Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering

Relevanta dokument
VÄGLEDNING INFORMATIONSKLASSNING

Riktlinjer för informationssäkerhet

Fortsatt arbete utifrån dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

Dataskyddsförordningen och Lunds universitet KRISTINA ARNRUP THORSBRO 30/

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

INTRODUKTION TILL DATASKYDDSFÖRORDNINGEN OCH BEHANDLING AV PERSONUPPGIFTER VID HÖGSKOLAN

Instruktion till mall för registerförteckning

Pass 6. Skydd för personlig integritet. SND Svensk nationell datatjänst

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Policy för personuppgiftsbehandling

(5) Integritetspolicy - Kumla Bostäder AB

Att vara förberedd inför dataskyddsförordningen, GDPR. Denna presentation utgår i första hand från ett informationssäkerhetsmässigt perspektiv

PRINCIPER FÖR BEHANDLING AV PERSONUPPGIFTER I SALA KOMMUN

INTEGRITETSPOLICY FÖR HUFVUDSTADENS HYRESGÄSTER

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

DATASKYDDSFÖRORDNINGEN GDPR GENERAL DATA PROTECTION REGULATION. 25 maj 2018

Behandling av personuppgifter vid Göteborgs universitet

Riktlinjer för informationssäkerhet

Policy för sociala medier i Stockholms stad

GDPR-DSF. Göran Humling IKT-Kommittén PRO Uppsala Län

GDPR. Ulrika Harnesk 17 oktober 2018

Workshop II inför dataskyddsförordningen, GDPR

Informationsklassificering i e-arkiv Stockholm utifrån dataskyddsförordningen. och Offentlighets- och sekretesslagen

Regler för studenters behandling av personuppgifter vid Högskolan i Borås

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

GDPR. Anders Ahlström

Riktlinje för hantering av personuppgifter i e-post och kalender

Riktlinjer för anställdas behandling av personuppgifter vid Högskolan i Borås

Workshop inför dataskyddsförordningen, GDPR

Säker informationshantering

BEHANDLING AV PERSONUPPGIFTER VID UPPSATSARBETEN. En handledning för lärare och studenter

Dataskyddsförordningen ( GDPR ) Vad innebär förordningen för verksamheten?

Den nya dataskyddsförordningen

Manual för ansökan till Stiftelsen Kjellbergska Flickskolans Donationer

Upprättad Antagen Ks , 97 Senast reviderad. Dataskyddspolicy Hur vi inom Kiruna kommunkoncern ska behandla personuppgifter

GDPR Panik eller full koll på läget?

DATASKYDDSFÖRORDNINGEN. Webbinar den 26 april 2018

Kerstin Wardman, 25 april 2018

Informationsbrev. De nyheter som jag vill vara särskilt tydlig med är:

Anmälan av personuppgiftsincident

Information om dataskyddsförordningen

GDPR- Seminarium 2017

Fastställd av GD 21 augusti 2018 Upphör att gälla 21 augusti 2021 Ansvarig: A/JUR Dnr: 2018/898 DATASKYDDSPOLICY

Anmälan av personuppgiftsincident

Stiftelsen PETTERSILFVERSKIÖLDSMINNESFOND

För- och efternamn:... Personnummer:... Adress:... Postadress:... Tel. bostad:... Tel. arbete:... Målsmans namn:... Ändamål:

Dataskyddsförordningen i utbildningsverksamhet

Välkommen Expertanvändarträff Siebel och Phoniro

Ansökan om bidrag för vetenskaplig forskning Stiftelsen Elna Bengtssons Fond

Personuppgiftsbehandling vid examinerande moment och examensarbete vägledning för studenter med kommentarer för handledare och examinatorer

Mertzig Asset Management AB

Dataskyddsförordningen 2018

GDPR Utbildning Varför görs denna förändring? När börjar den nya lagen gälla? Individens rätt Likformighet Uppdatering Kostnadsbesparingar

Riktlinjer för webbpublicering av protokoll i Gislaveds kommun

Förteckning över personuppgifter som behandlas i C3 Connect

Dataskyddsförordningen 2018

Dataskyddsförordningen - GDPR

Lotta Kavtaradze. Jur. kand. och PUL-konsult PUL-Akademin

Personuppgiftslagen (PuL) - En kort introduktion

Allmänna råd. Vi har lagring i flera miljöer som är uppdelat regionalt och lokalt.

Den nya Dataskyddsförordningen

Anpassning till DSF

Rutin för webbpublicering av personuppgifter

Göran Rydeberg, Stockholms universitet

Informationsklassificering i e-arkiv Stockholm utifrån Personuppgiftslagen och Offentlighets- och sekretesslagen

Dataskyddsförordningen för kommunikatörer

CARL JÖNSSONS UNDERSTÖDSSTIFTELSE II 1 (6)

Bilaga - Personuppgiftsbiträdesavtal

Riktlinjer för informationssäkerhet

Punkt 21 Riktlinje för fritextfält

Nya regler för personuppgifter (Dataskyddsförordningen GDPR) Postad av Ronnie Lidström - 13 feb :03

INTEGRITETSPOLICY FÖR RYHED IDROTT OCH REHAB AB

Till dig som använder bildspelet för att presentera!

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Dataskyddsförordningen för prefekter och administrativa chefer

Lathund Personuppgiftslagen (PuL)

Riktlinjer för publicering av personuppgifter på webbplatser 16 KS

Mats Gustavsson Jurist Personuppgiftsombud Karolinska Institutet tfn ,

Stiftelsen Ernst Wallins fond för understöd åt Pauvres Honteux

Hallsbergs Bostadsstiftelses integritetspolicy

Riktlinjer för diariet på Internet

Kommunstyrelsen. Godkänt av kommunstyrelsen , 77 Kompletterad av kommunstyrelsen , 162

Marianne och Ary Paleys stipendiestiftelse

Lindesbergs kommuns arbete med dataskyddsförordningen

Personuppgiftsinformation för Svedala kommun

Södertörns brandförsvarsförbund

Vad är en personuppgift och vad är en behandling av personuppgifter

Datainspektionen informerar

Hambergska Stiftelsen har bildats i enlighet med fröken Ulla Hambergs testamente den 6 september 1917.

BlueStep Banks AB (publ) Integritetspolicy

Anmälan om att en arbetsgivare brister i arbetet med aktiva åtgärder

INTEGRITETSPOLICY FÖR BOSTADSRÄTTSFÖRENINGEN BOKLOK Eriksbergsbergsterrassen

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Följande personuppgifter samlas in och behandlas av Nanoflex i samband med att du använder Tjänsten:

INFORMATIONSSÄKERHET OCH DATASKYDD

Anmälan om att en utbildningsanordnare brister i arbetet med aktiva åtgärder

Integritets Policy -GDPR Inledning Syfte Behandling av personuppgifter

Användande av Google Apps For Education

Kvalitetsregisterdag

Ledningens informationssäkerhet

Transkript:

Konfidentialitet (K) Är informationen att betrakta som konfidentiell för medarbetare eller tredje part? Innehåller informationen personuppgifter? Är Information av värde för organisationen (ekonomiskt eller annat) Innehåller informationen känsliga personuppgifter? Har informationen särskilda sekretesskrav? Kan informationen beläggas med sekretess? Exempel på information Information som presenteras publikt på UUs webb, allmän handling som inte faller under sekretess Intern information som inte innehåller personuppgifter och inte faller under sekretess, kontrakt/avtal Personuppgifter (allt som kan kopplas till en person), loggar, användarens information/data, forskningsdata Känsliga personuppgifter eller information kopplad till person med skyddad identitet, lösenord, kryptonycklar, brandväggsregler, särskilt känslig forskningsdata Möjliga konsekvenser av brister Inga konsekvenser Kan medföra obehag eller begränsad ekonomisk förlust för enskilda personer, eller begränsad skada för universitetet eller tredje part Kan orsaka omfattande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada för universitetet eller tredje part Kan medföra skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarligt skada för universitetet eller tredje part

Riktighet (R) Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering Kan oriktig information medföra skada? Kan oriktig information orsaka omfattande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada för universitetet eller tredje part Kan oriktig information medföra skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarligt skada för universitetet eller tredje part Exempel på information - Allmän information till externa användare, intern/extern kommunikation via e-post Forskningsmaterial, Artiklar, studentuppgifter grund- och forskarutbildning, personalärenden, loggar Klinisk data/patientuppgifter, lösenord, brandväggsregler, särskilt känslig forskningsdata Möjliga konsekvenser av brister Inga konsekvenser Kan medföra obehag eller begränsad ekonomisk förlust för enskilda personer, eller begränsad skada för universitetet eller tredje part Kan orsaka omfattande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada för universitetet eller tredje part Kan medföra skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarligt skada för universitetet eller tredje part

Tillgänglighet (T) Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering Medför avbrott negativ påverkan på verksamheten? Medför avbrott som varar mer än 4 timmar negativ påverkan på verksamheten? Finns krav på fullständig redundans? Exempel på information - Personalärenden, ekonomidata, lönelistor, loggar. Myndighetens diarium System som påverkar liv och hälsa. Möjliga konsekvenser av brister Inga konsekvenser. Kan medföra obehag eller begränsad ekonomisk förlust för enskilda personer, eller begränsad skada för universitetet eller tredje part. Kan orsaka omfattande obehag eller ekonomisk förlust för enskilda personer, eller omfattande skada för universitetet eller tredje part. Kan medföra skada på liv eller hälsa för enskilda personer, eller orsaka omfattande obehag eller ekonomisk förlust för ett stort antal personer, eller mycket allvarligt skada för universitetet eller tredje part.

Referenstabell för informationsklassificering standardvärden för olika informationstyper Nedanstående referenstabell innehåller standardvärden för ett antal informationstyper som är vanligt förekommande vid universitetet. Angivna KRT-värden är baserade på ett mer omfattande material, där klassningsvärden från ett stort antal institutioner och övriga verksamheter sammanställts. En specifik informationsklassificering (bedömning av KRT-värden) behöver göras i varje unikt sammanhang nedanstående bedömningar kan användas som vägledning tillsammans med det klassningsstöd som presenterats ovan. Beteckning KRT-värde Ev. kommentar Personuppgifter 221 All slags information som kan knytas direkt till en person som är i livet såsom personnummer, namn, adress etc. Även uppgifter som mer indirekt kan knytas till en person räknas som personuppgift, exempelvis IP-nummer. Känsliga personuppgifter 321 Def. enligt dataskyddsförordningen: ras eller etniskt ursprung politiska åsikter religiös eller filosofisk övertygelse medlemskap i en fackförening hälsa en persons sexualliv eller sexuella läggning genetiska uppgifter och biometriska uppgifter som entydigt identifierar en person Klinisk data/patientuppgifter 331 Anonymiserade personuppgifter (även klinisk data/patientuppgifter) Pseudonymiserade personuppgifter (klinisk data/patientuppgifter) 121 Uppgifterna ska vara anonymiserade på ett sätt som omöjliggör att härleda dessa till en unik person. Ingen nyckel får finnas någonstans i världen. 121 Säker nyckelhantering utgör ett absolut krav Pseudonymiseringsnyckel 331 Personalärenden 221 Exempel: semester, anställningsavtal

Konfidentiella 321 Exempel: sjukintyg personalärenden Offentlig information i 022 diarium Sekretessbelagd information i 322 diarium Forskningsmaterial 222 Forskningsinformation 231 innehållande personinformation Humant/icke humant 322 genetikdata Studentuppgifter 221 Kursutvärderingar 211 Undervisningsmaterial 222 Disciplinärenden 322 Besöksinformation 211 Information om besökare vid UU Ekonomidata 221 Ritningar (öppna) 011 Ritningar (skyddade) 322 Backup Beroende på klassningen på den information backupen innehåller Loggar Beroende på klassningen på den information som hanteras

Klassningsvärden för centrala system Bilaga 2 till Rutiner för riskhantering (UFV 2018/211) Instruktion för genomförande av informationsklassificering Ett systems klassningsvärde (KRT-värde) bygger på det högsta klassningsvärdet för respektive aspekt (konfidentialitet, riktighet och tillgänglighet) som påträffas bland de informationsmängder som systemet hanterar. I momentet kravanalys säkerställs att systemet lever upp till en säkerhetsnivå som motsvarar systemets klassningsvärde. Efter dialoger med olika delar av verksamheten har informationsklassificeringar och kravanalyser för centrala system genomförts, detta inom ramen för universitetets centrala förvaltningsorganisation se https://mp.uu.se/web/info/vart-uu/e-forvaltning. Nedan listas klassningsvärden för ett antal centrala system som har en tydlig koppling även till institutioners verksamhet. System Informationsklassning (KRT) e-område AKKA 332 Katalog och integration Nya Raindance, RD2018 321 Ekonomi och inköp Electronic Laboratory Notation, ELN 221 Forskningsadministration Doktoranddatabasen, DDB 221 Forskningsadministration Primula 321 HR KLARA 221 LOSÄK Studentportalen 322 Lärande och utbildning Blackboard learn 322 Lärande och utbildning

VFU-portalen 311 Lärande och utbildning Adobe Connect 212 Lärande och utbildning Uppdok 322 Studieadministration W3D3 322 Ärende och dokumenthantering E-arkiv 322 Ärende och dokumenthantering