Säkerhetsnivåer

Individ och grupp, hög och förhöjd säkerhet

Varje användare av vår Google-miljö har en personlig s.k. Min enhet. Dessa är tekniskt säkra och det är i det närmaste omöjligt att komma åt informationen utan att logga in som respektive användare.

För att minska risken för olovlig inloggning använder vi multifaktorautentisering med USB-nycklar.

Varje användare som deltar i pilotprojektet får också en delad enhet som är personlig, och alltså inte delas med någon annan. Vitsen med detta är att delade enheter kan låsas så att material där inte av misstag ska råka delas med andra.

De arbetslag som deltar i delprojektet får två delade enheter för det gemensamma arbetet. En delad enhet med hög säkerhet och en med förhöjd säkerhet. Skillnaden mellan dessa är att den delade enheten med förhöjd säkerhet är låst för delning till personer utanför enheten.

Den tekniska säkerheten är densamma mellan de olika enheterna. Skillnaden ligger i möjlighet att dela material och information med personer utanför respektive enhet. Syftet med detta är att minska risken för att känslig information oavsiktligt delas med fel person eller personer.

Säkerhetsnivåer

Vi väljer att använda oss av de två sekretessnivåer som beskrivs i offentlighets- och sekretesslagen, rakt och omvänt skaderekvisit.

Rakt skaderekvisit innebär att offentlighet är huvudregeln och motsvaras i vår modell av lagring med "hög säkerhet". Om information begärs ut enligt offentlighetsprincipen och du som pedagog bedömer att den kan leda till skada eller men hos en individ eller misstänker detta, gör du tillsammans med rektor en sekretessprövning.

Omvänt skaderekvisit innebär att sekretess är huvudregeln och motsvaras i vår modell av lagring med "förhöjd säkerhet".

Detta innebär t ex att anteckningar och arbetsmaterial kring elevers psykosociala förhållanden bör lagras med förhöjd säkerhet medan studieresultat och bedömningar av elevers arbeten kan lagras med hög säkerhet.

All dokumentation som leder fram till ett officiellt, diariefört dokument (dvs ett satt betyg, ett upprättat åtgärdsprogram osv) är att betrakta som arbetsmaterial och har då omvänt skaderekvisit. Dessa hanteras med stor försiktighet och lagras med förhöjd säkerhet.

Säkerhetsklassning av information

I matrisen till vänster finns ett första försök att säkerhetsklassa olika typer av information som personal i skolan hanterar i sin vardag.

Om ett dokument kan/får delas med andra eller inte beror på en rad faktorer. Arbetsmaterial och underlag kan troligen hanteras som sekretessbelagt i de delade enheterna med förhöjd säkerhet. Ett upprättat och diariefört dokument är offentligt eller kan begäras ut och kan då läggas i delade enheter med hög säkerhet. Rättsläget är oklart och därför behöver alla känsliga personuppgifter hanteras med försiktighet.

Ett av de stora uppdragen som de deltagande arbetslagen har under delprojektets gång är att utveckla, fylla på och testköra matrisen i skarpt läge.

Detta tror vi kommer att resultera i olika typer av arbetssätt och arbetsgångar där viss information, vissa dokument osv kommer att röra sig mellan de olika säkerhetsnivåerna.

Stöd för att lagra säkert

För att tydliggöra vilken av säkerhetsnivåerna en lagringsyta har använder vi oss av prefix på de delade enheterna.

Prefixet [S] och grön färg står för hög säkerhet.

Prefixet [XS] och röd färg står för förhöjd säkerhet.

I de delade enheter som i dag saknar eller har andra prefix sparar vi inga personuppgifter. Vi jobbar på att utöka listan med prefix och då kan det komma att ändras.

Page updated

Report abuse