PuL- bedömning och riskanalys av molntjänst. För Grundskolan Tranemo kommun

Transkript

1 Vår ref: Per Ambjörnsson Planeringsledare Datum: PuL- bedömning och analys av molntjänst För Grundskolan Tranemo kommun Deltagare: Fredrik Nilströmer (IT-strateg), Per Ambjörnsson (Planeringsledare Lärandesektionen), Annika Källman (Rektor Länghemskolan), Lena Johansson (Tf Rektor Dalstorskolan och Grimssåskolan), Anita Stomberg (Rektor Tranängskolan F-6), Ann-Louise Lallo. Frånvarande: Bo Haarala (Tf Rektor Limmaredskolan), Som bas för bedömningen och analysen har SKL:s mall (e-samhället i praktiken) från 2013 använts. 1. av användningen Kommunstyrelsen, i Tranemo kommun kommer att from läsåret att använda molntjänsten Google Apps For Education (GAFE) som kommunikationsverktyg mellan lärare och elev. I inledningen av införandet kommer verktyget att användas i åk F-6 men sedan är det sannolikt att även åk 7-9 och Tranemo Gymnasieskola kan komma nyttja tjänsten. Eleverna tilldelas e-postkonton (gmail) som är basen i kommunikationen. Tjänsten kommer inte användas till något elevkänsligt material utan all kunskapsuppföljning, omdömen, åtgärdsprogram och betyg samlas i systemet Infomentor där det finns en tvåfaktorsinloggning för både personal, och vårdnadshavare. TRA2000, v 2.0, Lärandesektionen Postadress: Tranemo Besöksadress: Storgatan 26 Telefon: Telefa: Direkt: Mobil: E-post: per.ambjornsson@tranemo.se 1 (18)

2 För att strukturera användandet har konslut upphandlats (Wizkids, Itsac AB) och ett personuppgiftsbiträdesavtal (Bilaga 1) är upprättats med dessa. De synkroniserar plattformen mot Infomentor för att skapa klasser och grupper och koppla lärare till dessa. Elevinformationen till Infomentor hämtas från det skoladminstrativa systemet (elevregistret) ProCapita. 2. Behandling av personuppgifter 2.1 Ändamål med behandlingen Personuppgifter kommer endast att användas för följande ändamål: GAFE är ett pedagogiskt arbetsverktyg som ska användas för digitalt samarbete/kommunikation i lärsituationen genom samarbeten lärare elev, lärare lärare och elev elev. I framtiden kan även vårdnadshavare komma att innefattas i samarbetet. 2.2 Typ av uppgifter Endast personuppgifter som användaridentitet och liknande indirekta personuppgifter kommer att behandlas; elevers och medarbetares namn, klass, skola och liknande. Namn och faktainformation om elevarbeten kommer att förekomma i löpande tet. Strukturerad dokumentation om eleverna, fördjupad information om elevers prestationer och lärares omdömen och elevernas betyg kommer inte att lagras i tjänsten. Inga känsliga personuppgifter kommer att behandlas. Detta säkerställs genom instruktioner och utbildning av användarna. 2.3 Tillåten behandling Personuppgifter behandlas av skolverksamheten för fullgörande av sina arbetsuppgifter, bland annat för genomförande av pedagogiskt arbete, kommunikation och lagring av pedagogiskt material. Innehållet är av okänslig karaktär. Enligt 10 punkten PuL, får detta ske utan individens eller vårdnadshavares samtycke. 2 (18)

3 2.4 Information till registrerade Information om den planerade behandlingen ska lämnas till de registrerade medarbetarna och eleverna. Detta kommer att genomföras genom att ett informationsblad delas ut till varje elev och dess vårdnadshavare. Information till medarbetare delas ut via e-post. Information kommer även att finnas på intranät, webbplats och andra kanaler årligen. 2.5 Personsuppgiftbiträde Vid användning av GAFE-tjänsten kommer leverantören Wizkids att fungera som personuppgiftsbiträde åt Kommunstyrelsen, Tranemo kommun. Det personuppgiftsbiträdesavtal som har upprättas (Bilaga 1), med Wizkids säkerställer Wizkids hantering av Tranemo kommuns personuppgiftskänslig information som tredje part leverantör. Wizkids använder inte några underleverantörer. 2.6 Överföra personuppgifter till tredje land Googles säkrar och lagrar data enligt svensk lagstiftning allt efter datatinspektions krav och riktlinjer. Wizkids som tredje part följer gällande PuL- bestämmelser och övriga lagkrav. För att hantera detta har Tranemo kommun via adminmpanelen på vår domän inom GAFE plattformen signerat ett standardavtal. (Bilaga 2 och Bilaga 3). De tidigare Safe Harbor-avtalen är inte längre giltiga och detta avtal på domänen ersätter dessa. 3. Avtalsvillkor för tjänsten 3.1 Googles Standardavtal Vid användande av GAFE-tjänsten finns följande avtal: Huvudavtal: - Google Apps Model Contract Clauses Version 1.2 (Bilaga 2) Standard Contractual Clauses (processors) - Data Processing Amendment to Google Apps Agreement (Bilaga 3) - Google Apps for education (Online) Agreement (Bilaga 4) 3 (18)

4 Dessa avtal gäller basutbudet i GAFE. Om vi lägger till ytterligare tjänster kompletteras analysen med dessa. 3.2 Några viktiga punkter Kommunstyrelsen kan konstatera att dessa delar uppfylls genom avtalet: Leverantören kommer att tillämpa svensk lagstiftning när det gäller personuppgiftsbehandlingen Leverantören kommer att vidta lämpliga säkerhetsåtgärder enligt 31 PuL Vi som använadare och leverantören Wizkids kan ur användarkonsolen ta fram rapporter och användarstatistik och på detta sätt ta fram utredningsunderlag vid utredning avom någon kan ha haft obehörig åtkomst till personuppgifterna 3.3 Ändamål med behandlingen Varken leverantören eller de underleverantörer som anlitas får behandla personuppgifterna för några andra ändamål än vad som krävs för att leverera GAFEtjänsten eller vad som beskrivs i avtalet mellan Wizkids och Tranemo kommun. Detta säkerställs genom Data processening Amendment to Google Apps for Education ( ) 3.4 Underleverantörer och kontroll Personuppgiftsbiträdet kommer att anlita underleverantörer. Av dessa kommer några underleverantörer att ta del av personuppgifter. Den personuppgiftsansvarige kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av personuppgifterna genom att begära att Wizkids skickar en aktuell lista. 3.5 Uppsägning av tjänsten Vid en uppsägning av tjänsten kommer data och metadata behöva flyttas till annan ITlösning för att viktig information ska kunna bevaras. Personuppgifter eller annan information kommer inte att finnas kvar hos Wizkids eller dess underleverantörer, utan radering av uppgifter kommer att genomföras i enligt med beskrivningen i Education Solutions Agreement. 4 (18)

5 4. Risk- och sårbarhetsanalys Förklaring: Tabellerna ska läsas med färgkoderna där grön färg innebär grönt ljus och rött är stoppsignal och innebär att en är för stor för att kunna använda tjänsten. Om krysset hamnar på gul måste en hanteras på något sätt innan man kan gå vidare. Det kan göras genom att undersöka frågan närmare med leverantören eller att vidta åtgärder som t.e. information eller instruktioner till användarna. Risk 4.1 Elevers arbetsmaterial i skolan går förlorad pga Systemfel Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten. Analysgruppen bedömer att tjänsten är stabil och tror att det mycket kommer att bli så stora störningar att elevarbeten går förlorade. Wizkids beskriver i avtalet att det finns back-up-rutiner och att det finns lagring på flera ställen som säkrar att information inte förloras. Det finns möjlighet för kommunen att pröva och säkerställa att dessa rutiner fungerar. Men man anser ändå att om detta skulle inträffa att elever förlorar sin information, så skulle det ha en betydande påverkan eftersom elever kan förlora elevarbeten och 5 (18)

6 förtroende för tjänsten. Av denna anledning anses det vara en betydande konsekvens om detta skulle inträffa. Åtgärder: Inga 4.2 Obehörig får del av personuppgifter och arbetsmaterial Oönskad spridning av informationen. Störningar i det pedagogiska arbetet. Osäkerhet när det gäller användares aktivitet om det finns oklarhet i identifieringen. Kan leda till att användare tappar förtroende för tjänsten. Om detta skulle inträffa bedömer man att det är relativt illa eftersom det kan sänka förtroendet för tjänsten hos elever och vårdnadshavare och vara svårt att överblicka konsekvenserna. Mot bakgrund av beskrivning av leverantörens interna arbete med säkerhet bedöms en att detta inträffar som förekommande. Leverantören skall bland annat etablera och upprätthålla en informationssäkerhet som skyddar mot intrång. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen. Åtgärder 6 (18)

7 Utbildning och instruktioner till användare om t.e. lösenordshantering kommer också minska sannolikheten för att detta ska inträffa. 4.3 Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet Förlust av anseende för kommunen. Krav i lag och/eller förordning kan inte uppfyllas. Kan framtvinga hävning av avtal och/eller byte av leverantör. Risk för informationsförlust. Detta skulle kunna ge allvarlig konsekvens eftersom användningen av tjänsten överhuvudtaget skulle ifrågasättas. Om verksamheten oplanerat tvingas byta tjänst kan det ge stor förtroendeskada och avbrott i verksamheten. Mot bakgrund av leverantörens tidigare mångåriga arbete inom området bedöms en att detta inträffar som mycket förekommande även om de inte har någon itsäkerhetscertifiering. Åtgärd: Eftersom det blir gulmarkering måste man ändå säkerställa ett internt arbete för att följa upp leverantörens granskningsrapporter om säkerhet. Ref: Vid avstämningsmöten med leverantören få redovisat hur tjänsten används samt vilka er de ser. På detta sättet tar vi ansvar för att säkerställa tjänsten. 7 (18)

8 4.4 Personal hos leverantör läser elevernas e-post Obehörig får del av information av privat karaktär. Kan leda till att användare tappar förtroende för tjänsten. Eftersom det främst är frågan om elevernas arbetsmaterial och det inte skulle medföra att information går förlorad, bedömer man att det bara skulle medföra en måttlig konsekvens om detta inträffar. Det är mest en förtroendefråga. Man bedömer att leverantörens skyddsåtgärder är tillräckliga och tror att sannolikheten att det inträffar är mycket. Åtgärder: Inga 4.5 Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen, medarbetar tappar förtroende för sin arbetsmiljö. 8 (18)

9 Den här en är svårbedömd, men om det skulle inträffa kan det bli allvarliga konsekvenser om tjänsten skulle läggas ner eller en ny ägare skulle göra stora ändringar i villkoren. Google är en stor aktör och det finns ingenting i dagsläget som tyder på att detta skulle inträffa. Det ska finnas back-up av informationen och den ska kunna kontrolleras årligen av kommunen. Sammantaget bedömer man att det inte är stor att detta inträffar. Åtgärd: Ingen 4.6 Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten. 9 (18)

10 en bedöms som måttlig eftersom det primärt är frågan om lärares arbetsmaterial och skolan bör kunna genomföra lektioner även utan IT-stöd. Dessutom tror man att det skulle inträffa mycket. Det finns idag även flera andra lagringsytor för medarbetarna att skapa backup på Åtgärd: Ingen 4.7 Leverantören förmår inte upprätthålla tillgängligheten av tjänsten Störningar i lärandet, användarna tappar förtroende för sin arbetsmiljö. Ekonomiska konsekvenser vid förlorad arbetstid. Om det skulle vara vanligt att tjänsten inte fungerar under skoltid skulle detta kunna leda till betydande konsekvenser eftersom lektionstid skulle gå åt till datorkrångel. Eftersom 10 (18)

11 tillgängligheten är reglerad i avtal med leverantören och det finns en tydlig beskrivning från leverantören av hur man upprätthåller hög tillgänglighet, bedömer man att det inträffar mycket. Åtgärd: Ingen 4.8 Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga ITmiljö. Störningar i IT-leveransen. Ekonomiska konsekvenser. Här tycker IT-strategen att det är svårt att bedöma påverkan som molntjänsten har på kommunens övriga IT-miljö, men om det skulle inträffa skulle det få betydande, eventuellt allvarliga konsekvenser. Eftersom molntjänsten är separat från övrig IT-drift bedömer man ändå att det är mindre sannolikt. Kommunen har ett eget virusskydd varför en bedöms som liten. Åtgärd: Ingen 11 (18)

12 4.9 Information och personuppgifter raderas inte efter att elever har slutat i verksamheten Tjänsterna kan fortsätta användas trots att eleven inte tillhör skolan. Intern information kan spridas till utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov. Om detta skulle inträffa skulle det bryta mot kraven i PuL och det finns en att elever eller lärare som inte längre är aktuella i verksamheten ändå kan fortsätta använda tjänsterna. Kommunen bestämmer om avslutande av konton och det finns en tydlig beskrivning från leverantören av hur data kommer att raderas och man bedömer det som mindre sannolikt. Åtgärd: Ingen Leverantören behandlar personuppgifterna för egna ändamål Kommunen kan anses bryta mot gällande lag. Kan framtvinga hävande avavtal och/eller byte av leverantör och därmed verksamhetsnyttoförlustoch/eller ekonomisk förlust för kommunen. 12 (18)

13 Användares brist på förtroende och negativ påverkan på kommunens varumärke. Det här är en viktig punkt där komunstyrelsen känner stort ansvar. Om det skulle komma fram att leverantören använder information och personuppgifter för egna syften skulle det innebära lagbrott och för negativ påverkan för kommunens varumärke. Det skulle motivera att tjänsten sägs upp och det anses som en allvarlig konsekvens. I avtalet tycker man ändå att det tydligt finns beskrivet att det inte är tillåtet och att det inte kommer att ske, så man bedömer en som mindre sannolik. Åtgärd: Ingen 4.11 Leverantören förändrar innehållet i tjänsten. 13 (18)

14 Avtalet kan behöva förändras för att stämma med ny funktionalitet. Personuppgiftsbehandlingen kan förändras. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust. Analysgruppen har svårt att bedöma hur sannolikt det är att detta inträffar. Baserat på att man har haft tidigare kontakter med leverantören där man inte har kommit med plötsliga negativa förändringar bedömer man att leverantören kommer att ha god framförhållning även i fortsättningen. Åtgärd: Ingen 4.12 Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten Information som man vill behålla i verksamheten förloras och man måstebörja om från noll varje gång man byter leverantör. Risk för inlåsning till befintlig leverantör. 14 (18)

15 Det finns en tydlig beskrivning av hur data och metadata ska kunna tas ut och flyttas vidare till annat IT-stöd. Man tar även med i bedömningen att den information som finns i tjänsten inte är skolans huvudsakliga dokumentationssystem, utan att det är frågan om arbetsmaterial som ändå kan ha kortare hållbarhet. Åtgärd: Ingen Slutsats analys Riskbedömning Åtgärd Prioritet 4.1 Elevers arbetsmaterial i skolan går förlorat pga. systemfel / Ingen. 4.2 Obehörig får del av personuppgifter och arbetsmaterial. / Utbildning och instruktioner till användare om t.e. lösenordshantering kommer också minska sannolikheten för att detta ska inträffa. 15 (18)

16 4.3 Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. / Säkerställa ett internt arbete för att följa upp leverantörens granskningsrapporter om säkerhet. 4.4 Personal hos leverantören läser elevernas e-post. / Ingen 4.5 Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. / Ingen Den här en är svårbedömd, men om det skulle inträffa kan det bli allvarliga konsekvenser om tjänsten skulle läggas ner eller en ny ägare skulle göra stora ändringar i villkoren. Google är en stor aktör och det finns ingenting i dagsläget som tyder på att detta skulle inträffa. 4.6 Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel / Ingen 4.7 Leverantören förmår inte upprätthålla tillgängligheten på tjänsten. / Ingen 16 (18)

17 4.8 Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö. / Ingen 4.9 Information och personuppgifter raderas inte efter att elever har slutat i verksamheten / Ingen 4.10 Leverantören behandlar personuppgifterna för egna ändamål / Ingen Kommentar Om det skulle komma fram att leverantören använder information och personuppgifter för egna syften skulle det innebära lagbrott och för negativ påverkan för kommunens varumärke. Det skulle motivera att tjänsten sägs upp och det anses som en allvarlig konsekvens. I avtalet tycker man ändå att det tydligt finns beskrivet att det inte är tillåtet och att det inte kommer att ske, så man bedömer en som mindre sannolik Leverantören förändrar innehållet i tjänsten. / Ingen 17 (18)

18 4.12 Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten / Ingen 6. Sammanfattande bedömning Endast okänsliga personuppgifter kommer att behandlas i tjänsten. De registrerade kommer att få information och personuppgiftsbiträdesavtal har upprättats. Av detta framgår hur den personuppgiftsansvarige säkerställer sin kontroll över behandlingen och anlitande av underleverantörer. Riskanalysen utvisar inga er som motiverar att verksamheten skulle avstå från att använda molntjänsten. Kommunstyrelsen gör bedömningen att behandlingen av personuppgifter i tjänsten GAFE uppfyller de krav som följer av PuL. 18 (18)