VALLENTUNA KOMMUN
Sammanträdesprotokoll 6 (16)Utbildningsnämndens arbetsutskott 2015-04-09
Justerandes sign Justerandes sign Utdragsbestyrkande
§ 14
Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft avseende Office 365 (UN 2015.034)
Beslut
Arbetsutskottet beslutar att föreslå att:
Utbildningsnämnden beslutar att upprätta Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft avseende Office 365.
Ärendebeskrivning
Vallentuna kommun anlitar Microsoft som leverantör för av Office 365 för att bland annat användas som skolportal, webbplats, e-posthantering, lagring av data hos Microsoft i form av molntjänster och som kommunikationsverktyg för chat, ljud och video (Lync).
Gemensamt för dessa tjänster är att olika personuppgifter upprättas och behandlas vid användningen.
Personuppgiftslagen (PuL) har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Med behandling avses bland annat insamling, registrering, lagring och bearbetning av personuppgifter (bilaga 3).
Varje nämnd/kommunstyrelse är personuppgiftsansvarig, och en tjänsteman för varje nämnd/kommunstyrelse är av nämnden/styrelsen utsedd som personuppgiftsombud. Ett
personuppgiftsbiträdesavtal mellan nämnd/kommunstyrelse krävs när personuppgifter behandlas av, eller lagras, hos extern samarbetspartner.
Yrkanden
Roswitha Melzer (FP) yrkar att arbetsutskottet beslutar att föreslå att utbildningsnämnden beslutar att upprätta Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft avseende Office 365.
Beslutsgång
Ordförande, Roswitha Melzer (FP), ställer proposition på sitt eget yrkande och finner att arbetsutskottet beslutar i enlighet därmed.
Beslutsunderlag
1. PuL-bedömning och riskanalys av Office365 som molntjänst, 2015-03-05 2. Faktabroschyr-allmänna råd-säkerhet
3. Förslag, Personuppgiftsbiträdesavtal (Huvudavtal) mellan Vallentuna kommun och Microsoft avseende Office 365
4. Förslag, Tillägg till biträdesavtalet Amendment EES18 5. Förslag, Tillägg till biträdesavtalet Amendment M100
6. Tjänsteskrivelse, 2015-03-17, Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft avseende Office 365
VALLENTUNA KOMMUN TJÄNSTESKRIVELSE
KOMMUNLEDNINGSKONTORET 2015-04-01
DNR UN 2015.034
MARTIN FROM SID 1/2
REGISTRATOR/NÄMNDSEKRETERARE
MARTIN.FROM@VALLENTUNA.SE UTBILDNINGSNÄMNDEN
BARN- OCH UNGDOMSFÖRVALTNINGEN TUNA TORG 2· 186 86 VALLENTUNA TFN 08-587 850 00 · FAX 08-587 850 88 REGISTRATOR.BUF@VALLENTUNA.SE WWW.VALLENTUNA.SE
Tjänsteskrivelse
Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft avseende Office 365
Förslag till beslut
Utbildningsnämnden beslutar att upprätta ett personuppgiftsbiträdesavtal med Microsoft enligt bifogat förslag.
Ärendet i korthet
Vallentuna kommun anlitar Microsoft som leverantör för av Office 365 för att bland annat användas som skolportal, webbplats, e-posthantering, lagring av data hos Microsoft i form av molntjänster och som kommunikationsverktyg för chat, ljud och video (Lync).
Gemensamt för dessa tjänster är att olika personuppgifter upprättas och behandlas vid användningen. Personuppgiftslagen (PuL) har till syfte att skydda människor mot att deras personliga integritet kränks när personuppgifter behandlas. Med behandling avses bland annat insamling, registrering, lagring och bearbetning av personuppgifter (bilaga 3).
Varje nämnd/kommunstyrelse är personuppgiftsansvarig, och en tjänsteman för varje nämnd/kommunstyrelse är av nämnden/styrelsen utsedd som personuppgiftsombud.
Ett personuppgiftsbiträdesavtal mellan nämnd/kommunstyrelse krävs när personuppgifter behandlas av, eller lagras, hos extern samarbetspartner.
Handlingar
1. PuL-bedömning och riskanalys av Office365 som molntjänst(123975)_TMP
2. Faktabroschyr-allmanna råd-säkerhet(123971)_TMP
3. Förslag, Personuppgiftsbiträdesavtal (Huvudavtal) mellan Vallentuna kommun och Microsoft avseende Office 365(123972)_TMP
4. Förslag, Tillägg till biträdesavtalet Amendment EES18(123973)_TMP
VALLENTUNA KOMMUN TJÄNSTESKRIVELSE
KOMMUNLEDNINGSKONTORET 2015-04-01
DNR UN 2015.034 SID 2/2
5. Förslag, Tillägg till biträdesavtalet Amendment M100(123222)_TMP(123974)_TMP
6. Personuppgiftsbiträdesavtal mellan Vallentuna kommun och Microsoft avseende Office 365
Marie Truedsson Elisabeth Johansson
Utbildningschef Kanslichef
______________________
Ska expedieras till:
Akten
1
PuL-bedömning och riskanalys av Office365 som molntjänst
.
2015-03-05
2
1. Beskrivning av användningen
Kommunikationsverktyg
o lärare-lärare (utbyte av erfarenheter, dela goda exempel, lektionsplaneringar etc.), o lärare-elev (läxor, inlämningsuppgifter, arbetsmaterial, feedback från lärare etc.)
o lärare-vårdnadshavare (möjlighet att följa arbetsprocesser och elevens utvecklingsplan och omdöme, förberedelse inför utvecklingssamtal, information om läxor, kalendarium m.m.) o Allmän kommunikation mellan anställda
o Videokonferens såväl internt inom kommunen som externt med annan part.
Planeringsverktyg för lärare
o terminsplanering, lektionsplanering, digitala samarbetsytor för pedagoger etc.
Arbetsdokument
E-post
2. Behandling av personuppgifter
Arbetsuppgifter, bedömningar och individuella utvecklingsplaner kopplade till enskilda elever och klasser.
2.1 Ändamål med behandlingen
Att stödja elevers utveckling mot målen och att ge vårdnadshavare möjlighet att följa processen.
Lagring av data
Kommunikation
2.2 Typ av uppgifter
Definition på personuppgift: ”All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.”
I detta fall är det inte bara namn och klass som behandlas, utan allt som kan utgöra uppgifter som kan härröra till en viss person, är att betrakta som en personuppgift: tex diagnoser, diverse problem som tex ätstörningar, aggressivt beteende, specifika händelser som ett bråk, dvs allt som kan röja en persons integritet.
Det systemet ska användas till hör ihop med vilka personuppgifter som kommer att behandlas.
Elevers namn samt klass och skoltillhörighet.
E-postadresser
E-post
Arbetsdokument
2.3 Tillåten behandling
§ 9 PUL Vara laglig, korrekt och i enlighet med god sed.
Ändamålen ska vara särskilda, uttryckligt angivna och berättigade och man får ej behandla personuppgifter för oförenliga ändamål.
Uppgifterna ska vara adekvata, relevanta, riktiga och aktuella. Får inte vara fler än nödvändigt, får ej bevaras längre än nödvändigt (och bara för det ursprungliga ändamålet).
• § 10 PUL om Samtycke: Vad är samtycke enligt PUL?
3
• Frivilligt
• Särskilt
• Otvetydigt
• Individuellt
• Informerat
• Skriftligt, muntligt eller konkludent handlande
• Kan återkallas
§ 10 Behandlingen ska också vara nödvändig pga:
a) Avtal med den registrerade b) Rättslig skyldighet
c) Skydda vitala intressen för den registrerade d) Arbetsuppgift av allmänt intresse
e) Myndighetsutövning
f) Berättigat intresse – efter en intresseavvägning Känsliga personuppgifter är:
• Ras eller etniskt ursprung
• Politiska åsikter
• Religiös eller filosofisk övertygelse
• Medlemskap i fackförening
• Hälsa och sexualliv
Som huvudregel är det förbjudet att behandla känsliga personuppgifter.
Personnummer får behandlas om:
1. Samtycke finns
2. Klart motiverat med hänsyn till:
a. Ändamålet med behandlingen b. Vikten av säker identifiering c. Något annat beaktansvärt skäl
2.4 Information till registrerade
Information om kommunikationsverktyget ges via förvaltningens hemsida samt till elever och vårdnadshavare via respektive skola i samband med föräldramöte, utvecklingssamtal, skolsamråd etc.
2.5 Personsuppgiftbiträde Microsoft.
4
2.6 Överföra personuppgifter till tredje land Nej enligt avtal.
3. Avtalsvillkor för tjänsten
3.1 Standardavtal Ja, bifogade avtal
Grundskole- och gymnasienämnden har till huvudavtalet ”Microsoft Campus och School-avtal”
bilagt med tilläggsavtalen EES18 vilket är personuppgiftsbiträdesavtalet och M100 vilket avser EUs standardkontraktsklausuler.
3.2 Underleverantörer och kontroll
Personuppgiftsbiträdet kommer att anlita underleverantörer. Den personuppgiftsansvarige har kännedom om vilka andra personuppgiftsbiträden som kan komma att behandla den
personuppgiftsansvariges personuppgifter. Den personuppgiftsansvarige kan säkerställa sin kontroll över behandlingen.
Den personuppgiftsansvarige kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av personuppgifterna. En fullständig och uppdatera lista på Microsofts underleverantörer för Office 365 finns på Microsofts Office 365 Säkerhetscenter.
(http://www.microsoft.com/online/legal/v2/?docid=26&langi d=en-us).
Därutöver ges Vallentuna kommun rätt att få meddelanden om det läggs till underleverantörer och säga upp avtalet om de inte godkänner dessa.
3.5 Uppsägning av tjänsten
Microsofts avtalsupplägg utgör en rörlighet och flexibilitet mellan molntjänster och klassisk mjukvara på lokala servrar en garant för att Vallentuna Kommun löpande ska kunna anpassa sitt upplägg efter ändrade risker och sårbarhet.
Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en möjlighet att hämta tillbaka både tjänst och data om behovet skulle uppstå i framtiden. T.ex. via reviderade risk- och sårbarhetsanalyser.
5
4. Risk- och sårbarhetsanalys
Beskrivning Risk
Elevers arbetsmaterial i skolan går förlorad pga. systemfel
Konsekvens av det inträffade
Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten.
Allvarlig X
Betydande Måttlig Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Obehörig får del av personuppgifter och arbetsmaterial
Konsekvens av det inträffade
Oönskad spridning av informationen.
Störningar i det pedagogiska arbetet.
Osäkerhet när det gäller användares aktivitet om det finns oklarhet i identifieringen.
Kan leda till att användare tappar förtroende för tjänsten.
Allvarlig
Betydande X
Konsekvens
Måttlig
6
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet
Konsekvens av det inträffade
Förlust av anseende för kommunen. Krav i lag och/eller förordning kan inte uppfyllas. Kan framtvinga hävning av avtal och/eller byte av leverantör. Risk för informationsförlust.
Allvarlig X
Betydande Måttlig Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas.
Konsekvens av det inträffade
Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed
verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen, medarbetar tappar förtroende för sin arbetsmiljö.
7
Allvarlig X
Betydande Måttlig Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Personal hos leverantör läser elevernas e-post
Konsekvens av det inträffade
Obehörig får del av information av privat karaktär. Kan leda till att användare tappar förtroende för tjänsten.
Allvarlig Betydande
Måttlig X
Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel
Konsekvens av det
inträffade Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten.
8
Allvarlig
Betydande X
Måttlig Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Leverantören förmår inte upprätthålla tillgängligheten på tjänsten
Konsekvens av det inträffade
Störningar i lärandet, användarna tappar förtroende för sin arbetsmiljö.
Ekonomiska konsekvenser vid förlorad arbetstid.
Allvarlig
Betydande X
Måttlig Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Information och personuppgifter raderas inte efter att elever har slutat i verksamheten
Konsekvens av det inträffade
Tjänsterna kan fortsätta användas trots att eleven inte tillhör skolan. Intern information kan spridas till utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov.
Allvarlig Betydande
Måttlig X
Konsekvens
Försumbar
9 Mycket
sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö.
Konsekvens av det
inträffade Störningar i IT-leveransen. Ekonomiska konsekvenser.
Allvarlig
Betydande X
Måttlig Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Leverantören behandlar personuppgifterna för egna ändamål
Konsekvens av det inträffade
Kommunen kan anses bryta mot gällande lag. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Användares brist på förtroende.
Allvarlig X
Betydande Måttlig Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
10 Sannolikhet
Beskrivning risk
. Leverantören uppgraderar/förändrar innehållet i tjänsten.
Konsekvens av det inträffade
Avtalet kan behöva förändras för att stämma med ny funktionalitet.
Personupphandlingen kan förändras. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust.
Allvarlig
Betydande X
Måttlig Konsekvens
Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
Beskrivning risk
Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten.
Konsekvens av det inträffade
Information som man vill behålla i verksamheten förloras och man måste börja om från noll varje gång man byter leverantör.
Risk för inlåsning till befintlig leverantör.
Allvarlig Konsekvens
Betydande X
11
Måttlig Försumbar
Mycket sällan
Sällan Regelbundet Ofta
Sannolikhet
12
Slutsats riskanalys
Följande tabell listas de risker som togs upp i ovanstående Risk- och sårbarhetsanalys.
För varje risk så ställs ett krav på hur detta ska hanteras i avtal mellan Vallentuna Kommun och Microsoft som molntjänstleverantör.
Beskrivning Riskbedömning Åtgärd
Elevers arbetsmaterial i skolan går förlorat pga.
systemfel
Allvarlig/Mycket Sällan Det ska finnas backup av informationen i tjänsten. Denna ska kunna kontrolleras och prövas fortlöpande av kommunen.
Obehörig får del av arbetsmaterial.
Betydande/Sällan Leverantören ska etablera och upprätthålla en informationssäkerhet som skyddar mot intrång. Denna ska kunna kontrolleras och prövas fortlöpande av kommunen.
Utbildning och instruktioner till användare.
Leverantören visar sig inte kunna etablera
eller upprätthålla tillräcklig informationssäkerhet.
Allvarlig/Mycket Sällan Leverantören ska etablera och upprätthålla en informationssäkerhet som kan kontrolleras och prövas fortlöpande av kommunen.
Nivån för informationssäkerheten ska göra det möjligt för kommunen att uppfylla motsvarande krav som gäller enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10).
Personal hos leverantören läser Elevernas e-post.
Måttlig/Mycket Sällan Kommunen ska på egen hand kunna sätta behörigheter för information i tjänsten.
Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas.
Allvarlig/ Mycket Sällan Det ska finnas back-up av informationen från tjänsten. Denna ska kunna
kontrolleras och prövas fortlöpande av kommunen.
Back-up ska kunna användas av kommunen utan leverantörens medverkan eller godkännande.
Medarbetares arbetsmaterial i skolan går förlorad pga.
systemfel
Betydande /Mycket sällan Det ska finnas backup av informationen i tjänsten. Denna ska kunna kontrolleras och prövas fortlöpande av kommunen.
13
Leverantören förmår inte upprätthålla tillgängligheten på tjänsten.
Betydande /Mycket sällan
Nivån på tillräcklig tillgänglighet ska regleras i avtal. Nivån ska vara
konkret och mätbar och ge konsekvens för leverantören vid återkommande brister.
Virus eller annan fientlig kod kan via tjänsten hota kommunen övriga IT-miljö.
Betydande /Mycket sällan
Leverantören har väl etablerade skydd mot virus och fientlig kod där data lagras och behandlas. Kommunen har också virusskydd lokalt på klienter och servrar i egen miljö där data kan behandlas.
Information och
personuppgifter raderas inte efter att elever har slutat i verksamheten
Måttlig /Sällan Avslutande av konton styrs från kommunen. Leverantören garanterar att data raderas i enlighet med instruktioner från kommunen.
Leverantören behandlar personuppgifterna för egna ändamål
Allvarligt /Mycket sällan
Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören har anlitats för.
Leverantören
uppgraderar/förändrar tjänsten.
Betydande / Mycket sällan
Leverantören informerar löpande om förändringar.
Kommunen har rutiner för att granska förändringarna och ta ställning till konsekvens. Informationen till användare kan behöva uppdateras.
Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten.
Betydande/ Mycket sällan
Leverantören beskriver i avtalet hur detta ska kunna genomföras
Då risk- och sårbarhetsanalyser är ett pågående arbete är det viktigt att kunna anpassa tjänsten efter nya bedömningar och ändrade förutsättningar.
Nämnden/Kommunen konstaterar att den valda tjänsten kan skötas både som en molntjänst och som en lokal installation. Det innebär att kommunen kan välja att sköta delar eller hela tjänsten och själv hämta tillbaka data om behov skulle uppstå i framtiden.
Datainspektionens allmänna råd
Reviderad november 2008
Säkerhet för person-
uppgifter
2 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Datainspektionens allmänna råd
Vid sidan av lagar och förordningar samt de föreskrifter som Datainspektionen utarbetat, ger vi även ut allmänna råd med rekommendationer i olika frågor. De allmänna råden är inte bindande men de är rekommendationer om hur de bindande kraven i lagarna kan uppnås. Råden ligger också till grund för de föreskrifter som Datainspektionen ger exempelvis i samband med tillsyn och när tillstånd för inkassoverksamhet utfärdas.
De allmänna råden är inte uttömmande och får inte uppfattas så att allt som inte behandlas i råden är tillåtet.
Av Datainspektionen utgivna Allmänna råd Säkerhet för personuppgifter
Information till registrerade Tillämpning av inkassolagen
De allmänna råden går att beställa eller hämta på Datainspek
tionens webbplats www.datainspektionen.se
Datainspektionens allmänna råd. Säkerhet för personuppgifter.
Pris 53 kr inklusive moms.
Reviderad i november 2008.
Tryckt hos Lenanders Grafiska (32387), november 2008 på Munken Lynx FSC-certifierat papper. Miljömärkt trycksak 341 145. IISSN 1100-3308.
Har du frågor om innehållet kontakta Datainspektionen, telefon 08-657 61 00, e-post datainspektionen@datainspektionen.se, eller besök www.datainspektionen.se
3 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Innehåll
Förord ... 4
Inledning ... 5
Ansvaret för säkerheten ... 7
Organisation ... 12
Hotbild ... 15
Säkerhetsnivå ... 17
Säkerhetsåtgärder ... 20
Sammanfattning ... 27
4 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Förord
Den här skriften innehåller allmänna råd som preciserar personuppgiftslagens (1998:204) krav på säkerhet vid behandling av personuppgifter.
Säkerhetskraven innebär enligt 31 § personuppgiftslagen att den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av:
de tekniska möjligheter som finns,
vad det skulle kosta att genomföra åtgärderna,
de särskilda risker som finns med behandlingen
av personuppgifterna, och
hur pass känsliga de behandlade
personuppgifterna är.
Råden riktar sig alltså till den som behandlar personupp
gifter enligt personuppgiftslagen.
Stockholm november 2008
5 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Inledning
I personuppgiftslagen finns bestämmelser om säkerhet vid behandling av personuppgifter. Syftet med person
uppgiftslagen är att skydda människor mot att deras personliga integritet kränks vid behandling av person
uppgifter.
Säkerhet är en viktig del av skyddet för den personliga integriteten. Den som behandlar personuppgifter med hjälp av informationsteknik måste därför skydda uppgifterna. En tillfredsställande säkerhet är ett krav enligt personuppgiftslagen.
Många har redan en god säkerhet för att skydda uppgifter, till exempel för att skydda sig mot ekonomiska förluster.
Detta är dock inte alltid detsamma som att ha en god säkerhet för att skydda de registrerades integritet.
Råden är inte bindande. De är rekommendationer om hur de bindande kraven i personuppgiftslagen om säkerhet kan uppnås. Enligt personuppgiftslagen får Datainspek
tionen i enskilda fall besluta om vilka säkerhetsåtgärder som ska vidtas. Bindande föreskrifter om säkerhet kan meddelas till exempel vid behandling av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten eller om inspektionen vid till exempel tillsyn finner brister vid behandling av person
uppgifter.
Bedömningen av vilka säkerhetsåtgärder som behövs är beroende bland annat av vilka personuppgifter som behandlas.
Ytterligare åtgärder, som inte nämns i dessa allmänna råd, kan vara nödvändiga för att skydda de personuppgifter som behandlas.
Säkerhet
6 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Utöver Datainspektionens allmänna råd om säkerhet finns Ledningssystem för informationssäkerhet med krav och råd om säkerhet i svensk standard för informations
säkerhet, SSISO/IEC 27001 och SSISO/IEC 27002 som ingår i ISO 27000serien.
Datainspektionens allmänna råd om säkerhet innehåller både råd och allmän information. De allmänna råden anges med fetstil.
Personuppgifter
All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet.
Behandling av personuppgifter
Varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter till exempel insamling, registrering, organi- sering, lagring, bearbetning, ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring.
Personuppgiftsansvarig
Den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av person- uppgifter.
Personuppgiftsbiträde
Den som behandlar personuppgifter för den personuppgifts- ansvariges räkning.
Personuppgiftsombud
Den fysiska person som, efter förordnande av den person- uppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
FAK TA
7 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Ansvaret för säkerheten
Personuppgiftsansvarig är den som ensam eller
tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter
(3 § personuppgiftslagen)
Personuppgiftsansvarig är normalt den juridiska person (till exempel aktiebolag, stiftelse eller förening) eller den myndighet som behandlar personuppgifter i sin verksamhet och som bestämmer vilka uppgifter som ska behandlas och vad uppgifterna ska användas till. Det är alltså är inte chefen på en arbetsplats eller en anställd som är personuppgiftsansvarig. Undantagsvis kan en fysisk person vara personuppgiftsansvarig, till exempel en enskild företagare.
Det är de faktiska omständigheterna i det enskilda fallet som avgör vem som är personuppgiftsansvarig, det vill säga vem som faktiskt bestämmer över behandlingen.
Avtal där ansvaret preciseras kan ge vägledning vid bedömningen. Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans.
Vem som är personuppgiftsansvarig för en viss behandling kan också särskilt anges i lag eller förordning, till exempel i särskilda registerlagar.
En användare som enbart har rätt att komma åt person
uppgifter genom att läsa dem och söka bland dem, men som inte självständigt får ändra, komplettera eller radera uppgifterna är inte personuppgiftsansvarig.
En juridisk person eller en myndighet är personuppgifts
ansvarig även om verksamheten bedrivs i filialer eller andra organisatoriska enheter.
Person- uppgifts- ansvarig
8 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Om flera juridiska personer i en organisation behöver behandla samma personuppgifter (till exempel föra ett register över alla anställda i en koncern), kan ansvars
fördelningen se ut på olika sätt.
Om moderbolaget ensamt bestämmer över behandlingen blir moderbolaget personuppgiftsansvarig.
För det fall alla bolag inom en koncern gemensamt bestämmer över behandlingen blir de tillsammans ansvariga för det aktuella registret.
De olika koncernbolagen kan naturligtvis samtidigt var för sig vara personuppgiftsansvariga för andra register som de självständigt bestämmer över.
I en kommun är normalt både kommunstyrelsen och de kommunala nämnderna om de är så självständiga att de är förvaltningsmyndigheter personuppgiftsansvariga, var och en i sin verksamhet. Vilket organ i kommunen som är personuppgiftsansvarig kan inte anges generellt;
de faktiska omständigheterna i det enskilda fallet måste beaktas, till exempel om nämnden och dess förvaltning självständigt förfogar över de personuppgifter som behandlas.
Den personuppgiftsansvarige ska enligt 31 § personupp
giftslagen vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av:
de tekniska möjligheter som finns,
vad det skulle kosta att genomföra åtgärderna,
de särskilda risker som finns med behandlingen av
personuppgifterna, och
hur känsliga de behandlade personuppgifterna är.
9 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Personuppgiftsbiträde är den som behandlar person
uppgifter för den personuppgiftsansvariges räkning.
(3 § personuppgiftslagen)
Med benämningen personuppgiftsbiträde avses alltid någon utanför den egna organisationen. En anställd eller någon annan som behandlar personuppgifter under den personuppgiftsansvariges direkta ansvar är inte person
uppgiftsbiträde.
Ett personuppgiftsbiträde kan vara antingen en fysisk eller en juridisk person. Om en personuppgiftsansvarig anlitar till exempel en servicebyrå, blir denna ett personupp
giftsbiträde som får behandla personuppgifter enligt den personuppgiftsansvariges instruktioner.
När den personuppgiftsansvarige anlitar ett personupp
giftsbiträde, ska den personuppgiftsansvarige enligt 31 § personuppgiftslagen förvissa sig om att personuppgifts
biträdet kan genomföra de säkerhetsåtgärder som måste vidtas och se till att personuppgiftsbiträdet verkligen vidtar åtgärderna.
Ett personuppgiftsbiträde får behandla personuppgifter enbart i enlighet med instruktioner från den personupp
giftsansvarige och är skyldig att vidta de säkerhetsåtgärder som den personuppgiftsansvarige kräver/instruerar om.
Ett skriftligt avtal som reglerar förhållandet mellan personuppgiftsbiträdet och den personuppgiftsansvarige ska enligt 30 § personuppgiftslagen upprättas. I avtalet ska säkerhetsåtgärderna vid behandlingen av personuppgifter regleras.
Kravet på skriftlighet innebär att avtalet måste vara uttryckt i text, men texten kan finnas på papper eller i elektronisk form. Något krav på att avtalshandlingen ska
Person- uppgifts- biträde
10 Datainspektionens allmänna råd – Säkerhet för personuppgifter
vara undertecknad finns inte, men kan ur bevishänseende rekommenderas.
Den personuppgiftsansvarige kan överlåta den faktiska behandlingen av personuppgifter, men personuppgifts
ansvaret kan aldrig överlåtas. Det är alltid den person
uppgiftsansvarige som ytterst svarar för att personupp
giftslagen följs och att de registrerade behandlas korrekt.
Personuppgiftsombud är den fysiska person som den personuppgiftsansvarige har utsett att självständigt se till att personuppgifter behandlas på ett korrekt och lagligt sätt.
(3 § personuppgiftslagen)
Har personuppgiftsombudet anledning att misstänka att den personuppgiftsansvarige bryter mot de bestämmelser som gäller för behandlingen av personuppgifter och vidtas inte rättelse så snart det kan ske efter påpekande, ska personuppgiftsombudet enligt 38 § andra stycket person
uppgiftslagen anmäla förhållandet till Datainspektionen.
Även om det finns ett personuppgiftsombud svarar den personuppgiftsansvarige för att det vidtas lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Mer information om ombudets roll och arbetsuppgifter finns på Datainspektionens webbplats www.datainspek
tionen.se/personuppgiftsombud.
Den eller de personer som arbetar under ledning av den personuppgiftsansvarige eller personuppgiftsbiträdet får behandla personuppgifter enbart i enlighet med instruk
tioner från den personuppgiftsansvarige eller personupp
giftsbiträdet.
Person- uppgifts -
ombud
Övriga personer
11 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Skada och kränkning av den personliga integriteten som uppkommer till följd av till exempel bristande säkerhet kan leda till skadestånd enligt 48 § personuppgiftslagen.
Skade- stånd
12 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Organisation
Personalen är den viktigaste resursen i säkerhetsarbetet.
Man kan ha bra och dyr teknisk utrustning för säkerhet, men om utrustningen inte används rätt är investeringen bortkastad. Fungerande administrativa rutiner är väl så viktiga som tekniska lösningar.
En personuppgiftsansvarig bör, i vart fall om en omfattande behandling av personuppgifter utförs eller om känsliga personuppgifter behandlas, ha en fastställd säkerhetspolicy.
I en säkerhetspolicy bör man lämpligen redovisa organisationens säkerhetsstrategi, ansvarsfördelning och övergripande mål för säkerheten. En säkerhets
policy bör vara tydlig samt lätt att förstå och tillämpa i praktiken.
Om det finns anställda i verksamheten bör policyn vara skriftlig och allmänt tillgänglig inom organisa
tionen.
Säkerhetspolicyn bör fortlöpande omprövas och anpassas till det aktuella behovet av skydd.
En säkerhetspolicy bildar grunden för säkerhetsarbetet och ligger till grund för organisationens riktlinjer och regler för hantering av personuppgifter.
En otydlig och svårtillämpad säkerhetspolicy kan uppfattas som en formalitet som måste finnas men som inte berör de anställda.
För att säkerställa att riktlinjer och regler följs bör kontroller genomföras. Inom en organisation bör det även finnas rutiner för rapportering och uppföljning av säkerhetsincidenter.
Inledning
Säkerhets- policy
Kontroll/
avstäm- ning
13 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Rätt kompetens är en viktig faktor för en fungerande säkerhetsorganisation.
Den personuppgiftsansvarige bör utforma arbets
rutiner och arbetsuppgifter på ett sådant sätt att det blir möjligt för personalen att arbeta och tänka säkerhetsmedvetet.
En effektiv stödfunktion för praktiska IT-frågor eliminerar många misstag som orsakas av okunnighet.
I en organisation bör man undvika ett person
beroende. Mer än en person bör till exempel känna till hur ITutrustningen fungerar.
Den personuppgiftsansvarige bör se till att alla som har tillgång till personuppgifter får relevant utbildning.
Intrång kan förorsakas av den egna personalen. Intrången kan både vara avsiktliga och oavsiktliga. Genom att ge de anställda en klar uppfattning om:
vad som är tillåtet,
vilka konsekvenserna blir om man bryter mot
en regel, och
hur efterlevnaden av reglerna följs upp kan man
minska risken för intrång inom verksamheten.
Det är viktigt att skapa medvetenhet inom hela organisa
tionen om vilka riskerna är samt att:
lära personalen att uppmärksamma tecken på
eventuella intrång,
göra klart vem personalen ska vända sig till när den
misstänker intrång.
Personalen
14 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Den personuppgiftsansvarige bör se till att perso
nalen informeras om vikten av att följa gällande säkerhetsrutiner. Den personuppgiftsansvarige bör göra klart för personalen att det är viktigt att:
inte skriva upp lösenord,
logga ut när man lämnar arbetsstationen,
inte använda gemensam användaridentitet,
inte ha bildskärmen vänd så att obehöriga
kan läsa informationen,
inte dela med sig information till någon annan
utan att vara säker på att den personen är behörig att få ta del av informationen,
inte skriva ut känslig information på en skrivare
som obehöriga har eller lätt kan skaffa sig tillgång till.
Mänskliga misstag
15 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Hotbild
Störningar kan medföra att personuppgifter förstörs, att de förändras så de blir felaktiga eller missvisande eller sprids till obehöriga. Detta kan medföra att människors personliga integritet kränks.
Störningarna kan till exempel bestå i felaktigt hand
havande, driftstörningar, olyckshändelser, sabotage, stöld av utrustning eller obehörig åtkomst till personuppgifter.
Utgångspunkten för säkerhetsarbetet är medvetenhet om vilka risker som finns i den egna IT-miljön. Först när man vet vad man vill skydda sig mot och vad man vill skydda kan man bygga upp en god och kostnadseffektiv säkerhet.
Genom att kartlägga riskerna kan man undvika att resurser koncentreras till områden där de inte gör någon nytta, medan områden där de verkliga hoten finns förblir oskyddade.
En bedömning av sannolikheten för olika typer av störningar och konsekvenserna av dessa bör göras som underlag för utformningen av säkerhetsåtgärder.
Den personuppgiftsansvarige bör därför göra klart för sig:
vilken hotbild som finns, det vill säga vilka
händelser som skulle kunna drabba den egna ITmiljön,
hur stor risken är för att ett hot blir verklighet,
vilka konsekvenserna kan bli om ett hot blir
verklighet,
vilka resurser en obehörig behöver för att
realisera ett hot, det vill säga vilken kunskap, utrustning, eller omständighet som krävs för att hotet ska kunna inträffa.
Störningar
Hotbilden
16 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Det finns flera etablerade metoder för sårbarhets- och riskanalyser. När man använder dessa metoder, särskilt de som baseras på checklistor, är det viktigt att komma ihåg att det ofta är fråga om generella riktlinjer. Styrkan med metoderna är att någon redan har tänkt igenom olika situationer som kan uppstå. Man får stöd så att inte något viktigt glöms bort. Dessutom går man systematiskt till väga när man arbetar efter en redan fastlagd metod.
Nackdelen med att använda en checklista är att det finns en risk för att man arbetar mekaniskt efter listan och därmed låter bli att tänka själv samt att verkligen analysera resultaten.
Sårbarhets- och risk- analyser
17 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Säkerhetsnivå
Personuppgiftslagen kräver att den personuppgifts
ansvarige vidtar lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.
Åtgärderna ska ställas i relation till:
de tekniska möjligheter som finns,
kostnader för åtgärderna,
de risker som finns, samt
de behandlade uppgifternas känslighet.
Bedömningen av de tekniska möjligheter som finns kan till exempel avse vilka fysiska och logiska säkerhetshjälpmedel som finns tillgängliga på marknaden.
Vidare kan vägas in vad det skulle kosta att genomföra åtgärderna. Den personuppgiftsansvarige behöver alltså inte använda den allra bästa tekniken om det skulle kosta för mycket. Det räcker således i huvudsak att använda utrustning som normalt används och finns att tillgå på marknaden.
En särskild riskfaktor är antalet personer som de behandlande uppgifterna avser. Skador av till exempel ett angrepp kan bli mer omfattande när uppgifter om många personer behandlas. En angripare kan antas vara beredd att lägga ned större resurser på ett intrång om han samtidigt kan skaffa sig tillgång till uppgifter om många personer.
Känsligheten hos de personuppgifter som behandlas beror på flera faktorer och måste alltid bedömas särskilt. Arten av de uppgifter som behandlas har stor betydelse men även mängden av uppgifter om varje person måste beaktas eftersom den bestämmer hur detaljerad bild som kan erhållas.
Lämplig säkerhets- nivå
18 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Anledningen till behandlingen av personuppgifterna kan vara känslig liksom förekomsten av en personuppgift (till exempel ett register över personer som utgör en utsatt grupp).
Som exempel på personuppgifter som normalt inte är att anse som känsliga är personuppgifter som följer av:
medlemskap,
anställningsförhållande,
kundförhållande, eller
något därmed jämförligt förhållande.
Som exempel på personuppgifter som normalt är att anse som känsliga kan nämnas uppgifter angående:
ekonomisk hjälp eller vård inom socialtjänsten,
enskilds personliga och ekonomiska förhållanden
inom bank och försäkringsväsendet,
uppgifter inom kreditupplysning eller inkasso
verksamhet.
Ett uttryck för att det är fråga om känsliga uppgifter kan vara att uppgifterna omfattas av sekretess enligt sekretess lagen (1980:100).
Som känsliga personuppgifter enligt personuppgiftslagen betecknas uppgifter som avslöjar:
ras eller etniskt ursprung,
politiska åsikter,
religiös eller filosofisk övertygelse,
medlemskap i fackförening, eller
personuppgifter som rör hälsa eller sexualliv.
Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella
tvångsmedel eller administrativa frihetsberövanden
Känsligauppgifter
19 Datainspektionens allmänna råd – Säkerhet för personuppgifter
klassificeras inte som känsliga enligt person
uppgiftslagen men bör ändå när det gäller säkerhet jämställas med känsliga uppgifter.
Uppgifternas art är alltså av stor betydelse för vilken
säkerhet som bör iakttas. Om känsliga uppgifter
behandlas ställs högre krav på säkerheten.
20 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Säkerhetsåtgärder
ITutrustning som används för behandling av person
uppgifter bör ha ett tillfredsställande skydd mot stöld och händelser som kan förstöra utrustningen.
Den personuppgiftsansvarige bör därför se över behovet av till exempel
låsutrustning,
inpasseringskontroll,
galler för fönster,
en fungerande larmutrustning för till exempel
rök, brand, vatten och inbrott,
utrustning som skyddar vid strömavbrott
och strömstörningar, kylanläggning,
skydd mot rök och vattenskada,
brandsläckningsutrustning,
speciell placering av utrustning,
säkerhetsskåp,
märkning av utrustning.
Det kan ibland bli konflikt mellan olika skyddsåtgärder.
Till exempel kan brandskyddskrav på olåsta dörrar komma i konflikt med krav på inpasseringskontroll. Kravet på att begränsa antalet personer som har åtkomst till systemet kan strida mot kravet på personoberoende när det gäller ITutrustning och system. I sådana situationer måste man vara extra vaksam när man väljer lämpliga skyddsåtgärder.
Särskilda krav på säkerhet behövs när portabel IT
utrustning som mobila enheter och flyttbara lagrings- media används. När man använder sådan utrustning är risken särskilt stor för att utomstående kan komma åt personuppgifterna. Känsliga personuppgifter kan därför behöva krypteras.
Fysisk säkerhet
21 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Rutiner för användning av portabel ITutrustning och hur utrustningen och personuppgifterna i den ska skyddas bör, beroende på känsligheten hos person
uppgifterna, upprättas.
För att säkerställa att endast behörig personal får tillträde till utrymmen där ITutrustning finns bör rutiner för en tillträdeskontroll upprättas.
Behovet av att kunna utföra en arbetsuppgift bör vara utgångspunkten för en tillträdeskontroll. I en organi
sation bör övervägas att skapa områden med olika typer av tillträdeskontroll.
För att förhindra obehörig användning eller åtkomst bör ett system för behörighetskontroll upprättas. Ett sådant system bör omfatta möjligheter att identifiera användare och bekräfta användarens identitet, exempelvis genom användning av personliga lösenord. Andra tekniker för identifiering, till exempel engångslösenord, aktiva behörighetskort eller biometriska metoder, till exempel fingeravtryck bör övervägas.
Systemet bör kunna kontrollera användningen så att endast de som behöver uppgifterna för sitt arbete får tillgång till åtkomstskyddade personuppgifter.
Det bör finnas rutiner för tilldelning och kontroll av behörigheter.
Kryptering, där krypteringsnycklarna är tillräckligt kraftfulla och där nycklarna handhas på ett säkert sätt, kan användas som skydd även när man vill försäkra sig om att personal som behöver fullständiga rättigheter till systemet inte ska kunna läsa viss information.
Tillträdes- kontroll
Behörighets- kontroll
22 Datainspektionens allmänna råd – Säkerhet för personuppgifter
För att åtkomsten ska kunna kontrolleras bör det, beroende på känsligheten hos personuppgifterna, finnas en behandlingshistorik som sparas en viss tid.
En behandlingshistorik behövs normalt inte om endast en person använder utrustningen.
En behandlingshistorik bör följas upp och skyddas mot otillåtna ändringar.
En behandlingshistorik bör normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av person
uppgifter. Behandlingshistoriken bör, beroende på känsligheten hos personuppgifterna, ange till exempel läsning, ändring, utplåning eller kopiering av personuppgifter.
En behandlingshistorik bör inte utformas eller utnyttjas så att den medför risk för intrång i personalens integritet.
En behandlingshistorik har också en förebyggande funktion. Förutsättningen för det är att användarna informeras om att det förs en behandlingshistorik och att den kontrolleras.
I fråga om inloggning och lösenord bör följande iakttas:
Användaridentitet och lösenord bör inte
antecknas där andra kan komma åt uppgifterna.
Lösenordet bör regelbundet bytas.
Personlig inloggningsidentitet bör aldrig
överlåtas till någon annan.
En skärmsläckare med lösenord bör användas
om inte utloggning alltid sker när en arbets
station lämnas obemannad, även för en kort tid.
Behandlings- historik (logg)
Inloggning och lösenord
23 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Lösenord bör vara långa och det är bra att
blanda små och stora bokstäver med siffror.
Ett lösenord bör vara lätt att komma ihåg och svårt att gissa och bör inte kunna hänföras till användaren.
Dessa krav är motsägelsefulla, men om man tänker på en hel mening, till exempel 5 Fula elefanter flög till de 7 månarna och använder de första bokstäverna i varje ord och siffrorna blir lösenordet 5Feftd7m . Lösenordet blir då svårt att gissa för en utomstående, men lätt för innehavaren att komma ihåg. Lösenord bör inte lagras i klartext i behörighetskontrollsystem.
För att förhindra att personuppgifter förstörs, ändras eller förvanskas vid överföring via nät och för att skydda anslutna tjänster mot obehörig åtkomst bör den personuppgiftsansvarige införa lämpliga åtgärder för att åstadkomma en tillfredsställande säkerhet. Personuppgifter som överförs via nät bör, beroende på känsligheten hos personuppgifterna, skyddas, till exempel genom kryptering.
När utrustningen ansluts till Internet eller annat öppet nät bör anslutningen skyddas för att förhindra obehörig trafik. I samma syfte bör åtkomst
förhindras från det öppna nätet till annan utrustning eller lokala nät hos den personuppgiftsansvarige. Om uppgifterna endast får lämnas ut till identifierade användare bör mottagarens identitet säkerställas.
Mottagarens identitet kan säkerställas genom elegiti
mation, engångslösenord, aktiva behörighetskort eller motsvarande.
Behovet av åtgärder och policy för att minska säkerhetsrisker vid användning av elektronisk post bör övervägas.
Kommu- nikation
24 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Genom exempelvis kryptering förhindrar man att uppgifterna kan läsas eller förvanskas i samband med överföringen. För att kryptering ska ge det skydd som krävs måste krypteringsnycklarna vara tillräckligt
kraftfulla och nycklarna måste handhas på ett säkert sätt.
Om extern datakommunikation upprättas via en
anslutning kan obehöriga få åtkomst till datorsystemet om inte en säker identifiering av användaren utförs.
Information kan försvinna och förstöras på olika sätt. Det viktigaste skyddet mot förlust är säkerhetskopiering.
För att förhindra förlust av personuppgifter bör rutiner för säkerhetskopiering finnas. För att säkerhetskopieringen ska fungera bör den person
uppgiftsansvarige se till att:
Säkerhetskopior tas tillräckligt ofta.
Kopieringen automatiseras för att eliminera
risken för mänskliga misstag.
Flera generationer av säkerhetskopior sparas.
Prova regelbundet att det går att återskapa
säkerhetskopian. Prova om möjligt också på annan dator än den där kopian gjordes.
Förvara kopian skyddad och gärna i flera
exemplar på olika skyddade platser.
Skapa rutiner för att logga kopieringen och att
loggen läses efter varje kopiering för att se att inga fel har uppstått under kopieringen.
Att systemet kan återskapas från säkerhetskopian testas lämpligen av den som i praktiken är ansvarig för att informationen återskapas. Regelbundna tester gör den systemansvarige rutinerad och säker när han ska utföra kopieringen i praktiken. Tyvärr är det vanligt att informa
tionen går förlorad på grund av att rutiner för säkerhets
Åtgärder mot förlust av information
25 Datainspektionens allmänna råd – Säkerhet för personuppgifter
kopiering inte fungerar. Informationen kanske inte har blivit kopierad trots att det såg ut så. Det förekommer också att ingen vet hur man återskapar systemet från säkerhetskopian, liksom att den enda säkerhetskopian som fanns har förvarats i samma rum som datorn och förstörts samtidigt vid en brand.
När fasta eller löstagbara lagringsmedier som
innehåller personuppgifter inte längre ska användas för sitt ändamål bör lagringsmedierna förstöras, eller alternativt raderas på sådant sätt att uppgifterna inte kan återskapas.
Reparation och service bör ske på ett sådant sätt att personuppgifter inte blir tillgängliga för obehöriga.
När reparation och service av ITutrustning utförs av annan än den personuppgiftsansvarige bör, beroende på personuppgifternas känslighet, ett avtal om
säkerhet träffas med serviceföretaget. Ett sådant avtal bör till exempel innehålla bestämmelser om vilka säkerhetsrutiner som ska tillämpas i samband med service.
Information kan förstöras av skadliga program. Det ökande behovet av datakommunikation ökar risken för spridning av skadliga program.
Den personuppgiftsansvarige bör se över vilka åtgärder som bör införas för att upptäcka och skydda mot skadliga program.
Det finns leverantörer som erbjuder stöd vid till exempel en virusattack. Leverantörer har ofta goda kunskaper på området och är experter på hur man gör för att minska skadan.
Utplåning
Reparation och service
Skydd mot skadliga program
26 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Genom att upprätta en särskild policy för användande av Internet och portabel ITutrustning kan man minska risken för att skadliga program kommer in i datorsystemet.
En kartläggning av alla ingångar till datorsystemet är en relevant åtgärd när man ser över sin hotbild angående skadliga program.
Regelbundna tester är viktiga om man ska försäkra sig om att säkerhetsorganisationen och utrustningen fungerar samt för att hitta eventuella brister i säkerheten.
Det finns företag som erbjuder tjänster för detta. Dessa företag har kunskap om var brister kan finnas. De har även den tekniska utrustning som krävs för testerna.
När det gäller åtgärder mot otillbörlig åtkomst bör den personuppgiftsansvarige även se över behovet av till exempel:
rutiner vid besök,
rutiner och regler vid distansarbete
och Internetanvändning,
rutiner för att ta bort inaktuella användar
konton,
avstängning av modem när det inte används,
installation av aktuella programrättelser från
leverantörerna för att motverka säkerhetshål i programvaror,
skyddsåtgärder mot avlyssning och röjande
signaler.
Verifiering av säker-
heten
Andra åtgärder
27 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Sammanfattning
Den personuppgiftsansvarige bör tänka på att:
Kartlägga hotbilden
Sätta mätbara mål för säkerhet
Fastställa policy för säkerhet
Skapa en fungerande organisation för säkerhet
Skaffa den utrustning som behövs och använda
den rätt
Upprätta regler och rutiner
Informera och utbilda kontinuerligt
Följa upp att regler och rutiner efterlevs
och respekteras
Testa säkerheten regelbundet
28 Datainspektionens allmänna råd – Säkerhet för personuppgifter
Kontakta Datainspektionen
E-post: datainspektionen@datainspektionen.se Webb: www.datainspektionen.se Tfn 08-657 61 00. Postadress: Datainspektionen, Box 8114, 104 20 Stockholm.
Datainspektionen
Datainspektionen är en myndighet som arbetar för att behand
lingen av personuppgifter i samhället inte ska medföra
otillbörliga intrång i enskilda människors personliga integritet.
Ansvarsområdet omfattar framförallt personuppgiftslagen, inkassolagen och kreditupplysningslagen. Datainspektionen gör inspektioner och hanterar klagomål från enskilda medborgare samt tar fram vägledningar och ger synpunkter på utredningar och lagförslag. Datainspektionen har också en omfattande
informationsverksamhet, vi utbildar, svarar på frågor och ger stöd till personuppgiftsombud.
Datainspektionens allmänna råd
Datainspektionen ger ut allmänna råd med rekommendationer
i olika frågor. Råden ligger till grund för de föreskrifter som
Datainspektionen ger exempelvis i samband med tillsyn och när
tillstånd för inkassoverksamhet utfärdas. Broschyrerna beställer
på vår webbplats www.datainspektionen.se.
ProgramSignForm(MSSign)(EMEA)(SWE)(Oct2013) Page 1 of 2
Formulär för undertecknande av Program
MBA-/MBSA-nummer 6-EWB37J2IZ
avtalsnummer 6177065
Obs! Ange tillämpliga aktiva nummer som tillhör dokumenten nedan. Microsoft kräver att associerade aktiva nummer skall anges här eller som nya i listan nedan.
I detta formulär avser ”Kunden” den enhet som undertecknar formuläret, Anslutet Koncernbolag, Myndighetspartner, Institution eller annan part som ingår ett volymlicensieringsprogramavtal.
Detta formulär för undertecknande och alla kontraktsdokument som anges i tabellen nedan har ingåtts mellan Kunden och undertecknande Microsoft-koncernbolag, per nedan angivet ikraftträdandedatum.
Kontraktsdokument Nummer eller Kod
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Avtal>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
<Välj Registrering>
EES Amendment Office 365 Data Process Agr - M100
EES Amendment Office 365 Data Process Agr - EES18
Genom att underteckna detta formulär nedan intygar Kunden och Microsofts Koncernbolag att båda parter (1) har mottagit kopior av, läst och förstått ovan nämnda kontraktsdokument, inklusive eventuella webbplatser eller dokument som ingår som referens och eventuella ändringar och (2) samtycker till att vara bundna av villkoren i alla sådana dokument.
Kund
Enhetens namn (måste vara namnet på en juridisk person)* Vallentuna kommun Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
ProgramSignForm(MSSign)(EMEA)(SWE)(Oct2013) Page 2 of 2
Microsofts koncernbolag
Microsoft Ireland Operations Limited
Momsnummer IE8256796U
Underskrift
Textat för- och efternamn Textad titel
Datum för undertecknande
(det datum då Microsofts Koncernbolag kontrasignerar)
Avtalets ikraftträdandedatum
(kan vara annat än Microsofts datum för undertecknande)
Valfri ytterligare underskrift av Kund eller outsourcingleverantör (om tillämpligt)
Kund
Enhetens namn (måste vara namnet på en juridisk person)*
Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
Outsourcing-leverantör
Enhetens namn (måste vara namnet på en juridisk person)*
Underskrift*
Textat för- och efternamn*
Textad titel
Datum för undertecknande*
*obligatoriska fält
Om Kunden kräver fysiska medier, ytterligare kontaktpersoner eller anger flera tidigare Registreringar skall lämpliga formulär bifogas till detta formulär för undertecknande.
När Kunden har undertecknat detta formulär skickas det, tillsammans med kontraktsdokumenten, till Kundens samarbetspartner (kanal) eller till Microsofts kundansvarige som måste inge dem till nedanstående adress. När formuläret för undertecknande har undertecknats av Microsoft erhåller Kunden ett exemplar som bekräftelse på detta.
Microsoft Ireland Operations Limited Atrium Building Block B
Carmenhall Road
Sandyford Industrial Estate Dublin 18, Ireland
Attention: EOC Program Operations Dept.
EESEnrAmend(WW)(ENG)(Nov2013) Office 365 Data Processing Agreement with Model Clauses (Part 1 of 2)
EES18
B Page 1 of 8
Enrollment for Education Solutions Addendum
Microsoft Online Services Data Processing Agreement (with EU Standard Contractual Clauses)
Amendment ID EES18
Enrollment for Education Solutions number Microsoft to complete
6390604 6-EWB37J2IZ
This amendment (“Amendment”) is entered into between the parties identified on the attached program signature form. It amends the Enrollment or Agreement identified above. All terms used but not defined in this Amendment will have the same meanings provided in that Enrollment or Agreement.
This amendment (“Amendment”) adds the Microsoft Online Services Data Processing Agreement (with EU Standard Contractual Clauses) (“DPA”) to the enrollment identified above (“Enrollment”). The Amendment is between the parties identified on the attached signature form. The parties agree that the DPA supplements the Enrollment and applies to only the Microsoft Online Services, defined below, Customer buys under the Enrollment.
1. Defined terms.
Capitalized terms used but not defined in this DPA will have the meanings provided in the Enrollment.
The following definitions are used in this DPA:
“Customer” means Institution.
“Customer Data” means all data, including all text, sound, or image files that are provided to Microsoft by, or on behalf of, Customer through Customer’s use of the Microsoft Online Services.
“Dynamics CRM Online Services” means Dynamics CRM Online services made available through volume licensing or the Microsoft online services portal, excluding Dynamics CRM for supported devices, which includes but it is not limited to Dynamics CRM Online services for tablets and/or smartphones and any separately branded service made available with or connected to Dynamics CRM Online.
“End User” means an individual that accesses the Microsoft Online Services.
“EU Data Protection Directive” means Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
“Microsoft Online Services” for this Microsoft Online Services Addendum only, means Office 365 Services and/or Dynamics CRM Online Services.
“Office 365 Services” means (a) Exchange Online, Exchange Online Archiving, SharePoint Online, Lync Online, and Office Web Apps included in Office 365 Academic Plans A2, A3, and A4; and (b) Exchange Online Plans 1, 2, Basic and Kiosk; SharePoint Online Plans 1, 2 and Kiosk; Office Web Apps Plans 1 and 2; and Lync Online Plans 1, 2 and 3. Office 365 Services do not include Office 365 ProPlus or any separately branded service made available with an Office 365-branded plan or suite.
“Standard Contractual Clauses” means the agreement, executed by and between Customer and Microsoft Corporation and attached to this Office 365 DPA as Annex 1 pursuant to European