Den mesta information kommunen hanterar är öppen, men vi har också sekretessbelagd och känslig information att skydda och hantera säkert.
Öppenhet och offentlighetsprincipen
Kommunen arbetar utifrån principen att information ska vara öppen och tillgänglig. Det innebär en skyldighet att lämna ut information och handlingar till allmänheten, media eller andra som begär det. Denna öppenhet bygger på offentlighetsprincipen, som regleras i tryckfrihetsförordningen. Syftet är att öka insynen, stärka rättssäkerheten, motverka korruption och bygga förtroende för vårt arbete.
Begränsningar genom sekretess
Det finns även regler i offentlighets- och sekretesslagen som begränsar rätten till insyn. Kommunen har också ansvar för att känslig och skyddsvärd information hanteras säkert och ges rätt skyddsnivå. Verksamheternas informationsklassning ger underlag för beslut om hur informationen ska hanteras och skyddas. Triangeln nedan illustrerar olika informationstyper, hanteringsklasser och skyddsnivåer. Med varje skyddsnivå följer olika säkerhetskrav och skyddsåtgärder. K står för konfidentialitet.
Se stödanvisning för Säker kommunikation och lagring för exempel.
Informationsklassning och skyddsnivåer
Informationsklassning är ett viktigt verktyg för att bestämma hur information ska skyddas. Klassningen bedöms utifrån konfidentialitet (K) och styr vilka säkerhetskrav och åtgärder som behövs. För information med högre skyddsnivåer, som K2 och K3, krävs exempelvis användning av kryptering, säker e-post och säkra videomöten när fysiska möten inte är möjliga.
Konfidentialitet nivå 0 (K0) – ingen eller försumbar skada – låg skyddsnivå
Information är avsedd för extern spridning och kan kommuniceras i de kanaler som verksamheten normalt använder för extern kommunikation. Detsamma gäller lagring. Informationen behöver inte något specifikt skydd utöver det som redan finns i de tjänster, kanaler och lagringsplatser som kommunen tillhandahåller och använder. Om informationen sprids bredare har bedömningen gjorts att det inte ger några skadeverkningar alls eller att skadan är försumbar.
Konfidentialitet nivå 1 (K1) – måttlig skada - grundläggande skyddsnivå
Informationen är avsedd för en intern målgrupp och kan kommuniceras i de kanaler som verksamheten normalt använder för intern kommunikation. Detsamma gäller lagring. Att information är K1-klassad innebär att den inte är av känslig karaktär och endast behöver ett grundläggande skydd – det som finns i de kanaler/lagringsplatser som kommunen tillhandahåller och använder. Om K1-information skulle spridas till fler interna målgrupper eller externt bedöms skadan som måttlig.
Konfidentialitet nivå 2 (K2) – betydande skada – utökad skyddsnivå
Informationen är avsedd för en begränsad intern och/eller extern målgrupp. Informationen ska hanteras på ett säkert sätt genom hela sin livscykel och får endast behandlas, kommuniceras och lagras i de kanaler, system och tjänster som är klassade för att hantera skyddsvärd information. K2-klassad information kräver ett utökat skydd och att tillgången begränsas till behöriga personer. Om skyddsvärda uppgifter skulle spridas till obehöriga skulle det kunna innebära betydande negativ påverkan för exempelvis enskilda personer, kommunen och/eller andra aktörer i samhället.
Konfidentialitet nivå 3 (K3) – allvarlig skada – hög skyddsnivå
Informationen är avsedd för en mycket begränsad intern och/eller extern målgrupp. Känsliga och sekretessbelagda uppgifter klassificerad på K3-nivå har ett högt skyddsvärde och det är viktigt att informationen hanteras på ett säkert sätt genom hela sin livscykel. Det innebär att denna information endast får lagras, delas och skickas krypterad via säkra kanaler och att endast de behöriga personer som verkligen behöver informationen ska ha möjlighet att få tillgång till den.
Konfidentialitet nivå 4 (K4) - synnerligen allvarlig skada - säkerhetsskyddsklassad
Information klassad på K4-nivå är av betydelse för Sveriges säkerhet och kan påverka landets totalförsvarsförmåga om uppgifterna röjs. Dessa uppgifter ska hanteras av Säkerhetsskyddchef enligt säkerhetsskyddslagen och kommunens Rutin för hemlig information.
Hanteringsklass och märkning
Ett tekniskt stöd för märkning av information kommer att möjliggöras i takt med att kommunen inför Microsoft 365. En rekommendation är dock att redan nu märka olika dokument för att säkerställa att både sändare och mottagare av informationen vet hur den ska hanteras, kommuniceras och lagras. Det gäller särskilt skyddsvärd och känslig information! Märk informationen enligt:
- K0-klassad information märks med K0, ÖPPEN (Grön vid färgmarkering)
- K1-klassad information märks med K1, INTERN (Mossgrön vid färgmarkering)
- K2-klassad information märks med K2, SKYDDSVÄRD (Gul vid färgmarkering)
- K3-klassad information märks med K3, KÄNSLIG (Orange vid färgmarkering)