Informationssäkerhet vid e-möten

Med e-möten avses alla möten som sker via en programvara för e-möten och inkluderar alla sorters situationer - från regelbundna verksamhetsmöten eller föreläsningar till enskilda samtal. Ofta är det både lämpligt och enkelt att genomföra vanliga arbetsmoment som e-möten, men hänsyn till informationssäkerhet behöver tas.

Sammanfattning

  • E-möten är ofta ett lämpligt och enkelt sätt att ersätta fysiska möten.
  • Du behöver dock alltid ta ställning till vilka moment och vilken information som lämpar sig för e-möten.
  • Endast verktyg som KI har upphandlat ska användas för e-möten, såsom Teams och Zoom.
  • Vanliga principer för hantering av känslig information/känsliga personuppgifter behöver följas.
  • Tekniska inställningar finns för att minska risken för obehörig åtkomst till e-möten. Dessa är extra viktiga för e-möten som bedöms innehålla känslig information.

Notera att dessa anvisningar främst avser situationer där e-mötestjänster används för samtal i realtid - inte för e-möten som spelas in eller för e-möten där tidigare inspelat material strömmas.

Att överväga

Inspelning

En vanlig fråga är om möten bör eller kan spelas in. Huvudregeln är att om inte inspelningar gjordes tidigare ska inte inspelningar göras nu heller. En viktig anledning är att inspelningar, t.ex. inspelade föreläsningar, blir allmänna handlingar enligt offentlighetsprincipen. Gör därför alltid först en bedömning av om situationen kan lösas utan inspelning.

Om inspelning ändå sker, behöver det säkerställas att den typ av personuppgiftsbehandling som inspelningen utgör är nödvändig och proportionerlig för ändamålet. Den som blir inspelad ska informeras om personuppgiftsbehandlingen (varför inspelning sker och hur länge den sparas) innan inspelningen görs. Förhandsinformation ger även deltagare, om de ska filmas, möjlighet att placera sig i en mer neutral miljö för att minska risken för upplevt intrång i privatlivet.

E-mötestjänsterna gör vanligen deltagare uppmärksamma på när en inspelning startas. Läs mer om rättigheterna hos den vars personuppgifter behandlas, inkl. rätt till information.

Bedömning av mötets innehåll

Innan ett e-möte ska hållas är det viktigt att tänka säkerhetsmedvetet och riskbaserat. Som mötesarrangör behöver du göra en första bedömning av arbetsmoment och information som berörs. Vissa moment eller informationstyper lämpar sig mindre väl för e-möten och bör, om du ändå går vidare, i möjligaste mån skyddas genom säkerhetsinställningar. 

I din bedömning bör du bland annat utgå från följande frågor:

  • Kan mötet komma att innehålla känslig information? Om e-möte ändå ska hållas, använd rekommenderade inställningar för ökat skydd. Notera att deltagare kan fotografera eventuellt känsligt material som projiceras.
  • Är det acceptabelt att utan (för) stora verksamhetskonsekvenser, skjuta på mötet?

Är du fortfarande osäker bör du prata med din närmaste chef om lämpligheten i att genomföra e-möte. Du kan också kontakta informationssäkerhetsfunktionen på infosec@ki.se för rådgivning.

Använd KI:s verktyg för e-möten

Som utgångspunkt ska verktyg som upphandlats av KI användas: e-möten. Där hittar du information om de verktyg som KI tillhandahåller samt enklare användarguider för dessa. Här finns också rekommenderade ytterligare säkerhetsinställningar för respektive verktyg. 

Du bör verka för att KI:s verktyg används i möten, även med externa parter. Detta är viktigt eftersom det säkerställer att det dataflöde som KI godkänt och att de säkerhetsinställningar som är förinställda på KI följs. Verktyg för att jobba på distans

Gratistjänster ska undvikas då de inte ger KI någon möjlighet att kravställa på, eller bedöma, tjänstens säkerhet och hur KI:s information hanteras.

Hantering av känslig information och känsliga personuppgifter

Vid e-möten som innehåller, eller kan innehålla, känslig information ska KI:s riktlinjer för hantering av känslig information följas. Dessa riktlinjer och andra säkerhetsregler finns i Handledning i informationssäkerhet. Vid användning av e-mötestjänster behandlas personuppgifter* om deltagarna automatiskt. Det kan till exempel handla om deltagarnas för- och efternamn, deras användarnamn i mötestjänsten och deras IP-adresser. 

Om deltagarna tillhör KI eller annan organisation med motsvarande personuppgiftsbiträdesavtal med tjänsteleverantören (till exempel Sunet i fallet Zoom) behöver du, förutsatt att e-mötet inte spelas in, i regel inte tänka på något särskilt. Denna tekniska personuppgiftsbehandling finns nämligen reglerad i avtal med leverantörerna av e-mötestjänsterna.

Om du däremot ska diskutera (känsliga) personuppgifter** i ett e-möte är det viktigt att tillämpa samma förhållningssätt som i den vanliga verksamheten. Det betyder att de generella dataskyddsprinciperna för personuppgiftsbehandling ska följas. I ovan länkade Handledning i informationssäkerhet finns också hanteringsregler för känsliga personuppgifter.

* Som personuppgift räknas all information som kan knytas till en levande person. Det kan t.ex. vara namn, adress eller personnummer – men även foton på personer klassas som personuppgifter.

** Som känsliga personuppgifter räknas: ras eller etniskt ursprung​, politiska åsikter​, religiös eller filosofisk övertygelse​, medlemskap i fackförening​, genetiska uppgifter​, biometriska uppgifter​, hälsa samt sexualliv eller sexuell läggning.

Innehållsgranskare:
Stefan Larsson
Louise Grännsjö
2025-04-24

Mer om det här ämnet

Hur du håller e-möten