Loggning i automatiserade

matiserade behandlingssystem förs loggar över personuppgiftsbehand- ling i den utsträckning som det är särskilt föreskrivet.

Prop. 2018/19:163 _{Utredningens förslag överensstämmer med regeringens.}

Remissinstanserna: Datainspektionen avstyrker förslaget om att kravet

på loggning ska begränsas till automatiserade behandlingssystem och anför att begränsningen riskerar att försämra skyddet för den enskildes personliga integritet i förhållande till nuvarande regelverk. Övriga remissinstanser yttrar sig inte särskilt över förslaget.

Skälen för regeringens förslag

Nuvarande reglering

Som tidigare nämnts ställs krav på säkerhetsåtgärder i 31 § personupp- giftslagen. De anses även omfatta loggning och liknande åtgärder. Be- stämmelsen gäller för Säkerhetspolisen (2 kap. 2 § första stycket 7 och 6 kap. 4 § 1 polisdatalagen). Av Datainspektionens allmänna råd om säkerhet för personuppgifter framgår att det, beroende på känsligheten hos personuppgifterna, bör finnas en behandlingshistorik (logg) som sparas viss tid så att åtkomsten till uppgifterna kan kontrolleras. Enligt råden bör en behandlingshistorik normalt vara så detaljerad att den kan användas för att utreda felaktig eller obehörig användning av personuppgifter. Historiken bör, beroende på hur känsliga personuppgifterna är, ange t.ex. läsning, ändring, utplåning eller kopiering av personuppgifter (Säkerhet för personuppgifter, Datainspektionens allmänna råd, november 2008, s. 22).

Loggning ska ske i automatiserade behandlingssystem

Loggning är en säkerhetsåtgärd som innebär att behandlingshistorik sparas under en viss tid. Det är en teknisk funktion i systemet som fungerar automatiskt och som inte går att ändra eller påverka på annat sätt. Logg- ning fyller flera olika funktioner. Den ger den personuppgiftsansvarige information både om hur behandlingssystemen används och om externa och interna angrepp mot systemen. Loggning är således mycket viktig för det interna säkerhetsarbetet. Den ger också tillsynsmyndigheten nödvän- dig information för granskning i efterhand av hur personuppgifter har behandlats. I 3 kap. 5 § brottsdatalagen finns därför en bestämmelse som slår fast att det krävs loggning. En motsvarande bestämmelse bör tas in i Säkerhetspolisens nya lag. I vilken utsträckning loggning bör göras kan regleras i förordning.

I brottsdatalagen begränsas kravet på loggning till behandling i auto- matiserade behandlingssystem. Skälet för det är att dataskyddsdirektivet föreskriver denna begränsning (prop. 207/18:232 s. 181 f.). Trots Datain-

spektionen avstyrkande i denna del föreligger inte skäl att i den nya lagen

avvika från den begränsning som gjorts i brottsdatalagen gällande loggar. Säkerhetspolisens skyldighet att föra loggar bör alltså gälla behandling i automatiserade behandlingssystem.

Med automatiserade behandlingssystem avses för verksamheten särskilt utformade eller anpassade behandlingssystem där personuppgifter behandlas mer eller mindre strukturerat, t.ex. verksamhetsstöd i form av dokument- och ärendehanteringssystem och olika typer av register och databaser. Däremot bör standardprogram som Word, Outlook och Excel, av samma skäl som anges när det gäller dataskydd som standard, inte

omfattas av kraven på loggning. Olika lagringsytor, som t.ex. usb-minnen Prop. 2018/19:163 och anställdas personliga mappar på den egna datorn, bör också undantas

från de kraven. Personuppgiftsregleringen i övrigt gäller däremot för behandling som utförs i sådan programvara och på sådana lagringsytor även om de inte omfattas av de preciserade kraven på loggning. De närmare detaljerna kan regleras på lägre normgivningsnivå (jfr prop. 2017/18:232 s. 177).

Förslaget att de mer preciserade kraven på loggning ska begränsas till automatiserade behandlingssystem ska inte uppfattas som att kraven på annan behandling av personuppgifter i sådana system är lägre än vad som gäller för behandling i andra system.

Loggning är ett viktigt inslag i det övergripande kravet på att person- uppgiftsansvariga ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifterna, vilket innebär att loggning kan krävas även i andra fall. Vilka uppgifter som kan behöva loggas kan dock variera. Det kan t.ex. vara viktigare med loggning i system som ett flertal personer använder än i system som enbart ett fåtal har tillgång till.

Även om lagens krav på loggning inte gäller i andra system än auto- matiserade behandlingssystem bör Säkerhetspolisen när det är tekniskt möjligt ha loggning även i sådana system som inte omfattas av kravet. Loggning krävs normalt även där för att ge tillräckligt underlag för intern kontroll. Dessutom måste Säkerhetspolisen se till att behandling av integritetskänsliga personuppgifter inte utförs vid sidan av automatiserade behandlingssystem i syfte att kringgå lagens krav. Tillsynsmyndigheten bör också i enskilda fall kunna ställa krav på loggning om det är en skydds- eller säkerhetsåtgärd som är nödvändig för att behandlingen ska omgärdas med tillräckligt skydd.

Vad ska loggas?

Enligt förarbetena till brottsdatalagen är utgångspunkten att loggar bör föras över de typer av behandlingar som anges i artikel 25.1 i data- skyddsdirektivet, dvs. insamling, ändring, läsning, utlämning (inklusive överföringar), sammanförande och radering. Därutöver bör även överfö- ringar till tredjeland eller internationella organisationer loggas (prop. 2017/18:232 s. 176–178). Motsvarande bör gälla för Säkerhetspolisen. Det kan dock regleras i förordning eller i föreskrifter på lägre normgiv- ningsnivå.

En behandlingshistorik bör normalt vara utformad så att den avslöjar felaktig eller obehörig användning av personuppgifter. När det gäller läs- ning och utlämning av personuppgifter ska loggarna göra det möjligt att få fram viss typ av information. Eftersom loggning är ett automatiskt förfarande kan endast viss information om behandlingen dokumenteras. Det rör sig främst om datum och tidpunkt för behandlingen. Information om vem som har behandlat personuppgiften går också att få fram om de anställda har tilldelats behörigheter och det krävs inloggning i systemen. När det gäller utlämnande av uppgifter kan identiteten på den som har lämnat ut uppgifterna endast fastställas om de lämnats ut elektroniskt via systemet. Detsamma gäller överföringar till tredjeland eller internationella organisationer. Det bör dock vara möjligt att logga om en medarbetare har överfört, laddat ner eller skrivit ut uppgifter. Det är däremot inte möjligt

Prop. 2018/19:163 att logga om uppgifterna sedan lämnas ut på annat sätt än elektroniskt, t.ex. muntligen eller på papper. Det kan också vara svårt att logga om uppgifterna lämnas ut via e-post.

Hur ska loggarna användas?

Säkerhetspolisen för redan i dag loggar för att uppfylla kraven i 31 § personuppgiftslagen. Tanken är inte att myndigheten ska åläggas att föra ytterligare en logg enbart för personuppgiftsbehandlingen. De system för loggning som i dag används främst i informationssäkerhetssyfte bör normalt kunna användas även för kontroll ur ett integritetsskydds- perspektiv.

Syftet med loggning är att åtkomsten till personuppgifterna ska kunna kontrolleras, bl.a. för att göra det möjligt att utreda felaktig eller obehörig användning av uppgifterna. För att det ska kunna göras måste loggarna sparas en viss tid. Loggning kan också ha en förebyggande funktion. Det förutsätter att användarna informeras om att det förs loggar och att de kontrolleras. Loggningen bör alltså följas upp och loggarna skyddas mot otillåtna ändringar.

Det är viktigt att skilja mellan själva loggningen och uppföljning av loggningen. Logguppföljning bör göras systematiskt och återkommande i syfte att upptäcka och motverka obehörig åtkomst. Uppföljning bör också göras vid misstanke om att någon obehörigen tagit del av personuppgifter. Det kan vidare finnas anledning att följa upp behandlingshistoriken t.ex. på områden där det finns särskilt integritetskänsliga personuppgifter eller behörigheter som ger stora möjligheter till åtkomst. Det kan också finnas skäl att kontrollera vissa inloggningsmönster. Säkerhetspolisen bör ha ruti- ner för logguppföljningen. Myndigheten bör exempelvis ge riktlinjer och vägledning till den som kontrollerar loggarna beträffande vad som kan vara obehörig åtkomst. Vid logguppföljning måste också reglerna om meddelarfrihet och efterforskningsförbud i tryckfrihetsförordningen och yttrandefrihetsgrundlagen beaktas, vilket innebär att möjligheten till uppföljning i vissa fall begränsas eller kan vara otillåten.

Det är av största vikt att loggningssystem inte missbrukas eller används för andra syften än som varit avsett. I förarbetena till brottsdatalagen anges att det inte bör författningsregleras hur loggarna får användas, eftersom det skulle riskera att låsa fast myndigheterna vid ett visst arbetssätt eller omöjliggöra användning som kan visa sig vara nödvändig. Det innebär dock inte att användningen av loggar bör vara helt oreglerad. Utöver myndigheternas interna föreskrifter och riktlinjer får tillsynsmyndigheten ge vägledning för användningen av loggar, t.ex. genom allmänna råd och riktlinjer (prop. 2017/18:232 s. 180). Motsvarande bör gälla även för Säkerhetspolisen.

Loggarna utgör sådan dokumentation som tillsynsmyndigheten har rätt att på begäran få del av (avsnitt 15.5). Någon särskild bestämmelse som föreskriver att loggarna ska göras tillgängliga för tillsynsmyndigheten behövs därför inte.