Fråga
En student lägger in en virusinfekterad fil i ett
diskussionsforum i den utbildningsplattform (ett kommersiellt LMS )
som högskolan använder för distansutbildning.
Risken är stor att användarna ska få sina
persondatorer virussmittade, något som skulle kunna
innebära stora problem för de drabbade.
Själva servern är fysiskt placerad på högskolans
IT-avdelning, men de är enbart kontrakterade för
att se till att hårdvaran får ström och
kyla och att nödvändiga säkerhets"patchar"
installeras för att skydda servern mot intrång.
Vem har ansvaret för att virusinfekterade filer inte
ska kunna spridas via högskolans utbildningsplattform?
|
Svar
Ansvaret för informationssäkerheten bör regleras
så att det inte i onödan uppstår oklarheter
om vad som är institutionens eget ansvar och vad IT-avdelningen
ansvarar för. Givetvis bör även förutsättningarna
för studenternas tillgång till och utnyttjande
av en plattform regleras i någon form av ansvarsförbindelse.
Av 30-32 §§ PuL
framgår att den personuppgiftsansvarige har ett ansvar
för säkerheten vid behandlingen av personuppgifter.
Detta ansvar omfattar säkerhet i såväl organisatorisk
(tystnadsplikt m.m.) som teknisk bemärkelse (t.ex. utnyttjande
av brandväggar).
Den personuppgiftsansvarige har med andra ord ett ansvar
för att en virusinfekterad fil inte ger upphov till oriktig
behandling av personuppgifter.
När ett virusangrepp upptäcks, bör detta genast
rapporteras till högskolans säkerhetsansvarige eller
till den PC-ansvarige på institutionen. Deras uppgift
är bland annat att se till att det finns antivirusprogram
installerade på servrar och datorer och att dessa hålls
uppdaterade.
|
