Åsa Borin: Åtgärder med anledning av internrevision

Den 28 april hade universitetsstyrelsen sitt senaste sammanträde. Förutom det viktiga beslutet rörande prorektor för de kommande sex åren behandlades också bland annat två internrevisionsrapporter vid styrelsemötet. Det rörde dels institutionsgranskningar som internrevisionen genomfört under 2024 och dels en granskning av universitetets IT-säkerhet.

Vad gäller institutionsgranskningarna lyftes tre rekommendationer till universitetsledningen för åtgärder på universitetsövergripande nivå – rapportering av bisysslor, personuppgiftsbehandling och informationssäkerhet. Lärare vid Stockholms universitet ska årligen rapportera in i Primula om de har bisysslor, även om man inte har bisysslor ska det anges att man tagit del av informationen och intyga att man inte har bisysslor. Internrevisionen påpekar att efterlevnaden av universitetets regelverk gällande bisysslor brister. Även när det gäller personuppgiftsbehandling fann internrevisionen brister. Rektor beslutade strax innan jul om ett omfattande regelverk rörande genomförande av dataskydd vid universitetet samt en handläggningsordning för omhändertagande av registrerades rättigheter. Nu behöver detta systematiska arbete implementeras. Nästa steg är att samtliga institutioner ska ha upprättat en registerförteckning enligt artikel 30 GDPR senast 30 september 2025. Förvaltningen har utarbetat stödmaterial för att underlätta arbetet och ytterligare möjligheter till stödåtgärder är under utarbetande. Vad gäller informationssäkerhet gäller det även här att etablera och utveckla det systematiska arbetet vilket också hänger samman med åtgärder rörande IT-säkerhet.

I granskningen rörande IT-säkerhet konstaterar internrevisionen att den interna styrningen och kontrollen vid universitetet är otillfredsställande och innehåller allvarliga brister som behöver åtgärdas. De konstaterade bristerna återfinns inom alla delar av universitetets IT-verksamhet. De kritiska sårbarheter som identifierats vid granskningen ska åtgärdas omgående och en plan för att långsiktigt höja nivån på IT-säkerhetsarbetet och säkerställa en god IT-säkerhetsmiljö ska utarbetas. Rektor beslutade också nyligen om ett nytt styrdokument, Handläggningsordning för ansvarsfördelning och vägledning avseende säkerhetsåtgärder i informationssystem vid Stockholms universitet. Dokumentet förtydligar ansvaret för IT-säkerhet och uppföljning. Det är alltid den svagaste länken som utgör det största hotet. Här behöver vi med gemensamma krafter ta steg för en reell förflyttning när det gäller IT-säkerhetsarbetet.

Ska vi lyckas göra de förflyttningar som krävs för att uppfylla lagar och regler utan allt för stor administrativ överbyggnad är det viktigt att alla delar inom universitetet ser och tar sitt ansvar och att vi tillsammans arbetar för att lösa uppgifterna.

Texten är skriven av universitetsdirektör Åsa Borin under vinjetten ”Ledningen har ordet” där universitetets ledning turas om att skriva om aktuella frågor. ”Ledningen har ordet” ingår i ett nyhetsbrev som skickas till alla medarbetare vid universitetet.