Laglighetsprövning samt risk- och sårbarhetsanalys av BAB för Webben

Relevanta dokument
Val till Avfall Sveriges styrelse och revision

Kvalitet i Särskilt boende - rekommendation från SKL

Personuppgiftsbiträdesavtal

Barn- och ungdomschecklista för Kristinehamns kommun

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

PERSONUPPGIFTSBITRÄDESAVTAL Hantering av personuppgifter i Skyddat Webbaserat informationssystem (WIS)

Bestämmelser för reklam i kommunala anläggningar med föreningsverksamhet inom tekniska nämndens ansvarsområde

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Försäljning av nytt kvarter enl detaljplan Vålösundet, del av Sörkastet norr

Deltagande i värmländska kultur- och fritidssektorns konferens maj 2017

AVTAL FÖR ADVITUMS DOKUMENTPORTAL

Bilaga Personuppgiftsbiträdesavtal

Protokoll. Medborgarförslag: Markförändring och tillgänglighet fastighet och affärer Kungsgatan 54

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE Bil 7

Personuppgiftsbiträdesavtal Enligt artikel 28.3, Allmänna dataskyddsförordningen EU 2016/679 (i avtalet benämnt dataskyddsförordningen)

Remiss av motion från (C) om vägsamfälligheter

Avtal MELLAN PERSONUPPGIFTSANSVARIG OCH PERSONUPPGIFTSBITRÄDE

Medborgarförslag: Inrätta strandskydd av detaljplanen Elinerud, Visnums Kil

Länsstyrelsens remiss om regionalt åtgärdsprogram för miljömålen /

Deltagande i det nationella antidopningsnätverket PRODIS - Prevention av dopning i Sverige

Försäljning av tomter i nytt kvarter enligt detaljplan Vålösundet, del av Sörkastet norr

Näringslivspolitisk plan för Kristinehamns kommun

Personuppgiftsbiträdesavtal Zynatic Medlemsregister

BILAGA Personuppgiftsbiträdesavtal

Södertörns brandförsvarsförbund

Bilaga 1: Personuppgiftsbiträdesavtal 1/10

Personuppgiftsbiträde

Bilaga 1 Allmänna villkor för Socialnämnds anslutning till Sammansatt Bastjänst Ekonomiskt Bistånd (SSBTEK)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

PERSONUPPGIFTSBITRÄDESAVTAL

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal

Bilaga Personuppgiftsbiträdesavtal UPP 2016/235. Innehållsförteckning

Medborgarförslag om Nordenfeldtska huset

Särskilda bestämmelser vid behandling av personuppgifter i samband med andra tjänster än Molntjänster och IT-Infrastrukturtjänster (övriga tjänster)

PERSONUPPGIFTSBITRÄDESAVTAL

M E L L A N P E R S O N U P P G I F T S A N S V A R I G O C H P E R S O N U P P G I F T S B I T R Ä D E

Bilaga 3 Personuppgiftsbiträdesavtal

Särskilda bestämmelser vid behandling av personuppgifter i samband med Molntjänster

PERSONUPPGIFTSBITRÄDESAVTAL

Bilaga Personuppgiftsbiträdesavtal Innehållsförteckning

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

ALLMÄNNA VILLKOR FÖR ANVÄNDANDE AV TYRA. 1. Allmänt

AVTAL MELLAN PERSONUPPGIFTSANSVARIG OCH

Villkor för kommunens användning av GeoVy och behandling av personuppgifter för Lantmäteriets räkning

PERSONUPPGIFTSBITRÄDESAVTAL

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

Motion från Marie Oudin (M) - Hedra veteranerna i Kristinehamn

Personuppgiftsbiträdesavtal

Modellavtal 2. Personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

1. Bakgrund. 2. Parter. 3. Definitioner

Personuppgiftsbiträdesavtal samt fullmakt för Inera AB att teckna personuppgiftsbiträdesavtal enligt Personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

PERSONUPPGIFTSBITRÄDESAVTAL

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i molnet

Detta personuppgiftsbiträdesbiträdesavtal Biträdesavtal [ååmmdd] mellan: [**.], reg. no. [**], med addressen [**] (i det följande

INTEGRITETSTSPOLICY AVSEENDE RESTAURANGGÄSTER MED FLERA

Bilaga b, (Användaravtal Nyps) Personuppgiftsbiträdesavtal

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

InTime International AB (nedan kallat Personuppgiftsbiträdet ) med organisationsnummer och adress Varvsgatan 47, Luleå

Instruktion enligt personuppgiftslagen (1998:204) för Eskilstuna kommunkoncern

Information om behandling av personuppgifter

Riktlinjer för hantering av personuppgifter

PERSONUPPGIFTSLAGEN (PUL)

Personuppgiftsansvar och ändamålsprövning enligt fastighetsregisterlagen

Personuppgiftsbiträdesavtal

Personuppgiftspolicy. Dokument: Personuppgiftspolicy för Åda Ab Version: 1.0 Fastställd av Åda Ab:s styrelse Version datum:

Instruktion för personuppgiftsbiträdesavtal

INTEGRITETSPOLICY FÖR ROSENDAL106 AB OCH DOTTERBOLAG

Personuppgiftsbiträdesavtal

Bilaga 1a Personuppgiftsbiträdesavtal

Förslag till beslut Kommunfullmäktige beslutar anta Plan för entreprenörskap i skolan i Kristinehamn.

BILAGA Personuppgiftsbiträdesavtal

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

Personuppgiftsbiträde

Sammanträdesdatum Arbetsutskott (1) 134 Dnr KS/2015:410. Personuppgiftslagen - förslag på riktlinje för Mjölby kommun

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Dataskyddspolicy för Rotsunda Utbildning AB

Integritetspolicy. Dokumentnamn: Integritetspolicy Version:

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL

Riktlinjer fö r behandling av persönuppgifter, Sydna rkes kömmunalfö rbund

Riktlinjer för dataskydd

Union to Unions policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

Integritetspolicy Rinkaby Rör

PERSONUPPGIFTSBITRÄDESAVTAL. ("Personuppgiftsbiträdesavtalet")

Styrande dokument. Riktlinjer för dataskydd. Fastställd av Kommunstyrelsen. Senast reviderad av Gäller från och med

ADDSECURES BEHANDLING AV PERSONUPPGIFTER

Använd molntjänster på rätt sätt

Personuppgiftsbiträdesavtal

Policy och riktlinje för hantering av personuppgifter i Trosa kommun

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

LOs policy om dataskyddsförordningen, General Data Protection Regulation (GDPR)

PERSONUPPGIFTSBITRÄDESAVTAL

Policy för behandling av personuppgifter

Transkript:

TJÄNSTESKRIVELSE Sida Sida 1 av 1 Socialförvaltningen Marcus Liniver marcus.liniver@kristinehamn.se Datum 2017-03-14 Sn/2017:127 Laglighetsprövning samt - och sårbarhetsanalys av BAB för Webben Förvaltningens förslag till beslut Socialnämnden godkänner laglighetsprövning samt - och sårbarhetsanalys av BAB för Webben. Sammanfattning Socialförvaltningen avser att teckna avtal med G Widergren Ärendehantering AB för att använda verktyget BAB för Webben. Då detta är ett s.k. molnbaserat system ska socialnämnden i egenskap av personuppgiftsansvarig genomföra en laglighetsprövning samt - och sårbarhetsanalys av systemet. Beslutsunderlag Tjänsteskrivelse 2017-03-14 Barn- och ungdomschecklista 2017-03-14 Laglighetsprövning samt - och sårbarhetsanalys 2017-03-07 Beslutet skickas till Personuppgiftsombud Enhetschef Rehab Eva Lotta Lindskog Socialchef Marcus Liniver Nämndsekreterare/Adm. Strateg KRISTINEHAMNS KOMMUN E-post socialforvaltningen@kristinehamn.se Postadress 63. Socialförvaltningen 681 84 Kristinehamn Besöksadress Nya Kyrkogatan 19-21 Telefon 0550-880 00 vx Fax 0550-106 10 Bankgiro 110-0213 Organisationsnr 212000-1868

BARN- OCH UNGDOMSCHECKLISTA Kommunledningsförvaltningen Johan Öhman, 0550-880 45 johan.ohman@kristinehamn.se Barn- och ungdomschecklista för Kristinehamns kommun Ärende/ärenderubrik: Laglighetsprövning samt och sårbarhetsanalys av BAB för Webben Nämnd: Datum: Socialnämnden 2017-03-14 Diarienummer: Sn/2017:127 Handläggare: Marcus Liniver Kristinehamns kommun E-post kommunen@kristinehamn.se Postadress 1. Kommunledningsförvaltningen 681 84 Kristinehamn Besöksadress Uroxen Kungsgatan 30 Telefon 0550-880 00 vx Fax 0550-382 52 Bankgiro 110-0213 Organisationsnr 212000-1868

2 BARN- OCH UNGDOMSCHECKLISTA För att säkerställa att barn och ungdomars rättigheter beaktas vid alla kommunala beslut, ska en barn- och ungdomschecklista upprättas vid beredning av ärenden till nämnd och styrelse samt i upprättandet av budget och kommunövergripande styrdokument. Barn- och ungdomschecklistan ska finnas med från början av ärendeprocessen. Anvisningar i hur man fyller i Barn- och ungdomschecklistan finns i dokumentet Praktisk tillämpning av barn- och ungdomsplanen i Kristinehamns kommun. 1. Kommer beslutet att påverka barn och ungdomar, nu eller i framtiden? JA NEJ Kommentar Vikten av ett lagenligt och säkert system borgar för bättre skydd av individers personuppgifter. Om ja, fortsätt med frågorna 2. Har barnets bästa beaktas? JA NEJ Kommentar - 3. Beskriv eventuella intressekonflikter -

3 4. Har barn och ungdomar fått uttrycka sina åsikter? JA NEJ Kommentar - Om det behövs hjälp att få barn och ungdomars åsikter i ärendet, kontakta Folkhälsoenheten i kommunen för att bestämma vilket metodområde/metod, utifrån den barn- och ungdomspolitiska planen, som passar bäst för ändamålet samt om det går att använda andra redan befintliga undersökningar/kartläggningar för att ta del av ungdomars åsikter. Har ungdomssamordnaren kontaktats, kryssa i nedanstående ruta och skriv en kommentar om utfallet av detta. Är ungdomssamordnaren kontaktad? JA NEJ Kommentar -

BAB för Webben Laglighetsprövning enligt personuppgiftslagen (1998:204) samt - och sårbarhetsanalys 2017-03-07

Innehåll Definitioner... 3 1 Bakgrund... 4 2 Socialnämndens skyldigheter enligt personuppgiftslagen... 5 3 BAB för Webben... 6 3.1 Systemets innehåll... 6 3.2 Typ av personuppgifter som kan komma att behandlas... 6 3.2.1 Laglighetsprövning av behandlingen... 6 4 Granskning av avtal med G Widergren Ärendehantering ur ett personuppgiftsperspektiv... 7 4.1 Licensavtal... 7 4.2 IT & Telekomföretagen, Allmänna Bestämmelser, Molntjänster version 2014 7 4.2.1 Avtalspunkt 2.3... 7 4.2.2 Avtalspunkt 2.4... 7 4.2.3 Avtalspunkt 3.1 d)... 7 4.2.4 Avtalspunkt 13.1... 8 4.2.5 Avtalsstycke 14, punkt 1-14... 8 4.2.6 Avtalspunkt 22.1 Avveckling av tjänsten... 9 4.3 Personuppgiftsbiträdesavtal... 10 4.4 Sammanfattande bedömning av avtalen... 10 5 Risk- och sårbarhetsanalys... 11 5.1 Risker förknippade med leveransen av tjänsten... 11 5.2 Risker förknippade med tjänstens användning... 14 5.3 Risker förknippade med kommunens IT-miljö... 14 6 Sammanfattande bedömning... 16 2

Definitioner Behandling Personuppgifter Personuppgiftsansvarig Personuppgiftsbiträde Personuppgiftsombud Behandling är varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgift vare sig det sker på automatisk väg eller inte. Det kan t.ex. vara insamling, organisering, lagring, behandling eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstöring. All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Den som ensam eller tillsammans med andra bestämmer ändamålet med och medlen för behandling av personuppgifter. Socialnämnden är personuppgiftsansvarig. Den som behandlar uppgifter för PUL-ansvarigs räkning. Den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. 3

1 Bakgrund Socialförvaltningen avser att teckna avtal med G Widergren Ärendehantering AB för att använda verksamhetssystemet BAB för Webben. BAB för Webben är ett s.k. molnbaserat system 1 vilket innebär att socialnämnden i egenskap av personuppgiftsombud ska genomföra en laglighetsprövning samt - och sårbarhetsanalys av systemet. 1 Tjänst som tillhandahålles via internet och där drift av servrar sker i leverantörens regi 4

2 Socialnämndens skyldigheter enligt personuppgiftslagen Då BAB för Webben är en värdbaserad lösning, s.k. molntjänst så krävs ingen installation på kommunens egna servrar. Tjänsten tillgängliggörs av leverantören via internet och åtkomst styrs av ett personligt konto. Detta innebär samtidigt att personuppgifter om användare, brukare och personal, kommer att behandlas av G Widergren Ärendehantering AB. Som personuppgift räknas alla uppgifter som direkt eller indirekt kan användas för att identifiera en fysisk person. Då socialnämnden ansvarar för verksamheten där personuppgifterna i detta fall är tänkta att användas är nämnden också personuppgiftsansvarig, dvs. juridiskt ansvarig för hanteringen. Innan BAB för Webben tas i bruk måste nämnden ta ställning till om den aktuella personuppgiftsbehandlingen uppfyller de krav som personuppgiftslagen, PuL, ställer. Om man låter någon annan part, i detta fall G Widergren Ärendehantering AB, hantera personuppgifterna på uppdrag är det fortfarande nämnden som är ytterst ansvarig för hanteringen. G Widergren Ärendehantering AB och deras eventuella underleverantörer räknas som ett personuppgiftsbiträde och den personuppgiftsansvarige ska i ett skriftligt avtal instruera biträdet om hur personuppgifterna får hanteras och vilka säkerhetsåtgärder som måste vidtas för skydda uppgifterna. ett så kallat personuppgiftsbiträdesavtal. Genom detta avtal måste den personuppgiftsansvarige säkerställa att G Widergren Ärendehantering AB inte behandlar personuppgifterna för något annat än den personuppgiftsansvarigas uttryckta ändamål och att uppgifterna raderas när ändamålet med behandlingen upphör. 5

3 BAB för Webben 3.1 Systemets innehåll BAB för Windows ersätter det tidigare systemet BAB för Windows vilket är ett ärendehanteringssystem för bostadsanpassning. 3.2 Typ av personuppgifter som kan komma att behandlas Verksamheten är i behov av att behandla reguljära personuppgifter från brukare/klienter såsom namn, kontaktuppgifter m.m. Då socialförvaltningens verksamheter även är hänvisade till lag (2001:454) om behandling av personuppgifter inom socialtjänsten så behandlas potentiellt även känsliga personuppgifter, samt personnummer. Även uppgifter om hälsotillstånd behandlas, bland annat beteende. Utöver detta behandlas namn på handläggare och andra användare av systemet. 3.2.1 Laglighetsprövning av behandlingen Behandling av personuppgifter av dessa slag anses vara förenligt med lagen då det kan stödja sig på 10 e PUL, uppgifter i samband med myndighetsutövning samt 6-7 SoLPUL. 6

4 Granskning av avtal med G Widergren Ärendehantering ur ett personuppgiftsperspektiv 4.1 Licensavtal Ur ett PUL-perspektiv säger inte licensavtalet något utan detta hänvisar i sin tur till att IT & Telekomföretagen, Allmänna Bestämmelser, Molntjänster version 2014 ska gälla i detta partsförhållande. 4.2 IT & Telekomföretagen, Allmänna Bestämmelser, Molntjänster version 2014 4.2.1 Avtalspunkt 2.3 Leverantören får anlita underleverantör för fullgörande av Tjänsten och andra åtaganden enligt Avtalet. Leverantören ansvarar för underleverantörens arbete som om arbetet utförts av leverantören själv. Kommentar: Denna punkt ger G Widergren Ärendehantering AB rätt att anlita underleverantör. Nämnden bör vara medveten om detta när avtal skrivs. Personuppgiftsombudets bedömning och eventuell rekommendation: Att det i ett personuppgiftbiträdesavtal fogas in ett stycke som anger att personuppgiftsansvarig ska informeras om vilka underleverantörer som används samt säkerställa att det tecknats personuppgiftsbiträdesavtal med dessa. 4.2.2 Avtalspunkt 2.4 Om annat inte framgår av Avtalet får leverantören med iakttagande av bestämmelsen om personuppgifter enligt punkt 14 tillhandahålla hela eller delar av Tjänsten från annat land och under förutsättning att leverantören i övrigt uppfyller villkoren i Avtalet. Kommentar: Korsläses denna med punkt 14.3 framgår att leverantören har möjlighet att behandla personuppgifter i tredje land, d.v.s. utan för EU/EES, om inget annat anges i avtalet. Personuppgiftsombudets bedömning och eventuell rekommendation: Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering inte får behandla personuppgifter i tredje land. 4.2.3 Avtalspunkt 3.1 d) Kunden ansvarar för, om annat inte framgår av Avtalet, för säkerhetskopiering av Kundens Data. Kommentar: Licensavtalet anger inget om säkerhetskopiering Personuppgiftsombudets bedömning och eventuell rekommendation: Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering ansvarar för säkerhetskopiering alternativt att rutin för detta upprättas inom förvaltningen. 7

4.2.4 Avtalspunkt 13.1 Kommentar: Denna avtalspunkt reglerar användandet av loggfiler, dock står det inget om detta i licensavtalet. Personuppgiftsombudets bedömning och eventuell rekommendation: Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering ansvarar för att vid nämndens begäran tillhandahålla loggfiler för att möjliggöra granskning av dessa i syfte att stävja intrång och sekretessbrott. 4.2.5 Avtalsstycke 14, punkt 1-14 14. Personuppgifter 14.1 Om personuppgifter behandlas inom ramen for Tjänsten är kunden personuppgiftsansvarig och leverantören personuppgiftsbiträde. Kunden är ansvarig i egenskap av personuppgiftsansvarig för att behandling av personuppgifter sker i enlighet med gällande lagstiftning. Leverantören förbinder sig att bara behandla personuppgifter i enlighet med Avtalet och kundens skriftliga instruktioner. Leverantören ska ha rätt till ersättning för att följa kundens skriftliga instruktioner om den begärda åtgärden inte framgår av Avtalet i övrigt. Leverantören ska vidta de tekniska och organisatoa åtgärder som överenskommits för att skydda personuppgifterna. Leverantören skall vara beredd att följa av myndighet enligt lag fattade beslut om åtgärder för att uppfylla lagens säkerhetskrav för kundens personuppgifter. Om Leverantören orsakas extra kostnader för att uppfylla ändrade säkerhetskrav ska kunden ersätta leverantören för sådana kostnader. Leverantören ska omgående underrätta kunden vid upptäckt av fullbordade fall av eller försök till obehörig åtkomst, förstörelse eller ändring av kundens personuppgifter. 14.2 Leverantören ska tillåta de inspektioner som myndighet enligt lag kan kräva för personuppgifters behandling. Leverantörens kostnader i samband med genomförande av sådan granskning får debiteras kunden. 14.3 Använder leverantör underleverantör som behandlar personuppgifter ( underbiträde ) ska leverantören som ombud för kunden underteckna ett avtal med underleverantören enligt vilken underleverantören som personuppgiftsbiträde åtar sig att gentemot kunden följa vad som anges i punkt 14. Om personuppgifter kommer att överföras till ett land utanför EU/EES ska leverantören se till att underleverantören undertecknar EU:s standardavtalsklausuler för överföring av personuppgifter till tredje land. Leverantören ska ha rätt att som ombud för kunden underteckna det avtalet. Leverantören ska innan underleverantör används för behandling av personuppgifter informera kunden om vilka 8

underleverantörer som används och i vilket land behandlingen av personuppgifter görs. Leverantören ska på kundens begäran översända kopia av sådana avtal som undertecknats av leverantören enligt denna punkt 14.3. 14.4 Vid Avtalets upphörande gäller för personuppgifter vad som anges i punkt 22. Kommentar: Stycket som sådant kan likställas med ett personuppgiftsbiträdesavtal. Dock standardiserat och ej anpassat till känsliga personuppgifter. Personuppgiftsombudets bedömning och eventuell rekommendation: Att det upprättas ett särskilt personuppgiftsbiträdesavtal vilket kompletterar detta stycke. Detta avtal bör, utöver vad som angivits i ovanstående rekommendationer, även ange säkerhet vid överföring samt säkerhet vid inloggning. 4.2.6 Avtalspunkt 22.1 Avveckling av tjänsten Vid Avtalets upphörande ska kopia av Kundens Data och Kundens Programvara, när så är tillämpligt, på kundens begäran som ska framställas senast inom 60 dagar från Avtalets upphörande, skyndsamt återlämnas till kunden eller till den kunden anvisar och de delar som finns elektroniskt ska, om kunden så önskar och i skälig omfattning, överlämnas i elektroniskt skick enligt kundens instruktioner. Efter utgången av en sådan sextiodagarsperiod och såvida inte annat krävs enlig lag, får leverantören utplåna eller på annat sätt göra Kunden Data och Kundens Programvara som finns hos leverantören, oåtkomlig för kunden. Leverantören ska även, som en Tilläggstjänst, i skälig omfattning assistera kunden om kunden själv ska tillhandahålla motsvarande tjänst som Tjänsten eller om kunden från annat av kunden anvisat företag erhålla motsvarande tjänst som Tjänsten för att bidra till att en sådan överföring av tjänsten kan ske med så liten störning som möjligt för kunden. Leverantören ska efter överföring av Kundens Data eller om någon överföring inte begärts av kunden efter utgången av i föregående stycke angiven sextiodagarsperiod, radera eller anonymisera Kundens Data inom skälig tid dock senast inom 12 månader efter Avtalets upphörande. Leverantören får inte efter Avtalets upphörande behandla personuppgifter i Kundens Data för andra syften än att radera eller anonymisera Kundens Data. Leverantören ska ha rätt till skälig ersättning för sådant arbete eller investering som krävs enligt leverantörens gällande prislista. Kundens skyldighet att ersätta investeringar inträder endast om kunden begärt sådan investering. 9

Kommentar: Stycket anger att leverantören vid avslut ska lämna kopia till nämnden och att nämnden i så fall inom en 60 dagars period måste framställa en sådan begäran. Vidare anges att de data som finns elektroniskt ska i skälig omfattning överlämnas i elektroniskt skick enligt nämndens önskemål. Personuppgiftsombudets bedömning och eventuell rekommendation: Att detta särskilt noteras då det annars finns för att data utplånas. Förvaltningen bör även undersöka huruvida elektroniskt skick enligt nämndens önskemål även kan innefatta format som möjliggör elektronisk långtidsförvaring (e-arkiv). 4.3 Personuppgiftsbiträdesavtal Kommentar: Något separat personuppgiftsbiträdesavtal finns ej utan anges delvis i IT & Telekomföretagen, Allmänna Bestämmelser, Molntjänster version 2014. Personuppgiftsombudets bedömning och eventuell rekommendation: Att ett särskilt personuppgiftsbiträdesavtal upprättas i samråd med personuppgiftsombud och enligt personuppgiftsombudets rekommendationer i denna laglighetsprövning. 4.4 Sammanfattande bedömning av avtalen Avtalen anses till stor del uppfylla kraven, dock bör följande säkerställas innan avtal ingås: Att ett särskilt personuppgiftsbiträdesavtal upprättas i samråd med personuppgiftsombud och enligt personuppgiftsombudets rekommendationer i denna laglighetsprövning. Detta avtal bör, utöver vad som angivits i nedanstående rekommendationer, även ange säkerhet vid överföring samt säkerhet vid inloggning. Att regleringen kring avveckling av tjänsten särskilt noteras då det annars finns för att data utplånas. Förvaltningen bör även undersöka huruvida elektroniskt skick enligt nämndens önskemål även kan innefatta format som möjliggör elektronisk långtidsförvaring (e-arkiv). Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering ansvarar för att vid nämndens begäran tillhandahålla loggfiler för att möjliggöra granskning av dessa i syfte att stävja intrång och sekretessbrott. Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering ansvarar för säkerhetskopiering alternativt att rutin för detta upprättas inom förvaltningen. Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering inte får behandla personuppgifter i tredje land. Att det i ett personuppgiftbiträdesavtal fogas in ett stycke som anger att personuppgiftsansvarig ska informeras om vilka underleverantörer som används samt säkerställa att det tecknats personuppgiftsbiträdesavtal med dessa. 10

5 Risk- och sårbarhetsanalys 5.1 Risker förknippade med leveransen av tjänsten 1. Leverantören går i konkurs alt. köps av intressent som inte respekterar ingångna avtal eller slås ut på annat sätt. Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för nämnden. Nedlagt arbete går till spillo, förseningar i produktionen, brukare och medarbetare tappar förtroende för huvudman resp. arbetsgivare. Nämndens möjligheter att utföra sitt uppdrag minskar. Allvarlig X Kommentar: Konkurs är möjligt men överlåtelse av avtal är inte tillåtet enligt avtalet vilket gör att heten bedöms som mindre. en vore ändock allvarlig om det skulle ske. 2. Leverantören förmår inte upprätthålla godtagbar tillgänglighet till tjänsterna. Förseningar i produktionen, brukare och medarbetare tappar förtroende. Nämndens möjligheter att utföra sitt uppdrag minskar. Allvarlig X Kommentar: Detta bedöms som mindre t men med betydande konsekvens för handläggningen av bostadsanpassning. 11

3. Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet. Förlust av anseende för nämnden. Krav i lag och/eller förordning kan inte uppfyllas. Kan framtvinga hävande av avtal. och/eller byte av leverantör. Allvarlig X Kommentar: Detta bedöms som ot då inloggning via SITHSkort sker. All överföring är krypterad. Loggning bör ske. 4. Dokumentation går förlorad i "molnet" p.g.a. systemfel. Omarbete, förseningar mm. som leder till att leverantörens förtroendekapital minskar. Nämndens möjligheter att utföra sitt uppdrag minskar. Stora konsekvenser för enskild vars insats kan bli lidande. Allvarlig X Kommentar: Detta bedöms om mindre t men med allvarlig konsekvens. Förvaltningen bör säkerställa att säkerhetskopiering sker av antingen leverantör eller förvaltningen själv. 5. Utomstående får, med eller utan intrång, del av brukares uppgifter. Stor konsekvens för enskild där sekretessuppgifter kan spridas till obehöriga. Allvarlig X Kommentar: t men med allvarlig konsekvens. 12

6. Leverantör anlitar tredje part utan nämndens kännedom. Stor konsekvens för enskild där sekretessuppgifter kan spridas till obehöriga. Allvarlig X Kommentar: Detta bedöms som möjligt och med betydande konsekvens. För att kunna minska heten bör nämnden tillse att det skrivs in i avtalet. 7. Leverantör behandlar personuppgifter i tredje land. Stor konsekvens för enskild där sekretessuppgifter kan spridas till obehöriga. Allvarlig X Kommentar: Detta bedöms som möjligt och medallvarlig konsekvens. Detta då till viss del medger detta. Nämnden rekommenderas starkt att tillse att det skrivs in i avtalet att så ej får ske. 13

5.2 Risker förknippade med tjänstens användning 8. Anställd förvarar pinkod tillsammans med SITHS-kort och tappar dessa. Obehörig kan logga in. Sekretessbrott. Integritetskränkande för enskild. Allvarlig X Kommentar: Medvetenheten bedöms vara hög hos förvaltningens anställda. Den mänskliga faktorn kan självklart alltid spela in men heten bedöms ändå som mindre. 5.3 Risker förknippade med kommunens IT-miljö 9. Det lokala nätverket upphör att fungera. Dokumentation och tjänster blir otillgängliga. Förseningar i utredningsarbetet. Dokumentation kan ej göras. Information kan inte läsas. Nämnden kan ej fullgöra sina uppgifter. 10. Kommentar: t avseende längre avbrott. Kortare sker i alla IT-miljöer. Dock är Funca ett stödsystem och konsekvensen bedöms därför som lägre. Allvarlig Fortsatt tillgänglighet till tjänsterna efter avslutad anställning. Tjänstekort glöms bort att krävas in. Inloggning spärras ej. Integritetskränkande för enskild. Sekretessbrott. X Allvarlig X 14

Kommentar: Detta bedöms som möjligt och med allvarlig konsekvens. Detta bör nämnden se över och utarbeta riktlinjer och rutiner kring. 11. Virus, trojan eller annan skadlig kod sprids från "molnet" till kommunens IT-miljö. Störningar i IT-leveransen och ekonomiska konsekvenser. Allvarlig X Kommentar: Detta bedöms som mindre t men med allvarlig konsekvens. IT-enhetens säkerhetsnivå bedöms som adekvat. 15

6 Sammanfattande bedömning Personuppgiftsombudet har med denna genomlysning identifierat någon möjlig samt några brister vad gäller avtalet med G Widergren Ärendehantering AB. Med anledning av det som har framkommit bör nämnden tillse; o Att ett särskilt personuppgiftsbiträdesavtal upprättas i samråd med personuppgiftsombud och enligt personuppgiftsombudets rekommendationer i denna laglighetsprövning. Detta avtal bör, utöver vad som angivits i nedanstående rekommendationer, även ange säkerhet vid överföring samt säkerhet vid inloggning. o Att regleringen kring avveckling av tjänsten särskilt noteras då det annars finns för att data utplånas. Förvaltningen bör även undersöka huruvida elektroniskt skick enligt nämndens önskemål även kan innefatta format som möjliggör elektronisk långtidsförvaring (e-arkiv). o Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering ansvarar för att vid nämndens begäran tillhandahålla loggfiler för att möjliggöra granskning av dessa i syfte att stävja intrång och sekretessbrott. o Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering ansvarar för säkerhetskopiering alternativt att rutin för detta upprättas inom förvaltningen. o Att det i ett personuppgiftbiträdesavtalet fogas in ett stycke som anger att G Widergren Ärendehantering inte får behandla personuppgifter i tredje land. o Att det i ett personuppgiftbiträdesavtal fogas in ett stycke som anger att personuppgiftsansvarig ska informeras om vilka underleverantörer som används samt säkerställa att det tecknats personuppgiftsbiträdesavtal med dessa. o Att riktlinjer och rutiner utarbetas för att säkerställa att personal efter avslutad anställning inte har tillgång till registret. 16

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss