INFORMATIONSSÄKERHETSPOLICY

Transkript

1 INFORMATIONSSÄKERHETSPOLICY Inm Hälsinglands Utbildningsförbund ska varje behandling av persnuppgifter ske med hänsyn till den enskildes persnliga integritet ch rättssäkerhet. Ovanstående plicy är antagen av Hälsinglands Utbildningsförbunds direktin

2 Infrmatinssäkerhetsplicy - tillämpning Infrmatin är en av utbildningsförbundets viktigaste tillgångar ch hanteringen av den är en mycket viktig del i arbetet. Med infrmatinstillgångar avses all infrmatin avsett m den behandlas manuellt eller autmatiserat ch berende av dess frm eller miljön den förekmmer i. Infrmatinssäkerheten mfattar förbundets alla infrmatinstillgångar. Denna infrmatinssäkerhetsplicy gäller för infrmatinssäkerhet inm förbund, inklusive de blag, stiftelser ch eknmiska föreningar där förbundet utövar ett rättsligt bestämmande inflytande. Plicyn ska även tillämpas av dem sm har berenden till förbundets gemensamma infrmatinstillgångar. Infrmatinssäkerhet Med infrmatinssäkerhet avses att följande krav säkerställs ch upprätthålls: Knfidentialitet - att infrmatinen kan åtkmstbegränsas (benämndes tidigare sekretess) Riktighet - att infrmatinen ska vara tillförlitlig, krrekt ch fullständig Tillgänglighet - att infrmatinen ska kunna nyttjas efter behv, i förväntad utsträckning samt av rätt persn med rätt behörighet Spårbarhet - att specifika aktiviteter sm rör infrmatinen kan spåras Dataskydd för hantering av persnuppgifter Varje behandling av persnuppgifter ska ske med hänsyn till den enskildes persnliga integritet ch rättigheter. Varje behandling av persnuppgifter ska ske i enlighet med gällande lagstiftning Vid behandling av persnuppgifter ska följande grundläggande principer tillämpas: Behandlingen ska vara laglig, krrekt ch öppen gentemt den registrerade Ändamålsbegränsning - innan behandling påbörjas ska ett särskilt ch uttryckligt samt berättigat ändamål med behandlingen vara fastställt. Hantering utöver detta ändamål kan vara tillåtet då det kan vara förenligt med det ursprungliga ändamålet 2

3 Insamling av uppgifter - endast de uppgifter sm är adekvata ch relevanta för ändamålet får samlas in. Insamlingen får inte vara mer mfattande än nödvändigt - insamlade persnuppgifter ska vara krrekta ch uppdaterade Lagringsminimering - insamlade persnuppgifter får bara bevaras i identifierbar frm så länge det är nödvändigt för ändamålet Åtkmstbegränsning endast behöriga ska få åtkmst till persnuppgifter Integritet ch knfidentialitet lämpliga tekniska ch rganisatriska åtgärder baserade på infrmatinssäkerhetsklassningar ch riskanalyser ska skydda persnuppgifterna Ansvar - den persnuppgiftsansvarige ska kunna visa att behandlingen sker med följsamhet till principerna Verksamhet i förbundet ska vara representerat av ett dataskyddsmbud Vid varje behandling av persnuppgifter ska ett sådant förhållningssätt iakttas att risken för skada för den registrerade minimeras. Struktur I detta dkument, Infrmatinssäkerhetsplicy - tillämpning, fastställs synen på infrmatinssäkerhet, övergripande mål ch rganisatinens intentin med infrmatinssäkerhetsarbetet. I Riktlinjer för infrmatinssäkerhet beskrivs vad sm måste etableras för att uppfylla infrmatinssäkerhetsplicyn. Utifrån detta upprättas sedan instruktiner, sm detaljerat redgör för hur exempelvis rutiner ch säkerhetslösningar ska utfrmas ch tillämpas, för att infrmatinssäkerhetsplicyn ch riktlinjerna ska följas. Sammantaget är detta förbundets regelverk för infrmatinssäkerhet. Mål Förbundets infrmatinssäkerhetsarbete har sm mål: att infrmatinssäkerhet är en naturlig ch integrerad del i verksamheten, att kunskap finns m hur infrmatinssäkerheten säkerställs, att alla infrmatinstillgångar klassificeras, att htbilden mt infrmatinstillgångar frtlöpande analyseras, 3

4 att händelser sm kan leda till negativa knsekvenser förebyggs, ch att krishanteringsförmågan frtlöpande analyseras ch upprätthålls. Organisatin av infrmatinssäkerhetsarbetet Direktinen uttrycker sin viljeinriktning i denna plicy ch har det yttersta ansvaret för kmmunens infrmatinssäkerhetsarbete. Infrmatinssäkerhetssamrdnaren har det övergripande ch strategiska ansvaret att leda, utveckla ch samrdna infrmatinssäkerhetsarbetet. Infrmatinsägarna har det övergripande ch yttersta ansvaret för den infrmatin sm används av ett eller flera system. Infrmatinsägaren fattar avgörande beslut m hur, av vem ch vilken infrmatin sm får hanteras. Systemägarna har övergripande ansvar för respektive system ch dess användning. System ska uppfylla infrmatinssäkerhetskraven i förhållande till verksamhetens behv dess innehåll klassificeras. Systemförvaltarna har det funktinella (dagliga) helhetsansvaret för ett system. Systemförvaltaren fungerar i hög grad sm systemägarens utförare ch ser till att systemets funktinalitet samt planerade ch beslutade aktiviteter genmförs ch upprätthålls. De har även rllen sm registerförare. Alla sm hanterar infrmatinstillgångar har ett ansvar att infrmatinssäkerheten upprätthålls. Efterlevnad Förbundet ska följa lagar, författningar, avtalsförpliktelser, samt andra säkerhetskrav. Chefer inm förbundet ska säkerställa att alla säkerhetsrutiner inm deras respektive ansvarsmråde utförs krrekt för att uppnå efterlevnad av förbundets infrmatinssäkerhetsregelverk. Ytterligare infrmatin För vidare infrmatin se Riktlinjer för infrmatinssäkerhet 4

5 Riktlinje för hantering av persnuppgifter i Hälsinglands Utbildningsförbund Inledning Följande riktlinje syftar till att knkretisera plicyn för infrmatinssäkerhet samt ge vägledning ch råd vid hantering av persnuppgifter i Hälsinglands Utbildningsförbund. Riktlinjen, sm grundar sig på bestämmelserna i lagstiftningen ch kan kmma att justeras vid förändringar av gällande rätt, antas av förbundschef. Omfattning Denna riktlinje gäller för Hälsinglands Utbildningsförbunds hela verksamhet samt i förekmmande fall i styrelser i sådana rganisatiner där förbundet har det rättsligt bestämmande inflytandet. Riktlinjen avser hantering av persnuppgifter sm helt eller delvis företas på autmatisk väg samt på annan än autmatisk behandling av persnuppgifter sm ingår eller kmmer att ingå i ett register. Med ett register avses en strukturerad samling uppgifter sm är tillgängliga för sökning eller sammanställda enligt särskilda kriterier. Bakgrund Från ch med den 25 maj 2018 gäller EU:s dataskyddsförrdning (679/2016) för hantering av persnuppgifter. Förrdningen ersätter persnuppgiftslagen, PuL (1998:204). Förrdningen behöver inte implementeras i svensk rätt genm svensk lag utan är direkt tillämplig. Genm den nya lagstiftningen ska den tillit sm behövs för att utveckla den digitala eknmin över hela den inre marknaden uppnås. Det är av str vikt att fysiska persner har kntrll över sina egna persnuppgifter. Målet med dataskyddsförrdningen anges vara att stärka ch harmnisera den rättsliga säkerheten ch smidigheten för fysiska persner, eknmiska peratörer ch myndigheter i uninen. Övergångsregler All pågående behandling ska vara anpassad till förrdningen den 25 maj Om pågående behandling grundar sig på samtycke enligt direktiv 95/46/EG, är det inte nödvändigt att den registrerade på nytt ger sitt samtycke för att den persnuppgiftsansvarige ska kunna frtsätta med behandlingen i fråga efter det att denna förrdning börjar tillämpas, m det sätt på vilket samtycket gavs överensstämmer med villkren i denna förrdning. Beslut av kmmissinen sm 5

6 antagits ch tillstånd från tillsynsmyndigheterna sm utfärdats på grundval av direktiv 95/46/EG ska frtsatt vara giltiga tills de ändras, ersätts eller upphävs. Materiellt tillämpningsmråde Förrdningen ska tillämpas på all hantering av persnuppgifter sm helt eller delvis företas på autmatisk väg samt på annan än autmatisk behandling av persnuppgifter sm ingår eller kmmer att ingå i ett register. Persnuppgiftsansvar Samtliga nämnder samt styrelser i sådana rganisatiner där xx kmmun/förbund har det rättsligt bestämmande inflytandet, är persnuppgiftsansvariga för sina respektive verksamhetsmråden. Ansvaret innebär en yttersta skyldighet att se till att gällande lagstiftning följs genm att bl.a. Fastställa ändamål ch syfte med behandling av persnuppgifter, innan behandling påbörjas. Utse dataskyddsmbud sm har förutsättningar för uppdraget ch har nödvändig kunskap för att fullgöra sitt uppdrag. Säkerställa att det finns tekniska ch rganisatriska förutsättningar att behandla persnuppgifter med nödvändig säkerhet. Kunna visa att kraven i lagstiftningen är uppfyllda genm nggrann dkumentatin samt verifierande tester. Föra register över behandlingar av persnuppgifter. Laglig behandling av persnuppgifter Persnuppgifter får endast behandlas m det finns laglig grund för behandlingen. Den lagliga grunden ska fastställas innan behandling påbörjas enligt någn av nedan punkter: Samtycke ska vara infrmerat, frivilligt ch specifikt samt kunna visas. Behandlingen är nödvändig för att fullgöra ett avtal. Behandlingen är nödvändig för att fullgöra en rättslig förpliktelse sm den persnuppgiftsansvarige har. Behandlingen är nödvändig för att skydda ett grundläggande intresse för den registrerade eller annan fysisk persn 6

7 Behandlingen är nödvändig för att utföra uppgift av allmänt intresse eller sm ett led i den persnuppgiftsansvariges myndighetsutövning. Innan behandling av persnuppgifter påbörjas krävs följande: 1. Dkumentera ändamål ch syfte samt under hur lång tid behandlingen beräknas pågå. 2. Fastställ rättslig grund. 3. Inhämta samtycke vid behv. 4. Säkerställ att behandlingen sker i enlighet med de grundläggande principerna ch denna plicy ch riktlinje. 5. Vid behv, rådgör med dataskyddsmbudet. 6. Klassificera persnuppgifterna utifrån infrmatinssäkerhetsnivå ch genmföra en riskanalys av den planerade behandlingen. Dataskyddsmbudet ska invlveras i riskanalysen. 7. Samråd med tillsynsmyndighet m hög risk inte kan åtgärdas inför behandling av persnuppgifter. 8. Se till att det finns tillräckliga tekniska ch rganisatriska säkerhetsåtgärder utifrån genmförd infrmatinssäkerhetsklassning ch resultat från riskanalys. 9. Klargör m, ch i så fall vilken, kmmunikatin med den registrerade sm är nödvändigt. 10. Upprätta persnuppgiftsbiträdesavtal vid behv. 11. Se till att dataskyddsmbudet gdkänner behandlingen. 12. Anteckna ny behandling av persnuppgifter i det system sm kmmunen/förbundet använder. Säkerhet Behandling av persnuppgifter får ske m lämplig teknisk ch rganisatrisk säkerhet vidtagits för behandlingen. Säkerheten ska baseras på genmförda infrmatinssäkerhetsklassningar ch riskanalyser. Säkerhet utgörs av: Inbyggt dataskydd ch dataskydd sm standard vilket för persnuppgiftshanteringen bl.a. innebär: 7

8 att säkerställandet av persnuppgiftshanteringen ska finnas med redan från den initiala planeringen ch täcka såväl tekniska sm rganisatriska åtgärder. säkerställa att xx kmmunen/förbundet grundsäkerhetsnivå för infrmatinssäkerhet föreligger samt m möjligt använda åtgärder sm pseudnymisering, annymisering eller kryptering. säkerställa att xx kmmunen/förbundet förhöjda säkerhetsnivå för infrmatinssäkerhet föreligger avseende särskilda persnuppgifters knfidentialitet ch riktighet vilket för elektrnisk hantering bl.a. innebär att använda kryptering samt stark autentisering mtsvarande tillitsnivå 3 för e- legitimatin. använda åtgärder sm uppgiftsminimering, lagringsminimering, fritextfältsminimering ch åtkmstbegränsning. Införande ch tillämpning av rutiner för att: Kntinuerligt testa, undersöka ch visa på effektiviteten av införda säkerhetsåtgärder. Anmäla persnuppgiftsincident till tillsynsmyndighet. Vid behv kunna ge incidentinfrmatin till berörda registrerade. Vid behv kunna invlvera ch rådgöra med dataskyddsmbudet. Persnuppgiftsbiträde Den sm behandlar persnuppgifter på uppdrag av annan persnuppgiftsansvarig blir persnuppgiftsbiträde i förhållande till den persnuppgiftsansvarige. Vid anlitandet av ett persnuppgiftsbiträde ska säkerställas att denne kan ge tillräckliga garantier m att upprätthålla lämplig teknisk ch rganisatrisk säkerhet i enlighet med gällande rätt. Persnuppgiftsbiträdesavtal Persnuppgiftsbiträdets (biträdet) behandling av persnuppgifter ska regleras av persnuppgiftsbiträdesavtal mellan biträdet ch den persnuppgiftsansvarige (ansvarige). I avtalet ska anges: Vem sm är persnuppgiftsansvarig respektive persnuppgiftsbiträde. Vad behandlingen avser, dess varaktighet, art, ändamål, typ av persnuppgifter samt kategri av registrerade. 8

9 Den ansvariges skyldigheter ch rättigheter. Att biträdet endast får behandla persnuppgifter i enlighet med den ansvariges instruktin. Att biträdet iakttar nödvändig knfidentialitet ch tystnadsplikt. Att biträdet vidtar alla lämpliga tekniska ch rganisatriska åtgärder för att säkerställa adekvat skydd för persnuppgifterna samt att detta kan visas genm att ge ansvarige tillgång till vederbörlig infrmatin. Att biträdet ska bistå den ansvarige i att uppfylla sina förpliktelser enligt förrdningen. Att biträdet inte får anlita underleverantör för behandling av den ansvariges persnuppgifter utan den ansvariges skriftliga medgivande till detta. Om biträdet anlitar underleverantör ska persnuppgiftsbiträdesavtal upprättas även mellan dessa parter. Att överföring till tredje land inte får ske utan att adekvata säkerhetsåtgärder är uppfyllda. Reglering m inm vilken tid radering eller överflyttning av persnuppgifter sker vid avtals upphörande. Register över behandling Varje persnuppgiftsansvarig ska föra ett register över behandling sm utförs under dess ansvar. Registret ska minst innehålla: Namn ch kntaktuppgifter till den persnuppgiftsansvarige samt dataskyddsmbudet. Ändamålet med behandlingen. Laglig grund. Kategri av registrerade, persnuppgifter samt behandlingar. Mttagare av persnuppgifter, i förekmmande fall. Eventuell överföring till tredje land med tillhörande säkerhetsåtgärder. Uppskattad tidsfrist för radering. 9

10 Beskrivning av tekniska ch rganisatriska säkerhetsåtgärder för behandlingen m inte detta hindras av exempelvis sekretessbestämmelser. Dataskyddsmbud Den persnuppgiftsansvarige ska utse ett dataskyddsmbud att representera den ansvariges verksamhet. Det kan vara en persn för flera verksamheter ch det kan vara en anställd eller extern knsult. Dataskyddsmbudet ska utses på grundval av sina yrkesmässiga kvalifikatiner ch i synnerhet sakkunskap m lagstiftning ch praxis avseende dataskydd. Dataskyddsmbudet ska anmälas till tillsynsmyndigheten. Dataskyddsmbudet ska minst ha följande uppgifter: Infrmera ch ge råd till den persnuppgiftsansvarige ch anställda m skyldigheterna enligt dataskyddsförrdningen. Övervaka efterlevnad av förrdningen avseende fungerande rutiner ch åtgärder, ansvarstilldelning, infrmatin, utbildning ch granskning. Ge råd vid riskanalysen. Samarbeta med tillsynsmyndigheten. Vara kntaktpunkt för tillsynsmyndigheten i alla frågr sm rör behandling av persnuppgifter. Vara kntaktpersn till den registrerade. Delta i frågr sm rör skyddet av persnuppgifter. Får även ha andra uppgifter m dessa inte leder till intresseknflikt. Den persnuppgiftsansvarige ska säkerställa att dataskyddsmbudet: På ett krrekt sätt ch i gd tid deltar i alla frågr sm rör skyddet av persnuppgifter. Tillhandahålls de resurser ch det stöd sm krävs för att fullgöra sina uppgifter. Upprätthålla mbudets sakkunskap. Inte blir föremål för sanktiner eller avsätts på grund av att mbudet utför sitt uppdrag. Inte bli föremål för tillbörlig påverkan i utövande av sitt uppdrag. 10

11 Rapprterar direkt till den persnuppgiftsansvarige eller dennes högsta förvaltningsnivå. 11