Beställarstöd för
kamerabevakningssystem
En skrift framtagen av SäkerhetsBranschens kamerabevakningssektion
Vad behöver jag som beställare känna till innan jag inför ett kamerabevakningssystem?
Som beställare ställs man ofta inför ett stort antal frågeställningar. Ni kan självklart anlita extern expertis, men ni behöver ändå ta reda på givna förut- sättningar för att komma vidare.
Kan jag nyttja samma lösning (risk- sårbarhetsanalyser, konsekvens- bedömningar etc.) som en branschkollega gjort för att snabba på processen?
Först och främst ska ni utgå ifrån er egna verksamhet även om det finns liknande verksamheter där man tagit fram lösningar. Dock ska ni absolut ta lärdom av dessa.
Kan jag sätta upp kameror i och runt omkring min arbetsplats utan tillstånd?
Den som ansvarar för insamling av personuppgifter, i detta fall i form av ka- merabevakning, är skyldig att säkerställa att den är laglig. Ni behöver känna till den lagstiftning som gäller, i detta fall Dataskyddsförordningen (GDPR) samt Kamerabevakningslagen (2018:1200) och vad som gäller vid införan- de av Kamerabevakning.
• Ni behöver förstå vem som får kamerabevaka, vad och var man får ka- merabevaka och vad som gäller om ni kamerabevakar.
• Ni behöver utföra och dokumentera en risk- sårbarhetsanalys. Om resultatet från riskanalysen visar på en hög risk för de registrerades fri- och rättigheter ska en konsekvensbedömning utföras för att se om och i så fall vilken omfattning kamerabevakning kan ske. Denna process skiljer sig oerhört mycket från olika verksamheter så det finns inget facit att gå efter.
• Även om ni är en privat aktör som inte enligt Kamerabevakningslagen behöver tillstånd, behöver ni på samma sätt analysera de hot och risker som finns och väga dessa mot de enskilda individernas integritet och efterleva dataskyddsförordningen.
• För kamerabevakning på en arbetsplats bör man välja den rättsliga grunden för intresseavvägning och med hjälp av den s.k. överviktsprin- cipen dokumentera sina risker och sitt behov. Arbetsgivaren har för- handlingsskyldighet enligt MBL. Ett tips är att läsa igenom blanketten för tillståndsansökan och försöka svara på dessa frågor så ni får med alla punkter. Den finns att ladda ned på Datainspektionens hemsida.
2
Det uppstår ofta frågetecken huruvida vår egna bedömning överens- stämmer med den som tillsynsmyndigheten Datainspektionen har.
Hur hanterar vi det?
• Stöter ni på frågeställningar som är oklara huruvida kamerabevakning är skälig eller ej kan man begära förhandssamråd hos Datainspektionen.
• Innan ni begär förhandsråd ska ni ha gjort en konsekvensbedömning som är väl dokumenterad. Ni ska också kunna redogöra för vilka risker som kvarstår och varför ni inte kunnat åtgärda dem.
• Dokumentationen av konsekvensbedömningen ska bifogas i er begäran om förhandssamråd.
3
Vilka kompetenskrav ska jag ställa på en eventuell leverantör av min kameraanläggning?
• Anlitad leverantör bör kunna vara behjälplig med, eller tillhandahålla tjänster i ert arbete med processarbetet kring risker och sårbarheter samt konsekvensbedömning om ni själva känner er osäkra.
• Ett sätt att säkerställa en grundläggande kompetens är att anlita en anläggarfirma som är certifierade enligt SSF 1061 Certifierad anläg- garfirma eller motsvarande, där certifierad personal projekterat samt installerat anläggningen.
• Leverantören bör ha en dokumenterad utbildning i de system som föreslås.
• Leverantören bör ha en dokumenterad utbildning och erfarenhet av nätverksinstallationer.
• Leverantören bör vara väl insatt i de risker som nätverksanslutna enheter medför, och kunna föreslå lösningar som minimerar riskerna för tex. dataintrång. Läs gärna mer i foldern Cybersäkerhet som Säker- hetsbranschen har gett ut.
Vad ska jag kräva av en anlitad konsult vid framtagandet av upphandlingsunderlag för en kamerainstallation?
• Anlita en konsult som har lång erfarenhet både praktiskt och teoretiskt från kamera- installationer.
• Konsulten ska vara lyhörd och väl insatt i er verksamhet och dess utmaningar.
• Konsulten ska kunna vara er behjälplig, eller tillhandahålla externa tjänster i ert arbete med processarbetet kring risker och sårbarheter samt konsekvensbedöm- ning om ni själva känner er osäkra.
• Konsulten ska vara väl insatt i rådande regelverk och normer.
• Konsulten ska vara väl insatt i nätverksinstallationer och rådande normer och standarder för det.
• Konsulten ska vara väl insatt i de risker som nätverksanslutna enheter medför, och kunna föreslå lösningar som minimerar riskerna för tex.
dataintrång. Läs gärna mer i foldern Cybersäkerhet som Säkerhets- branschen har gett ut och som du hittar på www.sakerhetsbranschen.se.
4
Vilken nivå på kompetens bör finnas
för olika roller inom de kravställande leden?
Inom denna del i säkerhetsbranschen går utvecklingen i en rasande takt.
Det är svårt för alla led att ständigt hålla sig uppdaterade vad gäller lagar och förordningar, normer och teknikutveckling. Beroende på vilken roll man har kräver det så klart olika kompetens.
I matrisen nedan beskrivs vad olika roller bör ha som grundkompetens och övrig rekommenderad kompetens:
0 = Inget behov 1 = Kännedom
2 = God kännedom om dess innehåll 3 = Expert
Kompetens Konsult Leverantör/
Installatör Säkerhets-
ansvarig Bestäl- lare/In- köpare
IT-avd.
Känna till vilka lagar och för- ordningar som gäller kame- rabevakning
2 2-3 2 1 1
Känna till normer och stan- darder som påverkar alla delar gällande kamerainstal- lationer. (SSF 1062, Sv Stan- dard SS 62676-xx)
2-3 3 2 0 1
Känna till normer och stan- darder som påverkar alla delar gällande Nätverksin- stallationer. (tex. Sv Standard SS EN-50173-xx)
2-3 3 1 0 3
Produktkännedom 2-3 3 1 0 1
Nya teknologier 2-3 2-3 1 0 1
Upphandlingsunderlag. Kän-
nedom om omfattning 3 2 2 2-3 1
Risk- och sårbarhetsanalyser,
konsekvensbedömningar 2-3 2-3 3 2 2
Cybersäkerhet 2-3 2-3 2-3 1 3
Utbildningar kamerateknik 2-3 3 1 0 0
Utbildningar lagar och regler 2-3 2-3 2 0 0
De föreslagna kompetenserna och nivå på dessa kan så klart variera, men ger ändå en bra fingervisning om vilken nivå per roll som rekommenderas.
5
Hur ska jag som ägare och brukare förvalta mina system på bästa sätt?
En kameraanläggning är oftast en stor investering som riktigt projekterad och installerad kommer att hålla i många år. Många komponenter i en kame- raanläggning ställer dock krav på regelbundet underhåll över tid för att op- timera driften. Underlåtelse av underhåll kan innebära att anläggningen den dag man verkligen behöver den som bäst, faktiskt inte fungerar som tänkt.
Vad ska jag tänka på?
• Standarder, det är väldigt viktigt att din leverantör följer de standarder som finns idag på marknaden. Följ standarder som är godkända och inte tillverkarunika så garanterar ni att investeringen som ni gör idag kommer att fungera även om 5, eller till och med 25 år. Standarder finns inom två områden av installationen:
1. Nätverket, de som installerar nätverket bör lämna ifrån sig ett testproto- koll för att garantera att de har följt gällande regler. Om de inte vill göra det kan ni förutsätta att de tänker avvika ifrån standard och potentiellt
”låsa” in er i en tillverkarspecifik lösning.
2. Bilden, här finns standarder som ser till att vi får det resultat vi önskar av kameran. Det gäller framförallt om kamerans syfte är identifikation.
Standarden SS EN 62676-4, handlar om 6 olika nivåer av bild/videokva- litet.
• Utrustning ska placeras på ett sådant ställe att miljön inte påverkar pro- duktens livslängd negativt. Låter som en självklarhet, men allt för ofta placeras t.ex. datorer och servrar i ej ventilerade utrymmen.
• Kameran ska med regelbundet intervall torkas av enligt tillverkarens anvisningar så att kamerans betraktningsområde är fullt synligt. Utsatta miljöer kan kräva ett tätare intervall.
• Se över att kamerans betraktningsområde inte blivit förändrat pga.
oaktsamhet. Se också till att inga skyltar eller dylikt satts upp framför kameran.
• Datorer/servrar samlar stora mängder damm via inbyggda fläktar.
Dessa ska regelbundet rengöras.
• Varje kamera bör regelbundet ses över så att den är i drift och spelar in som tänkt (om inspelning är aktuellt)
• Se över regelbundet att inspelning fungerar, och att export av material fungerar.
• Om möjligt, tillse att kamerasystemet automatiskt skickar fellarm till de- dikerade mottagare för att så tidigt som möjligt upptäcka felaktigheter.
6
• Planera för cyklist utbyte datorer/servar. Flertalet av datorer i ”vanlig IT-miljö” byts ut vart 3-4 år för att säkerställa att verksamheten funge- rar. Detta bör även gälla kamerasystemet. De är oftast påslagna dygnet runt och slits betydligt mer än en kontorsdator.
• Om ni har inspelning via NVR, minneskort eller dylikt, rekommenderas också planerat cyklist utbyte av lagringsmedia för att säkerställa att lag- ring inte fallerar pga. felaktiga diskar/minneskort.
• Se till att uppdatera programvaror och operativsystem regelbundet. Det upptäcks frekvent nya säkerhetshål som behöver täppas till. Detta gäller också kamerorna.
Teckna med fördel ett samarbetsavtal med din leverantör och skriv in i avta- let omfattning av underhåll och när de olika åtgärderna ska utföras.
7
Texten är framtagen av SäkerhetsBranschens kamerabevakningssektion.
SäkerhetsBranschen är en förening för säkerhetsföretag med över 500
medlemsföretag. Föreningen samlar aktörer inom säkerhet för att synliggöra och skapa opinion för säkerhetsfrågor för ett tryggare och säkrare Sverige.
SäkerhetsBranschen arbetar för fler och bättre affärer för våra medlemmar och deras kunder och bidrar till ett säkrare samhälle genom att
medlemmarna har rätt kompetens, agerar ansvarsfullt och levererar med hög kvalitet.
SäkerhetsBranschens kamerabevakningssektion är idag representerade av tillverkare, distributörer, systemintegratörer, installatörer och konsulter. Inom sektionen finns en gedigen kunskap och kompetens inom kamerabevakning, och man arbetar parallellt med flera olika fokusområden.
Läs mer på www.sakerhetsbranschen.se.