Informationssäkerhet

Inte längre tillåtet att överföra personuppgifter till USA

Vilka följder får Schrems II-domen för personuppgiftshantering vid Uppsala universitet?

2020-07-16 fällde EU-domstolen sitt avgörande i det s.k. Schrems II-målet om möjligheterna att på ett lagligt sätt föra över personuppgifter till främst USA. EU-domstolen slår i domen fast att EU-kommissionens beslut om Privacy Shield-regimen står i strid med EU-rätten och därför ska ogiltigförklaras. Det amerikanska rättssystemet ger enligt domstolen inte ett tillräckligt skydd för EU-medborgares personuppgifter och tillgång till effektiva rättsmedel saknas. Detta innebär i praktiken att det inte längre är möjligt att stödja sig på denna regim för en tillåten överföring av personuppgifter till USA.

Läs mer på Integritetsskyddsmyndighetens sida om hur domen påverkar överföringar till tredje land.

Säkerhetsavdelningens rekommendationer

• Avvakta tills vidare med nya initiativ som medför att personuppgifter överförs till USA eller som bygger på systemlösningar baserade på amerikanska molntjänster
• Kartlägg befintlig användning av tjänster som kan beröras av det uppkomna läget
• Följ utvecklingen. Säkerhetsavdelningen avser att återkomma med aktuell information angående hur läget utvecklas. Kontakta oss om du vill veta mer.

Informationssäkerhetsarbetet vid Uppsala universitet

Informationssäkerhetsarbetet ska säkerställa att risker, störningar och hot mot universitetets informationsresurser identifieras och hanteras så att negativa konsekvenser avseende konfidentialitet, riktighet och tillgänglighet minimeras.

På den här sidan finns:

FAQ Vanliga frågor och svar

Rutiner & riktlinjer

Utbildningar På webben, resesäkerhet, länkar

DatalagringLagringslösningar för forskningsdata

IT-säkerhetKryptering m.m.

ÖvrigtGDPR, Fysisk säkerhet, LIS m.m.

1. Vägledning och svar på frågor om informationssäkerhet

FAQ - Vanliga frågor om informationssäkerhet.

Jobba säkert på distans - tips om hur du ska tänka när du inte är på arbetsplatsen.

Alla medarbetare inom verksamheten har ett ansvar för verksamhetens

informationssäkerhet. Därtill följer ett särskilt ansvar kopplat till roller och för olika yrkeskategorier. Via länkarna nedan visas checklistor relevanta för olika kategorier.

• Medarbetare
• Prefekt/motsvarande
• Forskare
• Upphandlare/personal som deltar vid anskaffning av IT-system och IT-tjänster
• Teknisk personal (systemutvecklare/driftpersonal)
• Projektledare, Systemägare, e-områdesansvarig/motsvarande

2. Riktlinjer och rutiner

En översiktlig guide finns här (nanolearning)

Rutiner för riskhantering (rev. 2021-09-29) med bilagor;

• Bilaga 1. Konsekvensanalys (word). (Rev. 2018-01-24)
• Bilaga 2. (rev. 2021-02-18) Instruktion/stöd för informationsklassning (PDF) (an English version is also available in PDF, select "This page in English")
  Informationsklassning är basen för allt arbete med informationssäkerhet. För att veta hur informationen ska skyddas måste man veta vilken information som hanteras. Se även avsnittet (nanolearning) för informationsklassning och kravanalys eller presentationen från workshops (2018-03-08). Det finns också en referenstabell för universitetsförvaltningen (2019-04-25) att ladda ner.
• Bilaga 3. (version 1.23, rev. 2021-09-29) Nulägesanalys/Kravanalys (Excel)
• Bilaga 4. (Rev. 2021-10-04) Riskanalys (Excel) (an English version is also available)
• Bilaga 5. (Rev. 2018-06-15) Hantering av identifierade säkerhetsbrister (Word)
• Bilaga 6. (Rev. 2021-09-03) Mall för informationsklassning (Word)  (an English version is also available)
• Standardklassning av basinformation (Word) (Rev. 2018-04-24)
• KRT-Klassningsvärden (KRT) för centralt förvaltade system (Word)  
• Säkerhetskrav runt administration av system (Rev. 2018-03-16)

Att använda molntjänster vid Uppsala universitet, grundläggande principer

Rutiner för säker informationshantering (Rev. 2020-05-12), inklusive molntjänster ur ett informationssäkerhetsperspektiv

Rutiner för anskaffning och drift av IT-system (Rev. 2021-05-07), inklusive outsourcing / drift i leverantörs regi. Vi har även tagit fram ett beslutsstöd för anskaffning (inköp) av externa IT-tjänster (Excel, rev. 2020-04-23)

Ytterligare riktlinjer och rutiner för IT- och informationssäkerhet finns i mål- och regelsamlingen

3. Säker kommunikation, resesäkerhet, utbildningar (även på webben/nanolearning)

• Resesäkerhet - informationssäkerhet för dig som reser (in Swedish and English)
• Behov av lånedator vid resa utanför EU? Kontakta security@uu.se
• Checklista, resesäkerhet (PDF)
• Personsäkerhet på resor (mål- och regelsamlingen)
• Samtliga utbildningar inom säkerhetsområdet

Säker delning av information/stöd för kryptering och signering
För att göra e-postkommunikation säkrare kan du signera och kryptera meddelanden. För att skicka känslig information kan du kryptera din e-post, eller enbart kryptera bilaga där informationen finns (se hjälpavsnitt om kryptering av e-post eller att kryptera bilagor). Läs information om krypteringsprogrammet VeraCrypt.

Du kan även använda tjänsten myfiles.uu.se för att dela filer och mappar med andra. Observera att det inte är lämpligt att använda tjänsten myfiles.uu.se som en kontinuerlig samarbetsyta med externa parter. Sådana samarbetsytor behöver hanteras i tjänster som nås via ett regelrätt autentiseringsförfarande.
När du delar filer/kataloger med externa parter via myfiles.uu.se, tänk på att

• Begränsa tiden för åtkomst.
• Endast dela filer/kataloger som är nödvändiga i det aktuella sammanhanget.
• Var noggrann med hur du delar ut rättigheter till filer/kataloger.  

Läs mer om de olika möjligheterna till lagring och delning.

Att använda OneNote och/eller dela anteckningsbok i OneNote:

• Försäkra dig om att inget lagras i ”molnet”, allt ska lagras lokalt på den egna datorn alternativt på en gemensam lokal filserver vid universitetet. Detta gäller även cachen (den temporära informationen). Kolla inställningar i din OneNote-installation under Alternativ/Spara och kopiera.
• För en grupp som ska dela anteckningsbok gäller följande: Skapa en anteckningsbok för den exklusiva gruppen/endast behöriga i en skyddad katalog på en lokal filserver vid universitetet. Kontakta IT Servicedesk vid behov av skyddad katalog.

4. Lagringslösningar för forskningsdata

En övergripande rekommendation som kan tillämpas generellt är inte möjlig att ge då behoven kan skilja sig åt från fall till fall. Frågan om säker lagring av forskningsdata är prioriterad vid universitetet och arbete med att vidareutveckla och färdigställa lösningar att använda för ändamålet pågår. I många sammanhang finns behovet att dela information med aktörer utanför Uppsala universitet. Förutsättningarna för sådan delning behöver utredas i varje enskilt fall - i dagsläget pekar vi på följande alternativ:

• Dataportalen Allvis
• Tilläggstjänsten Datalagring (tidigare benämnd Argos)
• Tilläggstjänsten Vesta
• SUNET erbjuder en molnportal där all information lagras i Sverige
• SUNET Box har klassificerats till 222 och kan användas för information som inte är personuppgifter och inte överstiger denna nivå. OBS! På grund av ett oklart juridiskt läge (se Schrems II-domen ovan) avråder vi just nu från att använda SUNET Box för hantering av personuppgifter. Kontakta säkerhetsavdelningen om du har frågor om detta.
• Intendenturer, institutioner och centrumbildningar har i många fall egna lösningar att erbjuda. Kontakta innehavaren av tjänsten för ytterligare information. 
• Många ser molntjänster som ett smidigt sätt att lagra information. Under vilka omständigheter i universitetets informationshantering kan molntjänster användas? Se vår nanolearning för användning av molntjänster.

Läs mer om aktuell status gällande tjänster som erbjuds i universitetets regi.

Kontakta Säkerhetsavdelningen för hjälp med prövning, råd och stöd.

5. IT-säkerhet

Krypterad container med VeraCrypt:

Först behöver du hämta VeraCrypt. Är din Windowsdator administrerad av central datorsupport kan VeraCrypt laddas ner via Software Center. Annars finns VeraCrypt att ladda ner: nedladdning av programvara VeraCrypt

Skapa en krypterad container:

• Instruktion för Windows
• Instruktion för macOS 

Åtkomst (access) till den krypterade containern:

• Instruktion för Windows 
• Instruktion för macOS

Mer om IT-säkerhet - säkrare IT-vardag, incidentrapportering, radering med mera.

6. Övrig information - LIS och GDPR

Dataskyddsförordningen (GDPR) och informationssäkerhet

• Intro till dataskyddsförordningen för institutioner (PDF rev. 2018-05-29)
• Presentation från workshop inför dataskyddsförordningen (PDF rev. 2018-04-20)
• Universitetets samlingssida om dataskyddsförordningen - så här fungerar den 

Ledningssystem för informationssäkerhet (LIS)
Universitetets LIS är baserat på svensk standard SS-ISO/IEC 27001:2014 för att därmed kunna uppfylla kraven i myndighetens för samhällsskydd och beredskap (MSB) föreskrifter om statliga myndigheters informationssäkerhet, (MSBFS 2016:1).

Läs mer om universitetets LIS eller ladda ner dokumentet i sin helhet.

Information - muntlig, skriftlig, i elektronisk form, alla former av forskningsmaterial, tentamina med mera - är en tillgång som i likhet med personal och fysisk egendom är avgörande för vår verksamhet.

Publicerad: 15 december 2021