Ansvar

Ansvaret för efterlevnad av denna anvisning fördelar sig enligt följande:

  • Projektägare/motsvarande har det övergripande ansvaret i samband med systemutvecklingsprojekt.
  • Systemägare, objektägare/motsvarande har det övergripande ansvaret i det löpande förvaltningsarbetet.
  • Projektledare, förvaltningsledare/motsvarande ansvarar för att riktlinjerna beaktas i det dagliga arbetet med systemutveckling samt att eventuella konsulter har kännedom om dessa.
  • Systemutvecklare ansvarar för att riktlinjer med direkt påverkan på utvecklingsarbetet följs.

Identifiering av kraven före utveckling

Följande säkerhetspunkter ska utföras:

  • Information som hanteras i systemet ska klassificeras med avseende på skyddsbehov. Uppgifter som hälsa, markering för skyddad identitet och lösenord utgör exempel på uppgifter med högt ställda krav på sekretess.
  • Informationen ska genomgå en compliancegranskning (avvikelsebedömning från fastställd informationssäkerhetsriktlinjer)
  • Informationen ska genomgå en RSA (risk- och sårbarhetsanalys) och en rikslista upprättas. När en riskanalys ska genomföras, kontakta universitetets informationssäkerhetschef och dataskyddsombud.
  • Informationens rikslista bedöms, prioriteras och åtgärder fastställs för att minimera risker.

Följande specifika GDPR-punkter ska utföras:

  • Beskriv Ändamål med personuppgifts behandling i informationstillgången
  • Fastställ objektägare, förvaltningsledare för verksamhet och IT
  • Dokumentera kategori av personuppgifter som behandlas
  • Dokumentera kategori av registrerade (anställda, konsulter, studenter, alumni, etc.)
  • Fastställ den lagliga grunden för personuppgiftsbehandlingen

Identifiering av kraven under utveckling

Följande säkerhetspunkter ska beaktas:

  • Dataöverföringar av känsliga data ska alltid ske via krypterad transport. SFTP, HTTPs anslutning eller motsvarande.
  • Minimera mängden personuppgifter. Fastställ vilka personuppgifter som verkligen krävs för att tillgodose ändamålet, snarare än att se vad som kan finnas tillgängligt.
  • Krypterad lagring av känslig information ska övervägas för information som vid informationsklassificering klassats till hög nivå.
  • Lösenord ska följa universitetets riktlinjer för lösenordshantering.
  • Om särskilt känslig information hanteras av systemet ska s.k. tvåfaktorautentisering övervägas.
  • Åtkomst till databaser, filer och källkod till programmen ska styras på ett säkert sätt. Dokumenterade rutiner för behörighetstilldelning ska finnas och följas.
  • Det ska gå att begränsa användares åtkomst till system och databaser utifrån parametrar som roll, organisationstillhörighet och liknande. Åtkomst ska styras med behörighetsgrupper.
  • Systemet ska inkludera rutiner som skapar erforderliga loggar för uppföljning av säkerheten i systemet. Administratörsinloggningar, behörighetsändringar, informationsändringar och andra viktiga säkerhetsrelaterade händelser i systemet ska alltid loggas. Loggar kan innehålla personuppgifter och måste därför hanteras på ett integritetssäkert sätt.
  • Utvecklings- och testarbete ska utföras i en egen, från driften väl avskild, miljö.
  • I ett fall då data i en testmiljö är baserad på verklig data, ska testmiljön omgärdas av säkerhetsåtgärder motsvarande de som används i produktionsmiljön.

Följande specifika GDPR-punkter ska utföras:

  • Rutin ska finnas fastställd och dokumenterad för att hanteras borttagen/glömd (även på backup). När uppgifterna inte längre behövs ska de tas bort. Funktioner för att radera uppgifter automatiskt förenklar.
  • Rutin/policy ska finnas fastställd och dokumenterad för lagring (arkivlagen, gallring, backup). Privacy by design går hand i hand med de krav som arkiven ställer vid utveckling. Kraven är ställda för att möjliggöra en arkivering av de allmänna handlingar som i en bevarande- och gallringsutredning bedömts ska bevaras, men också för att de handlingar som bedömts inte ska bevaras ska kunna gallras. Säkerhetskopior som sparas länge kan innehålla personuppgifter som borde raderats tidigare. Automatiska metoder för radering kan behövas.
  • Dokumentera om personuppgiftsbehandlingen delas/hämta/lämna med andra organisationer/ myndigheter
  • Dokumentera om personuppgifter lämnas/behandlas av tredjeland
  • Överväg säkerhetsåtgärder såsom avidentifiering, pseudonymisering av personuppgifter
  • Funktion för att på begäran från enskilda individer enkelt kunna lämna lagstadgade så kallade registerutdrag om deras uppgifter förekommer i systemet.
  • Funktioner i användargränssnittet som begränsar möjligheten att skriva in sådant som inte får skrivas in. Exempelvis bör antalet fritextfält minskas
  • Stöd för samtycke och återtagande av samtycke i de fall där det krävs

Identifiering av kraven efter utveckling (överlämning till förvaltning)

Följande säkerhetspunkter ska beaktas vid driftsättning och överlämning till förvaltning:

  • Dokumenterad rutin ska finnas för överlämning, checklista
  • Dokument ska finnas som beskriver systemet och dess kopplingar/beroende av andra system
  • Dokumenterad kontinuitetsplan för systemets behandlade information

Följande specifika GDPR-punkter ska utföras:

  • PUB-avtal (personuppgiftsbiträdesavtal) upprättas
  • Dokumentera om leverantörssupport finns i tredjeland