Kommunicera känslig information

Du får inte använda Outlook eller Teams för att skicka sekretessbelagd eller på annat sätt känslig information eller ha digitala möten där sådan information förekommer. Använd istället Sefos, som har en högre grad av säkerhet.

Outlook och Teams ska inte användas för utbyte av känsliga personuppgifter eller sekretessbelagd information. De uppfyller inte kraven för säker överföring av känsliga uppgifter, som exempelvis personnummer, hemadresser, telefonnummer och annan känslig information som kan identifiera en individ.

Se under rubriken nedan vad som menas med känsliga personuppgifter och sekretessbelagd information.

Använd istället Sefos som är speciellt utformat för att hantera känsliga personuppgifter och sekretessbelagd information. Prorenata, som förekommer inom bildningsförvaltningen, kan också användas.

Vidta även nedanstående säkerhetsåtgärder för att ytterligare stärka säkerheten vid hantering av känsliga meddelanden:

  • Säkerställ mottagarens identitet innan känslig information skickas.
  • Endast behöriga personer med ett verkligt behov av att känna till informationen bör ha tillgång till den.
  • Meddelanden som innehåller känsliga uppgifter får inte vidarebefordras utan uttryckligt godkännande.

All information ska vara klassad utifrån kriterierna

  • konfidentialitet
  • riktighet
  • tillgänglighet
  • spårbarhet.

Vid kommunikation med hjälp av digitala mötesplattformar är det viktigast att värdera aspekten konfidentialitet, det vill säga i vilken grad informationen bara ska hanteras av de som är behöriga.

För att veta vilken informationsklass en viss typ av information har kan du gå till informationshanteringsplanen. Om du inte kan hitta det i informationshanteringsplanen kan du behöva göra en egen informationsklassning. Läs mer om det på sidan Informationssäkerhet.

Sefos är det verktyg vi kan använda för att hantera och överföra känslig information inom områden såsom vård och omsorg, socialtjänst och skola. Det innehåller både en meddelandetjänst och en mötestjänst.

Den information som överförs krypteras, och både sändaren och mottagaren identifierar sig med bank-id. Det garanterar att det bara är behöriga personer som får tillgång till informationen som skickas.

Hur får jag tillgång till Sefos?

Din närmaste chef ska göra en behörighetsbeställning via Serviceportalen för att du ska få tillgång till Sefos. När beställningen har hanterats av IT-enheten kommer det att dyka upp som en ny app i Teams och du kan starta systemet därifrån.

Det går också att logga in i en webbläsare på adressen https://securemessage.motala.se.

Välj alternativet att logga in som ”Kommunanställda”. Använder du webbläsare behöver du även fylla i sin e-postadress för Motala kommun.

Funktionsbrevlåda

En ny funktionsbrevlåda som är ansluten till Sefos kan beställas via Serviceportalen. Ange vilka som ska ha tillgång till den. Dessa personer behöver ha Sefos-licens sedan innan. Det behöver också finnas en delad brevlåda i Outlook om ni vill ta emot aviseringar från Sefos. Antingen kan en befintlig brevlåda användas eller så behöver ni beställa en ny.

Funktionsbrevlådan kommer sedan synas inne i Sefos under din personliga brevlåda.

Chattfunktion

I Sefos raderas all chatthistorik direkt efter avslutat möte och finns inte sparad någonstans.

När en deltagare ansluter senare till ett pågående Sefosmöte kan denne inte se tidigare chatthistorik, det vill säga chattar som skrevs innan deltagaren anslöt till pågående möte. Inget som sägs eller hanteras i Sefos sparas.

Borttagning av meddelanden

Om inget nytt meddelande inkommit i en tråd så gallras den efter 42 dagar. Om ett nytt meddelande inkommer i konversationen så nollställs gallringstiden och räknas från det senast inkomna meddelandet i tråden.

Säker digital kommunikation, SDK, används för att utbyta information mellan kommunen och andra myndigheter och organisationer som är anslutna till nätverket. Det ska användas för meddelanden som innehåller känslig eller sekretessbelagd information eftersom informationen överförs på ett säkert sätt.  I Motala kommun används systemet Sefos för att skicka SDK-meddelanden.

Meddelandet går till en funktionsbrevlåda hos den mottagande organisationen, och inte till specifika tjänstepersoner. Det är uppbyggt av ett fritextfält med möjlighet att bifoga filer. Det går inte att kommunicera med privatpersoner via SDK.

Pågående arbete

Alla delar av Motala kommuns organisation är ännu inte tillagda som avsändare/mottagare i SDK-nätverket och införandet pågår. Just nu pågår en pilot där vi testar SDK i praktiken och utvärderar hur det fungerar hos Socialförvaltningens individ- och familjeomsorg (IFO). Erfarenheterna från piloten ligger sedan till grund för ett bredare införande hos fler verksamheter. Är du nyfiken på när din verksamhet kan anslutas eller vill du veta mer? Kontakta informationssäkerhetssamordnare på Gemensam ledningsförvaltning: informationssakerhet@motala.se

Inför införandet

När en verksamhet ska anslutas till SDK behöver ansvarig chef säkerställa följande:

  • Utbildning genomförd: berörd personal ska ha gått utbildningen och klarat kunskapstestet innan verksamheten börjar använda SDK.
  • Anvisningar och rutiner kända: medarbetarna ska känna till och följa de anvisningar och rutiner som gäller för SDK.
  • Checklistan används: den framtagna checklistan för SDK ska följas.

Möten som innehåller känsliga personuppgifter och/eller sekretessbelagda uppgifter ska främst hanteras i andra mötesformer än digitala möten. Men om det är avgörande för liv och hälsa, sker på individens egna initiativ eller om individen inte lider men får möten hållas via våra digitala plattformar under förutsättning att säkerhetsåtgärderna som beskrivs nedan följs.

Sefos eller Prorenata ska användas vid digitala möten som innehåller känsliga personuppgifter och/eller sekretessklassad information. Övriga digitala möten genomförs med Teams. Information som rör Sveriges säkerhet, informationsklass 4, får aldrig hanteras i Sefos, Prorenata eller Teams.

Säkerhetsåtgärder

För alla digitala möten så väl interna som externa gäller följande säkerhetsåtgärder.

  • Stäm av att samtycke finns för att genomföra ett digitalt möte.
  • Dela aldrig dokument med känslig information via appar eller i chattfunktioner med någon part!
  • Dela inte känslig information om du använder funktionen ”dela skärm” i mötet.
  • Säkerhetsskyddsklassificerad information får inte hanteras på digitala möten.

Kompletterande säkerhetsåtgärder vid känsliga uppgifter

Ytterligare säkerhetsåtgärder ska vidtas om mötet behöver hantera ärende som innehåller känsliga personuppgifter och/eller sekretess.

  • Spela inte in mötet.
  • Kontrollera vem/vilka du släpper in i mötet, använd lösenord eller låt användare vänta på att bli insläppt. Använd de funktioner som finns i Sefos.
  • När okända mötesdeltagare ansluter ska de identifiera sig genom att visa legitimation i kameran.
  • Medarbetare som arbetar hemifrån säkerställer att miljön de sitter i tar hänsyn till integritet och sekretess.
  • Begär en koll av det fysiska rum mötesdeltagarna befinner sig i, för att säkerställa vilka som är i rummet, framför allt vid externa möten.
  • Säkerställ att det fysiska rum du använder inte går att överhöra. Använd hörlurar med sladd om möjligt.
  • Kameran ska vara påslagen under hela mötet.
  • Lämna information till mötesdeltagare om hur det digitala mötet hanteras säkerhetsmässigt.

När du skickar en bokning till ett digitalt möte där känsliga eller sekretessbelagda uppgifter behandlas ska du i bokningen skicka med en informationstext om vilka säkerhetsåtgärder som vidtas. Använd dessa texter.

Kategori 1

Kategori 1 innefattar interna möten som innehåller känsliga personuppgifter och/ eller sekretess.

Informationstext

Inför digitalt möte med Motala kommun lämnar vi härmed information om hur vi hanterar det digitala mötet. Genom att acceptera mötet ger ni ert samtycke att mötet sker digitalt och enligt de säkerhetsåtgärder vi vidtar. Vi kommer att säkerställa detta innan vi går in på mötets dagordning.

Vid diskussioner som omfattas av sekretess eller känsliga personuppgifter använder vi en plattform, Sefos eller Prorenata, där det är säkerställt att ingen information från mötet sparas och att ingen obehörig kan ta del av mötets innehåll.

Detta möte får inte spelas in. För att inte göra mötet publikt kommer säkerhetslösningar att användas och om det finns mötesdeltagare som inte är kända för varandra ska identifikation ske genom uppvisande av legitimation. Medarbetare i Motala kommun säkerställer att de sitter i en miljö som tar hänsyn till integritet och sekretess samt att de medarbetare som eventuellt arbetar på distans säkerställer att de ansluter sig via kommunens system och har en stabil, bra uppkoppling.

Kategori 2

Kategori 2 innefattar möten med extern samarbetspartner exempelvis region, annan kommun, företag eller möten som innehåller känsliga personuppgifter och/eller sekretess. Samt möten som involverar klient, patient, elev eller vårdnadshavare.

Informationstext

Inför digitalt möte med Motala kommun lämnar vi härmed information om hur vi hanterar det digitala mötet. Genom att acceptera mötet ger ni ert samtycke att mötet sker digitalt och enligt de säkerhetsåtgärder vi åtar. Vi kommer att säkerställa detta innan vi går in på mötets dagordning.

Vid diskussioner som omfattas av sekretess eller känsliga personuppgifter använder vi en plattform, Sefos eller Prorenata, där det är säkerställt att ingen information från mötet sparas och att ingen obehörig kan ta del av mötets innehåll.

Detta möte får inte spelas in. För att inte göra mötet publikt kommer säkerhetslösningar att användas och om det finns mötesdeltagare som inte är kända för varandra ska identifikation ske genom uppvisande av legitimation. Vi behöver också få en digital ”live” bild av hela rummet och kameran ska vara påslagen under hela mötet. Medarbetare i Motala kommun säkerställer att de sitter i en miljö som tar hänsyn till integritet och sekretess samt att de medarbetare som eventuellt arbetar på distans säkerställer att de ansluter sig via kommunens system och har en stabil, bra uppkoppling.

Kategori 3

Kategori 3 innefattar möten med medborgare i ärenden som ej innehåller känsliga personuppgifter och/eller sekretess.

Informationstext

Inför digitalt möte med Motala kommun lämnar vi härmed information om hur vi hanterar det digitala mötet. Genom att acceptera mötet ger ni ert samtycke att mötet sker digitalt och enligt de säkerhetsåtgärder vi åtar. Vi kommer att säkerställa detta innan vi går in på mötets dagordning.

Detta möte får inte spelas in. För att inte göra mötet publikt kommer säkerhetslösningar att användas och om det finns mötesdeltagare som inte är kända för varandra ska identifikation ske genom uppvisande av legitimation. Kameran ska vara påslagen under hela mötet. Medarbetare i Motala kommun som eventuellt arbetar på distans säkerställer att de sitter i en miljö som tar hänsyn till integritet och sekretess samt att de ansluter sig via kommunens system och har en stabil, bra uppkoppling.

Känsliga personuppgifter enligt GDPR omfattar:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • genetiska uppgifter och biometriska uppgifter för att entydigt identifiera en fysisk person
  • uppgifter om hälsa
  • uppgifter om en fysisk persons sexualliv eller sexuella läggning.

I offentlighet- och sekretesslagen regleras vilka uppgifter som kan beläggas med sekretess. Sekretessbelagda uppgifter eller handlingar får inte spridas vidare vare sig muntligt eller skriftligt till någon som är obehörig. Alla medarbetare i Motala kommun omfattas av tystnadsplikt och du som anställd av kommunen ansvarar för att inte röja en uppgift som är belagd med sekretess.

Gemensamma anvisningar för säkra digitala meddelanden

Gemensamma anvisningar för säkra digitala möten

ß