Mina meddelanden Juridik & Informationssäkerhet Jeanna Thorslund Jurist Center för eSamhället
Rättsliga frågor PuL Sekretess Offentlighets- principen Avtal Underskrift
PuL och ansvaret för meddelanden Avsändaren ansvarar för ett Meddelande som upprättas av myndigheten och sänds via Infrastrukturen. avsändarens ansvar för meddelandet upphör när meddelandet har kvitterats av brevlådeoperatören. Brevlåde- operatören ansvarar för meddelanden från det att mottagning har skett och tills mottagningen har bekräftats med en kvittens. brevlådeoperatörens ansvar för nytto- informationen i meddelandet upphör när meddelandet har tillgängliggjorts i Brevlådan. brevlådeoperatören är dock ansvarig för att upprätthålla säkerheten kring brevlådan. Mottagaren ansvarar för att ta del av meddelanden som tillgängliggjorts i brevlådan. Ett meddelande anses ha kommit denne till handa när brevlådeoperatören tillgängliggjort meddelandet i brevlådan.
SKL Cirkulär 11:46
Anslutningsavtal Allmänna villkor Informationssäkerhet Undertecknas av behörig firmatecknare
Allmänna villkor: 6. Avsändande myndighets åtaganden Informationsklassificering - Avsändande myndighet ansvarar för att klassificera informationen i varje meddelande Användning av uppgifter i FaR - Avsändande myndighet ansvarar för att uppgifterna i FaR endast används i enlighet med ändamålet för att uppgifterna inte sparas efter att användning skett Ansvar och skydd för meddelanden - Avsändande myndighet är personuppgiftsansvarig…. - Avsändande myndighet ska vidta tekniska och organisatoriska åtgärder för att skydda innehållet i de Meddelanden som sänds Rapportering - Rapportera nya informationsflöden i god tid - Rapportera statistik och fel
Informationsklassificering Klassificera information i typen av meddelande Fyra skyddsklasser utifrån uppgifternas behov av skydd: - konfidentialietsskydd - krav på verifiering av ett meddelandes äkthet Endast information som klassificerats som skyddsklass 1, 2 och 3 får sändas via Infrastrukturen Inte skyddsklass 4 - Information där förlust av konfidentialitet innebär allvarlig eller katastrofal negativ påverkan
Informationssäkerhet Krav på Brevlådeoperatörer - Allmänna villkor för infrastrukturen Mina meddelanden, Bilaga 1, Krav på säkerhet för brevlådeoperatörer Tjänsten kan hantera känslig information Risk- och sårbarhetsanalys (RSA) genomförd med fokus på risker för en anslutande kommun
Identifierade risker efter RSA Verksamheten är inte beredd att hantera supportfrågor om lösningen Bristfälliga kontroller av loggar Oklar ansvarsfördelning Dålig säkerhet pga dålig kravställning M.fl.
Förslag på åtgärder och rekommendationer efter RSA Informationsklassificera Förbered medarbetarna Testa Säkerställ rutiner, t.ex. rutiner för kontroll av loggar Verifiera kravställningen på säkerhet på alla ingående komponenter