Inte längre tillåtet att överföra personuppgifter till USA
Vilka följder får Schrems II-domen för personuppgiftshantering vid Uppsala universitet?
Kort om domen
2020-07-16 fällde EU-domstolen sitt avgörande i det s.k. Schrems II-målet om möjligheterna att på ett lagligt sätt föra över personuppgifter till främst USA. EU-domstolen slår i domen fast att EU-kommissionens beslut om Privacy Shield-regimen står i strid med EU-rätten och därför ska ogiltigförklaras. Det amerikanska rättssystemet ger enligt domstolen inte ett tillräckligt skydd för EU-medborgares personuppgifter och tillgång till effektiva rättsmedel saknas. Detta innebär i praktiken att det inte längre är möjligt att stödja sig på denna regim för en tillåten överföring av personuppgifter till USA.
Mer att läsa (Datainspektionen) om hur domen påverkar överföringar till tredje land
Säkerhetsavdelningens rekommendationer
- Avvakta tills vidare med nya initiativ som medför att personuppgifter överförs till USA eller som bygger på systemlösningar baserade på amerikanska molntjänster
- Kartlägg befintlig användning av tjänster som kan beröras av det uppkomna läget
- Följ utvecklingen. Säkerhetsavdelningen avser att återkomma med aktuell information angående hur läget utvecklas. Kontakta oss om du vill veta mer.
Informationssäkerhetsarbetet vid Uppsala universitet
Informationssäkerhetsarbetet ska säkerställa att risker, störningar och hot mot universitetets informationsresurser identifieras och hanteras så att negativa konsekvenser avseende konfidentialitet, riktighet och tillgänglighet minimeras.
På den här sidan finns:
Utbildningar På webben, resesäkerhet, länkar
DatalagringLagringslösningar för forskningsdata
ÖvrigtGDPR, Fysisk säkerhet, LIS m.m.
1. Vägledning och svar på frågor om informationssäkerhet
FAQ - Vanliga frågor om informationssäkerhet.
Jobba säkert på distans - tips om hur du ska tänka när du inte är på arbetsplatsen.
Alla medarbetare inom verksamheten har ett ansvar för verksamhetens
informationssäkerhet. Därtill följer ett särskilt ansvar kopplat till roller och för olika yrkeskategorier. Via länkarna nedan visas checklistor relevanta för olika kategorier.
- Medarbetare
- Prefekt/motsvarande
- Forskare
- Upphandlare/personal som deltar vid anskaffning av IT-system och IT-tjänster
- Teknisk personal (systemutvecklare/driftpersonal)
- Projektledare, Systemägare, e-områdesansvarig/motsvarande
2. Riktlinjer och rutiner
En översiktlig guide finns här (nanolearning)
Rutiner för riskhantering (rev. 2018-02-13) med bilagor;
- Instruktion/stöd för informationsklassning (PDF) Bilaga 2 (Rev. 2019-11-25). (see also Information classification support - English version PDF)
Informationsklassning är basen för allt arbete med informationssäkerhet. För att veta hur informationen ska skyddas måste man veta vilken information som hanteras. Se även avsnittet (nanolearning) för informationsklassning och kravanalys eller presentationen från workshops (2018-03-08). Det finns också en referenstabell för universitetsförvaltningen (2019-04-25) att ladda ner. - Nulägesanalys/Kravanalys (Excel). Bilaga 3 (version 1.16)
KRT-värden för centralt förvaltade system (Word) - Konsekvensanalys (word). Bilaga 1 (Rev. 2018-01-24)
- Riskanalys (Excel) Bilaga 4 (Rev. 2019-06-17)
- Hantering av identifierade säkerhetsbrister (Word) - tidigare "Åtgärdsplan" . Bilaga 5 (Rev. 2018-06-15)
- Mall för informationsklassning (word). Bilaga 6 (Rev. 2020-06-04)
- Flödeschema för genomförande/rapportering av informationsklassning och kravanalys (PDF). Bilaga 7 (Rev. 2018-02-12)
- Standardklassning av basinformation (Word) - Bilaga 6a (Rev. 2018-04-24)
- Säkerhetskrav runt administration av system (Rev. 2018-03-16)
Att använda molntjänster vid Uppsala universitet, grundläggande principer
Rutiner för säker informationshantering (Rev. 2020-05-12), inklusive molntjänster ur ett informationssäkerhetsperspektiv
Rutiner för anskaffning och drift av IT-system (Rev. 2020-08-18), inklusive outsourcing / drift i leverantörs regi. Vi har även tagit fram ett beslutsstöd för anskaffning (inköp) av externa IT-tjänster (Excel, rev. 2020-04-23)
Ytterligare riktlinjer och rutiner för IT- och informationssäkerhet finns i mål- och regelsamlingen
3. Resesäkerhet, utbildningar - även webbaserade (nanolearning)
- Resesäkerhet - informationssäkerhet för dig som reser (in Swedish and English)
- Behov av lånedator vid resa utanför EU? Kontakta security@uu.se
- Checklista, resesäkerhet (PDF)
- Personsäkerhet på resor (mål- och regelsamlingen)
- Samtliga utbildningar inom säkerhetsområdet
Stöd för kryptering och signering - För att göra e-postkommunikation säkrare kan du signera och kryptera meddelanden. För att skicka känslig information kan du kryptera sin e-post, eller enbart kryptera bilaga där informationen finns (se hjälpavsnitt om kryptering av e-post eller att kryptera bilagor).
Se även IT-säkerhet för hjälp med krypteringsprogram (VeraCrypt)
4. Lagringslösningar för forskningsdata
En övergripande rekommendation som kan tillämpas generellt är inte möjlig att ge då behoven kan skilja sig åt från fall till fall. Frågan om säker lagring av forskningsdata är prioriterad vid universitetet och arbete med att vidareutveckla och färdigställa lösningar att använda för ändamålet pågår. I många sammanhang finns behovet att dela information med aktörer utanför Uppsala universitet. Förutsättningarna för sådan delning behöver utredas i varje enskilt fall. I dagsläget kan vi peka på följande alternativ:
- En central lagringslösning benämnd Allvis är under införande, se https://mp.uu.se/web/info/forska/datalagring för information. Kontakta servicedesk@uu.se för att anmäla intresse.
- Rudbeck IT erbjuder väl utvecklade tjänster som kan erbjudas även utanför den egna verksamheten. Se https://my.rudbeck.uu.se/guides/Storage under rubriken Hints and Guides för mer information.
- SUNET erbjuder en molnportal där all information lagras i Sverige – se information på https://www.sunet.se/services/molnbaserade-tjanster
- SUNET Box har klassificerats till 222 och kan användas för information som inte överstiger denna nivå.
- Intendenturer, institutioner och centrumbildningar har i många fall egna lösningar att erbjuda. Kontakta innehavaren av tjänsten för ytterligare information.
- Många ser molntjänster som ett smidigt sätt att lagra information. Under vilka omständigheter i universitetets informationshantering kan molntjänster användas? Se vår nanolearning för användning av molntjänster.
Kontakta Säkerhetsavdelningen för hjälp med prövning, råd och stöd.
5. IT-säkerhet
Krypterad container med VeraCrypt:
Först behöver du hämta VeraCrypt. Är din Windowsdator administrerad av central datorsupport kan VeraCrypt laddas ner via Software Center. Annars finns VeraCrypt att ladda ner: nedladdning av programvara VeraCrypt
Skapa en krypterad container:
Åtkomst (access) till den krypterade containern:
Mer om IT-säkerhet - säkrare IT-vardag, incidentrapportering, radering med mera.
6. Övrig information - LIS och GDPR
Dataskyddsförordningen (GDPR) och informationssäkerhet
- Intro till dataskyddsförordningen för institutioner (PDF rev. 2018-05-29)
- Presentation från workshop inför dataskyddsförordningen (PDF rev. 2018-04-20)
- Universitetets samlingssida om dataskyddsförordningen - så här fungerar den
Ledningssystem för informationssäkerhet (LIS)
Universitetets LIS är baserat på svensk standard SS-ISO/IEC 27001:2014 för att därmed kunna uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet, (MSBFS 2016:1).
Läs mer om universitetets LIS eller ladda ner dokumentet i sin helhet.
Information - muntlig, skriftlig, i elektronisk form, alla former av forskningsmaterial, tentamina med mera - är en tillgång som i likhet med personal och fysisk egendom är avgörande för vår verksamhet.