Informationssäkerhet – Kommunikation

late00

I den kursen som är kopplad till DigKomp Akademien ska vi titta på hur vi hanterar personuppgifter när vi kommunicerar via e-post, Teams och SMS inom och utanför våra verksamheter.

  • Hur hanterar vi känsliga personuppgifter i vår digitala kommunikation?
  • Hur gör vi om vi får känslig information skickat till oss?
  • Går det att radera chatthistoriken i Teams?

Detta är en kurs framtagen på Barn-och ungdomsförvaltningen, med exempel från verksamheten. Vi rekommenderar även att du går den kommungemensamma kursen Karlstad kommuns digitala kurs i informationssäkerhet. Beräknad tid ca 30-40min

E-post

E-post används i flera olika sammanhang för att kommunicera både inom kollegiet, mellan verksamheter och ut mot personer utanför förskolan/skolan. Enligt kommunens riktlinjer för e-post ska meddelanden som kräver svar besvaras inom två arbetsdagar. Om du inte hinner ta fram ett fullständigt svar inom denna tid får du svara att du återkommer i frågan. 

Använd alltid automatiska svar i Outlook när du är ledig eller av andra skäl inte har möjlighet att svara på mail och hänvisa vidare till annan person.

Tydlig avsändare

I all e-post och i alla brev ska som huvudregel information om avsändare såsom namn, befattning, arbetsplats, e-postadress och telefonnummer framgå. Läs mer om hur signaturen ska se ut i kommunens Riktlinjer för e-post och brev.

För att skapa en signatur kan du följa guiden i Solveig.

Under dina uppgifter i signaturen ska även denna text om behandling av personuppgifter finnas med:

När du kommunicerar med oss behöver vi hantera dina personuppgifter. Vill du veta mer om hur vi behandlar dina personuppgifter och vilka rättigheter du har kan du läsa mer på www.karlstad.se/personuppgifter.

Öppna inte e-post från avsändare som du inte är säker på

Filter för skräpmejl finns för att stoppa utskick som kan innehåll skadlig kod. Det minskar risken att vi ska drabbas av virusattacker via e-postutskick. Om du stöter på ett mejl från en okänd avsändare ska du helst inte öppna det alls, utan radera mejlet. Kontakta Servicedesk om du känner dig osäker. 

Scenario

Rektor skickar ut ett mail till alla pedagoger på förskolan/skolan och uppmanar att skicka in en lista på de barn/elever som behöver omsorg på studiedagen med reducerat öppethållande. I listan finns namn på barn/elev, tider för dagen och kontaktuppgifter till vårdnadshavare. Pedagogen Rut trycker på Svara alla och bifogar listan.

Vilket påstående nedan tror du stämmer?

Det här fallet behöver inte incidentrapporteras för att det inte innehåller några känsliga personuppgifter.
Det här fallet behöver incidentrapporteras för att personuppgifter sprids till personer som inte behöver ta del av dem
Både rektor och pedagog handlar rätt – det är bra om alla i verksamheten fått informationen.

Alternativ 2 är rätt.
Även om inte personuppgifterna är känsliga sprids de till onödigt många personer. Vi ska alltid arbeta för att behandla och sprida så få personuppgifter som möjligt.

Känslig information i e-posten

Känslig information får inte skickas med e-post.

Som känsliga uppgifter räknas enligt personuppgiftslagen till exempel uppgifter som avslöjar etniskt ursprung och sådana som rör hälsa. Det gäller även uppgifter som omfattas av sekretess enligt offentlighets- och sekretesslagen eller om det handlar om brottslighet.

Hemlig kopia

Ett sätt att undvika incidenter där personuppgifter sprids i onödan i e-post är att använda sig av Hemlig Kopia eller att välja enbart Svara och undvika Svara alla på inkommande e-post. Tänk på att e-post är en personuppgift så att Hemlig Kopia bör användas om e-post ska skickas till en hel grupp vårdnadshavare.

Utdrag ur kommunens riktlinje för e-post:
Sprid inte personuppgifter i onödan. Skicka bara personuppgifter till dem som behöver uppgifterna för sitt arbete. Om du skickar e-post till många samtidigt, överväg om adresserna ska skrivas i fältet för hemlig kopia.

Känslig information i inkommande e-post

E-post som skickas till oss och innehåller känslig information ska inte lagras i inkorgen. Information som är av betydelse och behöver sparas ska flyttas till ett verksamhetssystem, till gemensam konfidentiellt klass 2-yta eller till din personliga OneDrive klass 2. Därefter ska meddelandet raderas både från e-postens inkorg och papperskorg.

Kontakta gärna avsändaren och förklara att känsliga uppgifter bör undvikas att skickas per e-post. Det sker ibland olyckor och information av misstag hamnar på fel ställe eller når för många.

Scenario

En vårdnadshavare kontaktar dig via e-post och beskriver att barnet under en period mått dåligt, ofta har ont i magen och ont i huvudet. Hen skriver att de hemma funderar över om det kan bero på barnets språkstörning och att det har svårt att göra sig förstådd bland kompisarna. Vårdnadshavaren undrar om ni på förskolan märkt av något senaste tiden. Hur hanterar du den informationen utifrån informationssäkerhetsperspektiv?

Jag vidarebefordrar mejlet till mina kollegor eftersom vi behöver hjälpas åt att vara extra uppmärksamma kring barnet framöver.
Jag svarar vårdnadshavaren och frågar om kan prata vidare via videomöte, telefonsamtal eller att ses och prata istället för att fortsätta konversationen över e-post.
För att behålla dokumentation tar jag en skärmdump av meddelandet och sparar i min OneDrive Klass 2 eller delar med rektor och kollegor i avdelningens mapp i Konfidentiellt klass 2. Därefter raderar jag meddelandet både från inkorgen och papperskorgen i Outlook.
  1. FEL – Eftersom meddelandet innehåller känsliga personuppgifter kring barnets nuvarande mående och språkstörning ska det inte spridas via e-post
  2. RÄTT – Om du tror att samtalet kan leda till uppgifter som är känsliga eller innehåller sekretess är det bättre att föra samtalet över telefon eller videomöte där ingenting spelas in eller lagras.
  3. RÄTT – Här kan vi lagra känslig information. Informationen lagras endast lokalt i Karlstad och hamnar inte i molnet. Radera alltid inkomna mejl med känsliga personuppgifter. 

Scenario

En vårdnadshavare kontaktar dig via e-post och beskriver att barnet under en period mått dåligt, ofta har ont i magen och ont i huvudet. Hen skriver att de hemma funderar över om det kan bero på barnets dyslexi och att det gör att barnet har svårt att hänga med på lektionerna och i grupparbeten. Vårdnadshavaren undrar om ni på skolan märkt av något senaste tiden. Hur hanterar du den informationen utifrån informationssäkerhetsperspektiv?

Jag vidarebefordrar mejlet till mina kollegor eftersom vi behöver hjälpas åt att vara extra uppmärksamma kring eleven framöver.
Jag svarar vårdnadshavaren och frågar om vi kan prata vidare via videomöte, telefonsamtal eller att ses och prata istället för att fortsätta konversationen över e-post.
För att behålla dokumentation tar jag en skärmdump av meddelandet och sparar i min OneDrive Klass 2 eller delar med rektor och kollegor i avdelningens mapp i Konfidentiellt klass 2. Därefter raderar jag meddelandet både från inkorgen och papperskorgen i Outlook.
  1. FEL – Eftersom meddelandet innehåller känsliga personuppgifter kring elevens nuvarande mående och dyslexi ska det inte spridas via e-post
  2. RÄTT – Om du tror att samtalet kan leda till uppgifter som är känsliga eller innehåller sekretess är det bättre att föra samtalet över telefon eller videomöte där ingenting spelas in eller lagras.
  3. RÄTT – Här kan vi lagra känslig information. Informationen lagras endast lokalt i Karlstad och hamnar inte i molnet. Radera alltid inkomna mejl med känsliga personuppgifter. 

SMS

Känslig information får inte skickas med SMS. Här gäller samma förhållningssätt som med e-post.

SMS som skickas till oss och innehåller känslig information ska inte lagras i telefonen utan raderas så snart det är möjligt. Om informationen behöver sparas ska den dokumenteras i Konfidentiell klass 2 eller personlig OneDrive klass 2.

Scenario

Ett barn har fått vattkoppor och vårdnadshavare vill meddela det till förskolan/skolan eftersom det kan ha betydelse för resterande grupp. Vårdnadshavarna sms:ar till arbetslagets telefon. Vilka påståenden gäller för att meddela hälsotillstånd via sms?

Rekommendera att vårdnadshavare använder sig av e-post för att meddela detta istället.
Vi kan inte kräva att de uppger vilken sjukdom det rör sig om eftersom det är en känslig personuppgift
De kan skriva orsak om de vill. Det är av betydelse för resten av gruppen och sms:et raderas inom kort.
  1. FEL – Känsliga uppgifter bör inte skickas över e-post heller. Vi kan inte kräva att vårdnadshavare lämnar sjukfrånvaroorsak digitalt.
  2. RÄTT
  3. RÄTT  

Kommunicera via Teams

Allt du skriver i Teams kan ses som allmän handling.

Det är viktigt att vi funderar över hur vi använder Teams, både som chattfunktion och som konversationsytor i dina olika teams. Det ska vi göra eftersom det vi skriver i Teams sparas i programmet i en slags flödeshistorik och därför eventuellt kan ses som en allmän handling. Om du alltid utgår från att det som skrivs i Teams ska kunna läsas av andra så blir det enkelt att avgöra vad som är lämpligt att skrivas eller ej.

Scenario

Jag och min kollega som jobbar på en annan avdelning planerar en gemensam utflyktsdag och stämmer av några detaljer över teamschatten. Hur kan vi formulera oss?

Kom ihåg att beställa fläskfritt till Maged.
Thomas i min grupp kommer inte för han är hemma med magsjuka.
Vi behöver beställa glutenfritt bröd till fyra barn.
Informationen som ska skickas hem behöver översättas till sorani och skickas hem till Ali.
  1. FEL – känslig personuppgift kring kostvanor
  2. FEL – känslig personuppgift kring hälsa
  3. RÄTT – Här framgår det inte vilka barn som äter glutenfritt och det blir därmed inte en känslig uppgift att skicka.
  4. FEL – känslig personuppgift kring etniskt ursprung

Var lagras det du skriver?

Eftersom Teams är en del av Microsoft 365 så är utgångspunkten att det lagras på samma sätt, det vill säga i molnet. Vi ska alltså inte hantera sekretess och känsliga personuppgifter i Microsoft 365. All sådan information ska alltid lagras lokalt i våra ytor för konfidentiell information klass 2.

När du använder chatten i Teams så sparas det du skriver i Microsoft 365-molnet och du bör därför undvika att skriva om frågor som omfattas av sekretess eller känsliga personuppgifter. Om den typen av information ändå råkar förekomma så är det viktigt att du tar bort inläggen direkt efter, på samma sätt som vi hanterar e-post som skickas till oss och omfattas av sekretess eller känsliga personuppgifter.

Kan jag ångra eller ta bort något jag skrivit i en chatt eller inlägg i Teams?

Det går inte att ta bort hela chattar, inläggsflöden eller stänga av spara-funktionen för dessa flöden. Du kan däremot ta bort enskilda inlägg som du själv skrivit genom att högerklicka på det och välja att ta bort. Det är förstås också bra om du uppmärksammar de du chattar och konverserar med om du ser att någon har skrivit något som inte bör förekomma i dessa ytor. Men det bästa är så klart alltid att vi alla från början tänker till och inte skriver sådant som kan vara känsligt.

Sekretessuppgifter och teamsmöten

Om du behöver hålla i ett digitalt möte som omfattas av sekretess är det endast Teams i Office 365 som du får använda. Det finns flera saker du behöver ha i åtanke:

* Kan mötet skjutas upp eller ske över telefon istället?

* Mötet får inte på något sätt spelas in.

* Lämplig plats för Teams-möten, där känslig information behandlas, är en plats där du kan arbeta avskilt utan möjlighet för obehöriga att se vad som skrivs eller höra vad som sägs. Headset minskar risken för att någon hör vad som sägs.

Det är alltid en representant från oss på kommunen som skickar ut bokningslänk. Mötesinbjudan skickas till samtliga vårdnadshavare. På så sätt undviker vi att länken behöver vidarebefordras till annan person. 

* Informera deltagarna om den sekretess och tystnadsplikt som gäller under mötet. Berätta att chattfunktionen inte får användas för känsliga personuppgifter eller annan skyddsvärd information. Anteckningar förs på konfidentiell yta. Om man befinner sig utanför kommunens nätverk förs anteckningarna på papper eller i off-line-läge. 

* Har du möten med vårdnadshavare eller andra som du inte känner igen ska du be att personen/personerna legitimerar sig, till exempel genom att visa upp sin legitimation.

* Radera eventuella inlägg i chatten och be samtliga mötesdeltagare att göra detsamma.

Läs mer och ta del av anvisningarna och information till vårdnadshavare på Solsidan.