Stadsrevisionen, Göteborgs Stad. Granskning av personuppgiftshantering och ITsäkerhet. Granskningsrapport. KPMG AB Antal sidor: 49

Transkript

1 Stadsrevisionen, Göteborgs Stad Granskning av personuppgiftshantering och ITsäkerhet i skolans IT-system Granskningsrapport KPMG AB Antal sidor: 49

2 Innehåll 1. Sammanfattning 2 2. Inledning Bakgrund Syfte och revisionsfrågor Avgränsning Ansvarig nämnd Revisionskriterier Metod 7 3. Resultat Styrande dokument inom Göteborgs Stad Personuppgiftshantering IT-säkerhet Elever med skyddad identitet Kommungemensamma interna tjänster Google Apps for Education (GAFE) Gymnasieelevregister på Data (Gerda) Hjärntorget NovaSchem Procapita Profdoc Medical Office (PMO) Avtal molntjänstleverantör Google Resultat Nämnden för Intraservice Personuppgiftshantering IT-säkerhet Process för upphandling av nya system Elever med skyddad identitet Resultat utbildningsnämnden och stadsdelsnämnder Utbildningsnämnden Stadsdelsnämnden Lundby Stadsdelsnämnden Västra Göteborg Stadsdelsnämnden Västra Hisingen Stadsdelsnämnden Örgryte-Härlanda Sammanfattande bedömningar och iakttagelser Analys Personuppgiftshantering IT-säkerhet Elever med skyddad identitet Avtal Google Revisionsområden Iakttagelser 40 1

3 1. Sammanfattning KPMG har på uppdrag av Stadsrevisionen i Göteborgs Stad genomfört en granskning av personuppgiftshantering och IT-säkerhet i skolans IT-system. Granskningens övergripande syfte har varit att bedöma säkerheten avseende personuppgiftshanteringen i de IT-system som används i skolverksamheten. Områden som inkluderats har varit risker för obehörig åtkomst, efterlevnad av personuppgiftslagen, skugg-it och avtal med Google för tjänsten Google Apps For Education. Revisionsfrågorna har ytterligare inkluderat risk för otillåten spridning, hantering av personuppgifter i molnbaserade system och systemmässig hantering av elever med skyddad identitet. Granskningen har genomförts med utgångspunkt i relevanta lagar, stödjande material från myndigheter och Göteborg Stads policys, regler och riktlinjer. Individer som involverats i granskningen har funnits både på förvaltningscentral nivå samt i skolverksamheten. Granskningen har utförts genom intervjuer, dokumentgranskningar samt systemgranskningar. Följande enheter har inkluderats: Grundskolor: Jättestensskolan (F-9) Kålltorpsskolan (4-9) Lundenskolan (F-9) Nya Påvelundsskolan (7-9) Santosskolan (7-9) Toleredsskolan (F-9) Gymnasieskolor: Hvitfeldska gymnasiet område 2 Estetiska programmet musik Lindholmens tekniska gymnasium område teknikprogrammet Schillerska gymnasiet område 1 estetiska programmet och ekonomiprogrammet Resultatet av granskningen visar på att det finns ett antal framtagna styrande dokument inom staden som behandlar personuppgiftshantering, ansvar, IT-säkerhet och hantering av elever med skyddad identitet. Dessa ger en tydlig grund i vilka riktlinjer som gäller på kommunnivå. Resultatet från granskningen av enheterna visar på att de kommungemensamma riktlinjerna inte alltid blivit fullt ut etablerade i verksamheten. Vi bedömer att ansvar och roller för personuppgiftshantering endast är delvis tydliggjort i verksamheten. För vissa enheter finns en låg kännedom om personuppgiftsbegreppet och om vilka riktlinjer som finns. Det saknas en fullständig kartläggning över vilka system som hanterar personuppgifter som används i skolverksamheten för merparten av skolorna och stadsdelsförvaltningarna/utbildningsförvaltningen. Bristande kartläggning innebär att det finns en risk att system används som inte uppfyller regler och riktlinjer för personuppgiftshantering vilket kan medföra en risk att personuppgiftslagen inte efterlevs. Det saknas enhetliga rutiner för anskaffning av nya system och vilka kontroller som ska utföras med bäring på säker personuppgiftshantering. IT-säkerhet i kommungemensamma system säkerställs genom etablerade processer för åtkomsthantering. Behörighetsadministrativa rutiner utförs för vissa system på SDN/UBN och för vissa system på skolorna. Det har i granskningen framkommit att det finns brister i rutiner för att periodiskt säkerställa att användare i systemen är korrekta. Kontrollen för periodisk genomgång av användarkonton saknas för ett antal skolor. Elever med skyddad identitet hanteras generellt inte i systemen och i det fall det önskas av elever och vårdnadshavare så används pseudonymkonton. Göteborgs Stad har slutit ett avtal med Google avseende molntjänsten Google Apps for Education (GAFE). Inför att avtalet färdigställdes genomförde Göteborgs Stad ett antal genomgångar för att 2

4 säkerställa att avtalet efterlevde svensk lagstiftning avseende personuppgiftshantering. KPMG har granskat avtalet och de händelser som skett inom området efter att avtalet slöts. I och med upphörandet av Safe Harbor finns ett antal aktiviteter som SKL och Datainspektionen rekommenderar. Mot bakgrund av genomförd granskning samt det aktuella rättsläget kan vi konstatera att det finns en risk att användningen av tjänsten GAFE medför att personuppgiftslagen inte efterlevs. Ur ett praktiskt perspektiv kan vi inte uttala oss då efterlevnaden av personuppgiftslagen och säkerställande av skydd av personuppgifter inte har prövats i praktiken av Göteborgs stad, följt av ett oklart rättsläge inom EG-rätten vad gäller överföring av personuppgifter till USA. Vad gäller uppföljning av underleverantörer till personuppgiftsbiträdet Google, saknas tillräcklig information. Därmed bedömer vi att det finns brister i kommunstyrelsens kontroll och uppföljning av underleverantörer. Vid granskningen har ett antal brister noterats varför vi anser att följande förbättringsåtgärder ska beaktas av utbildningsnämnden och respektive granskad stadsdelsnämnd: 1. Att säkerställa att ansvar för personuppgiftshantering kommuniceras ner i verksamheten på ett tydligt sätt, både inom UBN/SDN men även ut på skolnivå. 2. Att säkerställa att kartläggning av samtliga personuppgiftsbehandlingar (system som behandlar personuppgifter) utförs och kontinuerligt revideras. Det bör klargöras att samtliga system som utför personuppgiftsbehandlingar efterlever kravställningar enligt PUL. 3. Att en tydlig vägledning och riktlinje för process för inköp av nya system inklusive molnlösningar implementeras inom skolverksamheten. Riktlinjerna bör utföras för att stödja skolverksamheten i vilka steg och analyser som ska genomföras av en ny systemlösning med bäring på efterlevnad av PUL, inför att den kan börja användas. 4. Att säkerställa och följa upp att periodisk genomgång utförs av samtliga användare, framförallt administrativa användare, i system som hanterar personuppgifter. Vi lämnar ytterligare följande förbättringsområden till kommunstyrelsen: 5. Att kommunstyrelsen mot bakgrund av upphävandet av Safe Harbor principerna följer SKL:s och Datainspektionens rekommendationer (se avsnitt 3.3). 6. Att kommunstyrelsen snarast har en avstämning med personuppgiftsbiträdet Google i syfte att få formellt bekräftat att Standardavtalsklausuler i enlighet med EG-rätten har trätt i kraft samt på vilket sätt de säkerställer ett adekvat skydd för personuppgifter. 7. Att kommunstyrelsen säkerställer att en adekvat detaljerad lista över samtliga underleverantörer till Google erhålls och att en kontinuerlig och systematisk uppföljning av personuppgiftsbiträdets underleverantörer genomförs. 3

5 2. Inledning 2.1 Bakgrund På uppdrag av Göteborgs Stadsrevision har KPMG genomfört en granskning av personuppgiftshantering och IT-säkerheten i skolverksamheten inom Göteborgs Stad. Inom skolan i Göteborgs Stad används flertalet IT-system, inklusive molnlösningar. I många av dessa system sker behandling av personuppgifter. Det är väsentligt ur både juridiskt- och integritetsperspektiv att personuppgifterna hanteras korrekt och inte sprids på ett okontrollerat sätt i skolans IT-system. 2.2 Syfte och revisionsfrågor Syftet med granskningen är att bedöma säkerheten avseende personuppgiftshanteringen i de ITsystem som används i skolverksamheten. För att uppnå syftet har en bedömning gjorts avseende risken för att obehöriga, lärare och elever, ges åtkomst till personuppgifter. Bedömningen baseras på både systemens tekniska säkerhet samt användarnas åtkomst till personuppgifter. Därutöver granskas skolans hantering av personuppgifter i förhållande till personuppgiftlagen för att bedöma om skolverksamheten i Göteborgs Stad hanterar personuppgifter i enlighet med personuppgiftslagens krav. Granskningen inkluderar även eventuell förekomst av skugg-it som används i skolan. Med skugg- IT avses IT-tjänster eller hårdvara som används i verksamheten utan godkännande från Göteborgs Stad, ansvarig nämnd eller förvaltning. Avtal med externa leverantörer av IT-tjänster, såsom Google, granskas med bäring på ifall avtal motsvarar de krav som bör ställas mot bakgrund av granskningens syfte. Det inkluderas ytterligare eventuella webbsidor som hanterar personuppgifter som tagits fram som en del av skolarbeten. Granskningen skall besvara följande revisionsfrågor: Finns det en risk att personuppgifter kan spridas på ett oönskat sätt via de IT-system som skolan använder i sin verksamhet? Förekommer skugg-it på skolorna och hur hanteras i så fall risken att personuppgifter sprids via skugg-it? Hanteras eller tillgängliggörs personuppgifter via öppna nät som internet, till exempel via en webbsida eller genom e-post? Sker det i så fall i enlighet med personuppgiftslagens krav? Hanteras personuppgifter i molnbaserade system och hanteras de i så fall på ett säkert sätt och i enlighet med personuppgiftslagens krav? Vilka eventuella molnbaserade IT-system förekommer utöver Googles? Om det förekommer, är detta i så fall förenligt med stadens riktlinjer och har skolan säkerställt att dessa system ej används på ett sätt som står i konflikt med personuppgiftslagens krav. 4

6 Om det finns elever med skyddad identitet, finns en risk att dessa elevers identitet röjs till följd av bristande kontroll över de IT-system som förekommer i skolan? Vidtas i förekommande fall några särskilda åtgärder för att skydda dessa elevers personuppgifter? 2.3 Avgränsning Den tekniska säkerheten avseende IT-systemen i skolan inkluderar inte, i föreliggande granskning, den externa risken för intrång av obehöriga utanför skolan. Det är endast den interna risken som bedöms, avseende om personal eller elever har möjlighet att sprida personuppgifter på ett sätt som inte är lämpligt eller direkt motstrider personuppgiftslagen till följd av säkerhetsbrister i ITsystemen. Granskningen av skugg-it avgränsades till att inkludera skugg-it i form av användandet av molntjänster där någon form av personuppgiftsrelaterad information hanteras. Detta avgränsas till huruvida icke upphandlade tjänster används. Det genomförs ingen ytterligare granskning av den tekniska säkerheten i skugg-it lösningar utan fokus avser besvara den huvudsakliga frågan kring huruvida det finns en risk att personuppgifter sprids på ett otillåtet sätt. Granskningen genomförs både på skolnivå och på förvaltningscentral nivå. Ett urval av vilka skolor som ska ingå i granskningen är genomfört av Stadsrevisionen i Göteborgs Stad. Sammanlagt inkluderas tre gymnasieskolor och sex grundskolor och samtliga nio skolor presenteras nedan. Grundskolor: Jättestensskolan (F-9) Kålltorpsskolan (4-9) Lundenskolan (F-9) Nya Påvelundsskolan (7-9) Santosskolan (7-9) Toleredsskolan (F-9) Gymnasieskolor: Hvitfeldska gymnasiet område 2 Estetiska programmet musik Lindholmens tekniska gymnasium område teknikprogrammet Schillerska gymnasiet område 1 estetiska programmet och ekonomiprogrammet 2.4 Ansvarig nämnd Kommunstyrelsen har det övergripande ansvaret för avtalet gentemot Google, ansvaret för gymnasieskolorna finns på utbildningsnämnden (UBN) och för grundskolorna på varje stadsdelsnämnd (SDN) som de tillhör. Därutöver har Nämnden för Intraservice (Intraservice) ansvaret att leverera, driva, utveckla och följa upp arbetet med de kommungemensamma ITsystemen. Intraservice uppdrag omfattar i vissa fall även andra applikationer i skolan. 2.5 Revisionskriterier Med revisionskriterier avses de bedömningsgrunder som bildar underlag för granskningens analyser och bedömningar. Kriterierna utgör regler och skyldigheter som gäller eller lämplig hantering och skydd av personuppgifter samt hanteringen av integritetsfrågor. Revisionskriterier i granskningen har främst utgjorts av: Personuppgiftslagen 1998:204. Personuppgiftslagen 9 som anger att personuppgifter som behandlas är adekvata och relevanta i förhållande till ändamålen med behandlingen, att inte 5

7 fler personuppgifter behandlas än vad som är nödvändigt, att personuppgifter är riktiga, aktuella samt inte bevaras längre tid än nödvändigt. Ytterligare 10 som anger att personuppgifter enbart får behandlas om den registrerade har lämnat sitt samtycke till behandlingen eller om behandlingen är nödvändig för att (d) en arbetsuppgift av allmänt intresse ska kunna utföras. Att tillägga 30 som tydliggör att personuppgiftsbiträde endast för behandla personuppgifter i enlighet med instruktioner från den personuppgiftsansvarige och att detta ska tydliggöras i ett skriftligt avtal mellan personuppgiftsbiträdet och personuppgiftsansvarig. Kommunallagen 1991:900. Kommunallagen 6 kap. 7 som anger att nämnderna skall var och en inom sitt område se till att verksamheten bedrivs i enlighet med de mål och riktlinjer som kommunfullmäktige har bestämt samt de föreskrifter som gäller för verksamheten. De skall också se till att den interna kontrollen är tillräcklig samt att verksamheten bedrivs på ett i övrigt tillfredsställande sätt. Göteborg Stads regler och riktlinjer för kommungemensamma interna tjänster Göteborg Stads policys och riktlinjer för informationssäkerhet Vägledningar från Datainspektionen avseende hantering av personuppgifter. o o Dessa inkluderar Checklista för skolor som beskriver att det är skolans huvudman, exempelvis en kommunal nämnd som har det yttersta ansvaret enligt personuppgiftslagen för hur personuppgifter behandlas. Därmed är det ett antal områden som ska tas i beaktande för skolorna, där inkluderas fritextfält, frånvaroorsak, säkerhet vid inloggning via internet, avtal med systemleverantörer, hur länge uppgifter får sparas, vad för information skolan registrerar, behörigheter inom skolhälsovården. Skyddade personuppgifter i skolan tydliggör att det ska finnas regler och rutiner för elever med skyddade personuppgifter. Det ska utföras en riskbedömning från fall till fall kring vad som ska registreras. Det ska endast registreras en begränsad mängd med uppgifter, åtkomst ska vara begränsad i systemet, det ska tydlig framgå när uppgifter är skyddade, spridning ska undvikas i IT system och hög säkerhetsnivå ska vinnas. Åtkomsten ska vara spårbar och personalen ska kontinuerligt utbildas. o Personuppgiftslagen och molntjänster i skolan påvisar att skolans huvudman är ansvarig för hanteringen av personuppgifter i en molntjänst vilket i praktiken innebär den ansvariga nämnden. Den personuppgiftsansvarige har ett skadeståndssanktionerat ansvar för att all hantering av personuppgifter är tillåtet enligt personuppgiftslagen. Vägledningen tydliggör att alltså när en enskild lärare väljer att använda en molntjänst som ett pedagogiskt verktyg så är det huvudmannen som ansvarar för att hanteringen av personuppgifter är laglig. Vägledningen beskriver att biträdesavtal måste tecknas med molntjänstleverantören. Det är huvudman som enligt lag är skyldig att teckna personuppgiftsbiträdesavtal som reglerar behandlingen av personuppgifter. Ifall överföring av personuppgifter sker till länder utanför EU/EES-området måste det kontrolleras att detta görs på lagligt sätt. Utöver att teckna 6

8 personuppgiftsbiträdesavtal har skolans huvudman ansvar för att genomföra en grundlig riskanalys för att bedöma om det är möjligt att anlita en molntjänstleverantör. Skolverkets stödmaterial avseende personuppgiftshantering. Personuppgiftslagen i skolan som tydliggör att varje skola måste inventera sina system och kartlägga vart personuppgifter finns. Detta ska inkludera även lärares egna register på privata hemdatorer. Skolan måste ha tydliga riktlinjer för vad som får skrivas i de digitala plattformarna som hanterar elevuppgifter, framförallt ifall de inkluderar fritextfält. Ytterligare är det av vikt att företag som tillhandahåller skolans IT-system följer reglerna. Sveriges kommuner och landsting dokumentation avseende molntjänster. Detta inkluderar vägledning om molntjänster i skolan som beskriver att vid användandet av en molntjänst så är det molntjänstleverantören som behandlar personuppgifter. Detta medför att vid ingång av avtal så måste en laglighetsbedömning utföras kring ifall molntjänsten efterlever kraven i PUL, risk-och sårbarhetsanalys ska utföras med fokus på personuppgiftsbehandlingen. Vägledningen tydliggör att skolverksamheten ofta använder molntjänster för icke-känslig information men att det därmed är viktigt att instruera och informera användare i hur tjänsten ska användas. Nämndreglementet gällande Nämnden för Intraservice 2.6 Metod Granskningen har utförts genom genomgång av relevant dokumentation, systemgranskning samt intervjuer. Vi har tagit del av styrande dokumentation samt eventuella vägledningar och blanketter som enheterna skapat (se Bilaga 1). Intervjuer har genomförts med utvalda relevanta anställda inom stadsdelsförvaltningar (SDF), utbildningsförvaltningen (UBF), Nämnden för Intraservice samt skolorna (se Bilaga 2). Vidare har systemgranskning samt systemutdrag i form av bland annat användarlistor från väsentliga system granskats. 7

9 3. Resultat 3.1 Styrande dokument inom Göteborgs Stad Personuppgiftshantering Det finns styrande dokumentation från Göteborgs Stad avseende personuppgiftshantering ( Policy och riktlinjer för tillämpning av personuppgiftslagen vid Göteborgs Stads förvaltningar och bolag, antagen av kommunstyrelsen ). I dokumentationen beskrivs vad som avses med personuppgifter och att all automatiserad behandling av personuppgifter i Göteborgs Stad skall efterleva personuppgiftslagen (1998:204) som reglerar behandling av personuppgifter. Om behandling av personuppgifter överlåts till en tredje part skall ett personuppgiftsbiträdesavtal upprättas. Avseende personuppgiftsansvaret framgår att varje nämnd är personuppgiftsansvarig för sitt verksamhetsområde. Nämnden skall säkerställa att personuppgiftslagen efterlevs genom att se till att det finns administrativa, tekniska och organisatoriska rutiner gällande personuppgiftshantering. Nämndens ansvar inkluderar även att fastställa ändamål och syfte med varje behandling av personuppgifter. Nämnden bör utse ett personuppgiftsombud som har i uppgift att säkerställa att personuppgifter behandlas på ett korrekt sätt, bistå med utbildningar och information samt hjälpa till att vidta rättelse om det finns anledning att misstänka felaktig behandling. Det är nämndens ansvar att tillräcklig kunskap avseende personuppgiftshantering finns hos personalen. Nämnden ansvarar även för att det finns en förteckning över vilka behandlingar som sker avseende personuppgifter inom deras verksamhetsområde. Personuppgifter som direkt pekar ut en person får inte publiceras på internet utan samtycke. När det gäller social media ansvarar nämnden för att inga kränkande uppgifter existerar. Ansvaret sträcker sig även till kommentarer som registreras av andra användare på sociala medier. Nämnden ansvarar även för att särskilda rutiner upprättas för information och samtycke till de berörda. Generellt sett ska gallring av personuppgifter ske när det inte längre finns någon anledning att bevara uppgifterna. Men det ska finnas bestämmelser hos nämnden kring hur länge personuppgifter skall bevaras samt hur arkivering och gallring skall ske IT-säkerhet Det finns riktlinjer som beskriver hur all information inom Göteborgs Stad ska uppnå den nivå av säkerhet som är lämplig i förhållande till den aktuella informationen som avses ( Riktlinje för informationssäkerhet, beslutad av kommunfullmäktige, senast uppdaterad ). Lämpligheten avgörs av informationsägaren. Inom Göteborgs Stad används en informationssäkerhetsklassning som består av tre nivåer, 0 till 2. På nivå 0 finns det inga restriktioner, på nivå 1 ökar restriktionerna och på nivå 2 är säkerheten som högst. Avseende molntjänster finns det råd för hur verksamheter bör agera vid flytt av tjänster till molnet samt tekniska rekommendationer avseende säkerhet för olika molntjänster ( Råd för säkerhet i molntjänster, dokumentansvarig Informationssäkerhetschef, fastställd ). Råden inkluderar vad som borde beaktas inför att en molntjänst skall börja nyttjas och råd kring hantering av allmänna handlingar gällande bland annat gallring. Råden inkluderar ytterligare att offentlighetsoch sekretesslagen efterlevs avseende exempelvis sekretessprövning av både leverantör och dess underleverantör ska utföras ifall molntjänstleverantören skall bearbeta eller lagra data. En 8

10 sekretessprövning innebär att pröva om det är tillåtet att lämna ut data till leverantören samt vilka eventuella konsekvenser ett utelämnande skulle få. Det framgår även råd kring att beakta leverantörens villkor och säkerställa att de överensstämmer med verksamheten och informationsägarens krav och behov. Dokumentet definierar även säkerhetskrav för molntjänster baserat på vilken säkerhetsklass informationen som hanteras tillhör, samt säkerhetskrav för molntjänster som hanterar information med personuppgifter. För medarbetarna i Göteborgs Stad erbjuds en webbaserad utbildning i informationssäkerhet. Utbildningen är baseras på en utbildning från Myndigheten för Samhällsskydd och Beredskap (MSB) men vissa anpassningar är genomförda för att passa Göteborg Stads riktlinjer och policys. Det finns även en variant av utbildningen som riktar sig till skolornas elever. Det finns regler avseende användningen av e-post i Göteborgs Stad där det framgår att varje förvaltning ska säkerställa att allmänna handlingar som inkommer via e-post handläggs korrekt exempelvis när det avser informationsklassificering ( Regler för användande av e-post i Göteborgs Stad, beslutad av kommunfullmäktige, fastställd ). Användarna av Göteborgs Stads e- post ansvarar för att skydda sitt lösenord och nyttja lösenord som inte går att gissa sig till. Det framgår även att användarna skall kryptera sekretessbelagd information som översänds via e-post. Användare av Göteborgs Stads IT-resurser har även, enligt regler utfärdade av Göteborgs Stad, ett personligt ansvar att hålla sig informerad om regler och rutiner i frågan, efterleva säkerhetsrutiner och regelverk, skydda lösenord och konstruera lösenord som är komplexa ( Regler för ITanvändare i Göteborgs Stad, beslutad av kommunfullmäktige, fastställd ). I råd som dokumenterats till IT-användare i Göteborgs Stad rekommenderas användare bland annat att byta lösenord ofta, vårda sitt lösenord, agera aktsamt på internet och inte eftersträva högre behörighet än vad som krävs för att utföra sina arbetsuppgifter ( Råd till IT-användare, dokumentansvarig Informationssäkerhetschef, fastställd ) Elever med skyddad identitet Det finns dokumenterade råd avseende hanteringen av skyddade personuppgifter ( Råd för hantering av skyddade personuppgifter, dokumentansvarig Förste stadsjurist, fastställd ). Råden inkluderar hur man i verksamheter, exempelvis skolan, bör hantera skyddade personuppgifter i det dagliga arbetet. Dokumentet syftar till att underlätta en säker hantering, minimera risken för oavsiktlig spridning av personuppgifter samt bidra till likabehandlingsprincipen. I dokumentet finns övergripande råd, vad som skall beaktas när anvisningar och rutiner gällande skyddade personuppgifter utformas samt vad som är bra att tänka på vid utveckling och utformning av IT-stöd. I råden framgår att endast personuppgifter som är relevanta skall samlas in och hanteras i systemet. Ändamålet för behandlingen av personuppgifter skall beslutas i förväg och tillgången till personuppgifterna skall begränsas utefter ändamålet. Begränsningen kan ske direkt i systemet eller genom behörighetsstyrning och eventuellt kryptering. Vid utveckling av system skall hanteringen av personuppgifter beaktas. Befolkningsregistret Västfolket skall användas som befolkningsregister för Göteborg Stads IT-stöd. Antalet användare med behörighet till skyddade personuppgifter bör vara begränsat i så stor utsträckning som möjligt och det ska finnas rutiner för hur hanteringen går till om dessa personer ej är tillgängliga. Det ska tydligt framgå i samtliga system där skyddade personuppgifter registrerats att de är skyddade, både på skärm och vid utskrift. Möjlighet ska finnas att avskilja data för gallring och arkivering samt anonymisering eller bortval 9

11 vid utskrift av rapporter eller statistik i IT-systemen. Det ska finnas loggning av samtliga utförda transaktioner i ett system för att skapa spårbarhet avseende vem som tagit del av de skyddade personuppgifterna. 3.2 Kommungemensamma interna tjänster Kapitlet inkluderar presentationer av de kommungemensamma interna tjänster som hanterar personuppgifter i skolverksamheten. För att se vilka personuppgifter varje enskilt system hanterar se Bilaga Google Apps for Education (GAFE) Google Apps for Education är en molntjänst som levereras av Google. Avtalet mellan Google och Göteborgs Stad inkluderar ett visst antal tjänster. Systemet började nyttjas i skolverksamheten under hösten GAFE är fortfarande i uppstart och ännu inte implementerat på samtliga skolor i Göteborg Stad. GAFE används som ett produktions- och samarbetsverktyg för skolverksamheten i Göteborg Stad. Elever och lärare använder GAFE för kommunikation, lagring, redigering och delning av pedagogiskt arbetsmaterial. Således skall inga känsliga uppgifter registreras i GAFE. Det krävs ingen koppling till Göteborgs Stads nätverk för att ges åtkomst till GAFE, utan användarna kan komma åt GAFE genom endast en internetuppkoppling. I GAFE finns det behörighetsnivåerna elev, personal och administratör. Användarkonton för elever och lärare registreras per automatik via Gerda eller Procapita. Borttag av elevers personuppgifter i GAFE sker per automatik när de tas bort från Gerda eller Procapita, vilket sker om de byter kommun eller börjar på en friskola. Administrativa användarkonton hanteras manuellt och registreras av Intraservice efter beställning från verksamheten. För administrativa behörigheter finns en dokumenterad rutin avseende ett beställningsförfarande på Göteborgs Stads intranät. De administrativa behörigheterna är tilldelade användare på Intraservice samt Utbildningsförvaltningen. I samband med implementationen av GAFE på en skola utbildas superanvändare som skall utbilda resterande lärare som sedan i sin tur för kunskapen vidare till eleverna. Användare ges åtkomst till GAFE via Googles startsida genom en inloggning som består av personens e-postadress i Göteborgs Stad och lösenord Gymnasieelevregister på Data (Gerda) Gymnasieelevregister på Data är elevsystemet för gymnasieskolor och används som ett IT-stöd för planering, styrning och ledning av gymnasieskolor. Gerda hanterar betyg och omdömen för gymnasielever. Uppgifterna i systemet inhämtas via befolkningsregistret Västfolket. Intraservice handhar driften för Gerda och överföringen av information från Gerda till GAFE, PMO och Hjärntorget. Generellt sett är det administratörer och rektorer på skolorna som har åtkomst till Gerda. Administrationen av användarna i Gerda utförs av utsedda administratörer på skolorna. För att arbeta i systemet krävs en av staden utgiven dator. Det är ett separat lösenord för Gerda. Lösenordet 10

12 skall innehålla minst sex antal tecken och det finns möjlighet till lösenordsbyte även om det inte är ett systemkrav. Utbildningsförvaltningen handhar supporten för Gerda. Höga behörigheter i Gerda tillhör lokalt verksamhetsstöd (LVS) på förvaltningen samt leverantören Got-IT. Det finns huvudsakligen fyra behörighetsgrupper i Gerda. Utbildningsförvaltningen har en rutin för behörighetsbeställning och registrering av nya användare i Gerda. Beställning av nya behörigheter görs av rektor eller en person som rektor har utsett. Den aktuella skolans användaradministratörer i Gerda registrerar användaren och meddelar till LVS för Gerda om förändringen. Borttag sker genom att personaladministratör anger i Gerda att personen avslutat sin anställning. Administratörer har endast möjlighet att ändra användare avseende den skola som de är administratörer på. En notering aktiveras då i Gerda och borttag sker därefter. Samtliga användarbeställningar skall genomföras skriftligen och sparas av användaradministratören på respektive skola. Systemadministratör genererar listor över användarna och rektor ansvarar för att en årlig genomgång av användarna sker i Gerda. Det är en till fyra personer per skola som är Gerdaansvariga, en person som har yttersta ansvaret om de är flera. De har gemensamma möten ungefär varannan månad tillsammans med LVS från förvaltningen Hjärntorget Hjärntorget är en molnbaserad läroplattform som används av lärarna för att administrera och förmedla information som berör elevernas skolgång. Det är ett standardsystem som anpassats utefter Göteborgs Stads skolverksamhet. Hjärntorget möjliggör kommunikation mellan elever, vårdnadshavare, skolledare, pedagoger och lärare. I Hjärntorget finns också stöd för schema, närvaro, IUP och lektionsplanering. I Hjärntorget hanteras betyg för elever. Rollstyrningen i Hjärntorget styr åtkomsten i systemet. Lärare och elever härleds till klasser och grupper, de kan endast se information som berör deras klasser eller skolan de tillhör. Rektorer kan se samtliga klasser på skolan de ansvarar för. Vårdnadshavare härleds till en elev och ges åtkomst endast till denne elevens information. Det finns ungefärligt 10 olika typer av administrativa behörigheter i Hjärntorget såsom systemadministratör, administratör och schemaläggare. Lärare och elever autentiserar sig mot Göteborg Stads server vid inloggning. Vårdnadshavare har autentisering mot leverantörens server. Det finns idag ett pilotprojekt där förhöjd autentisering testas med hjälp av bank-id i samband med vårdnadshavarnas inloggning. Lösenordet för Hjärntorget är detsamma som till Göteborgs Stads nätverk. Det finns en rutin för hantering vid läsårsbyte i Hjärntorget. Rutinen finns tillgänglig för samtliga via Hjärntorget och presenteras i form av en checklista som används som stöd vid hanteringen. Checklistan inkluderar aktiviteter såsom granskning av behörigheter, grupper och manuella konton. Därutöver sker kontinuerliga granskningar av användare genom att systemförvaltaren tar fram underlag för behörigheter i systemet som sedan granskas av LVS vid respektive förvaltning. Användaradministrationen, både tillägg och borttag, för elevers och lärares användarkonton sker till stor del per automatik med uppgifter från Procapita eller Gerda. Det som skiljer sig är manuella konton som måste registreras och tas bort manuellt. För administrativa behörigheter krävs ett beställningsförfarande. Det finns en dokumenterad rutin för hanteringen av administrativa 11

13 användare i Hjärntorget. I rutinen framgår att administrativa användare i Hjärntorget generellt sett består av rektorer, superanvändare och schemaläggare. Vårdnadshavare ansöker om ett användarkonto till Hjärntorget och, efter att de har godkänts, registreras de manuellt och matchas mot befolkningsregistret Västfolket för att avgöra till vilken elev de ska beviljas åtkomst NovaSchem Novaschem är en klientprogramvara som är tillgängligt inom Göteborgs Stads nätverk. Systemet används för skolans arbete kring schemaplanläggning. Som ett komplement till Novaschem används två molntjänster, skola24 och webbviewer. Skola24 möjliggör att schemat kan visas i Hjärntorget samt hantering av närvaro och frånvaro. Webbviewer är ett publiceringsverktyg som används av verksamheten för att visa schemat på webben. Användaradministrationen i Novaschem hanteras av LVS. Det finns en rutin för användaradministrationen. Systemförvaltarna har åtkomst till samtliga scheman och har även behörighet att registrera administratörer. Skola24 används endast av schemaläggarna. Det är en till två schemaläggare per skola. Schemaläggaren loggar in på skola24 via sin klient med användarnamn och lösenord. Lösenordet ligger lokalt hos skola24. I skola24 är det ett separat användarregister och en enskild autentisering. Lösenordet byts vid första inloggningstillfället, det finns inga lösenordskrav i skola Procapita Procapita är elevregistret för förskola, grundskola, särskola samt kulturskolan i Göteborgs Stad. Procapita används för administration, debitering/ekonomi och placering av elever. Procapita hanterar betyg för grundskolelever och grundsärskolan. Systemets information uppdateras veckovis via KIR (kommuninvånarregistret). För dem som inte har ett personnummer sker en manuell registrering i Procapita där ett tillfälligt personnummer anges. Systemet skickar information varje natt till andra system såsom Hjärntorget och PMO. Användarna av Procapita består av lärare och administratörer på skolorna. Användarna måste vara uppkopplad till det administrativa nätverket för att ges åtkomst till inloggning i applikationen. Behörigheterna i systemet begränsas genom olika roller som styr användarnas åtkomst. Det finns cirka 40 roller som är anpassade utefter användares arbetsuppgifter. När en ny användare läggs till utdelas ett tillfälligt lösenord som ändras vid första inloggningen. Lösenordskraven styrs av en modul i systemet och inkluderar 90 dagars bytesintervall, komplexitet samt minst 6 tecken. Behörighetsbeställningar inkommer från ansvarig chef till Intraservice. Supporten på Intraservice skapar ett användarkonto och lokalt verksamhetsstöd adderar behörigheter till användarkontot. Det är systemförvaltare som administrerar de behörigheter som lokalt verksamhetsstöd har. Uppföljning av att användarna i verksamheten har korrekta behörigheter ligger under lokalt verksamhetsstöds ansvar. Angående de höga behörigheterna görs inga kontinuerliga genomgångar av användarna, dock registreras varje användare med ett från och till datum Profdoc Medical Office (PMO) Profdoc Medical Office är ett kommungemensamt administrativt IT-stöd för elevhälsan inom grundskola och gymnasium i Göteborgs Stad. För åtkomst till PMO krävs att användaren nyttjar en av staden utgiven dator och är inloggade på Göteborgs Stads nätverk. Lösenord till PMO är 12

14 synkroniserat med AD men det krävs en separat inloggning. Om en användare är inaktiv i två timmar blir de utloggade ur systemet av säkerhetsskäl. LVS gruppen för PMO består av en person från UBN och en till två personer från varje SDN. Gruppen träffas en gång i månaden och är samtidigt ett fortutbildningstillfälle för de anställda inom elevhälsan. Medicinskt ledningsansvarig (MLA) från utbildningsförvaltningen genomför samordnade utbildningar för användarna i PMO avseende hur de ska arbeta i systemet. Det finns en manual för utbildning riktad mot skolsköterskor i Göteborgs Stad. Manualen innehåller information avseende hur systemet fungerar och dess funktioner samt hur det skall användas för att utföra arbetet. Professioner som har åtkomst i PMO är specialistpedagog, skolsköterska, audionom, kurator och psykolog. Systemet styrs baserat på de olika professionerna och åtkomst tilldelas utefter användarens profession. Användarna har behörighet till akter relaterade till deras arbetsområde och profession samt en gemensam akt för information som sträcker sig över samtliga professioner. MLA har åtkomst till samtliga journaler för sina enheter. Endast skolsköterskor och skolläkare på den aktuella skolan har behörighet att ta del av en elevs uppgifter inom skolhälsovården. Användare i PMO har möjlighet att öppna samtliga journaler med avseende på den medicinska informationen. De får dock en varning om deras behörighet inte gäller den specifika journalen som försöker öppnas. Användare som tagit del av journaler utanför deras arbetsområde loggas. Det finns en rutin skapad av Göteborg Stad kring hur avvikelseloggen som skapas i PMO skall hanteras. I rutinen framgår att verksamheten skall ha en systematisk uppföljning av loggen. Intraservice fördelar avvikelserna mellan de olika förvaltningarna och översänder listan till lokalt systemansvariga (LSA) för PMO. LSA överför listan till berörda elevers rektorer som utreder avvikelserna. Loggen med kommentarer kring avvikelserna skall lagras enligt lokala rutiner. Loggen erhålls upp till två gång per månad beroende på om det skett några avvikelser. Behörighetshanteringen i PMO hanteras manuellt och det finns en central rutin avseende beställning av behörigheter i PMO som gäller för hela Göteborgs Stad. Vid beställning eller avbeställning av behörighet till rektor eller ny MLA ska skolchef eller annan person utsedd av förvaltningen kontaktas. Om behörigheten avser någon profession inom elevhälsan (kurator, psykolog eller specialpedagog) skall beställning genomföras av rektor på aktuell enhet. Slutligen, om behörigheten avser en profession inom skolhälsovården (skolsköterska, skolläkare) ska MLA i respektive förvaltning genomföra beställningen. Beställning av behörighet till PMO genomförs via en elektroniska blankett. Den elektroniska blanketten är endast synlig för anställda med rollen Beställare PMO vilka utses av verksamheten och tilldelas minst en anställd i varje SDN. De administrativa behörigheterna i PMO tillhör systemförvaltarna på Intraservice. Systemförvaltarna har tillgång till journalerna i PMO men åtkomst till journaler loggas även för de administrativa behörigheterna. Det är systemförvaltarna som skapar de högre behörigheterna som tilldelas supporten på Intraservice, de högre behörigheterna är idag tilldelade sju personer. 3.3 Avtal molntjänstleverantör Google Göteborgs Stad har slutit ett avtal med Google avseende användningen av molnlösningen Google Apps For Education (GAFE). Avtalet blev signerat Avtalet är baserat på ett standardavtal från Google men med vissa modifieringar mot Göteborgs Stad. 13

15 Avtalade villkor Vid avtalsförhandlingarna mellan Göteborgs Stad och Google genomfördes en risk- och sårbarhetsanalys samt en informationssäkerhetsklassificering. Risk- och sårbarhetsanalysen genomfördes genom workshops i januari Utöver risk- och sårbarhetsanalysen har Göteborgs Stads stadsjurist genomfört en juridisk analys av avtalet. Den juridiska analysen är daterad och den inkluderar en utredning kring förutsättningar för att GAFE och Google efterlever svensk lagstiftning. Juridiska analysen visar på att första versionen av Google-avtalet inte levde upp till krav enligt personuppgiftslagen och att därmed villkoren var tvungna att justeras innan användningen av GAFE kunde vara aktuellt. Diskussionerna med Google medförde att ett nytt personuppgiftsbiträdesavtal presenterades (Data Processing Amendment to Google Enterprise Agreement). Enligt analys av stadsjuristen gjordes bedömningen att det nya personuppgiftsbiträdesavtalet efterlevde personuppgiftslagen (PUL). Överföring av personuppgifter till tredje land Definitionen tredje land är ett land som inte är medlem i EU eller EES, (Europeiska ekonomiska samarbetsområdet). I enlighet med EU:s dataskyddsdirektiv, (95/46/EG), får personuppgifter föras över till tredje land endast om det finns en adekvat skyddsnivå i mottagarlandet eller om det finns särskilda garantier för att uppgifterna och de registrerades rättigheter skyddas. EU-direktivet 95/46/EG, fastställer att om ett tredje land inte garanterar en adekvat skyddsnivå skall överföring av personuppgifter till det landet förbjudas. Safe Harbor är en samling regler om personlig integritet och dataskydd som tagits fram av handelsdepartementet i USA. Organisationer i USA har på frivillig basis kunnat anmäla att de ansluter sig till dessa regler. EU-kommissionen har tidigare gjort bedömningen att Safe Harbor principerna utgör en lämplig skyddsnivå. Det har därmed varit godkänt att föra över och lagra personuppgifter från EU/EES till organisationer i USA som har anslutit sig till reglerna. I avtalet mellan Göteborgs Stad och Google refereras till de så kallade Safe Harbor principerna. Den 6 oktober 2015 kom EU-domstolen med ett avgörande att EU-kommissionens beslut inte längre var giltigt och att Safe Harbor principerna inte längre säkerställer ett adekvat skydd för överförda personuppgifter till USA. Beslutet grundar sig på att principerna och lagstiftningen i USA inte ger tillräckligt skydd för personuppgifter då de kan bli föremål för myndighetsövervakning. I Göteborgs Stads avtal med Google hänvisas till Safe Harbor principerna på främst två ställen, punkt 2 Definitions och punkt 10.2 Safe Harbor (i personuppgiftsbiträdesavtalet). Ytterligare instrument som syftar till att skydda de registrerades rättigheter vid överföring av personuppgifter till tredje land är s.k. EU:s standardavtalsklausuler, (Model Contracts for the transfer of personal data to third countries). Det finns idag tre former av avtal, varav två avser överföring av uppgifter från personuppgiftsansvariga inom EU eller EES till andra personuppgiftsansvariga i tredje länder. Det tredje avtalet avser överföring av uppgifter från personuppgiftsansvariga till personuppgiftsbiträden i tredje land. Inom ramen för denna granskning är det aktuellt med det sistnämnda avtalet (kommissionsbeslut 2010/87/EU). Det finns idag inte någon separat upprättad standardavtalsklausul mellan Göteborgs stad och Google. EU:s standardavtalsklausuler upptas dock i personuppgiftsbiträdesavtalet i form av 14

16 hänvisning till EU:s dataskyddsdirektiv 95/46/EG, artikel 26, p.2 som behandlar överföring av uppgifter till ett tredje land som inte säkerställer en adekvat skyddsnivå. Vi har vid tid för granskningen tagit del av en bilaga som behandlar standardavtalsklausuler 2010/87/EU. Bilagan upptar inte Göteborgs stad, utan är allmän riktad. Vår bedömning Av domstolsprövningen gällande Safe Harbor principerna framgick att USA:s lagstiftning om myndigheters övervakning av elektronisk kommunikation har företräde framför Safe Harbor och är därför inte förenlig med EU:s regelverk om dataskydd och grundläggande rättigheter om respekt för privatlivet. Därmed är överföring av personuppgifter till USA med stöd av Safe Harbor olagliga. Likt domstolsprövningen avseende Safe Harbor är det sannolikt att standardavtalsklausulerna inte heller skulle vara hållbara vid en rättlig prövning i EU-domstolen då nationell lagstiftning har företräde. Detta bekräftas även av Sveriges kommuner och landsting, (SKL). Det är dock en framtidsfråga och påverkar inte granskningen. Av avstämningar med stadsjuristen framgår en medvetenhet gällande detta rättsscenario. Vi bedömer medvetenheten som positiv. Vår bedömning är därmed att användandet av tjänsten Google Apps For Education, med bakgrund av genomförd granskning av ingånget avtal mellan Göteborgs stad och Google samt det just nu rådande rättsläget, riskerar att inte efterleva den svenska lagstiftningen enligt PUL. Detta dock med beaktande att i praktiken har ingen juridisk prövning blivit genomförd följt av ett oklart rättsläge inom EG-rätten. Vi bedömer vidare att kommunstyrelsen snarast bör ha en avstämning med personuppgiftsbiträdet Google i syfte att få formellt bekräftat att Standardavtalsklausuler i enlighet med EG-rätten har trätt i kraft samt på vilket sätt de säkerställer ett adekvat skydd för personuppgifter. För närvarande pågår ett arbete mellan EU-kommissionen och USA med att fastställa ett nytt ramverk s.k. Privacy Shield (Sköld för skydd av privatlivet), som ska ersätta Safe Harbor. I samband med vår avstämning med Datainspektionen framgår att det råder även en osäkerhet gällande huruvida det nya ramverket Privacy Shield är rättslig hållbar. I avvaktan på en politisk lösning mellan EU och USA har SKL i samråd med Datainspektionen lämnat följande tillfälliga rekommendationer: Gör en kartläggning av organisationens IT-system och tjänster där det finns en överföring av personuppgifter till USA. Gör en förnyad analys av vilken typ av personuppgifter som hanteras i de tjänster som berörs och fundera på om det finns alternativ. Ta gärna hjälp av Datainspektionens informationsmaterial och SKL:s vägledning. Ta kontakt med berörda leverantörer och fråga efter deras åtgärder till följd av att Safe Harbor-principerna upphört att gälla. Fråga om de planerar någon förändring av t.ex. var och hur lagring av information sker. Analysera möjligheterna inom gällande avtal. Hur lång avtalstid är det kvar på avtalet med leverantören? Finns t.ex. utrymme för omförhandling eller att inte förlänga befintliga avtal? 15

17 Begränsa möjligheterna för leverantörerna att överföra personuppgifter till USA i kommande upphandlingar. Uppföljning av underleverantörer Google använder ett antal underleverantörer. Även dessa hanterar personuppgifter ifrån Göteborgs Stad och därmed ska de efterleva kravställningar enligt Google-avtalet. Göteborgs Stad har fått ta del av en lista med vilka underleverantörer Google använder. Listan inkluderar bolagsnamn på de 7 underleverantörer som används. Enligt Göteborgs Stad ska Google informera ifall det sker ändringar i listan. För hantering av underleverantörer har Datainspektionen kommit med beslut i tillsynsärendet mot Grundskolenämnden i Malmö Stad (diarienr ). Enligt detta ska det finnas en detaljerad lista över underleverantörer som tydligt definierar bolagsnamn, lokalisering, adress, specifikation om vilket uppdrag de utför. Det framgår vidare att personuppgiftsbiträdet ska kunna ge personuppgiftsansvarig detaljerad information om samtliga underleverantörer med bäring på vilken typ av tjänst de levererar, vilket typ av bolag det är, vilka garantier som ställs för att dataskyddsdirektivet kring personuppgiftshantering efterlevs av leverantören. Göteborgs Stad har endast fått en länk med en lista på vilka underleverantörer som Google använder. Det har inte inkluderat någon detaljerad lista eller ytterligare detaljerad information från personuppgiftsbiträdet (Google) till personuppgiftsansvarig (Göteborgs Stad). Vår bedömning Vi bedömer att det saknas tillräcklig information om personuppgiftsbiträdets (Googles) underleverantörer och att det därmed inte sker en tillräcklig kontroll och uppföljning av att samtliga underleverantörer åtar sig att efterleva svensk lagstiftning kopplat till personuppgiftshantering. 3.4 Resultat Nämnden för Intraservice Nämnden för Intraservice (Intraservice) ansvarar bland annat för de kommungemensamma interna tjänsterna som används i Göteborgs Stad. Ansvaret inkluderar att leverera, driva, utveckla och följa upp arbetet med de kommungemensamma interna tjänsterna. Det innebär att förvaltningar förmedlar ett behov till Intraservice som ansvarar för leveransen av den interna tjänsten till förvaltningen. Deras ansvar inkluderar även att behandla personuppgifter utefter beslutat ändamål och syfte samt att se till att beslutad säkerhetsnivå uppnås. Om personuppgifter behandlas av en andra part är det Intraservice ansvar att säkerställa att personuppgiftshanteringen och säkerhetsnivån uppnås Personuppgiftshantering Intraservice genomför personuppgiftsbehandling av personuppgifter som ägs av verksamheten. Enligt Intraservice är det SDN och UBN som ansvarar för att personuppgiftslagen (PUL) efterlevs i skolverksamheten. Det utförs genom de PUL-ombud som finns på varje enskild enhet. Den generella personuppgiftshanteringen grundar sig på styrande dokument som tagits fram av Göteborgs Stad. 16

18 En hantering relaterad till personuppgifter avser hur de olika systemtjänsterna används och hur lärare använder exempelvis omdöme och betygsregistreringar. Intraservice ansvarar för att årligen göra en central uppföljning av efterlevnad av formuleringar i Hjärntorget. Det utförs genom en beställning till leverantören av Hjärntorget avseende en sökning på känsliga ord i IUP för årskurs 1-5 för samtliga stadsdelar. Intraservice diarieför filen och fördelar informationen till varje stadsdel för vidare utredning. Filen innehåller information om vilken roll som skrivit kommentaren samt omkring 150 tecken före och efter ordet. Det är ungefärligt 90 stycken ord som ingår i sökningen IT-säkerhet Inom Göteborgs Stad finns det en säkerhetsgrupp som jobbar med riskanalyser för nya molntjänster. I säkerhetsgruppen ingår representanter från Stadsledningskontoret, UBN, Intraservice och verksamheten. Behov som uppstår i verksamheten som rapporteras till LVS på SDN där önskemålen från användare på nya molntjänster samordnas. Säkerhetsgruppen var delaktiga i den risk- och sårbarhetsanalys som genomfördes inför att GAFE skulle implementeras. Intraservice skapar anvisningar för användarna där de utgår från råden skapade av Göteborgs Stad gällande IT-användning. Intraservice tar även fram anvisningar för systemadministratörer. Lärares användning av ej upphandlade IT-lösningar regleras idag främst genom styrande dokument och utbildning. Styrande dokument finns exempelvis i form av regler och råd för IT-användare samt riktlinjer för informationssäkerhet. Utbildning sker genom att Intraservice utbildar ett urval av personer i verksamheten och sedan skall de personerna sprida kunskapen vidare i verksamheten i rollen som superanvändare. Det finns även en utbildning baserad på Myndigheten för samhällsskydd och beredskap (MSB) avseende Datorstödd informationssäkerhetsutbildning för användare (DISA). Rekommendationen är att utbildningen skall göras årligen, men det är upp till varje verksamhet att styra hur den används Process för upphandling av nya system Inför upphandling av nya tjänster som hanterar personuppgifter genomförs process- och informationskartläggning som i nästa steg leder till en informationssäkerhetsklassning. Informationssäkerheten i de kommungemensamma interna tjänsterna ska som minimum uppfylla Göteborg Stads grundsäkerhetsnivå (nivå 1), grundsäkerhetsnivån är beslutad av kommunfullmäktige. Därutöver genomförs även en risk- och sårbarhetsanalys (RSA). De olika stegen genomförs i samarbete med berörda informationsägare/representanter, Göteborg Stads jurist och informationssäkerhetschef. Arbetet ligger sedan till grund för de säkerhetskrav och skyddsåtgärder som ställs på tjänsten. Vid upphandlingen är det Intraservice som genomför kravställningen avseende IT-säkerhet. Säkerhetskraven baseras på informationen som system skall komma att behandla och om informationen inkluderar personuppgifter skrivs alltid ett biträdesavtal. När kravställningen genomförs beaktas, enligt intervjupersoner på Intraservice, både personuppgiftshanteringen och generell IT-säkerhet. Vid upphandling av en molntjänst beaktas även var datan lagras. Om kravställningen inkluderar förhöjda krav kan starkare autentisering eller kryptering implementeras. I samband med avtalsförnyelse eller avstämningar görs uppföljningar av IT-säkerheten. Om justeringar inte kan genomföras i det aktuella systemet ingår de nya säkerhetskraven vid kommande upphandling. 17