Hoppa till innehåll

På Nacka.se använder vi cookies för att webbplatsen ska fungera på ett bra sätt för dig. Genom att fortsätta ditt besök godkänner du att vi använder cookies. Läs mer om cookies

Vad är en personuppgift?


Svar:

I Sverige tänker vi ofta personuppgifter är likställt med personnummer. Men tänk på att detta är en EU-förordning och personnummer är något svenskt. Personuppgifter är all slags information som kan knytas till en fysisk person som är i livet.

  • Exempel 1: personnummer, namn, adress, foton på personer, registreringsnummer, fastighetsbeteckning, e-postadress, identifikationer online
  • Exempel 2: personers fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet

Vad är en behandling av personuppgift?


Svar:

Med behandling menas allt som görs med personuppgifterna. Exempelvis insamling av personuppgifter, registrering och lagring.

Exempel: kund- och leverantörsregister, besöksliggare, passersystem, verksamhetssystem, pensionslistor, medarbetarsamtal/lönesamtal, intern telefonkatalog, behörighetsadministration, loggar, hemsida/intranät och rekryteringsdatabas.

Hur anmäler jag en behandling av personuppgifter?


Svar:

Du mailar servicecenter för att få ett inlogg till det system (Draftit) som Nacka kommun valt att ha sitt register i, ange namn och nämnd. Följ sedan länken och besvara frågorna. Spara gärna länken eftersom du då lätt kan gå tillbaka till formuläret och ändra eller uppdatera information. Om du tappar bort länken så kontakta personuppgiftsombudet för hjälp.

Genom att anmäla behandlingen i god tid innan behandlingen sätts igång har du tid att säkra att behandlingen sker i enlighet med gällande lagstiftning. Det är ofta i samband med anmälan som det är lätt att upptäcka om det finns brister när det gäller hanteringen. Kanske behöver säkerheten för personuppgifterna ses över ytterligare eller ett samtycke inhämtas från den enskilde. När det gäller känsliga personuppgifter så ska en särskild konsekvensanalys genomföras innan behandlingen påbörjas.

För att kommunen ska leva upp till dataskyddsprincipen om ansvarsskyldighet så är det viktigt att registrerade behandlingar uppdateras vid behov av den som har gjort anmälan.

IT-ansvarig/Skoladministratör
Vid frågor om registrering av enklare system och program som används på skolenheten - ställ en fråga till kontaktperson på Verksamhetsstödet, Nackas kommunala skolor.

Varför måste en behandling av personuppgifter anmälas?


Svar:

Vanligtvis rör det sig om behandling av personuppgifter i digitala verksamhetssystem, men även manuella register i exempelvis pärmar, kartotek eller annan strukturerad samling av personuppgifter ska anmälas.

Förteckningen är en förutsättning för att kommunen ska kunna fullgöra sin skyldighet att lämna registerutdrag till den som efterfrågar det. Förteckningen ger också viktig information över hur dataflödena ser ut i kommunen och hur kommunen efterlever lagstiftningen. Det är därför av stor vikt att alla nya behandlingar anmäls till personuppgiftsombudet.

Hur ska personuppgifter hanteras i e-post?


Svar:

E-post som innehåller personuppgifter kan skickas så länge de inte innehåller:

  • Känsliga personuppgifter, till exempel hälsoinformation
  • Extra skyddsvärda personuppgifter, till exempel sekrtessbelagd information enligt offentlighets- och sekretesslagen eller personnummer

I de fall vi ändå behöver skicka e-post som innehåller känsliga personuppgifter eller sekretessbelagd information så krävs att att särskilda säkerhetsåtgärder vidtas. Med säkerhetsåtgärder avses i praktiken krypteringsskydd på ett sådant sätt att endast den avsedda mottagaren kan ta del av informationen.

I dagsläget är inte kommunens e-post krypterad vilket innebär att vi inte ska skicka känsliga personuppgifter eller extra skyddsvärda uppgifter via mejl. Om du avidentifierar innehållet så kan du däremot skicka uppgifterna, med det förutsätter också att mottagaren förstår vem informationen berör.

Kritik från justitieombudsmannen

I november 2017 kritiserar Justitieombudsmannen barn- och utbildningsförvaltningen i Luleå kommun för att e-postmeddelanden med känsliga personuppgifter skickats utan att särskilda säkerhetsåtgärder vidtagits och för dröjsmål med att besvara frågor.

Beslutet i korthet: Barn- och utbildningsförvaltningen skickade ett e-postmeddelande med en elevs läkarintyg mellan e-postservrar över internet till vårdnadshavarna och till flera befattningshavare. Det borde ha vidtagits särskilda säkerhetsåtgärder för att säkerställa att rätt person fick åtkomst till uppgifterna och att de överfördes på ett säkert sätt (t.ex. genom kryptering). Eftersom det inte gjordes fanns det risk för att obehöriga, dvs. andra än de avsedda mottagarna, kunde ta del av de känsliga personuppgifterna. Förvaltningen kritiseras för hanteringen. Dessutom kritiseras förvaltningen för att man dröjde nästan sju månader med att besvara frågor från elevens far som gällde bl.a. hantering av läkarintyg.

Du kan läsa beslutet i sin helhet på Justitieombudmannens hemsida.

Hur gör jag om någon skickar e-post till mig med känsliga personuppgifter eller sekretessuppgifter?


Svar:

Om någon skickar känsliga personuppgifter eller sekretessuppgifter så innebär det inte att hen gett sitt samtycke till att hantera personuppgifter per e-post. Den enskilde har ingen information om vilka säkerhetsåtgärder som kommunen har vidtagit för e-posthantering (t.ex. kryptering) och ett samtycke är därför inte aktuellt. Tänk därför på att du inte svarar genom att skicka med det innehåll som omfattas av sekretess. Dessa uppgifter måste tas bort i svarsmejlet.

Hur hanterar jag e-post på ett säkert sätt?


Svar:

Denna guide gäller för dig som är anställd i Nacka kommun och beskriver hur du gör för att hantera e-post på ett säkert sätt. Rutinerna omfattar både enskilda brevlådor och funktionsbrevlådor (till exempel verksamheternas brevlådor).

Det finns lagar och regler som berör e-posthantering, bland annat dataskyddsförordningen, förvaltningslagen och offentlighets- och sekretesslagstiftning. Vid alla behandlingar av personuppgifter i e-post måste det finnas ett tydligt ändamål för behandlingen och en laglig grund (det vill säga stöd i lagen, till exempel myndighetsutövning) alternativt ett samtycke. Samma regler gäller för intern och extern e-postkommunikation.

Vi ansvarar alla för att använda e-posten på ett ansvarsfullt och etiskt sätt, så att kommunen eller enskilda personer inte lider skada. Här följer några rutiner och tips som hjälp på vägen.

Guide för säker e-posthantering (PDF-dokument, 202 kB)

Hur kan jag skicka och svara på meddelanden med känslig information?


Svar:

Med hjälp av verktyget Säkra meddelanden kan du som är anställd i Nacka kommun skicka och svara på meddelanden med känslig information på ett säkert och lagenligt sätt.

Arbetssättet påminner om Mina meddelanden som används bland myndigheter och banker med flera. Det krävs inloggning både för att skicka och läsa meddelanden.

Här hittar du sidan med inloggning och en användarinstruktion.

Här kan du läsa mer om säker hantering av e-post. (PDF-dokument, 202 kB)

Vad ska jag tänka på när jag lagrar dokument med personuppgifter?


Svar:

All verksamhetsrelaterad information ska lagras på för denna avsedda platser. Information som är klassad som känslig och omfattas av sekretess eller innehåller känsliga personuppgifter bör hanteras, delas och sparas i ett
verksamhetssystem. Finns inget sådant alternativ bör en särskild lagringsyta
sättas upp med bland annat åtkomstbegränsning och utökad spårbarhet. Använd alltså inga allmänna lagringsytor för ditt arbetsmaterial (till exempel Dropbox, Google drive eller liknande). Verksamehetsrelaterad information ska aldrig sparas på privat dator, surfplatta eller telefon. Det är också viktigt att komma ihåg ha gallringsrutiner samt att kommunens dokumenthanteringsplaner följs även för de dokument som lagras utanför verksamhetssystem.

Begränsningen av hur och var arbetsrelaterad information, inklusive personuppgifter, lagras är en del av Nackas informationssäkerhetsstrategi.

Du kan läsa mer om strategin samt ta del av stöd och riktlinjer här

Får personuppgifter publiceras på hemsidan?


Svar:

Personuppgifter om enskilda får endast publiceras på hemsidan om det finns rättslig grund för publiceringen. Tänk på att personuppgifter som enskilt betraktas som harmlösa kan anses vara kränkande beroende på sammanhanget de publiceras i. Känsliga eller extra skyddsvärda perosnuppgifter får aldrig publiceras på webben.

På webbsidan får du däremot publicera personuppgifter om tjänstemän och förtroendevalda som har anknytning till deras tjänsteutövning eller uppdrag som till exempel yrkestitel.

Exempelvis: Namn på ledamot i miljö- och stadsbyggnadsnämnden får publiceras på hemsida. Även partitillhörighet eftersom det avser hens politiska uppdrag i nämnden. Om samma ledamot däremot som privatperson får ett vitesföreläggande för ett olovligt bygge så ska uppgifterna inte publiceras. Samma sak gäller om det skulle röra sig om en medarbetare i kommunen.

Samtycke är ett bra alternativ

Är du osäker på om en uppgift kan vara integritetskränkande så använd dig av möjlighet att hämta in samtycke. Samtycker den enskilde så kan du publicera uppgifterna. Fyller den enskilde i en ansökan digitalt eller i pappersformat så kan du alltid be om samtycke i samband med ansökan. Du har då också ett dokumenterat samtycke att hänvisa till.

Får jag publicera fotografier på hemsidan?


Svar:

Att publicera foton på anställda på hemsidan kräver samtycke från den anställde. Namn och arbetsrelaterade kontaktuppgifter är uppgifter som normalt kan publiceras på hemsidan utan samtycke. Inför publicering av fotografier ska alla medarbetare tillfrågas och ges möjlighet att samtycka eller inte samtycka. Man ska alltså inte bara behöva säga nej, utan uttryckligen säga ja till publiceringen. Samtycket ska också vara helt frivilligt och medarbetare ska inte känna att man "gör fel" genom att säga nej, vilket är viktigt i en relation mellan arbetsgivare och arbetstagare.

Inom skola, förskola och fritids måste vårdnadshavare samtycka innan en publicering av barn sker på hemsidan. Samtycket ska inhämtas från båda vårdnadshavarna. Om samtycket utformas på ett korrekt sätt behöver det bara inhämtas en gång för alla bilder som publiceras under hela skoltiden. Kontakta personuppgiftsombudet för att få hjälp med att ta fram en samtyckesblankett för dina ändamål.

Tänk på att det kan finnas enskilda med skyddade personuppgifter i skolan eller på arbetsplatsen och att sådana personuppgifter kräver extra försiktig hantering.

Hur gör jag med skyddade eller sekretessmarkerade personuppgifter?


Svar:

Om någon är utsatt för ett allvarligt hot kan Skatteverket besluta om skyddade personuppgifter i särskilda fall. Det finns tre typer av skyddade personuppgifter: sekretessmarkering, kvarskrivning och fingerade personuppgifter.

När det gäller behandling av skyddade personuppgifter ska den personuppgiftsansvarige, utöver att se till att behandlingen följer gällande lagstiftning, även tänka på följande:

  • Regler och rutiner ska finnas för att säkerställa att skydda personuppgifter behandlas på ett sådant sätt att det inte innebär en ökad risk för registrerade.
  • En riskbedömning ska göras från fall till fall då behovet av vilka uppgifter som behöver särskilt skydd varierar.
  • Vid behandling av skyddade personuppgifter är det extra viktigt att endast registrera uppgifter nödvändiga för ändamålet, dessa ska även gallras så snart de inte längre behövs.
  • Den personuppgiftsansvarige bör begränsa åtkomsten till de skyddade personuppgifterna till ett fåtal personer. För de personer som har åtkomst till uppgifterna ska det också tydligt framgå att de är skyddade (exempelvis genom flaggning).
  • Den personuppgiftsansvarige bör se till att skyddade personuppgifter inte okontrollerat sprids mellan olika verksamhetssystem som utbyter data. Det är alltså viktigt att skyddade personuppgifter inte sprids till ett system med sämre säkerhet. Den personuppgiftsansvarige är skyldig att vidta lämpliga säkerhetsåtgärder (med hänsyn till den riskbedömning som gjorts avseende behandlingen).
  • All personal som kommer i kontakt med skyddade personuppgifter måste få kunskap om de regler och rutiner som gäller.
  • Se till att verksamhetssystem som behandlar skyddade personuppgifter genererar loggar så att det i efterhand går att kontrollera vem som har haft tillgång till informationen. Glöm inte att följa upp och kontrollera loggarna!

Vad ska jag tänka på när jag arbetar på distans?


Svar:

När du arbetar med personuppgifter är det viktigt att tänka på säkerheten för dessa även när du arbetar på distans - vare sig det är hemma, på resan eller i offentlig miljö. För att minska risken för att obehöriga får åtkomst till personuppgifter som behandlas av kommunen kan du tänka på följande:

  • Anslut inte till öppna nätverk om du inte behöver. Säkerheten kan inte garanteras och det finns en risk att din aktivitet på nätverket övervakas. Använd istället din mobil för att dela din internetanslutning med datorn.
  • Anslut alltid till Nackas VPN på datorn, detta är extra viktigt om du kopplar upp dig på ett öppet nätverk.
  • Utbyt aldrig känslig eller sekretessbelagd information via offentliga, trådlösa nätverk.
  • Spara aldrig verksamhetsrelaterad information på privat dator, surfplatta eller telefon eller liknande. Tänk också på att inte använda din privata e-postadress när du kommunicerar med kollegor inom ramen för ditt arbete.

Hur är ansvaret fördelat i organisationen?


Svar:

Nämnden är personuppgiftsansvarig och har det yttersta ansvaret för att personuppgiftsbehandlingar följer lagstiftningen. Det är även nämnden som bestämmer ändamålet för en behandling.

  • Enheterna ansvarar för att personuppgifterna hanteras korrekt och att behandlingarna anmäls och registreras. I de fall behandlingar utförs i ett verksamhetssytem är systemägaren ansvarig för att systemet uppfyller säkerhetskraven och att det finns rätt avtal med eventuella leverantörer.
  • Medarbetarna ansvarar för att behandla personuppgifter korrekt i sitt vardagliga arbete.
  • Dataskyddsombudet ska ge råd och stöd och övervaka Nacka kommuns efterlevnad av dataskyddsförordningen. Dataskyddsombudet rapporterar till högsta ledningsnivå och är även kontaktperson för Datainspektionen.

Arbetar du inom hälso- och sjukvården?


Svar:

Inom hälso- och sjukvården gäller särskilda bestämmelser utifrån Socialstyrelsens föreskrifter - Informationshantering och journalföring inom hälso- och sjukvården. Föreskrifterna innehåller bestämmelser om hantering av patientuppgifter över öppna nät som innebär att överföring av patientuppgifter ska göras på ett sådant sätt att ingen obehörig kan ta del av uppgifterna. Det gäller även för e-post och innebär i praktiken ett krav på att patientuppgifterna i ett e-postmeddelande ska krypteras på ett sådant sätt att endast den avsedda mottagaren kan ta del av dem.

Vilka möjligheter finns för lagring av information och dokument?


Svar:

I dokumentet "Guide Lagringsalternativ (PDF-dokument, 548 kB)" finns beskrivning av vilka möjligheter som finns för lagring av information och dokument samt en gudie i hur valet kan göras.

Vilka gemensamma system- och program i Nacka kommun, Välfärd skola är registrerade i Nacka kommuns register Draftit?


Svar:

Nacka kommun, Välfärd skola
G Suite for Education
SchoolSoft
Hypergene
Comaea C10 - Koll
Anmälan skola - kränkande behandling
DigiExam
Learnify
Inläsningstjänst
Lexia Provia
Landguiden
Palms - Nacka Academy
DuoSTATION MDM
InfoMentor
Skolon
CGM - PMO för Elevhälsan

Nacka kommun, Serviceenheten
ProofX

Hur rapporterar jag som medarbetare en personuppgiftsincident?


Svar:

Personuppgiftsincident

Här rapporterar du personuppgiftsincidenter. Du rapporterar både om du vet att det inträffat en incident, om du misstänker att det har inträffat en incident eller om du ser en risk för att det kan inträffa en incident.

Medarbetare - Rapportera en personuppgiftsincident här

Leverantör - Rapportera en personuppgiftsincident här


Definition av personuppgiftsincident

En personuppgiftsincident uppstår när de personuppgifter vi behandlar:

  • medvetet, omedvetet eller olagligt förstörs, förvanskas, försvinner eller ändras
  • när någon som inte har behörig tillgång till personuppgifterna får tillgång/åtkomst till dessa
  • när personuppgifterna på ett obehörigt sätt röjs (obehörigt röjande)

Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att en individs rättigheter inskränks. Några exempel är diskriminering, identitetstöld, finansiell förlust, brott mot sekretess eller tystnadsplikt.

En personuppgiftsincident har till exempel inträffat om uppgifter om en eller flera registrerade personer har blivit förstörda, gått förlorade eller kommit i orätta händer. Det spelar ingen roll om det har skett oavsiktligt eller med avsikt. I båda fallen är det personuppgiftsincidenter.

En personuppgiftsincident kan inträffa när någon kan ha kommit åt eller tagit del av uppgifter denne inte har behörighet till, som exempelvis

  • Någon har kommit över ett lösenord som gör att den skulle kunna logga in i system som behandlar personuppgifter.
  • Ett mail med känsligt eller extra skyddsvärda personuppgifter skickas till fel mottagare.
  • Ett glömt papper i skrivare som innehåller uppgifter om namn och sjukdomstillstånd.
  • En dator har fått skadlig kod som gör att obehörig skulle kunna komma åt personuppgifter.


När ska du rapportera en personuppgiftsincident?

Personuppgiftsincidenter rapporteras när medarbetare eller personuppgiftsbiträde (leverantör)

  • vet att det inträffat en incident
  • misstänker att det har inträffat en incident
  • ser en risk för att det kan inträffa en incident.

Alla personuppgiftsincidenter ska rapporteras så snart som möjligt efter upptäckt. Det gäller även om incidenten hunnit bli åtgärdad.

Nacka kommun ska enligt lag anmäla vissa typer av incidenter till Datainspektionen. Medarbetaren/personuppgiftsbiträdet rapporterar incidenten i ovanstående e-tjänst, sedan gör en central grupp en bedömning av incidentens allvarlighetsgrad. Därefter rapporteras eventuellt incidenten till Datainspektionen, vilket ska ske inom 72 timmar från det att den upptäckts.

Behövs samtycke för behandlingen av personuppgifter vid insamlandet av persons allergier eller mediciner?


Svar:

Huvudmannen har möjlighet att behandla känsliga personuppgifter om hälsa om det är nödvändigt och behandlingen inte innebär ett otillbörligt intrång i den registrerades personliga integritet.

Om man använder samtycke ska delar i blanketten kompletteras med tex rätten att återkalla samtycket, vem som är personuppgiftsansvarig, hur länge informationen sparas etc.

Sidan uppdaterades:

Mitt Nacka

  • …så får du upptäcka spännande evenemang i din närhet.