Instruktion

Informationssäkerhet – Grunder och begrepp

late00

I den här informationssäkerhetskursen som är kopplad till DigKomp Akademien finns avsnitten:

Detta är en kurs framtagen på Barn-och ungdomsförvaltningen, med exempel från verksamheten. Vi rekommenderar även att du går den kommungemensamma kursen Karlstad kommuns digitala kurs i informationssäkerhet. Beräknad tid ca 30-40min

GDPR

Dataskyddsförordningen (GDPR, The General Data Protection Regulation) gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras. 

I skolan och förskolan behandlas ett stort antal personuppgifter av olika slag, allt ifrån inom undervisningen till närvarolistor, betygsunderlag och personliga utvecklingsplaner. Personuppgifter om barn är särskilt skyddsvärda eftersom barn kan ha svårare att förutse riskerna med att lämna ifrån sig uppgifter och förstå vilken rätt de har till skydd för sina uppgifter.

Offentliga uppgifter och personuppgifter

Klicka för att förstora

Dokument som innehåller offentliga uppgifter eller personuppgifter kan lagras i en molntjänst.

En personuppgift är all information som kan kopplas till en levande person, som till exempel namn och adress, telefonnummer eller unika e-postadresser.  Sådana uppgifter kan du lagra i molnet men det finns undantag, till exempel vid skyddad identitet, om uppgifterna omfattas av sekretess eller om personuppgifterna är extra skyddsvärda.

Sekretess, extra skyddsvärda och känsliga personuppgifter

Klicka för att förstora

Dokument som innehåller sekretessuppgifter eller känsliga personuppgifter får inte lagras i molntjänsten.

Att dokumenten inte får lagras i molntjänsten beror inte på att vi får en sämre säkerhet i molnet, utan hör ihop med att lagringsplatsen finns i ett annat land och att det ännu inte är prövat vilka krav som ska ställas för att lagra den sortens uppgifter i en molntjänst.

En bild (ett foto) är en personuppgift och kan i grunden lagras på molnet men på Barn- och ungdomsförvaltningen betraktas foton där barn och elever deltar som extra skyddsvärd vad gäller lagring. Personnummer betraktas alltid som extra skyddsvärd uppgift.

Känsliga personuppgifter och extra skyddsvärda personuppgifter ska lagras på lokal server vilket i Karlstads kommun innebär personlig OneDrive klass 2 eller Konfidentiell klass 2.  Sekretessuppgifter kopplade till elevhälsa lagras i Prorenata (elevhälsans system). Känsliga personuppgifter och sekretessuppgifter ska inte heller lagras lokalt på din dator.

Känsliga personuppgifter

  • Etniskt ursprung 
  • Politiska åsikter 
  • Religiös eller filosofisk övertygelse 
  • Medlemskap i fackförening 
  • Hälsa 
  • En persons sexualliv eller sexuella läggning 
  • Genetiska uppgifter 
  • Biometriska uppgifter som används för att entydigt identifiera en person

Extra skyddsvärda uppgifter

  • Löneuppgifter 
  • Uppgifter om lagöverträdelser 
  • Värderande uppgifter, tex uppgifter från ett utvecklingssamtal, uppgifter om resultat från personlighetstester eller personlighetsprofiler 
  • Information som rör någons privata sfär 
  • Uppgifter om sociala förhållanden 
  • Personnummer och samordningsnummer 

Guide

Scenario

Testa dig själv innan du läser nästa avsnitt.
Vilka händelser tror du räknas som personuppgiftsincidenter?

Du sparar en lista med barnens/elevernas namn, adresser och telefonnummer i din OneDrive i molnet.
Du mejlar en lista med barnens/elevernas matallergier till köksansvarig.
Du får ett mejl om att en kollega är sjukskriven resten av terminen och skickar vidare det utan att kollegan bett dig göra det.
Du har tappat bort din jobbdator/iPad.
  1. OK – Personuppgifter kan lagras i molnet.
  2. INCIDENT – Matallergier är hälsouppgift och därför känslig personuppgift. Får inte skickas över e-post.
  3. INCIDENT – En hälsostatus är en känslig personuppgift och får inte skickas på e-post.
  4. INCIDENT – Borttappad eller stulen digital enhet som innehåller personuppgifter ska alltid incidentrapporteras.

Personuppgiftsincident

En personuppgiftsincident är en händelse som leder till att personuppgifter kommer i orätta händer, förloras eller uppdateras felaktigt.

Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. Har personuppgifter förstörts, ändrats eller röjts till någon obehörig så har en incident inträffat. Vi är skyldiga att anmäla vissa typer av incidenter till Datainspektionen.

Du ska alltid rapportera om du vet eller misstänker att en incident har inträffat eller om du ser en risk för att det kan inträffa en. Prata först med din rektor och gör upp vem av er som gör anmälan. Anmälan görs via e-tjänsten på Solsidan.

Exempel på personuppgiftsincident

  • Du har råkat maila vidare uppgifter om en kollegas hälsa utan godkännande (exempelvis sjukfrånvaro, graviditet och läkarbesök). Det är däremot ingen incident om du väljer att skicka dina egna hälsouppgifter via mail.
  • Känsliga personuppgifter som finns i protokoll eller mötesanteckningar råkar publiceras i Haldor/personalyta i Teams/Sharepoint.
  • En grupplista med barn/elever tappas bort under en utflykt.
  • Personuppgifter visas för mig i mitt IT-system trots att jag inte bör kunna se dem.
  • Jag har fått e-post med personuppgifter som jag inte behöver för mitt arbete.
  • Jag har sett eller fått kännedom om att personuppgifter som inte ska publiceras till allmänheten visas på Internet.
  • En mobil enhet, som innehåller personuppgifter, har blivit stulen eller borttappad, exempelvis en mobil, dator, ett usb-minne eller en surfplatta.