Informationssikkerhed: Pas godt på følsomme oplysninger Udarbejdet af Informationssikkerhedsudvalget Revideret december 2013
Følsomme oplysninger Kommunen har mange fortrolige og personfølsomme oplysninger om kommunens borgere og virksomheder. Ifølge Persondatalovens 41, stk. 3, har kommunen pligt til at træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger kommer til uvedkommendes kendskab. Ifølge samme lov har hver enkelt medarbejder pligt til at sørge for, at oplysningerne ikke bliver offentliggjort. Denne vejledning henvender sig til de medarbejdere, der laver dagsordensproduktion, og til andre medarbejdere, der sender elektroniske dokumenter ud af huset. Desuden henvender vejledningen sig til webredaktørerne og indholdsleverandørerne til kommunens hjemmeside. I januar 2009 udarbejdede Informationssikkerhedsudvalget en vejledning Pas godt på viden og oplysninger. Nærværende vejledning er et supplement til vejledningen fra 2009. Sagsnr.: 13/35538 2
Indholdsfortegnelse LUKKET SAG SÆTTES PÅ DAGSORDENEN SOM ÅBEN... 4 BILAG TIL DAGSORDENSTEKST EXCEL... 4 VEDHÆFTET DOKUMENT TIL MAIL - EXCEL... 5 DAGSORDENSTEKST MED TABEL ELLER GRAF... 5 POWERPOINT-PRÆSENTATION MED TABEL ELLER GRAF... 6 WORD-DOKUMENT MED TABEL ELLER GRAF... 6 NAVNGIVNING AF DOKUMENTER... 7 SKÆRMDUMPS... 7 3
Lukket sag sættes på dagsordenen som åben Følgende typer sager skal medmindre byrådet i det enkelte tilfælde træffer anden bestemmelse - behandles for lukkede døre: Sager, hvis afgørelse forudsætter en bedømmelse af personlige forhold, Sager over køb/salg af fast ejendom, Overslag og tilbud vedrørende bygningsarbejder og leverancer, Behandling af sager, hvori indgår fortrolige oplysninger, der er omfattet af tavshedspligten, Sager vedr. enkeltpersoners private forhold, Sager vedr. virksomheders interne og økonomiske forhold, Sager, hvor information til eller godkendelse af ansøger/instans skal ske inden offentliggørelse, og Sager, der indeholder interne forvaltningsredegørelser. Problemet opstår, når sagsbehandleren ved en fejl i Acadre CM vælger at sagen skal på som et åbent punkt. Problemet kan også opstå, hvis sagsbehandleren ikke er opmærksom på, at sager indeholder følsomme oplysninger som skal behandles som et lukket punkt. Det er sagsbehandlerens ansvar at sørge for, at dagsordensteksten bliver skrevet som et lukket punkt i Acadre CM. Det er ligeledes sagsbehandlerens ansvar, i samarbejde med afdelingschefen, at vurdere om der er tale om en sag, der skal behandles som et lukket punkt. Det er også afdelingschefens ansvar at kontrollere, at dagsordenstekster med følsomme oplysninger fremgår som lukkede punkter på dagsordenen. Sekretariatslederen og dagsordenssamleren tjekker ligeledes, at dagsordenstekster med følsomme oplysninger fremgår som lukkede punkter på dagordenen, men har formelt intet ansvar. Bilag til dagsordenstekst Excel Følsomme oplysninger kan ved en fejl blive offentliggjort, hvis der til et dagsordenspunkt er vedhæftet et Excelark som bilag, hvor sagsbehandleren ikke er opmærksom på, at nogle ark indeholder følsomme oplysninger. Problemet opstår typisk, hvor ark 1 er relevant for sagen og her har sagsbehandleren anonymiseret oplysningerne. Sagsbehandleren overser, at der også er oplysninger i ark 2, og dette ark er ikke anonymiseret. Sagsbehandleren har pligt til at fjerne følsomme oplysninger fra alle ark i et Exceldokument. Sagsbehandleren har ligeledes pligt til at konvertere det relevante Excelark til en PDF-fil. Når man konverterer skal man lade være med at vælge Hele projektmappen. På denne måde får man en PDF-fil, der udelukkende indeholder det første ark. Afdelingschefen har pligt til at kontrollere, at der kun er vedhæftet relevante ark i Exceldokumentet, og at dokumentet er konverteret til en PDF-fil. 4
Vedhæftet dokument til mail - Excel Følsomme oplysninger kan ved en fejl blive offentliggjort, hvis der i en mail, der sendes ud af huset er vedhæftet et Excelark som bilag, hvor sagsbehandleren ikke er opmærksom på, at nogle ark indeholder følsomme oplysninger. Problemet opstår typisk, hvor ark 1 er relevant for sagen og her har sagsbehandleren anonymiseret oplysningerne. Sagsbehandleren overser, at der også er oplysninger i ark 2, og dette ark er ikke anonymiseret. Sagsbehandleren har pligt til at fjerne følsomme oplysninger fra alle ark i et Exceldokument, der sendes ud af huset. Sagsbehandleren har ligeledes pligt til at konvertere det relevante Excelark til en PDF-fil. Når man konverterer skal man lade være med at vælge Hele projektmappen. På denne måde får man en PDF-fil, der udelukkende indeholder det første ark. Når sagsbehandleren sender oplysninger til andre myndigheder skal mailen sendes via Send sikkert. Send Sikkert sender e-mailen signeret og krypteret. Dette betyder, at e-mailen underskrives med kommunens virksomhedscertifikat, og krypteres med modtagerens certifikat. E-mailens indhold er dermed sikret så kun modtageren kan åbne og læse e-mailen. Husk at emnefeltet ikke krypteres, så CPR-nr. og lign. må ikke fremgå af mailens emnefelt. Send sikkert aktiveres af: ALT + x + e, eller i fanen Tilføjelsesprogrammer i Outlook. Dagsordenstekst med tabel eller graf Følsomme oplysninger kan ved en fejl blive offentliggjort, hvis et dagsordenspunkt indeholder en graf eller tabel fra Excel i form af et indlejret objekt. Ved at åbne objektet kan udefrakommende få adgang til de underliggende data, som kan indeholde følsomme oplysninger. Sagsbehandleren skal indsætte grafer og tabeller som billeder (indsæt speciel) og ikke som objekter (indsæt). På denne måde kan man ikke åbne de bagvedliggende oplysninger. En anden mulighed er, at sagsbehandleren i Acadre CM opretter en ny tabel og indskriver de relevante tal. På denne måde bryder man linket til de bagvedliggende oplysninger. Afdelingschefen har pligt til at kontrollere, at de indsatte grafer og tabeller ikke kan åbnes som objekter. 5
PowerPoint-præsentation med tabel eller graf Følsomme oplysninger kan ved en fejl blive offentliggjort, hvis en PowerPoint-præsentation indeholder en graf eller tabel fra Excel i form af et indlejret objekt. Ved at åbne objektet kan udefrakommende få adgang til de underliggende data, som kan indeholde følsomme oplysninger. Sagsbehandleren skal indsætte grafer og tabeller som billeder (indsæt speciel) og ikke som objekter (indsæt). På denne måde kan man ikke åbne de bagvedliggende oplysninger. Desuden skal sagsbehandleren altid konvertere præsentationen til en PDF-fil, inden den pr. mail sendes ud af huset eller lægges på hjemmesiden. Webredaktører eller indholdsleverandører, der opdaterer kommunens hjemmeside eller medarbejderportalen må kun uploade PowerPoint-præsentationer i PDF-format. Det er ikke webredaktørens ansvar at konvertere præsentationen. Word-dokument med tabel eller graf Følsomme oplysninger kan ved en fejl blive offentliggjort, hvis et Word-dokument indeholder en graf eller tabel fra Excel i form af et indlejret objekt. Ved at åbne objektet kan udefrakommende få adgang til de underliggende data, som kan indeholde følsomme oplysninger. Sagsbehandleren skal indsætte grafer og tabeller som billeder (indsæt speciel) og ikke som objekter (indsæt). På denne måde kan man ikke åbne de bagvedliggende oplysninger. Desuden skal sagsbehandleren altid konvertere dokumentet til en PDF-fil, inden den pr. mail sendes ud af huset eller lægges på hjemmesiden. Webredaktører eller indholdsleverandører, der opdaterer kommunens hjemmeside og medarbejderportalen må kun uploade dokumenter i PDF-format. Det er ikke webredaktørens ansvar at konvertere dokumentet. 6
Navngivning af dokumenter Hvis man oprindeligt har navngivet et dokument med fx en persons navn eller cpr-nr. og efterfølgende ændrer dokumentets navn, vil det i mange tilfælde fortsat være muligt for udefrakommende at finde dokumentets oprindelige navn frem. Dermed bliver det muligt at kæde en anonymiseret dagsordenstekst eller andet dokument sammen med et konkret navn. I visse tilfælde kan en udenforstående også finde tidligere versioner af dokumentet, hvis sagsbehandleren har ændret i dokumentet under udarbejdelsen. Sagsbehandleren må aldrig bruge følsomme oplysninger til at navngive et dokument. Desuden skal sagsbehandleren altid konvertere dokumentet til en PDF-fil inden dokumentet sendes ud af huset eller offentliggøres på hjemmeside mv. I forhold til dagsordenstekster, der laves i Acadre CM tilrådes sagsbehandleren altid til at skrive dagsordensteksten direkte i Acadre CM i stedet for at kopiere fra andre dokumenter. Derved undgår man at udefrakommende kan se tidligere versioner af en tekst. Webredaktører eller indholdsleverandører, der opdaterer kommunens hjemmeside og medarbejderportalen må kun uploade dokumenter i PDF-format. Det er ikke webredaktørens ansvar at konvertere dokumentet. Skærmdumps Når skærmdumps med følsomme oplysninger er indsat som billedfiler i et dokument, og de følsomme oplysninger er maskeret ved at sætte en sort boks hen over oplysningerne, kan uvedkommende fjerne den store boks med ganske få klik derved bliver følsomme oplysninger offentliggjort. Sagsbehandleren skal konvertere dokumentet til en PDF-fil. Sagsbehandleren kan også fjerne de fortrolige oplysninger på skærmdumpet ved hjælp af et billedbehandlingsprogram (fx Paint). Webredaktører eller indholdsleverandører, der opdaterer kommunens hjemmeside og medarbejderportalen må kun uploade dokumenter i PDF-format. Det er ikke webredaktørens ansvar at konvertere dokumentet. 7