Transcript Svår balansgång på Domstolsverket

Svår balansgång på
Domstolsverket
Håkan Sonesson – Informationssäkerhetschef
Magnus Petzäll - CIO
1
Presentation – Håkan Sonesson
• Informationssäkerhetschef på Domstolsverket.
• Tidigare arbetat som konsult inom informationssäkerhet.
• Jag är inte en jurist.
2
Presentation – Magnus Petzäll
• CIO på Domstolsverket
• Tidigare arbetat som CIO både inom industrin och offentlig sektor.
• Jag är inte heller jurist.
3
Sveriges Domstolar – Detta handlar det om
De allmänna
domstolarna
De allmänna
förvaltningsdomstolarna
Tingsrätterna (48)
Förvaltningsrätterna (12)
Hovrätterna (6)
Kammarrätterna (4)
Domstolsverket
Högsta domstolen
Hyres- och arrendenämnderna
Högsta
förvaltningsdomstolen
Rättshjälpsmyndigheten
Totalt ca 80 organisatoriska enhet
6500 anställda
385 000 mål/år
7,4 miljarder SEK i årsbudget
4
DOMSTOLSVERKET
Digitalisering av domstolarnas verksamhet
Jobb i en motstridig verklighet
Mobilitet
Öppenhet
Service i de digitala
kanalerna
5
Rättssäkerhet
Personlig
integritet
Lagstiftning baserad på
papper som informationsbärare
DOMSTOLSVERKET
Definition - Allmän handling
• En handling är allmän om den förvaras hos en myndighet och är att
anses som inkommen till eller upprättad hos en myndighet.
• En allmän handling kan vara ett fysiskt papper eller i elektronisk
form. Exempelvis logguppgifter.
Tryckfrihetsförordning (1949:105) | 2 kap. | 3 §
6
DOMSTOLSVERKET
Svår avvägning
• Desto större spårbarhet (loggning), desto större ”risk” att känslig
information lämnas ut till allmänhet.
• Utlämnade av enskild loggrad medför sällan några
säkerhetsproblem. Utlämnande av en större delmängd loggrader
kan vara mer problematiskt.
7
DOMSTOLSVERKET
E-post- och webbloggar kan väl inte innehålla
känslig information, eller?
• E-postloggar
Fiktivt exempel 1
Fiktivt exempel 2
• Loggar från webbfilter/proxy eller dyl.
Fiktivt exempel 3
Fiktivt exempel 4
8
DOMSTOLSVERKET
Svårt att tolka OSL
• Offentlighets- och sekretesslagen är ett trubbigt instrument som
inte ger mycket stöd för att sekretessbelägga visa typer av
logginformation. (Undantag finns givetvis).
• Några exempel från verkligheten:
– HFD 2011 ref. 52
• Handlingar i en databas som gjorts tillgängliga för en annan
myndighet för bl.a. statistikframställning utgör allmänna handlingar.
– RÅ 1999 ref. 18
• Datalagrade meddelanden, s.k. cookie-filer i respektive global/historikfiler
hos kommunala tjänstemän har ansetts som allmänna handlingar.
– RÅ 1998 ref. 44
• Datalagrade förteckningar över in- och utgående meddelanden (e-postlogg) hos kommunala tjänstemän har ansetts som allmänna handlingar.
9
DOMSTOLSVERKET
Mina rekommendationer
• Viktigt att utreda vilken logginformation som verksamhetens
IT-system genererar. Speciellt e-post- och webbloggar.
• Utreda att ”rätt” logg-nivå är angiven.
(Inte för mycket eller för lite).
• Ta fram gallringsbeslut enligt (RA-FS1997:6). Riksarkivets
föreskrifter. Rensa loggar som är tillfällig eller ringa betydelse.
10
DOMSTOLSVERKET
Nya teknologier innebär nya möjligheter….
att förhålla sig till…
11
Rättsväsendets informationsförsörjning
Effektivt informationsutbyte i rättskedjan
12
Helhetssyn på informationsklassning
En nödvändig i en allt mer öppen värld
13
Tack!
Håkan Sonesson
E-post: [email protected]
Tel: 036-15 53 09, 0706-35 12 98
Linkedin: http://goo.gl/uFCqji
Magnus Petzäll
E-post: magnus.petzä[email protected]
Tel: 0702-874787
Twitter: @MPetzall
14
DOMSTOLSVERKET