Riktlinje för mobil användning av Internet, e-post och mobila enheter

Transkript

1 KOMMUNSTYRELSEN PROTOKOLLSUTDRAG Sammanträdesdatum Kommunstyrelsen 15 december Paragraf Diarienummer KS-2013/ Riktlinje för mobil användning av Internet, e-post och mobila enheter Kommunstyrelsens beslut Kommunstyrelsens förslag till kommunfullmäktige Riktlinje för användning av Internet, e-post och mobila enheter enligt bilaga 1 till kommunstyrelsens förvaltnings tjänsteutlåtande daterat den 20 november 2014 godkänns. Sammanfattning Det ökande behovet av mer flexibla arbetsformer ställer ökade krav på säkerhet i informationssystem dels för att kunna uppfylla lagkrav som ställs om sekretess och riktighet dels andra krav som tillgänglighet till information. Säkerhetsansvaret följer linjeorganisationen och varje chef är ansvarig för att personalen utbildas inom säkerhet och känner till vilka säkerhetsbestämmelser verksamheten omfattas av. Föreliggande förslag till riktlinje för mobil användning av Internet, e-post och mobila enheter har remissbehandlats av samtliga nämnder. Förslaget innebär en revidering och hopslagning av nu gällande riktlinjer för användning av e-post och Internet i Huddinge kommun (HKF 9820) samt reglering av ett område som det tidigare inte funnits någon riktlinje inom. Nämnderna är positiva till riktlinjen som de uppfattar fångar upp viktiga frågor inom området samt ger stöd gällande krav på teknik och hantering av information. Informationshanteringen är något som är kopplat till kommunens säkerhet varför det uppfattas som bra med tydlighet gällande ansvar och vad som måste beaktas vid informationshantering. Den nu gällande föreskrivningen om automatisk gallring av e-post efter 90 dagar har angetts utgöra hinder vid exempelvis längre projektarbeten där tillgång till äldre e- postmeddelande ofta behöver finnas kvar intill dess att projektet är avslutat. Detta beaktas och riktlinjen har reviderats till att gallring sker automatiskt efter särskilt beslutade anvisningar för Huddinge kommun.utöver remissinstansernas synpunkter har vissa redaktionella ändringar gjorts i riktlinjen och bilagorna. Nämnderna har uttryckt önskemål om att utbildning, begreppsmodell samt mallar tas fram till stöd för arbetet med införande av riktlinjen. Det kommer att beaktas i det fortsatta arbetet med realiserandet av riktlinjen genom framtagande av mallar och stödprocesser för exempelvis logguppföljning och incidentrapportering/hantering samt säkerhetsutbildning.

2 KOMMUNSTYRELSEN PROTOKOLLSUTDRAG Överläggning I ärendet yttrar sig Birgitta Ljung (MP), Sara Heelge-Vikmång (S), Kerstin Z Johansson, kanslichef och Malin Danielsson (FP). Härefter förklaras överläggningen avslutad. Protokollsanteckningar Birgitta Ljung (MP) anmäler protokollsanteckning. Beslutet delges Samtliga nämnder

3 Huddinge kommun Kommunstyrelsen PROTOKOLLSANTECKNING Ärende 18: Riktlinjer för mobil användning av Internet, e-post och mobila enheter Vi ställer oss frågande till om cookies är att betrakta som allmän handling då cookies på de flesta platser är en del av inloggningslösningen. Att lämna ut cookies är då i princip att likställa med att lämna ut lösenordet till webbplatsen. I stycke 4.2 står att information med hög känslighet får nås utifrån med användning ave-legitimation. SITHS-kort (sjukvårdens smartcards), engångslösenord eller motsvarande. Detta anser vi är en för svag skrivning. "Hög känslighet" bör ersättas med hänvisning till nivåer definierade i stycke "Stark autentisering" bör ersättas med hänvisning till definierade standarder, t.ex. "LoA3 en ligt ISO/lEe 29115" som är vad e legitimationsnämnden använder. Avsnitt 3.3. "Extrempolitiskt" borde närmare definieras för all undvika en gummiparagraf. Även "Iiknande innehåll" är för otydligt för att finnas i detta sammanhang För Miljöpartiet de Gröna ~B. - L1vO u gitta Jung 'l Zaire Yildrim Kanat

4 KOMMUNSTYRELSENS FÖRVALTNING KS-2013/ (6) HANDLÄGGARE D Hellström, Ingela Ingela.d.hellstrom@huddinge.se Kommunstyrelsen Riktlinje för mobil användning av Internet, e-post och mobila enheter Förslag till beslut Kommunstyrelsens förslag till kommunfullmäktige Riktlinje för användning av Internet, e-post och mobila enheter enligt bilaga 1 till kommunstyrelsens förvaltnings tjänsteutlåtande daterat den 20 november 2014 godkänns. Sammanfattning Det ökande behovet av mer flexibla arbetsformer ställer ökade krav på säkerhet i informationssystem dels för att kunna uppfylla lagkrav som ställs om sekretess och riktighet dels andra krav som tillgänglighet till information. Säkerhetsansvaret följer linjeorganisationen och varje chef är ansvarig för att personalen utbildas inom säkerhet och känner till vilka säkerhetsbestämmelser verksamheten omfattas av. Föreliggande förslag till riktlinje för mobil användning av Internet, e-post och mobila enheter har remissbehandlats av samtliga nämnder. Förslaget innebär en revidering och hopslagning av nu gällande riktlinjer för användning av e- post och Internet i Huddinge kommun (HKF 9820) samt reglering av ett område som det tidigare inte funnits någon riktlinje inom. Nämnderna är positiva till riktlinjen som de uppfattar fångar upp viktiga frågor inom området samt ger stöd gällande krav på teknik och hantering av information. Informationshanteringen är något som är kopplat till kommunens säkerhet varför det uppfattas som bra med tydlighet gällande ansvar och vad som måste beaktas vid informationshantering. Den nu gällande föreskrivningen om automatisk gallring av e-post efter 90 dagar har angetts utgöra hinder vid exempelvis längre projektarbeten där tillgång till äldre e-postmeddelande ofta behöver finnas kvar intill dess att projektet är avslutat. Detta beaktas och riktlinjen har reviderats till att gallring sker automatiskt efter särskilt beslutade anvisningar för Huddinge kommun. POSTADRESS Kommunstyrelsens förvaltning BESÖKSADRESS Kommunalvägen 28 TELEFON (VX) OCH FAX E-POST OCH WEBB huddinge@huddinge.se HUDDINGE

5 KOMMUNSTYRELSENS FÖRVALTNING KS-2013/ (6) Utöver remissinstansernas synpunkter har vissa redaktionella ändringar gjorts i riktlinjen och bilagorna. Nämnderna har uttryckt önskemål om att utbildning, begreppsmodell samt mallar tas fram till stöd för arbetet med införande av riktlinjen. Det kommer att beaktas i det fortsatta arbetet med realiserandet av riktlinjen genom framtagande av mallar och stödprocesser för exempelvis logguppföljning och incidentrapportering/hantering samt säkerhetsutbildning. Beskrivning av ärendet Information är en av kommunens viktigaste tillgångar och hanteringen av den är en viktig del i arbetet med kommunens risk- och sårbarhetsanalyser. Arbete med informationssäkerhet inom Huddinge kommun sker långsiktigt och processorienterat vilket innebär att arbetet kontinuerligt utvärderas och anpassas till gällande omvärlds- och verksamhetskrav. Det ökande behovet av mer flexibla arbetsformer ställer ökade krav på säkerhet i informationssystem dels för att kunna uppfylla lagkrav som ställs om sekretess och riktighet dels andra krav som tillgänglighet till information. Säkerhetsansvaret följer linjeorganisationen och varje chef är ansvarig för att personalen utbildas inom säkerhet och känner till vilka säkerhetsbestämmelser verksamheten omfattas av. Förslaget till riktlinje för mobil användning av Internet, e-post och mobila enheter innebär en revidering och hopslagning av nu gällande riktlinjer för användning av e-post och Internet i Huddinge kommun (HKF 9820) samt reglering av ett område som det tidigare inte funnits någon riktlinje inom. Utgångspunkten har varit att säkra upp de mobila arbetssätten mot de kända hot och risker som finns inom området idag. Riktlinjen har även beaktat de arbeten och ställningstaganden som pågår på myndighetsnivå och inom olika forum för säkerhet. Remissinstansernas synpunkter Samtliga nämnder har besvarat remissen och nämnderna är positivt inställda till den föreslagna riktlinjen som de anser fångar upp viktiga frågor inom området samt ger stöd gällande krav på teknik och hantering av information. Nämnderna har även fått lämna synpunkter på ett förslag till säkerhetsinställningar för mobila enheter.

6 KOMMUNSTYRELSENS FÖRVALTNING KS-2013/ (6) Förskolenämnden, grundskolenämnden och gymnasienämnden Nämnderna är införstådda med behovet av stärkt säkerhet i samband med ett flexiblare arbetssätt och där fler mobila enheter anskaffas. De har uttalat att vissa av de föreslagna säkerhetsinställningarna behöver modifieras för att kunna tillämpas för de befintliga mobila enheter som nyttjas idag inom nämnderna. Nämnderna har uttryckt farhåga för att lärplattformen edwise inte kan användas om anslutning skulle ske via https. Vidare anses att säkerhetslösningen bör anpassas på ett sådant sätt att säkerhetsprogramvaran viktas mot systemnivå med säker inloggning och inte som klientprogramvaror på de digitala enheterna. Detta gör att de kan fortsätta att använda personals/elevers privata enheter som webbverktyg, där så behövs, samt för att dessutom säkra upp att även äldre digitala enheter kan användas. Nämnderna ställer sig bakom kommunstyrelsens förslag om hur kommunens informationssäkerhet ska upprätthållas och stärkas. Kultur- och fritidsnämnden Nämnden ställer sig i stort positiv till riktlinjen som fångar viktiga frågor gällande informationssäkerhet då flexibla arbetssätt ökar. Det mer strukturerade informationssäkerhetsarbetet är viktigt men kommer innebära att roller behöver definieras på förvaltningen och att viss kompetensutveckling kommer att behövas. De anser att automatisk gallring av e-post efter 90 dagar ställer till problem och inte medger effektiva arbetssätt. Förvaltningen arbetar ofta med projekt som överstiger 90 dagar och där tillgång till äldre e-postmeddelanden behöver finnas kvar intill dess att projektet är avslutat. De föreslagna säkerhetsinställningarna uttalar nämnden viss tveksamhet till om de fungerar med de mobila enheter som används i kommunen. Socialnämnden och äldreomsorgsnämnden Nämnderna ställer sig positiv till riktlinjen och anser att den fångar de viktiga frågor organisationen står inför gällande ökande mobilt och flexibelt arbete med digitala verktyg. Då informationshantering är kopplat till kommunens säkerhet så är det bra med en tydlighet var ansvaret ligger för detta. Riktlinjen ger stöd gällande krav på teknik och hantering av information. De önskar att ett fortsatt arbete sker genom ett framtagande av kommungemensamma mallar och modeller som stöd i förvaltningens arbete med informationssäkerhet. Rutinen redogör för att det ska finnas lokalt utsedda per-

7 KOMMUNSTYRELSENS FÖRVALTNING KS-2013/ (6) soner i varje förvaltning som är behjälplig med olika analyser i arbetet, vilket är positivt. Nämnderna ser behov av komplettering där roller definieras. Precis som de har rollerna systemansvarig och systemägare så är det av vikt att tydliggöra till exempel informationsansvarig och informationsägare. Förvaltningen arbetar aktivt med informationssäkerhet då stora mängder känslig information hanteras. Införandet av ett mer strukturerat arbetssätt kring informationssäkerhet kan under en övergångsperiod innebära ett ökat arbete inom förvaltningen då modeller och metoder behöver arbetas in samt att viss kompetensutveckling kan behövas. Miljönämnden och samhällsbyggnadsnämnden Nämnderna instämmer i kommunstyrelsens förvaltnings syn på att ökade krav på flexibla arbetsformer leder till ökade krav på hur vi hanterar och ges tillgång till olika informationsslag. De anser att kunskapsnivån hos såväl chefer som medarbetare generellt är låg i kommunen inom detta område och gedigna utbildningsinsatser måste sättas in för att ge möjlighet för förvaltningarna att upprätthålla det som riktlinjerna anger. Nämnderna vill att riktlinjerna förtydligas eller kompletteras med; En handlingsplan för hur riktlinjerna ska implementeras med bland annat; - tidplan och rollfördelning - införandeplan för nödvändiga processer och IT-stöd - utbildning för chefer och medarbetare En begreppsmodell Hur egenkontroll och externa stickprovskontroller kan/ska genomföras. Stickprovskontrollerna bör förslagsvis genomföras av extern part samtidigt som enkla rutiner för egenkontroll bör erbjudas från centralt håll. Kommunstyrelseförvaltningens överväganden och förslag Den nu gällande föreskrivningen om automatisk gallring av e-post efter 90 dagar har angetts utgöra hinder vid exempelvis längre projektarbeten där tillgång till äldre e-postmeddelande ofta behöver finnas kvar intill dess att projektet är avslutat. Detta beaktas och riktlinjen har reviderats till att gallring sker automatiskt efter särskilt beslutade anvisningar för Huddinge kommun.

8 KOMMUNSTYRELSENS FÖRVALTNING KS-2013/ (6) Nämnderna har även fått lämna synpunkter avseende förslag till säkerhetsinställningar för mobila enheter. De synpunkter som inkommit utgör input till det pågående arbetet med att ta fram säkerhetslösning för mobila enheter. För de mobila enheter som ska ha möjlighet att synkronisera och lagra information från kommunens verksamhetssystem på enheten ska informationen accessas och hanteras i enlighet med kommunens informationsklassificeringsmodell. I kommunstyrelsens plan för intern kontroll för 2014 finns sedan tidigare identifierad risk om oönskad informationsspridning på grund av ökad användning av USB-minnen och smartphones för lagring av kommunal information samt risk för att informationsläckage sker via molntjänster. I förevarande förslag till riktlinje inom området regleras hur åtkomst och anslutning till kommunens verksamhetssystem kan ske på ett säkert och lagenligt sätt. Genom klassificering av informationstillgången enligt Huddinge kommuns informationsklassificeringsmodell påvisas vilka olika krav det finns för att adekvat skyddsnivå ska vara uppfylld. Nämnderna har uttryckt önskemål om att utbildning, begreppsmodell samt mallar tas fram till stöd för arbetet med införande av riktlinjen. Det kommer att beaktas i det fortsatta arbetet med realiserandet av riktlinjen genom framtagande av mallar och stödprocesser för exempelvis logguppföljning och incidentrapportering/hantering samt säkerhetsutbildning. Vesna Jovic Kommundirektör Toralf Nilsson Administrativ direktör Ingela D Hellström Informationssäkerhetsstrateg

9 KOMMUNSTYRELSENS FÖRVALTNING KS-2013/ (6) Bilagor 1. Förslag riktlinje för användning av Internet, e-post och mobila enheter kommunstyrelsens förvaltning 2013/ Yttrande från remissinstanserna Beslutet delges Samtliga nämnder

10 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG Rev KS-2013/ (9) HANDLÄGGARE Ingela D Hellström Ingela.d.hellstrom@huddinge.se Riktlinje för användning av Internet, e-post och mobila enheter Det ökande behovet av mer flexibla arbetsformer ställer ökade krav på säkerhet i informationssystem dels för att kunna uppfylla lagkrav som ställs om sekretess och riktighet dels andra krav som tillgänglighet till information. 1. Inledning Riktlinjen vänder sig till anställda och förtroendevalda samt annan som verkar inom Huddinge kommun eller använder kommunens verksamhetssystem. Den innehåller information för hur informationssäkerhet ska upprätthållas. Delar av den information som kommunen hanterar omfattas av skyddskrav i lagar och andra författningar samt offentlighets- och sekretesskrav. Kommunens policy för informationssäkerhet stadgar att kommunen i arbetet med informationssäkerhet ska stödja sig på ISO-standard och Myndigheten för samhällsskydd och beredskaps rekommendationer för informationsklassificering och analys. Alla verksamhetssystem och behandling av information ska uppfylla basnivå för informationssäkerhet. 2. Säkerhetsorganisation Kommunstyrelsen har det övergripande ansvaret för kommunens säkerhet. Säkerhetssansvaret följer linjeorganisationen och varje chef är ansvarig för att personalen utbildas inom säkerhet och känner till vilka säkerhetsbestämmelser verksamheten omfattas av. Det är av yttersta vikt att anställda får återkommande information och utbildning för att hög säkerhetsnivå ska kunna upprätthållas. Inom varje förvaltning ska det finnas lokalt utsedda ansvariga som hjälper till med riskanalyser, genomför beslutade säkerhetsåtgärder och är behjälplig med incidentutredningar. POSTADRESS Kommunstyrelsens förvaltning BESÖKSADRESS Kommunalvägen 28 TELEFON (VX) OCH FAX E-POST OCH WEBB huddinge@huddinge.se HUDDINGE

11 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG KS-2013/ (9) 3. Användning av Internet, e-post och sociala medier Kommunens e-postsystem är ett arbetsverktyg. Det får användas för privat bruk men bara om det inte inkräktar på arbetet, medför kostnader eller på annat sätt skadar kommunen. E-postadresser tillhörande Huddinge kommun ska inte registreras för eller användas som identifikation för inloggning till applikationer eller system om det inte har anknytning till tjänsten. Automatisk vidarebefordran från kommunala e-postkonton till externa e- postadresser ska inte ske. Elektronisk post omfattas av samma regler för offentlighet som gäller för pappershandlingar. I tryckfrihetsförordningen regleras rätten att ta del av allmänna handlingar och det gäller även för e-post. Information som läggs in i e- postsystemets funktion för kalender och kontaktregister omfattas av samma krav. Regler om öppnade och registrering av allmänna handlingar finns i offentlighets- och sekretesslagen (2009:400). 3.1 Typer av elektroniska brevlådor Inom kommunen finns olika elektroniska brevlådor kopplade till olika verksamhetsgrenar inom förvaltningar eller för specifika funktioner. För varje brevlåda ska det finnas utsedd informationsägare som beslutar om och följer upp behörigheter till respektive brevlåda samt ansvarar för att inkommande och utgående handlingar hanteras lagenligt. Beslut om att öppna upp ny brevlåda ska fattas av verksamhetschef eller enhetschef. Myndighetsbrevlådor Kommunens officiella brevlåda administreras av kommunstyrelsens kansli. Varje nämnd har också en officiell brevlåda. De administreras av respektive nämnds förvaltning. Andra myndighetsbrevlådor kan finnas hos en förvaltning, en skola eller en särskild grupp av tjänstemän. Funktionsbrevlådor Funktionsbrevlådor är knutna till en specifik funktion, exempelvis registrator eller Fråga servicecenter, och administreras av den eller de tjänstemän som ansvarar för denna funktion. En anställds brevlåda Anställds brevlåda är knuten till enskild tjänsteman som också ansvarar för administrationen av den.

12 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG KS-2013/ (9) 3.2 Hantering av elektroniska brevlådor De handlingar som inkommer till eller skickas från kommunala e-postkonton och som utgör allmänna handlingar ska följa Huddinge kommuns rutin för öppning, registrering och hantering av allmänna handlingar. Öppnande av brevlåda En elektronisk brevlåda ska som en följd av reglerna i offentlighets- och sekretesslagen öppnas varje arbetsdag. Var och en ska se till att den personliga brevlådan blir öppnad vid frånvaro. Detta kan ske genom att en kollega inom samma förvaltning tilldelas behörighet att läsa och besvara inkomna handlingar. För att registrator eller en annan anställd på samma förvaltning ska få tillgång till någons personliga brevlåda, om denne inte har getts elektronisk möjlighet att själv logga in, ska ägaren lämna en skriftlig fullmakt att öppna samtliga e- postmeddelanden som är adresserade till tjänstemannen personligen, men som kan antas röra tjänsteangelägenheter. Om medgivande saknas och vidarebefordran inte sker har förvaltningschef rätt att vid behov fatta beslut om öppnande av brevlåda. Kommunen har enligt offentlighets- och sekretesslagen skyldighet att besvara förfrågningar skyndsamt. Vid planerad frånvaro ska frånvarohanteraren i e- postsystemet aktiveras. Den särskilda mappen för spam ska kontrolleras dagligen för att säkerställa att inga inkommande meddelanden felaktigt hamnat där. Sekretessbelagd upptagning E-post/upptagningar, exempelvis dokument, bild- eller filmfiler, vilka bedöms omfattas av sekretess får inte förvaras i en elektronisk brevlåda. Om ett sådant meddelande kommer in till en elektronisk brevlåda i kommunen ska meddelandet omedelbart föras över till avsedd lagringsyta, som specificeras i nämndens dokumenthanteringsplan, och gallras ur den elektroniska brevlådan. Gallring E-post i kommunens e-postsystem gallras automatiskt enligt särskilt beslutade anvisningar för Huddinge kommun. 3.3 Internetanvändning Internet ska primärt användas som ett redskap i arbetet. Privat användning i mindre omfattning accepteras så länge det inte inkräktar på arbetet, medför kostnader eller på annat sätt skadar kommunen.

13 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG KS-2013/ (9) Det är inte tillåtet att för privata syften besöka webbplatser med extrempolitiskt, pornografiskt eller liknande innehåll. Det är vidare inte tillåtet att skicka kedjebrev. De temporära filer (cookies) som lagras i mobila enheter vid surfing på Internet är allmänna handlingar och kan komma att lämnas ut om allmänheten begär att få ut information om vilka webbsidor enskilda anställda eller förtroendevalda har besökt. 3.4 Sociala medier I kommunikationsarbetet ger sociala medier möjlighet till en bredare dialog och ökad delaktighet. Huddinge kommun har fastställda riktlinjer för kommunikation via sociala medier. Riktlinjerna för användning av sociala medier gäller endast medier där det är möjligt att kommunicera, föra en dialog. Om teknisk plattform för sociala medier används utan dialogform omfattas mediet av webbriktlinjerna. Riktlinjerna talar om hur vi som tjänstemän bör uttala oss i tjänsten. 3.5 Kontroll av Internet- och e-postanvändning All användning av Internet registreras i en logg. Loggningen omfattar uppgifter om användarnamn och namnet på den webbplats som besökts. Om det vid genomgång av loggarna framgår att det förekommer surfing på webbplatser som enligt riktlinjerna inte får besökas, eller om surfing förekommer i onormalt stor omfattning på vissa tillåtna kategorier webbplatser kan administrativa direktören eller förvaltningschef besluta om kontroll av enskilda individers surfing. Det förs även en logg över all e-post som innefattar uppgifter om avsändare, mottagare, ärendemening, tidpunkt och storlek på meddelandet samt namnet på bifogade filer. Kommunen utövar normalt ingen kontroll över de anställdas e- postmeddelanden. Kommunen kan komma att ta del av de uppgifter som finns i ett e-postmeddelande om det är nödvändigt för att uppfylla myndighetens skyldigheter om allmänna handlingars offentlighet. Kommunen kan även komma att ta del av de uppgifter som finns i ett e- postmeddelande om det är nödvändigt med hänsyn till informationssäkerheten, exempelvis vid virus- och hackerangrepp eller för att utreda och förhindra brott. Beslut om kontroll fattas av administrativa direktören eller förvaltningschef.

14 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG KS-2013/ (9) 4. Distansarbete och mobil användning av IT Verksamhetssystem som får bearbetas externt utanför kommunens ordinarie tjänsteställen ska ha föregåtts av risk- och sårbarhetsanalys för att säkerställa korrekt informationshantering och tillämpliga säkerhetslösningar. De mobila enheter som kommunen har bedömt får användas i tjänsten får utnyttjas efter att de har försetts med tillämplig säkerhetslösning. Varje chef ansvarar för att personalen har erforderlig kompetens för mobilt utnyttjande av IT samt att lagar, policys och riktlinjer är kända och följs. 4.1 Informationsklassificering Information som upprättas, bearbetas, lagras eller distribueras ska hanteras i enlighet med kommunens klassningsmodell för informationstillgångar. Utgör informationstillgången allmän handling finns även legala krav att beakta vilket framgår av Huddinge kommuns rutin för öppning, registrering och hantering av allmänna handlingar. Information klassas i fyra olika nivåer beroende på konsekvenserna av att informationen kommer i orätta händer, förloras eller inte är tillgänglig vid given tidpunkt: Allvarlig/katastrofal, där information som kommer i orätta händer kan medföra allvarlig/katastrofal skada (information rörande rikets säkerhet) Betydande, där information som kommer i orätta händer kan medföra betydande skada (exempelvis information med mycket hög känslighet såsom inom socialtjänst samt hälso- och sjukvårdsuppgifter) Måttlig, där spridning av information kan medföra måttlig skada (exempelvis personuppgifter och annan verksamhetsinformation) Ingen eller försumbar, där informationen utgörs av enbart allmän och publik information och där en spridning av informationen endast medför ringa eller ingen skada Klassificeringen har till syfte att säkerställa att all information ges nödvändigt skydd. Vid bedömning av informationens värde ska förutom legala krav även verksamhetens behov av åtkomstbegränsning, riktighet, tillgänglighet och spårbarhet beaktas. 4.2 Mobil access till informationssystem Inom Huddinge kommun finns möjlighet att bedriva arbete på distans, vilket innebär att arbete utförs med hjälp av datateknik i andra än arbetsgivarens lokaler. Vid distansarbete gäller samma krav för hantering av information som för ordinarie arbetsplats.

15 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG KS-2013/ (9) Verksamhetschef respektive systemägare beslutar om ett systems information får bearbetas på distans och med vilken typ av mobil utrustning. Beslut om anslutning som gäller verksamhetskritiska system ska ha föregåtts av dokumenterad risk- och sårbarhetsanalys varvid riskreducerande åtgärder ska ha genomförts. Analysen ska särskilt beakta de risker som finns med behandlingen av känsliga uppgifter i mobila enheter samt integritetsrisker vid samkörning av stora informationsmängder. Riskanalysen utgör grund för att besluta om vilka säkerhetsåtgärder som ska gälla för anslutningen samt hur loggning och analys av tillgången till information ska ske. Uppkoppling till system som innehåller information som klassats ha mycket hög nivå av känslighet får ske utanför arbetsgivarens ordinarie tjänsteställe om särskilt genomförda säkerhetslösningar finns för ändamålet. För system som innehåller information som klassats ha hög nivå av känslighet får extern anslutning ske via krypterad förbindelse och efter stark autentisering såsom engångslösenord, e-legitimation, SITHS-kort eller motsvarande. Sådan information får skickas över e-post, internet eller motsvarande om krypterad lösning finns. Information utgörande nivå hög får endast föras utanför arbetsgivarens lokaler på media som har försetts med krypterade säkerhetslösningar för exempelvis mobil/pda, surfplatta, USB-minne, bärbar dator/hårddisk. Informationen ska skyddas med avancerat lösenord eller motsvarande. Uppkopplingar ska följa den av kommunens centrala IT-sektion godkända teknik och standard. Rutiner ska finnas för återkommande uppföljning och logganalys av externa anslutningar samt behörigheter till verksamhetssystem. Mobil utrustning och annat lagringsmedia som ska kasseras ska hanteras i enlighet med kommunens fastställda rutiner för att säkerställa att ingen känslig information finns kvar på det bärbara mediet. Enheter och annan hårdvara som har innehållit känslig eller sekretessbelagd information ska fysiskt förstöras efter att informationen raderats. 4.3 Extern parts anslutning till verksamhetssystem Externa parters anslutning till verksamhetssystem ska ha föregåtts av dokumenterad risk- och sårbarhetsanalys samt följa den av kommunens centrala IT-sektion godkända teknik och standard för anslutningen.

16 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG KS-2013/ (9) 4.4 Risk- och sårbarhetsanalys Varje beslut om mobil access till information i verksamhetssystem ska ha föregåtts av risk- och sårbarhetsanalys. Syftet med analysen är att säkerställa verksamhetens kontinuitet och informationstillgångarnas säkerhet. Analyserna ska dokumenteras och föreligga varje beslut som medger access till informationen i verksamhetssystemen. Riskanalysen ska fokusera på varje verksamhets viktigaste mål och uppgifter. Analys ska göras inför varje beslut som innebär större förändrade strategiska inriktningar för hur information ska behandlas eller lagras, exempelvis övergång till e-arkiv, delning av eller tillgång till myndighetsinformation eller annan övergång till nya typer av kommunikationslösningar. Den skyddsnivå som beslutas ska stå i proportion till det som ska skyddas. Analysen ska omfatta de krav som ställs med avseende på: Sekretess (skydd mot obehörig åtkomst av information) Riktighet (åtgärder för att åstadkomma rätt kvalitet på information, att information inte obehörigen, av misstag eller på grund av funktionsstörning har förändrats) Tillgänglighet (åtgärder för att säkra drift och funktionalitet) Spårbarhet (möjligheten att fastställa vem som gjort vad eller att kunna verifiera orsaken till en händelse) 4.5 Personuppgiftsbiträdesavtal Avtal ska finnas med leverantör eller annan som på uppdrag av kommunen lagrar eller behandlar information innehållande personuppgifter. Personuppgiftsombudet för förteckning över vilka biträdesavtal som finns i kommunen. 5. Tekniska säkerhetsåtgärder Det finns en risk för vidarespridning av kommunens information vid anslutning och synkronisering mot externa system eller applikationer varför tekniska begränsningar eller skydd måste finnas. Spårbarhet ska finnas för information som det råder sekretess för eller annars betraktas som känslig eller verksamhetskritisk. Information som bedöms vara särskilt skyddsvärd eller känslig ska vara säkrad genom kryptering och får endast synkroniseras externt efter föregående stark autentisering. Information som innehåller personuppgifter får endast synkroniseras med tjänster eller applikationer som kommunen har ett personuppgiftsbiträdesavtal med.

17 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG KS-2013/ (9) Information från verksamhetssystem som synkroniserats till mobila enheter ska arkiveras eller i förekommande fall raderas när informationen inte längre behövs. Enheter ska återställas till fabriksinställning innan annan övertar enheten. 5.1 Synkronisering av e-post och kalender till mobil enhet Synkronisering får endast ske till enheter som har försetts med Huddinge kommuns valda säkerhetslösning. 5.2 Lagring och delning av information Allmänna handlingar, sekretessbelagd information eller annan verksamhetskritisk information ska hanteras i enlighet med kommunens informationssäkerhetspolicy, dokumenthanteringsplaner samt Huddinge kommuns rutin för öppning, registrering och hantering av allmänna handlingar. Sådana handlingar får endast lagras på mobila enheter eller extern lagringsplats som kommunen har slutit avtal med och därmed kan styra tillgången till informationen. Originalet ska i förekommande fall lagras Huddinge kommuns verksamhetssystem. Information som ska mellanlagras för att senare överföras till förvaring i arkiv ska stödja de format som gäller för slutlig förvaring i e-arkiv och som anges i Riksarkivets författningssamling (RA-FS 2009:1 och 2009:2 eller senare upplagor). Allmänna molntjänster där enskilda själva sluter avtal gällande lagring ska inte användas annat än efter dokumenterat beslut av administrativa direktören eller förvaltningschef och efter samråd med IS/IT-strateg om inte rätten finns att ingå avtal eller särskild fullmakt finns för detta. Säkerhetskopiering sker av information som lagras i verksamhetssystemen. Information ska med jämna mellanrum sparas ned i verksamhetssystem samt arkiveras, gallras eller raderas när den inte längre behövs. Lagring på andra lagringsutrymmen än verksamhetssystemen ska betraktas som endast temporära. 5.3 Mobila applikationer Mobila applikationer medger ett effektivt arbetssätt för mobila enheter. Applikationer med låg säkerhetsnivå eller virus utgör samtidigt en specifik risk för avsiktlig eller oavsiktlig spridning av information. Mobila applikationer får endast laddas ned och användas på de mobila enheter som har utrustats med Huddinge kommuns valda säkerhetslösning.

18 KOMMUNSTYRELSENS FÖRVALTNING FÖRSLAG KS-2013/ (9) 5.4 Incidenthantering En incident är en handling eller händelse som påverkar informationstillgångars sekretess, riktighet eller tillgänglighet på ett negativt sätt som innebär skada för verksamheten. Det är inte incidenten i sig som är negativ för tillgången utan den eller de skador, konsekvenser, som incidenten leder till. Virusangrepp, identitetsstölder och skadlig kod ökar varför det är viktigt att följa kommunens vid var tid gällande säkerhetsföreskrifter. Vid inträffad incident ska kommunens rutiner för incidenthantering följas. 6. Uppföljning Elektroniskt lagrad information ska vara skyddad mot förlust, förstörelse och förvanskning. Rutiner ska finnas som säkerställer läsbarheten av elektroniskt lagrad information under hela dess bevarandeperiod. Kommunarkivet kan hjälpa till med vilka format och vilken teknik som är lämplig att använda. För informationsmängder innehållande personuppgifter eller annars känslig information ska spårbarhet finnas som i logg utvisar på individnivå vem som har haft access till informationen, eventuella förändringar som har gjorts och när det skedde. För särskilt känslig information ska logguppföljning ske var tredje månad. Loggarna ska vara skyddade mot obehörig insyn och förändring. Uppföljning ska ske fortlöpande för att säkerställa att verksamheten lever efter gällande lagar och fastställda policys och riktlinjer. Skyddsåtgärder ska följas upp i syfte att kontrollera att de ger avsedd effekt och verkar för att förbättra säkerheten. De ska fortlöpande kontrolleras och anpassas. Respektive verksamhetschef, informations- och systemägare har ansvar för att se till att kontrollerna finns och genomförs.

19 FÖRSKOLENÄMNDEN PROTOKOLLSUTDRAG Sammanträdesdatum Förskolenämnden 19 februari Paragraf Diarienummer FSN-2013/ Remiss Riktlinje för mobil användning av IT Förskolenämndens beslut Nämnden godkänner förvaltningens synpunkter och överlämnar tjänsteutlåtandet till kommunstyrelsen som nämndens yttrande i ärendet. Sammanfattning Förslaget Riktlinje för användning av Internet, e-post och mobila enheter innehåller information om ett förslag till hur kommunens informationssäkerhet ska stärkas för mobila enheter mobil användning av IT. Delar av den information som kommunen hanterar omfattas av skyddskrav i lagar och andra författningar samt offentlighets- och sekretesskrav. Mobila applikationer medger ett effektivt arbetssätt för mobila enheter, däremot medför låg säkerhetsnivå behov av ändrade rutiner. Elektroniskt lagrad information ska vara skyddad mot förlust, förstörelse och förvanskning. Huvudpunkten i förslaget är att mobila applikationer därmed endast får laddas ned och användas på de mobila enheter som har Huddinge kommuns valda säkerhetslösning installerad, samt att synkronisering får ske endast till enheter som har, av centrala IT-sektionen, godkänd programvara för säkerhet installerad. Överläggning I ärendet yttrar sig Jelena Drenjanin (M) och utbildningschef Jukka Kuusisto. Beslutet delges Kommunstyrelsen Akten

20 BARN- OCH UTBILDNINGSFÖRVALTNINGEN FSN-2013/ (3) HANDLÄGGARE Ringström, Peter Peter.Ringstrom@huddinge.se Förskolenämnden Riktlinje för användning av Internet, e-post och mobila enheter Förslag till beslut: Nämnden godkänner förvaltningens synpunkter och överlämnar tjänsteutlåtandet till kommunstyrelsen som nämndens yttrande i ärendet. Sammanfattning. Förslaget Riktlinje för användning av Internet, e-post och mobila enheter innehåller information om ett förslag till hur kommunens informationssäkerhet ska stärkas för mobila enheter mobil användning av IT. Delar av den information som kommunen hanterar omfattas av skyddskrav i lagar och andra författningar samt offentlighets- och sekretesskrav. Mobila applikationer medger ett effektivt arbetssätt för mobila enheter, däremot medför låg säkerhetsnivå behov av ändrade rutiner. Elektroniskt lagrad information ska vara skyddad mot förlust, förstörelse och förvanskning. Huvudpunkten i förslaget är att mobila applikationer därmed endast får laddas ned och användas på de mobila enheter som har Huddinge kommuns valda säkerhetslösning installerad, samt att synkronisering får ske endast till enheter som har, av centrala IT-sektionen, godkänd programvara för säkerhet installerad. Beskrivning av ärendet Förslaget beskriver det ökande behovet av mer flexibla arbetsformer ställer ökade krav på säkerhet i våra informationssystem dels för att kunna uppfylla lagkrav som ställs om sekretess och riktighet dels andra krav som tillgänglighet till information. Av detta skäl föreslås en höjning av säkerhetsnivåerna. I förslaget står vidare att kommunstyrelsen har det övergripande ansvaret för kommunens säkerhet. Säkerhetssansvaret följer linjeorganisationen och varje chef är ansvarig för att personalen har adekvat utbildning och information/känner till vilka säkerhetsbestämmelser verksamheten omfattas av. Det är av yttersta vikt att anställda får återkommande information och POSTADRESS Barn- och utbildningsförvaltningen HUDDINGE BESÖKSADRESS Gymnasietorget 1 Huddinge TELEFON (VX) OCH FAX E-POST OCH WEBB barn-utbildning@huddinge.se

21 BARN- OCH UTBILDNINGSFÖRVALTNINGEN FSN-2013/ (4) utbildning för att en hög säkerhetsnivå ska kunna upprätthållas. Inom varje förvaltning ska det finnas lokalt utsedda ansvariga som hjälper till med riskanalyser, genomför beslutade säkerhetsåtgärder och är behjälplig med incidentutredningar. Varje chef ska ansvara för att personalen har kompetens för mobilt utnyttjande av IT samt att lagar, policys och riktlinjer är kända och följs. Förslaget beskriver även att vid distansarbete gäller samma krav för hantering av information som för ordinarie arbetsplats. Extern uppkoppling får inte ske till system som innehåller information som klassats ha mycket hög nivå av känslighet om inte särskilt genomförda säkerhetslösningar finns för ändamålet. Det finns en risk för vidarespridning av kommunens information vid anslutning och synkronisering mot externa system eller applikationer varför tekniska begränsningar eller skydd måste finnas. Spårbarhet ska finnas för information som det råder sekretess för eller annars betraktas som känslig eller verksamhetskritisk. Synkronisering av mobila enheter får endast ske till enheter som har av centrala IT-sektionen godkänd programvara för säkerhet installerad. Allmänna molntjänster där enskilda själva sluter avtal gällande lagring ska inte användas annat än efter dokumenterat beslut av administrativa direktören eller förvaltningschef och efter samråd med IS/IT-strateg om inte rätten finns att ingå avtal eller särskild fullmakt finns för detta. Applikationer med låg säkerhetsnivå eller virus utgör samtidigt en specifik risk för avsiktlig eller oavsiktlig spridning av information. Mobila applikationer ska endast laddas ned och användas på de mobila enheter som har Huddinge kommuns valda säkerhetslösning installerad. Vidare stipuleras i förslaget att elektroniskt lagrad information ska vara skyddad mot förlust, förstörelse och förvanskning. Rutiner ska finnas som säkerställer läsbarheten av elektroniskt lagrad information under hela dess bevarandeperiod. Förvaltningens synpunkter Barn- och utbildningsförvaltning är införstådd med behovet av stärkt säkerhet i samband med ett flexiblare arbetssätt och där fler mobila enheter anskaffas. Detta säkerställs enligt förslaget genom inköp av en särskild programvara, som ger en fysisk säkerhetslösning, en klient som installeras på varje enhet, samt genom information och upplysning om hur vi ska hantera kommunrelaterad information.

22 BARN- OCH UTBILDNINGSFÖRVALTNINGEN FSN-2013/ (4) På ett flertal punkter är det oklart om våra befintliga mobila enheter fungerar beträffande de punkter som räknas upp i bilaga 1, sid 1. Till exempel: Kodlås ska vara aktiverat och enheten ska vara inställd för att låsas automatisk efter 30 sekunders inaktivitet. -Här fungerar det inte med Apples mobila produkter, min 1 minut. Bluetooth ska vara inaktiverad när den inte används. Enheten ska vara inställd på att vara osynlig när funktionen används samt vara inställd på att inte tillåta automatiska uppkopplingar. - Bluetooth kan inte ställas in på osynlighet på Apples mobila enheter Anslutning till verksamhetssystem via öppna WIFI-nätverk, exempelvis på allmänna platser eller nätverk som inte är krypterade, får endast ske via krypterad förbindelse (https). -Det finns också farhågor om att vår lärplattform edwise inte kan användas om vi måste gå via https. GPS-funktion ska vara avstängd om funktionen inte behövs i tjänsten. -Om GPS inte kan användas privat kan inte mobiltelefonerna användas privat. Vi föreslår att riktlinjerna ses över beträffande hur de påverkar användningen av befintliga mobila enheter i våra verksamhetssystem till exempel edwise. I barn- och utbildningsförvaltningens verksamheter finns det idag ett trådlöst nätverk för utbildningsverksamheten, BYOD, som används för fristående enheter utan annan koppling till kommunens centrala resurser än Internet och e-post. Syftet med BYOD-nätverket är att verksamheterna ska kunna använda fristående digitala enheter, både sådana som ägs av förvaltningen och personals/elevers privata enheter, för att koppla upp sig mot Internet. Förvaltningen anser att säkerhetslösningen bör anpassas på ett sådant sätt att säkerhetsprogramvaran viktas mot systemnivå med säker inloggning och inte som klientprogramvaror på de digitala enheterna. Detta gör att vi kan fortsätta att använda personals/elevers privata enheter som webbverktyg, där så behövs, samt för att dessutom säkra upp att vi även kan använda äldre digitala enheter. Förvaltningen ställer sig bakom kommunstyrelsens förslag om hur kommunens informationssäkerhet ska upprätthållas och stärkas. Dock menar förvaltningen att det är viktigt att ovanstående synpunkter beaktas.

23 BARN- OCH UTBILDNINGSFÖRVALTNINGEN FSN-2013/ (4) Jukka Kuusisto Utbildningschef Annelie Glifberg Förskolechef Bilagor Remisshandlingar den 28 november 2013 Beslutet delges Kommunstyrelsen Akten

24 GRUNDSKOLENÄMNDEN PROTOKOLLSUTDRAG Sammanträdesdatum Grundskolenämnden 20 februari Paragraf Diarienummer GSN-2013/ Remissvar - Riktlinje för mobil användning av IT Grundskolenämndens beslut Nämnden godkänner förvaltningens synpunkter och överlämnar tjänsteutlåtandet till kommunstyrelsen som nämndens yttrande i ärendet. Sammanfattning Förslaget Riktlinje för användning av Internet, e-post och mobila enheter innehåller information om ett förslag till hur kommunens informationssäkerhet ska stärkas för mobila enheter mobil användning av IT. Delar av den information som kommunen hanterar omfattas av skyddskrav i lagar och andra författningar samt offentlighets- och sekretesskrav. Mobila applikationer medger ett effektivt arbetssätt för mobila enheter, däremot medför låg säkerhetsnivå behov av ändrade rutiner. Elektroniskt lagrad information ska vara skyddad mot förlust, förstörelse och förvanskning. Huvudpunkten i förslaget är att mobila applikationer därmed endast får laddas ned och användas på de mobila enheter som har Huddinge kommuns valda säkerhetslösning installerad, samt att synkronisering får ske endast till enheter som har, av centrala IT-sektionen, godkänd programvara för säkerhet installerad. Beslutet delges Kommunstyrelsen Akten

25 BARN- OCH UTBILDNINGSFÖRVALTNINGEN GSN-2013/ (3) HANDLÄGGARE Ringström, Peter Peter.Ringstrom@huddinge.se Grundskolenämnden Riktlinje för mobil användning av IT Förslag till beslut: Nämnden godkänner förvaltningens synpunkter och överlämnar tjänsteutlåtandet till kommunstyrelsen som nämndens yttrande i ärendet. Sammanfattning. Förslaget Riktlinje för användning av Internet, e-post och mobila enheter innehåller information om ett förslag till hur kommunens informationssäkerhet ska stärkas för mobila enheter mobil användning av IT. Delar av den information som kommunen hanterar omfattas av skyddskrav i lagar och andra författningar samt offentlighets- och sekretesskrav. Mobila applikationer medger ett effektivt arbetssätt för mobila enheter, däremot medför låg säkerhetsnivå behov av ändrade rutiner. Elektroniskt lagrad information ska vara skyddad mot förlust, förstörelse och förvanskning. Huvudpunkten i förslaget är att mobila applikationer därmed endast får laddas ned och användas på de mobila enheter som har Huddinge kommuns valda säkerhetslösning installerad, samt att synkronisering får ske endast till enheter som har, av centrala IT-sektionen, godkänd programvara för säkerhet installerad. Beskrivning av ärendet Förslaget beskriver det ökande behovet av mer flexibla arbetsformer ställer ökade krav på säkerhet i våra informationssystem dels för att kunna uppfylla lagkrav som ställs om sekretess och riktighet dels andra krav som tillgänglighet till information. Av detta skäl föreslås en höjning av säkerhetsnivåerna. I förslaget står vidare att kommunstyrelsen har det övergripande ansvaret för kommunens säkerhet. Säkerhetssansvaret följer linjeorganisationen och varje chef är ansvarig för att personalen har adekvat utbildning och information- /känner till vilka säkerhetsbestämmelser verksamheten omfattas av. Det är av yttersta vikt att anställda får återkommande information och utbildning för att en hög säkerhetsnivå ska kunna upprätthållas. Inom varje förvaltning ska det finnas lokalt utsedda ansvariga som hjälper till med riskanalyser, genomför beslutade säkerhetsåtgärder och är behjälplig POSTADRESS Barn- och utbildningsförvaltningen HUDDINGE BESÖKSADRESS Gymnasietorget 1 Huddinge TELEFON (VX) OCH FAX E-POST OCH WEBB barn-utbildning@huddinge.se

26 BARN- OCH UTBILDNINGSFÖRVALTNINGEN GSN-2013/ (4) med incidentutredningar. Varje chef ska ansvara för att personalen har kompetens för mobilt utnyttjande av IT samt att lagar, policys och riktlinjer är kända och följs. Förslaget beskriver även att vid distansarbete gäller samma krav för hantering av information som för ordinarie arbetsplats. Extern uppkoppling får inte ske till system som innehåller information som klassats ha mycket hög nivå av känslighet om inte särskilt genomförda säkerhetslösningar finns för ändamålet. Det finns en risk för vidarespridning av kommunens information vid anslutning och synkronisering mot externa system eller applikationer varför tekniska begränsningar eller skydd måste finnas. Spårbarhet ska finnas för information som det råder sekretess för eller annars betraktas som känslig eller verksamhetskritisk. Synkronisering av mobila enheter får endast ske till enheter som har av centrala IT-sektionen godkänd programvara för säkerhet installerad. Allmänna molntjänster där enskilda själva sluter avtal gällande lagring ska inte användas annat än efter dokumenterat beslut av administrativa direktören eller förvaltningschef och efter samråd med IS/IT-strateg om inte rätten finns att ingå avtal eller särskild fullmakt finns för detta. Applikationer med låg säkerhetsnivå eller virus utgör samtidigt en specifik risk för avsiktlig eller oavsiktlig spridning av information. Mobila applikationer ska endast laddas ned och användas på de mobila enheter som har Huddinge kommuns valda säkerhetslösning installerad. Vidare stipuleras i förslaget att elektroniskt lagrad information ska vara skyddad mot förlust, förstörelse och förvanskning. Rutiner ska finnas som säkerställer läsbarheten av elektroniskt lagrad information under hela dess bevarandeperiod. Förvaltningens synpunkter Barn- och utbildningsförvaltning är införstådd med behovet av stärkt säkerhet i samband med ett flexiblare arbetssätt och där fler mobila enheter anskaffas. Detta säkerställs enligt förslaget genom inköp av en särskild programvara, som ger en fysisk säkerhetslösning, en klient som installeras på varje enhet, samt genom information och upplysning om hur vi ska hantera kommunrelaterad information. På ett flertal punkter är det oklart om våra befintliga mobila enheter fungerar beträffande de punkter som räknas upp i bilaga 1, sid 1. Till exempel:

27 BARN- OCH UTBILDNINGSFÖRVALTNINGEN GSN-2013/ (4) Kodlås ska vara aktiverat och enheten ska vara inställd för att låsas automatisk efter 30 sekunders inaktivitet. - Här fungerar det inte med Apples mobila produkter, min 1 minut. Bluetooth ska vara inaktiverad när den inte används. Enheten ska vara inställd på att vara osynlig när funktionen används samt vara inställd på att inte tillåta automatiska uppkopplingar. - Bluetooth kan inte ställas in på osynlighet på Apples mobila enheter Anslutning till verksamhetssystem via öppna WIFI-nätverk, exempelvis på allmänna platser eller nätverk som inte är krypterade, får endast ske via krypterad förbindelse (https). -Det finns också farhågor om att vår lärplattform edwise inte kan användas om vi måste gå via https. GPS-funktion ska vara avstängd om funktionen inte behövs i tjänsten. -Om GPS inte kan användas privat kan inte mobiltelefonerna användas privat. Vi föreslår att riktlinjerna ses över beträffande hur de påverkar användningen av befintliga mobila enheter i våra verksamhetssystem till exempel edwise. I barn- och utbildningsförvaltningens verksamheter finns det idag ett trådlöst nätverk för utbildningsverksamheten, BYOD, som används för fristående enheter utan annan koppling till kommunens centrala resurser än Internet och e-post. Syftet med BYOD-nätverket är att verksamheterna ska kunna använda fristående digitala enheter, både sådana som ägs av förvaltningen och personals/elevers privata enheter, för att koppla upp sig mot Internet. Förvaltningen anser att säkerhetslösningen bör anpassas på ett sådant sätt att säkerhetsprogramvaran viktas mot systemnivå med säker inloggning och inte som klientprogramvaror på de digitala enheterna. Detta gör att vi kan fortsätta att använda personals/elevers privata enheter som webbverktyg, där så behövs, samt för att dessutom säkra upp att vi även kan använda äldre digitala enheter.