Hantering av känslig information inom dricksvattenförsörjningen Ann-Sofie Wikström Vatten & Miljöbyrån
En privatperson begärde hösten 2010 ut ritningar över stora delar av Sydvattens distributionsnät för dricksvatten. De ritningar som begärts ut innehöll placering av vattenledningar, pumpstationer, ventiler och manluckor
Vad är problemet? Information som i sin enskilda form är skyddsvärd Information som i sin enskilda form inte är skyddsvärd, men om den samlas får ett helt annat värde
Initiativtagare till vägledningen Svenskt Vatten tillsammans med Sydvatten och Norrvatten Sett att det fanns ett stort behov i branschen Krav på informationssäkerhet i Lås- och bomföreskriften
Lås- och bomföreskrifterna 6 Den som producerar dricksvatten eller tillhandahåller dricksvatten från en distributionsanläggning ska vidta de administrativa och tekniska åtgärder som behövs för att säkerställa att system för drift och övervakning av dricksvattenproduktionen och dricksvattendistributionen skyddas mot obehörig åtkomst. Även handlingar som är av betydelse för driften och övervakningen ska skyddas mot obehörig åtkomst.
Vägledning till lås- och bomföreskrifterna Exempel på information som är känslig ur säkerhetssynpunkt är kartor och ritningar över råvattentäkter, vattenverk och distributionsanläggningar, men även teknisk driftinformation.
Vägledning till lås- och bomföreskrifterna För att hantera all information på ett säkert sätt är det angeläget att ha en policy och rutiner för hur informationen hanteras, oavsett om den lagras digitalt eller i pappersform. Det är även viktigt att beakta behörighetsfrågorna och ha rutiner för vilka som har tillgång till olika typer av information även inom organisationen.
Syftet med publikationen Vilka uppgifter som eventuellt bör sekretessbeläggas Vilket lagstöd som kan användas i sekretessbedömningen Hur skyddsvärda uppgifter bör hanteras
Begäran om utlämnande av allmänna handlingar Allmänheten har rätt att ta del av handlingar som är allmänna och offentliga Verksamhetsutövaren har inte rätt att efterforska vem personen är eller vad personen ska använda handlingarna till
Begäran om utlämnande av allmänna handlingar En allmän handling är en handling som är förvarad, inkommen till eller upprättad hos verksamhetsutövaren. En handling är en informationsbärare av något slag, den kan därmed vara både i pappersformat och i digitalformat
Begäran om utlämnande av allmänna handlingar För att en handling ska vara offentlig krävs dock: 1. att den är en allmän handling och 2. att den inte är sekretessbelagd Arbetshandlingar som t.ex. minnesanteckningar, utkast, sammanställningar och remisser räknas inte som allmänna handlingar så länge de inte diarieförts eller tagits om hand för arkivering
Sekretessbedömning Det är den som upprättar en handling eller har en handling i sin vård som i första hand ska pröva om den ska lämnas ut Sekretessbedömning måste göras i varje enskilt fall av innehållet i den handling som ska sekretessbeläggas Det är inte tillåtet att generellt stämpla en handling med sekretess utan konkreta grunder Sekretess enligt offentlighets- och sekretesslag (2009:400) 18 kap 8 Datum 2013-02-05 Xx kommun
Lagstöd för skydd av information Offentlighets- och sekretesslagen (2009:400) Bestämmelser om när en uppgift omfattas av sekretess Säkerhetsskyddslagen (1996:627) Här framgår hur skyddsvärda uppgifter som har blivit sekretessbelagda och hemliga (Rikets säkerhet) ska skyddas
Offentlighets- och sekretesslagen 15 kap. Sekretess till skydd för rikets säkerhet Försvarssekretess 2 Sekretess gäller för uppgift som rör verksamhet för att försvara landet eller planläggning eller annan förberedelse av sådan verksamhet eller som i övrigt rör totalförsvaret, om det kan antas att det skadar landets försvar eller på annat sätt vållar fara för rikets säkerhet om uppgiften röjs. Ur Offentlighets- och sekretesslagen (2009:400)
Offentlighets- och sekretesslagen 18 kap. Sekretess till skydd främst för intresset av att förebygga eller beivra brott Säkerhets- eller bevakningsåtgärd 8 Sekretess gäller för uppgift som lämnar eller kan bidra till upplysning om säkerhets- eller bevakningsåtgärd, om det kan antas att syftet med åtgärden motverkas om uppgiften röjs och åtgärden avser 1. byggnader eller andra anläggningar, lokaler eller inventarier, 2. Ur Offentlighets- och sekretesslagen (2009:400)
Offentlighets- och sekretesslagen 18 kap. Sekretess till skydd främst för intresset av att förebygga eller beivra brott Risk- och sårbarhetsanalyser m.m. 13 Sekretess gäller för uppgift som hänför sig till en myndighets verksamhet som består i risk- och sårbarhetsanalyser avseende fredstida krissituationer, planering och förberedelser inför sådana situationer eller hantering av sådana situationer, om det kan antas att det allmännas möjligheter att förebygga och hantera fredstida kriser motverkas om uppgiften röjs. Ur Offentlighets- och sekretesslagen (2009:400)
Vad kan vara skyddsvärt? Beskrivning av vitala delar i vattenförsörjningssystem (läge och utformning) Uppgifter angående drift av vitala anläggningsdelar Vitala anläggningars kapacitet, funktion och roll Risk- och sårbarhetsanalyser, säkerhetsanalyser, förmågebedömningar, beredskapsplaner Skyddsåtgärder (skalskydd, larm, bevakningsåtgärder) Säkerhet kring styr- och övervakningssystem
Exempel på uppgifter som kan vara skyddsvärda Vattentäkt Paragraf i OSL Uppgifter angående vattentäkten och dess skyddsområde, t.ex. lägesrelaterade uppgifter, beskrivning av vattenflöden, uppgifter 15:2, 18:8 angående sårbarhet, kapacitet och uttagsmängd Uppgifter angående råvattenintaget och råvattenstationens läge, utformning, samt larmfunktion (ytvatten) 15:2, 18:8 Vattenverk Uppgifter angående byggnadens läge (kartor, koordinater) 15:2, 18:8 Uppgifter angående byggnadens utformning och konstruktion (tekniska beskrivningar, ritningar) 15:2, 18:8 Uppgifter angående skalskydd, larmfunktioner, nyckelhantering, passerkontroll, bevakningsåtgärder 18:8 Uppgifter angående drift och övervakning (driftdata, driftinstruktioner, rutiner) 15:2, 18:8 Uppgifter angående styr- och övervakningssystem (SCADA-system) 15:2, 18:8 Distributionssystem (ledningsnät, reservoarer, tryckstegringar, fördelningskammare, brand- och spolposter, ventiler, tunnlar) Uppgifter angående vitala anläggningsdelars läge (ledningsnätskartor, koordinater) 15:2, 18:8 Uppgifter angående vitala anläggningsdelars utformning och konstruktion 15:2, 18:8 Annan information angående ledningsnätet, t.ex. datamodeller och hydrauliska beräkningar som beskriver flödet i nätet 15:2, 18:8 Uppgifter angående skalskydd, larmfunktion, nyckelhantering, passerkontroll och bevakningsåtgärder vid vitala delar i distributionssystemet Övergripande 15:2, 18:8 Beskrivning av verksamhetens totala skalskydd 15:2, 18:8 Risk- och sårbarhetsanalyser, säkerhetsanalyser, förmågebedömningar (bedömningar av krishanteringsförmågan) 15:2, 18:13 Beredskapsplaner, handlingsplaner 15:2, 18:13 Uppgifter angående sårbara abonnenter, stora konsumenter och samhällsviktiga funktioner som försörjs med dricksvatten 15:2, 18:13 Uppgifter angående skyddsobjekt inom vattenförsörjningen 15:2, 18:13 Upphandling av skalskydd, larm, passerkontrollsystem och bevakningstjänster 18:8
Begränsa tillgängligheten Lägg inte slentrianmässigt ut information på intranät och gemensamma servrar med åtkomst för alla Risken för en okontrollerad spridning av känsliga uppgifter ökar med ett ökat antal personer som förfogar över uppgifterna
Begränsa tillgängligheten Den som inte har behov av uppgifterna för att utföra sitt arbete ska inte ha tillgång till dessa och än mindre förfoga över dem
Våga ställa krav Vet ni vart ert ledningsnät befinner sig just nu? Ställ krav och teckna sekretessavtal med externa konsulter, entreprenörer och leverantörer/support av programvaror
Tänk efter före Gör en bedömning av skyddsbehovet redan vid framtagande av uppgifterna det är för sent när någon frågar! Tänk på att samlad information kan utgöra en risk Begränsa tillgängligheten Teckna sekretessavtal Upprätta rutiner för hantering av känsliga uppgifter, såväl internt som externt
Hanteringsregler för skyddsvärd information Utlämnande av handling Vem fattar beslut om en handling ska lämnas ut eller inte? Rutiner för kvittering av handling, sekretessavtal Förvaring av handling På kontor, i anläggning, i fält, i hemmet, hos myndighet, konsult, entreprenör Hantering och spridning av handling Restriktioner att skicka via t.ex. e-post och post, visa och förevisa, lägga ut på intranät, hemsidor m.m.
Om vi väljer att inte göra något nu kan det få allvarliga konsekvenser i framtiden!
TACK FÖR MIG! ann-sofie.wikstrom@vmbyran.se 0920-24 17 74