EU Dataskyddsförordning Trygghetslarm Osh. NanoLearning LänsITrådet. RSA messenger NIS och KIS möte

Transkript

1 Informationssäkerhet i regional samverkan! Nr 2, 2016 Månadsbrev februari 2016 Samverkan Informationssäkerhet I Kalmar län samverkar kommunerna, landstinget och regionförbundet i informationssäkerhetsfrågor. Månadsbrevens syfte är att sprida information till parterna. Tidigare månadsbrev hittar du här: Innehåll Denna månad präglas av aktiviteter inom dataskyddsförordningen, säkerhetsskyddslagen, e-blomlådan, öppna nät, e-learning, ITIL och välfärdsteknik. Några genomförda aktiviteter februari 2016 Mötesplats Välfärds Teknologi, MVT FIDI KLASSA Mönsterås EU Dataskyddsförordning Trygghetslarm Osh NanoLearning LänsITrådet Melker Kommunchefsmöte RSA messenger NIS och KIS möte ITIL introduktion 50 personer lärde sig om EU Dataskyddsförordning Den 17 mars genomfördes en utbildningsdag om EU dataskyddsförordning, som kommer att ersätta får nuvarande personuppgiftslag. Vi gick igenom delar av förordningen i stora drag och jämförde med nuvarande kravbild. Vilka åtgärder behöver vi vidta och förbättra för att uppfylla kommande lagrum? Faktum är att om vi idag fullt ut hanterar alla krav i vår personuppgiftslag rätt (vilket vi tyvärr inte gör), så är det inte så stor skillnad. Men det finns några väsentliga skillnader, som att tillsynsmyndigheten har rätt att utföra böter på betydande belopp, samt att kraven på incidenthantering och rapportering till berörda är skärpt. Förordningen främsta syfte är att stärka medborgarnas integritet i det alltmer digitaliserade samhället. Det finns möjlighet att genomföra enskilda analyser på plats i respektive kommun och landstinget i syfte att identifiera nödvändiga åtgärder särskilt i den egna organisationen. Vill ni ta del av materialet från mötet så kontakta mig eller den hos er som deltog. Ett troligt nästa steg är att länets personuppgiftsombud samverkar genom ett länsnätverk, något som efterfrågats en tid. E-blomlådan utvecklas med indikatorer för informationssäkerhet! E-blomlådan är en tjänst för självvärdering som SKL tillhandahåller. Den består av tre nivåer, IT som möjliggörare, verksamhetsutveckling och erhet tionssäk Informa e-tjänster. Varje nivå har indikatorer med koppling till SKL:s strategi för e-samhället. Kommunernas självvärderingar utgör underlag för kommande satsningar. Just nu pågår arbete med att utveckla e-blomlådan, bland annat med indikationer för informationssäkerhet. Som bilden till höger illustrerar, så kommer e-blomlådan växa ytterligare om näring tillförs i form av en lagom dos informationssäkerhet. De indikationerna som föreslås ligger på en övergripande nivå som ledning, resurser, systematik, processer och regelverk. Läs mer om e-blomlådan här: Regionförbundet i Kalmar län Stephen Dorch Nygatan 34, Kalmar , sdh@rfkl.se,

2 Vad är ett öppet nät? Om vi kommunicerar över öppet nät med känsliga personuppgifter gäller särskilda krav för att skydda information. Kraven återfinns i föreskrifter t.ex. SOSFS2008:14 1 samt i 31 personuppgiftslagen och omfattar krav på att ingen obehörig kan ta del av känslig information, vilket bland annat säkerställs genom stark autentisering. Men vad menas med öppet nät, är ett kommunnätverk ett öppet nät? Den 16 februari diskuterade jag frågan med datainspektionen som menar att ett öppet nät är 2 ett nätverk som trafikeras av fler aktörer utöver den personuppgiftsansvarige och som därigenom bereds möjlighet till åtkomst av personuppgifter eller andra resurser. Avgörande är hur nätet är konfigurerat, vilka och hur många som är anslutna och hur god säkerheten är på nätverket. Det måste finnas processer som kontrollerar att det interna nätet är säkert. Uppfylls dessa krav är nätet inte ett öppet nätverk. E-learning kommer snart till dig Den 19 februari träffades representanter från samtliga kommuner för att tillsammans med leverantören lära sig mer om E-learning genom verktyget NanoLearning. Under 10 dagar har deltagarna fått pröva på verktyget och reflektera över hur det bäst kan användas i respektive kommun. Just nu pågår uppföljning där kontaktpersonerna i respektive kommun diskuterar innehåll, pedagogik och strategi för genomförande. Som jag tidigare nämnt består NanoLearning av korta lektioner på 2-4 minuter som genomförs någon gång per vecka under en längre period. Vi väljer själva vilka lektioner som ska genomföras och skapar nya lektioner som är anpassade till våra egna faktiska förhållanden. Läs mer om NanoLearning i månadsbrev nr 11/ och nr ITIL introduktion Närmare 40 personer fick den 29 februari en introduktion till ITIL. Min förhoppning var att det skulle bli tydligare på vilket sätt ITIL kan användas som modell för små och medelstora kommuner att utveckla verksamheten samt tydliggöra roller och ansvar. Även om kursmaterialet var bra så fanns det mer att önska, denna gång blev det inte bra varpå jag har stämt av med leverantören för att säkerställa kvalitén på kommande aktiviteter. ITIL är en samling goda exempel på hur IT kan organiseras och levereras till verksamheten. Vad är samhällsviktig verksamhet? Säkerhetsskyddslagen från 1996 är under översyn, det föreslås en ny säkerhetsskyddslag som bättre möter dagens hot och utmaningar. Vi ser en växande hotbild där alla måste vara med och ta ansvar. Vi går från en antagonistisk hållning där Sverige som nation hotas till en mer lokal och regional hotbild. Den nya lagen omfattar Sveriges säkerhet vilket ska ställas mot nuvarande benämning som är Rikets säkerhet. Innebörden är strävan att utveckla och stärka arbetet med samhällets säkerhet. Under hösten var lagförslaget ute på remiss, vilket medfört att den blivit mer känd och diskuteras nu i olika sammanhang runt om i Sverige, inte minst bland Sveriges kommuner. Vi får alltså ytterligare en lagstiftning som stärker 1 inom informationshantering hälso- och sjukvård. 2 Källa: Datainspektionen diarienr samt , finns hos mig.

3 informationssäkerheten. Min bedömning är dock att det finns andra lagstiftningar som just nu mer påtagligt stödjer och utvecklar kommunernas informationssäkerhet på kort sikt, men att vi ska följa och beakta utvecklingen kring säkerhetsskyddslagen på längre sikt. Säkerhetsskyddslagen utgör toppen på pyramiden nedan, medan annan lagstiftning som PUL, PDL, SOL, OSL etc ligger i den nedre delen av pyramiden. Om detta berättade regeringens utredare på MSB:s konferens informationssäkerhetsdagarna 3 i september Säkerhetsskyddslagen i pyramidens topp motsvarar nivå 4 verktyget KLASSA, medan annan reglering motsvarar nivå 1-3. PUL OSL PDL Arkivlag SOL När lagen väl träder i kraft väntar betydande utmaningar, inte minst när det gäller krav på förebyggande insatser, analyser, uppföljning, incidenter, rapportering samt processen som fastställer vad som faktisk är samhällskritisk verksamhet. Om detta har både SKL 4 och MSB 5 lämnat betänkande. Välfärdsteknologi vad är det? Enkelt uttryckt handlar det om hur vi använder oss av teknik för att utveckla välfärden. Teknik har i alla tider bidragit till samhällets utveckling. Ett exempel är hjulet, med vars hjälp det blev enklare att dra en skottkärra. Hjulet leder oss till bilen, vars utveckling gått från mekanik till miljö och säkerhet. Idag är det otänkbart att utveckla en bil utan att säkerheten är integrerad i varje liten detalj. Välfärdsteknologi och säkerhet! Med tekniken som möjliggörare utvecklas och förändras samhället som blir allt mer automatiserat, inte minst inom vård och omsorgssektorn. Vår förmåga att tillvarata digitalisering är en förutsättning för att klara den demografiska utvecklingen. Ett exempel är möjligheten att med sensorer i hemmet utföra tillsyn på distans. I likhet med bilen ovan vore det fullständigt otänkbart att införa dessa tjänster utan integrerad säkerhet. Säkerhet i form av kryptering, loggning, åtkomst, robusthet och annat tekniskt skydd är viktigt, men det stannar inte där. Det handlar lika mycket om regler, rutiner och processer, t.ex. vem ska utföra tillsynen och när ska det ske? Vilken insyn har brukaren och dennes anhöriga? Individens integritet ska beaktas fullt ut i alla avseenden, det är ett oavvisligt krav. Ingen ska behöva kännas sig kränkt som en följd av hur tillsynen går till. Man kan ställa sig frågan vilket

4 av följande tillsyn som är minst kränkande, en tillsyn som sker nattetid genom att någon fysiskt går in i rummet och känner efter om blöjan är torr eller om tillsynen sker med nattkamera, fuktsensor och larm? Många anser att det senare är att föredra, men det förutsätter en tillit som enbart kan baseras på hög kvalitet och rätt säkerhet. Rätt säkerhet förutsätter kunskap om verksamheten, det är anledningen till att jag besökte konferensen mötesplats välfärdsteknologi och ehälsa samt deltog på en heldagsutbildning om trygghetslarm. Material från konferensen hittar ni här 6. Informationssäkerhet och juridik inom välfärdsteknik den 14 mars Nu har ni chansen att lära er mer om informationssäkerhet och juridik inom välfärdsteknik, då Jeanna Thorlund från SKL genomför en heldagsutbildning på Oskarshamns folkhögskola. Jeanna är jurist och sakkunnig inom informationssäkerhet. Hon har tidigare arbetat på datainspektionen och på Västerås stad med dessa frågor. Anmälan är fortfarande öppen och finns på denna länk; Informationssäkerhet på IT sydost i Blomstermåla Den 30 mars föreläser jag på Mönsterås IT-nätverks årliga IT-mässa i Blomstermåla. Jag kommer att prata om vad företagare behöver fundera över för att säkra företagets information. Hur ser hotbilden ut och vilken skada kan uppstå? Håll utkik på så ses vi där! Utan spaning ingen aning - omvärldsspaning Kommunen varnar för app Socialtjänsten i Gävle kommun varnar föräldrar för appen Periscope, då flera fall av misstänkt grooming och nätpedofili med uppdagats. Kommunen inför ökad öppenhet och insyn med ny riktlinje Handlingar och förslag till beslut ska publiceras på kommunens hemsida i samma stund som kallelsen till nämndernas sammanträden går ut till politikerna, enligt en ny riktlinje som hela kommunstyrelsen står bakom. IT-säkerhet förbättras efter läkarmiss Landstinget i Kalmar förbättrar it-säkerheten efter incidenten med känsliga personuppgifter som av misstag lämnades ut. Filer som innehåller känsliga uppgifter märks automatiskt med sekretess, vilket gör det tydligt att filen innehåller sekretessbelagda uppgifter. Man tittar även på att skapa ett e-postsystem som skickar en varning om ett meddelande innehåller personnummer

5 Ingen har ansvar för informationen Felaktig information om de som har trygghetslarm i Vetlanda. Personal i omsorgen upptäckte att en person beskrevs som palliativ, vilket inte stämde. Nu anmäls ärendet som ett missförhållande då det inte finns någon som har ansvar för information som skrivs in i trygghetslarms-appen. Kommuns hemsida attackerad Härnösand kommuns hemsida utsattes under onsdagseftermiddagen för en överbelastningsattack. Under flera timmar var det omöjligt att komma in på hemsidan. Anhöriga ser uppgifter om andra patienter Datainspektionen riktar kritik mot hemtjänsten då anhörigvårdare kan se uppgifter om betydligt fler personer än sin egen anhöriga. Kommun JO-anmäld för ovarsam hantering Föräldrar har uppmanats av personal att skanna in läkarintyg och mejla över så att anpassningar kan ordnas. Papperskopior av intyg från sjukvården inlämnades. De ska ha skannats och cirkulerats bland personal i förvaltningen. Elavbrott av okänd anledning, ingen vet vad som hänt. Händelsen väcker frågor om hur sårbara vi är, om samhällsviktig verksamhet och risken av att drabbas av angrepp Utvalda aktiviteter mars: Sydarkivera i Växjö KLASSA i Hultsfred och Oskarshamn Torsås om informationssäkerhet SKL, digital utveckling Informationssäkerhet och juridik Mönsterås IT-nätverk Har du synpunkter eller förslag på innehåll i kommande månadsbrev så får du gärna höra av dig till mig. Hälsningar Stephen