Padlock by Riyan Resdian from NounProject.com
Vår Googlemiljö i Arvika kommun är riggad enligt principerna "Det ska vara lätt att göra rätt och svårt att göra fel". Då Google Workspace for Education är en så otroligt komplicerad samling tjänster så finns fortfarande risken att en användare begår misstag.
Det är helt ok.
Misstag kan hända.
Vi löser det.
Problemet du som användare ofta står inför är att upptäcka att ett misstag begåtts. Pga komplexiteten så kan det vara svårt att ens förstå att något skett.
Inom skolan hanteras stora mängder personuppgifter, känslig och integritetskänslig information. Det är när integriteten hos dessa typer av information kompromissas som vi behöver agera i någon form.
Hanteringen av personuppgifter regleras i första hand via Dataskyddsförordningen, GDPR.
Hanteringen av känslig och integritetskänslig information regleras i första hand via Offentlighets- och sekretesslagen, OSL.
Exempel på händelser som behöver uppmärksammas på något vis:
E-post innehållande personuppgifter och/eller känslig eller integritetskänslig information skickas till fel mottagare
Dokument innehållande personuppgifter och/eller känslig eller integritetskänslig information delas med fel person
E-post skickas till flera externa användare med CC på alla adresser (personuppgifter)
Obehörig får åtkomst till information innehållande personuppgifter och/eller känslig eller integritetskänslig information på dator, smart telefon, surfplatta
Ett digitalt redskap med med åtkomst till eller lagring av information innehållande personuppgifter och/eller känslig eller integritetskänslig information som tillhör Arvika kommun blir stulet, tappas bort eller liknande.
Risk för att skyddad identitet har blivit röjd
En grundpelare i incidenthantering är att agera skyndsamt.
Detta framhålls tydligt i både GDPR och OSL.
Dokumentera det du vet om incidenten, gärna med datum och klockslag om möjligt
Gör om möjligt egna efterforskningar för att se om incidenten är större än den initialt verkade
Ta kontakt med din IKT-strateg för rådgivning och för att starta vår interna process för incidenthantering. Du ska inte anmäla incidenten själv till någon extern part.
Radera inte information då den kan behövas för att spåra incidenten.
Du som tjänsteperson har ett ansvar gentemot gällande lagstiftning att hantera personuppgifter och känslig eller integritetskänslig information i enlighet med gällande lagstiftning.
När det gäller GDPR så är det den som är juridiskt personuppgiftsansvarig (PuA) som bär det yttersta ansvaret. Inom organisationen Arvika kommun så är det Kommunstyrelsen som är PuA. Eventuella utdömda vitesbelopp riktas mot PuA.
Du som tjänsteperson kan i ett senare skede internt bli aktuell för utredning om det framkommer att tjänstefel har begåtts, du har varit oaktsam i hanteringen av personuppgifter eller liknande.
När det gäller OSL så är det "ansvarig myndighet", i Arvika kommun är det Lärande och stöds utskott, som bär det yttersta ansvaret.
Rutiner för incidenthantering är under konstruktion.
Även här kan du som tjänsteperson i ett senare skede internt bli aktuell för utredning om det framkommer att tjänstefel har begåtts, du har varit oaktsam i hanteringen av sekretessbelagd information eller liknande.