Säkerhet och lagring

Här finns samlad information om säkerhetsaspekter att beakta samt val av lagringsyta.

Lämpliga säkerhetsåtgärder

Arbetet kring säkerhet med fokus på personuppgifter är en del av informationssäkerhetsarbetet.
Säkerhetsarbetet kring personuppgifter har som huvudsyfte enligt dataskyddsförordningen att skydda personers integritet och att värna allas friheter och rättigheter.

Säkerhetsarbetet handlar om att minimera risker och hantera risker på bästa sätt. Vid bedömning av vilka säkerhetsåtgärder som behövs kan följande frågor ge vägledning:

  • Hur känsliga och extra skyddvärda är uppgifterna?
  • Vilka risker finns?
  • Vilka tekniska möjligheter finns?
  • Vad kostar det?
  • Ska de uppgifterna överföras via internet?
  • Ska uppgifterna överföras till tredje land?

Säkerhetsrisker och hot mot den personliga integriteten varierar beroende på personuppgiftsbehandlingens storlek och komplexitet. Olika åtgärder och teknik kan användas, så som exempelvis:

  • Fysisk säkerhet som lås, säkerhetsskåp och behörighet till lokaler.
  • Behörighetsstyrning till digitala lagringsplatser.
  • Lösenordskyddade och eventuellt krypterade lagringsplatser.
  • Kodning eller kryptering av data, där nyckel förvaras separat. Kallas även pseudonymisering.
  • Loggar över hur data bearbetats.
  • Säkerhetskopiering.
  • Skydd mot skadliga program.
  • Krypterad överföring av data.
  • Policys och rutiner för de som ska behandla personuppgifterna.
  • Radering eller arkivering efter avslutad behandling, i enlighet med de riktlinjer som finns för bevarande eller gallring.

Val av lagringsplats

Här beskrivs några olika lagringsplatser som högskolan kan erbjuda.

Centralt lagringssystem

Högskolan tillhandahåller kataloger på centralt lagringssystem (server) i form av personliga hemmakataloger (H:) för medarbetare och studenter samt gemensamma delade lagringsytor (L: ) för medarbetare. Gemensamma lagringsytor beställs via support. All information som lagras på dessa ytor säkerhetskopieras dagligen och skyddas av IT-driften.

Lokalt på dator

Information kan även lagras lokalt på datorns hårddisk (C:). Information som lagras lokalt på datorn säkerhetskopieras inte automatiskt. Lagras information här måste användaren själv säkerställa att den skyddas.

Andra bärbara enheter

Högskolans tillhandahåller medarbetare andra bärbara enheter som smarta telefoner, surfplattor, externa hårddiskar, minneskort och usb-minnen etc. Information som lagras på dessa enheter säkerhetskopieras inte automatiskt. Lagras information här måste användaren själv säkerställa att den skyddas.

Molntjänster

En molntjänst ger användare tillgång till lagringsyta på internet. Exempel på sådana tjänster är Dropbox, Google Drive, Microsoft OneDrive, Apple iCloud, Box, Evernote. I dagsläget har högskolan avtal med Microsoft som leverantör av molntjänster via Microsoft OneDrive och SharePoint och högskolan tar bara ansvar för information som lagras i deras molntjänst. Det finns dock restrektioner för vad som får lagras i Microsoft molntjänster. Nuvarande riktlinjer från högskolan innebär att denna typ av tjänst får användas för information av ringa eller tillfällig betydelse, som inte innehåller personuppgifter.

Regler för lagring av Högskolan Dalarnas digitala information (pdf)

Överföring över öppna nät

Integritetskänsliga personuppgifter ska skyddas mot obehörig åtkomst när de överförs över internet, till exempel via e-post. Ett alternativ kan vara krypterad överföring.

För mer information gällande hantering av e-post vid Högskolan Dalarna:

Dataskydd i det dagliga arbetet

Regler för e-posthantering vid Högskolan Dalarna (pdf)

Överföring utanför EU/EES (tredje land)

Överföring av personuppgifter till länder utanför EU/EES (även kallat tredje land) är bara tillåten under vissa förutsättningar:

  • Beslut om adekvat skyddsnivå: Om EU-kommissionen har beslutat att ett tredje land säkerställer en adekvat skyddsnivå får man föra över personuppgifter dit utan något särskilt tillstånd.
  • Lämpliga skyddsåtgärder: Till exempel standardavtalsklausuler eller bindande företagsbestämmelser.
  • Särskilda situationer och enstaka fall: Till exempel vid samtycke.

Läs mer om när överföring till tredje land är möjligt (imy.se)

Schrems II och överföring till USA

EU-domstolen meddelade 16 juli 2020 dom i det så kallade Schrems II-målet att Privacy Shield-avtalet mellan EU och USA inte längre gav tillräckligt med skydd för personuppgifter vid överföring till USA.

Detta innebär att Privacy Shield ogiltigförklarats som grund vid överföring av personuppgifter mellan personuppgiftsansvariga i EU till mottagare i USA.

Information om Schrems II-domen (imy.se)

Senast granskad:
Senast granskad: