Instruktion

Informationssäkerhet – Kommunikation

late00

I kursen som är kopplad till DigKomp Akademien ska vi titta på hur vi hanterar personuppgifter när vi kommunicerar inom och utanför våra verksamheter. Hur hanterar vi känsliga personuppgifter i vår digitala kommunikation och hur gör vi om vi får känslig information skickat till oss? Sidan innehåller avsnitten:

Detta är en kurs framtagen på Barn-och ungdomsförvaltningen, med exempel från verksamheten. Vi rekommenderar även att du går den kommungemensamma kursen Karlstad kommuns digitala kurs i informationssäkerhet (beräknad tid ca 30-40min)

Haldor

Haldor är vår primära kanal för kommunikation mellan verksamhet och vårdnadshavare. 

Kommunikation mellan vårdnadshavare och personal i Haldor ska i högsta möjliga mån inte innehålla känsliga eller extra skyddsvärda uppgifter. Behöver man t.ex. prata med en personal om något som rör uppgifter som är känsliga så rekommenderas att boka ett möte, telefon eller fysiskt. 

Läs mer om vad som räknas som personuppgift, känslig personuppgift och extra skyddsvärd uppgift.

E-post

E-post används i flera olika sammanhang för att kommunicera både inom kollegiet, mellan verksamheter och ut mot personer utanför förskolan/skolan. Enligt kommunens riktlinjer för e-post ska meddelanden som kräver svar besvaras inom två arbetsdagar. Om du inte hinner ta fram ett fullständigt svar inom denna tid får du svara att du återkommer i frågan. 

Använd alltid automatiska svar i Outlook när du är ledig eller av andra skäl inte har möjlighet att svara på mail och hänvisa vidare till annan person.

Tydlig avsändare

I all e-post och i alla brev ska som huvudregel information om avsändare såsom namn, befattning, arbetsplats, e-postadress och telefonnummer framgå. Läs mer om hur signaturen ska se ut i kommunens Riktlinjer för e-post och brev.

För att skapa en signatur kan du följa guiden i Solveig.

Öppna inte e-post från avsändare som du inte är säker på

Filter för skräpmejl finns för att stoppa utskick som kan innehåll skadlig kod. Det minskar risken att vi ska drabbas av virusattacker via e-postutskick. Om du stöter på ett mejl från en okänd avsändare ska du helst inte öppna det alls, utan radera mejlet. Kontakta Servicedesk om du känner dig osäker. 

Hemlig kopia

Ett sätt att undvika incidenter där personuppgifter (t.ex. namn och e-postadresser) sprids i onödan i e-post är att använda sig av Hemlig Kopia eller att välja enbart Svara och undvika Svara alla på inkommande e-post. Tänk på att en e-postadress är en personuppgift (även om det inte är en känslig personuppgift) så att Hemlig Kopia bör användas om e-post ska skickas till en hel grupp vårdnadshavare.

Utdrag ur kommunens riktlinje för e-post:
Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete. Om du skickar e-post till många samtidigt, överväg om adresserna ska skrivas i fältet för hemlig kopia.

Känslig information i e-post

Känslig information får inte skickas med e-post.

Som känsliga uppgifter räknas enligt personuppgiftslagen till exempel uppgifter som avslöjar etniskt ursprung och sådana som rör hälsa. Det gäller även uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen eller om det handlar om brottslighet.

Känslig information i inkommande e-post

E-post som skickas till oss och innehåller känslig information ska inte lagras i inkorgen. Information som är av betydelse och behöver sparas ska flyttas till ett verksamhetssystem, till gemensam konfidentiellt klass 2-yta eller till din personliga OneDrive klass 2. Därefter ska meddelandet raderas både från e-postens inkorg och papperskorg.

Kontakta gärna avsändaren och förklara att känsliga uppgifter bör undvikas att skickas per e-post. Det sker ibland olyckor och information av misstag hamnar på fel ställe eller når för många.

Scenario

En vårdnadshavare kontaktar dig via e-post och beskriver att barnet under en period mått dåligt, ofta har ont i magen och ont i huvudet. Hen skriver att de hemma funderar över om det kan bero på barnets språkstörning och att det har svårt att göra sig förstådd bland kompisarna. Vårdnadshavaren undrar om ni på förskolan märkt av något senaste tiden. Hur hanterar du den informationen utifrån informationssäkerhetsperspektiv?

Jag vidarebefordrar mejlet till mina kollegor eftersom vi behöver hjälpas åt att vara extra uppmärksamma kring barnet framöver.
Jag svarar vårdnadshavaren och frågar om kan prata vidare via videomöte, telefonsamtal eller att ses och prata istället för att fortsätta konversationen över e-post.
För att behålla dokumentation tar jag en skärmdump av meddelandet och sparar i min OneDrive Klass 2 eller delar med rektor och kollegor i avdelningens mapp i Konfidentiellt klass 2. Därefter raderar jag meddelandet både från inkorgen och papperskorgen i Outlook.
  1. FEL – Eftersom meddelandet innehåller känsliga personuppgifter kring barnets nuvarande mående och språkstörning ska det inte spridas via e-post
  2. RÄTT – Om du tror att samtalet kan leda till uppgifter som är känsliga eller innehåller sekretess är det bättre att föra samtalet över telefon eller videomöte där ingenting spelas in eller lagras.
  3. RÄTT – Här kan vi lagra känslig information. Informationen lagras endast lokalt i Karlstad och hamnar inte i molnet. Radera alltid inkomna mejl med känsliga personuppgifter. 

Scenario

En vårdnadshavare kontaktar dig via e-post och beskriver att barnet under en period mått dåligt, ofta har ont i magen och ont i huvudet. Hen skriver att de hemma funderar över om det kan bero på barnets dyslexi och att det gör att barnet har svårt att hänga med på lektionerna och i grupparbeten. Vårdnadshavaren undrar om ni på skolan märkt av något senaste tiden. Hur hanterar du den informationen utifrån informationssäkerhetsperspektiv?

Jag vidarebefordrar mejlet till mina kollegor eftersom vi behöver hjälpas åt att vara extra uppmärksamma kring eleven framöver.
Jag svarar vårdnadshavaren och frågar om vi kan prata vidare via videomöte, telefonsamtal eller att ses och prata istället för att fortsätta konversationen över e-post.
För att behålla dokumentation tar jag en skärmdump av meddelandet och sparar i min OneDrive Klass 2 eller delar med rektor och kollegor i avdelningens mapp i Konfidentiellt klass 2. Därefter raderar jag meddelandet både från inkorgen och papperskorgen i Outlook.
  1. FEL – Eftersom meddelandet innehåller känsliga personuppgifter kring elevens nuvarande mående och dyslexi ska det inte spridas via e-post
  2. RÄTT – Om du tror att samtalet kan leda till uppgifter som är känsliga eller innehåller sekretess är det bättre att föra samtalet över telefon eller videomöte där ingenting spelas in eller lagras.
  3. RÄTT – Här kan vi lagra känslig information. Informationen lagras endast lokalt i Karlstad och hamnar inte i molnet. Radera alltid inkomna mejl med känsliga personuppgifter. 

Känslig information skickas med SEFOS

SEFOS är ett verktyg vi använder för att skicka känslig information på ett säkert sätt. Det hjälper oss att skydda personuppgifter och annan viktig data när vi kommunicerar med externa parter, till exempel vårdnadshavare, leverantörer eller myndigheter.

Läs mer om SEFOS på Solsidan

SMS

Känslig information får inte skickas med SMS. Här gäller samma förhållningssätt som med e-post.

SMS som skickas till oss och innehåller känslig information ska inte lagras i telefonen utan raderas så snart det är möjligt. Om informationen behöver sparas ska den dokumenteras i Konfidentiell klass 2 eller personlig OneDrive klass 2.

Scenario

Ett barn har fått vattkoppor och vårdnadshavare vill meddela det till förskolan/skolan eftersom det kan ha betydelse för resterande grupp. Vårdnadshavarna sms:ar till arbetslagets telefon. Vilka påståenden gäller för att meddela hälsotillstånd via sms?

Rekommendera att vårdnadshavare använder sig av e-post för att meddela detta istället.
Vi kan inte kräva att de uppger vilken sjukdom det rör sig om eftersom det är en känslig personuppgift
De kan skriva orsak om de vill. Det är av betydelse för resten av gruppen och sms:et raderas inom kort.
  1. FEL – Känsliga uppgifter bör inte skickas över e-post heller. Vi kan inte kräva att vårdnadshavare lämnar sjukfrånvaroorsak digitalt.
  2. RÄTT
  3. RÄTT  

Kommunicera via Teams

Allt du skriver i Teams kan ses som allmän handling.

Det är viktigt att vi funderar över hur vi använder Teams, både som chattfunktion och som konversationsytor i olika teams. Det ska vi göra eftersom det vi skriver sparas i programmet i en slags flödeshistorik och därför eventuellt kan ses som en allmän handling. Om du alltid utgår från att det som skrivs i Teams ska kunna läsas av andra så blir det enkelt att avgöra vad som är lämpligt att skrivas eller ej.

Scenario

Jag och min kollega som jobbar på en annan avdelning planerar en gemensam utflyktsdag och stämmer av några detaljer över teamschatten. Hur kan vi formulera oss?

Kom ihåg att beställa fläskfritt till Maged.
Thomas i min grupp kommer inte för han är hemma med magsjuka.
Vi behöver beställa glutenfritt bröd till fyra barn.
Informationen som ska skickas hem behöver översättas till sorani och skickas hem till Ali.
  1. FEL – känslig personuppgift kring kostvanor
  2. FEL – känslig personuppgift kring hälsa
  3. RÄTT – Här framgår det inte vilka barn som äter glutenfritt och det blir därmed inte en känslig uppgift att skicka.
  4. FEL – känslig personuppgift kring etniskt ursprung

Var lagras det du skriver?

Eftersom Teams är en del av Microsoft 365 så är utgångspunkten att det lagras på samma sätt, det vill säga i molnet. Vi ska alltså inte hantera sekretess och känsliga personuppgifter i Microsoft 365. All sådan information ska alltid lagras lokalt i våra ytor för konfidentiell information klass 2.

När du använder chatten i Teams så sparas det du skriver i Microsoft 365-molnet och du bör därför undvika att skriva om frågor som omfattas av sekretess eller känsliga personuppgifter. Om den typen av information ändå råkar förekomma så är det viktigt att du tar bort inläggen direkt efter, på samma sätt som vi hanterar e-post som skickas till oss och omfattas av sekretess eller känsliga personuppgifter.

Kan jag ångra eller ta bort något jag skrivit i en chatt eller inlägg i Teams?

Det går inte att ta bort hela chattar, inläggsflöden eller stänga av spara-funktionen för dessa flöden. Du kan däremot ta bort enskilda inlägg som du själv skrivit genom att högerklicka på det och välja att ta bort. Det är förstås också bra om du uppmärksammar de du chattar och konverserar med om du ser att någon har skrivit något som inte bör förekomma i dessa ytor. Men det bästa är så klart alltid att vi alla från början tänker till och inte skriver sådant som kan vara känsligt.

Sekretessuppgifter och teamsmöten

Om du behöver hålla i ett digitalt möte som omfattas av sekretess är det endast Teams i Office 365 som du får använda. Det finns flera saker du behöver ha i åtanke:

  • Kan mötet skjutas upp eller ske över telefon istället?
  • Mötet får inte på något sätt spelas in.
  • Lämplig plats för Teams-möten, där känslig information behandlas, är en plats där du kan arbeta avskilt utan möjlighet för obehöriga att se vad som skrivs eller höra vad som sägs. Headset minskar risken för att någon hör vad som sägs.
  • Det är alltid en representant från oss på kommunen som skickar ut bokningslänk. Mötesinbjudan skickas till samtliga vårdnadshavare. På så sätt undviker vi att länken behöver vidarebefordras till annan person. 
  • Informera deltagarna om den sekretess och tystnadsplikt som gäller under mötet. Berätta att chattfunktionen inte får användas för känsliga personuppgifter eller annan skyddsvärd information. Anteckningar förs på konfidentiell yta. Om man befinner sig utanför kommunens nätverk förs anteckningarna på papper eller i off-line-läge. 
  • Har du möten med vårdnadshavare eller andra som du inte känner igen ska du be att personen/personerna legitimerar sig, till exempel genom att visa upp sin legitimation.
  • Radera eventuella inlägg i chatten och be samtliga mötesdeltagare att göra detsamma.

Läs mer och ta del av anvisningen.