Anvisningar för Office365 molntjänster på HKR

Definitioner på förkortningar:

HKR = Högskolan Kristianstad
PUBA = Personuppgiftsbiträdesavtal
AD = Active Directory (behörighetsstyrning)
EU = Europeiska Unionen
GDPR = General Data Protection Regulation - Dataskyddsförordningen inom EU
OSL = Offentlighets- och Sekretesslagen
VPN = Virtual Private Network – en säker förbindelse eller s.k. “tunnel" mellan två punkter i
ett icke-säkert datanätverk
Recycle Bin = papperskorg för borttagna filer

Bakgrund

De molntjänster som Microsoft erbjuder sina kunder har blivit granskade ur ett säkerhetsperspektiv inom Sverige av Datainspektion och inom EU (GDPR) av motsvarande funktioner. Flera andra organisationer och myndigheter som nyttjar Microsofts Online-tjänster har granskats av Datainspektionen och de uppfyller de krav som ställs relaterat till personuppgiftslagen förutsatt att tydliga rutiner och anvisningar finns dokumenterade kring användandet.

Allmänt personligt ansvar

Användaren är ytterst ansvarig för sitt användarkonto och hur detta används. Det innebär att skydda lösenordet och se till att det hålls otillgängligt för omgivningen. Dator, surfplatta eller mobiltelefon får inte lämnas tillgängliga för andra utan att ett åtkomstskydd har aktiverats. Användaren ansvarar för den information som lagras på högskolans lagrings-tjänster, dvs. där dokument och information effektivt och systematiskt skapas, tas emot, används och bevaras eller gallras enligt gällande dokumenthanteringsplan. Läs mer under Regelverk för studenter.

Specifikt för dessa onlinetjänster är att information som innehåller känsliga personuppgifter eller sekretesskyddade uppgifter enligt Dataskyddsförordningen inte ska lagras i molntjänster, såvida det inte godkänts för ändamålet utifrån en genomförd risk- och sårbarhetsanalys genom Högskolan Kristianstad. Mer om detta finns att läsa under kapitel “Lagring av digital information” i högskolans Informationssäkerhetspolicy.

Behörighet och loggning

För att använda Microsofts onlinetjänster krävs ett personligt och unikt användarkonto till Högskolan Kristianstads IT-tjänster. När användaren loggar in på datorn med användarkonto och lösenord, sker även inloggning till Microsoft onlinetjänster (Office365). Följandet gäller för inloggning till högskolans molntjänster;

• Användaren måste ha ett HKR-id/konto.
• Användaren måste ha ett konto i HKR’s AD.
• Användaren måste ha lösenord till sitt konto i HKR’s AD.
• Användarens lösenord ska hållas hemligt och otillgängligt för andra!

Inloggning till tjänsterna loggas. Misstänker användaren att tjänster har använts av obehörig, ska detta omedelbart anmälas till Support 3030 och ärende läggas till Informationssäkerhetsansvarig. Användarens första åtgärd är att själv byta lösenord.

Loggen och användningen av kontot kan även komma att granskas av högskolan, vid misstanke om brott eller missbruk av Högskolan Kristianstads tillhandahållna tjänster.

Vad får lagras i molntjänster?

Microsofts onlinetjänst OneDrive är ett mycket bra alternativ till att lagra data på en hemkatalog (H:) eller direkt på sin dator. Det data som lagras i Office365 onlinetjänster kan man komma åt via Internet och man kan även synkronisera filer i OneDrive mot en eller flera datorer, smartphones och läsplattor, dock inte mot högskolans datorsalsdatorer, dessa är avstängda för automatisk synkronisering så att de i så stor utsträckning som möjligt skriver direkt mot molnet, det vill säga det görs en så kallad folder redirect till Onedrive. Alla filer som lagras i OneDrive är personliga som standard. Det går enkelt att dela filer och samarbeta i dokument med andra användare på högskolan. Lagringslösningen är främst till för att användaren ska kunna skapa, hantera, dela ut, och komma åt arbetsmaterial, information och data – med så få restriktioner som möjligt.

Dataskyddsförordningar

Enligt Dataskyddsförordningen OSL (2009:400) får information:

• som omfattas av sekretess enligt offentlighets- och sekretesslagen
• om lagöverträdelser och känsliga personuppgifter enligt personuppgiftslagen

inte lagras i molntjänster, såvida det inte godkänts för ändamålet utifrån en genomförd risk- och sårbarhetsanalys genom Högskolan Kristianstad!

Om sekretessbelagd information har gjorts tillgänglig på ett otillbörligt sätt är konsekvensen allvarlig då skadorna varken kan förutses eller i efterhand repareras då sekretessen redan är röjd.

Användaren ansvarar därför att den information som lagras i högskolans molntjänster inte bryter mot gällande regelverk och lagstiftning. Om man är osäker ska man i första hand kontakta Studentcenter, student@hkr.se, och i andra hand högskolans informationssäkerhetsansvarig.

Nedan exempel klassas som information som innehåller känsliga personuppgifter eller sekretesskyddade uppgifter.

Sekretessärenden

• Sekretess för personal och studenter: Hälsotillstånd, omplacering, skyddade adresser, avskiljandeärende.
• Sekretess till skydd för ekonomiska intressen: Affärs- och driftsförhållanden, anbud/upphandling.
• Sekretess inom forskning: Uppdrag, patent, samverkan, statistik, överföring.

Känsliga personuppgifter

• Känsliga personuppgifter, sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexuell läggning.
• Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Lagöverträdelser

• Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.