PuL-bedömning och riskanalys av Google apps for Education (GAFE) för användning inom Falu Kommuns skolverksamhet.

Transkript

1 PuL-bedömning och riskanalys av Google apps for Education (GAFE) för användning inom Falu Kommuns skolverksamhet. Barn och Utbildningsnämnden Falu kommun Ingemar Paulson

2 2 (16) 1. Bakgrund Skolverksamheten i Falu Kommun har behov av att förbättra och förändra befintliga ITverktyg. Det finns också ett behov av att hitta helt nya IT-plattformar som bättre stödjer behovet av samarbete och att inhämta och dela information. Detta för att bättre kunna anpassa skolans utbildning till dagens samhälle. Barn- och Utbildningsförvaltningens (härefter BUF) representanter har i samarbete med IT-kontoret (härefter ITK) under året utvärderat marknadens två ledande lösningar, Google Apps For Education (härefter GAFE) och Microsoft Office 365, i detta syfte. Som resultat av denna process har BUFs ledning beslutat att GAFE är det verktyg som bäst uppfyller skolans krav och ska införas som pedagogisk kommunikations- och samarbetsplattform i alla skolformer. Med ett avtal om Google Apps for Education får vi tillgång till en helhetslösning för digitala tjänster kring utbildning, i form av samarbetsytor, ordbehandling, e-post och återkoppling. 2. Arbetsgrupp för riskanalys av Google Apps for Education Risk- och sårbarhetsanalys utfördes av tre representanter från BUF och ITK; Ingemar Paulson (BUF), Helgi M. Björgvinsson (ITK) och Daniel Magnusson (ITK). Som underlag användes SKL;s vägledning om molntjänster i skolan 1 samt redan utförda analyser från Kalmar kommun, Simrishamn kommun och Göteborgs stad. Resultat från denna analys ska så förankras inom skolledningen samt stadskansliets jurist. När den har godkänts av dessa parter läggs den för Barn- och utbildningsnämnden (härefter BUN) för slutligt godkännande. 3. Syfte Risk- och sårbarhetsanalysen anses vara ett styrande dokument som beskriver vilka grundläggande risker och åtgärder som måste efterföljas vid användande av Google Apps for Education i Falu kommun. 4. Utbildning och genomförande IKT-arbetsgruppens åsikt är, Att det är viktigt att det utses en övergripande systemförvaltare. Att det kommer att behövas förvaltningsorganisation till stöd till systemförvaltare. 1

3 3 (16) Att i den mån användning av GAFE påverkar styrande dokument och blanketter ska dessa uppdateras. Att skolformerna tillsätter representanter som ska ansvara för framtagande av införandeplan samt ledande av själva införandet, skapande av riktlinjer och rutiner samt utveckling av lösningen efter införandet. Att innan lösningen släpps till elever finns en utvärdering av möjliga risker finns för användande av den. Om det finns någon risk ska det finnas framtagna riktlinjer och/eller rutiner för hur dessa ska undvikas och/eller hanteras. Att pedagoger behöver vara utbildade i verktyget innan den släpps till elever. Att det är viktigt att ta hänsyn till lärarnas arbetsbörda i införandet. 5. Kostnader GAFE som verktyg är kostnadsfritt, i direkt mening. Indirekt genereras dock kostnader för bl.a. integration, support, utbildning, utbyggnad av nätverk, och så vidare. 6. av användningen På styrgruppsmöte 4 april 2016 för projektet Digital skola Falu kommun togs beslut om att GAFE ska användas som pedagogisk kommunikations- och samarbetsplattform inom alla skolformer som hör under Falu kommuns Barn- och ungdomsförvaltning. Skolformer innefattar förskola, grundskola, gymnasium och vuenutbildning. Elever och personal, anställda inom BUF, kommer att få tillgång till GAFE för eempelvis Informationsspridning av allmän karaktär mellan elever, pedagoger och övrig personal. Delning och samarbete kring pedagogiskt material och arbetsmaterial. Lagring av dokument och filer med möjlighet till samarbete och delning mellan elever, pedagoger och övrig personal.. Tillgång till verktygsprogram för olika behov i skolarbetet, eempelvis: o E-post för kommunikation och information Personal kommer även ha ett e-postkonto i kommunens ordinarie e-postsystem, vilket är det officiella e-postkontot och ska användas för etern kommunikation. o Kalender för planering, struktur och informationsspridning o Drive för att spara, dela och samarbeta kring dokument och filer samt tillgång till olika kontors- och verktygsprogram. o Classroom som en pedagogisk samarbetsyta mellan pedagoger och elev. Grundinformation om elever och medarbetare hämtas från skoladministrativt respektive personaladministrativt system för att skapa elev- och personalkonton i GAFE.

4 4 (16) 7. Behandling av personuppgifter 7.1 Ändamål med behandlingen Personuppgifterna kommer endast att behandlas för följande ändamål: GAFE är ett pedagogiskt arbetsverktyg som ska användas för digitalt samarbete i lärsituationen mellan elever, pedagoger och övrig personal. 7.2 Typ av uppgifter Endast personuppgifter om användaridentitet och liknande indirekta personuppgifter kommer att behandlas; elevers och medarbetares namn, klass, skola och liknande. Namn och faktainformation om elevarbeten kommer att förekomma i löpande tet. Inga andra känsliga uppgifter som personnummer, kön, religiös tillhörighet eller etniskt ursprung registreras. Strukturerad dokumentation om eleverna, fördjupad information om elevers prestationer och pedagogers omdömen kommer inte att lagras i tjänsten. Inga känsliga personuppgifter kommer att behandlas. Detta säkerställs genom instruktioner och utbildning av användarna. 7.3 Tillåten behandling Personuppgifter behandlas av skolverksamheten för fullgörande av sina arbetsuppgifter, bland annat för genomförande av pedagogiskt arbete, kommunikation och lagring av pedagogiskt material. Innehållet är av okänslig karaktär. Enligt 10 PuL, får detta ske utan individens eller vårdnadshavares samtycke. 7.4 Information till registrerade Information om den planerade behandlingen kommer att lämnas till de registrerade medarbetarna och eleverna. Detta kommer att genomföras genom att ett informationsblad delas ut till varje elev och dess vårdnadshavare, om eleven är under 18 år. Information till medarbetare delas ut via e-post. Information kommer även att finnas på intranät, webbplats, i användarnas standard folder i GAFE och andra kanaler. 7.5 Personsuppgiftbiträde Vid användning av GAFE kommer leverantören Google att fungera som personuppgiftsbiträde åt Falu kommuns barn- och utbildningsnämnd. Mellan parterna finns ett personuppgiftsbiträdesavtal upprättat, som en del av standardavtalet för tjänsten. Genom avtalet kommer Google att ges mandat att anlita underleverantörer för att genomföra personuppgiftsbehandlingen. För underleverantörer gäller samma regler som för Google. Det är Googles ansvar att dessa regler efterföljs, vilket framgår av personuppgiftsbiträdesavtalet.

5 5 (16) 7.6 Överföra personuppgifter till tredje land Leverantören kan komma att överföra personuppgifter till tredje land (land som inte är medlemsland i EU). Vid personuppgiftsbearbetning och datalagring utanför EU krävs att tjänsteleverantören har tecknat särskilda avtal för reglering av bearbetningen. Ett särskilt tilläggsavtal skall finnas som säkerställer att sådan bearbetning sker i enlighet med gällande lagstiftning i Sverige och EU. 8. Avtalsvillkor för tjänsten 8.1 Standardavtal Vid användande av GAFE finns följande avtal som reglerar ansvarsfrågan och parternas åtagande: Google Apps for Education Online Agreement Data Processing Amendment to Google Apps Enterprise Agreement version 1.3 (Personuppgiftsbiträdesavtal) Model Contract Clauses (reglerar överföring av data till tredje land), Standard Contractual Clauses (processors) 8.2 Några viktiga punkter Google kommer att tillämpa svensk lagstiftning när det gäller personuppgiftsbehandlingen. Google kommer att vidta lämpliga säkerhetsåtgärder enligt 31 PuL. Google kommer att skyndsamt besvara personuppgiftsansvarige eventuella frågor om personuppgiftsbehandlingen. Google kommer att bistå med information och utredningsunderlag vid misstanke om obehörig åtkomst till personuppgifterna. Dessutom bedöms att de områden som beskrivs i avsnitten nedan uppfyllas genom avtalet. 8.3 Ändamål med behandlingen Varken leverantören eller de underleverantörer som anlitas får behandla personuppgifterna för några andra ändamål än vad som krävs för att leverera GAFE eller vad som beskrivs av Falu kommun. Google får inte behandla personuppgifterna för egen eller annans del. Google får inte befatta sig med personuppgifterna under några andra omständigheter än som här anges. 8.4 Underleverantörer och kontroll Personuppgiftsbiträdet (Google) kan anlita underleverantörer vilka i så fall kan komma att ta del av personuppgifter. Falu kommun kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av personuppgifterna

6 6 (16) genom att begära att Google skickar en aktuell lista. Google ansvarar för sina underleverantörer, som har samma skyldighet som Google att följa de instruktioner som lämnas av Falu kommun avseende behandling av personuppgifter. 8.5 Uppsägning av tjänsten Vid en uppsägning av tjänsten kommer data och metadata behöva flyttas till annan iktlösning 2 för att viktig information ska kunna bevaras. Personuppgifter eller annan information kommer inte att finnas kvar hos Google eller dess underleverantörer. Radering av uppgifter kommer att genomföras i enlighet med beskrivningen i de styrande avtalen. 2 Ikt = Information och KommunikationsTeknologi

7 7 (16) 9. Risk- och sårbarhetsanalys Elevers arbetsmaterial i skolan går förlorad pga. systemfel i GAFE. Risk 1 Alla elevers arbete är förlorade för alltid. Sker i ett etremt känsligt läge t.e. slutet på ett läsår. Omarbete, förseningar, merarbete m m. Kan leda till att användare tappar förtroende för GAFE som verktyg. Kommentar: Dokumentation av elevs lärande och utveckling samt betygsättning sker i annat system, antingen på kommunens egna servrar eller i skolans administrativa system. Det ska finnas styrande dokument, kontrollfunktioner, instruktioner och rutinbeskrivningar samt utbildningar för att säkerställa att denna typ av information inte hanteras inom GAFE. Risk 2 Medarbetares arbetsmaterial går förlorad pga. systemfel i GAFE. Alla pedagogers arbete är förlorade för alltid. Sker i ett etremt känsligt läge t.e. slutet på ett läsår. Omarbete, förseningar, merarbete m m. Kan leda till att användare tappar förtroende för GAFE som verktyg.

8 8 (16) Kommentar: Betydelsefull data kan lagras både i molnet och lokalt på användarens dator för att minimera risken för dataförlust. Risk 3 Obehörig får del av arbetsmaterial genom felaktig hantering av tjänsten. Oönskad spridning av informationen. Störningar i det pedagogiska arbetet. Osäkerhet när det gäller användares aktivitet om det finns oklarhet i identifieringen. Kan leda till att användare tappar förtroende för tjänsten. Kommentar: Vid delning utanför tjänsten varnas användaren och görs medveten om att information kommer att delas utanför Falu kommuns domän. Standarinställning för delning är satt till inom Falu kommuns domän. Det ska finnas styrande dokument, kontrollfunktioner, instruktioner och rutinbeskrivningar samt utbildningar för att säkerställa en korrekt hantering samt att känslig information inte hanteras inom tjänsten.

9 9 (16) Risk 4 Obehörig får del av personuppgifter genom felaktig hantering av tjänsten. Oönskad spridning av informationen. Störningar i det pedagogiska arbetet. Osäkerhet när det gäller användares aktivitet om det finns oklarhet i identifieringen. Kan leda till att användare tappar förtroende för tjänsten. Kommentar: Vid delning utanför tjänsten varnas användaren och görs medveten om att information kommer att delas utanför Falu kommuns domän. Standarinställning för delning är satt till inom Falu kommuns domän. Uppdatering av namn, klass och skolenhet samt grupptillhörigheter sker automatiskt i realtid, vilket gör att delning med personer och grupper inom tjänsten kommer att hålla hög korrekthet. Det ska finnas styrande dokument, kontrollfunktioner, instruktioner och rutinbeskrivningar samt utbildningar för att säkerställa en korrekt hantering samt att känslig information inte hanteras inom tjänsten.

10 10 (16) Risk 5 Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. Förlust av anseende för kommunen. Krav i lag och/eller förordning kan inte uppfyllas. Kan framtvinga hävning av avtal och/eller byte av leverantör. Risk för informationsförlust. Kommentar: Avtalet sägs upp och det upprättas en plan för hur data flyttas från molntjänsten till annat system för att kunna migreras om så skulle bli fallet. Risk 6 Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen, medarbetar tappar förtroende för sin arbetsmiljö. Kommentar: Avtalet sägs upp och det upprättas en plan för hur data flyttas från molntjänsten till annat system för att kunna migreras om så skulle bli fallet.

11 11 (16) Risk 7 Personal hos leverantör läser elevernas e-post (obehörig access). Obehörig får del av information av privat karaktär. Kan leda till att användare tappar förtroende för tjänsten. Kommentar: Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören anlitats för. I händelse ta sägs avtalet upp och ny leverantör anlitas. Risk 8 Leverantören förmår inte upprätthålla tillgängligheten av tjänsten. Störningar i lärandet, användarna tappar förtroende för sin arbetsmiljö. Ekonomiska konsekvenser vid förlorad arbetstid. Kommentar: Enligt avtalsteter har Google flera olika geografiskt åtskilda datahallar med replikering. Det ska finnas rutiner för pedagoger hur de ska göra om detta inträffar under lektion.

12 12 (16) Risk 9 Information och personuppgifter raderas inte efter att elev eller medarbetare har slutat i verksamheten. Tjänsterna kan fortsätta användas trots att elev eller medarbetare inte tillhör skolan. Intern information kan spridas till utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov. Kommentar: Avslutande av konton styrs av kommunen. Leverantören garanterar i avtal att personuppgifter raderas i enlighet med instruktioner från kommunen. Kontrollfunktion som säkerställer att detta görs kommer att införas. Risk 10 Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö. Störningar i IT-leveransen. Ekonomiska konsekvenser. Kommentar: Kommunen själv och leverantören har väl etablerat skydd mot virus och fientlig kod. Rutiner för uppdatering av antivirusprogam och uppdatering av system verifieras.

13 13 (16) Risk 11 Leverantören behandlar personuppgifterna för egna ändamål. Kommunen kan anses bryta mot gällande lag. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Kommentar: Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören anlitats för samt att känslig information inte hanteras inom tjänsten. Risk 12 Leverantören förändrar innehållet i tjänsten (funktioner adderas eller förändras). Kommunen behöver utbilda/informera användarna om den nya eller förändrade tjänsten. X Kommentar: Risken möts genom att Point of Contact/Systemägaren gör en konsekvensanalys vid förändring. Rutin införs där systemförvaltare får i uppgift att säkerställa att ev. förändringar inte påverkar användningen av tjänsten.

14 14 (16) Risk 13 Leverantören förändrar innehållet i tjänsten (funktioner tas bort som är vitala). Avtalet kan behöva förändras för att stämma med ny funktionalitet. Personuppgiftsbehandlingen kan förändras. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust. Kommentar: Risken möts genom att Point of Contact/Systemägaren gör en konsekvensanalys vid förändring. Risk 14 Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten. Information som man vill behålla i verksamheten förloras och man måste börja om från noll varje gång man byter leverantör. Risk för inlåsning till befintlig leverantör. Kommentar: GAFE tillhandahåller verktyg för att flytta data från deras molntjänst. Data kan även flyttas till kommunens lokala IT-miljö via en hybridkoppling

15 15 (16) Risk 15 Användaren lagrar otillåten data i GAFE (användaren hanterar information på ett felaktigt sätt). Kommunen riskerar att, vid en granskning, dömas för att inte PuL efterföljts i kommunen. Kommentar: Rutin och instruktioner till användarna vad som får lagras respektive inte får lagras tas fram, kontinuerligt underhålls och tillhandahålls till alla användare. Slutsats riskanalys risk Riskbedömning Åtgärd Prioritet 1. Elevers arbetsmaterial i skolan går förlorad pga. systemfel i GAFE. S: K: Krav på leverantören, att det finns backup av tjänsten, vilket säkerställs via avtalen. Detta ska kontrolleras regelbundet enligt rutiner som läggs i GAFE förvaltningsplan. LÅG 2. Pedagogers arbetsmaterial går förlorad pga. Systemfel i GAFE. S: K: Betydelsefull data lagras både i molnet och lokalt på användarens dator för att minimera risken för dataförlust. LÅG

16 16 (16) 3. Obehörig får del av arbetsmaterial genom felaktig hantering av tjänsten S: Sällan K: Det ska finnas styrande dokument, kontrollfunktioner, instruktioner och rutinbeskrivningar samt utbildningar för att säkerställa korrekt hantering. Känslig/sekretessbelagd information hanteras inte i GAFE. LÅG 4. Obehörig får del av personuppgifter genom felaktig hantering av tjänsten S: K: Det ska finnas styrande dokument, kontrollfunktioner, instruktioner och rutinbeskrivningar samt utbildningar för att säkerställa korrekt hantering. Känslig/sekretessbelagd information hanteras inte i GAFE. MEDEL 5. Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. S: K: Leverantören ska etablera och upprätthålla en informationssäkerhet som kan kontrolleras och som fortlöpande prövas av kommunen. MEDEL 6. Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. S: K: Ytterligare granskning av avtalet ska utföras för att säkra den legala aspekten när den här risken aktualiseras. På detta görs sedan bedömning av ev. tillkommande åtgärder. LÅG 7. Personal hos leverantör läser elevernas e-post (obehörig access). S: K: Betidande Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören anlitats för. I händelse ta sägs avtalet upp och ny LÅG

17 17 (16) leverantör anlitas. 8. Leverantören förmår inte upprätthålla tillgängligheten av tjänsten. S: K: t Nivån på tillgänglighet skall regleras i avtal. Nivån ska vara konkret och mätbar. En intern rutin för att kontrollera tjänstens tillgänglighet. LÅG 9. Information och personuppgifter raderas inte efter att elever har slutat i verksamheten. S: K: Avslutande av konton styrs från kommunen. Leverantören garanterar att data raderas i enlighet med instruktioner från kommunen. Kontrollfunktioner som säkerställer leverantörens efterlevnad kommer att införas. MEDEL 10. Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga ITmiljö. S: K: Kommunen och leverantören har väl etablerade skydd mot virus och fientlig kod. GAFE kommer inte öka risken för spridning jämfört med övrig miljö. MEDEL 11. Leverantören behandlar personuppgifterna för egna ändamål. S: K: Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören har anlitats för. Kontrollfunktioner som säkerställer leverantörens efterlevnad kommer att införas. MEDEL

18 18 (16) 12. Leverantören förändrar innehållet i tjänsten (funktioner adderas eller förändras). S: Regelbundet K: Leverantören informerar löpande om förändringar. Kommunen inför rutiner för att granska förändringarna och ta ställning till konsekvens. Informationen till användare behöver ses över. MEDEL Leverantören informerar löpande om förändringar. MEDEL 13. Leverantören förändrar innehållet i tjänsten (funktioner tas bort som är vitala). S: K: Kommunen inför rutiner för att granska förändringarna och ta ställning till konsekvens. Informationen till användare behöver ses över 14. Data och metadata kan inte överföras till annan ITlösning vid avslutande av tjänsten. S: K: Dokumentation för enskild och för systemet som helhet tas fram för att kunna hantera överföring av data. LÅG 15. Användaren lagrar otillåten data i GAFE (användaren hanterar information på ett felaktigt sätt). S: Sällan K: Rutin och instruktioner till användarna vad som får lagras respektive inte får lagras tas fram. HÖG

19 19 (16) 10. Sammanfattande bedömning Endast okänsliga personuppgifter kommer att behandlas i tjänsten. De registrerade kommer att få information och personuppgiftsbiträdesavtal har upprättats. Av detta framgår hur den personuppgiftsansvarige säkerställer sin kontroll över behandlingen och anlitande av underleverantörer. Riskanalysen utvisar inga risker som motiverar att verksamheten skulle avstå från att använda molntjänsten. Riskerna med Google Apps for Education bedöms som begränsade och hanterbara. I förvaltningen av GAFE som IT-system ingår att kontinuerligt tillse att det finns rutiner och dokument som styr och reglerar hanteringen av GAFE, såväl i ett administrativt som i ett användarperspektiv. Torbjörn Fernkvist Biträdande förvaltningschef Ingemar Paulson IT-strateg