligt under en tidsperiod eller om det är något som brister i riktigheten så får detta naturligvist betydande negativa konsekvenser men de är inte katastrofala. Detta gör att studentuppgifter kan klassas till 3.2.2 enligt den modell som diskuterades i teorikaptilet.

De nationella systemen som användes uppfyller de krav som GDPR ställer, det är möjligt att om man granskar koden och databaserna bakom att man skulle hitta några svagheter men av den information som varit tillgängliga för detta arbete tyder på att de skyddas av tillräckliga skyddåtgärder för att uppfylla kraven. Dessa skyddsåtgärder som de nationella systemen har är att åtkomsten till uppgifterna är begränsade, de som vill ha tillgång måste ansöka om att få detta och det är deras chef som bedömmer om ansökan ska godkännas. Detta skickas sedan till en central funktion som behandlar ansökan och lägger in behörigheten i systemen. Det finns olika behörighetsprofiler så den anställde bara får tillgång till det som de behöver i sin tjänst. Uppdok som är den lokala databsen till Ladok har ett ytterligare skydd i och med att den bara är tillgänglig via universitets nät och sitter man utanför så behövs det VPN.

Studentportalen, som är ett av de lokala systemen, söker den anställda behörighet för att kunna använda sig av och även här ska det godkännas av närmaste chef/ prefekt. Det finns olika roller i systemet vilket gör att den anställde kan få tillgång till precis det som den behöver för sin tjänst.

Behörigheten kan också begränsas till en eller flera institutioner och det går även att begränsa vad de anställda får göra, tex rapportera betyg, lägga up information etc.

Samtliga system ovan kan de anställde ej ha tillgång till efter att anställningen upphör då inlogging sker med CAS-inloggingen som är knuten till anställningen. Om den anställde har kvar sin CAS-inloggning så kan närmaste chef/prefekt beställa borttagning av behörigheter. Samtliga av ovan nämnda system har automatisk utloggning så de uppfyller kraven på spårbarhet.

Email som är den sista lokala systemet där studentuppgifter återfinns omgärdas inte av några särskilda skyddsåtgärder utan så länge man är anställd så har man tillgång till sin email. Det förekommer inte heller någon loggning av vad en användare gör, email sparas hos myndigheten så länge mailen inte raderas. Email är också ett system där man inte nödvändigtvist behöver logga in så ingen automatisk utloggning sker, det är alltså upp till användare att låsa sin dator när denna lämnar sin plats så att ingen kommer åt uppgifterna.

(26)

5.3 Identifierade problemområden

Den svaghet som hittades i detta arbete är den stora mängden personupgifter som skickas via email, detta gäller både den email som skickas internt och externt. Samtidigt är de mail som skickas nödvändiga för att myndigheten ska kunna utföra sitt arbete. Om en student vill kontakta institutionen denne läser vid för tex omregistrering eller studieuppehåll så måste det skickas med personuppgifter så att identiteten kan säkerhetsställas.

Det finns flera risker med email. Dels så kan man i många fall inte säkerhetsställa identiteten på den som man skickar mailen till men också när man skickar email så kan den passera många servrar på vägen till mottagaren och det finns inga garantier på att det längs vägen inte sparas en kopia. Microsoft Outlook som är den primära tjänstemailen vid UU är också hjälpsamt när man skriver i emailadressen och kan ge förslag på vem man ska skicka till vilket också kan göra att information kan hamna hos fel mottagare.

Det finns en risk att den inkommande emailen inte hanteras på rätt sätt och att det finns en risk att själva inkorgen används som ett register där de avklarade ärendena får ligga kvar. Detta var under tidigare lagstiftning var tillåtet eftersom det fanns en missbruksregel men i och med att den är borttagen så kan detta handhavande bryta mot GDPR.

Om inkorgen användas som ett arkiv så måste det finnas tydliga planer kring när mail akriveras och för hur informationen ska hanteras inklusive tydliga gallringsplaner annars riskerar man att handhavandet bryter mot GDPR.

Samtidigt så är dessa email nödvändiga för att kunna utföra myndighetsuppgifter och de risker som identifierades i detta arbete visar inte heller på att det skulle vara nödvändigt att sluta maila personuppgifter eftersom de risker som identifierades att ha en allvarlig eller betydande konskevens för den registrerade har en låg riskvärdering. Risken för att känsliga personuppgifter sprids eller att uppgifterna inte är tillräckligt skyddade har en låg till medel riskvärdering vilket gör att helhetsbedömningen ändå blir att email kan fortsättas användas men det är ändå önskvärt anser jag att processerna ses över för att minimera riskerna.

5.4 Åtgärdsförslag för att minmera risker

Ett ärendehanteringssystem kan underlätta för institutionerna att efterleva GDPR men det vore ännu bättre om de system som man använder underlättar rätt hantering. När personuppgifter kommer in via mail så tvingas den enskilde tjänstemannen reflektera över huruvida dessa uppgifter behöver sparas och diarieföras eller om det är något som ska raderas så snart ärendet är avklarat.

Det finns ärendehanteringssystem på Uppsala Universitet men dessa verkar mest användas inom tex IT-administration. Genom ett ärendehanteringssytem så skulle ärenden som kommit in kunna tilldeles olika handläggare och då försvinner en del av behovet att skicka mail vilket skulle kunna minska andelen mail innehållandes personuppgifter. Nackdelen med att ha ett ärendehanterings- sytem är att man blandar in ännu ett system i en process som redan innehåller ett flertal system.

För användarna så kan detta kännas krångligt, lite besvärligt och vara en hög tröskel att börja med.

Nackdelen med att ha flera system som är inblandade är att processen blir uppbruten och kan upplevas som komplicerad. Det vore en fördel om man skulle kunna samla så många av de studieadministrativa processerna i samma system, detta skulle både underlätta flödet i arbetsuppgifterna, förenkla översynen av arbetsuppgifterna, flödet av personuppgifter och det studieadministrativa flödet. Om detta system även hade en administratörsgränssnitt och ett studentgränssnit så skullen stor del av mailen kunna undvikas om systemet hade funktioner där studenterna kunde begära omregistreringar, avbrott eller studieuppehåll. Allt skulle då kunna hanteras inom ett och samma system och så länge det systemet har en tillräckliga skyddåtgärder så kan man på det sättet undvika de risker som detta arbete hittat.

GDPR innebär ett stort ansvar för enskild tjänsteman då det måste finnas något grundförståelse kring lagen och vad en personuppgift är. De måste också ha en grundförståelse kring vad som ska sparas och diarieföras och vad som kan gallras när ärendet är klart. Dokumenthanteringsplan som ska finnas vid varje myndighet kan hjälpa den enskilde tjänstemannen med att bedömma vad som ska akriveras, vad som ska diarieföras och vilka saker som kan gallras och när dessa kan gallras.

GDPR ställer också krav som kommer innebära att en större mängd data behöver diarieföras eller arkriveras såvida den inte gallras. Tidigare så kunde man använda sig av ostrukturerade listor för att spara information och på så sätt kunde man minska ned på en del av akriveringen. Genom att erbjuda utbildningar för de anställda så kan man ge den enskilde tjänstemannen stöd och kunskap