Lathund: skräpposthantering inom offentlig sektor

Transkript

1 Sida 1 av 5 Lathund: skräpposthantering inom offentlig sektor Det är varje medborgares rättighet att kunna kommunicera via e-post med offentliga organisationer, enligt 5 (FL) Förvaltningslagen 1986:223. Denna rättighet försvåras av den mycket stora andelen spam som samtidigt måste hanteras. Dessutom är merparten av e-posten som anländer till en offentlig verksamhet offentlig handling. Risken för att legitim e-post drunknar i den stora mängden spam är stor. Det finns flera lagar och rekommendationer som reglerar hur hanteringen skall ske praktiskt för att vara korrekt. Bara SKL:s och Statskontorets rekommendationer tillsammans består av 82 sidor tillsammans. För att underlätta för dig inom offentligt sektor har Stay Secure överskådligt och kortfattat sammanställt de funktioner, tekniker och juridiska aspekter som du måste ta hänsyn till. Vissa rekommendationer bygger på tolkningar av lagar där det saknas prejudikat. Stay Secure har idag ungefär 120 offentliga verksamheter som kunder, varav en stor del gjort en juridisk genomlysning. Personuppgifter Som kund är du personuppgiftsansvarig enligt. Det innebär att du är fullt ansvarig för en korrekt hantering av alla personuppgifter som hanteras via er e-post. Du måste därmed genom ett tydligt avtal med din leverantör (personuppgifts-biträdet) säkerställa att personuppgifter hanteras korrekt. Enligt Datainspektionen och skall du ställa krav på att leverantören (personuppgiftsbiträdet) uppfyller kraven enligt 1998:204. Du skall teckna ett avtal mellan dig som personuppgiftsansvarig och personuppgiftsbiträdet. Följande skall framgå via avtal med din leverantör: Vilka personuppgifter som hanteras. I vilka länder dessa personuppgifter sparas. Varje land skall tydligt framgå av avtalet. Hur länge uppgifterna sparas. E-postmeddelanden räknas som ostrukturerade personuppgifter, vilket innebär vissa förenklingar. Dock krävs alltid ett personuppgiftsbiträdesavtal, samt en viss sekretess eftersom att det i förväg inte går att veta om meddelandet innehåller känsliga personuppgifter. Ett tydligt avtal för hantering av personuppgifter tecknas mellan Stay Secure (personuppgiftsbiträdet) och kunden personuppgiftsansvarig). Stay Secures avtal med kunden reglerar tydligt var personuppgifter hanteras, vilka uppgifter som hanteras och hur länge uppgifterna sparas. Stay Secure har datacenter i Sverige och skickar ingen e-post via utlandet i onödan. (1998:204). Datainsp. hemsida (se Referensmaterial ).

2 Sida 2 av 5 Skydd av data När du använder en molntjänst ställs höga krav på att er data är skyddad. Integritetsskydd När du väljer lösning är det viktigt att du är mån om den personliga integriteten. En arbetsgivare eller administratör som har obegränsade rättigheter kan snabbt och enkelt ta del av innehåll i e- postmeddelanden. IPv6 Målet är att alla offentliga verksamheter 2016 skall stödja IPv6 fullt ut. Du skall genom avtal med levverantören säkerställa att de har en hög skyddsnivå, eller enligt Datainspektionen en adekvat skyddsnivå. Kravställ rättighetsstyrning i lösningen för att förhindra att den personliga integriteten kompromissas. PTS rekommenderar att alla nya lösningar stödjer IPv6, samt att befintliga avtal för lösningar som inte stödjer IPv6 inte skall förlängas. Stay Secure följer Datainspektionens rekommendationer och krav. Svenska datacenter med högsta möjliga fysiska skydd. Detta garanteras genom avtalsvillkor. Omfattande rättighetsstyrning för Stay Secures Tech Team. Stay Secure garanterar genom avtalsvillkor att ingen data lämnas ut till tredje part. Stay Secures lösning innefattar omfattande rättighetsstyrning som effektivt begränsar åtkomst till personliga uppgifter såsom innehåll och bilagor i e-postmeddelanden. Stay Secures lösningar har fullt stöd för IPv6. Stay Secure har så kallad dual stack, dvs stödjer IPv6 och är kompatibel med IPv4. Lösningen kan således ta emot e-postmeddelanden med IPv6 och sedan leverera dessa till SMTProuten med IPv4. (1998:204). Datainsp. hemsida (se Referensmaterial ). Personuppgifter i arbetslivet på Datainspektionens hemsida. PTS folder Att anskaffa IPv6 råd och tips.

3 Sida 3 av 5 IP-svartlistor IP-svartlistor innebär att e-post från t ex botnät stoppas direkt. Metoden är mycket effektiv och stoppar över 95 % av spammet. Svartlistning Svartlistning av avsändaradresser innebär att ni valt att stoppa e-post från en specifik e- postadress eller domän. Routing via utlandet All er e-post passerar via utlandet för spamfiltrering. rekommendationer får generella IP-svartlistor inte användas. Följande krav måste uppfyllas: Om e-post stoppas skall avsändaren meddelas. Ni måste själva kunna stänga av och sätta på funktionen. Enligt Statskontorets rekommendationer får svartlistning av avsändaradresser inte användas. Eftersom spammare ofta använder godtyckliga avsändaradresser kan e-post från redan svartlistade avsändare komma att stoppas felaktigt. Enligt bör du inte skicka personuppgifter och därmed er e-post via tredje land. Med tredje land menas en stat som inte ingår i EU/EFTA eller är ansluten till Europeiska ekonomiska samarbetsområdet, som t ex USA. SKL:s och statskontorets skriftliga rekommendationer berör inte direkt detta, men SKL och.se avråder idag från routing via utlandet (även andra länder inom EU och ESS). Stay Secure vitlistar svenska operatörers SMTP-servrar för att undvika problem med IP-svartlistning av svenska avsändare och nät. Stay Secure meddelar alltid avsändaren om e-postmeddelandet stoppats av en IP-svartlista. Ni kan själva stänga av och sätta på IP-svartlistor via kontrollpanelen. Stay Secure erbjuder så kallade mjuka svartlistor. Det innebär att ni ger en viss e-postadress eller domän spampoäng. Detta ökar sannolikheten för att spam stoppas från en specifik avsändare, samtidigt som risken för förlorad legitim e-post från avsändaren är fortsatt liten. Stay Secure har datacenter i Sverige och skickar ingen e-post via utlandet i onödan. Stay Secure garanterar genom avtal att datacenter endast finns i Sverige och att det så förblir. SKL: sida (sida 28) (sida 27-28). (1998:204): 33.

4 Sida 4 av 5 Karantän Med karantän menas att spam som stoppats inte tas bort utan istället lagras avsköljt under en viss tid. Manuell granskning Med manuell gallring och granskning menas att en person granskar det spam som stoppats. Grålista Grålista innebär att e- postmeddelandet vid första leveransförsöket nekas leverans. Vid det andra leveransförsöket tas meddelandet emot. Eftersom spammare ofta inte försöker två gånger stoppar tekniken effektivt spam. rekommendationer bör spam som stoppas inte direkt kasseras. Spammet bör istället placeras i karantän för möjlighet till t ex granskning. Således måste den lösning som används ha väl utvecklade karantänfunktioner. rekommendationer bör spam som stoppats granskas manuellt för att undvika att legitim e- post går förlorad. Varje spammeddelande behöver dock inte öppnas utan det räcker med att tidpunkt, avsändare och ämne granskas. Enligt SKL:s rekommendationer får generell grålista inte användas. Allt spam som inte stoppas med IPsvartlistor placeras i karantän i 30 dagar. Allt spam som placeras i karantän kan granskas och är sökbar. Ni väljer själva när och till vem det spam som stoppas skall rapporteras för granskning. Det spam som stoppats och placerats i karantän med möjlighet till rapportering och granskning för att säkerställa att ingen legitim e- post går förlorad. Möjlighet till dagliga karantänrapporter grupperat eller individuellt. Unikt verktyg för gallring och granskning med loggning och arkivering av alla beslut. Stay Secure har en global grålistedatabas som effektivt vitlistar svenska operatörer. Ni kan själva stänga av och sätta på grålistan via kontrollpanelen. 5.2 (sida 35). SKL: sida (sida 35). SKL: sida 17.

5 Sida 5 av 5 Referensmaterial: SKL:s avhandling Digital sophantering : Statskontorets avhandling Myndigheters spamhantering : (personuppgiftslagen): Konsumentverket rörande e-postreklam: rapport Hälsoläget i.se 2010 : PTS Att anskaffa IPv6 råd och tips : Datainspektionens riktlinjer för molntjänster och personuppgifter: Kontakt Har du frågor kring skräpposthantering för offentlig sektor är du välkommen att kontakta oss. Tel: info@staysecure.se Version 5.2