Redovisning av hur integritet och säkerhet beaktas i satsningen på IT i skolan



Relevanta dokument
Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Vägledning om molntjänster i skolan

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

Skolorna visar brister i att hantera personuppgifter

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Universitetet och Datainspektionen i Molnet

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Digitala verktyg och molntjänster

Strategi Program Plan Policy» Riktlinjer Regler

IT-plan Tjänsteutlåtande

Teckna personbiträdesavtal för användande av Googles molntjänst Apps for Education (GAFE)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tjänsteutlåtande. Uppföljning av Sollentuna Pedagogpris - grundskolan. Förslag till beslut. Sammanfattning. Kontorets synpunkter

Digitala system i Kristinehamns förskolor och skolor. Information om behandling av personuppgifter

Lagring i molnet. Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

SOLLENTUNA KOMMUN Barn- och utbildningskontoret

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Personuppgiftsbiträdesavtal

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Barn- och ungdomsnämndens utvärdering av villkoren för bidrag i form av förskolepeng följs vad gäller sommarstängning och öppethållande

Riktlinjer för dataskydd

INFORMATION TILL SKOLPERSONAL. Molntjänster. och digitala verktyg i förskola och skola

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter i e-post

PERSONUPPGIFTSBITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

GDPR ur verksamhetsperspektiv

Informationssäkerhetspolicy IT (0:0:0)

Molntjänster och integritet vad gäller enligt PuL?

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

G Suite for Education

J^~ SOLLENTUNA KOMMUN NK\ Kultur- och fritidsnämndens arbetsutskott

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Kanslichef - Tillsvidare

JE~ SOLLENTUNA KOMMUN

Dnr

Redovisning av regler, praxis och erfarenheter avseende avgifter i skolan

Tillsyn enligt personuppgiftslagen (1998:204) Hantering av patientuppgifter via e-post

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Använd molntjänster på rätt sätt

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Google kalender I kalendern har eleven sitt personliga schema och även händelser som exempelvis prov, uppgifter, etc.

STI SOLLENTUNA KOAAMUN Barn- och utbildningskontoret

Personuppgiftsbiträde

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Sammanfattning av riktlinjer

Informationssäkerhet. Varför jobbar vi med informationssäkerhet? Vad är informationssäkerhet? Presentation

Barn- och utbildningskontoret anordnar en intern kurs under 2012 för chefer och assistenter på enheterna om lönesystemet.

Personuppgiftsbiträdesavtal

Regler för behandling av personuppgifter vid Högskolan Dalarna

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

IKT strategi för grundskolan i Malmö stad

Säkerhet vid behandling av personuppgifter i forskning

Ferieskola i Sollentuna kommun

GDPR NYA DATASKYDDSFÖRORDNINGEN

Juridik och informationssäkerhet

IT-Policy Vuxenutbildningen

Information om personuppgiftsbehandling till studenter

DIGITALA VERKTYG I SKOLAN

Tillsyn enligt personuppgiftslagen (1998:204) Barn och grundskolenämnden i Täbys behandling av personuppgifter i VKlass

Svar till Datainspektionen avseende Tillsyn av hur personuppgifter om elever i grundskolan med skyddade personuppgifter behandlas

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

PM 2015:127 RVI (Dnr /2015)

PM Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

Regler för lagring av Högskolan Dalarnas digitala information

Riktlinjer för informationssäkerhet

Utredning ang förslag till rak delegationsordning för BUN

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Reviderade regler för bisysslor i Sollentuna kommun

Tillsyn enligt personuppgiftslagen (1998:204) Autentisering av användare som medges åtkomst till personuppgifter i kreditupplysningsregister

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

Personuppgiftsbiträdesavtal

Informationssäkerhet, Linköpings kommun

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Svar på medborgarförslag om webbsända nämndsammanträden

SOLLENTUNA KOMMUN Kommunledningskontoret

ST] SOLLENTUNA KOAAMUN Kommunledningskontoret

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Styrande dokument. Policy och riktlinje för hantering av personuppgifter i Göteborgs Stad

Personuppgiftsbiträdesavtal

Policy för hantering av personuppgifter

SOLLENTUNA KOMMUN Kommunledningskontoret

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Svensk Artistfaktura AB, , är personuppgiftsansvarig för företagets behandling av personuppgifter.

Ansökan om ytterligare år i grundsärskola

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Skolsocial utredning. Barn- och utbildningskontoret. Uppgifter om elev. Upprättande av skolsocial utredning. 1. Skola. 2. Individ

360 Avtalshantering. Överblick, enkelhet och effektivitet i avtalshanteringen

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Sollentunamedaljen 2012

Arkivfunktionen. - beskrivning av roller och ansvar för arkivansvariga och arkivredogörare Styrdokument Version 1.

Barn- och utbildningsförvaltningen. Simrishamns Kommun DIGITALAVERKTYG I FÖRSKOLAOCHSKOLA INFORMATIONTILLPERSONAL

Granskning av personuppgiftshantering och it-säkerhet i skolans it-system

Kommunikationspolicy för barn- och ungdomsnämnden, Sollentuna kommun

Transkript:

Tjänsteutlåtande 2012-05-08 Sidan 1 av 1 Dnr BUN 2011/80-5 Barn-och ungdomsnämnden Redovisning av hur integritet och säkerhet beaktas i satsningen på IT i skolan Förslag till beslut Barn- och ungdomsnämnden föreslår att Kommunfullmäktige beslutar följande: godkänna barn- och ungdomsnämndens redovisning av vidtagna åtgärder. Sammanfattning Barn- och ungdomsnämnden har tidigare fått i uppdrag att redovisa hur integritet och säkerhet för personal, elever och invånare beaktas i nämndens satsning på IT i skolan. Utredningen i ärendet har visat på att åtgärder avseende informations- och it-säkerhet, hantering av personuppgifter och tillämpningen av offentlighetslagstiftningen bör vidtas av barn- och ungdomsnämnden. Barn- och ungdomsnämnden har fått i uppdrag av Kommunfullmäktige vid Bilagal, Svar på åtgärder enligt uppdrag Besök Postadress Telefon växel Fax reception Internet Turebergshuset 191 86 08-579 210 00 08-35 02 90 www.sollentuna.se Turebergs torg Sollentuna

Bilaga Andreas Cassne Sidan 1 av 6 Dnr BUN 2011/80-6 Diariekod: Diariekod: 00 Bilaga med svar på åtgärder enligt uppdrag 1. Nämnden ska säkerställa att en risk- och sårbarhetsanalys genomförs samt att man klassar den information som hanteras i molnet. Informationen ska klassas enligt de principer som kommunen jobbar med i sitt informationssäkerhetsarbete. Sollentuna Kommun genomför ett projekt med målet att införa ett Ledningssystem för Informationssäkerhet (LIS). I detta projekt som startade våren 2011 är barn- och ungdomsnämnden deltagare i det utredningsarbete som utförts fram till idag och som fortsätter under 2012.1 de första analyserna som genomfördes i projektet så framkom att Sollentuna Kommun har en mängd brister i sitt informationssäkerhetsarbete. I en workshop med Secode AB och representanter från BUK och skolorna i maj 2011 genomfördes en s.k. GAP-analys av säkerhetsläget för information som behandlas inom nämndens verksamheter. GAP-analysen från maj 2011 är den risk- och sårbarhetsanalys som KF efterfrågar. En sammanställning av denna finns bifogad detta svar. I arbetet med att klassificera information som hanteras i molnet har BUN begränsat dessa till handlingar rörande allmän administration, handlingar rörande elevadministration, handlingar rörande betyg, handlingar rörande undervisning, handlingar rörande elever samt övriga handlingar. Det regelverk som styr hur allmänna handlingar hanteras i Google Apps är Regler för dokumenthantering för Sollentuna Kommun som finns beskrivna i Sollentuna författningssamling I klassificeringen av information jobbar BUN enligt de principer som kommunen slagit fast i LIS-projektet. Principerna är: Konfidentialitet/sekretess Tillgänglighet Besök Postadress Telefon växel Fax reception Internet Turebergshuset 191 86 08-579 210 00 08-35 02 90 www.sollentuna.se Turebergs torg Sollentuna

Sidan 2 av 6 Riktighet Spårbarhet I bilagan till uppdrag 1 så redovisas en sammanställning av den analys som BUN genomfört tillsammans med Secode AB. 2. Nämnden ska, i samråd med kommunledningskontoret, göra en konsekvensbeskrivning av att skolorna lämnat kommunens gemensamma e-postlösning och övergått till Google Apps. De konsekvenser som övergången från en Exchange-miljö som skolorna tidigare befann sig i, till att använda sig av Google Apps är främst förändringar rörande gränssnittet och funktionerna. Samtliga bakomliggande system för kontohantering och inloggning är fortfarande kopplat till kommunens katalog för användare i skoldatanätet. Nämnden hanterar fortfarande all administration av konton. Plus-faktorer: Ökad tillgänglighet för användaren till sitt e-postkonto (oberoende av plattform och nätverk) Ökat utrymme i inkorgen, från 100 mb till 25 Gb Möjlighet att skicka större filer, från 5 mb till 25 mb Enklare och förbättrade sökmöjligheter för att hitta kontakter (sökning på förnamn, efternamn, användarnamn samt skoltillhörighet möjlig) Möjlighet att skapa egna kalendrar för enkel delning med kollegor och elever Integrerad chattfunktion Minskade kostnader för licenser då man övergår till Software as Service (SaS) Minskade kostnader för drift då Google äger servrarna där data lagras Google Apps for Education är en kostnadsfri tjänst Minus-faktorer: Nytt användargränssnitt kan skapa oro och stress hos vissa användare (utbildningsinsatser löser detta)

Sidan 3 av 6 Avsaknad av tillgång till adresslista för användare på administrativa nätet (går att lösa tekniskt) Kopplingen mellan Outlook och P360 blir svår att få till utan tillgång till MS Office (går att lösa med citrixinloggning mot administrativa nätverket) Oförändrade faktorer: Delning av kalender inte möjlig mellan de båda domänerna. Funktionen fanns varken innan eller efter övergången till GA (går att lösa tekniskt) 3. Nämnden ska uppdatera sin dokumenthanteringsplan En översyn av befintlig dokumenthanteringsplan har gjorts och förslag på ändringar och tillägg kommer att lämnas till arkivansvarig Bo Johansson. 4. Nämnden ska utarbeta en rutin for central administration av användare och lösenord Kommunledningskontoret under ledning av IT-enheten har initierat ett projekt för Identitets- och åtkomsthantering (IAM) med målet att automatisera centrala processer för skapande och avslutande av konton och medföljande behörigheter för hela kommunen. BUN's verksamheter deltar i detta projekt och kommer att följa de rutiner som blir slutprodukten av detta gemensamma arbete. Därför ser nämnden ingen anledning att skapa egna rutiner för central administration av användare och lösenord. 5. Nämnden ska beskriva hur man tillämpar de befintliga kommunala styrdokument avseende dokumenthantering (registrering, diarieföring, arkivering, personuppgiftshantering), arkivreglementet, informationssäkerhet och it-säkerhet i sin itverksamhet med tyngdpunkt på hantering och lagring i Google Apps. För att kunna följa de kommunala styrdokument som finns behöver nämnden arbeta fram en rutin för att säkerställa att samtliga av dessa

Sidan 4 av 6 styrdokument tillämpas ute i verksamheterna. Skolchefen får i uppdrag att ta fram utbildningsmaterial tillsammans med rektorerna samt att ta fram en plan för hur uppföljning av tillämpningen genomförs. IKT-utvecklarna får i uppdrag att se över hur en rutin för överföring av allmänna handlingar från GA till kommunens gemensamma diarieföringssystem Public 360 ska se ut. I dagsläget finns inte någon it-miljö i skolan för att hantera sekretessklassad information. Därför är det viktigt att skolan snarast får tillgång till Public 360 som kan hantera detta. Eftersom den miljön endast är tillgänglig via det administrativa nätverket och det är en omöjlighet att förse varje lärare med en koddosa för inloggning så måste en organisation struktureras för vem på varje skola som ska ansvara för att handlingar som omfattas av sekretess upprättas på rätt ställe. Förslagsvis så får varje rektor utse en eller flera personer på sin skola som går igenom utbildningen för Public 360 och sedan ansvarar för att ta emot och upprätta handlingar som lärare vidarebefordrar. Detta arbete kommer att tas vidare i rektorsgruppen under skolchefens ledning. Införandet av Google Apps har i sig inte medfört någon förändring avseende hur skolorna ska hantera allmänna handlingar samt personuppgifter och PUL-klassad information. Det faktum att det fortfarande endast är en-faktorinloggning för att komma åt e-post och dokumenthantering är en brist, en brist som såg likadan ut innan Google Apps. 6. Nämnden ska fortydliga Googles skyldighet som personuppgiftsbiträde att endast behandla personuppgifter enligt nämndens instruktion. Kontakt med Google har initierats av Barn- och utbildningskontoret där man har ställt frågan kring tillägg till avtalet för Google Apps for Education. Svaret man har fått är att Google avvaktar de förhandlingar som pågår mellan Google och Salems Kommun utifrån de synpunkter som Datainspektionen lämnat i sin översyn av Salems användande av Google Apps. När dessa förhandlingar är avklarade så kommer Google att kontakta Barn- och utbildningskontoret för att se över vad som kan kompletteras i avtalet för Google Apps. För att kunna förtydliga Googles skyldighet som personuppgiftsbiträde så krävs att ett personuppgiftsbiträdesavtal upprättas med Google Inc. Nämnden har för avsikt att upprätta ett sådant avtal med Google så fort det går att få till ett sådant möte med Google. Google kan sedan upprätta egna avtal med sina underleverantörer som följer de riktlinjer och instruktioner som nämnden har satt upp.

Sidan 5 av 6 7. Nämnden ska informera sig om vilka bolag inom eller utom Googlekoncernen som behandlar nämndens personuppgifter och inom vilka länder detta sker. a. Bam- och ungdomsnämndens svar: Nämnden har via barn- och utbildningskontoret sök att få svar på den här frågan men har fått meddelat från Google att detta inte är möjligt i dagsläget med hänvisning till hur Google strukturerar sina underleverantörer. Vidare diskussion i denna fråga kommer att föras i framtida förhandlingar med Google. 8. Nämnden ska säkerställa att även Googles underbiträden, om sådana är aktuella, behandlar personuppgifterna i enlighet med nämndens instruktion. Google kan upprätta avtal med sina underleverantörer som följer de riktlinjer och instruktioner som nämnden har satt upp. Däremot har nämnden i dagsläget ingen möjlighet att följa upp vilka dessa bolag är med hänvisning till svaret på åtgärd 6. Sammanfattning åtgärder 6-8: Nämnden kan i dagsläget inte uppfylla de krav som ställs i Personuppgiftslagen när det gäller att ha kännedom om vilka underleverantörer som molntjänstleverantören använder. Därigenom kan nämnden inte heller själva följa upp hur dessa underleverantörer följer personuppgiftsbiträdesavtalet. Det pågår förhandlingar och utredningar på EU-nivå för att få till en lösning på detta för samtliga som nyttjar molntjänster. Sollentuna Kommun är långt ifrån ensamma om detta då både Linköpings- och Lunds Universitet samt Göteborgs stad använder Google Apps. Nämndens rekommendation är att avvakta det arbete som Google och Salems Kommun gör för att åtgärda de synpunkter som datainspektionen lämnat samt att fortsätta med det arbete som beskrivs under uppdrag 5. Att stänga ned Google Apps skulle få mycket stora konsekvenser för det arbetssätt som skolorna har idag. Följden skulle bli att alla som använder Google Apps som den lär- och samarbetsmiljö som den är tänkt att vara kommer att skaffa sig privata Gmail-konton eller

Sidan 6 av 6 motsvarande och jobba vidare med. Det skulle skapa en situation där kommunen inte hade någon kontroll över hur informationen i skolan hanterades och spårbarheten skulle bli svåröverskådlig. 9. Nämnden ska i övrigt i samråd med kommunledningskontoret beakta de åtgärder som föreslås i utredningen från Heimore Group och Wistrands PM 2011-10-07. De punkter som utredningen från Heimore Group tar upp visar på ett antal brister som gäller för skolornas användning av Google Apps samt ett antal brister som gäller allmänt för kommunen som helhet rörande it-frågor, policies och regelverk. Wistrands PM pekar på de brister som finns i avtalet med Google rörande PUL. Båda dessa delar har beaktats och kommer att arbetas vidare med i samråd med Kommunledningskontoret och Google. Åtgärder har tagits tillsammans med IT-enheten angående att säkra skolornas it-miljö genom att bl.a. skapa ett dedikerat nätverk med en autentiseringslösning för skolornas hyrdatorer. 10. Nämnden ska i samarbete med kommunledningskontoret göra en genomlysning av konsekvenserna av KSS beslut att lämna kommunens gemensamma e-post- och kalendersystem. E-post- och kalendersystemet var endast gemensamt på det sätt att det kom från samma leverantör, Microsoft. I övrigt fanns ingen koppling mellan dem och därför saknas funktionen att dela bl.a. kalender med varandra på det administrativa- och skolnätet. I övrigt se svar på uppdrag 2. Andreas Cassne IKT-utvecklare

SOLLENTUNA KOMMUN Barn- och utbildningskontoret Andreas Cassne Bilaga Sidan 1 av 2 Dnr BUN 2011/80-7 Diariekod: 00 Bilaga till uppdrag 1 Förklaring av tabell: Klassificering av handlingar som kan tänkas behandlas i molntjänsten Google Apps for Education. En sammanställning av den analys som BUN genomfört tillsammans med Secode AB i maj 2011. Konfidentialitet/Sekretess: Säkerställande av att informationen är tillgänglig endast för den användare som har behörig åtkomst Tillgänglighet: Säkerställande av att behörig användare vid behov har tillgång till information och tillhörande tillgångar. Riktighet: Skydd av information och behandlingsmetoder så att informationen förblir korrekt och fullständig. Spårbarhet: Möjligheten att i efterhand identifiera och spåra händelser. Skala: 1= ingen eller ringa skada om kravet inte uppfylls 3= kan medföra skada om kravet inte uppfylls 5= kan medföra allvarlig skada om kravet inte uppfylls Handlingar Handlingar Handlingar rörande allmän rörande elev rörande betyg administration administration Konfidentialitet/ n/a n/a n/a Sekretess Tillgänglighet 1 1 5 Riktighet 3 5 5 Spårbarhet 1 1 5 Besök Postadress Telefon växel Fax reception Internet Turebergshuset 191 86 08-579 210 00 08-35 02 90 www.sollentuna.se Turebergs torg Sollentuna

Dnr. BUN 2011/80-7 Sidan 2 av 2 Handlingar rörande undervisning Handlingar rörande elever Övriga handlingar Konfidentialitet/ n/a 5 n/a Sekretess Tillgänglighet 1 5 1 Riktighet 1 % 1 Spårbarhet 1 5 1 Andreas Cassne IKT-utvecklare

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss