Säkerhet

Personuppgiftsansvariga har en skyldighet att vidta lämpliga tekniska- och organisatoriska åtgärder för att säkerställa att säkerhetsnivån [1] är lämplig i förhållande till den risk, för de registrerades fri- och rättigheter, som behandlingen medför. Skyldigheten tar avstamp i principen om integritet och konfidentialitet.

Tekniska åtgärder kan vara brandväggar, kryptering, pseudonymisering, säkerhetskopiering och antivirusskydd. Organisatoriska åtgärder kan vara interna strategier, riktlinjer och instruktioner samt rutiner för informationssäkerhetsarbete (såsom till exempel riskanalysarbete och informationsklassningsarbete) och utbildningar i dataskydd och informationssäkerhet.

En viktig del är att ha rutiner och resurser för att upptäcka, begränsa, hantera, dokumentera och lära av incidenter samt i förekommande fall även rapportera personuppgiftsincidenter både internt och i förekommande fall till Integritetsskyddsmyndigheten (IMY).

Personuppgiftsincidenter (imy.se) Länk till annan webbplats.

Vad som är lämpligt bestäms utifrån riskanalyser, behandlingens art, omfattning, sammanhang och ändamål. Ju fler och känsligare personuppgifter ni behandlar desto högre krav ställs på säkerhetsåtgärder. I bedömningen ska ni också beakta den senaste teknikutvecklingen och kostnaderna det innebär att vidta säkerhetsåtgärderna. Särskild hänsyn ska tas till riskerna för förstöring, förlust eller ändring samt obehörigt röjande av eller obehörig åtkomst till personuppgifterna. Säkerställ även att ni har säkra överföringar och säker lagring av personuppgifter genom att de överföringar och lagringar som görs av personuppgifter är säkrade mot obehörig åtkomst och ändringar.

På samma sätt som ett strukturerat informationssäkerhetsarbete är en förutsättning för ett gott dataskydd är dataskyddet också en viktig del av informationssäkerhetsarbetet. Informationsklassning är en utgångspunkt för ett strukturerat informationssäkerhetsarbete. Den syftar till att värdera verksamhetens information utifrån vilka konsekvenser ett bristande skydd skulle kunna få. I arbetet med säkerhet är det viktigt att risker ur både ett tekniskt och organisatoriskt perspektiv tas med, och att arbetet sker i samverkan mellan flera olika tvärfunktionella kompetenser.

Myndigheten för samhällsskydd och beredskap (MSB), har tagit fram ett metodstöd för systematiskt informationssäkerhetsarbete.

Metodstöd för systematiskt infomationssätkerhetsarbete (msb.se) Länk till annan webbplats.

Stödfrågor för att bedöma informationssäkerhet

1. Har ni identifierat vilka typer av personuppgiftsbehandlingar det är fråga om?
   
2. Har ni identifierat vilken omfattning behandlingen har sett till antalet registrerade och antalet uppgifter om varje registrerad?
   
3. Har ni gjort en grundlig riskanalys utifrån de registrerades fri- och rättigheter?
   
4. Har ni vid riskanalysen identifierat att en personuppgiftsbehandling medför en hög risk för registrerades fri- och rättigheter?
   
5. Har ni identifierat vilka åtgärder som är lämpliga för att minska riskerna till en proportionerlig nivå?
   
6. Kan ni tekniskt begränsa åtkomst till personuppgifter så att anställda endast får tillgång till och hanterar de personuppgifter de behöver för att fullgöra sina arbetsuppgifter?