Säkerhetsåtgärder (punkt c) - Personuppgiftsbiträdesavtalets innehåll

4.2 Personuppgiftsbiträdesavtalets innehåll

4.2.4 Säkerhetsåtgärder (punkt c)

bakgrund i allmänhet möta större svårigheter med att använda sig av molntjänster än privata aktörer.

Sammantaget medför GDPR:s bestämmelse om konfidentialitet och tystnadsplikt krav på att biträdet ser till att de anställda som kommer i kontakt med personuppgifter är informerade och utbildade om vilka skyldigheter som gäller enligt GDPR och enligt personuppgiftsbiträdesavtalet. Förordningen kan därmed bidra till att öka medvetenheten om vikten av konfidentialitet och integritetsskydd inom molntjänstleverantörers verksamheter så att det är större sannolikhet att förordningens regler följs och att konfidentialiteten i personuppgifterna upprätthålls. Om uppgifternas konfidentialitet tryggas kan det leda till att fler företag, organisationer och myndigheter vågar ingå molntjänstavtal.

4.2.4 Säkerhetsåtgärder (punkt c)

4.2.4.1 Vikten av informationssäkerhet

Förpliktelsen att vidta säkerhetsåtgärder är det andra kravet på vad som ska regleras i personuppgiftsbiträdesavtalet som finns med i både Dataskyddsdirektivet och GDPR. Tanken är att säkerhetsåtgärder ska genomföras för att se till att informationssäkerheten är tillräckligt hög så att information kan skyddas från förlust, förvanskning och obehörig åtkomst genom exempelvis IT-attacker. Att upprätthålla en hög informationssäkerhet är av betydelse för alla typer av information, men är extra viktigt när det gäller personuppgifter eftersom enskildas personliga integritet måste skyddas.¹²⁸

Av artikel 28.3(c) i GDPR följer att personuppgiftsbiträdesavtalet ska föreskriva att personuppgiftsbiträdet ska vidta alla åtgärder som erfordras enligt artikel 32. I artikel 32 anges vilka säkerhetskrav som måste uppfyllas vid behandling av personuppgifter. På motsvarande sätt föreskriver artikel 17.3 i Dataskyddsdirektivet att parterna ska avtala om att skyldigheterna i artikel 17.1 ska åvila biträdet på samma sätt som den ansvarige. All personuppgiftsbehandling, oavsett om den genomförs av den personuppgiftsansvarige eller någon som behandlar uppgifter för dennes räkning, måste uppfylla säkerhetskraven. Syftet med reglerna är alltså att tillse att säkerhetsnivån inte försämras på grund av att personuppgifter behandlas av ett personuppgiftsbiträde istället för av den ansvarige.

Gemensamt för Dataskyddsdirektivet och GDPR är att de föreskriver att lämpliga säkerhetsåtgärder ska vidtas. Vad som är lämpligt beror enligt artikel 32 i GDPR och artikel 17 i Dataskyddsdirektivet på omständigheterna kring behandlingen, såsom hur känsliga personuppgifterna är, hur stora risker som är förenade med behandlingen, vilka tekniska lösningar som finns och vad det skulle kosta att genomföra dessa. Vid val av säkerhetsåtgärder kan man därför säga att hänsyn ska tas till hur stort behovet av åtgärderna är i förhållande till besväret med att vidta dem. Datainspektionen har i sitt allmänna råd om informationssäkerhet rekommenderat att den som behandlar personuppgifter bör:

- Kartlägga hotbilden

- Sätta mätbara mål för säkerhet - Fastställa policy för säkerhet

- Skapa en fungerande organisation för säkerhet

- Skaffa den utrustning som behövs och använda den rätt - Upprätta regler och rutiner

- Informera och utbilda kontinuerligt

- Följa upp att regler och rutiner efterlevs och respekteras - Testa säkerheten regelbundet129

Det allmänna rådet tar inte sikte på konkreta åtgärder som bör vidtas utan ger en generell rekommendation över de steg som bör ingå i ett ansvarsfullt säkerhetsarbete. Datainspektionen rekommenderar även, om än med viss reservation, att de som behandlar personuppgifter använder sig av checklistor när de analyserar risker och lämpliga åtgärder.¹³⁰ En sådan checklista som är anpassad specifikt för molntjänster är ”Cloud Computing, Information Assurance Framework” som utarbetats av ENISA.131

Datainspektionen påpekar dock att det finns en fara med att använda checklistor eftersom varje personuppgiftsbehandling i viss mån är unik och checklistan kanske inte är anpassad efter just den typ av molntjänst man tänkt använda sig av.¹³²

Av naturliga skäl finns det en stor mängd tänkbara säkerhetsåtgärder som kan vidtas för att förebygga alla möjliga typer av risker. Det är därför inte möjligt att inom

129 Datainspektionen, Säkerhet för personuppgifter – Datainspektionens allmänna råd, s. 27.

130 Datainspektionen, Tillsyn av Enköpings kommunstyrelses användning av molntjänsten Dropbox, s. 9.

131 ENISA, Cloud computing – Information Assurance Framework.

ramen för denna uppsats göra en heltäckande analys av informationssäkerhet vid behandling av personuppgifter. Istället ligger fokus i nedanstående avsnitt på två säkerhetsaspekter som förändras genom GDPR och som är särskilt relevanta för molntjänster, nämligen pseudonymisering och kryptering. Frågor om radering av personuppgifter och kontroll av personuppgiftsbiträdet har också koppling till informationssäkerhet och är av intresse för personuppgiftsbiträdesavtalet. Dessa aspekter behandlas istället under avsnitt 4.2.8 om åtgärder vid avtalets upphörande respektive 4.2.9 om information och inspektion.

4.2.4.2 Pseudonymisering och kryptering

Pseudonymisering innebär, som ovan nämnts under avsnitt 3.4.2, att uppgifter som inte självständigt kan användas för identifiering separeras från direkta identifikatorer, alternativt att ett identifierande attribut ersätts med någon annan beteckning, så att identifiering inte kan ske utan kompletterande uppgifter. Exempelvis kan ett namn bytas ut mot en bokstavs- och sifferkombination så att personerna Anders Andersson benämns A1 och Anna Bengtsson benämns A2. På så vis kan andra uppgifter som finns om personerna, såsom deras arbetstitel, lön eller ett värdeomdöme från chefen, inte användas för identifiering. Det krävs tillgång till kompletterande information om vilket attribut som bytts ut mot vad för att personerna ska kunna identifieras. Pseudonymisering försvårar alltså identifiering. Ett tekniskt sätt att åstadkomma pseudonymisering är att använda sig av kryptering, det vill säga metoder för att göra uppgifter oläsbara för alla som inte är behöriga och har en nyckel för att låsa upp innehållet. För att uppgifter ska ses som pseudonymiserade måste de kompletterande uppgifterna som möjliggör identifiering förvaras separat och skyddat enligt artikel 4.5 i GDPR.

Genom GDPR etableras pseudonymisering och kryptering som dataskyddsstandarder och användning av teknikerna uppmuntras enligt ingresspunkt 29. Personuppgifter som har pseudonymiserats ses fortfarande som personuppgifter och utesluter inte andra åtgärder för dataskydd.133 Däremot kan pseudonymisering enligt ingresspunkt 28 vara ett effektivt sätt att minska riskerna med personuppgiftsbehandling och underlätta för personuppgiftsansvariga och -biträden att uppfylla förordningens regler.

Användande av pseudonymisering erbjuder flera fördelar. Exempelvis kan det öka möjligheterna att få behandla personuppgifter för andra ändamål än för vilka de samlats in enligt artikel 6.4(e) samt underlätta behandling för vetenskapliga, historiska och statistiska ändamål enligt artikel 89.1. Pseudonymisering anges också som en lämplig åtgärd för att uppfylla GDPR:s krav på inbyggt dataskydd (privacy by design) enligt artikel 25. Den kanske främsta betydelsen av pseudonymisering och kryptering för molntjänster är dock att teknikerna pekas ut som exempel på lämpliga säkerhetsåtgärder i artikel 32.1(a). Molntjänstleverantörer som har vidtagit sådana åtgärder kan alltså visa att de uppfyller förordningens och därmed personuppgiftsbiträdesavtalets krav. Åtgärderna kan även ha stor betydelse för den personuppgiftsansvarige. Enligt artikel 34 måste nämligen information om personuppgiftsincidenter lämnas till de registrerade på ett tydligt och klart sätt. Det kan innebära mycket dålig publicitet för ett företag om man tvingas meddela alla sina användare om att deras personuppgifter har stulits i en IT-attack till följd av säkerhetsbrister. Av stor betydelse är därför stadgandet i artikel 34.3(a) som säger att de registrerade inte behöver informeras, om lämpliga tekniska och organisatoriska säkerhetsåtgärder har genomförts. Det innebär att om ett företag före exempelvis en IT-attack krypterat personuppgifterna undgår man informationskravet. GDPR skapar därigenom incitament att pseudonymisera och kryptera personuppgifter. En personuppgiftsansvarig molntjänstkund bör därför vara angelägen om att se till att leverantören har vidtagit lämpliga säkerhetsåtgärder, såsom pseudonymisering och kryptering. För leverantörer medför det att pseudonymisering och kryptering kan bli användbart i marknadsföringssyfte och leda till att kunder väljer deras tjänst. En ytterligare aspekt som förstärker incitamenten att vidta lämpliga säkerhetsåtgärder är de kraftiga sanktioner som annars kan drabba molntjänstkunden och -leverantören.¹³⁴ Dessutom har alla enskilda som lidit skada rätt till ersättning enligt artikel 82.1. Det kan bli särskilt betungande om den ansvarige har tvingats informera alla sina användare om att man har brustit i säkerheten för personuppgifterna.

134 Om leverantören i egenskap av biträde inte uppfyller sina skyldigheter avseende informationssäkerhet kan man enligt artikel 83.4(a) åläggas administrativ sanktionsavgift på upp till €10 miljoner eller 2 % av den globala årsomsättningen.

In document Personuppgifter i molnet Avtalsrelationen mellan personuppgiftsansvarig och -biträde i ljuset av EU:s dataskyddsreform (Page 50-54)