Dokumenthantering i högskolans Office365 ur ett offentlighetsperspektiv

Jönköping University använder molntjänsten Office365 från Microsoft. Office365 innehåller bland annat e-post, kalender, adressbok, dokumenthantering, lagring och skypetelefoni. En av funktionerna i Office365 är molnlagring som finns tillgänglig för anställda och studenter. Denna molnlagring sker i första hand via OneDrive for Business men även i andra av Office365 applikationer såsom exempelvis e-post, kalender, adressbok, uppgifter mm. Syftet med lagringslösningen är att användare ska kunna skapa, hantera, dela ut, och komma åt arbetsmaterial, information och data – med så få restriktioner som möjligt. Det finns dock ett antal aspekter som behöver belysas utifrån ett offentlighetsperspektiv när man använder sig av molnlagring. För att sprida information och kunskap om bland annat dessa aspekter har nedanstående FAQ skapats.

Är det OK ur ett informationssäkerhets- och integritetsperspektiv att lagra data i Office365?

De molntjänster som Microsoft erbjuder sina kunder har blivit granskade ur ett säkerhetsperspektiv inom Sverige av Datainspektion och inom EU av motsvarande funktioner. Flera andra organisationer och myndigheter som nyttjar Microsofts tjänster har granskats av Datainspektionen och de uppfyller de krav som ställs relaterat till personuppgiftslagen förutsatt att tydliga rutiner finns dokumenterade kring användandet. Det bör dock observeras att Datainspektionen inte utfärdar generella godkännanden utan att deras granskning endast avser hanteringen vid det aktuella granskningsobjektet.

Jönköping University har, med hjälp av konsult, genomfört en risk- och sårbarhetsanalys (RSA) enligt Datainspektionens krav. I sammanfattningen av denna RSA anges bland annat:

”Slutsatsen är att, trots att det finns risker med en outsourcing rörande Office 365 så motsvarar levererad tjänst de krav JU ställer på lösningen vilka har syftat till en modern, funktionell, framtidssäkrad och kostnadseffektiv lösning. Vidare lämnar denna RSA vid hand att Jönköping University har en komplett bild över dels produkten och dels risker kopplat till detta. I förlängningen bedöms det att Jönköping University uppfyller de externa krav kopplat till deras verksamhet och kravet på genomförd RSA. Vad som avslutningsvis kan sägas om de identifierade riskerna i denna RSA bör nämnas att JU på inget sätt avviker från branschens andra aktörers risker och/eller hot. Tvärt om är det tydligt genom detta arbete att JU har ett proaktivt förhållningssätt till sitt säkerhetsarbete men bör beakta de röda riskerna och hoten som en naturlig del i sin IT strategi framöver.”

Oavsett övergripande händelseförlopp så kommer inte JU agera enskilt i övergripande frågor kring molntjänster utan då det blir aktuellt avvakta besked från Datainspektionen och därefter följa gemensam hantering inom den akademiska sektorn.

Vad är syftet med lagring i Office365?

Office365, och då i första hand OneDrive for Business, är ett alternativ till att lagra sina data på hemkatalogen (G). Den data du lagrar i Office365 kan du komma åt via Internet och du kan även synkronisera bibliotek i OneDrive for Business med lagring på en eller flera datorer, smartphones eller läsplattor. Alla filer du lagrar i OneDrive for Business är personliga som standard. Du kan enkelt dela filer och samarbeta i dokument med andra användare på Jönköping University.

Syftet med lagringslösningen är att användare ska kunna skapa, hantera, dela ut, och komma åt arbetsmaterial, information och data – med så få restriktioner som möjligt. Exempel på restriktioner är:

  • Information som omfattas av sekretess enligt offentlighets- och sekretesslagen eller lagöverträdelser och känsliga personuppgifter som omfattas av personuppgiftslagen (se nedan)
  • Vissa applikationer kräver av funktionsskäl att lagring sker på lokal hemkatalog under arbetet. Färdiga arbeten kan dock sparas i Office365/OneDrive for Business om så önskas.

Vad ska jag inte lagra i Office365?

Information som inte får lagras i Office365 är information

  • som omfattas av sekretess enligt offentlighets- och sekretesslagen
  • om lagöverträdelser och känsliga personuppgifter enligt personuppgiftslagen

Med nu gällande förutsättningar för Office365 finns risk för att information kan komma att lämnas ut på ett sådant sätt att den inte är skyddad i den utsträckning som svensk lagstiftning kräver. Om sekretessbelagd information har gjorts tillgänglig på ett otillbörligt sätt är konsekvensen allvarlig då skadorna varken kan förutses eller i efterhand repareras då sekretessen redan är röjd.

Som användare ansvarar du för att den information som lagras i Office365 inte bryter mot gällande regelverk och lagstiftning. Om du är osäker kan du i första hand kontakta din chef och i andra hand högskolans jurist.

Sekretessärenden (exempel):

Sekretess för personal och studenter:
Hälsotillstånd, omplacering, skyddade adresser, avskiljandeärenden

Sekretess till skydd för ekonomiska intressen:
Affärs- och driftsförhållanden, anbud/upphandling

Sekretess inom forskning:
Uppdrag, patent, samverkan, statistik, överföring

Känsliga personuppgifter (exempel):
Känsliga personuppgifter sådana som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt personuppgifter som rör hälsa eller sexualliv.

Uppgifter om hälsa kan vara till exempel sjukfrånvaro, graviditet och läkarbesök.

Lagöverträdelser (exempel):
Personuppgifter om lagöverträdelser som innefattar brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövanden.

Får jag verkligen lagra personuppgifter i Office365?

Jönköping University har som en del av licensvillkoren ingått ett så kallat personuppgiftsbiträdesavtal (PUBA) med Microsoft som omfattar molntjänsten Office365. Det innebär att du i Office365 får lagra personuppgifter som inte bryter mot sekretess, lagöverträdelser eller känsliga personuppgifter enligt ovanstående punkt.
Observera att rätten att lagra personuppgifter i molnet gäller endast de tjänster, t ex Office365, där detta reglerats i PUBA med leverantören. Personuppgifter får aldrig lagras i molnlösningar utan PUBA såsom exempelvis Dropbox eller Google Drive.

Hur säkert är Office365?

Office365 är minst lika säkert och sannolikt säkrare än lokala hemkataloger (G:). Baserat på Microsofts datorhallar, utrustning, rutiner och revisioner uppnås dessutom en säkrare drift och högre tillgänglighet till dessa system.
I den risk- och sårbarhetsanalys som genomförts för JU konstateras att de största funktionella riskerna med Office365 är knutna till att lösenord hamnar i orätta händer och bristande säkerhetsmedvetande hos användare. Som användare ansvarar du för ditt användarkonto och hur detta används i enlighet med högskolans ansvarsförbindelse för användarkonto.

Vad gäller för allmänna handlingar och diarieföring?

Hantering av allmänna handlingar och diarieföring påverkas inte av Office365. Kraven på hantering av allmänna handlingar och diarieföring gäller oförändrade för JU och påverkas inte även om Office365 i sig är en extern molnbaserad lagringsplats. Lagstiftningen kring allmän handling och begäran om att få allmän handling utlämnad tillämpas för Office365 på samma sätt som för andra lagringslösningar som JU nyttjar. Molntjänsten Office 365/OneDrive får inte användas för arkivering, varken på kortare eller längre sikt. Den kan enbart användas för tillfällig lagring av arbetsmaterial och kopior. För information om diarieföring och arkivering läs här Länk till annan webbplats, öppnas i nytt fönster. eller fråga personalen på HS/Planeringsavdelningen.

Vad gäller för att rensa och kasta filer?

Det är inte tillåtet att använda molnet för att arkivera handlingar. Därför är det fritt att rensa och kasta de filer som man inte längre behöver för sitt arbete. Rensa din lagringsyta då och då genom att kasta filer som inte längre är aktuella. Det blir då lättare att överblicka materialet både för dig själv och för kolleger som eventuellt kan behöva ta över någon arbetsuppgift.

Hur kommer jag åt data på distans?

Data som lagrats i Office365, och då i första hand OneDrive for Business, är nåbar från samtliga platser där du har en internetanslutning. Data på lokal hemkatalog kommer du åt genom att från en högskoledator koppla upp dig mot högskolans nätverk via en säker VPN uppkoppling. Distansåtkomst till lokal hemkatalog tillåts inte av säkerhetsskäl från icke-högskoledator. Från en icke-högskoledator kan du däremot nå Office365/OneDrive for Business. Den data som inte får lagras på OneDrive for Business är av sådan art att den heller inte ska hanteras via en privat dator.

Vilken support kan IT-service ge kring Office365?

IT-service kommer att sträva efter att ge dig som användare så god support som möjligt. Möjligheterna blir dock något begränsade i och med övergången till Office365.
- Microsoft styr uppdateringar och i princip dagligen kommer någon förändring att ske inom Office365 samlade tjänster. Lathundar och manualer blir därför snabbt och utan föregående varning inaktuella. Antalet lathundar och manualer kommer därför att begränsas och istället hänvisas användaren till Microsofts hjälpfunktioner
- IT-service har inte åtkomst till servrar, system och användarnas konton i Office365. IT-service möjlighet att ge support försvinner helt när det gäller en del funktioner såsom exempelvis backupåterläsning, antispamhantering, att spåra E-post medan den i andra fall begränsas kraftigt. Användarkontot i Office365 blir till stor del en hantering för användaren och Microsoft.

Vad händer när jag slutar?

När du slutar tas ditt konto och din data bort från Office365. Du ska därför innan du slutar:
- ta tillvara data du sparat i Office365/OneDrive for Business. Det material som behöver finnas kvar i organisationen förmedlar du vidare till din efterträdare alternativt till din chef.
- om du är ägare till en delad mailbox se till att ägandeskapet flyttas till en ny ägare.