Hoppa till innehåll på sidan

Säkerhetsåtgärder  

Alla har rätt till ett skydd för sitt privatliv och skydd av de personuppgifter som rör honom eller henne. Det följer av Europakonventionen, Europarådets dataskyddskonvention, EU:s stadga om de grundläggande rättigheterna, dataskyddsförordningen, GDPR, och regeringsformen. Informationssäkerhet är en viktig del av skyddet för privatlivet.

Flera skyldigheter enligt dataskyddsförordningen ska uppfyllas genom att implementera lämpliga tekniska och organisatoriska åtgärder för att uppnå syftet med skyldigheten. När det gäller kraven på informationssäkerhet handlar det om att skydda personuppgifterna och behandlingen av dem så att de registrerades fri- och rättigheter skyddas.

Personuppgiftsansvariga och eventuella personuppgiftsbiträden måste vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till den risk som behandlingen av personuppgifter utgör för fysiska personers rättigheter och friheter, särskilt när det gäller rätten till skydd av personuppgifter. Utgångspunkter för att bedöma en lämplig säkerhetsnivå är ”den senaste utvecklingen”, kostnaden för genomförandet av åtgärden, samt behandlingens art, omfattning, sammanhang och ändamål.

Tekniska och organisatoriska åtgärder

Tekniska åtgärder är sådana som ger data- eller systemsäkerhet, kommunikationssäkerhet eller fysisk säkerhet medan organisatoriska åtgärder omfattar sådant som styrdokument, processer, rutiner, metoder, analyser och utbildning.

Utformningen av tekniska åtgärder förutsätter ofta organisatoriska åtgärder för att åtgärden ska ge det skydd som behövs. Många åtgärder innehåller därför både tekniska och organisatoriska delar. När det gäller till exempel säkerhetskopior behövs rutiner och ställningstaganden kring hur kopiorna ska sparas, hur ofta de ska tas och hur länge de ska sparas, med mera. Ett annat exempel, behörighetsstyrning, kräver både tekniska funktioner för att kunna begränsa åtkomst liksom analyser av vem som behöver åtkomst till vilka uppgifter och när samt rutiner för hantering av behörigheterna.

Här listas exempel på organisatoriska åtgärder som kan vara lämpliga:

  • Styrdokument
  • Processer
  • Rutiner
  • Metoder
  • Hot-, risk- och sårbarhetsanalyser
  • Riskbedömningar, konsekvensbedömningar, lämplighetsbedömningar
  • Kontroll och avstämning (av att åtgärderna implementerats korrekt)
  • Revision och uppföljning/utvärdering
  • Incidenthantering
  • Kontinuitetsplanering

Här listas exempel på tekniska åtgärder som kan vara lämpliga:

Risker

De risker som ska bedömas är riskerna för fysiska personers rättigheter och friheter. Det är alltså inte fråga om risker för organisationen, samhället eller Sverige. Det är den registrerade som står i centrum. Risk kan i det här sammanhanget definieras som en brist, svaghet eller sårbarhet i samband med behandling av personuppgifter. Det kan också vara ett hot eller en händelse i anslutning till en behandling som kan ha en skadlig inverkan för efterlevnaden av dataskyddsprinciperna och som kan få negativa konsekvenser för enskildas fri- och rättigheter.

När det gäller riskreducerande informationssäkerhetsåtgärder ska särskild hänsyn tas till risker som oavsiktlig eller olaglig förstöring, förlust eller ändring och obehörigt röjande av eller obehörig åtkomst till personuppgifterna.

Hur sannolik och allvarlig risken för den registrerades rättigheter och friheter är bör utgå utifrån behandlingens art, omfattning, sammanhang och ändamål och ska utvärderas objektivt.

Risker för fysiska personers rättigheter och friheter kan uppkomma vid personuppgiftsbehandling som skulle kunna medföra

  • fysiska, materiella eller immateriella skador,
  • diskriminering,
  • identitetsstöld eller bedrägeri,
  • ekonomisk förlust,
  • skadat anseende,
  • förlust av konfidentialitet när det gäller personuppgifter som omfattas av tystnadsplikt,
  • obehörigt hävande av pseudonymisering,
  • betydande ekonomisk eller social nackdel,
  • att registrerade inte kan utöva sina rättigheter och friheter,
  • att registrerade hindras att utöva kontroll över sina personuppgifter.

Risker kan uppkomma vid hantering av känsliga personuppgifter eller information om lagbrott, behandling av personuppgifter om sårbara personer, samt vid omfattande datahantering med många registrerade. Profilering och analyser av personuppgifter kan också medföra risker, särskilt när det handlar om

  • arbetsprestationer,
  • ekonomisk ställning,
  • hälsa,
  • personliga preferenser eller intressen,
  • tillförlitlighet eller beteende,
  • vistelseort eller förflyttningar.

Lämplighetsbedömning

Personuppgiftsansvariga och personuppgiftsbiträden ska vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. Vad som är lämpligt bestäms av ett antal faktorer som ska ingå i en lämplighetsbedömning. Utöver risken som behandlingen utgör för enskildas friheter och rättigheter ska följande faktorer vägas in:

  • Kostnaden
    Hur mycket kostar det att genomföra åtgärden? Kostnaden ska stå i proportion till behandlingen och den risk som behandlingen utgör.
  • Den senaste utvecklingen
    Vilken teknik finns tillgänglig? Vilka organisatoriska åtgärder är vedertagna i sammanhanget? Här ger etablerade standarder vägledning, både formellt vedertagna och de facto-standarder. Myndighetsvägledningar, föreskrifter och allmänna råd ger också uttryck för vad som i olika situationer kan vara lämpligt liksom beslutade uppförandekoder och certifieringar enligt dataskyddsförordningen samt uttalanden från Europeiska dataskyddsstyrelsen, EDPB.
  • Behandlingens art
    Vilken typ av behandling är det som ska skyddas? Är det fråga om kommunikation, lagring eller bearbetning? Typen av behandling avgör vilka åtgärder som kan vara lämpliga. Är det fråga om känsliga eller på annat sätt integritetskänsliga personuppgifter? Sådana uppgifter förtjänar vanligtvis en högre grad av skydd, liksom personuppgifter om sårbara eller särskilt utsatta registrerade, exempelvis barn, varaktigt beslutsoförmögna eller individer i stark beroendeställning till den personuppgiftsansvariga.
  • Behandlingens omfattning
    Rör behandlingen ett stort antal registrerade eller innehåller den många personuppgifter om varje registrerad? En mer omfattande personuppgiftsbehandling är vanligtvis mer skyddsvärd än en mindre omfattande. Risken för obehörig åtkomst eller obefogad spridning av personuppgifterna ökar också ju fler användare som har möjlighet att ta del av personuppgifterna.
  • Behandlingens sammanhang
    Sker behandlingen i ett särskilt förtroligt sammanhang där den registrerade med rätta har höga förväntningar på konfidentialitet, till exempel på grund av tystnadsplikt eller sekretess? Sådana behandlingar förtjänar en hög säkerhetsnivå. Det kan röra sig om behandling inom hälso- och sjukvården, själavårdande situationer, i visselblåsarsammanhang, i kontakter med journalister som sker under källskydd eller med den registrerades advokat.
  • Behandlingens ändamål
    Är själva syftet med behandlingen integritetskänslig? Det kan till exempel handla om att tillhandahålla särskilda tjänster som kan vara avslöjande eller utpekande, situationer där de registrerade ska kontrolleras eller övervakas eller att på olika sätt profilera de registrerade.

Det är i praktiken många gånger ointressant om en viss beaktansvärd omständighet faller in under behandlingens art, omfattning, sammanhang eller ändamål, eller om den hör hemma i samband med en riskbedömning. Faktorerna utesluter inte varandra utan överlappar ofta varandra. Det spelar mindre roll vilken sak som är vilken, så länge alla viktiga omständigheter tas hänsyn till och resulterar i en lämplig säkerhet. I slutändan har ansvariga och biträden bara tillgång till de metoder och tekniker som finns och det gäller att använda dem på ett sätt så att de faktiskt ger skydd.

Senast uppdaterad: 15 november 2024
Sidans etiketter Dataskydd, Informationssäkerhet