Informationssäkerhet
Tillgång till information är en förutsättning för att verksamheten ska kunna bedrivas. En kommunal förvaltning eller ett kommunalt VA-bolag har goda skäl att även informera berörda fastighetsägare, VA-abonnenter och allmänheten om hur olika delar av vattenförsörjningen är anordnad inom ett begränsat område, exempelvis inom en kommun.
Man bör alltid ställa sig frågan hur tillgängliga uppgifter som rör dricksvattenförsörjningen bör vara, och vilka som verkligen har behov av informationen för att utföra arbetsuppgifter de är ålagda. Risken för okontrollerad spridning av känslig information ökar ju fler som förfogar över uppgifterna. Den som inte har behov av informationen för att utföra sitt arbete bör därmed inte heller ha tillgång till den.
Likaså bör inte detaljerad information som rör vattenförsörjningen, till exempel fullständiga kartor över VA-ledningsnätet, slentrianmässigt läggas ut på kommunens eller
förvaltningens intranät eller gemensamma servrar med åtkomst för alla. Det är oftast fullt tillräckligt att kartorna är tillgängliga för ett begränsat antal befattningshavare som
behöver informationen i sitt dagliga arbete.
Ett systematiskt säkerhetsarbete underlättar organisationers eller bolags arbete med dessa frågor. Stöd och råd går att hitta bland annat på MSB:s hemsida. Svenskt Vatten ger också kursen Säkerhetsarbete Introduktion.
Att arbeta med informationssäkerhet
- Steg 1: Det första steget är att identifiera vilken typ av information som är skyddsvärd. En riskanalys som kan genomföras för detta ändamål. Riskanalys kan inkludera identifierandet av skyddsvärda objekt, en lista över tänkbara händelser och en riskbedömning m.m. Ytterligare information om riskanalyser finns bland annat på Livsmedelsverkets och MSB:s webbplatser.
- Steg 2: När en handling upprättas som innehåller skyddsvärda uppgifter ska samtidigt en metodisk sekretessbedömning av handlingens innehåll (uppgifter) med hänvisning till aktuell lagstiftning genomföras. Det räcker alltså inte med att en sekretessbedömning av handlingens innehåll genomförs i samband med exempelvis en begäran om ett utlämnande eller överföring av en sekretessbelagd handling. Sekretessbedömningen bör genomföras av den som ska upprätta handlingen.
- Steg 3: Slutligen upprättas rutiner för hantering av sekretessbelagda handlingar. Av rutinerna ska tydligt framgå vad som gäller då en medarbetare hanterar sekretessbelagd information. Rutinerna ska även omfatta utlämnande av material till myndigheter, konsulter, entreprenörer eller andra som för sitt arbete behöver ta del av uppgifterna.
Läs mer om sekretessbedömning av känsliga uppgifter
Utlämnande av handling – sammanfattning
Idag har vem som helst, svensk eller utländsk medborgare, har rätt att ta del av allmänna handlingar. Verksamhetsutövaren har inte rätt att efterforska varför personen vill ha vissa handlingar eller vad han eller hon heter eller ska ha handlingarna till.
Oavsett om den allmänna handlingen vid upprättandet har markerats med att den innehåller uppgifter som kan sekretessbeläggas eller inte så ska handlingen sekretessgranskas innan utlämning sker. Om en handling delvis bedöms innehålla uppgifter som kan sekretessbeläggas (det vanligaste är att alla uppgifter i en handling inte bedöms vara lika känsliga) täcker man över, maskar, ”sekretessdelarna” så att de blir oläsliga, varpå handlingen kan lämnas ut.
Organisationen bör ha rutiner för hur handlingar ska hanteras, vem som sekretessgranskar handlingar och vem som lämnar ut handlingar. Vid överlämnande av sekretessbelagd handling till annan myndighet kan följebrev med förklaring av bedömningen av sekretessen bifogas.
Avslag om begäran
Om en myndighet fattar beslut att inte lämna ut en allmän handling på grund av att den innehåller sekretessbelagda/hemliga uppgifter, måste beslutet motiveras med hänvisning till den lagstiftning som gör att uppgiften omfattas av sekretess. Detta bör göras grundligt. Den som efterfrågat materialet ska även informeras om rätten att överklaga beslutet hos kammarrätten.