Protecting Your Data and Improving Digital Security

[Tjänsteutlåtande Lokal anvisning för informationssäkerhet 2026.pdf] Södermalms stadsdelsförvaltning Tjänsteutlåtande Stadsdelsdirektörens stab och kansli Dnr SÖD 2025/1128 2026-01-27 Sida 1 (2) K1dst1au a2nn rt ige.2s sl5.t klo alSc iuptkorp hidca oksn lhme 6onl@mstockholm.se Handläggare Till Cecilia Larsson Södermalms stadsdelsnämnd Telefon: 08-508128752875 2026-02-19 Lokal anvisning för informationssäkerhet Förvaltningens förslag till beslut Södermalms stadsdelsnämnd fastställer lokal anvisning för informationssäkerhet. Sammanfattning I enlighet med Stockholms stads centrala riktlinje för informationssäkerhet som beslutas av kommunfullmäktige ansvarar nämnder och styrelser för att en lokal anvisning för informationssäkerhet upprättas. Bakgrund Den lokala anvisningen för informationssäkerhet kompletterar stadens centrala riktlinje med tillhörande tillämpningsanvisningar och visar på hur Södermalms stadsdelsnämnd och stadsdelsförvaltning lokalt tillämpar och arbetar med informationssäkerhet. Anvisningen förtydligar hur ansvarsfördelning och roller har anpassats lokalt, vem som ansvarar för vad, vilka stödfunktioner och kontrollfunktioner som finns samt vilka övriga roller som i sitt uppdrag arbetar med skydd av informationstillgångar. Den lokala anvisningen beskriver även hur nämnden systematiskt arbetar med och följer upp informationssäkerheten. Primär målgrupp för anvisningen är samtliga chefer och medarbetare vid Södermalms stadsdelsförvaltning. Ärendets beredning Ärendet har beretts inom HR-avdelningen i samråd med stadsdelsdirektörens stab och kansli. Ärendet har behandlats i Södermalms pensionärsråd och förvaltningsgruppen den 9 februari 2026. Södermalms stadsdelsförvaltning Stadsdelsdirektörens stab och kansli Virkesvägen 3 Box 90 185 120 22 Stockholm Växel 08-508-12-000 soder@stockholm.se start.stockholm Tjänsteutlåtande Dnr SÖD 2025/1128 Sida 2 (2) Förvaltningens synpunkter och förslag Södermalms stadsdelsförvaltning föreslår att stadsdelsnämnden fastställer lokal anvisning för informationssäkerhet. Kerstin Andersson Olof Ingemarsson Stadsdelsdirektör HR- och IT-chef Södermalms Södermalms stadsdelsförvaltning stadsdelsförvaltning Bilagor 1. Lokal anvisning för informationssäkerhet 2026. Ärende för lokal anvisning informationssäkerhet Södermalms stadsdelsförvaltning Attesterat av Detta dokument har godkänts digitalt av följande personer: Namn Datum Kerstin Andersson, Stadsdelsdirektör 2026-01-29 Olof Ingemarsson, Enhetschef 2026-01-29 --- [Lokal anvisning för informationssäkerhet 2026.pdf] Lokal anvisning för informationssäkerhet Södermalms sdf Beslutad 2022-11-22 Reviderad 2026-02-19 Lokal anvisning för informationssäkerhet Dnr: SÖD 2025/1128 Kontaktperson: Cecilia Larsson 2 (34) 1 Bakgrund Denna lokala anvisning beskriver roller och organisation för Södermalms stadsdelsförvaltnings informationssäkerhetsarbete. Dokumentet fastställdes av stadsdelsdirektören 2022-11-22. Den lokala anvisningen uppdateras årligen enligt årshjulet och den senast reviderade versionen fastställs av nämnden 2026-02-19. Den lokala anvisningen kompletterar stadens centrala riktlinje och tillämpningsanvisning för informationssäkerhet och dokumenterar hur Södermalms stadsdelsförvaltning lokalt och praktiskt tillämpar och arbetar med informationssäkerheten. Den förtydligar hur ansvarsfördelning och roller har anpassats för Södermalms stadsdelsförvaltning – vem som ansvarar, vilka stöd- och kontrollfunktioner som finns, och vilka övriga roller som i sitt uppdrag arbetar med skydd av informationstillgångar. Den lokala anvisningen beskriver också hur Södermalms stadsdelsförvaltning systematiskt arbetar med, och följer upp, informationssäkerheten. 3 (34) Innehållsförteckning 1 Bakgrund .........................................................................................2 2 Organisation och roller ..................................................................6 2.1 Ledning (styrande) ...........................................................................6 2.1.1 Södermalms stadsdelsnämnd .....................................................6 2.1.2 Stadsdelsdirektör .........................................................................7 2.1.3 Chef .............................................................................................7 2.1.4 Processägare ..............................................................................8 2.1.5 Objektledare ................................................................................9 2.2 Stödjande och uppföljande ...............................................................9 2.2.1 Informationssäkerhetssamordnare (ISAM) ..................................9 2.2.2 Dataskyddsombud (DSO) .........................................................10 2.2.3 ILS-samordnare .........................................................................11 2.2.4 Arkivansvarig och arkivarie .......................................................11 2.2.5 Säkerhetssamordnare ...............................................................11 2.3 Övriga funktioner ............................................................................12 2.3.1 Medarbetare ..............................................................................12 2.3.2 It-funktioner ...............................................................................12 2.3.3 Särskild systemspecialist/objektspecialist .................................12 2.3.4 Dataskyddsredogörare ..............................................................12 2.3.5 Övriga roller med ansvar för informationssäkerhetsarbetet i linjen ..........................................................................................13 3 Nätverk, myndighetskontakter och omvärldsbevakning ..........13 3.1 Nätverk och grupper .......................................................................13 3.1.1 Stadens nätverk för informationssäkerhetssamordnare ............13 3.1.2 Stadsdelarnas nätverk för informationssäkerhetssamordnare ..14 3.1.3 Stadens nätverk för dataskyddsombud .....................................14 3.1.4 Nätverk för dataskyddsredogörare ............................................14 3.1.5 Södermalms nätverk för informationssäkerhet ..........................14 3.2 Myndighetskontakter ......................................................................14 3.3 Omvärldsbevakning ........................................................................14 4 Årshjul ...........................................................................................15 4 (34) 4.1 Arbetet med väsentlighets- och riskanalys (VoR) och internkontroll .......................................................................................................15 4.2 Ledningens genomgång – uppföljning av informationssäkerhet ....16 4.3 GDPR-årsrapport – uppföljning av dataskyddsarbetet ...................16 4.4 Övrig uppföljning informationssäkerhet ..........................................16 5 Rutiner och praktiskt arbete ........................................................17 5.1 Behörighetshantering .....................................................................17 5.2 Dator ...............................................................................................17 5.3 Distansarbete .................................................................................18 5.4 Fysisk post .....................................................................................19 5.5 E-post, nätfiske, bluffmejl ...............................................................19 5.6 Flerfaktorautentisering ....................................................................21 5.7 Fritextfältpolicy ...............................................................................21 5.8 Förebyggande arbete .....................................................................22 5.9 Gruppdiskar ....................................................................................22 5.10 Internet ...........................................................................................22 5.11 Loggar ............................................................................................22 5.12 Lösenord ........................................................................................22 5.13 Minnesanteckningar .......................................................................23 5.14 Skadlig kod .....................................................................................23 5.15 Skyddad identitet ............................................................................24 5.16 Zoom- och Teamsmöten ................................................................24 5.17 Spara dokument .............................................................................25 5.18 Skalskydd .......................................................................................25 5.19 Samtal ............................................................................................25 5.20 Skrivbord ........................................................................................25 5.21 SMS ................................................................................................25 5.22 Social manipulation ........................................................................26 5.23 Telefon ...........................................................................................26 5.24 Tjänstekort (inloggningskort) ..........................................................26 5.25 Vanor och beteende .......................................................................27 6 Identifiera och inventera ..............................................................27 6.1 Informationstillgångar och personuppgiftsbehandlingar .................27 6.2 Personuppgiftsbiträdesavtal ...........................................................27 5 (34) 6.3 Registerförteckning ........................................................................28 6.4 Medgivande eller samtycke ............................................................28 6.5 Molntjänster ....................................................................................28 6.5.1 Bakgrund molntjänster ..............................................................28 6.5.2 Deltagande i videomöten ...........................................................28 6.5.3 Kontrollfrågor inför användning .................................................29 6.6 Informationsklassningar .................................................................29 6.6.1 Informationsklassning ................................................................29 6.6.2 Konsekvensbedömning .............................................................30 7 Incidenthantering .........................................................................30 7.1 Incidentrapportering i praktiken ......................................................30 7.2 Personuppgiftsincident ...................................................................31 7.3 Informationssäkerhetsincident ........................................................32 7.4 Betydande incidenter ......................................................................32 8 Utbildning och aktiviteter ............................................................33 8.1 E-utbildning ....................................................................................33 8.2 Förvaltningsintern utbildning ..........................................................33 8.3 Övrig utbildning ...............................................................................33 8.4 Information till nyanställda ..............................................................34 6 (34) 2 Organisation och roller Det övergripande ansvaret för informationssäkerhet i staden har Kommunstyrelsen genom Kommunfullmäktige samt Stadsledningskontoret som tar fram den stadsgemensamma riktlinjen med tillämpningsanvisningar. Södermalms stadsdelsnämnds organisation för informationssäkerhet är indelad i tre nivåer. Den styrande omfattar operativt beslutande roller och funktioner i verksamheten. Dessa har på olika nivåer en budget och ett personalansvar, vilket även innefattar operativt ansvar för informationshanteringen inom den delen av verksamheten. De stödjande och granskande funktionerna är specialistfunktioner som stödjer linjeverksamheten i dess informationssäkerhetsarbete. De granskande funktionerna, utöver stadens egna revisorer, följer även upp att riktlinjer och lagstiftning följs. Alla som hanterar information har ett ansvar att upprätthålla informationssäkerheten i enlighet med de riktlinjer och anvisningar som finns. Ansvaret omfattar förtroendevalda, anställda och i viss mån även leverantörer, såsom konsulter och entreprenörer. 2.1 Ledning (styrande) 2.1.1 Södermalms stadsdelsnämnd Nämnden är ytterst ansvarig för informationen och formellt informationsägare och personuppgiftsansvarig för förvaltningen. Nämnden ansvarar därmed för att det finns ett ändamålsenligt och effektivt informationssäkerhetsarbete inom verksamheten, samt att stadsövergripande riktlinjer och vägledande dokument för informationssäkerhet följs. Nämnden ansvarar för att en ändamålsenlig organisation finns på plats och för att nödvändiga resurser tilldelas samtliga funktioner för att kunna genomföra ett effektivt informationssäkerhetsarbete. I denna lokala anvisning beskrivs hur denna organisation fungerar i praktiken. Nämnden har ansvar att utse ett dataskyddsombud. 7 (34) Nämnden inhämtar årligen en så kallad GDPR-årsrapport från dataskyddsombudet. Syftet är att nämnd med hjälp av rapporten ska kunna utöva sin lagstadgade skyldighet att informera sig om dataskyddsrisker för verksamheten. GDPR-rapporten rapporteras till nämnden i form av en bilaga till verksamhetsberättelsen. Rapport för 2025 behandlas av nämnden 2026-02-19. I nämndens ansvar ligger även att delegera uppgiften att besluta om informationshantering och regler för detta. Denna uppgift beskrivs i rubrik 2.1.2 samt 2.1.3 i detta dokument. 2.1.2 Stadsdelsdirektör Södermalms stadsdelsdirektör är nämndens representant (delegat) när det gäller de övergripande lednings- och styrningsfrågorna. Stadsdelsdirektör ansvarar för: • Att fastställa övergripande styrdokument för Södermalms stadsdelsförvaltning. • Att utse en informationssäkerhetssamordnare och ansvara för att stödfunktioner för informationssäkerhet tilldelas de resurser som krävs. • Att verksamheten tilldelas de resurser som behövs för att kunna upprätthålla god informationssäkerhet. • Att hålla sig underrättad om informationssäkerheten i Södermalms stadsdelsförvaltning, minst genom att inhämta den årliga rapporten ”VP-anvisning: Ledningens genomgång” från informationssäkerhetssamordnaren. • Att se till att klassificeringsstruktur och hanteringsanvisningar har fastställts för verksamhetens informationshantering. 2.1.3 Chef Ansvaret för att skydda informationen som hanteras inom verksamheten följer linjeansvaret. Varje chef har inom sin verksamhet ett särskilt ansvar för att informationen hanteras på ett korrekt sätt enligt gällande lagstiftning och riktlinjer. Ansvaret för informationshanteringen ska ligga så verksamhetsnära som möjligt, och inom förvaltningen innebär det som lägst på enhetschefsnivå. Chefen kan delegera och fördela ansvaret inom sin verksamhet på det sätt som bedöms lämpligt, men har fortsatt kvar det formella ansvaret. Chefer på alla nivåer inom förvaltningen ansvarar för sina respektive underställda verksamheter: 8 (34) • Att se till att samtliga medarbetare och konsulter som hanterar stadens information genomför stadens obligatoriska e-utbildningar för informationssäkerhet och dataskydd årligen. • Att följa upp och utreda de incidenter som verksamheten anmäler i IA, samt att kontakta dataskyddsombud och/eller informationssäkerhetssamordnare vid incidenter som rör personuppgifter eller andra informationssäkerhetsfrågor. • Att säkerställa att registervård genomförs inom chefens verksamhet och att uppdatera och följa upp förvaltningens register över hantering av personuppgifter (det vill säga registerförteckningen). • Att de inköp/upphandlingar som chef beslutar om följer gällande lagar vad gäller informationshantering, samt stadens och förvaltningens styrdokument. • Att informationsinventering är gjord av den egna verksamheten med stöd från informations- säkerhetssamordnare och arkivfunktioner. Att se till att viktigare informationstillgångar är klassade och att verksamhetens it-tillgångar har en utsedd objektledare. • Att ta fram lokala rutiner för den egna verksamheten vid behov. • Att säkerställa att informationssäkerhetskrav och GDPR- krav (t.ex. tecknande av personuppgiftsbiträdesavtal) uppfylls vid avdelningens upphandlingar genom att kontakta dataskyddsombud/informationssäkerhetssamordnare. Chefer har även ett ansvar när det gäller behörigheter. Vid avslut av anställning har chef ett ansvar att se till att behörigheter tas bort, detta är särskilt viktigt om personen ifråga ska fortsätta arbeta i Stockholms stad och därmed har tillgång till samma system som tidigare. 2.1.4 Processägare All informationshantering i förvaltningen har en ansvarig chef. En ansvarig chef har utsetts för respektive process med särskilt uppdrag att se till att rutiner och instruktioner finns på plats för informationshanteringen inom processområdet. Dessa ska även följa förvaltningens klassificeringsstruktur. Den chef som ansvarar för en specifik process har benämningen processägare. Processägaren beslutar vilka digitala verktyg som får användas i processen och hur information ska hanteras inom processen. 9 (34) 2.1.5 Objektledare En objektledare ansvarar för drift och förvaltning av en it-tjänst. En objektledare ska utses för samtliga digitala system vid Södermalms stadsdelsförvaltning. Objektledarrollen kan med fördel delas upp i objektledare verksamhet och objektledare it. Detta så att personer med rätt kompetens hanterar rätt frågor. Tydliggörandet av vad de olika rollerna innebär är en del av det pågående arbetet med införande av modellen pm3 inom förvaltningen. Vilka som tilldelats rollen objektledare inom förvaltningen framgår av den förteckning över verksamhetens informationstillgångar som förvaltas av informationssäkerhetssamordnaren. När det gäller de system där drift sköts på entreprenad eller på annan förvaltning, är objektledaren ansvarig för systemet i relation till beställd tjänst och fungerar även som lokal objektledare med ansvar för hur systemet används i verksamheten. I de fall både drift och verksamhet finns inom nämnden kan rollen objektledare förekomma specifikt för systemets drift. Objektledarens ansvar är att: • tillse att informationstillgången är klassad och att handlingsplaner från klassning tas om hand för systemet. • se till att förvaltningsplan och andra nödvändiga rutiner, finns på plats och följs upp. • tillse att stadens riktlinjer och tillämpningsanvisningar följs vad gäller informationssäkerhet för it-tjänster. • besluta om regler för tillgång till systemet och se till att dessa är kända av medarbetarna. • utse övriga nödvändiga funktioner inom it (t.ex. objektspecialist). Om det finns en utsedd central objektledare i staden behöver även en lokal objektledare vid Södermalm utses som kan agera kontaktperson/samordnare för systemet, samt lokalt ansvara för att informationstillgången är klassad och att handlingsplaner tas om hand på Södermalm etc. 2.2 Stödjande och uppföljande 2.2.1 Informationssäkerhetssamordnare (ISAM) Förvaltningens informationssäkerhetssamordnare (ISAM) är utsedd av förvaltningschefen. Nu tjänstgörande ISAM utsågs i augusti 2024. 10 (34) ISAM ansvarar för att samordna och följa upp det operativa informationssäkerhetsarbetet och att stötta samt vägleda hela förvaltningens verksamhet. ISAM ska arbeta utifrån stadsdelsdirektörens styrning av vilka verksamhetsrisker och åtgärder som ska prioriteras. ISAM ansvarar för: • Att vara kontaktpunkt för stadens centralt informationssäkerhetsansvariga (CISO), samt att rapportera allvarliga incidenter till denna. • Att fungera rådgivande gentemot förvaltningens objektledare och objektägare i projekt, samt till ansvariga för upphandling. • Att samverka med andra närliggande ansvarsområden och roller. • Att stödja linjeverksamheten när det gäller det strategiska arbetet, kartlägga information, informationsklassificera den, hantera incidenter samt att utbilda medarbetare och sprida kunskap om lokala rutiner. • Att bevaka förändringar i lagstiftningen och händelser i omvärlden. • Att genomföra uppföljning/revision av det lokala informationssäkerhetsarbetet. 2.2.2 Dataskyddsombud (DSO) Nu tjänstgörande dataskyddsombud (DSO) utsågs av nämnden 2020-09-29. Dataskyddsombudets övergripande och viktigaste uppgift är att kontrollera att dataskyddsförordningen (GDPR) följs av verksamheten. Uppföljningen består bland annat i att utföra kontroller och informationsinsatser. DSO ska kunna agera självständigt och oberoende i sitt uppdrag och ska därför inte utföra det operativa arbetet. DSO har ett nära samarbete och kontakt med ISAM, vilket är nödvändigt för att arbetet ska bedrivas effektivt och leda till största möjliga nytta. Dataskyddsombudet har dessutom i uppgift att: • Vägleda, informera och ge råd till verksamheten om hur relevanta skyddsåtgärder ska väljas och implementeras för att person- och integritetsskyddet ska upprätthållas. • Ge råd vid personuppgiftsincidenter, i enlighet med verksamhetens incidentrutin. Dataskyddsombudet ska alltid 11 (34) involveras i samband med konsekvensbedömningar och ges möjlighet att övervaka genomförandet av dem. • Stötta chef så att informationssäkerhetskrav och GDPR-krav (t.ex. tecknande av personuppgiftsbiträdesavtal) uppfylls vid avdelningens upphandlingar. 2.2.3 ILS-samordnare Verksamhetens ILS-samordnare samordnar uppföljningen och beredningen av nämndens ILS-arbete. ILS-samordnare ska aktivt arbeta för att informationssäkerhet är med och följs upp i förvaltningens väsentlighets- och riskanalys samt införliva informationssäkerheten i verksamhetsplanen med stöd från informationssäkerhetssamordnaren. 2.2.4 Arkivansvarig och arkivarie Övergripande arkivfunktioner har en viktig funktion i stadens informationssäkerhetsarbete. Stadsdelsarkivariefunktionen, arkivansvarig, och arkivarie deltar aktivt i förvaltningens informationssäkerhetsarbete. Arkivarie deltar aktivt i inventeringar av informationstillgångar – både digitala och fysiska. Arkivansvarig och arkivarier är stödfunktioner i framtagandet av de dokument där hantering och arkivering av stadsdelsnämndens samtliga informationstillgångar beskrivs, dvs förvaltningens hanteringsanvisningar och övrig arkivdokumentation. Stadsdelsarkivarierna har en övergripande samordnande roll för alla stadsdelsnämnder på området och är således en viktig stödfunktion för informationssäkerhetsarbetet i stadsdelsgemensamma informationstillgångar istället för att involvera varje lokal arkivarie, för att effektivt arbeta med detta. Stadsdelsarkivarierna är anställda på Södermalms stadsdelsförvaltning men ger lika mycket stöd till samtliga arkivorganisationer i stadsdelsförvaltningarna. Arkivfunktionernas roller beskrivs i förvaltningens arkivinstruktion. 2.2.5 Säkerhetssamordnare I händelse av kris och då krisstab aktiveras inom förvaltningen så samordnas allt säkerhetsarbete av förvaltningens säkerhetssamordnare. I den samordningen innefattas även informationssäkerhetsarbetet, i dialog med informationssäkerhetssamordnare. 12 (34) 2.3 Övriga funktioner 2.3.1 Medarbetare Medarbetare inom förvaltningen/bolaget ska följa stadens riktlinjer och regelverk (både centrala och lokala), ta del av den information som finns om informationssäkerhet och genomföra de obligatoriska utbildningarna inom informationssäkerhet och dataskydd. Nyanställda medarbetare godkänner stadens generella användarkontrakt i samband med sin första inloggning i stadens it- miljö, och ska därefter påminnas om kontraktets innehåll enligt en rutin som nämnden beslutar om. Medarbetare ansvarar även för att skyndsamt rapportera incidenter enligt gällande rutiner. 2.3.2 It-funktioner Roller med denna expertfunktion deltar aktivt i det operativa arbetet genom att t.ex. delge sin expertkunskap vid upphandlingar, införande av system/produkt, informationsklassningar och drift. För varje it-system finns en lokal objektledare-it. It-funktioner innebär i förvaltningens verksamhet rollerna it-chef, it-strateg och it- samordnare. 2.3.3 Särskild systemspecialist/objektspecialist Inom förvaltningen finns även de som genom administratörsbehörigheter på olika sätt förvaltar it-objekt i verksamheten. Strukturen/hanteringen för varje it-objekt sätts för varje enskilt objekt, men det finns alltid minst en kontaktperson. Objektägaren ansvarar för att utse den organisationen. 2.3.4 Dataskyddsredogörare Dataskyddsredogörarna utgör informationssäkerhetssamordnarens och dataskyddsombudets länk till chefer och medarbetare i verksamheterna. Dataskyddsredogörarnas uppgifter är bland annat: • Att vara avdelningens kontaktperson gentemot DSO och ISAM. • Att sprida information om de obligatoriska e- utbildningarna i informationssäkerhet och dataskydd. • Att ansvara för att samordna och sammanställa avdelningens och verksamheternas registerförteckning. 13 (34) • Att stödja enheterna vid rapportering av personuppgiftsincidenter samt informationssäkerhetsincidenter. • Att en gång per år samverka med arkivredogörare för att sammanställa underlag till förteckning över informationstillgångar till informationssäkerhetssamordnare. 2.3.5 Övriga roller med ansvar för informationssäkerhetsarbetet i linjen 2.3.5.1 Upphandlare Upphandlare har ett ansvar att informera informationssäkerhetssamordnare och dataskyddsombud inför nya upphandlingar så att upphandlingskrav kan tas fram och en klassning av den nya processen/informationstillgången kan ske. 2.3.5.2 Kommunikatör Har ett ansvar för att hjälpa informationssäkerhetssamordnare och dataskyddsombud att sprida information. 2.3.5.3 HR-personal HR-personal har ett ansvar att säkerställa att informationssäkerhet och därmed även dataskydd beaktas vid hantering av anställdas uppgifter. Detta gäller särskilt eftersom det kan röra sig om känsliga personuppgifter. 3 Nätverk, myndighetskontakter och omvärldsbevakning 3.1 Nätverk och grupper Verksamheten ansvarar för att delta i de forum som är relevanta för verksamheten, inklusive nätverket för informationssäkerhetssamordnare i egenskap av sakkunniga. Södermalms stadsdelsförvaltning deltar i nedanstående nätverk inom informationssäkerhet och dataskydd: 3.1.1 Stadens nätverk för informationssäkerhetssamordnare Sammankallas av Stadsledningskontoret och innefattar alla informationssäkerhetssamordnare i staden. Ansvarig för sammankallandet är stadsledningskontoret. Inom nätverket sker 14 (34) informationsspridning om pågående arbete med informationssäkerhet i staden, samt utbildning. 3.1.2 Stadsdelarnas nätverk för informationssäkerhetssamordnare Sammankallas av förvaltningens ISAM. Informellt nätverk för stadsdelarnas informationssäkerhetssamordnare. Inom nätverket sker samverkan, dialog och kompetensdelning inom informationssäkerhet. Nätverket bildades 2026. 3.1.3 Stadens nätverk för dataskyddsombud Sammankallas av förvaltningens DSO. Informellt nätverk för stadens dataskyddsombud. Inom nätverket sker dialog och kompetensdelning inom dataskyddsfrågor. 3.1.4 Nätverk för dataskyddsredogörare Sammankallas av förvaltningens dataskyddsombud. För mer information kontakta dataskyddsombudet. 3.1.5 Södermalms nätverk för informationssäkerhet Sammankallas av förvaltningens informationssäkerhetssamordnare. Nätverket omfattar informationssäkerhetssamordnare, dataskyddsombud, säkerhetssamordnare, it-samordnare, arkivarie och upphandlare. Samverkan ska ske mellan nätverket och utvecklingsavdelningarna, vilka ges möjlighet att delta i nätverket. Nätverket startades upp på nytt under 2025 efter en tids paus. 3.2 Myndighetskontakter Verksamheten ansvarar för att upprätthålla de myndighetskontakter som krävs inom informationssäkerhetsområdet för ärenden som rör verksamheten lokalt. Verksamheten ansvarar för att i förekommande fall anmäla sig som leverantör av samhällsviktig tjänst till tillsynsmyndigheter. Avseende anmälan kopplat till skyldigheterna i cybersäkerhetslagen är det stadsledningskontoret som anmäler staden som leverantör för nämndernas räkning. På begäran tillhandahåller verksamheten den information som behövs för tillsynsmyndighetens tillsyn. 3.3 Omvärldsbevakning Verksamheten ansvarar för att genomföra omvärldsbevakning inom relevanta områden och bevaka relevanta källor för hotunderrättelser. 15 (34) 4 Årshjul Informationssäkerhetsarbetet på förvaltningen pågår systematiskt och följs årligen upp av informationssäkerhetssamordnare och dataskyddsombud i samband med rapporten Ledningens genomgång, respektive GDPR-årsrapport. 4.1 Arbetet med väsentlighets- och riskanalys (VoR) och internkontroll Systematiskt informationssäkerhetsarbete inklusive dataskyddsarbete planeras och följs upp genom den internkontroll som utförs inom förvaltningen genom väsentlighets- och riskanalysen (VoR) och internkontrollplan (IKP). Det innebär att väsentliga arbetssätt inom det systematiska informationssäkerhetsarbetet identifieras, kontrollaktiviteter beskrivs och analyser genomförs för att identifiera möjliga felkällor i verksamhetens arbete, bedöma sannolikheten för att oönskade händelser uppstår, bedöma vilka konsekvenser dessa skulle kunna ha samt att prioritera vilka risker verksamheterna behöver arbeta med för att säkerställa att oönskade händelser inte uppstår. Samtidigt planeras åtgärder för att sänka riskvärdet. Detta görs på enhets-, avdelnings- och nämndnivå. Vid varje uppföljningstillfälle ses identifiering och bedömningar över för att identifiera exempelvis nya risker eller om riskvärdet förändrats, till exempel om de sjunkit på grund av aktiva åtgärder. Internkontrollplan (IKP) tas sedan fram och innehåller de processer med de mest allvarliga riskerna i VoR. I IKP planeras och dokumenteras vilka kontroller som ska göras för att se om de systematiska kontrollerna har genomförts som planerat och/eller om de visat på några avvikelser. Syftet är att bedöma hur väl de systematiska kontrollerna fungerar. Kontrollaktiviteterna utgör en del av det underlag nämnden behöver för att bedöma om den interna kontrollen är tillräcklig. Det är nämnden som fattar beslut om nämndens VoR, IKP och system för internkontroll. Avdelningschef ansvar för att genomföra analyser, planering, kontroller och uppföljning och dokumentera och besluta om VoR och IKP på avdelningsnivå. I arbetet involveras underställda chefer, bland annat utifrån rapporteringsansvar i ILS som avdelningen valt. Chefer som rapporterar för sin verksamhetsnivå i ILS redovisar även tertialvis hur arbetet med informationssäkerhet löper på. 16 (34) Samordnare av planering och uppföljning (verksamhetscontrollers) och samordnare av internkontroll (samordnande utredare) på stab och kansli ger stöd till chefer och sammanställer VoR och IKP på nämndnivå. Informationssäkerhetssamordnare och dataskyddsombud deltar i övergripande analys, planering och uppföljning inom det systematiska informationssäkerhetsarbetet på nämndnivå och finns som stöd till verksamheterna när risker identifierats på området och när åtgärder planeras. 4.2 Ledningens genomgång – uppföljning av informationssäkerhet Uppföljningen av informationssäkerhetsarbetet är numera en del av stadens styr- och ledningssystem ILS och följer det årshjul som staden har för planering och uppföljning, för att säkerställa ett likartat arbete i hela staden. Varje år ska stadsdelsdirektören därför inhämta rapporten Ledningens genomgång. Rapporten bör exempelvis redogöra för lokala rutiner för incidenthantering, utbildning av medarbetare, om registerförteckning finns och om informationsklassningar är gjorda, vilka styrdokument som finns och incidenter och avvikelser som rapporterats under året. Denna rapportering ska ge information och underlag till stadsdelsdirektör att årligen bedöma om det lokala informationssäkerhetsarbetet och dataskyddsarbetet är tillräckligt och har önskad verkan. 4.3 GDPR-årsrapport – uppföljning av dataskyddsarbetet Dataskyddsarbetet följs upp i den årliga GDPR-rapport som sedan 2021 är obligatorisk och skickas in till stadsledningskontoret som en bilaga till verksamhetsberättelsen. Utifrån bestämmelserna i GDPR har staden fastslagit ett antal återkommande, obligatoriska granskningsområden. Utöver detta beslutar dataskyddsombudet om granskningsområden som anses extra angelägna. Förutom den årliga rapporten upprättas under året delrapporter avseende de områden som dataskyddsombud i rapport över föregående år beslutat granska. 4.4 Övrig uppföljning informationssäkerhet Utöver Ledningens genomgång följs informationssäkerhetsarbetet upp genom att informationsklassningar ses över årligen. Då kontrolleras projekt- eller åtgärdsplaner och befintliga informationsklassningar följs upp om de fortfarande är aktuella, 17 (34) behöver kompletteras eller göras om för att förutsättningarna ändrats. 5 Rutiner och praktiskt arbete Hur medarbetare och chefer agerar är avgörande för hur väl informationen inom förvaltningen och staden skyddas. I följande avsnitt finns därför råd om vad medarbetare och chefer bör tänka på när det gäller informationssäkerhet i praktiken i det dagliga arbetet. Rutiner för förvaltningens arbete med informationssäkerhet och dataskydd på Södermalm presenteras nedan samt på intranätet. 5.1 Behörighetshantering Behörighetshantering är en av de viktigaste delarna i informationssäkerhetsarbetet och ansvaret är uppdelat beroende på vilken process det gäller. Chefer är ansvariga för att medarbetares behörighet tas bort vid avslut av anställning eller övergång till annan förvaltning/bolag i Stockholms stad. Det är särskilt viktigt vid det senare alternativet då personen fortfarande jobbar inom staden och därmed kan få tillgång till information om behörigheter ligger kvar. Detta ingår i de checklistor som finns vid avslut av tjänst på förvaltningen som HR- avdelningen ansvarar för. I övrigt är det den som ansvarar för en process som är ansvarig för vilka som har behörighet. Regelbundet bör därför ansvarig person gå igenom vilka som har behörighet och stickprovskontroller bör genomföras. Detsamma gäller vilka som har behörighet till funktionsbrevlådor och gruppdiskar, det bör kontrolleras åtminstone en gång i halvåret av den som ansvarar för gruppdisken eller funktionsbrevlådan. Kontakta dataskyddsombud eller informationssäkerhetssamordnare vid behov av stöd för att se över rutin. 5.2 Dator Några viktiga saker att tänka på gällande arbetsdatorn. Lås alltid datorn alternativ logga ut varje gång den lämnas, även om det bara är för en kortare stund. Lämna inte inloggningskort eller tjänstekort i datorn, utan ta med dig kortet och förvara det säkert, det är en del av det skydd staden har för att obehöriga inte ska kunna ta sig in i stadens system. 18 (34) Skulle datorn bli stulen eller förloras på annat sätt ska det rapporteras till dataskyddsombud och informationssäkerhetssamordnare för kännedom då det beroende på hur datorn försvunnit kan vara en incident som ska rapporteras. I övrigt sker förlustrapportering av dator på följande sätt: • Servicedeskportalen 11800 för Vivicta alternativt Fujitsuportalen 33900, vilka nås via intranätet alternativt telefon. • IA-systemet (nås via intranätet). • Polisanmälan där datornummer uppges, spara en digital kopia. Vid beställning av ersättningsdator behövs polisens diarienummer. • IT-samordnare för att ordna en ny dator. 5.3 Distansarbete Efter pandemin har distansarbete blivit vanligare och med det kommer ytterligare krav på informationssäkerhet. Vid distansarbete är informationssäkerhet särskilt viktigt, lämna aldrig datorn obevakad på offentliga platser och överväg noga om det är lämpligt att jobba eller prata på offentliga platser överlag. Lämna inte utskrivet material framme även om det bara är personer i ditt hushåll i närheten, se till att ingen kan höra samtal och använd hörlurar om det behövs. Iaktta stor försiktighet vid arbete med personakter, dessa bör inte tas med hem, då rekommenderas att scanna in materialet istället. Tänk också på att inte lämna dator eller annan utrustning i bilen eller på annan plats och att inte låna ut den. Detta då transporten av arbetsmaterial, dator och liknande till och från arbetsplatsen kan innebära en risk. Förvara därför inte dator och tjänstekort tillsammans i din väska och ta inte hem personakter då de vid ett eventuellt rån eller förlust av väska riskerar att gå förlorade. Använd Virtual Private Network (VPN), det innebär att medarbetare kan nå e-post och stadens övriga system på ett säkert sätt. VPN slås automatiskt på vid inloggning med tjänste- eller SITHS-kort och om anslutning till internet sker. Var försiktig med vilka nätverk som används, logga inte in på offentliga nätverk då det kan ge obehöriga en möjlighet att ta sig in i stadens system. Använd istället mobildata från arbetstelefon eller privat telefon. Mer information om hemarbete generellt finns på följande länk: Tips vid distansarbete - Stockholms stads intranät 19 (34) 5.4 Fysisk post God informationssäkerhet ska iakttas vid all informationshantering, oavsett om hanteringen sker digitalt eller analogt. Informationssäkerhet är därmed väsentligt även vid hantering av fysisk post. En viktig faktor för att minska risken för att sekretessen bryts och att det därmed inträffar personuppgifts- och informationssäkerhetsincidenter är att iaktta stor noggrannhet med vilken adressat posten ska skickas till. Detta är särskilt viktigt vid kommunikation med klienter eller vid annan hantering av känslig eller sekretessbelagd information. Intern posthantering behöver också ske korrekt och rätt mottagare av posten behöver säkerställas i enlighet med gällande rutiner, för att minska risken för att sekretessen bryts och att den enskildes personliga integritet riskeras. Se förvaltningens postrutin på intranätet för mer information: Post 5.5 E-post, nätfiske, bluffmejl När det gäller e-post finns några viktiga saker att ha i åtanke. Det som skickas från e-posten uppfattas som stadens e-post och den bör därför inte användas i privat bruk. En del av de meddelanden som skickas är eller blir allmänna handlingar, även tillhörande bilagor enligt 5 kap. offentlighets- och sekretesslagen (2009:400). Mer information om vilken typ av e-post som ska diarieföras och arkiveras finns i hanteringsanvisningarna som Stadsdelsarkivarierna tagit fram, vilka återfinns på intranätet. De loggar och förteckningar som skapas över skickade meddelanden är allmänna handlingar som kan begäras ut, tänk därför på vad som står i ämnesraden, skriv till exempel inte ut känsliga uppgifter som till exempel namn på klienter. Mer information om e-postreglerna generellt i Stockholms stad finns på följande länk: Regler för e-post - Stockholms stads intranät Det har tydliggjorts att e-post som skickas internt inom staden är delvis krypterad, vilket innebär att den är krypterad när den skickas mellan två personer inom staden. Dock är e-posten inte krypterad när den ligger i mottagarens inkorg eller avsändarens skickat-korg, därför ska det undvikas att skicka känslig information via e-post då känslig eller sekretessbelagd information riskerar att röjas. Om det 20 (34) ändå behöver göras kan ett lösenordskyddat dokument vara ett alternativ. E-post som innehåller känslig information bör därför flyttas från inkorg eller skickat-korg så snabbt som möjligt och istället sparas ner på lämplig plats på datorn. Alla som använder e- post ska även kontrollera sin brevlåda och säkerställa att kollegor gör det vid frånvaro. Var extra försiktig med vilka uppgifter som skickas till externa mejladresser, det vill säga utanför Stockholms stad. Trafiken till och från externa mottagare eller sändare är inte krypterad. Alternativ till att mejla filer med känsligt innehåll kan vara att skapa en gruppdisk dit de som ofta mejlar varandra har behörighet. Var noga med behörighetshanteringen. Lagring på gruppdisk minskar också risken för att flera versioner av filen sparas och att fel personer får tillgång. Ytterligare alternativ vid behov av delning av känslig information externt är användning av krypterade USB- stickor, dessa kan budas eller överlämnas personligen beroende på innehåll. I e-posten kan det förekomma skräppost i form av bluffmejl och så kallat nätfiske (phishing). Dessa kan se ut på olika sätt, det kan vara allt från att det finns ett paket att hämta hos ombud, fast ett paket kanske inte är beställt till utpressningsmejl där det kan uppges att olämpliga sidor har besökts. Betalning bör inte ske, kontakta informationssäkerhetssamordnare och chef för stöd. Gällande nätfiske är det ofta så att mottagaren luras att klicka på en länk som sedan leder till en sida där uppgifter som lösenord, koder och bankkontonummer ska anges. Uppge aldrig sådana uppgifter och var medveten om att inga företag, myndigheter eller andra organisationer använder det sättet för att be om uppgifter. Om obehöriga får tillgång till lösenord kan de ta sig in i stadens system och där plantera skadlig kod som går att läsa mer om under avsnitt 5.14. Att stoppa spridning av nätfiske är därför viktigt. Kontakta alltid informationssäkerhetssamordnare eller dataskyddsombud vid osäkerhet. Dessa mejl ska markeras skräppost och hanteras enligt en guide som finns i 11800-portalen för Vivictaleveransen på följande länk: Självhjälp Guide - Hantering av bluffmejl Allvarligare fall av nätfiske ska rapporteras i IA-systemet som nås via intranätet eller app i arbetstelefonen. Det gäller även om det är via telefon, så kallad vishing (voice phishing på engelska eller muntligt nätfiske). Ett sådant samtal kan vara att någon låtsas vara från it-supporten och frågar efter inloggningsuppgifter eller ber om hjälp att släppa in en besökare. 21 (34) I övrigt kan skräppost vara mejl som endast innehåller en länk eller text eller bilaga. Öppna aldrig bilagor och klicka aldrig på länkar vid osäkerhet om vem avsändaren och vad innehållet är. Varningssignaler att vara uppmärksam på är oväntad avsändare, vilket även innebär kända avsändare men att innehållet gör att situationen framstår som konstig. Att det är skrivet på engelska, att du ska göra något skyndsamt eller att meddelande innehåller länkar som du måste klicka på för att få tillgång till resten av meddelandet. Beroende på allvarlighetsgrad av till exempel nätfiskemejl kan även en polisanmälan behöva upprättas. Kontakta informationssäkerhetssamordnaren innan polisanmälan då detta sker enligt särskild rutin. Även kalenderverktyget i Outlook kan utgöra en personuppgiftsbehandling, särskilt eftersom många delar kalendrar med andra. Tänk därför på att inte skriva ut namn på klienter vid kalenderbokningar. 5.6 Flerfaktorautentisering Flerfaktorautentisering är en del av den tekniska säkerheten i staden och på Södermalm. Det innebär att mer än ett steg behövs för att logga in vilket gör det svårare för utomstående att ta sig in än om endast lösenord hade behövts. Till exempel krävs det för att kunna logga in på datorerna två steg, tjänstekort alternativt inloggningskort samt kod. Om kortet lämnas i datorn försvinner därmed halva autentiseringen och det blir osäkrare eftersom det endast krävs kod för att kunna logga in. Därför är det viktigt att alltid ta ut tjänstekort alternativt inloggningskort ur datorn när den lämnas för att säkerställa att stadens skydd fungerar. 5.7 Fritextfältpolicy Ur ett dataskyddsperspektiv ska så få personuppgifter som möjligt behandlas, därför ska det också finnas en policy för fritextfält för exempelvis Excel-dokument. Södermalms policy är att endast nödvändiga uppgifter får fyllas i och uppgifterna ska vara så relevanta och neutrala som möjligt. Kommentarer som personliga reflektioner och liknande sparas på annat sätt och det används inte för anteckningar gällande brukare, klienter eller liknande. Det ska även vara tydligt utifrån filen vilka fält som bör fyllas i och inte. Vid användning av textfält i exempelvis eDok eller andra system gäller uppgiftsminimering, så få personuppgifter som möjligt ska behandlas och då endast de där det finns ett syfte. 22 (34) 5.8 Förebyggande arbete En viktig del av informationssäkerhetsarbetet är att ha en kontinuitetsplan för hur verksamheten kan fortsätta vid till exempel ett strömavbrott, ofta är det via analoga arbetssätt. En del handlar även om att vara medveten om de leverantörer förvaltningen har, deras säkerhet och verksamhetens beroende av dem. Denna information är bland annat det en informationsklassning tar fram. Andra delar som är viktiga i det förebyggande arbetet är att vara vaksam mot mejl och särskilt länkar och bilagor. Installera de uppdateringar på datorer och telefoner som kommer ut, ofta åtgärdar de säkerhetsbrister som upptäckts samt rapportera incidenter och avvikelser i tid. Mer information om incidentrapportering finns i avsnitt 7 i denna anvisning. 5.9 Gruppdiskar Behörighet till gruppdiskar bör kontrolleras av ägare och utdelas enligt minsta möjliga behörighet. Det vill säga så få som möjligt ska ha tillgång till gruppdiskar och finns flera gruppdiskar inom en enhet eller avdelning ska arbetsmaterial sparas på den gruppdisk där endast de som behöver materialet har behörighet. Stor försiktighet ska iakttas vid att spara material på gruppdiskar där ett stort antal personer har behörighet. 5.10 Internet Allt som görs på internet kan spåras, det vill säga använd det inte för privata saker utan främst för jobb. Det står i kontraktet användare behöver godkänna vid första inloggningen på datorn. 5.11 Loggar Informationssäkerhetssamordnare har möjlighet att begära ut loggar samt åtkomst till e-postlådor och hemkatalog från Tieto och Fujitsu. Begäran om loggar sker enligt stadsledningskontorets centrala rutin och hanteras restriktivt. Beslut om uttag av loggar fattas av stadsdelsdirektören. Informationssäkerhetssamordnare samråder med stadsdelsdirektör innan begäran görs. Kontakta förvaltningens lokala informationssäkerhetssamordnare via e-post för att begära uttag av loggar. 5.12 Lösenord I de fall egna lösenord får väljas, använd säkra lösenord. Gäller det sifferkombinationer använd inte din födelsedag, ditt barns eller annan närståendes födelsedag eller liknande. 23 (34) När det gäller lösenord bestående av bokstäver, siffror och tecken använd gärna lagom långa lösenord som är lätta att komma ihåg, t ex en ramsa bestående av fyra ord snarare än ett. Detta då alla lösenord upp till ett visst antal tecken kan slås upp i så kallade regnbågstabeller och därmed är lättare att knäcka för en dator. Välj inte heller ett allt för långt lösenord som du får svårt att minnas, om du inte använder en lösenordshanterare. Se även alltid till att byta lösenord om du får ett slumpmässigt framtaget lösenord och om lösenordsbyte är möjligt. Förvara inte lösenord på ditt skrivbord eller nära dator eller telefon, ett alternativ då är att istället använda så kallade lösenordshanterare. 5.13 Minnesanteckningar Generellt är minnesanteckningar inte allmänna handlingar och går därför att göra i ett Word-dokument. Välj då lämplig plats att spara på, vad gäller gruppdiskar tänk på vilka som har behörighet så att så få som möjligt och endast de som behöver har tillgång. För socialtjänsten går det att spara minnesanteckningar i Word- dokument, men det som behöver tas i beaktande är dels att spara dokumentet i en åtkomstbegränsad mapp, att gallra korrekt samt att det ska finnas ett klart motiverat skäl till behandlingen om det är en personuppgiftsbehandling. I ett optimalt läge ska alla personuppgifter kunna knytas till ett ärende och ska då finnas i något av förvaltningens ärendehanteringssystem men det kan ibland vara berättigat att spara de på andra sätt men då vara klart motiverat utifrån verksamhetens behov. 5.14 Skadlig kod Skadlig kod är det samlingsbegrepp som används för att beskriva oönskade datorprogram, olika sorters virus som till exempel ransomware, trojaner också kallat trojanska hästar och spionprogram. Dessa installeras på nätverk och datorer utan tillstånd med olika syfte, det kan vara att samla in information eller störa, alternativt ta kontroll över it-system. Skadlig kod kan även ge åtkomst för obehöriga utan vetskap för ägaren av datorn, så att obehöriga är inne i systemet och ser allt som görs. Så kallad ransomware krypterar datorer, mobiler eller surfplattor så att innehållet inte går att nå mot en lösensumma. Den skadliga koden kan spridas genom att ett USB-minne körs i en dator, när e- postbilagor öppnas, filer laddas ner från internet eller när användare klickar på en länk. 24 (34) Alla datorer är utrustade med skydd mot skadlig kod men det gäller även att agera korrekt för att skyddet ska fungera fullt ut. Använd aldrig okända USB-minnen. Klicka aldrig på länkar och öppna inte bilagor vid osäkerhet, uppge inte information som efterfrågas och var uppmärksam. Ett tecken på att datorn kan vara utsatt för skadlig kod är att den blir långsammare eller att dokument försvinner eller ändras. Nätfiske är ett sätt som kan ge angripare möjlighet att plantera skadlig kod och går att läsa mer om under e-post avsnittet 5.5. Mer information om skadlig kod och nätfiske finns på följande länk till intranätet: Så fungerar nätfiske och skadlig kod - Stockholms stads intranät 5.15 Skyddad identitet I Stockholms stad hanteras skyddad identitet både gällande invånare, men även för anställda, vilket är det som kommer kommenteras här. Har en anställd skyddad identitet av nivå 1 eller 2 är det den anställdes ansvar att se till att HR-avdelningen är informerad. Den anställde ska även påtala det vid tilldelande av behörigheter. Vid skyddad identitet fås en anonym sida på intranätet och då kan inte verktyg länkas utan får sparas ner som bokmärken. När det gäller SITHS-kort finns en rutin för utgivande av dessa som ska följas. Förvaltningen har en lokal rutin för hantering av skyddad identitet. Kontakta informationssäkerhetssamordnare eller dataskyddsombud för mer information. 5.16 Zoom- och Teamsmöten Vid distansmöten ska de tjänster staden erbjuder användas. För Vivictaleveransen (fd. Tieto) används Nordic for Zoom. De pedagogiska verksamheterna använder Teams. Båda är krypterade och skyddade genom en VPN-tunnel. VPN aktiveras när du är utanför kontoret, inloggad med kort och datorn är ansluten till internet, och det är viktigt att du ser till att det är aktiverat. Hantera distansmöten med stor försiktighet, det är stor skillnad mellan ett fysiskt möte och ett distansmöte. Dokument bör inte delas utan använd istället gemensam gruppdisk. Chatt- och konversationshistorik loggas och kan begäras ut via informationssäkerhetssamordnare. 25 (34) 5.17 Spara dokument Spara alltid på rätt plats, aldrig lokalt på datorn utan alltid på (H:) om det gäller material för eget bruk, alternativt gruppdisk (G:) så att de kan nås även om datorn går sönder. Det som sparas på den lokala hårddisken (C:) säkerhetskopieras inte. 5.18 Skalskydd På Virkesvägen och andra arbetsplatser finns ett skalskydd i form av att inpasseringskort plus kod behövs för att komma in. Var därför noga med vem som släpps in vid dörrpassage. Vid osäkerhet på om någon obehörig vistas i lokalerna, kontakta vakt på telefonnummer 08 – 508 12 307. Vid arbetsplatser som saknar skalskydd är det ännu viktigare att säkerställa att ingen obehörig vistas i lokalerna, även om det är obekvämt. 5.19 Samtal Det finns många anställda på Södermalms stadsdelsförvaltning och alla har olika arbetsplatser, men huvudkontoret är Virkesvägen. Generellt gäller att ärenden, frågor gällande personuppgifter eller liknande inte diskuteras i fikarummet utan där pratas generellt om sådant som det inte gör något om andra hör. Detsamma gäller i hissen och matsalen. Policyn är sådan att det är går bra att ta samtal och distansmöten vid sin plats, men var då extra noga med vad som sägs och om samtalet går i en riktning där det finns risk att fel personer hör känsliga uppgifter bör förflyttning ske till ett samtalsrum istället om det är möjligt. 5.20 Skrivbord Några viktiga saker att tänka på när det gäller arbetsplats eller skrivbord är att alltid logga ut från datorn, aldrig lämna tjänstekort i datorn samt att inte lämna känsliga handlingar vid skrivbordet. Tänk på att alla på Virkesvägen har tillgång till alla plan, samt att externa personer, som lokalvårdspersonal, rör sig i lokalerna och därmed kan se det som finns vid skrivborden och i närheten. 5.21 SMS Det har förekommit spam-sms, eller bluff-sms i olika varianter, dessa ska rapporteras som bluff-mejl i 11800-portalen eller Fujitsuportalen. Exempel är att paket finns att hämta med länkar men precis som går att läsa under avsnitt 5.5 om bluffmejl bör frågan ställas om något paket är väntat eller om bluff kan misstänkas. Kontakta gärna informationssäkerhetssamordnare så att denne får kännedom. 26 (34) 5.22 Social manipulation En annan informationssäkerhetsrisk är det som på engelska kallas för social engineering, på svenska social manipulation och ofta beskrivs människan som den svagaste länken när det gäller informationssäkerhet. Det innebär att personer manipulerar andra att utföra handlingar eller ge ut information frivilligt i motsats till t ex intrång. Det handlar om att vara vaksam mot telefonsamtal, besök i reception och i allmänhet mot okända personer som vill ha information. Även information som inte verkar känslig som vilket våningsplan en enhet sitter på kan vara precis vad den personen behöver för att nå den information den är ute efter. Det kan vara att någon följer med in genom dörren, vill låna en telefon, att ett USB- minne placerats ut med en märkning som tyder på att det är någon som tappat det. Därför ska okända USB-minnen aldrig användas i stadens datorer, hittas ett bör informationssäkerhetssamordnare kontaktas. 5.23 Telefon Använd den möjlighet som finns med skärmlås på arbetstelefonen då den innehåller känslig information som mejl och tillgång till intranätet. Tänk på att inte läsa mejl eller prata i telefon på offentliga platser som t ex i kollektivtrafiken. Skulle telefonen bli stulen eller förloras på annat sätt ska det rapporteras till dataskyddsombud och informationssäkerhetssamordnare för kännedom då det beroende på hur telefonen försvunnit kan vara en incident som ska rapporteras. I övrigt sker förlustrapportering av telefon på följande sätt: • Servicedesk portalen 11800 alt. Fujitsu-portalen 33900 vilka nås via intranätet. • IA-systemet (nås via intranätet). • Polisanmälan, spara en digital kopia. • IT-samordnare för att ordna en ny telefon. 5.24 Tjänstekort (inloggningskort) Inloggningskortet, eller tjänstekortet, ska inte förvaras tillsammans med datorn då det är en del av den flerfaktorautentisering staden har för att skydda åtkomst till stadens system. Låna aldrig ut tjänstekortet, sätta inte några kännetecken som går att koppla till dig på kortet, varken namn, klistermärken eller annat. 27 (34) Vid förlust av tjänstekort anmäl till: • Servicedesk 11800-portalen alt. Fujitsu 33900-portalen vilka nås via intranätet. • IA-systemet (nås via intranätet). • Tjänstekortsadministratör. • Informationssäkerhetssamordnare och dataskyddsombud. • Närmaste chef. Förlust av SITHS-kort ska anmälas till polisen. Spara diarienummer. 5.25 Vanor och beteende Informationssäkerhet handlar även om vanor, om tjänstekortet alltid lämnas i datorn kan andra lägga det på minnet och därmed är det lättare att planera för att ta sig in i datorn. Samma sak om jobbsamtal tas på väg till och från jobbet, då riskerar känslig information att läcka ut. Det handlar även om att utvärdera sina arbetssätt regelbundet. Förr kanske det var bäst att mejla en Excel- fil fram och tillbaka men idag kanske det finns ett program eller en gruppdisk som är säkrare och bättre att använda. Det är därför det är viktigt att regelbundet gå de obligatoriska utbildningarna i informationssäkerhet och dataskydd för att ha kunskapen som behövs nära i minnet. 6 Identifiera och inventera 6.1 Informationstillgångar och personuppgiftsbehandlingar Det är viktigt att kunna avgöra hur skyddsvärd den information vi har är, samt att riskvärdera den, likaså är det viktigt att ha ordning på alla informationstillgångar. Därför ska alla system inventeras och informationsklassas. Södermalm har en rutinbeskrivning som beskriver det arbetet. Du hittar rutinbeskrivningen via följande länk. Rutinbeskrivning Södermalm - Stockholms stads intranät 6.2 Personuppgiftsbiträdesavtal Om en annan myndighet eller privat aktör behandlar personuppgifter för nämndens räkning utan att själv besluta om behandlingens syfte och medel ska ett personuppgiftsbiträdesavtal tecknas. Genom detta avtal förbinder sig den andra aktören att behandla personuppgifterna på ett sätt som lever upp till bestämmelserna i GDPR och att informera den 28 (34) personuppgiftsansvariga (i detta fall nämnden) om eventuella personuppgiftsincidenter eller förändringar av tjänsten. I den instruktion som ska upprättas som bilaga till personuppgiftsbiträdesavtalet ger den personuppgiftsansvariga övriga instruktioner till biträdet om behandling av personuppgifter. Om huvudavtalet är centralt ska också personuppgiftsbiträdesavtalet vara centralt. Södermalms stadsdelsförvaltning har en rutin för uppföljning av personuppgiftsbiträdesavtal. 6.3 Registerförteckning Alla personuppgiftsbehandlingar ska finnas förtecknade i en registerförteckning som i nuläget görs i systemet DraftIt Privacy records. Att förteckna behandlingar är en grundläggande del i att som personuppgiftsansvarig skaffa sig den överblick som behövs för att identifiera riskfyllda behandlingar och kunna visa att man följer dataskyddsförordningen. Kontakta dataskyddsredogörare vid din avdelning alternativt DSO. Vid en ny behandling ska dataskyddsredogörare eller DSO kontaktas. 6.4 Medgivande eller samtycke Eventuella samtycken eller medgivande som samlas in, ska dokumenteras och förtecknas. Det är viktigt för att säkerställa att laglig grund för personuppgiftsbehandling finns. Samtycke ska undvikas som laglig grund om det är möjligt att hitta en annan ordning, eftersom den ojämlika relationen mellan en myndighet och den registrerade generellt gör samtycke olämpligt. 6.5 Molntjänster 6.5.1 Bakgrund molntjänster Molntjänster kan innebära att ytterligare personuppgiftsbehandlingar sker och därför är det viktigt att veta vilka sådana vi använder samt att underrätta dataskyddsombud och informationssäkerhetssamordnare vid användning. Oftast innebär molntjänster att data i någon form behandlas externt på en annans server, utanför Stockholms stad. I vissa fall kan servern finnas i ett så kallat tredje land, utanför EU/EES, och då är det inte nödvändigtvis en laglig användning. 6.5.2 Deltagande i videomöten Inom staden används i första hand Nordic for Zoom, alternativt Teams, beroende på it-leverantör. Vid deltagande vid externa möten kan ibland andra tjänster användas. Generellt innebär det en passiv användning av molntjänst som ännu inte informationsklassats, samt att data behandlas i molnet och därmed medför personuppgifter i 29 (34) form av namn, bild och video. Tänk därför noga igenom innan du deltar i ett sådant möte vad ni ska prata om, generellt sett kan nyttan av deltagandet väga över risken, men en bedömning bör alltid göras inför deltagande. Passiv användning av molntjänster kan även förekomma genom besvarande av förfrågningar i online-tjänster eller användande av olika appar, som till exempel Kahoot! för quiz eller liknande. Även det räknas som användning, och riskanalys bör alltid genomföras även inför sådan typ av användning. 6.5.3 Kontrollfrågor inför användning • Är det en molntjänst, lagras eller bearbetas data på någon annans server? • Finns det något alternativ till tjänsten, t ex upphandlad inom staden? • Vilka risker finns avseende konfidentialitet, riktighet och tillgänglighet? • Vilka personuppgifter kommer behandlas (t ex IP-adress, namn, bild)? • Behandlas känsliga personuppgifter? • Riskeras personuppgifterna överföras till tredjeland, direkt eller indirekt t ex genom support i tredje land (dvs. land utanför EU/EES)? • Finns personuppgiftbiträdesavtal? 6.6 Informationsklassningar 6.6.1 Informationsklassning Stadens riktlinjer anger att alla informationstillgångar och personuppgiftsbehandlingar inom staden ska vara klassade för att säkerställa att det har rätt skydd. En informationsklassning ska därför genomföras inför upphandling, vid införande av nytt system, arbetssätt eller process eller för system, arbetssätt eller process där det inte gjorts. Informationsklassningarna ska även anpassas efter omvärlden om system eller annat ändrats som kan påverka informationen. En informationsklassning består av flera steg och finns beskrivet i dokumentet ”Rutinbeskrivning informationssäkerhet och dataskydd”. Dokumentet samt även den senaste versionen av mall för informationsklassningsprotokoll och annan allmän information återfinns via följande länk. Informationssäkerhet - Stockholms stads intranät 30 (34) 6.6.2 Konsekvensbedömning Om en analys visar att en process, arbetssätt eller teknisk lösning innebär risker för de registrerades personuppgifter, till exempel på grund av att en stor mängd uppgifter, känsliga personuppgifter och/eller uppgifter om särskilt utsatta personer behandlas behöver verksamheten göra en fördjupad analys av personuppgiftsbehandlingen. Detta kallas en konsekvensbedömning och genomförs tillsammans med förvaltningens dataskyddsombud. Mer om konsekvensbedömningar finns att läsa på stadens sida om GDPR på intranätet via följande länk. GDPR - Stockholms stads intranät 7 Incidenthantering Det är viktigt att rapportera när någonting går fel och att det kommer ett lärande ur incidenterna för att minska risken att motsvarande incident inträffar igen. Rapportera hellre en gång för mycket än en gång för lite. Det är viktigt att incidenthanteringen sker på rätt sätt så att alla incidenter hanteras korrekt och även för att undvika liknande incidenter framöver. Alla incidenter ska rapporteras i IA-systemet och samtliga medarbetare och chefer har möjlighet att rapportera. Om det är en pågående incident och kontakt behövs med informationssäkerhetssamordnare eller dataskyddsombud, när dessa inte är i tjänst, finns en backup lista hos stab och kansli. Kontakta registraturen för mer information på soder@stockholm.se. En händelse kan vara både en personuppgiftsincident och en informationssäkerhetsincident, varför både informationssäkerhetssamordnare och dataskyddsombud ska kontaktas. Södermalm har lokala rutiner för hantering av incidenter. Informationssäkerhet GDPR och personuppgifter 7.1 Incidentrapportering i praktiken Alla incidenter ska rapporteras i IA-systemet. Informations- och personuppgiftsincidenter ska även rapporteras till informationssäkerhetssamordnare och/eller dataskyddsombud och i vissa fall ska det även rapporteras i 11800-portalen, alternativt i 33900-portalen. Kontakt kan tas med Servicedesk för att få hjälp. 31 (34) Ta gärna skärmklipp av eventuella bluffmejl, men klicka aldrig på länkar och skicka aldrig vidare dem eller andra mejl som misstänks vara skadliga på något sätt. Dokumentera även händelseförloppet så att underlag finns för att kunna utvärdera, till exempel i ett Word- dokument, och lämna sedan till informationssäkerhetsamordnare och/eller dataskyddsombud. Viktig information att få med är följande: • Hur situationen uppstod, till exempel att du klickade på en länk i ett mejl. • Vilken information och tjänster som troligen har påverkats eller röjts, till exempel att du uppgav bankkontonummer eller lösenord. • Vilka andra konsekvenser du misstänker kan ha uppstått. • Hur incidenten har hanterats hittills. 7.2 Personuppgiftsincident En personuppgiftsincident innebär att personuppgifter på ett felaktigt sätt har spridits, röjts, ändrats eller förstörts. En misstänkt personuppgiftsincident ska omedelbart rapporteras till förvaltningens dataskyddsombud. Denne tar därefter ställning till om det räcker att upprätta en intern incidentrapport eller om händelsen också behöver rapporteras till Integritetsskyddsmyndigheten. I så fall måste detta ske 72 timmar efter upptäckt. En personuppgiftsincident ska även anmälas i IA. Detta görs av den verksamhet där den skedde. Exempel på personuppgiftsincidenter kan vara följande: • E-postmeddelande med känsliga uppgifter skickas till fel mottagare • En mobiltelefon, surfplatta eller dator som innehåll personuppgifter blir stulen • Personuppgifter exponeras för obehörig till följd av dataintrång eller inbrott För att rapportera personuppgiftsincident i IA, gå till ”Övriga” och välj sedan ”Personuppgiftsincident”. Verksamheten behöver ta ställning till om händelsen också ska föranleda till exempel en Lex Sarah. Kontakta alltid dataskyddsombudet vid en personuppgiftsincident. 32 (34) 7.3 Informationssäkerhetsincident En informationssäkerhetsincident är en incident där information blivit påverkad på något sätt. Det vill säga att information har förändrats, försvunnit, inte är tillgänglig, är felaktig eller att en risk finns för att informationen skulle kunna bli det. Praktiska exempel kan t ex vara: • Post eller mejl som skickas till fel mottagare. • Bluffmejl. • Virusattacker. • Skadlig kod. • Intrång/IT-angrepp. • Stöld av dator. • Brister i efterlevnaden av dessa rutiner. Informationssäkerhetsincidenter ska därmed särskiljas från allmänt datorstrul som att datorn till exempel hänger sig. Om information däremot försvunnit, påverkats eller blivit otillgänglig på grund av att datorn hängt sig har informationens tillgänglighet påverkats och det bör därför rapporteras som en informationssäkerhetsincident. En informationssäkerhetsincident rapporteras i IA-systemet under ny händelse och sedan egendom/säkerhet. Informationssäkerhetssamordnaren ska informeras vid incidenter. Gränsen för en personuppgiftsincident kan vara svår att dra, därför är det alltid bättre att kontakta både dataskyddsombud och informationssäkerhetssamordnare vid osäkerhet så att en bedömning kan ske. Vissa incidenter kan även vara både en personuppgiftsincident och en informationssäkerhetsincident. Gäller det bluffmejl finns en guide för hur dessa ska hanteras på följande länk för Vivictaanvändare (fd. Tieto): Självhjälp - Guide - Hantering av bluffmejl (stockholm.se) 7.4 Betydande incidenter Den 15 januari 2026 trädde cybersäkerhetslagen (2025:1506) i kraft. Cybersäkerhetslagen är den svenska implementeringen av NIS2-direktivet (Europaparlamentets och rådets direktiv (EU) 2022/2555 från den 14 december 2022, om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen). Södermalms stadsdelsnämnd omfattas av lagstiftningen och är tillsammans med övriga staden att betrakta som verksamhetsutövare i enlighet med lagstiftningen. 33 (34) Cybersäkerhetslagen ställer krav på att betydande incidenter ska rapporteras till Myndigheten för civilt försvar (MCF). Vad som är att anse som en betydande incident samt hur rapportering ska gå till väntas meddelas av MCF under våren 2026. Därefter kommuniceras rutiner för incidenthanteringen inom förvaltningen. Om det inträffar vad verksamheten uppfattar som en betydande incident innan dess, ska informationssäkerhetssamordnaren kontaktas för vidare stöd i hanteringen av incidenten. Tidigare rutiner för anmälan av incidenter inom hälso- och sjukvård enligt det så kallade NIS1-direktivet (direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen) har upphört att gälla. 8 Utbildning och aktiviteter 8.1 E-utbildning Inom stadens finns två obligatoriska digitala utbildningar som alla medarbetare ska certifieras i årligen. Det är chefens ansvar att medarbetarna genomför utbildningarna. Statistik över deltagande kan tas fram av närmsta chef samt av informationssäkerhetssamordnare. Dessa obligatoriska utbildningar, som finns på Utbildningsplattformen och nås via intranätet, är Informationssäkerhet för medarbetare i staden samt Grundkurs i dataskydd. Chefer rekommenderas även att gå utbildningen Informationssäkerhet för chefer. 8.2 Förvaltningsintern utbildning ISAM och DSO erbjuder en gång per termin samtliga medarbetare och chefer vid förvaltningen en grundläggande utbildning om informationssäkerhet och dataskydd. Under utbildningen ges även information om interna rutiner inom områdena. Utbildningen hålls via Zoom. 8.3 Övrig utbildning Stadens sida för informationssäkerhet där även stadens centrala riktlinje samt tillämpningsanvisning finns: Stadsövergripande informationssäkerhet - Stockholms stads intranät Utbildningar och information om informationssäkerhetsarbete återfinns på Myndigheten för civil beredskaps (MCF) sida via 34 (34) följande länk: Informationssäkerhet och cybersäkerhet Digital informationssäkerhetsutbildning för alla (DISA), MCF, återfinns via följande länk: Digital informationssäkerhetsutbildning för alla (Disa) 8.4 Information till nyanställda Vid alla nyanställningar ska chef informera om att medarbetarna ska gå de två obligatoriska utbildningarna, samt berätta om Stockholms stads riktlinje för informationssäkerhet och denna lokala anvisning, och att dessa dokument ska följas. Övrig allmän information som kan vara bra att nämna är: • Informationssäkerhetsarbetet ska finnas med inför upphandlingar av nya system och införande av nya arbetssätt. • Lämna inte dator-/tjänstekort i datorn när du lämnar skrivbordet. • Släpp inte in obehöriga på arbetsplatsen. • Dela bara information med den som behöver, tänk på var du pratar om vad. • Använd inte okända USB-minnen, dessa kan innehålla skadlig kod. • Stor försiktighet vid hantering av information vid distansarbete. • Använd säkra lösenord, använd inte samma till flera tjänster, flerfaktorautentisering när möjligt. • Läs på om social manipulation. • Se till att eventuella kontinuitetsplaner är kända. • Kontakta alltid informationssäkerhetssamordnare eller dataskyddsombud vid osäkerhet och frågor. Attesterat av Detta dokument har godkänts digitalt av följande personer: Namn Datum Kerstin Andersson, Stadsdelsdirektör 2026-01-29 Olof Ingemarsson, Enhetschef 2026-01-29