Fortsätt att tänka säkert – även efter oktober
Den som behandlar personuppgifter måste säkerställa att detta sker med en lämplig nivå av säkerhet i förhållande till risken med behandlingen. Det är den personuppgiftsansvariga som ansvarar för och ska kunna visa att man implementerat lämplig säkerhet för personuppgiftsbehandlingen.
Inom dataskydd är det själva behandlingen av personuppgifterna som är det skyddsvärda och organisationens mål är att upprätthålla den registrerades fri- och rättigheter. Oavsett om man jobbar med informationssäkerhet, cybersäkerhet eller dataskydd så har man samma säkerhetsåtgärder att jobba med. Det innebär att en säkerhetsåtgärd som används inom ett av områdena även är en åtgärd som kan användas inom dataskyddet.
Utgå från riskerna
Det är med utgångspunkt i riskerna för den registrerades fri- och rättigheter som man ska införa en lämplig nivå av tekniska och organisatoriska åtgärder för att säkerställa dataskyddet. Oavsett vilken behandling av personuppgifter som man har behov av, om det är behandling i e-post eller i molntjänster, så är fokuset att skydda personuppgifterna och behandlingen av dessa mot obehörig eller otillåten åtkomst.
I det skyddet av data ingår även att skydda mot förlust, skada, förstöring eller förvanskning av personuppgifter vid behandlingen. Här behöver man hitta en lämplig skyddsnivå för den behandling man gör. Ett sätt att tänka kring detta är att bland annat ställa sig frågan: Vilka konsekvenser skulle det få om någon obehörig skulle ta del av en viss behandling? Minimerar de vidtagna åtgärderna risken att någon obehörig kan ta del av personuppgifterna om risken faller ut?
Har man hög risk i sin behandling så kräver det också en hög säkerhetsnivå. Det är även viktigt att kontinuerligt jobba med sina risker eftersom de förändras över tid och de åtgärder man implementerat i dag kan vara utdaterade i morgon vilket medför att risken kan behöva omvärderas.
Tekniska och organisatoriska åtgärder hänger ihop
Åtgärderna som man vidtar hänger ihop. En organisatorisk åtgärd, till exempel en policy eller instruktion, behöver ofta en teknisk åtgärd som komplement för att fylla sin funktion. På samma sätt behöver en teknisk åtgärd ofta kompletteras med en organisatorisk för att den ska få full effekt. En teknisk åtgärd som inte medföljs av en rutin om att den behöver uppdateras kommer snabbt bli föråldrad och resultera i ett otillräckligt skydd. Tänk på: det är samma verktygslåda man jobbar med inom dataskydd som inom cybersäkerhet, informationssäkerhet och IT-säkerhet, så dra nytta av det som redan är gjort!
Precis som inom allt säkerhetsarbete är det viktigt att följa upp, mäta och utvärdera säkerhetsåtgärdernas effekt. Om det inte går att mäta att en säkerhetsåtgärd fyller sin funktion kan den behöva omvärderas, ersättas eller kompletteras. Utan en kontinuerlig riskanalys är det också svårt att avgöra lämplig nivå på säkerhetsåtgärderna och hur dessa förändras över tid.
En central del i arbetet med informationssäkerhet och cybersäkerhet är ledningens uttalade stöd och förståelse. Det är viktigt att man i ledningen tar ett tydligt ledarskap, med åtagande i fråga om till exempel ledningssystemet för informationssäkerhet. Detta gäller även arbetet med informationssäkerhetsarbetet inom dataskydd.
Ett systematiskt, kontinuerligt och riskbaserat informationssäkerhetsarbete är ett bra stöd även för arbetet med dataskyddet. Då kan man få ihop en helhet och alla i organisationen blir involverade för att tillsammans säkerställa en lämplig nivå av säkerhet även vid behandling av personuppgifter.
Så kom ihåg – Tänk säkert och agera smart alla dagar om året!
Läs gärna mer om informationssäkerhet för verksamheter
Christelle Bourquin
Enhetschef, enheten för säkerhetstillsyn