Nu kan Adato användas igen – ”Många åtgärder har gjorts”
NYHET
En risk- och sårbarhetsanalys är gjord, rutiner för gallring och arkivering ses över och leverantören har gjort flera åtgärder för att öka säkerheten. Den 12 november öppnas Adato upp för användning igen.
– Det har gjorts ett gediget arbete både från leverantören och våra egna funktioner för att säkra universitetets personuppgiftshantering, säger Per Ragnarsson, biträdande universitetsdirektör och ordförande i universitetets krisledningsgrupp.
Systemstödet Adato som används i rehabiliteringsprocessen för anställda har varit nedstängt hos Umeå universitet sedan cyberattacken mot leverantören Miljödata den 23 augusti.
– Vi har inte velat öppna upp systemet innan det har gjorts analyser och åtgärder för att systemet ska kännas säkert. Men det står klart att vi har ett behov av ett systemstöd i de här ärendena. Det känns skönt att kunna öppna upp systemet igen, det har varit efterfrågat av våra användare, säger Per Ragnarsson.
I universitetets avtal med Miljödata finns högt ställda krav när det gäller säkerhet och hantering av personuppgifter. I och med cyberattacken har Miljödata sett över dem och gjort ytterligare åtgärder för att säkra systemet mot angrepp. Enheten för IT-stöd och systemutveckling (ITS) vid Umeå universitet har granskat åtgärderna och ger dem väl godkänt.
– Miljödata har bland annat implementerat nya arbetsrutiner och bevakningssystem, samt vidtagit en rad tekniska åtgärder för att höja säkerheten. Vi anser att de har gjort ett gediget arbete efter cyberattacken, säger Emilio Perez Iznaga, IT-ledare vid ITS.
Åtgärder från universitetet
Utöver det har Personalenheten gjort en risk- och sårbarhetsanalys av systemet. Universitetet har också vidtagit egna åtgärder kring personuppgiftshantering.
– I och med cyberattacken har vi uppmärksammat ett behov av att se över våra rutiner kring arkivering och gallring av personuppgifter samt övrig dokumentation i Adato. Det har vi nu gjort, säger Per Ragnarsson.
Alla personuppgifter som hör till tidigare anställda och där det inte finns några rehabiliteringsärenden kommer att gallras från Adato. En rutin införs om att personuppgifter som hör till medarbetare som avslutat sin anställning vid universitetet tas bort från systemet, förutsatt att det inte pågått ett rehabiliteringsärende. Enligt universitetets dokumenthanteringsplan ska all dokumentation kring ett rehabiliteringsärende bevaras. Denna dokumentation ligger i dagsläget i Adato.
– Vi håller nu på att undersöka möjligheten att arkivera dessa ärende internt, säger Per Ragnarsson.
Alla åtgärder sammantaget gör att universitetet nu anser att det känns säkert nog att börja använda systemet igen. Den 12 november kommer det åter vara tillgängligt.
Minimera antalet uppgifter
ITS undersöker också vilka personuppgifter som måste finnas i Adato. Ett önskemål är att endast föra över de uppgifter som behövs för att chefer och HR ska kunna bedriva ett förebyggande och efterhjälpande rehabiliteringsarbete.
– Vi har som mål att minimera antal personuppgifter i systemet i syfte att öka tryggheten och säkerheten för våra medarbetare, säger Per Ragnarsson.
Nyligen meddelade Integritetsskyddsmyndigheten (IMY) att den beslutat att inleda granskningar med anledning av IT-angreppet mot Miljödata.
Den som är anställd eller tidigare anställd vid Umeå universitet och har frågor som rör Adato eller universitetets hantering av ärendet kan kontakta Personalenheten genom att mejla: ah.adm@umu.se.
