Download Report

tgerg
Risk- och Sårbarhetsanalys
Bedömning av behandling av personuppgifter i molntjänst för
Utbildningsnämndens verksamheter
Sektor utbildning, kultur- och fritid
1 Beskrivning av användning av molntjänst Office 365
Utbildningsnämnden ser flera fördelar med att kunna erhålla funktionalitet genom molntjänst. I kommunen
finns ambitioner att skapa rätt förutsättningar, för att med stöd av IT underlätta och effektivisera samverkan,
informationsdelning och kommunikation, såväl inom organisationen och med externa intressenter. Detta
gäller för hela Utbildningsnämndens ansvarsområde. Genom att välja en molntjänst för
Utbildningsnämndens ansvarsområde kommer personuppgifter för medarbetare och elever att behandlas i
tjänsten. Den som använder sig av en tredje part, ett så kallat personuppgiftsbiträde, för behandling av
personuppgifter ska därför:
-
Genomföra en laglighetskontroll utifrån reglerna i personuppgiftslagen (PuL),
Göra en risk- och sårbarhetsanalys samt,
Teckna tillhörande personuppgiftsbiträdesavtal med molntjänstleverantören.
Utbildningsnämnden i Ale kommun är personuppgiftsansvarig för behandlingen av personuppgifter i
molntjänsten. Molntjänsten levereras av Microsoft som därigenom har rollen som personuppgiftsbiträde.
Sektor utbildning, kultur och fritid har gjort den samlade bedömningen att användandet av molntjänsten
Office 365 efterlever de integritets- och säkerhetskrav som följer av PuL och att vi med tjänsten och på det
sätt vi valt att använda den, inte kränker den enskilde elevens- och/eller medarbetarens personliga integritet.
Viktiga komponenter i denna bedömning, som beskrivs närmare i det följande, har bl.a. varit att:
1. Molntjänsten levereras som en tjänst mellan Ale kommun och molntjänstleverantören via federation
– elever och medarbetare behöver inte skapa egna konsumentkonton eller tvingas ingå individuella
relationer med externa parter.
2. Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en
möjlighet att avsluta tjänst och hämta tillbaka data om behovet skulle uppstå i framtiden. T.ex. via
reviderade risk- och sårbarhetsanalyser.
3. Tydlighet och full transparens erbjuds kring molntjänstens uppbyggnad, datahantering och
certifieringar.
4. Personuppgiftsbiträdesavtalet samt de tillhörande EUs standardkontraktsklausulerna uppfyller kraven
på att vara en tydlig och fullständig instruktion av oss som personuppgiftsansvarig till
molntjänstleverantören som personuppgiftsbiträde.
1.1 Tjänster som skall användas i Office 365
Ale kommun har beslutat att använda Microsoft Office 365 för hantering av den information som genereras
inom skolans verksamhet. Skolans verksamhet innefattar förskola, förskoleklass, fritidshem, grundskola,
gymnasium, särskola och vuxenutbildning.
Elever och medarbetare under Utbildningsnämnden, kommer att få tillgång till SharePoint Online och
dokumentdelningstjänsten Skydrive Pro i Office 365, för lagring och redigering av dokument, bilder, film, och
annat pedagogiskt arbetsmaterial.
Samtliga användare kommer att få tillgång till onlinetjänsterna Lync Online.
Eleverna får e-postkonto via tjänsten Exchange Online. Personal använder andra befintliga e-posttjänster.
Förutom ovanstående beskrivning kommer skolverksamheten även att ha tillgång till det skoladministrativa
systemet. Grundinformation om elever och medarbetare hämtas från skoladministrativt respektive
personaladministrativt system för att skapa elev- och personalkonton i Office 365.
1.2 Tjänster och information som inte hanteras i Office 365
Tjänsten används inte för elevadministration, individuella utvecklingsplaner, omdömen eller liknande.
1.3 Information och kommunikation om valet av tjänst
Information och instruktioner om molntjänsten kommer att lämnas till medarbetare, elever och
vårdnadshavare. Informationen är framtagen och kommer att lämnas skriftligt i form av en tryckt
informationsfolder till elev och vårdnadshavare. Medarbetare informeras via intranät och e-post.
2 Behandling av personuppgifter
I Office 365 kommer Utbildningsnämnden behandla personuppgifter om elever och lärare.
2.1 Ändamål med behandlingen
Office 365 kommer användas i Utbildningsnämnden i Ale Kommun för följande ändamål:
Microsoft Office 365 är ett pedagogiskt arbetsverktyg som ska användas för digitalt samarbete i lärsituationen
genom samarbeten lärare – elev, lärare – lärare och elev – elev. Behandlingen av personuppgifter ska således
enbart ske för att möjliggöra arbetsverktygen.
2.2 Typ av uppgifter
Endast följande typer av personuppgifter kommer att behandlas i den aktuella molntjänsten:
Endast personuppgifter om användaridentitet och liknande indirekta personuppgifter förekommer, t.ex.
namn, klass, skola och liknande. IT-stödet kommer inte att användas för dokumentation om elevernas
utveckling och omdömen. Personuppgiftsbiträdet kommer behandla personuppgifterna enbart för att utföra
den molntjänst som Office 365 utgör. En beskrivning av omfattningen och ändamålet med denna behandling
framgår av personuppgiftsbiträdesavtalet och behandlingen får bara ske enligt dessa instruktioner.
2.3 Tillåten behandling
Personuppgifter behandlas av skolverksamheten för att kunna genomföra arbetsuppgifter, bland annat för
pedagogiskt arbete, kommunikation och lagring av pedagogiskt material. Innehållet är av okänslig karaktär.
Enligt 10 § punkten d PuL, får detta ske utan individens eller vårdnadshavares samtycke.
2.4 Information till registrerade
Information om den planerade behandlingen ska enligt 23 och 25 §§ PuL lämnas och detta kommer att
genomföras genom att ett informationsfolder delas ut till varje elev och dess vårdnadshavare. Information till
medarbetare delas ut via e-post. Information kommer även att finnas på intranät, webbplats och andra
kanaler.
2.5 Personuppgiftsbiträde
Utbildningsnämnden kommer att använda sig av personuppgiftsbiträden. Microsoft Irland Operations
Limited som molntjänstleverantör och licensgivare har rollen som personuppgiftsbiträde. Biträdet använder i
sin tur ett begränsat antal namngivna kontrakterade underleverantörer. Utbildningsnämnden kan vid varje
givet tillfälle underrätta sig om vilka underleverantörer som för tillfället deltar i behandlingen av
personuppgifterna.
Biträdet kommer behandla personuppgifterna enbart för att utföra den molntjänst som Office 365 utgör. En
uttömmande beskrivning av omfattningen och ändamålet med denna behandling framgår av
personuppgiftsbiträdesavtalet och behandlingen får bara ske enligt dessa instruktioner.
2.6 Överföring till tredje land
De primära datacenter som används i molntjänsten finns inom EU. Data kan dock komma att överföras till tredje
land. Se punkt 3.3 samt (http://trustoffice365.com)
Även teknisk supportpersonal utanför EU kan behöva felsöka tjänsten.
3 Standardavtal
Ale kommun har till huvudavtalet ”Microsoft Campus och School-avtal” med tillhörande ”Enrollment for
Education Solutions” bilagt tilläggsavtalen EES18 vilket är personuppgiftsbiträdesavtalet och M100 vilket
avser EUs standardkontraktsklausuler.
3.1 Avtalsstruktur

EES18 – Data Processing Agreement
o Avtalet EES18 (Bilaga 1) är Microsofts Personuppgiftsbiträdesavtal för skolavtal, ett s.k.
Data Processing Agreement. Detta avtal reglerar leveransen av tjänsten och hanteringen av
innehåll i denna. Avtalet utgör en instruktion mellan Utbildningsnämnden som
personuppgiftsansvarig och Microsoft som personuppgiftsbiträde. Avtalet undertecknas och
kan bara ändras genom skriftliga tillägg som undertecknas av båda parter. Avtalet (och nedan
angivna EU standardkontraktsklausuler) har företräde framför andra avtalshandlingar mellan
parterna enligt avtalets punkt 7.c. I avtalet redovisas bl.a. att molntjänstleverantören inte får
behandla personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för,
att biträdet är skyldig att tillämpa gällande lagstiftning när det gäller behandlingen av
personuppgifter, hur molntjänstleverantören Microsoft reglerar åtkomst till sina datacenter,
på vilket sätt Microsoft informerar om underleverantörer och förändringar av dessa m.m.

M100 – EU Model Clauses
o Avtalet M100 (Bilaga 2) avser EUs standardkontraktsklausuler mellan Ale kommun och
Microsofts moderbolag utanför EU, även kallat EU Model Clauses. Dessa klausuler reglerar
gränsöverskridande överföringar av personuppgifter mellan t.ex. Europa och tredje land och
med EU Model Clauses så uppfylls EU:s dataskyddsdirektiv avseende just detta. EU:s
dataskyddslagstiftning begränsar möjligheten att exportera personuppgifter från Europeiska
ekonomiska samarbetsområdet. EU Model Clauses, är standardkontraktsklausuler som
godkänts av Europeiska kommissionen och är ett rekommenderat sätt att legitimera
överföring av personuppgifter utanför det Europeiska ekonomiska samarbetsområdet.
Personuppgiftsbiträdesavtalet – checklista
1
Ett personuppgiftsbiträdesavtal skall upprättas mellan kund och de som behandlar uppgifter för kunds räkning
(personuppgiftsbiträden).
Sker genom att personuppgiftsbiträdesavtalet i Bilaga 1 (EES18) undertecknas mellan kund som personuppgiftsansvarig
och molnleverantören som personuppgiftsbiträde. Utöver detta tecknas även EUs standardkontraktsklausuler mellan
kund och molnleverantörens moderbolag utanför EU (Bilaga 2) (M100).
2
Villkoren i personuppgiftsbiträdesavtalet skall vara urskiljbara från övriga villkor som gäller mellan parterna och de skall
inte ensidigt kunna förändras av personuppgiftsbiträdet.
Uppfylls genom Bilaga 1 som är urskiljbart, undertecknas och bara kan ändras genom ömsesidigt godkännande av
parterna.
3
Personuppgiftsbiträdesavtalet:
a) Skall föreskriva att personuppgiftsbiträdet är skyldigt att tillämpa svensk lagstiftning när det gäller
behandlingen av personuppgifter
Adresserat i avsnitt 2.a i Bilaga 1.
b)
c)
Skall föreskriva att personuppgiftsbiträdet är skyldigt att vidta lämpliga säkerhetsåtgärder enligt 31 § PuL
Adresserat i avsnitt 5 i Bilaga 1.
d)
Skall föreskriva att personuppgiftsbiträden endast får behandla personuppgifter i enlighet med den
personuppgiftsansvariges instruktioner och därmed säkerställa att personuppgiftsbiträdet inte behandlar
personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för
Adresserat i avsnitten 2.b. och 4.a. i Bilaga 1.
e)
Skall säkerställa att den personuppgiftsansvarige har kännedom om vilka andra personuppgiftsbiträden som
kan komma att behandla den personuppgiftsansvariges personuppgifter
f)
Uppfylls genom att en fullständig lista på Microsofts underleverantörer för O365 läggs till Microsofts Office 365
Trust Center http://www.microsoft.com/online/legal/v2/?docid=26&langi d=en-us
Därutöver ges kunden enligt avsnitt 4.e. i Bilaga 1 rätt att få meddelanden om det läggs till underleverantörer
och säga upp avtalet om de inte godkänner dessa.
g)
Skall säkerställa att den personuppgiftsansvarige på lämpligt sätt har möjlighet att följa upp att
personuppgiftsbiträden lever upp till den personuppgiftsansvariges krav på personuppgiftsbehandlingen och
verkligen vidtar lämpliga säkerhetsåtgärder
Adresserat i avsnitt 5.b. (Certifications and audits) i Bilaga 1.
h)
Skall säkerställa att det finns tekniska och praktiska förutsättningar att utreda misstankar om att någon hos
den personuppgiftsansvarige eller hos något personuppgiftsbiträde haft obehörig åtkomst till
personuppgifterna
Adresserat i avsnitten 5.a. (vi) (Domain: Access control) och 5.a. (vii) (Domain: Information security incident
management) samt i avsnitt 6.(Security Incident Notification) i Bilaga 1.
i)
samt
Skall säkerställa att parterna vet vilka åtgärder som ska vidtas vid avtalets upphörande så att
personuppgiftsbiträdet inte har åtkomst till personuppgifterna därefter.
Adresserat i avsnitt 2.c. i Bilaga 1.
4
Särskilda regler gäller för överföring av personuppgifter till ett land utanför EU-/EES -området. Om personuppgifter
kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES skall ansvarig se till att något av undantagen
från förbudet mot överföring av data till tredje land kan tillämpas, till exempel de s.k. standardavtalsklausulerna eller
anslutande till Safe Harbor-principerna, se punkt 3.3
Dels är molnleverantören ansluten till Safe Harbor-principerna och dels ingår tecknande av EUs
standardkontraktsklausuler (Bilaga 2).
3.2 Underleverantörer och kontroll
Personuppgiftsbiträdet kommer att anlita underleverantörer. Den personuppgiftsansvarige har kännedom om
vilka andra personuppgiftsbiträden som kan komma att behandla den personuppgiftsansvariges
personuppgifter. Den personuppgiftsansvarige kan säkerställa sin kontroll över behandlingen.
Den personuppgiftsansvarige kan vid varje givet tillfälle underrätta sig om vilka underleverantörer som för
tillfället deltar i behandlingen av personuppgifterna. En fullständig och uppdatera lista på Microsofts
underleverantörer för Office 365 finns på Microsofts Office 365 Säkerhetscenter.
(http://www.microsoft.com/online/legal/v2/?docid=26&langi d=en-us).
Därutöver ges Ale kommun enligt avsnitt 4.e. i Bilaga 1 rätt att få meddelanden om det läggs till
underleverantörer och säga upp avtalet om de inte godkänner dessa.
3.3 Tredjelandsöverföring
Särskilda regler gäller för överföring av personuppgifter till ett land utanför EU-/EES -området. Om
personuppgifter kommer att behandlas av personuppgiftsbiträden i ett land utanför EU/EES så åligger det
Utbildningsnämnden i Ale kommun såsom personuppgiftsansvarig att se till att något av undantagen från
förbudet mot överföring av data till tredje land kan tillämpas, till exempel de s.k. standardavtalsklausulerna
eller anslutande till Safe Harbor-principerna.
Utbildningsnämnden gör bedömningen att behandlingen av personuppgifter i Microsofts tjänst efterlever
EU:s Direktiv 95/46/EC avseende skydd för enskilda personer med avseende på behandling av
personuppgifter och om det fria flödet av sådana uppgifter. Detta krav uppfylls genom tecknandet av EUs
standardkontraktsklausuler (Bilaga 2) samt att Microsoft är ansluten till Safe Harbor-principerna.
Listan över till Safe Harbor anslutna företag och just MS:
https://safeharbor.export.gov/companyinfo.aspx?id=19225
Information från DI:
http://www.datainspektionen.se/fragor-och-svar/personuppgiftslagen/vad-ar-safe-harbor-principerna/
Länk till USA:s handelskammare:
http://www.export.gov/safeharbor/
3.4 Möjlighet till insyn och spårbarhet
Utbildningsnämnden vill säkerställa att de som personuppgiftsansvarig på lämpligt sätt har möjlighet att följa
upp att personuppgiftsbiträdet lever upp till den personuppgiftsansvariges krav på
personuppgiftsbehandlingen och verkligen vidtar lämpliga säkerhetsåtgärder.
Nämnden gör bedömningen att Microsoft Office 365 ger dem som personuppgiftsansvarig möjlighet och
förutsättningar att efterleva detta. I avsnitt 5.b. i bilaga 1 så förbinder sig Microsoft att förvalta en
säkerhetspolicy som efterlever ISO 27001. Utbildningsnämnden bedömer att den revision som görs
regelbundet av tredje part uppfyller kommunens förväntningar och krav gällande kontroll i detta avseende.
Nämnden har möjligheten att begära att få ta del av revisionsutlåtande för att på så sätt verifiera att Microsoft
upprätthåller och efterlever de certifieringar som Microsoft säger sig ha.
Nämnden gör vidare bedömningen att Microsoft tillhandahåller information om var geografiskt och i vilka
datacenter biträdet hanterar personuppgifter och informationen samt vilka som har åtkomst till denna.
http://office.microsoft.com/sv-se/business/redir/FX103046257.aspx
3.5 Tillgänglighet
Utbildningsnämnden har ingått ett avtal med molntjänstleverantören för användandet av tjänsten Office 365.
Molntjänstleverantören lovar tillgänglighet på 99,9% och erbjuder ett servicenivåavtal med ekonomisk
garanti.
För mer information gällande tillgänglighet:
http://office.microsoft.com/sv-se/business/redir/FX104028266.aspx.
Servicenivåavtalet återfinns på:
http://www.microsoftvolumelicensing.com/Downloader.aspx?DocumentId=6611
3.6 Säkerhet
Gällande säkerhet så ska den personuppgiftsansvarige säkerställa att det finns tekniska och praktiska
förutsättningar att skydda data samt ha möjlighet att utreda misstankar om att någon hos den
personuppgiftsansvarige eller hos något personuppgiftsbiträde haft obehörig åtkomst till personuppgifterna.
Utbildningsnämnden gör den samlade bedömningen att Microsoft har genomfört och tillhandahåller lämpliga
tekniska och organisatoriska åtgärder och interna kontroller och rutiner i syfte att upprätta och förvalta ett
kvalitativt informationssäkerhetsarbete. Med stöd av dessa gör vi bedömningen att nämndens data och
personuppgifter kan skyddas mot oavsiktlig, otillåten eller olaglig åtkomst och förstörelse. Detta adresseras
specifikt i avtalsbilagan (Bilaga 1) avsnitten 5.a. (vi) (Domain: Access control) och 5.a. (vii) (Domain:
Information security incident management) samt i avsnitt 6.(Security Incident Notification).
Ale kommun har vidtagit ett antal tekniska åtgärder tillsammans med den inbyggda infrastrukturen och
arkitekturen för säkerhet som Office 365 erbjuder. Nedan sammanfattas några områden som vi har beaktat:









Begränsad tillgång till den fysiska datahallen för endast auktoriserad personal
Datahallen skyddas av ett flertal lager fysisk säkerhet, som biometriska läsare, rörelsesensorer,
kameraövervakning och trygghetslarm
All kommunikation i datacentret är krypterad, data krypteras i vila och vid kommunikation.
Kryptering av data i vila sker med hjälp av BitLocker 256-bitars kryptering och med SSL/TLSkryptering vid överföring.
All hantering av användarkonton sker hos Ale Kommun som sedan speglas upp till Office 365
Federeringsteknik används för att spegla användarkonton och förändringar av dessa
Inga lösenord lagras i molnet
En- och två faktors autentisering kan används för att säkerställa rättighetsbaserad filtrering och
åtkomst
Funktionerna skyddas av BKS system, idag uppsatt i Microsoft Active Directory
Antivirus och antispamskydd finns inbyggd i tjänsten




Goda backup-möjligheter finns i tjänsten och tillgänglighet publiceras öppet och regleras via
finansiellt uppbackade SLAs
Redundans på flera skikt och lager – infrastruktur, data och funktionalitet
Möjlighet finns att skydda informationsobjekt specifikt genom certifikat och personlig nyckel (Rights
Management Service)
Ingen blandning av information och tjänster från de publika molntjänsterna motsvarande
Outlook.com eller Skydrive.com sker
Utbildningsnämnden gör en samlad bedömning att tjänsten Office 365 uppfyller krav på säkerhet och
tillgänglighet som följer av PuL. Förutom information i de bilagda personuppgiftsbiträdesavtalen så grundar
sig denna bedömning på:
-
-
Information som finns sammanställt på Microsoft Trust Center
http://trustoffice365.com/
Information i dokumentet ”Securing Microsoft Cloud Infrastructure”
http://cdn.globalfoundationservices.com/documents/SecuringtheMSCloudMay09.pdf,
Information om tillgänglighet, enl. föregående avsnitt:
http://office.microsoft.com/sv-se/business/redir/FX104028266.aspx samt information om
tillgänglighet som öppet publiceras på
http://office.microsoft.com/en-us/business/redir/XT104109107.aspx
Information i dokumentet ” Standard Response to Request For Information-O365-SecurityPrivacy_v2.pdf” I den fastslås att Microsoft är certifierad enligt ISO/IEC 27001 och 27002 som är
ett kvalitetsledningssystem avseende informationssäkerhet. Mer information:
http://www.microsoft.com/en-us/download/details.aspx?id=26647 (se bilaga 3.6)
3.7 Hantering av data
För Utbildningsnämnden är det av särskild vikt att personuppgiftsbiträden endast får behandla
personuppgifter i enlighet med dess instruktioner och därmed säkerställa att personuppgiftsbiträdet inte
behandlar personuppgifter för andra ändamål än dem som personuppgiftsbiträdet anlitats för. Speciellt viktigt
i detta sammanhang är att personuppgifter och information som lagras i tjänsten inte kan användas i syfte för
att vidareutveckla tjänsten eller rikta marknadsföring till tjänstens brukare då dessa är minderåriga och inte
valt att använda tjänsten själva. Det är viktigt att det tydligt framgår av avtalstexter eller på annat sätt hur
information används och vem som äger informationen.
Nämnden har gjort en samlad bedömning att Microsofts molntjänst Office 365 uppfyller dessa fundamentalt
grundläggande och ställda krav. Nämnden har baserat sin bedömning på information som finns i avtal EES18
(Avtalsbilaga 1) och den information som redovisas via Microsoft Trust Center.
I Bilaga 1, avsnittet 2.b tydliggörs explicit hur kunddata används och i vilka syften. I samma bilaga punkt 4.a
står att läsa:
”Intent of the Parties. For the Office 365 Services, Customer is the data controller and Microsoft is a
data processor acting on Customer’s behalf. As data processor, Microsoft will only act upon Customer’s
instructions. This Office 365 DPA and the Enrollment (including the terms and conditions incorporated by
reference therein) are Customer’s complete and final instructions to Microsoft for the processing of
Customer Data. Any additional or alternate instructions must be agreed to according to the process for
amending Customer’s Enrollment.”
Bedömning görs att information lagrade i tjänsten eller personuppgifter kopplade till tjänsten, inte används
för marknadsföring, direktreklam eller för att analysera och förbättra tjänsterna eller andra erbjudanden. (se
tabell nedan)
Utbildningsnämnden värdesätter tydlighet i hur data hanteras för efterlevnad. Det ska finnas tekniska
möjligheter till backup av enskilda dokument och epost som eventuellt raderas av misstag ska vara möjligt att
återställa. Om information raderas av misstag ska det vara möjligt att återta sådana dokument.
Utbildningsnämnden kan konstatera att behov och krav adresseras och efterlevs i tjänsterna i Office 365.
Förutom att data inom ett Data Center speglas flera gånger så speglas också data över till ett sekundärt Data
Center som kan tas i bruk i händelse av att det skulle behövas. Utöver denna inbyggda redundans av data så
finns det i respektive tjänst möjligheter att återta information. I Exchange Online så finns det tydligt beskrivet
hur länge data lagras och hur data kan återställas. I SharePoint Online och SkyDrive Pro finns möjligheter att
synkronisera data lokalt samt möjligheter att återta dokument och information på ett flertal nivåer.
3.8 Raderande av uppgifter
Vid en uppsägning eller avslut av molntjänsten ges Utbildningsnämnden ett val att antingen beordra
Microsoft att radera uppgifterna eller ha kvar dem under en retentionsperiod om minst 90 dagar för att
möjliggöra ett kopierande och återtagande av uppgifterna. Utbildningsnämnden kommer att kunna tillse att
uppgifterna raderas hos molntjänstleverantören inom en period om längst 180 dagar.
Ale kommun och Microsoft arbetar gemensamt med att ta fram en guide för hur parterna skall agera vid
radering vid avslut av molntjänsten.
3.9 Avslut av tjänst
I förhållandet mellan Utbildningsnämnden som ansvarig och molntjänstleverantören som biträde är det
viktigt att parterna vet vilka åtgärder som ska vidtas vid avtalets upphörande så att personuppgiftsbiträdet inte
har åtkomst till personuppgifterna därefter.
Utöver vad som sägs i punkten 3.8 ovan om radering av uppgifter så utgör Microsofts avtalsupplägg med en
rörlighet och flexibilitet mellan molntjänster och klassisk mjukvara på lokala servrar en garant för att
Utbildningsnämnden löpande skall kunna anpassa sitt upplägg efter ändrade risker och sårbarhet.
Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en
möjlighet att hämta tillbaka både tjänst och data om behovet skulle uppstå i framtiden. T.ex. via reviderade
risk- och sårbarhetsanalyser.
4 Risk- och sårbarhetsanalys
Följande tabell tar upp risker och bedömer dess konsekvens och sannorlikhet med avseende på
personuppgiftsbehandlingen i aktuella tjänster.
Benämning risk
Beskrivning
Konsekvens av
det inträffade
Konsekvens
1
Elevers arbetsmaterial i skolan går förlorad pga. systemfel
Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten.
Allvarlig
Betydande
Måttlig
Försumbar
X
Mycket sällan
Benämning risk
Beskrivning
Konsekvens av
det inträffade
Konsekvens
Sällan
Regelbundet
Sannolikhet
Ofta
2
Obehörig får del av personuppgifter och arbetsmaterial
Oönskad spridning av informationen.
Störningar i det pedagogiska arbetet.
Osäkerhet när det gäller användares aktivitet om det finns oklarhet i identifieringen.
Kan leda till att användare tappar förtroende för tjänsten.
Allvarlig
Betydande
Måttlig
Försumbar
X
Mycket sällan
Sällan
Regelbundet
Sannolikhet
Ofta
Benämning risk
Beskrivning
Konsekvens av
det inträffade
3
Leverantören visar sig inte kunna etablera eller upprätthålla tillräcklig informationssäkerhet
Förlust av anseende för kommunen. Krav i lag och/eller förordning kan inte uppfyllas. Kan framtvinga hävning av
avtal och/eller byte av leverantör. Risk för informationsförlust.
Konsekvens
Allvarlig
Betydande
Måttlig
Försumbar
X
Mycket sällan
Sällan
Regelbundet
Sannolikhet
Ofta
Benämning risk
Beskrivning
Konsekvens av
det inträffade
Konsekvens
4
Personal hos leverantör läser elevernas e-post
Obehörig får del av information av privat karaktär. Kan leda till att användare tappar förtroende för tjänsten.
Allvarlig
Betydande
Måttlig
Försumbar
X
Mycket sällan
Benämning risk
Beskrivning
Konsekvens av
det inträffade
Konsekvens
Konsekvens
Regelbundet
Sannolikhet
Ofta
5
Leverantören går i konkurs, köps upp av intressent som inte respekterar ingånget avtal eller att tjänsten
avvecklas.
Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller
ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen, medarbetar tappar
förtroende för sin arbetsmiljö.
Allvarlig
Betydande
Måttlig
Försumbar
x
Mycket sällan
Benämning risk
Beskrivning
Konsekvens av
det inträffade
Sällan
Sällan
Regelbundet
Sannolikhet
Ofta
6
Medarbetares arbetsmaterial i skolan går förlorad pga. systemfel
Omarbete, förseningar mm. leder till att användare tappar förtroende för tjänsten.
Allvarlig
Betydande
Måttlig
Försumbar
x
Mycket sällan
Sällan
Regelbundet
Sannolikhet
Ofta
Benämning risk
Beskrivning
Konsekvens av
det inträffade
7
Leverantören förmår inte upprätthålla tillgängligheten på tjänsten
Störningar i lärandet, användarna tappar förtroende för sin arbetsmiljö. Ekonomiska konsekvenser vid förlorad
arbetstid.
Konsekvens
Allvarlig
Betydande
Måttlig
Försumbar
X
Mycket sällan
Sällan
Regelbundet
Sannolikhet
Ofta
Benämning risk
Beskrivning
Konsekvens av
det inträffade
Konsekvens
8
Virus eller annan fientlig kod kan via tjänsten hota kommunens övriga IT-miljö.
Störningar i IT-leveransen. Ekonomiska konsekvenser.
Allvarlig
Betydande
Måttlig
Försumbar
x
Mycket sällan
Sällan
Regelbundet
Sannolikhet
Ofta
Benämning risk
Beskrivning
Konsekvens av
det inträffade
9
Information och personuppgifter raderas inte efter att elever har slutat i verksamheten
Tjänsterna kan fortsätta användas trots att eleven inte tillhör skolan. Intern information kan spridas till
utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov.
Konsekvens
Allvarlig
Betydande
Måttlig
Försumbar
x
Mycket sällan
Sällan
Regelbundet
Sannolikhet
Ofta
Benämning risk
Beskrivning
Konsekvens av
det inträffade
10
Leverantören behandlar personuppgifterna för egna ändamål
Kommunen kan anses bryta mot gällande lag. Kan framtvinga hävande av avtal och/eller byte av leverantör och
därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Användares brist på förtroende.
Konsekvens
Allvarlig
Betydande
Måttlig
Försumbar
x
Mycket sällan
Sällan
Regelbundet
Sannolikhet
Ofta
Benämning risk
Beskrivning
Konsekvens av
det inträffade
11
Leverantören uppgraderar/förändrar innehållet i tjänsten.
Avtalet kan behöva förändras för att stämma med ny funktionalitet. Personupphandlingen kan förändras. Kan
framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust.
Konsekvens
Allvarlig
Betydande
Måttlig
Försumbar
x
Mycket sällan
Sällan
Regelbundet
Sannolikhet
Ofta
5 Slutsats risk- och sårbarhetsanalys
Följande tabell listas de risker som togs upp i ovanstående Risk- och sårbarhetsanalys.
För varje risk så ställs ett krav på hur detta ska hanteras i avtal mellan Ale Kommun och Microsoft som
molntjänstleverantör.
Hot
Beskrivning
Riskbedömning
1
Elevers arbetsmaterial i skolan går Betydande/Mycket sällan Det skall finnas backup av informationen i
förlorat pga. systemfel
tjänsten. Denna skall kunna kontrolleras och
prövas fortlöpande av kommunen.
2
Obehörig får del av
arbetsmaterial.
Betydande/Sällan
Åtgärd
Leverantören skall etablera och upprätthålla en
informationssäkerhet som skyddar mot
intrång. Denna skall kunna kontrolleras och
prövas fortlöpande av Kommunen.
Utbildning och instruktioner till användare.
3
Leverantören visar sig inte kunna Allvarlig/Mycket Sällan
etablera
eller upprätthålla tillräcklig
Leverantören skall etablera och upprätthålla en
informationssäkerhet som kan kontrolleras och
prövas fortlöpande av Kommunen.
informationssäkerhet.
Nivån för informationssäkerheten skall göra
det möjligt för Kommunen att uppfylla
motsvarande krav som gäller enligt
Myndigheten för samhällsskydd och
beredskaps föreskrifter om statliga
myndigheters informationssäkerhet (MSBFS
2009:10).
4
Personal hos leverantören läser
Elevernas e-post.
Måttlig/Mycket Sällan
Kommunen skall ensamt kunna
sätta behörigheter för information i
tjänsten.
5
Leverantören går i konkurs, köps Allvarlig/ Mycket Sällan Det skall finnas back-up av informationen från
upp av intressent som inte
tjänsten. Denna skall kunna kontrolleras och
respekterar ingånget avtal eller att
prövas fortlöpande av kommunen.
tjänsten avvecklas.
Back-up skall kunna användas av
kommunens utan leverantörens medverkan
eller godkännande.
6
Medarbetares arbetsmaterial i
Måttlig/Mycket Sällan
skolan går förlorad pga. systemfel
Det skall finnas backup av informationen i
tjänsten. Denna skall kunna kontrolleras och
prövas fortlöpande av kommunen.
7
Leverantören förmår inte
upprätthålla tillgängligheten på
tjänsten.
Nivån på tillräcklig tillgänglighet skall
Allvarlig/Mycket Sällan
regleras i avtal. Nivån skall vara
konkret och mätbar och konsekvens för
leverantören vid återkommande brister.
8
Virus eller annan fientlig kod kan Allvarlig/Mycket Sällan
via tjänsten hota kommunens
övriga IT-miljö.
Leverantören har väl etablerade skydd
mot virus och fientlig kod.
Tjänsten är avskild från kommunens övriga ITmiljö.
9
Information och personuppgifter Betydande /Mycket
raderas inte efter att elever har
sällan
slutat i verksamheten
Avslutande av konton styrs från kommunen.
Leverantören garanterar att data raderas i
enlighet med instruktioner från kommunen.
10
Leverantören behandlar
personuppgifterna för egna
ändamål
Allvarligt /Mycket sällan Leverantören garanterar i avtal att
personuppgifter endast kommer att behandlas
för de ändamål som leverantören har anlitats
för.
11
Leverantören
uppgraderar/förändrar tjänsten.
Betydande / Mycket
sällan
Leverantören informerar löpande om
förändringar.
Kommunen har rutiner för att granska
förändringarna och ta ställning till konsekvens.
Informationen till användare kan behöva
uppdateras.
Då risk- och sårbarhetsanalyser är ett pågående arbete är det viktigt att kunna anpassa tjänsten efter nya
bedömningar och ändrade förutsättningar.
Utbildningsnämnden konstaterar att den valda tjänsten kan driftas både som en molntjänst och som en lokal
installation. Det innebär att Utbildningsnämnden kan välja att drifta delar eller hela tjänsten och själv hämta
tillbaka data om behov skulle uppstå i framtiden.
6 Sammanfattande bedömning
Utbildningsnämnden inom Ale kommun har gjort den samlade bedömningen att användandet av
molntjänsten Office 365 efterlever de integritets- och säkerhetskrav som följer av PuL och att man med
tjänsten och på det sätt man valt att använda den, inte kränker den enskilde elevens- och/eller lärarens
personliga integritet.
Viktiga komponenter i denna bedömning har varit följande:
1. Molntjänsten levereras som en tjänst mellan Utbildningsnämnden i Ale kommun och
molntjänstleverantören via federation – elever behöver inte skapa egna konsumentkonton eller
tvingas ingå individuella relationer med externa parter.
2. Leverantören kan erbjuda tjänsten både som molntjänst samt som lokal installation vilket innebär en
möjlighet att hämta tillbaka både tjänst och data om behovet skulle uppstå i framtiden. T.ex. via
reviderade risk- och sårbarhetsanalyser.
3. Tydlighet och full transparens erbjuds kring molntjänstens uppbyggnad, datahantering och
certifieringar.
4. Personuppgiftsbiträdesavtalet samt de tillhörande EUs standardkontraktsklausulerna uppfyller kraven
på att vara en tydlig och fullständig instruktion av oss som personuppgiftsansvarig till
molntjänstleverantören som personuppgiftsbiträde.
Riskanalysen utvisar inga risker som motiverar att verksamheten skulle avstå från att använda
tjänsten.