tgerg Risk- och Sårbarhetsanalys Bedömning av behandling av personuppgifter i molntjänst för Utbildningsnämndens verksamheter Sektor utbildning, kultur- och fritid
1 Beskrivning av användning av molntjänst Office 365 Utbildningsnämnden ser flera fördelar med att kunna erhålla funktionalitet genom molntjänst. I kommunen finns ambitioner att skapa rätt förutsättningar, för att med stöd av IT underlätta och effektivisera samverkan, informationsdelning och kommunikation, såväl inom organisationen och med externa intressenter. Detta gäller för hela Utbildningsnämndens ansvarsområde. Genom att välja en molntjänst för Utbildningsnämndens ansvarsområde kommer personuppgifter för medarbetare och elever att behandlas i tjänsten. Den som använder sig av en tredje part, ett så kallat personuppgiftsbiträde, för behandling av personuppgifter ska därför: - Genomföra en laglighetskontroll utifrån reglerna i personuppgiftslagen (PuL), - Göra en risk- och sårbarhetsanalys samt, - Teckna tillhörande personuppgiftsbiträdesavtal med molntjänstleverantören. Utbildningsnämnden i Ale kommun är personuppgiftsansvarig för behandlingen av personuppgifter i molntjänsten. Molntjänsten levereras av Microsoft som därigenom har rollen som personuppgiftsbiträde. Sektor utbildning, kultur och fritid har gjort den samlade bedömningen att användandet av molntjänsten Office 365 efterlever de integritets- och säkerhetskrav som följer av PuL och att vi med tjänsten och på det sätt vi valt att använda den, inte kränker den enskilde elevens- och/eller medarbetarens personliga integritet. Viktiga komponenter i denna bedömning, som beskrivs närmare i det följande, har bl.a. varit att: 1. Molntjänsten levereras som en tjänst mellan Ale kommun och molntjänstleverantören via federation elever och medarbetare behöver inte skapa egna konsumentkonton eller tvingas ingå individuella relationer med externa parter. 2. Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en möjlighet att avsluta tjänst och hämta tillbaka data om behovet skulle uppstå i framtiden. T.ex. via reviderade risk- och sårbarhetsanalyser. 3. Tydlighet och full transparens erbjuds kring molntjänstens uppbyggnad, datahantering och certifieringar. 4. Personuppgiftsbiträdesavtalet samt de tillhörande EUs standardkontraktsklausulerna uppfyller kraven på att vara en tydlig och fullständig instruktion av oss som personuppgiftsansvarig till molntjänstleverantören som personuppgiftsbiträde.
1.1 Tjänster som skall användas i Office 365 Ale kommun har beslutat att använda Microsoft Office 365 för hantering av den information som genereras inom skolans verksamhet. Skolans verksamhet innefattar förskola, förskoleklass, fritidshem, grundskola, gymnasium, särskola och vuxenutbildning. Elever och medarbetare under Utbildningsnämnden, kommer att få tillgång till SharePoint Online och dokumentdelningstjänsten Skydrive Pro i Office 365, för lagring och redigering av dokument, bilder, film, och annat pedagogiskt arbetsmaterial. Samtliga användare kommer att få tillgång till onlinetjänsterna Lync Online. Eleverna får e-postkonto via tjänsten Exchange Online. Personal använder andra befintliga e-posttjänster. Förutom ovanstående beskrivning kommer skolverksamheten även att ha tillgång till det skoladministrativa systemet. Grundinformation om elever och medarbetare hämtas från skoladministrativt respektive personaladministrativt system för att skapa elev- och personalkonton i Office 365. 1.2 Tjänster och information som inte hanteras i Office 365 Tjänsten används inte för elevadministration, individuella utvecklingsplaner, omdömen eller liknande. 1.3 Information och kommunikation om valet av tjänst Information och instruktioner om molntjänsten kommer att lämnas till medarbetare, elever och vårdnadshavare. Informationen är framtagen och kommer att lämnas skriftligt i form av en tryckt informationsfolder till elev och vårdnadshavare. Medarbetare informeras via intranät och e-post. 2 Behandling av personuppgifter I Office 365 kommer Utbildningsnämnden behandla personuppgifter om elever och lärare. 2.1 Ändamål med behandlingen Office 365 kommer användas i Utbildningsnämnden i Ale Kommun för följande ändamål: Microsoft Office 365 är ett pedagogiskt arbetsverktyg som ska användas för digitalt samarbete i lärsituationen genom samarbeten lärare elev, lärare lärare och elev elev. Behandlingen av personuppgifter ska således enbart ske för att möjliggöra arbetsverktygen.
2.2 Typ av uppgifter Endast följande typer av personuppgifter kommer att behandlas i den aktuella molntjänsten: Endast personuppgifter om användaridentitet och liknande indirekta personuppgifter förekommer, t.ex. namn, klass, skola och liknande. IT-stödet kommer inte att användas för dokumentation om elevernas utveckling och omdömen. Personuppgiftsbiträdet kommer behandla personuppgifterna enbart för att utföra den molntjänst som Office 365 utgör. En beskrivning av omfattningen och ändamålet med denna behandling framgår av personuppgiftsbiträdesavtalet och behandlingen får bara ske enligt dessa instruktioner. 2.3 Tillåten behandling Personuppgifter behandlas av skolverksamheten för att kunna genomföra arbetsuppgifter, bland annat för pedagogiskt arbete, kommunikation och lagring av pedagogiskt material. Innehållet är av okänslig karaktär. Enligt 10 punkten d PuL, får detta ske utan individens eller vårdnadshavares samtycke. 2.4 Information till registrerade Information om den planerade behandlingen ska enligt 23 och 25 PuL lämnas och detta kommer att genomföras genom att ett informationsfolder delas ut till varje elev och dess vårdnadshavare. Information till medarbetare delas ut via e-post. Information kommer även att finnas på intranät, webbplats och andra kanaler. 2.5 Personuppgiftsbiträde Utbildningsnämnden kommer att använda sig av personuppgiftsbiträden. Microsoft Irland Operations Limited som molntjänstleverantör och licensgivare har rollen som personuppgiftsbiträde. Biträdet använder i sin tur ett begränsat antal namngivna kontrakterade underleverantörer. Utbildningsnämnden kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av personuppgifterna. Biträdet kommer behandla personuppgifterna enbart för att utföra den molntjänst som Office 365 utgör. En uttömmande beskrivning av omfattningen och ändamålet med denna behandling framgår av personuppgiftsbiträdesavtalet och behandlingen får bara ske enligt dessa instruktioner. 2.6 Överföring till tredje land De primära datacenter som används i molntjänsten finns inom EU. Data kan dock komma att överföras till tredje land. Se punkt 3.3 samt (http://trustoffice365.com) Även teknisk supportpersonal utanför EU kan behöva felsöka tjänsten.
3 Standardavtal Ale kommun har till huvudavtalet Microsoft Campus och School-avtal med tillhörande Enrollment for Education Solutions bilagt tilläggsavtalen EES18 vilket är personuppgiftsbiträdesavtalet och M100 vilket avser EUs standardkontraktsklausuler. 3.1 Avtalsstruktur EES18 Data Processing Agreement o Avtalet EES18 (Bilaga 1) är Microsofts Personuppgiftsbiträdesavtal för skolavtal, ett s.k. Data Processing Agreement. Detta avtal reglerar leveransen av tjänsten och hanteringen av innehåll i denna. Avtalet utgör en instruktion mellan Utbildningsnämnden som personuppgiftsansvarig och Microsoft som personuppgiftsbiträde. Avtalet undertecknas och kan bara ändras genom skriftliga tillägg som undertecknas av båda parter. Avtalet (och nedan angivna EU standardkontraktsklausuler) har företräde framför andra avtalshandlingar mellan parterna enligt avtalets punkt 7.c. I avtalet redovisas bl.a. att molntjänstleverantören inte får behandla personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för, att biträdet är skyldig att tillämpa gällande lagstiftning när det gäller behandlingen av personuppgifter, hur molntjänstleverantören Microsoft reglerar åtkomst till sina datacenter, på vilket sätt Microsoft informerar om underleverantörer och förändringar av dessa m.m.
M100 EU Model Clauses o Avtalet M100 (Bilaga 2) avser EUs standardkontraktsklausuler mellan Ale kommun och Microsofts moderbolag utanför EU, även kallat EU Model Clauses. Dessa klausuler reglerar gränsöverskridande överföringar av personuppgifter mellan t.ex. Europa och tredje land och med EU Model Clauses så uppfylls EU:s dataskyddsdirektiv avseende just detta. EU:s dataskyddslagstiftning begränsar möjligheten att exportera personuppgifter från Europeiska ekonomiska samarbetsområdet. EU Model Clauses, är standardkontraktsklausuler som godkänts av Europeiska kommissionen och är ett rekommenderat sätt att legitimera överföring av personuppgifter utanför det Europeiska ekonomiska samarbetsområdet. Personuppgiftsbiträdesavtalet checklista 1 Ett personuppgiftsbiträdesavtal skall upprättas mellan kund och de som behandlar uppgifter för kunds räkning (personuppgiftsbiträden). Sker genom att personuppgiftsbiträdesavtalet i Bilaga 1 (EES18) undertecknas mellan kund som personuppgiftsansvarig och molnleverantören som personuppgiftsbiträde. Utöver detta tecknas även EUs standardkontraktsklausuler mellan kund och molnleverantörens moderbolag utanför EU (Bilaga 2) (M100). 2 Villkoren i personuppgiftsbiträdesavtalet skall vara urskiljbara från övriga villkor som gäller mellan parterna och de skall inte ensidigt kunna förändras av personuppgiftsbiträdet. Uppfylls genom Bilaga 1 som är urskiljbart, undertecknas och bara kan ändras genom ömsesidigt godkännande av parterna. 3 Personuppgiftsbiträdesavtalet: a) Skall föreskriva att personuppgiftsbiträdet är skyldigt att tillämpa svensk lagstiftning när det gäller behandlingen av personuppgifter Adresserat i avsnitt 2.a i Bilaga 1. b) Skall föreskriva att personuppgiftsbiträdet är skyldigt att vidta lämpliga säkerhetsåtgärder enligt 31 PuL c) Adresserat i avsnitt 5 i Bilaga 1. d) Skall föreskriva att personuppgiftsbiträden endast får behandla personuppgifter i enlighet med den personuppgiftsansvariges instruktioner och därmed säkerställa att personuppgiftsbiträdet inte behandlar personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för Adresserat i avsnitten 2.b. och 4.a. i Bilaga 1. e) Skall säkerställa att den personuppgiftsansvarige har kännedom om vilka andra personuppgiftsbiträden som kan komma att behandla den personuppgiftsansvariges personuppgifter f) Uppfylls genom att en fullständig lista på Microsofts underleverantörer för O365 läggs till Microsofts Office 365 Trust Center http://www.microsoft.com/online/legal/v2/?docid=26&langi d=en-us
Därutöver ges kunden enligt avsnitt 4.e. i Bilaga 1 rätt att få meddelanden om det läggs till underleverantörer och säga upp avtalet om de inte godkänner dessa. g) Skall säkerställa att den personuppgiftsansvarige på lämpligt sätt har möjlighet att följa upp att personuppgiftsbiträden lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen och verkligen vidtar lämpliga säkerhetsåtgärder Adresserat i avsnitt 5.b. (Certifications and audits) i Bilaga 1. h) Skall säkerställa att det finns tekniska och praktiska förutsättningar att utreda misstankar om att någon hos den personuppgiftsansvarige eller hos något personuppgiftsbiträde haft obehörig åtkomst till personuppgifterna Adresserat i avsnitten 5.a. (vi) (Domain: Access control) och 5.a. (vii) (Domain: Information security incident management) samt i avsnitt 6.(Security Incident Notification) i Bilaga 1. samt i) Skall säkerställa att parterna vet vilka åtgärder som ska vidtas vid avtalets upphörande så att personuppgiftsbiträdet inte har åtkomst till personuppgifterna därefter. Adresserat i avsnitt 2.c. i Bilaga 1. 4 Särskilda regler gäller för överföring av personuppgifter till ett land utanför EU-/EES -området. Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES skall ansvarig se till att något av undantagen från förbudet mot överföring av data till tredje land kan tillämpas, till exempel de s.k. standardavtalsklausulerna eller anslutande till Safe Harbor-principerna, se punkt 3.3 Dels är molnleverantören ansluten till Safe Harbor-principerna och dels ingår tecknande av EUs standardkontraktsklausuler (Bilaga 2). 3.2 Underleverantörer och kontroll Personuppgiftsbiträdet kommer att anlita underleverantörer. Den personuppgiftsansvarige har kännedom om vilka andra personuppgiftsbiträden som kan komma att behandla den personuppgiftsansvariges personuppgifter. Den personuppgiftsansvarige kan säkerställa sin kontroll över behandlingen. Den personuppgiftsansvarige kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av personuppgifterna. En fullständig och uppdatera lista på Microsofts underleverantörer för Office 365 finns på Microsofts Office 365 Säkerhetscenter. (http://www.microsoft.com/online/legal/v2/?docid=26&langi d=en-us). Därutöver ges Ale kommun enligt avsnitt 4.e. i Bilaga 1 rätt att få meddelanden om det läggs till underleverantörer och säga upp avtalet om de inte godkänner dessa.
3.3 Tredjelandsöverföring Särskilda regler gäller för överföring av personuppgifter till ett land utanför EU-/EES -området. Om personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES så åligger det Utbildningsnämnden i Ale kommun såsom personuppgiftsansvarig att se till att något av undantagen från förbudet mot överföring av data till tredje land kan tillämpas, till exempel de s.k. standardavtalsklausulerna eller anslutande till Safe Harbor-principerna. Utbildningsnämnden gör bedömningen att behandlingen av personuppgifter i Microsofts tjänst efterlever EU:s Direktiv 95/46/EC avseende skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter. Detta krav uppfylls genom tecknandet av EUs standardkontraktsklausuler (Bilaga 2) samt att Microsoft är ansluten till Safe Harbor-principerna. Listan över till Safe Harbor anslutna företag och just MS: https://safeharbor.export.gov/companyinfo.aspx?id=19225 Information från DI: http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/vad-ar-safe-harbor-principerna/ Länk till USA:s handelskammare: http://www.export.gov/safeharbor/ 3.4 Möjlighet till insyn och spårbarhet Utbildningsnämnden vill säkerställa att de som personuppgiftsansvarig på lämpligt sätt har möjlighet att följa upp att personuppgiftsbiträdet lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen och verkligen vidtar lämpliga säkerhetsåtgärder. Nämnden gör bedömningen att Microsoft Office 365 ger dem som personuppgiftsansvarig möjlighet och förutsättningar att efterleva detta. I avsnitt 5.b. i bilaga 1 så förbinder sig Microsoft att förvalta en säkerhetspolicy som efterlever ISO 27001. Utbildningsnämnden bedömer att den revision som görs regelbundet av tredje part uppfyller kommunens förväntningar och krav gällande kontroll i detta avseende. Nämnden har möjligheten att begära att få ta del av revisionsutlåtande för att på så sätt verifiera att Microsoft upprätthåller och efterlever de certifieringar som Microsoft säger sig ha. Nämnden gör vidare bedömningen att Microsoft tillhandahåller information om var geografiskt och i vilka datacenter biträdet hanterar personuppgifter och informationen samt vilka som har åtkomst till denna. http://office.microsoft.com/sv-se/business/redir/fx103046257.aspx
3.5 Tillgänglighet Utbildningsnämnden har ingått ett avtal med molntjänstleverantören för användandet av tjänsten Office 365. Molntjänstleverantören lovar tillgänglighet på 99,9% och erbjuder ett servicenivåavtal med ekonomisk garanti. För mer information gällande tillgänglighet: http://office.microsoft.com/sv-se/business/redir/fx104028266.aspx. Servicenivåavtalet återfinns på: http://www.microsoftvolumelicensing.com/downloader.aspx?documentid=6611 3.6 Säkerhet Gällande säkerhet så ska den personuppgiftsansvarige säkerställa att det finns tekniska och praktiska förutsättningar att skydda data samt ha möjlighet att utreda misstankar om att någon hos den personuppgiftsansvarige eller hos något personuppgiftsbiträde haft obehörig åtkomst till personuppgifterna. Utbildningsnämnden gör den samlade bedömningen att Microsoft har genomfört och tillhandahåller lämpliga tekniska och organisatoriska åtgärder och interna kontroller och rutiner i syfte att upprätta och förvalta ett kvalitativt informationssäkerhetsarbete. Med stöd av dessa gör vi bedömningen att nämndens data och personuppgifter kan skyddas mot oavsiktlig, otillåten eller olaglig åtkomst och förstörelse. Detta adresseras specifikt i avtalsbilagan (Bilaga 1) avsnitten 5.a. (vi) (Domain: Access control) och 5.a. (vii) (Domain: Information security incident management) samt i avsnitt 6.(Security Incident Notification). Ale kommun har vidtagit ett antal tekniska åtgärder tillsammans med den inbyggda infrastrukturen och arkitekturen för säkerhet som Office 365 erbjuder. Nedan sammanfattas några områden som vi har beaktat: Begränsad tillgång till den fysiska datahallen för endast auktoriserad personal Datahallen skyddas av ett flertal lager fysisk säkerhet, som biometriska läsare, rörelsesensorer, kameraövervakning och trygghetslarm All kommunikation i datacentret är krypterad, data krypteras i vila och vid kommunikation. Kryptering av data i vila sker med hjälp av BitLocker 256-bitars kryptering och med SSL/TLSkryptering vid överföring. All hantering av användarkonton sker hos Ale Kommun som sedan speglas upp till Office 365 Federeringsteknik används för att spegla användarkonton och förändringar av dessa Inga lösenord lagras i molnet En- och två faktors autentisering kan används för att säkerställa rättighetsbaserad filtrering och åtkomst Funktionerna skyddas av BKS system, idag uppsatt i Microsoft Active Directory Antivirus och antispamskydd finns inbyggd i tjänsten
Goda backup-möjligheter finns i tjänsten och tillgänglighet publiceras öppet och regleras via finansiellt uppbackade SLAs Redundans på flera skikt och lager infrastruktur, data och funktionalitet Möjlighet finns att skydda informationsobjekt specifikt genom certifikat och personlig nyckel (Rights Management Service) Ingen blandning av information och tjänster från de publika molntjänsterna motsvarande Outlook.com eller Skydrive.com sker Utbildningsnämnden gör en samlad bedömning att tjänsten Office 365 uppfyller krav på säkerhet och tillgänglighet som följer av PuL. Förutom information i de bilagda personuppgiftsbiträdesavtalen så grundar sig denna bedömning på: - Information som finns sammanställt på Microsoft Trust Center http://trustoffice365.com/ - Information i dokumentet Securing Microsoft Cloud Infrastructure http://cdn.globalfoundationservices.com/documents/securingthemscloudmay09.pdf, - Information om tillgänglighet, enl. föregående avsnitt: http://office.microsoft.com/sv-se/business/redir/fx104028266.aspx samt information om tillgänglighet som öppet publiceras på http://office.microsoft.com/en-us/business/redir/xt104109107.aspx - Information i dokumentet Standard Response to Request For Information-O365-Security- Privacy_v2.pdf I den fastslås att Microsoft är certifierad enligt ISO/IEC 27001 och 27002 som är ett kvalitetsledningssystem avseende informationssäkerhet. Mer information: http://www.microsoft.com/en-us/download/details.aspx?id=26647 (se bilaga 3.6) 3.7 Hantering av data För Utbildningsnämnden är det av särskild vikt att personuppgiftsbiträden endast får behandla personuppgifter i enlighet med dess instruktioner och därmed säkerställa att personuppgiftsbiträdet inte behandlar personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för. Speciellt viktigt i detta sammanhang är att personuppgifter och information som lagras i tjänsten inte kan användas i syfte för att vidareutveckla tjänsten eller rikta marknadsföring till tjänstens brukare då dessa är minderåriga och inte valt att använda tjänsten själva. Det är viktigt att det tydligt framgår av avtalstexter eller på annat sätt hur information används och vem som äger informationen. Nämnden har gjort en samlad bedömning att Microsofts molntjänst Office 365 uppfyller dessa fundamentalt grundläggande och ställda krav. Nämnden har baserat sin bedömning på information som finns i avtal EES18 (Avtalsbilaga 1) och den information som redovisas via Microsoft Trust Center. I Bilaga 1, avsnittet 2.b tydliggörs explicit hur kunddata används och i vilka syften. I samma bilaga punkt 4.a står att läsa:
Intent of the Parties. For the Office 365 Services, Customer is the data controller and Microsoft is a data processor acting on Customer s behalf. As data processor, Microsoft will only act upon Customer s instructions. This Office 365 DPA and the Enrollment (including the terms and conditions incorporated by reference therein) are Customer s complete and final instructions to Microsoft for the processing of Customer Data. Any additional or alternate instructions must be agreed to according to the process for amending Customer s Enrollment. Bedömning görs att information lagrade i tjänsten eller personuppgifter kopplade till tjänsten, inte används för marknadsföring, direktreklam eller för att analysera och förbättra tjänsterna eller andra erbjudanden. (se tabell nedan) Utbildningsnämnden värdesätter tydlighet i hur data hanteras för efterlevnad. Det ska finnas tekniska möjligheter till backup av enskilda dokument och epost som eventuellt raderas av misstag ska vara möjligt att återställa. Om information raderas av misstag ska det vara möjligt att återta sådana dokument. Utbildningsnämnden kan konstatera att behov och krav adresseras och efterlevs i tjänsterna i Office 365. Förutom att data inom ett Data Center speglas flera gånger så speglas också data över till ett sekundärt Data Center som kan tas i bruk i händelse av att det skulle behövas. Utöver denna inbyggda redundans av data så finns det i respektive tjänst möjligheter att återta information. I Exchange Online så finns det tydligt beskrivet hur länge data lagras och hur data kan återställas. I SharePoint Online och SkyDrive Pro finns möjligheter att synkronisera data lokalt samt möjligheter att återta dokument och information på ett flertal nivåer.
3.8 Raderande av uppgifter Vid en uppsägning eller avslut av molntjänsten ges Utbildningsnämnden ett val att antingen beordra Microsoft att radera uppgifterna eller ha kvar dem under en retentionsperiod om minst 90 dagar för att möjliggöra ett kopierande och återtagande av uppgifterna. Utbildningsnämnden kommer att kunna tillse att uppgifterna raderas hos molntjänstleverantören inom en period om längst 180 dagar. Ale kommun och Microsoft arbetar gemensamt med att ta fram en guide för hur parterna skall agera vid radering vid avslut av molntjänsten. 3.9 Avslut av tjänst I förhållandet mellan Utbildningsnämnden som ansvarig och molntjänstleverantören som biträde är det viktigt att parterna vet vilka åtgärder som ska vidtas vid avtalets upphörande så att personuppgiftsbiträdet inte har åtkomst till personuppgifterna därefter. Utöver vad som sägs i punkten 3.8 ovan om radering av uppgifter så utgör Microsofts avtalsupplägg med en rörlighet och flexibilitet mellan molntjänster och klassisk mjukvara på lokala servrar en garant för att Utbildningsnämnden löpande skall kunna anpassa sitt upplägg efter ändrade risker och sårbarhet. Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en möjlighet att hämta tillbaka både tjänst och data om behovet skulle uppstå i framtiden. T.ex. via reviderade risk- och sårbarhetsanalyser.
4 Risk- och sårbarhetsanalys Följande tabell tar upp risker och bedömer dess konsekvens och sannorlikhet med avseende på personuppgiftsbehandlingen i aktuella tjänster. Benämning risk 1 Beskrivning Elevers arbetsmaterial i skolan går förlorad pga. systemfel av det inträffade Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten. X Benämning risk 2 Beskrivning Obehörig får del av personuppgifter och arbetsmaterial av Oönskad spridning av informationen. det inträffade Störningar i det pedagogiska arbetet. Osäkerhet när det gäller användares aktivitet om det finns oklarhet i identifieringen. Kan leda till att användare tappar förtroende för tjänsten. X Benämning risk 3 Beskrivning Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet av det inträffade Förlust av anseende för kommunen. Krav i lag och/eller förordning kan inte uppfyllas. Kan framtvinga hävning av avtal och/eller byte av leverantör. Risk för informationsförlust. X
Benämning risk 4 Beskrivning Personal hos leverantör läser elevernas e-post av det inträffade Obehörig får del av information av privat karaktär. Kan leda till att användare tappar förtroende för tjänsten. X Benämning risk 5 Beskrivning Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. av Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller det inträffade ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen, medarbetar tappar förtroende för sin arbetsmiljö. x Benämning risk 6 Beskrivning Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel av det inträffade Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten. x Benämning risk 7 Beskrivning Leverantören förmår inte upprätthålla tillgängligheten på tjänsten av det inträffade Störningar i lärandet, användarna tappar förtroende för sin arbetsmiljö. Ekonomiska konsekvenser vid förlorad arbetstid. X
Benämning risk 8 Beskrivning Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö. av det inträffade Störningar i IT-leveransen. Ekonomiska konsekvenser. x Benämning risk 9 Beskrivning Information och personuppgifter raderas inte efter att elever har slutat i verksamheten av det inträffade Tjänsterna kan fortsätta användas trots att eleven inte tillhör skolan. Intern information kan spridas till utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov. x Benämning risk 10 Beskrivning Leverantören behandlar personuppgifterna för egna ändamål av det inträffade Kommunen kan anses bryta mot gällande lag. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Användares brist på förtroende. x Benämning risk 11 Beskrivning Leverantören uppgraderar/förändrar innehållet i tjänsten. av det inträffade Avtalet kan behöva förändras för att stämma med ny funktionalitet. Personupphandlingen kan förändras. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust. x
5 Slutsats risk- och sårbarhetsanalys Följande tabell listas de risker som togs upp i ovanstående Risk- och sårbarhetsanalys. För varje risk så ställs ett krav på hur detta ska hanteras i avtal mellan Ale Kommun och Microsoft som molntjänstleverantör. Hot Beskrivning Riskbedömning Åtgärd 1 Elevers arbetsmaterial i skolan går förlorat pga. systemfel /Mycket sällan Det skall finnas backup av informationen i tjänsten. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen. 2 Obehörig får del av arbetsmaterial. /Sällan Leverantören skall etablera och upprätthålla en informationssäkerhet som skyddar mot intrång. Denna skall kunna kontrolleras och prövas fortlöpande av Kommunen. Utbildning och instruktioner till användare. 3 Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. /Mycket Sällan Leverantören skall etablera och upprätthålla en informationssäkerhet som kan kontrolleras och prövas fortlöpande av Kommunen. Nivån för informationssäkerheten skall göra det möjligt för Kommunen att uppfylla motsvarande krav som gäller enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10). 4 Personal hos leverantören läser Elevernas e-post. /Mycket Sällan Kommunen skall ensamt kunna sätta behörigheter för information i tjänsten.
5 Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten avvecklas. / Mycket Sällan Det skall finnas back-up av informationen från tjänsten. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen. Back-up skall kunna användas av kommunens utan leverantörens medverkan eller godkännande. 6 Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel /Mycket Sällan Det skall finnas backup av informationen i tjänsten. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen. 7 Leverantören förmår inte upprätthålla tillgängligheten på tjänsten. /Mycket Sällan Nivån på tillräcklig tillgänglighet skall regleras i avtal. Nivån skall vara konkret och mätbar och konsekvens för leverantören vid återkommande brister. 8 Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö. /Mycket Sällan Leverantören har väl etablerade skydd mot virus och fientlig kod. Tjänsten är avskild från kommunens övriga ITmiljö. 9 Information och personuppgifter raderas inte efter att elever har slutat i verksamheten /Mycket sällan Avslutande av konton styrs från kommunen. Leverantören garanterar att data raderas i enlighet med instruktioner från kommunen. 10 Leverantören behandlar personuppgifterna för egna ändamål t /Mycket sällan Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören har anlitats för. 11 Leverantören uppgraderar/förändrar tjänsten. / Mycket sällan Leverantören informerar löpande om förändringar. Kommunen har rutiner för att granska förändringarna och ta ställning till konsekvens. Informationen till användare kan behöva uppdateras. Då risk- och sårbarhetsanalyser är ett pågående arbete är det viktigt att kunna anpassa tjänsten efter nya bedömningar och ändrade förutsättningar. Utbildningsnämnden konstaterar att den valda tjänsten kan driftas både som en molntjänst och som en lokal installation. Det innebär att Utbildningsnämnden kan välja att drifta delar eller hela tjänsten och själv hämta tillbaka data om behov skulle uppstå i framtiden.
6 Sammanfattande bedömning Utbildningsnämnden inom Ale kommun har gjort den samlade bedömningen att användandet av molntjänsten Office 365 efterlever de integritets- och säkerhetskrav som följer av PuL och att man med tjänsten och på det sätt man valt att använda den, inte kränker den enskilde elevens- och/eller lärarens personliga integritet. Viktiga komponenter i denna bedömning har varit följande: 1. Molntjänsten levereras som en tjänst mellan Utbildningsnämnden i Ale kommun och molntjänstleverantören via federation elever behöver inte skapa egna konsumentkonton eller tvingas ingå individuella relationer med externa parter. 2. Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en möjlighet att hämta tillbaka både tjänst och data om behovet skulle uppstå i framtiden. T.ex. via reviderade risk- och sårbarhetsanalyser. 3. Tydlighet och full transparens erbjuds kring molntjänstens uppbyggnad, datahantering och certifieringar. 4. Personuppgiftsbiträdesavtalet samt de tillhörande EUs standardkontraktsklausulerna uppfyller kraven på att vara en tydlig och fullständig instruktion av oss som personuppgiftsansvarig till molntjänstleverantören som personuppgiftsbiträde. Riskanalysen utvisar inga risker som motiverar att verksamheten skulle avstå från att använda tjänsten.