Din sökning gav 0 träffar

    Ett fel uppstod.
    Dölj bild

    Intranät Stockholms stift

    IT-policy

    Vad säger regelverket?

    I dataskyddsförordningen finns krav på att vidta tekniska och organisatoriska åtgärder inom ramen för ett gott inbyggt dataskydd. En sådan åtgärd kan vara att anta relevanta styrdokument som en IT-policy.

    Reglera hur er IT-utrustning och era IT-system får användas 

    Ett område som är bra att styra upp är hur IT-utrustning får användas. Detta kan behöva göras på flera olika sätt:

    • Vem får använda IT-utrustningen. För vilka ändamål? Tillåter man privat användning kan det leda till att församlingen/pastoratet får in personuppgifter i sin IT-utrustning som man varken kan visa ändamål eller laglig grund för. 
    • Hur man får hantera utrustningen. Det är viktigt att styra upp vilka appar man får ha eller ett förfarande för hur man får ladda ner appar. Många appar kan innehålla platstjänster som t.ex. spårar var individer befinner sig. Andra kan innehålla program som aktiveras av röster. Flera av dem kan profilera utan att man vet för vilka ändamål detta sker. Församlingen/pastoratet är personuppgiftsansvarig och behöver tydliggöra sin styrning. Tänk också på att appar kan innebära behov av inbördes arrangemang eller biträdesavtal.
    • Glöm inte bort att reglera användning av mobil utrustning, inklusive USB. Tänk på att det är viktigt att tillse att utrustningen är krypterad och att den förvaras säkert. Även detta kan behöva styras upp i policyn.
    • Reglera också hur ni använder mejl. Här är det viktigt att veta att mejl som innehåller känsliga personuppgifter behöver vara krypterad. I dagsläget är krypteringsläget för adressen @svenskakyrkan.se osäker, vilket behöver styras upp. En annan aspekt är att mejl som lagras i en mejlmapp kan behöva tas upp i behandlingsregistret. Det kan vara bra att ha en styrsignal om detta i policyn. Tänk också på att det kan vara bra att tydliggöra var man ska lagra personuppgifter som idag kan finnas i mejl. Public 360 eller andra diarieföringssystem är självklara lagringsplatser för det som diarieförs och istället för att ha distributionslistor eller mejlgrupplistor kan man använda Kyrksam. Samverkansrum (på sikt kommer dagens system ersättas med Teams som är mer användarvänligt) är ett bra alternativ att använda för samarbeten istället för mejl.
    • Även mappar som finns på G: och H: behöver regleras liksom dokument som förvaras i sådana mappar. Även här finns en koppling till behandlingsregistret.
    • Om molntjänster utanför Svenska kyrkans IT-miljö används för lagring behöver dessa GDPR-säkras och hur de får användas regleras i IT-policyn. Tänk på att gratistjänster ofta innebär att leverantören av tjänsten har andra sätt att tjäna pengar på tillhandahållandet till exempel profilering, vilket gör att man bör vara noggrann i sin analys.
    • Reglera också hur ni får använda sociala medier så att detta sker på ett korrekt sätt. 
    • Det är också viktigt att reglera hur arbetsgivaren kan övervaka användningen och telefoniutrustningen bl.a. eftersom de anställda är registrerade och det är viktigt att vara transparent. Här kan man till exempel behöva berätta om att det finns ett IT-system ”Net Clean” som fortlöpande kontrollerar metadata för att upptäcka barnpornografibrott. Metadata överförs med automatik från Svenska kyrkan till polisen.

    Bromma församling har tagit ställning till frågorna ovan i sitt Regelverk för IT- och telefonianvändning, som kan användas för att få inspiration i sitt arbete.

    Reglera användandet av privat utrustning 

    Det är viktigt att tydliggöra att man inte får använda sin privata utrustning (telefoner, datorer, läsplattor, USB) när man hanterar personuppgifter som församlingen/pastoratet är personuppgiftsansvariga för. Detta bland annat därför att säkerhetsnivån kan vara mycket låg i sådan utrustning. Det är också viktigt att tillse att en sådan regel inte bara gäller anställda utan alla som behandlar personuppgifter för församlingens/pastoratets räkning till exempel förtroendevalda.
    Även denna fråga har Bromma församling tagit ställning till i sitt Regelverk för IT- och telefonianvändning, som kan användas för att få inspiration i sitt arbete.

    Upphandlingar och inköp

    En särskild problematik är inköp och upphandlingar av utrustning. Det är viktigt att säkerställa både juridik och teknik vid inköp, så att t.ex. korrekta biträdesavtal finns på plats. Det finns bra kvalitetssäkrade mallar att använda sig av på t.ex. detta intranät (se avsnitten personuppgiftsansvar respektive personuppgiftsbiträden).  I 2 § i Bromma församlings Regelverk för IT- och telefonianvändning framgår hur församlingen löst den frågan. Man kan självklart välja att istället reglera frågan i en separat inköpspolicy om man hellre vill det. 

    Gör en koppling till incidenthanteringen

    Det ska finnas en separat incidenthanteringsrutin men det är utmärkt om det finns en koppling från IT-policyn till ett sådant dokument. I 4 § i Bromma församlings Regelverk för IT- och telefonianvändning framgår finns en sådan koppling.

    Säkra rätt kompetens

    De som använder IT-utrustning för församlingens/pastoratets behov måste utbildas i dataskyddsförordningens regelverk. Detta gäller både personal och förtroendevalda. Att bedöma vissa frågor som t.ex. appars lämplighet eller vad man ska göra vid upphandlingar och inköp kan vara en grannlaga fråga. Detta innebär att såväl  dataskyddsombudet som andra dataskyddsansvariga kan behöva tillföras GDPR-kunskap.

    Redaktör och innehållsansvarig
    Björn Ericsson, Häftstiftet
    Uppdaterad
    2020-04-15
    X
    Dokumentid: 1469694- Webid: 28950 - Unitid: 14