Så här arbetar vi med informationssäkerhet och dataskydd

Här beskrivs organisation, arbetssätt, roller och ansvar

Lite brödtext som inledning före utfällbart innehåll.

Det finns ett gemensamt nätverk för alla dataskydd och informationssäkerhets-samordnare. Nätverket har möten varje månad. Syftet är att höja kompetensen genom att utbyta information och erfarenheter kring arbetet med informationssäkerhet och dataskydd.

Sammankallande för dessa möten är den övergripande informationssäkerhetsfunktionen. När vi får information om att det finns en ny samordnare i en verksamhet, kommer den att bli inbjuden till nätverket.

Det är verksamheten som ansvarar för att informationen de hanterar är skyddad och för att se till att detta blir en del i det dagliga arbetet. Här beskriver vi vilket ansvar olika roller i verksamheten har, samt vilka roller som stöttar verksamheten och vad de har för uppgift.

Varje nämnd, bolag och förbund ansvarar för sitt informationssäkerhets-, cybersäkerhets- och dataskyddsarbete. Nedan beskrivs vilket ansvar de olika rollerna i kommunens verksamhet har.

Kommunfullmäktige fastställer den övergripande strategin avseende informationssäkerhet och ska se till att hålla sig informerad om informationssäkerhetsläget i kommunen och det systematiska informationssäkerhetsarbetet.

Varje nämnd och styrelse ansvarar för att fullmäktiges strategi avseende informationssäkerhet efterlevs inom sin verksamhet.

Detta innebär att nämnd och styrelse ska:

Anta verksamhetsplan där aktiviteter utifrån informationssäkerhet ska ingå
Informera sig om informationssäkerhetsläget i verksamheten och det systematiska informationssäkerhetsarbetet
Se till att verksamheten har tillräckligt med resurser och förutsättningar för att skapa en god informationssäkerhet
Utse funktioner/roller informationssäkerhetssamordnare, (vid behov även informationssäkerhetsombud) och dataskyddssamordnare.
Rapportera efterlevnaden av ISO27000 årligen till kommunstyrelsen via informationssäkerhetsansvarig

Direktören/VD har det yttersta tjänstemannaansvaret att inom sitt ansvarsområde genomföra det som formuleras i strategin. I detta ansvar ingår att säkerställa att ledningssystemet för informationssäkerhet (LIS) innehåller de styrdokument som verksamheten kräver och att det finns resurser och förutsättningar för att genomföra det som dessa styrdokument föreskriver.

Detta innebär att direktör och VD ska:

Tillse att ledningssystemet för informationssäkerhet kontinuerligt granskas och revideras
Tillse att en övergripande handlingsplan för informationssäkerhetsarbetet utarbetas
Ta beslut om handlingsplan för informationssäkerhet och tillse att den beaktas i verksamheternas årliga budgetförslag
Fördela och prioritera resurser enligt behov från verksamheterna
Aktivt stödja informationssäkerhetsarbetet genom att föra upp frågor om informationssäkerhet på agendan i olika sammanhang och kontinuerligt informera verksamheten om det systematiska informationssäkerhetsarbetet
Utse organisation för informationssäkerheten inom sin verksamhet

Ansvaret för informationen ska följa det ordinarie verksamhetsansvaret. Det är chefens ansvar att se till att verksamheten arbetar systematiskt med informationssäkerhet. Ofta är en chef både informationsägare och riskägare. Informationsägare har det övergripande ansvaret för den information som skapas eller hanteras inom en verksamhet, det är en tjänsteperson som har ett uttalat ledningsansvar och har mandat att fatta beslut.

Informationsägaren ska:

säkerställa en tillräcklig konfidentialitet, riktighet och tillgänglighet till informationen i förhållande till verksamhetens behov och gällande lagkrav.
Besluta om skyddsnivå på informationen
Besluta om krav på säkerhetsåtgärder
Besluta om vilka risker som måste hanteras eller är acceptabla för verksamheten.

Medarbetaren ansvarar för att följa framtagna regler och instruktioner för att skydda den information som medarbetaren hanterar. Dessutom ska medarbetaren hålla sig informerad och delta i de utbildningar som erbjuds samt rapportera informationssäkerhetsbrister, funktionsfel och brister, enligt fastställda rutiner.

Medarbetare är samtliga personer som i sin yrkesutövning hanterar information inom kommunkoncern, vilket inkluderar såväl anställda som uppdragstagare.

Informationsägare är den som har det övergripande ansvaret för den information som skapas eller hanteras inom en verksamhet. Den är också riskägare för det som rör informationen.

Ansvaret för informationen ska följa det ordinarie verksamhetsansvaret. Informationsägaren är en tjänsteperson som har ett uttalat ledningsansvar och har mandat att fatta beslut. Som chef är man ansvarig för sin verksamhet och därför blir den rollen ofta informationsägare.

Detta innebär att informationsägaren ska:

säkerställa en tillräcklig konfidentialitet, riktighet och tillgänglighet till informationen i förhållande till verksamhetens behov och gällande lagkrav.

Besluta om skyddsnivå på informationen

Besluta om krav på säkerhetsåtgärder

Besluta om vilka risker som måste hanteras eller är acceptabla för verksamheten.

Systemägare ansvarar för att ha koll på vilken information IT-systemet hanterar, systemets informationssäkerhetsklassning och riskanalys samt för att systemet hanterar verksamhetens information enligt krav på säkerhetsåtgärder. Systemägare ansvarar för att krav på informationssäkerhet beaktas i samband med anskaffning, administration, utveckling, drift och avveckling av IT-system. Systemägare är förvaltningschef, vd eller förbundsdirektör om denne ej delegerat uppgiften till annan part inom sin verksamhet.

Det finns roller/funktioner som har till uppgift att stötta verksamheterna

I varje verksamhet ska det finnas en utsedd informationssäkerhetssamordnare som ansvarar för att samordna informationssäkerhetsarbetet, stödja verksamheterna vid informationssäkerhetsklassning, riskanalys och identifiering av säkerhetsåtgärder samt stödja verksamheterna och medarbetarna i frågor som rör informationssäkerhet. Detta innebär att samordnare ska:

Stödja informationsägare vid identifiering av säkerhetsåtgärder
Stödja informationsägare i frågor gällande efterlevnad av interna riktlinjer och gällande lagkrav kopplat till informationssäkerhet
Stödja verksamheten med informationssäkerhetsklassning och riskanalys
Stödja verksamheten vid framtagande av lokala rutiner med verksamhetsspecifika informationssäkerhetsbehov
Stödja verksamheterna och medarbetarna i frågor som rör informationssäkerhet
Bistå med att förvalta och utveckla verksamhetens ledningssystem för systematisk informationssäkerhet
Initiera, planera och följa upp arbetet med informationssäkerhet inom verksamheten
Regelbundet rapportera till verksamhetens ledning angående informationssäkerhet
Stödja vid anskaffning, administration, utveckling, drift och avveckling

Dataskyddssamordnaren är en stödfunktion till ledningen och verksamheterna. Detta innebär att dataskyddssamordnaren ska:

Registrera pågående personuppgiftsbehandlingar i registerförteckningen och följa upp så att dessa är aktuella
Stödja verksamheten vid begäran av registerutdrag
Stödja verksamheten i upprättade av skriftliga avtal med personuppgiftsbiträden
Stödja verksamheterna och medarbetarna i frågor som rör dataskydd
Initiera, planera och följa upp arbetet med dataskydd
Informera verksamhetens ledning angående dataskydd
Medverka i det koncerngemensamma nätverket för dataskyddsfrågor
Omvärldsbevaka inom verksamhetsområdet och informera verksamheten samt vara kontaktyta mot dataskyddsombudet

Det finns en informationssäkerhetsfunktion som består av specialister inom informationssäkerhet, cybersäkerhet, dataskydd samt incidenthantering. Funktionen leder det övergripande informationssäkerhetsarbetet genom bland annat framtagande av övergripande styrdokument, metoder, mallar och rådgivning till verksamheterna.

I funktionen ingår även rollerna informationssäkerhetsansvarig och dataskyddsombud.

Informationssäkerhetsansvarig ansvarar för att leda, utveckla, samordna och följa upp arbetet med informationssäkerhet, ta fram och underhålla ledningssystemet för informationssäkerhet (LIS), genomföra omvärldsbevakning samt inhämta information om informationssäkerhetsläget i organisationen.

Informationssäkerhetsansvarig har inte ett formellt ansvar för informationssäkerheten, utan det huvudsakliga syftet med denna funktion är att stödja ledningen och verksamhetscheferna.

Dataskyddsombudets ansvar och ställning styrs utifrån Dataskyddsförordningen. Ombudet har inte ett formellt ansvar för dataskydd och hanteringen av personuppgifter, utan det huvudsakliga syftet med dataskyddsombudets roll och arbete är att stödja ledningen och verksamheterna samt kontrollera efterlevnaden av Dataskyddsförordningen.

Här beskriver vi hur du kan lägga upp ditt arbete

Att arbeta systematiskt med informationssäkerhet innebär att man har ett arbetssätt där man konstaterar nuläget, analyserar vilka brister man har, genomför åtgärder för att minska dessa brister och sedan följer man upp vilket resultat dessa åtgärder har fått. För att sedan börjar om med att konstatera nuläget. Det är en upprepande cykel.

Att arbeta riskbaserat innebär att man gör riskanalyser för att konstatera vilka brister man har och utifrån riskanalyserna skapar man en handlingsplan.

Riskanalys för verksamheten- vad i verksamheten kan innebära att informationen inte har tillräckligt skydd? Det kan vara att man inte gjort informationssäkerhetsklassningar och därmed inte vet vilken information eller system som är skyddsvärda. Att man inte gjort riskanalyser så man vet vilka sårbarheter som finns kring hur man hanterar informationen eller att man inte vet vad man ska göra ifall ett system har driftstörningar. Här är det vanligt att man konstaterar att det behövs mer utbildning för medarbetarna, det brukar ofta vara en åtgärd. Resultatet av riskanalysen kan fungera som underlag till verksamhetsplanen eller om man väljer att göra en separat handlingsplan.

Riskanalys för enskilt objekt- Man kan till exempel göra riskanalyser för en specifik information, en samlad mängd information, ett system eller ett projekt.

För att få en systematik kring riskanalyser, sätt en tidplan för när dessa ska genomföras. Vet man att systemförvaltningsplanerna uppdateras varje år, i till exempel maj, kan det vara lämpligt att ha som rutin att göra riskanalyser i samband med dessa.

Några exempel som man kan utgå ifrån när man ska skapa sin handlingsplan:

Förra årets handlingsplan: Se vad som är gjort, inte gjort, vad behöver göras igen.
Utgå från riskanalysen för verksamheten för att skapa en övergripande verksamhetsplan/handlingsplan för informationssäkerhetsarbetet.
Vad händer i verksamheten under kommande år? Byte av system? Större projekt? Upphandlingar?
Har man gjort cybersäkerhetskollen? Vad har man för förbättringsområden?
Dataskyddsombudet har en 5-årsplan för dataskyddsgranskning: kolla vad ska granskas nästa år, vad fick man för synpunkter på årets granskning?

Välj ut några områden som ni bedömer är prioriterade att arbeta med under året, besluta den i ledningsgruppen.

Här hittar du stöd du kan använda i ditt arbete, förutom detta så hänvisar vi även till rubriken Metodstöd och Utbildning

Att klassa sin information och göra riskanalyser kring den är grundläggande i informationssäkerhetsarbetet.

När man klassar sin information kan man se vilken information man behöver lägga fokus på att skydda. Riskanalyserna konstaterar vilka sårbarheter som finns och vad man kan göra för att åtgärda dessa.

Använd framtagna instruktioner och mallar. Fundera över vilken skyddsnivå själva klassningen och riskanalysen har när ni lagrar dem. Se också till att skapa ett arbetssätt där ni lätt kan skapa er en bild över vilka klassningar och riskanalyser som är genomförda.

I mallen ingår en mini-konsekvensbedömning (DPIA) utifrån skydd av personuppgifter. Den ger vägledning ifall en fullständig konsekvensbedömning behövs göras.

Länk till sida: informationssäkerhetsklassning och riskanalys

Personuppgiftansvariga ska kunna visa att det vidtagits tillräckliga åtgärder för att skydda den registrerades integritet och rättigheter.

Syftet med en konsekvensbedömning (DPIA, Data Protection Impact Assessment) är att förebygga risker. Målet är att skydda människors fri- och rättigheter och minimera riskerna vid sådana behandlingar av personuppgifter som innebär en hög risk.

Kommer du att inleda en behandling av personuppgifter? Då behöver du göra en så kallad konsekvensbedömning avseende dataskydd för att säkerställa nivån av riskerna och hur du ska säkerställa säkerheten kring behandlingen och därmed minimera riskerna.

En konsekvensbedömning beskriver syftet med personuppgiftsbehandlingen samt de risker som kan uppstå för den registrerade vars personuppgifter behandlas.

Förebygg riskerna innan de uppkommer

Syftet med konsekvensbedömning är att förebygga risker innan de uppkommer.

Du kan behöva göra en fullständig konsekvensbedömning:

innan du påbörjar en personuppgiftsbehandling.
om risken med en pågående behandling ändras.
för pågående behandlingar om du inte har gjort det tidigare.

Konsekvensbedömningen är en process för att:

ta reda på vilka risker som finns med att behandla personuppgifter.
ta fram rutiner och åtgärder för att bemöta dessa risker.
visa att dataskyddsförordningens krav uppfylls.

Här finns en mall för att analysera om en konsekvensbedömning avseende dataskydd behöver genomföras samt en mall som vägleder genom konsekvensbedömningen.

Behandlingar av personuppgifter utanför nämndens eller styrelsens egen verksamhet kan kräva datadelningsavtal eller personuppgiftsbiträdesavtal (Pub-avtal).

Om en leverantör, organisation, institution eller annan har fått i uppdrag att behandla personuppgifter behöver du alltid kolla upp om det behöver skrivas ett avtal. Inom kommunen ligger personuppgiftsansvaret och ansvaret att teckna datadelningsavtal eller Pub-avtal på nämnder och styrelser.

Den som behandlar personuppgifter kan vara ensamt personuppgiftsansvarig, gemensamt personuppgiftsansvarig eller personuppgiftsbiträde.

Personuppgiftsansvarig: en fysisk eller juridisk person som ensamt eller tillsammans med andra bestämmer varför (ändamål) och hur (medel) personuppgifter ska behandlas, exempelvis en nämnd.

Personuppgiftsbiträde: en fysisk eller juridisk person som behandlar personuppgifter för den personuppgiftsansvariges räkning, exempelvis en leverantör av ett HR-system.

Relationer vid behandling av personuppgifter

I flikarna nedan beskrivs tre olika relationer som kan uppstå vid behandling av personuppgifter. Vilket personuppgiftsbiträdesavtal som ska tecknas beror på relationen.

Personuppgiftsansvarig och personuppgiftsbiträde I relationen personuppgiftsansvarig – personuppgiftsbiträde är det den ansvarige som bestämmer varför och hur personuppgifter ska behandlas. Medan biträdet behandlar personuppgifter för den ansvariges räkning. Relationen regleras genom personuppgiftsbiträdesavtal. Vanliga biträden är IT-leverantörer och molntjänstleverantörer.
Gemensamt personuppgiftsansvariga uppstår när två eller flera parter gemensamt bestämmer både syfte och medel för behandlingen. Detta regleras genom datadelningsavtal eller reglemente mellan två förvaltningar inom samma kommun.
Självständiga personuppgiftsansvariga gäller när två organisationer var för sig behandlar uppgifter för egna ändamål, t.ex. när uppgifter skickas från en organisation till en myndighet. Här finns inget krav på avtal enligt GDPR.

Mallar och instruktioner

I flikarna nedan finns mallar och instruktioner för förvaltningar och bolag. Om du är osäker på relationen och vilket avtal du ska välja börjar du med dokumentet ”Mall för analys av personuppgiftsansvaret när flera är inblandade”.

Är ett personuppgiftsbiträdesavtal aktuellt är det rekommenderat att du använder dig av EU-kommissionens standardavtal. Men du kan även använda SKR:s avtalsmall, som är kommunens mall sedan tidigare.

Se till att alla avtal sparas i Public 360.

Här hittar du mall och instruktioner för att teckna personuppgiftsbiträdesavtal. Länk till annan webbplats.

Vad är en registerförteckning?

En så kallad registerförteckning (kallas ibland behandlingsregister, artikel 30-register eller RoPA) är ett register, eller en förteckning, över de personuppgiftsbehandlingar som genomförs i våra organisationer. En registerförteckning är helt enkelt dokumentation och beskrivning av alla personuppgiftsbehandlingar. I artikel 30 kan vi hitta de ska-krav för kategorierna i en registerförteckning. Bland annat ska det, för varje personuppgiftsbehandling, anges hur uppgifterna samlas in och rättslig grund, vad syftet med respektive behandlingen är och hur länge behandling av personuppgifterna ska pågå. Registerförteckningen ger oss en god överblick över hur många behandlingar som vi utför, vilka sorts registrerad och uppgifter samt dess känslighet och det kan användas som verktyg för att kunna bevisa efterlevnad av GDPR. Det finns även formkrav på en registerförteckning, den ska vara skriftlig i elektronisk form.

Vad raknas som personuppgiftsbehandling?

Enligt Art. 4.2 definieras behandling som ”en åtgärd eller kombination av åtgärder beträffande personuppgifter eller uppsättningar av personuppgifter”.

Om vi tar IMY:s (före detta Datainspektionen) registerförteckning Länk till annan webbplats. som exempel, så definieras mottagning av ”Ansökningar om anställning på Datainspektionen” som en personuppgiftsbehandling. Även om att ta emot ansökningar, att läsa ansökningar, att lagra de i systemen, att kalla in till intervju, osv kan anses som olika personuppgiftsbehandlingar enligt GDPR kan det vara lämpligt att en kombination av behandlingar läggs ihop som en och samma process i registret. Detta görs inte bara för att underlätta kontinuerlig arbetet men även ska det underlätta efterlevnad av principer i GDPR. Såsom att information ska vara lättillgänglig, hållas uppdaterad och korrekt.

Den övergripande informationssäkerhetsfunktionen tar fram övergripande styrande dokument kring hur informationssäkerhets- och dataskyddsarbetet ska bedrivas. När dessa är antagna publiceras de på respektive kommuns intranät.

Finns det behov av verksamhetsspecifika styrande dokument tas detta fram av verksamheten själva.

Inför en upphandling av till exempel ett system eller tjänst behöver man i tid göra en klassning och riskanalys. Klassningen ger en skyddsnivå och riskanalysen gör en uppmärksam på vilka risker som finns och där kan det finns saker som man kan behöva kravställa på eller se över arbetssätt när man går in i någonting nytt.

Leverantörer är ett attraktivt mål för utpressningsattacker, då de ofta hanterar många kunder och stora mängder information. Därför är det viktigt att ställa krav kring hur de arbetar med skydda information, för att säkerställa att informationen är trygg hos dom.

Det finns en bruttolista framtagen med exempel på krav som kan ställas.

Länk: Bruttolista upphandling

Leverantörsuppföljning

Att följa upp leverantörerna och dess underleverantörer, så de följer de krav som ställts, är ett krav utifrån både dataskyddslagstiftningen och cybersäkerhetslagen. Upprätta interna rutiner för hur ni gör detta.

Fortsätt utforska

Digital infrastruktur

Det digitala arvet inom kommunsektorn är generellt sätt mycket hindrande, idag är det mer vanligt att IT-system hindrar utveckling än möjliggör den. Detta är realitet i 290 kommuner och något vi skrivit om här . Ett möjliggörande digitalt arv är därför en grundförutsättning för att ställa om i verksamhet och erbjudande till Sundsvallsborna och våra företagare. Utan det spelar det ingen roll hur höga ambitioner eller viljor vi har, vi kan inte få utlopp för dom då tekniken hindrar oss. För att möjliggöra en omställning av verksamhet och arbetssätt krävs därför en digital infrastruktur som ger våra verksamheter möjlighet att utveckla sin verksamhet med stöd av teknikens möjligheter. Den digitala infrastrukturen behöver vara flexibel och snabbrörlig, den behöver vara ett ändamålsenligt verktyg som stöttar verksamheterna i utvecklingen.
AI-plattformen Eneo

Sundsvalls kommun och Ånge kommun har utvecklat den öppna AI plattformen Eneo, en plattform som har fokus på att göra det enkelt att använda generativ AI, samtidigt som det sker på ett öppet och transparent sätt och där vi kan dela våra lösningar inom hela det offentliga. En plattform som har invånarna, företagarnas och den offentliga sektorns behov i centrum.
AI-plattformen Eneo

Sundsvalls kommun och Ånge kommun har utvecklat den öppna AI plattformen Eneo, en plattform som har fokus på att göra det enkelt att använda generativ AI, samtidigt som det sker på ett öppet och transparent sätt och där vi kan dela våra lösningar inom hela det offentliga. En plattform som har invånarna, företagarnas och den offentliga sektorns behov i centrum.

Så här arbetar vi med informationssäkerhet och dataskydd

Gemensamt nätverk ISoD

Organisation, roller och ansvar

Verksamhetens roller och ansvar

Kommunfullmäktige

Nämnd, styrelse

Förvaltningsdirektör, VD, förbundsdirektör

Chefer

Medarbetare

Informationsägare

Systemägare

Roller som stöttar verksamheten

Informationssäkerhetssamordnare

Dataskyddssamordnare

Informationssäkerhetsfunktion

Att arbeta med informationssäkerhet och dataskydd

Systematiskt och riskbaserat arbetssätt

Skapa en handlingsplan

Stöd i arbetet

Klassning och riskanalys

Konsekvensbedömning

Personuppgiftansvariga ska kunna visa att det vidtagits tillräckliga åtgärder för att skydda den registrerades integritet och rättigheter.

Förebygg riskerna innan de uppkommer

Du kan behöva göra en fullständig konsekvensbedömning:

Konsekvensbedömningen är en process för att:

Personuppgiftsbiträdesavtal, PUB-avtal

Relationer vid behandling av personuppgifter

Mallar och instruktioner

Registerförteckning

Vad är en registerförteckning?

Vad raknas som personuppgiftsbehandling?

Styrande dokument

Upphandling och leverantörsuppföljning

Fortsätt utforska