Informationssäkerhet vid e-möten

Sammanfattning

• E-möten är ofta ett lämpligt och enkelt sätt att ersätta fysiska möten.
• Du behöver dock alltid ta ställning till vilka moment och vilken information som lämpar sig för e-möten.
• Endast verktyg som KI har upphandlat ska användas för e-möten, såsom Teams och Zoom.
• Vanliga principer för hantering av känslig information/känsliga personuppgifter behöver följas.
• Tekniska inställningar finns för att minska risken för obehörig åtkomst till e-möten. Dessa är extra viktiga för e-möten som bedöms innehålla känslig information.

Bakgrund och egen inledande lämplighetsbedömning

Ofta är det både lämpligt och enkelt att genomföra vanliga arbetsmoment som e-möten. E-möten avser här alla möten som sker via en programvara för e-möten och inkluderar alla sorters situationer, från regelbundna verksamhetsmöten eller föreläsningar till enskilda samtal. Notera dock att dessa anvisningar främst avser situationer där e-mötestjänster används för samtal i realtid – inte för e-möten som spelas in eller för e-möten där tidigare inspelat material strömmas.

En vanlig fråga är om möten bör eller kan spelas in. Huvudregeln är att om inte inspelningar gjordes tidigare ska inte inspelningar göras nu heller. En viktig anledning är att inspelningar, t.ex. inspelade föreläsningar, blir allmänna handlingar enligt offentlighetsprincipen. Gör därför alltid först en bedömning av om situationen kan lösas utan inspelning.

Om inspelning ändå sker, behöver det säkerställas att den typ av personuppgiftsbehandling som inspelningen utgör är nödvändig och proportionerlig för ändamålet. Den som blir inspelad ska informeras om personuppgiftsbehandlingen (varför inspelning sker och hur länge den sparas m.m.) innan inspelningen görs. Förhandsinformation ger även deltagare, om de ska filmas, möjlighet att placera sig i en mer neutral miljö för att minska risken för upplevt intrång i privatlivet. E-mötestjänsterna gör vanligen deltagare uppmärksamma på när en inspelning startas.
Läs mer om rättigheterna hos den vars personuppgifter behandlas, inkl. rätt till information.

Innan ett e-möte ska hållas är det viktigt att tänka säkerhetsmedvetet och riskbaserat. Som mötesarrangör behöver du göra en första bedömning av arbetsmoment och information som berörs. Vissa moment eller informationstyper lämpar sig mindre väl för e-möten och bör, om du ändå går vidare, i möjligaste mån skyddas genom säkerhetsinställningar. I din bedömning bör du bl.a. utgå från följande frågor:

• Kan mötet komma att innehålla känslig information?
  Om e-möte ändå ska hållas, använd rekommenderade inställningar för ökat skydd. Notera att deltagare kan fotografera ev. känsligt material som projiceras.
• Är det acceptabelt att utan (för) stora verksamhetskonsekvenser, skjuta på mötet?
  Notera att det för verksamhetsmöten (ej undervisning) i nuläget inte råder strikt förbud mot fysiska möten, så länge de riktlinjer som kommuniceras från KI centralt efterlevs.Att vid enstaka fysiska uppsamlingstillfällen genomföra sådant som anses olämpligt för e-möten är därför en möjlighet att beakta.

Är du fortfarande osäker bör du prata med din närmaste chef om lämpligheten i att genomföra e-möte. Du kan också kontakta informationssäkerhetsfunktionen på infosec@ki.se för rådgivning.

Vid e-möten ska KI:s verktyg användas

Som utgångspunkt ska verktyg som upphandlats av KI användas. Gratistjänster ska undvikas då de inte ger KI någon möjlighet att kravställa på, eller bedöma, tjänstens säkerhet och hur KI:s information hanteras.

På medarbetarportalen hittar du information om de verktyg som finns på KI samt enklare användarguider för dessa. Här finner du också rekommenderade ytterligare säkerhetsinställningar för respektive verktyg. Du bör verka för att KI:s verktyg används i möten, även med externa parter. Detta är viktigt eftersom det säkerställer att det dataflöde som KI godkänt och att de säkerhetsinställningar som är förinställda på KI följs. Detta uppnås genom att du som är mötesvärd använder KI:s version av aktuell e-mötestjänst.
Verktyg för att jobba på distans

Hantering av känslig information och känsliga personuppgifter i e-möten

Vid e-möten som innehåller, eller kan innehålla, känslig information ska KI:s riktlinjer för hantering av känslig information följas. Dessa riktlinjer och andra säkerhetsregler finner du i Handledning i informationssäkerhet.

Vid användning av e-mötestjänster behandlas personuppgifter* om deltagarna automatiskt. Det kan t.ex. handla om deltagarnas för- och efternamn, deras användarnamn i mötestjänsten och deras IP-adresser. Om deltagarna tillhör KI eller annan organisation med motsvarande personuppgiftsbiträdesavtal med tjänsteleverantören (t.ex. Sunet i fallet Zoom) behöver du, förutsatt att e-mötet inte spelas in, i regel inte tänka på något särskilt. Denna tekniska personuppgiftsbehandling finns nämligen reglerad i avtal med leverantörerna av e-mötestjänsterna.

Om du däremot ska diskutera (känsliga) personuppgifter** i ett e-möte är det viktigt att tillämpa samma förhållningssätt som i den vanliga verksamheten. Det betyder att de generella dataskyddsprinciperna för personuppgiftsbehandling ska följas. I ovan länkade Handledning i informationssäkerhet finns också hanteringsregler för känsliga personuppgifter.

*Som personuppgift räknas all information som kan knytas till en levande person. Det kan t.ex. vara namn, adress eller personnummer – men även foton på personer klassas som personuppgifter.

** Som känsliga personuppgifter räknas: Ras eller etniskt ursprung​, Politiska åsikter​, Religiös eller filosofisk övertygelse​, Medlemskap i fackförening​, Genetiska uppgifter​, Biometriska uppgifter​, Hälsa samt Sexualliv eller sexuell läggning