JURIDISKA INSTITUTIONEN
Stockholms universitet”Lämpliga” säkerhetsåtgärder
- vid personuppgiftsbehandling
Sara Bergklint Examensarbete i Rättsinformatik, 30 hp Examinator: Stockholm, Höstterminen 20172
Abstract
The General Data Protection Regulation (GDPR) will apply within the European Union from the 25 May 2018 and will be a reform of data protection for personal data. The GDPR includes regulations on safety requirements when processing personal data that data controllers must abide by. This thesis examines the use of the word “appropriate” in regard to those safety requirements and aims to answer the question of how that word is supposed to be understood when it comes to technical and organizational security measures and security levels. The purpose of this thesis has been reached with the guidance of existing legislation, government publications and doctrine.
First the current legislation in the form of the Data Protection Directive has been examined to see what has been considered appropriate technical and organisational security measures and what has been considered an appropriate security level. Then the regulation of security measures that the GDPR imposes has been examined to see how much help from the previous regulation can be had to answer the questions that surrounds the use of appropriate technical and organisational security and an appropriate security level. The scope of this thesis will be delimited to the relevant safety requirements regulations, specifically safety requirements that applies to data controllers that process personal data in Sweden.
3
Innehåll
Abstract ... 2 Förkortningar ... 5 1. Inledning ... 7 1.1 Bakgrund ... 7 1.2 Problemformulering ... 8 1.3 Syfte ... 91.4 Metod och material ... 10
1.5 Avgränsningar ... 13
1.6 Disposition ... 14
2. Reglering av säkerhet vid personuppgiftsbehandling ... 15
2.1 PUL ... 15
2.2 Myndighetspublikationer ... 18
2.2.1 Datainspektionens allmänna råd ... 18
2.2.2 Datainspektionens faktablad ... 24
2.2.3 Myndigheten för samhällsskydd och beredskaps riskanalysverktyg ... 26
2.2.4 Myndigheten för samhällsskydd och beredskaps förskrifter för statliga myndigheters risk- och sårbarhetsanalyser ... 29
2.2.5 Myndigheten för samhällsskydd och beredskaps säkerhetsåtgärdsverktyg .... 30
2.3 Internationella standarder ... 32
2.4 Artikel 32 allmänna dataskyddsförordningen ... 34
3. Beaktningsgrunder vid avgörande av lämplighet enligt artikel 32 allmänna dataskyddsförordningen ... 37
3.1 Genomgång av beaktningsgrunderna ”den senaste utvecklingen samt genomförandekostnaderna” ... 38
3.2 Genomgång av beaktningsgrunden ”av behandlingens art, omfattning, sammanhang och ändamål” ... 39
3.3 Genomgång av beaktningsgrunden ”riskerna” ... 42
4. Analys av begreppet ”lämpliga” enligt båda regleringarna ... 44
4.1 Begreppet ”lämpliga” enligt 31 § PUL ... 44
4.2 De olika regleringarnas formuleringar ... 47
4.3 Begreppet ”lämpliga” enligt Artikel 32 Allmänna dataskyddsförordningen ... 52
4.3 Sammanfattning och slutsatser ... 56
4
5.1 Litteratur ... 58
5.1.1 Tryckt material ... 58
5.1.2 Artiklar ... 58
5.1.3 Elektroniskt material ... 58
5.1.4 Yttrande och vägledningar ... 58
5.2 Offentligt tryck ... 59
5.2.1 Propositioner ... 59
5.2.2 Statens offentliga utredningar ... 59
5.3 Författningar ... 59
5.4 Opublicerade rättsfall ... 59
5.5 EU- rättsligt material ... 60
5.5.1 EU- lagstiftning ... 60
5.5.2 Övrigt EU- rättsligt material ... 60
5.6 Europarådet ... 60
5
Förkortningar
A29WP Article 29 Data Protection Working Party, EU-
kommissionens arbetsgrupp kring dataskydd Allmänna dataskyddsförordningen Europaparlamentets och rådets förordning (EU)
2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av
personuppgifter och om upphävande av direktiv 95/46/EG (på engelska benämnd General Data Protection Regulation
BYOD Bring Your Own Device
Datalagen Datalag (1973:289)
Dataskyddskonventionen Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter
Dataskyddsdirektivet Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fira flödet av sådana uppgifter (på engelska benämnd Data Protection Directive)
DI Datainspektionen
EDPL European Data Protection Law Review
EU Europeiska unionen
ISO Internationella standardiseringsorganisationen
MSB Myndigheten för samhällsskydd och beredskap
NIS- direktivet Europaparlamentets och rådets direktiv (EU)
2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen
6
1. Inledning
I följande kapitel kommer bakgrunden till framställningen presenteras samt problemformulering, syfte, metod och material, avgränsningar och disposition.
1.1 Bakgrund
Idag använder människor teknik och internet privat och i tjänsten mer eller mindre konstant. Utvecklingen av tekniska hjälpmedel och det faktum att man nästintill aldrig är frånkopplad har kommit att definiera det moderna samhället. Både den offentliga verksamheten och den privata sektorn kretsar idag kring tekniska hjälpmedel vilket innebär ett helt nytt sätt att hitta och lagra information, sköta administration samt kommunicera. Det moderna sättet att kommunicera har också inneburit en spridning av information okontrollerat över hela världen främst genom det stora användandet av internet. I takt med detta har också hanteringen av personuppgifter ökat och den hanteringen sker inte enbart nationellt utan över både hela EU och resten av världen. Hantering av personuppgifter innebär ett ingrepp i den personliga integriteten mot vilket den enskilde har rätt att skyddas mot genom internationella konventioner och regelverk. Dock finns det inget absolut skydd mot att få sina personuppgifter hanterade utan det finns legitima skäl till att hantera personuppgifter så som yttrandefriheten, informationsfriheten samt när den enskilde samtycker till hantering.
Trots att hantering av personuppgifter har utvecklats under senare år så innebär inte det i sig att det är något nytt fenomen utan det har varit en del av samhällets vardag länge och har därför också varit reglerat i någon form under en längre tid. Det svenska personuppgiftsskyddet består idag av reglerna i personuppgiftslagen (1998:205) (PUL) och grundar sig på EU- direktivet, Data Protection Directive (nedan dataskyddsdirektivet). Dataskyddsdirektivet tillkom år 1995 och de motsvarande svenska reglerna blev gällande år 1998. Innan PUL reglerades personuppgiftsbehandling i datalag (1973:289) (datalagen). Det var datalagen som inrättade Datainspektionen(DI) som tillsynsmyndighet.1 Datalagen behövde dock ersättas för att genomföra dataskyddsdirektivets implementering i svensk rätt och innebar en uppdatering av regleringen inom ett sådant tekniskt område som informationssäkerhetsområdet utgör.
8 Det har funnits en frustration runt PUL och det bakomliggande direktivet i och med bristen på sanktioner när regleringen inte har följts på ett korrekt sätt. Den upplevda tandlösheten var inte den enda problematiken med regleringen i PUL. PUL och det bakomliggande direktivet blev även drabbat av den alltför vanliga bristen i att lagstiftningen inte klarar av att hålla jämntakt i den snabba tekniska utvecklingen.2 Från ett europeiskt perspektiv har det även funnits en uppfattning av att direktivet har tillämpats alltför olika i olika medlemsstater vilket har ansetts utgöra ett problem för den inre marknaden.3
Den nya EU- förordningen, General Data Protection Regulation (nedan allmänna dataskyddsförordningen), har presenterats som en lösning på dessa problem. Allmänna dataskyddsförordningen träder i kraft den 25 maj 2018 och kommer med stora förändringar av hur personuppgifter ska hanteras inom den europeiska unionen. Förordningen har, förutom med ovannämnda problematik, motiverats med att det innebär ett starkare skydd för individens friheter och rättigheter.4
Allmänna dataskyddsförordningen må vara det sätt som valts för att lösa problemen som uppstått men detta till trots vore det naivt att tro att den nya regleringen inte kommer föra med sig några nya svårigheter eller problem. Det faktum att allmänna dataskyddsförordningen innehåller sådana höga administrativa sanktionsavgifter såväl som skadestånd för enskilda kommer i sig att innebära nya problem för organisationerna som behandlar personuppgifter. Detta i kombination med de ”nya” rättigheterna som enskilda tillskrivs i förordningen har redan orsakat diskussioner och det finns en viss oklarhet i hur långtgående förordningen är samt hur långtgående den bör vara. Detta gör att det råder en förvirring bland organisationer som hanterar personuppgifter kring hur vissa artiklar ska förstås eller vad som faktiskt krävs för att leva upp till kraven som ställs i förordningen.
1.2 Problemformulering
Det finns en vaghet i formuleringen av allmänna dataskyddsförordningen och en ovisshet i hur den praktiskt ska tillämpas. Trots denna vaghet och ovisshet ställer förordningen höga krav på alla organisationer som behandlar personuppgifter, oavsett om det är myndigheter eller företag. Som kan märkas på näringslivet och myndigheters reaktion på att implementationen av
2 Se SOU 2016:41, s. 32–33.
3 Se skäl 3–10 allmänna dataskyddsförordningen. 4 Se skäl 9 och 6–7 allmänna dataskyddsförordningen.
9 förordningen närmar sig så finns det en ekonomisk motivation i form av de höga administrativa sanktionsavgifterna samt enskildas rätt till skadestånd att leva upp till allmänna dataskyddsförordningens krav men också en stor osäkerhet kring hur man gör sin organisation redo för allmänna dataskyddsförordningen. Det faktum att förordningen är tänkt att klara av tekniska framsteg utan att behöva revideras innebär också vissa svårigheter för den personuppgiftsansvarige i hur den ska tolkas och hur den praktiskt ska efterföljas. Den ekonomiska motivationen i form av administrativa sanktionsavgifter och skadestånd samt problematiken kring att lagstiftningen ska vara teknikneutral är närvarande, bland annat, i säkerhetskraven vid personuppgiftsbehandling som finns i artikel 32 i allmänna dataskyddsförordningen.
Det finns därför anledning att titta närmare på säkerhetskraven vid personuppgiftsbehandling i artikel 32 i allmänna dataskyddsförordningen. Detta kommer göras utifrån den huvudsakliga frågeställningen:
- Hur ska begreppet ”lämpliga” enligt artikel 32 1 st. allmänna dataskyddsförordningen tolkas och tillämpas?
Besvarandet av frågeställningen kommer att inkludera en analys av följande underfrågor: - Hur har begreppet ”lämpliga” använts i förhållande till personuppgiftsbehandling i den
tidigare regleringen?
- I vilken mån finns det utrymme för att ta stöd av PuL, praxis utifrån PuL, doktrin och myndighetspublikationer i förståelsen av den kommande regleringen?
- Vilken hjälp till att förstå begreppet ”lämpliga” kan fås av beaktningsgrunder i artikel 32 i allmänna dataskyddsförordningen?
1.3 Syfte
Syftet med denna framställning är således att ge en lösning på hur organisationerna som behandlar personuppgifter ska förstå kraven som artikel 32 ställer på säkerheten vid personuppgiftsbehandlingen. Detta syfte ska uppnås genom att granska den nuvarande regleringen av säkerhetskraven samt den praxis och doktrin som den regleringen har gett upphov till. Den granskningen, i kombination med den ledningen som givits från lagstiftningsarbetet kring allmänna dataskyddsförordningen, ska sedan användas för att ge ledning till hur den kommande regleringen ska tillämpas.
10 1.4 Metod och material
I denna framställning har tre rättsliga metoder använts. Den övergripande metoden har varit den rättsdogmatiska metoden men den rättsinformatiksvinkeln som beskrivs i Svantessons artikel, ”A legal method for solving issues of internet regulation; applied to the regulation of cross-border privacy issues ”, har använts kontinuerligt.
Den rättsdogmatiska metoden, eller den mer korrekt benämnda rättsanalytiska metoden5, innebär ett användande av de traditionella rättskällorna; lagstiftning, rättspraxis, doktrin och förarbeten.6 Användandet av rättskällorna går ut på att besvara på en konkret frågeställning eller problemformulering vilket ställer krav på att formuleringen av det som efterfrågas är precis. Det som efterfrågas är essentiellt för att kunna använda källorna på ett korrekt sätt. Vikten på att frågeställningen är formulerad korrekt är dock det som kan utgöra kritik mot den rättsdogmatiska metoden då det kan leda till oväntade och ifrågasatta slutsatser.7 Svantessons metod lägger också fokus på vikten av att identifiera problemet och formulera en frågeställning som ska besvaras. Detta utgör första steget i metoden.8
Frågeställningen i denna framställning har definierats utifrån de svårigheter som allmänna dataskyddsförordningen utgör för organisationerna som behandlar personuppgifter. Speciellt med tanke på den stora påverkan som allmänna dataskyddsförordningen kommer att ha samt de stora ekonomiska konsekvenser som kan komma att drabba organisationerna som inte lever upp till kraven i förordningen, där inkluderat kraven på säkerhetsåtgärder som ställs i artikel 32.
Svantessons artikel innehåller en metodbeskrivning som använder sig av tio steg för att illustrera hur metoden fungerar. Första steget är som ovannämnt att identifiera problemet och formulera en frågeställning att besvara. Steg två och tre är att identifiera begränsningar som en möjlig lösning möter inom ramen för problemet och steg fyra är att utvärdera hur de identifierade begränsningarna påverkar varandra. Steg fem till sju utgör den delen av metoden som är riktad åt att samla information med olika anfallsvinklar. Steg åtta till tio, de sista stegen,
5 Se Korling, Fredric, Zamboni, Mauro (red.), Juridisk metodlära, 1u., Studentlitteratur AB, Lund, 2013, s. 24. 6 Se Korling; Zamboni, s. 21.
7 Se Korling; Zamboni, s. 23.
8 Se B. Svantesson, Dan Jerker, A legal method for solving issues of internet regulation; applied to the
regulation of cross-border privacy issues, EUI Working Papers, Law 2010/18, Department of Law European
11 är ägnade åt att använda det som funnits i de tidigare stegen till att konstruera en lösning på det identifierade problemet.9 Metoden är framtagen för att användas till att besvara frågeställningar och lösa problem inom rättsinformatikens rättsområde.10
Det var därför metoden valdes att användas till viss del i denna framställning. Metoden har inte använts fullt ut då steg två till fyra inte har tillämpats lika detaljerat som metoden beskrivit. Detta med anledning av att det inte hade varit realistiskt att identifiera de olika möjliga begränsningarna i den kommande regleringen då det inte är möjligt idag att säga hur regleringen kommer att bli med tanke på regleringens internationella natur. Den rättsanalytiska metoden har kombinerats med de informationssamlande stegen av Svantessons metod för att prioritera vilka källor som främst har samlats information från. Det har även kombinerats för att granska informationen som samlats in. Källor utanför de traditionella rättskällorna har varit nödvändiga att använda sig av under denna framställning, som en del av användande av Svantessons metod. Det material som främst har använts i framställningen är till viss del från de olika rättskällorna vilket är använt utifrån både den rättsdogmatiska metoden samt Svantessons metod. Lagstiftning i form av PUL och allmänna dataskyddsförordningen har varit en naturlig utgångspunkt för framställningen med anledning av att frågeställningen med tillhörande underfrågor som denna framställning ska besvara har sin grund i både den allmänna dataskyddsförordningens reglering och regleringen i PuL. Även Europaparlamentets och rådets direktiv 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (NIS- direktivet) samt Europaparlamentets och rådets förordning nr 45/2001 om skydd för enskilda då gemenskapsinstitutionerna och gemenskapsorganen behandlar personuppgifter och om den fria rörligheten för sådana uppgifter (12.1.2001) har i den mån behandlats i denna framställning för att besvara frågeställningen. Doktrinen och myndighetspublikationerna har innehaft en framträdande roll i den deskriptiva delen för att ge grunden till lagstiftningen samt för att ge hjälp till att besvara hur lagstiftningen, främst då den nuvarande, ska förstås och användas. Bland de myndighetspublikationer som använts till framställningen har även allmänna råd från DI använts, detta för att trots att råden inte är bindande så har de kunnat anse spegla hur tillsynsmyndigheten ser på regleringen i praktiken. Myndighetspublikationerna som har använts har publicerats av Myndigheten för samhällsskydd och beredskap (MSB) och DI. Även förarbeten varit en relevant del av materialet
9 Se Jerker B. Svantesson, s. 9. 10 Se Jerker B. Svantesson, s. 1.
12 som har använts för att presentera hur regleringarna ska förstås och praxis i form av rättsfall samt myndighetsuttalanden i hur regleringen praktiskt har förståtts. Till viss del har Statliga offentliga utredningar (SOU) använts som källa för att besvara hur den kommande regleringen kan komma att se ut eller tolkas. Detta trots att utredningarna ännu inte har lett till någon lagstiftning eller propositioner och därför inte ännu utgör förarbeten. I och med att en del av den regleringen som berörs i denna framställning utgör reglering som ännu inte har trätt i kraft finns det anledning att använda sig av material som ännu inte utgör en rättskälla. Detta för att kunna föra ett argument kring hur den kommande regleringen kan komma att tolkas.
En del internationellt material har använts i denna framställning också, främst för att ge svar kring hur beaktningsgrunderna i artikel 32 allmänna dataskyddsförordningen ska förstås. Bland det internationella material som använts har publikationer från Article 29 Data Protection Working Party (A29WP) varit framträdande men även artiklar från European Data Protection Law Review (EDPL) har använts för förståelsen av artikelns beaktningsgrunder. Dessa utgör inte traditionella rättskällor men har använts inom ramen för Svantessons metod som källor. A29WP utgör en fristående arbetsgrupp under europeiska kommissionen som publicerar icke bindande åsikter och råd som hjälpmedel för förståelse av EU- lagstiftning och beslutsfattande inom informationssäkerhetsområdet.11 EDPL utgör en juristtidskrift som publicerar just artiklar rörande dataskydd och informationssäkerhet och artiklarna som har använts därifrån är sådant som utgör internationell doktrin inom rättsområdet. Förutom dessa källor med internationellt material så har internationellt material använts i syfte att förstå säkerhetsåtgärderna rekommenderade enligt myndighetspublikationerna utifrån den nuvarande regleringen. Detta har gjorts genom att internationella standarder i viss mån berörts, då specifikt ISO-standarderna. Materialet har samlats in med hänsyn till den frågeställning som denna framställning ska besvara och har använts enligt Svantessons metod för att förstå frågeställningen och därifrån konstruera en lösning på de ställda frågorna. Detta med den rättsanalytiska metodens hjälp i båda prioritera bland insamlad information samt genom analys av materialet kunna konstruera en lösning på frågeställningen.
Till viss del har i konstruktionen av lösningen den mer traditionella EU- rättsliga metoden använts. Främst för att inte glömma bort vikten av allmänna principer såsom proportionalitet inom EU- rätten i besvarandet av frågeställningen och förståelsen för lagstiftningen. Denna framställning presenterar främst svensk rätt och till viss grad svenska förarbeten. Den
13 huvudsakliga lagstiftningen eller grunden bakom lagstiftningen som berörs utgör dock EU- rätt i sin helhet. I och med det är det aktuellt att använda sig av EU- rättslig metod för att förstå och tolka den rätten. Speciellt proportionalitetsprincipen är att anse som viktigt inom frågorna som ska besvaras här. Detta i och med att det är en bedömning av vissa angivna beaktningsgrunder som ska ge svaret på vad det är som ska anses vara lämpligt i förhållande till säkerhetsåtgärder. Detta då bedömningen som ska genomföras enligt artikeln utgör en proportionalitetsbedömning mellan organisationernas intressen och de enskildas friheter och rättigheter.
1.5 Avgränsningar
Det valda fokuset i denna framställning har varit på att presentera den informationen som är relevant i artikel 32 för att besvara den relevanta frågeställningen. Dock är det begränsat i vad som kan presenteras och vad det finns utrymme för att diskutera, fokuset har därför varit på vad som är relevant för att besvara vad som omfattas av begreppet ”lämpligt”. Därför kommer det enbart presenteras en kort genomgång av de olika faktorerna som enligt artikel 32 ska tas i beaktandes och det kommer inte vara en fullständig genomgång av riskanalys, tekniska möjligheter eller kostnaderna som kan uppstå. Inte heller kommer övriga stycken av artikel 32 att beröras i denna framställning.
Inom den genomgång av riskanalys som denna framställning kommer att innehålla rörande båda regleringarna kommer, främst av utrymmesskäl, inte de teorier och metoder som finns inom det extensiva området att behandlas mer än vad som är nödvändigt för att besvara frågeställningen. Framställningen kommer inte heller att hantera de särskilda krav som kan finnas i speciallagstiftning och som ställer krav på säkerhetsåtgärder för olika situationer eller som de berörda verksamheterna måste beakta.
Enligt förslaget till kompletterande lagstiftning till allmänna dataskyddsförordningen presenterat i den SOU som utrett behovet av sådan lagstiftning kommer inte den kompletterande nationella lagstiftningen att innehålla någon reglering specifikt rörande säkerhetsåtgärder.12 Med anledning av detta kommer också denna utredning och utredningens lagförslag att avgränsas från denna framställning utöver det som kan vara nödvändigt att förmedla för att bättre besvara frågeställningen.
14 Regleringen, både den nuvarande och den kommande, har sin grund i EU- rätt eller utgör EU- lagstiftning och en del av det som presenteras kommer därför vara influerat av den internationella aspekten. Denna framställning är däremot avsedd att rikta sig till svenska rättstillämpare trots att förordningen ska gälla likadant inom hela unionen. Detta med anledning av att det kommer att fortsätta finnas en nationell tillsynsmyndighet och det har inte funnits utrymme för utredning av dataskyddsdirektivet: s tillämpning internationellt. Det finns därför ett intresse att veta vad gällande rätt kommer att vara enligt svensk rätt och enligt den svenska tillsynsmyndigheten. Uppsatsen kommer därför inte beröra utländsk rätt utöver vad som kan vara nödvändigt för att förstå den svenska, utan vara avgränsad till att behandla svensk rätt samt den bakomliggande europeiska lagstiftningen.
1.6 Disposition
Uppsatsen är disponerad enligt följande. Inledningsvis kommer läsaren ges en genomgång av existerande och kommande reglering av säkerhet vid personuppgiftsbehandling. Genomgången kommer först att presentera vad som gäller idag enligt PUL, vad myndigheterna publicerat utifrån PUL: s reglering, internationella standarder och sedan vad som kommer att gälla enligt artikel 32 allmänna dataskyddsförordningen. Syftet med detta avsnitt är att ge läsaren förståelse för vad som krävs i nuläget och vad som kommer att krävas av säkerhetsåtgärder i framtiden samt vad som ligger i fokus i regleringen. Från vad som presenteras i regleringsavsnittet finns det vissa faktorer som kommer bli nödvändiga att förstå närmare för att kunna konstruera en lösning på framställningens frågeställning. Med anledning av detta kommer dessa beaktningsgrunder i ett avsnitt gås igenom kortfattat och begränsat till vad som krävs att förstå utifrån säkerhet vid personuppgiftsbehandling. Inledande kommer en genomgång av beaktningsgrunden som den senaste utvecklingen utgör att presenteras kortfattat med sammanhang av genomförandekostnaderna. Därefter kommer en genomgång av beaktningsgrunden som behandlingens art, omfattning, sammanhang och ändamål som en enhet. Som sista beaktningsgrunden kommer riskanalysen som krävs enligt artikel 32 allmänna dataskyddsförordningen att presenteras kortfattat. Det avslutande avsnittet kommer att vara den analyserande biten kring tolkningen av begreppet ”lämpliga” enligt nuvarande regleringen, likheter och skillnader mellan regleringarna och tolkningen av begreppet ”lämpliga” enligt den kommande regleringen. Den analysen kommer att utgå från vad som gäller idag vidare till vad som kommer gälla vid ikraftträdande utifrån vad vi vet idag. Slutligen kommer det även finnas ett avsnitt med sammanfattning och slutsatser.
15
2. Reglering av säkerhet vid personuppgiftsbehandling
I detta kapitel kommer den reglering som finns för säkerhetskrav vid personuppgiftsbehandling att presenteras. Inledningsvis kommer den nuvarande regleringen att presenteras, efterföljd av myndighetspublikationer publicerade utifrån den regleringen och avslutningsvis kommer den kommande regleringen att beröras.
2.1 PUL
I PUL regleras säkerhet vid behandling av personuppgifter i 30–32 §, där främst 31 § reglerar vad som krävs i form av säkerhetsåtgärder och det är även där som kravet på lämpliga säkerhetsåtgärder fastställs. Bestämmelserna är ett direkt införande av artiklarna 16 och 17 i det bakomliggande dataskyddsdirektivet.13
Dataskyddsdirektivet motiverades för att underlätta det fria flödet av personuppgifter på den inre marknaden genom att höja skyddsnivån för hela unionen.Detta för att undanröja skälet av bristande skyddsnivå hos mottagaren som anledning till hinder i den fria marknaden samtidigt som skyddet för enskildas friheter och rättigheter upprätthålles. Den nationella lagstiftningen som införs med anledning av direktivet, i detta avseende PUL, ska ha fortsatt ändamål att skydda de grundläggande friheterna och rättigheterna för enskilda. Detta genom att direktivet innehåller principer för skydd för enskilda personers friheter och rättigheter som utgör en förstärkning av Europarådets konvention av den 28 januari 1981 om skydd för enskilda vid automatisk databehandling av personuppgifter (dataskyddskonventionen).14 All behandling
ska enligt dataskyddsdirektivet vara laglig och korrekt. Alla uppgifter ska vara adekvata, relevanta och nödvändiga med hänsyn till de ändamål som de behandlas.15
Dataskyddsdirektivet tillskrev ansvaret för att säkerställa att de registeransvariga respekterar de åtgärder som krävs för säkerhet vid behandling av fysiska personers personuppgifter till medlemsstaterna. Skyddet för de fysiska personerna vars personuppgifter behandlas rättigheter och friheter förutsätter vid behandling av personuppgifter att lämpliga tekniska och organisatoriska åtgärder vidtas både när systemet som behandlingen sker i utformas samt när
13 Angående detta stycke, se Öman, Sören, Lindblom, Hans-Olof, Personuppgiftslagen- en kommentar, 4u.,
Norstedts Juridik AB, Vällingby, 2011, s. 430.
14 Se skäl 8–11 Dataskyddsdirektivet. 15 Se skäl 28 Dataskyddsdirektivet.
16 behandlingen sker. Detta för att garantera säkerheten och hindra all otillåten behandling. Vad som ska anses utgöra lämpliga tekniska och organisatoriska åtgärder och vad som ska anses utgöra en lämplig säkerhetsnivå ska avgöras med hänsyn till den nuvarande utvecklingsnivån och till kostnaderna för genomförandet för åtgärderna under hänsynstagande till riskerna som behandlingen innebär och arten av de uppgifter som behandlas.16
Regleringen i PuL kring säkerhetsåtgärder vid personuppgiftsbehandling är formulerad enligt följande;
”31 § Den personuppgiftsansvarige skall vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna skall
åstadkomma en säkerhetsnivå som är lämplig med beaktande av a) de tekniska möjligheter som finns,
b) vad det skulle kosta att genomföra åtgärderna,
c) de särskilda risker som finns med behandlingen av personuppgifterna, och d) hur pass känsliga de behandlade personuppgifterna är.
…”
Paragrafen reglerar säkerhetsåtgärder, alltså vilken informationssäkerhet som krävs vid behandling av personuppgifter. Paragrafen är avsedd att ha samma innebörd som artikel 17.1 i dataskyddsdirektivet. Första stycket innehåller en generellt formulerad regel om den personuppgiftsansvariges skyldigheter för att skydda personuppgifterna i behandlingen. Paragrafen kompletteras av 32 § där det framgår att tillsynsmyndigheten i enskilda fall får besluta om vilka säkerhetsåtgärder som ska vidas enligt 31 §.17
I förarbetena till PUL motiveras formuleringen av det första stycket i 31 § med att det är den formulering som används i dataskyddsdirektivets motsvarande artikel. Det ansågs att formuleringen beskrev de allmänt hållna reglerna och de överväganden som måste göras på ett kortfattat och bra sätt. Det var därför motiverat att överföra reglerna direkt i den svenska lagen. I förarbetena beskrivs också en medveten brist på tillräcklig vägledning i lagtexten för den personuppgiftsansvarige för att kunna avgöra vad som utgör lämpligt i det enskilda fallet. Denna brist skulle åtgärdas genom att regeringen eller den myndighet som regeringen
16 Se skäl 46 Dataskyddsdirektivet. 17 Se Öman; Lindblom, s. 436.
17 bestämmer ska bestämma närmare föreskrifter. Denna tillsynsmyndighet bör även lämna råd i säkerhetsfrågor.18
Artikel 17.1 i dataskyddsdirektivet som motsvarar paragrafen har formuleringen:
”1. Medlemsstaterna skall föreskriva att den registeransvarige skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.
Dessa åtgärder skall med beaktande av den nuvarande tekniska nivån och de kostnader som är förenade med åtgärdernas genomförande åstadkomma en lämplig säkerhetsnivå i förhållande till de risker som är förknippade med behandlingen och arten av de uppgifter som skall skyddas.”
Tanken är att kraven på säkerhetsåtgärder ska vara absoluta för att säkerställa att hanteringen av personuppgifter sker på ett korrekt sätt. Kraven som ställs på säkerhetsåtgärder vid personuppgiftsbehandling kan därför inte frångås genom samtycke från den enskilde. I paragrafens listning från (a) till (d) anges de olika beaktningsgrunderna som ska utgöra en del av övervägandet för vad som utgör lämplig säkerhetsåtgärd. Punkten (a) anger att de tekniska möjligheterna ska beaktas. Med detta avses till exempel vilka säkerhetshjälpmedel som finns tillgängliga på marknaden och hur utvecklingen av säkerhetsfunktioner ser ut. Detta då informationssäkerhetsområdet utvecklas ständigt vilket kan påverka vilka tekniska möjligheter som är tillgängliga.19
Punkten (b) anger att kostnaden för införandet att säkerhetsåtgärderna ska vara en del av övervägandet för vad som utgör en lämplig säkerhetsåtgärd. Detta innebär att den personuppgiftsansvarige inte behöver använda den allra bästa tekniken om kostnaden skulle bli för stor. Åtgärderna som krävs enligt paragrafen ska vara i proportionalitet till genomförandekostnaderna.20
Punkten (c) utgör en svår definierad beaktningsgrund men Datalagskommittén angav som exempel att antalet personer som de behandlade uppgifterna avser kan påverka riskerna. Detta
18 Angående detta stycke, se prop. 1997/98: 44, s. 92. 19 Se Öman; Lindblom, s. 437.
18 då skadorna kan bli mer omfattande då det berör fler. Men det är inte enbart mängden av uppgifter som är relevant utan även arten av uppgifterna och andra riskfaktorer. Punkten (d) utgör även den en svår definierad beaktningsgrund men ledning för bedömning är reglerna i PUL som särskilt reglerar behandling av känsliga personuppgifter eller personuppgifter som kan anses som motsvarande känsliga. Vad som är känsliga personuppgifter enligt PUL regleras i 13 § och listar personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening och personuppgifter som rör hälsa eller sexualliv.21 Listan som av arter av personuppgifter som ska anses som känsliga ska enligt praxis inte anses vara uttömmande, utan även uppgifter som inte är angivna i lagrummet kan ändå i vissa sammanhang vara av särskilt känsliga natur och bör behandlas därefter som till exempel uppgifter om kredit.22
2.2 Myndighetspublikationer
I detta avsnitt kommer de myndighetspublikationer som publicerats under den nuvarande regleringen rörande dataskydd och säkerhet vid personuppgiftsbehandling att beröras. De relevanta myndigheterna för ämnesområdet är främst DI och MSB då de utgör tillsynsmyndighet samt ansvariga myndigheter för informationssäkerhet inom Sverige.
2.2.1 Datainspektionens allmänna råd
Som central förvaltningsmyndighet under regeringen och som tillsynsmyndighet för personuppgiftsbehandling och informationssäkerhet ska Datainspektionen genom allmänna råd ge generella rekommendationer som är tänkta att ge vägledning till att förstå hur lagstiftningen ska uppfyllas.
Datainspektionens allmänna råd ”Säkerhet för personuppgifter” består av rekommendationer för hur de bindande kraven i PUL kan uppnås. Dessa råd riktar sig specifikt till den som behandlar personuppgifter enligt PUL och har fokus på kravet på säkerhet vid behandling av
21 Se Öman; Lindblom, s. 438.
19 personuppgifter.23 I dessa råd uppges bland annat att bedömningen för vilka säkerhetsåtgärder som krävs ska baseras på till exempel vilka personuppgifter som behandlas.24
Syftet med regleringarna i PUL är att skydda fysiska personer mot kränkningar av den personliga integriteten i samband med behandling av personuppgifter. Säkerhet är en viktig del av det skyddet vilket innebär att den som behandlar personuppgifter måste skydda uppgifterna. Enligt de allmänna råden så är en tillfredsställande säkerhet ett krav enligt PUL.25
Ansvaret för säkerheten innehas av den personuppgiftsansvariga. Vem som är den personuppgiftsansvariga avgörs av vem som faktiskt bestämmer över behandlingen. Normalt är det den juridiska personen som behandlar personuppgifterna som en del av sin verksamhet. Det är den personuppgiftsansvarige som har ansvaret enligt 31 § PUL att vidta lämpliga tekniska och organisatoriska åtgärder.26
De organisatoriska åtgärderna bör vara prioriterade då personalen är den viktigaste resursen i säkerhetsarbetet. Det hjälper inte att ha bra och dyr teknisk utrustning för att underlätta säkerhetsarbetet om inte utrustningen används på rätt sätt. Den personuppgiftsansvarige bör ha en fastställd säkerhetspolicy, speciellt om det är känsliga personuppgifter som behandlas eller om det är en omfattande behandling av personuppgifter som utförs. I den fastställda säkerhetspolicyn bör organisationens säkerhetsstrategi, ansvarsfördelning och övergripande mål för säkerheten återfinnas. Säkerhetspolicyn bör vara lättförstådd och tillämpningsbar i praktiken samt tydlig och tillgänglig inom organisationen för alla berörda anställda. Säkerhetspolicyn bör anpassas till aktuella behov av skydd kontinuerligt och behöver därför omprövas fortlöpande. Om säkerhetspolicyn anses som otydlig eller svår att använda i praktiken kan den uppfattas som en formalitet som inte berör de anställda. För att vara säker på att policyn samt andra riktlinjer och regler efterföljs bör kontroller genomföras samt rutiner för rapportering och uppföljning av säkerhetsincidenter upprättas. Kontrollerna kan också ha en förebyggande funktion om berörda anställda är informerade om att sådana kontroller kommer att ske kontinuerligt.27
23 Se Datainspektionen, Säkerhet för personuppgifter- Datainspektionens allmänna råd, 2008, s. 4. 24 Angående detta stycke, se Öman; Lindblom, s. 439.
25 Angående detta stycke, se Datainspektionen, Säkerhet för personuppgifter, s. 5. 26 Angående detta stycke, se Datainspektionen, Säkerhet för personuppgifter, s.7–8. 27 Angående detta stycke, se Datainspektionen, Säkerhet för personuppgifter, s. 12.
20 En viktig del av organisatoriska åtgärder är att arbetsrutiner och arbetsuppgifter är utformade på sådant sätt att det blir möjligt att arbeta på ett säkerhetsmedvetet sätt. Personberoende bör undvikas inom organisationens säkerhetsarbete, vilket innebär att det bör vara fler än en person som är kunnig i till exempel hur IT-utrustningen fungerar. Det är den personuppgiftsansvarige som bör se till att berörd personal med tillgång av personuppgifter får relevant utbildning. Den utbildningen bör innehålla bland annat vad som är tillåtet, konsekvenser om regler inte följs, hur efterlevnad av reglerna följs upp, tecken på eventuellt intrång samt vad som förväntas av personal som upptäcker intrång.28 För att minska risen för att mänskliga misstag ska orsaka säkerhetsincidenter bör den personuppgiftsansvarige se till att personalen är informerad om vikten av att följa säkerhetsrutinerna som upprättas. Sådan säkerhetsrutin bör innehålla information om korrekt beteende rörande lösenord och arbetsstation.29
Utgångspunkten för säkerhetsarbetet inom organisationen är medvetenhet om vilka risker som finns i den egna IT-miljön. För detta krävs att man vet vad man vill skydda sig mot och vad man vill skydda kan man bygga upp en effektiv säkerhet. Risker bör därför kartläggas för att undvika att resurser läggs på fel områden. En bedömning av sannolikheten för olika typer av störningar och konsekvenser av dessa bör genomföras för att få underlag för utformningen av säkerhetsåtgärderna. Då bör avgöras vilken hotbild som finns inom den egna IT-miljön, hur stor risken är för att ett hot blir verklighet samt konsekvenserna av om ett hot blir verklighet och vilka resurser en obehörig behöver för att göra ett hot till verklighet, såsom kunskap, utrustning eller omständighet som krävs för att hotet ska kunna inträffa. Det finns flera etablerade metoder för riskanalyser men rörande metoderna bör det kommas ihåg att de är utformade som generella riktlinjer och kan sakna något som är nödvändigt för den specifika organisationen. De har en fördel då det gör en stark utgångspunkt för arbetet då metoderna innehåller så mycket kunskap inom området. Men de kommer också med risken att organisationen arbetar mekaniskt utifrån till exempel en checklista och inte analyserar situationen på egen hand utifrån organisationens specifika omständigheter.30
Bedömningen som behöver göras av de tekniska möjligheter för att se till att lämpliga tekniska säkerhetsåtgärder införs kan till exempel avse vad som finns tillgängligt på marknaden inom säkerhetshjälpmedel. Vidare ska kostnaden som uppstår av genomförandet av åtgärderna vägas
28 Se Datainspektionen, Säkerhet för personuppgifter, s. 13. 29 Se Datainspektionen, Säkerhet för personuppgifter, s. 14.
21 in, vilket ger den personuppgiftsansvarige en möjlighet att inte behöva använda sig av den bästa tekniken om den är oproportionellt dyrt. Det räcker i huvudsak med att använda utrustning som normalt används och finns på marknaden. En särskild omnämnd riskfaktor är omfattningen, alltså antalet personer vars uppgifter är behandlade. Skador som till exempel ett angrepp kan orsaka kan bli mer omfattande när det är många fysiska personer vars personuppgifter behandlas.31 Vilket också innebär att en angripare kan antas vara mer benägen att lägga mer resurser för att få tillgång till uppgifterna om de rör många fysiska personer. Hur känsligheten hos personuppgifterna som behandlas ska bedömas beror på flera faktorer och måste alltid bedömas särskilt. Arten av uppgifterna har stor betydelse men även mängden av uppgifterna om varje enskild person måste beaktas eftersom det avgör hur detaljerad bild ett eventuellt intrång kan ge av en person.32
Råden ger exempel på uppgifter som normalt inte är att anse som känsliga såsom medlemskap, anställningsförhållande, kundförhållande eller något jämförligt förhållande. Råden ger också exempel på uppgifter som normalt är att anses som känsliga såsom ekonomisk hjälp eller vård inom socialtjänsten, enskilds personliga och ekonomiska förhållanden inom bank- och försäkringsväsendet och uppgifter inom kreditupplysning eller inkassoverksamhet.33 Känsliga uppgifter som uppräknande i 13 § 1 st. PuL är uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Sådana uppgifter är förbjudna att behandla. Det finns dock undantag som gör det tillåtet att behandla känsliga personuppgifter i 14 § PuL. Personuppgifter som rör lagöverträdelser såsom brott, domar i brottmål, straffprocessuella tvångsmedel eller administrativa frihetsberövande är inte definierade som känsliga personuppgifter enligt 13 § och 21 § PUL men bör enligt råden jämställas med känsliga uppgifter rörande säkerheten. Uppgifternas art bör beaktas i avgörande för vilken säkerhet som är att anses som lämplig och det börs ha i åtanke att känsliga uppgifter speciellt ställer högre krav på säkerheten än uppgifter som inte är att anses som känsliga.34
31 Som visat vid till exempel Equifax informationssäkerhetsincident så är konsekvenserna stora när säkerheten
brister vid stor personuppgiftsbehandling, http://www.bbc.com/news/business-41192163 (2017-12-18, 15:13).
32 Angående detta stycke, se Datainspektionen, Säkerhet för personuppgifter, s. 17.
33 Se Datainspektionen, Säkerhet för personuppgifter, s. 18–19. (Se även Mål nr 2415- 12, Mål nr 2416- 12, Mål
nr 2419- 12).
22 Säkerhetsåtgärder vid personuppgiftsbehandling måste inkludera fysisk säkerhet. IT-utrustning som används för att behandla personuppgifter bör därför ha ett tillfredställande skydd mot till exempel stöld och händelser som kan förstöra utrustningen. Den personuppgiftsansvarige bör därför se till att det finns till exempel låstutrustning, inpasseringskontroll och skydd mot rök- och vattenskada osv. Det ställs särskilda krav för att uppnå lämplig säkerhet när det rör portabel IT-utrustning då sådan utrustning innebär en särskilt stor risk att utomstående kan komma åt personuppgifterna. Därför kan det finnas anledning att kryptera känsliga personuppgifter. Rutiner för hur användningen av portabel IT-utrustning ska ske samt hur utrustningen samt personuppgifterna i bör skyddas bör upprättas. Nivån på rutinerna och säkerheten är beroende på känsligheten hos personuppgifterna.35
Vad som krävs för att utföra en arbetsuppgift bör vara utgångspunkten för hur mycket tillträde som ges. I vissa organisationer kan det vara värt att överväga att använda sig av olika typer av tillträdeskontroll inom olika områden. För att vidare förhindra obehörig användning eller åtkomst bör ett system för behörighetskontroll att upprättas och ett sådant system bör innehålla möjligheter att identifiera användare. Systemet bör i övrigt kunna kontrollera användningen så att det begränsas på sådant sätt att anställda enbart har åtkomst till de uppgifter som behövs för att genomföra sitt arbete. Det bör även finnas rutiner för tilldelning och kontroll av behörighet. Som exempel på skydd när man vill försäkra sig om att personal som behöver fullständiga rättigheter till systemet inte ska kunna läsa viss information ges kryptering, där krypteringsnycklarna är tillräckligt kraftfulla och nycklarna handhas på säkert sätt.36
Åtkomsten bör kunna kontrolleras och det bör finnas en behandlingshistorik som sparas en viss tid, beroende på känsligheten hos personuppgifterna. Behandlingshistoriken bör följas upp och vara skyddat mot otillåtna ändringar samt vara detaljerad nog att använda som utredningsmaterial om behovet uppstår. Behandlingshistoriken bör inte utformas eller användas på ett sådant sätt att den medför en risk för intrång i personalens integritet utan avvägning bör ske mellan hur stort behovet är av inkräktande och den anställdes integritet. Om användarna av systemet är informerade om behandlingshistoriken och det faktum att den kontrolleras kan den även ha en förebyggande funktion för säkerheten. Rörande inloggningar och lösenord bör enligt råden vissa saker iakttas såsom att inte anteckna användaridentitet och lösenord där andra kan komma åt uppgifterna. Lösenorden bör regelbundet bytas och personlig inloggningsidentitet
35 Angående detta stycke, se Datainspektionen, Säkerhet för personuppgifter, s. 20–21. 36 Angående detta stycke, se Datainspektionen, Säkerhet för personuppgifter, s. 21.
23 bör aldrig överlåtas till någon annan. Lösenord bör dock vara lätta att komma ihåg men svåra att gissa samt inte kunna hänföras till användarna och gärna vara långa samt blandande av bokstäver och siffror. Lösenord bör inte heller lagras i behörighetskontrollssystemet i klartext.37 Rörande kommunikation bör den personuppgiftsansvarige införa åtgärder för att åstadkomma en lämplig säkerhet. Detta för att förhindra att personuppgifter förstörs, ändras eller förvanskas vid överföring av nät och för att skydda anslutna tjänster mot obehörig åtkomst. Utrustning som ansluts till internet eller annat öppet nät bör skyddas i anslutning för att förhindra obehörig trafik. Åtkomst bör även förhindras från det öppna nätet till annan utrustning eller lokala nät hos den personuppgiftsansvarige. I det fall uppgifterna endast får lämnas vidare till identifierade användare bör mottagarens identitet säkerställas. Det bör även övervägas vilket behov av åtgärder och policy som finns för att minska säkerhetsrisker vid användning av e-post.38 Kryptering ges som exempel på ett verktyg som kan användas för att förhindra att uppgifterna kan läsas eller förvanskas i samband med överföring.39 Kryptering kräver dock att
krypteringsnycklarna är tillräckligt kraftfulla och handhas på säkert sätt för att ge skydd. Information kan försvinna eller förstöras på en mängd olika sätt. För att förhindra att sådant leder till förlust av personuppgifter bör det finnas rutiner för säkerhetskopiering och att säkerhetskopiering sker tillräckligt ofta. Säkerhetskopior bör sparas i flera generationer, gå att återskapa och vara försvars skyddat på flera platser. Det bör även finnas en logg för att säkerställa att kopieringen sker korrekt. Lagringsmedier som innehåller personuppgifter som inte längre ska användas för sitt ändamål bör dock förstöras eller raderas på sådant sätt att uppgifterna inte längre kan återskapas.40
Säkerhetsorganisationen och utrustningens funktion är något som bör testas regelbundet för att försäkra sig om att det fungerar som det ska. Det kan även vara nyttigt för att hitta eventuella brister i säkerheten. Övriga åtgärder som kan minska risken för otillbörlig åtkomst kan vara att se över behovet av till exempel rutiner vid besök och rutiner samt regler vid distansarbete.41
37 Angående detta stycke, se Datainspektionen, Säkerhet för personuppgifter, s. 22–23. 38 Se Datainspektionen, Säkerhet för personuppgifter, s. 23.
39 Kryptering definieras som ”att i kommunikationssystem åstadkomma sekretess (dölja information för
obehöriga) och/eller autenticitet (säkerställa äkthet hos information) genom att utnyttja en för de obehöriga användarna hemlighållen nyckel”(Nationalencyklopedin, kryptering.
http://www.ne.se.ezp.sub.su.se/uppslagsverk/encyklopedi/lång/kryptering (2017-12-18, 13:03)).
40 Se Datainspektionen, Säkerhet för personuppgifter, s. 24.
24 Det bör noteras att de allmänna råden inte pekar ut en viss teknisk säkerhetsåtgärd utan fokuserar istället på att stödja ett mer systematiskt arbete kring informationssäkerhet för personuppgifter.42 Som stöd för säkerhetsarbetet anser Datainspektionen att man ska använda sig av ISO-standarderna om ledningssystem för informationssäkerhet.43 Råden anger också att ytterligare åtgärder, som inte är omnämnda i råden, kan vara nödvändiga för att uppnå en lämplig säkerhetsnivå.44
2.2.2 Datainspektionens faktablad
I datainspektionens faktablad om informationssäkerhet från 2008, ”IT-säkerhet och myndigheters e-tjänster”, innehåller en sammanställning av de viktigaste organisatoriska och tekniska åtgärderna. Även vikten av att göra riskanalyser betonas i faktabladet. Behovet av en säkerhetspolicy, kontroller, avstämning samt personalens arbetsrutiner och arbetsuppgifter tas upp som särskilt viktiga organisatoriska åtgärder. Vikten av fysisk säkerhet, tillträdeskontroll, system för behörighetskontroller, loggar och skyddet för kommunikation var särskilt behandlade under säkerhetsåtgärder.45
Utvecklingen av e-tjänster innebär en ökad datoriserad behandling av personuppgifter. Allt fler myndigheter har utvecklat eller utvecklar e-tjänster för att underlätta kontakten med enskilda. Exempel på sådana e-tjänster är som låna böcker, begära föräldrapenning och följa sitt ärende på webben. För myndigheterna som har e-tjänster är det av stor vikt att säkerställa att skyddet för personuppgifterna är tillfredställande. Myndigheter är personuppgiftsansvarig för den behandling av personuppgifter som sker inom myndighetens verksamhet. Därför har myndigheten normalt även ansvar för den behandling av personuppgifter som sker genom från myndigheterna tillhandahållna e-tjänster, såsom när enskilda själva kan registrera uppgifter på myndighetens webbplats. Den personuppgiftsansvarige har även ansvar för att se till att ett gott skydd för personuppgifterna som behandlas i verksamheten är upprättat. Om myndigheten tar
42 Se Magnusson Sjöberg, Cecilia, Rättsinformatik- juridiken i det digitala informationssamhället, 2u.,
Studentlitteratur AB, Lund, 2016, s. 94.
43 Se Magnusson Sjöberg, s. 95.
44 Se Datainspektionen, Säkerhet för personuppgifter, s. 5. 45 Angående detta stycke, se Öman; Lindblom, s. 440.
25 in extern hjälp för att behandla personuppgifter ska det i ett skriftligt avtal regleras vad personuppgiftsbiträdet ska göra och vilka säkerhetsåtgärder som ska vidtas.46
Myndigheterna är som personuppgiftsansvarige skyldiga att vidta säkerhetsåtgärder, både tekniska och organisatoriska för att skydda de behandlade personuppgifterna. För att avgöra vad som ska utgöra lämpligt skydd för personuppgifterna ska en samlad bedömning göras med hänsyn till känsligheten av de behandlade personuppgifterna, riskerna som finns med behandlingen inkluderat den risken som mer omfattande behandling innebär, de tekniska möjligheterna som finns tillgängliga på marknaden och genomförandekostnader. Det finns dock en generell uppfattning att ju känsligare personuppgifterna är och ju större riskerna är med behandlingen av personuppgifterna, desto mer omfattande måste säkerhetsåtgärderna vara.47 Rörande e-tjänster finns det vissa säkerhetsaspekter som är viktiga. Myndigheten måste kunna säkerställa identiteten hos användaren av e-tjänsten när det är nödvändigt, skydda personuppgifterna som förs över i öppna nät och skydda det från obehörig tillgång och skydda personuppgifterna som samlats in. Säkerställa identiteten hos användaren behövs för att säkrare och enklare kunna använda e-tjänsten till att träffa rättsligt bindande avtal samt minska risken för att obehöriga ska få del av information. Vilken metod som används för att säkerställa användarens identitet beror på känsligheten av personuppgifterna samt riskerna med behandlingen. Behandling av känsliga uppgifter som definierat i PUL kräver säkra metoder för autentisering och där är uppgifter som omfattas av sekretess samt lagöverträdelser att likställa med känsliga uppgifter. Exempel på metoder för autentisering är personliga lösenord, engångslösenord eller e-legitimation vilket också räknas som en säker metod. När det rör känsliga uppgifter räcker inte användarnamn och lösenord eller pinkod för autentisering. Det kan även finnas andra personuppgifter som enligt PUL inte är definierade som känsliga som sammantaget kan vara integritetskänsliga och därför bör skyddas av säkrare typer av autentisering. När en myndighet ska hämta in känsliga personuppgifter via öppet nätverk som internet måste själva överföringen vara skyddad med hjälp av kryptering. Med hjälp av det kan myndigheterna säkerställa att ingen obehörig kan få åtkomst till informationen och informationen kan inte förvanskas på vägen. Även enskilda måste kunna identifiera att det är myndigheten som är mottagare av informationen och kunna känna trygghet med att skicka sina uppgifter via öppet nät. Till exempel servercertifikat och kryptering av trafiken kan hjälpa till
46 Angående detta stycke, se Datainspektionen, IT- säkerhet och myndigheters e-tjänster, 2008, s. 1. 47 Angående detta stycke, se Datainspektionen, IT- säkerhet och myndigheters e-tjänster, s. 2.
26 med den tryggheten och minska den osäkerheten hos enskilda. Kravet på att kryptering sker när känsliga personuppgifter skickas via öppet nät ska även gälla när myndigheter använder sig av e-post och det bör säkerställa att endast avsedda mottagaren kan ta del av uppgifterna som sänds.48
Informationen ska skyddas även när den lagras hos myndigheten vilket kräver både tekniska lösningar och administrativa rutiner. Sådana rutiner är till exempel behörighetstilldelning och tydliga riktlinjer för när det är tillåtet att ta del av personuppgifter. Som grundläggande princip bör anställda inom en myndighet endast ha tillgång till information som de behöver för sitt arbete. Myndigheterna bör ha i åtanke att det är av stor betydelse för säkerhetsåtgärderna att personalen är informerad om hur personuppgifter får hanteras. Myndigheten bör utforma arbetsrutiner och arbetsuppgifter så att personalen kan tänka och arbeta säkerhetsmedvetet. Även utbildning är av vikt för personuppgiftsansvarige för att se till att hanteringen av personuppgifterna ska vara säker. Alla personal med tillgång till personuppgifter bör få relevant utbildning och den utbildningen kan omfatta både tekniska lösningar och praktiska arbetsrutiner. Behandlingshistorik ska finnas när behandlingen rör känsliga personuppgifter. En sådan historik ska löpande registrera användaridentitet, tidpunkt och vilken information personal haft åtkomst till eller bearbetat. Historiken ska även kunna följas upp för att utreda felaktig eller obehörig användning av personuppgifter.49
2.2.3 Myndigheten för samhällsskydd och beredskaps riskanalysverktyg
Som nämnt i allmänna råden från DI så är riskerna en viktig del av arbetet kring informationssäkerhet kring personuppgiftsbehandling och det utgör en av beaktningsgrunder i PUL.
En riskanalys syftar till att anpassa skyddet för att säkerställa att det passar verksamhetens informationstillgångar. Det utgör också grunden för att kunna utforma ett säkert och kostnadseffektivt skydd i och med att det kräver att man är medveten om vilka risker som finns. För att leva upp till den internationella standarden av ISO krävs det att skyddet är byggt på någon form av riskanalys. Det finns dock många teorier och metoder för riskanalys och det finns mycket information på ämnet. Syftet med dokumentet publicerat av MSB är dock att ge praktisk kunskap nog för att kunna inleda arbetet med riskanalys. Förutom att det finns olika
48 Angående detta stycke, se Datainspektionen, IT- säkerhet och myndigheters e-tjänster, s. 3. 49 Angående detta stycke, se Datainspektionen, IT- säkerhet och myndigheters e-tjänster, s. 3–4.
27 teorier och metoder för riskanalys finns det många olika situationer som kan ge anledning till att genomföra en riskanalys och det kan även ske på olika nivåer inom organisationen. Det kan röra sig om en riskanalys för en viss informationstillgång eller för hela verksamhetens information. Verktyget från MSB är specifikt för riskanalyser rörande befintliga informationstillgångar.50
Förutom det viktigaste resultatet av riskanalysen vilket är en förteckning på de risker som finns, deras potentiella skadeverkning och tänkbara sätt att hantera riskerna på så kan själva arbetsprocessen ge ett antal positiva bieffekter. Till exempel att verksamheten lär sig hantera risker, ökar sin medvetenhet om hoten, analysgruppen tar fram en realistisk bild av verkligheten samt en realistisk och trovärdig värdering av riskerna.51
För att genomföra riskanalysen krävs en analysgrupp med en logisk sammansättning med hänsyn till de olika områden som analysen kommer att beröra. Det behövs en analysledare med övergripande kunskap om verksamheten, oftast samma som beställaren av riskanalysen, experter av olika slag, till exempel jurister, IT- tekniker och säkerhetssamordnare. Storleken på analysgruppen kan variera beroende på verksamheten och vilken typ av riskanalys som ska genomföras men en grupp med fler än tio deltagare brukar vara svårt att hantera. En riskanalys kräver att analysgruppen har tillgång till den information som är nödvändig för att genomföra analysen. Sådan information är författningskrav, föreskrifter och andra styrande dokument som direkt kan påverka analysen, statistik som underlättar bedömningen. Även liknande riskanalyser som kan vara av värde för arbetet, allmänna hotbilder samt dokument som beskriver dagens lösningar inom verksamheten när det gäller exempelvis lokaler, nätverkstopologi och serverdokumentation.52
Analysgruppen bör inleda sitt arbeta med att beskriva analysobjektet. Beskrivningen bör vara så ingående att alla deltagare är överens om vad som ingår i analysen och vad som ligger utanför. Om riskanalysen gäller flera analysobjekt ska varje enskilt objekt beskrivas i sådan detalj att analysgruppen är överens om objekten och dess avgränsningar.53
50 Angående detta stycke, se Myndighetens för samhällsskydd och beredskap, www.informationssäkerhet.se,
Riskanalys, 2011 s. 4.
51 Angående detta stycke, se Myndighetens för samhällsskydd och beredskap, Riskanalys, s. 5. 52 Angående detta stycke, se Myndighetens för samhällsskydd och beredskap, Riskanalys, s. 7–8. 53 Angående detta stycke, se Myndighetens för samhällsskydd och beredskap, Riskanalys, s. 11.
28 Nästa steg i arbetet bör vara att identifiera de hot som finns mot de definierade analysobjekten. Hoten bör också beskrivas och specificeras tillräckligt noga för att kunna motsvara en lösning i ett senare skede. I detta skede bör gruppen undvika att tänka i lösningar och fokusera på hoten samt kontinuerligt stämma av gentemot den dokumenterade bilden av analysobjektet.54 Detta steg är avklarat när varje tänkbart hot är dokumenterat tydligt. Nästa steg är att hoten sorteras efter grupp, dubbletter och hot utanför avgränsningar av analysen tas bort. Liknande hot ska grupperas med varandra och om det finns hot som riktar sig mot flera informationstillgångar bör varje informationstillgång ha en grupp.55 Detta steg är klart när gruppen har en hanteringsbar mängd hot som är numrerade och tydligt beskrivna samt nedskrivna och tillgängliga för deltagarna. Efter att hoten har grupperats ska vilka potentiella konsekvenser ett inträffande av hotet skulle innebära samt hur hög sannolikhet det har. Varje enskilt hot ska bedöma och bör sättas i sin plats i en konsekvens- och sannolikhetsmatris. Matrisen ska fungera som hjälpmedel för att bedöma konsekvensen och sannolikheten av ett hot. Sannolikheten är kategoriserad i mycket sällan (en gång på hundra år), sällan (en gång på tio år), regelbundet (årligen) och ofta (mer än en gång per år). Konsekvensen är skadan som blir på verksamheten om hotet inträffar, både indirekt och direkt. Konsekvensen är kategoriserad i försumbar skada, måttlig skada, betydande skada och allvarlig skada. Dessa definitioner ska enbart utgöra ett riktmärke och bör förändras när behovet finns. Förändringar måste dokumenteras precis som övriga bedömningar. Detta steg är klart när det är möjligt att överblicka riskerna som finns och vilka konsekvenser de kan komma att ha samt hur sannolikt det är att de inträffar.56
Nästa steg är en genomgång av de identifierade riskerna och ta fram förslag på hantering av dessa. I vissa fall ska riskerna hanteras genast och den hittills framtagna informationen bör utgöra diskussionsunderlag för att ta fram åtgärdsförslag på lämpliga åtgärder. Detta steg är klart när det finns ett förslag till åtgärder att ta ställning till.57
Resultatet av riskanalysen ska sedan sammanställas till en slutgiltig rapport för att kunna ge en bra grund för att bedöma hur resultatet av riskanalysen bör hanteras. Rapporten bör innehålla all tänkbar information och inte enbart själva analysresultatet utan också alla avsteg från analysobjektet och eventuella nya definitioner. Även styrdokument, produktbeskrivningar och
54 Se Myndighetens för samhällsskydd och beredskap, Riskanalys, s. 12. 55 Se Myndighetens för samhällsskydd och beredskap, Riskanalys, s. 13. 56 Se Myndighetens för samhällsskydd och beredskap, Riskanalys, s. 14–17.
29 ritningar som är värdefulla för resultatet bör vara omfattat av rapporten. Rapporten bör även innehålla eventuella förslag till åtgärder och rekommendationer.58
2.2.4 Myndigheten för samhällsskydd och beredskaps förskrifter för statliga myndigheters risk- och sårbarhetsanalyser
MSB har publicerat en förskrift för statliga myndigheters risk- och sårbarhetsanalyser innehåller en del definitioner som är relevanta för informationssäkerheten, till exempel hot, risk och sårbarhet. Hot definieras som ”en aktörs kapacitet och avsikt att genomföra skadliga handlingar; alternativ händelser eller företeelser som medför fara för skada på något eller någon utan att det i sammanhanget förekommer aktörer med kapacitet och avsikt att orsaka skada”. Risk definieras som ”en sammanvägning av sannolikheten för att en händelse ska inträffa och de konsekvenser händelsen kan leda till”. Sårbarhet definieras som ”de egenskaper eller förhållanden som gör samhället, ett system eller egendom mottagligt för skadliga effekter av en händelse”.59
Föreskriften ställer krav på vad sammanställningen av myndigheters risk- och sårbarhetsanalyser ska innehålla, däribland identifierade och analyserade hot och risker mot myndigheten och dess ansvarsområde.60
I anslutning till föreskriften finns allmänna råd utgivna av MSB för att förtydliga innebörden av myndighetsföreskriften och ge generella rekommendationer.61 Dessa allmänna råd ger råd att redovisningen i sammanställningen av analysen bör delas in i riskidentifiering och riskanalys samt omfatta myndighetens ansvarsområde. Riskidentifiering har till syfte att identifiera händelser och förhållanden inom ansvarsområdet som innebär en hot eller en risk. Riskidentifieringen bör resultera i riskkällor eller grovt beskrivna riskscenarier omfattandes till exempel risker för teknisk infrastruktur.62
De risker identifierade bör utgöra utgångspunkten för riskanalysen och utvecklas till mer utförligt beskrivna riskscenarier. Riskanalysen bör innehålla värdering av sannolikhet samt
58 Angående detta stycke, se Myndighetens för samhällsskydd och beredskap, Riskanalys, s. 19. 59 Angående detta stycke, se Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga
myndigheters informationssäkerhet, 2016:7, 2 §.
60 Angående detta stycke, se MSBFS 2016: 7, 4–5 §§. 61 Se MSBFS 2016: 7, s. 12.
30 direkta konsekvenser som scenariot medför. Om sannolikhetsbedömningen är förenad med allt för osäkerhet kan bedömningen utelämnas. Konsekvensbedömningen bör ha befolkningens liv och hälsa, samhällets funktionalitet, grundläggande värden som rättssäkerhet och demokrati samt skador på egendom och miljö som utgångspunkt.63
2.2.5 Myndigheten för samhällsskydd och beredskaps säkerhetsåtgärdsverktyg
MSB har gett ut ett hjälpmedel för att beskriva hur resultaten från de tidigare analyserna såsom riskanalys bör användas för att avgöra vilka säkerhetsåtgärder som ska införas i verksamheten. Analyserna visar det aktuella säkerhetsläget och ger därmed den grunden och informationen som behövs för att avgöra vad som bör göras för att uppnå en balanserad informationssäkerhet. Säkerhetsåtgärder är nödvändiga för alla verksamheter för att ha en god informationssäkerhet och införs för att minska de risker som kommit fram under analyserna. Det finns olika slags åtgärder till exempel dokument som ska tas fram, vidare analyser som ska genomföras, tekniskt skydd som ska införas (brandvägg och intrångsdetektering etc.) och vilka utbildningar som ska genomföras. Förutom detta kan man behöva ta fram eller ändra administrativa processer för att säkerställa god informationssäkerhet.64
Fastställande av de nödvändiga säkerhetsåtgärderna innebär två steg, väljande av säkerhetsåtgärder samt dokumentation av valet. Första steget av fastställandet, väljandet av säkerhetsåtgärder, passar bäst för analysledaren som genomförde de grundläggande analyserna. Hen har redan en bild av vad som bör införas och vad som kan vänta. Det bör dock finnas en medvetenhet i att det kan behövas kompletterande information från ansvariga personer inom verksamhetens område.65
Det finns två olika synsätt på hur man bäst väljer lämpliga säkerhetsåtgärder, antingen utifrån best practice (bästa praxis) eller utifrån riskanalysen. Utifrån best practice listar ISO- 27002 standarden 133 stycken säkerhetsåtgärder som passar för många olika verksamheter. Man utgår ifrån listans beskrivningar av säkerhetsåtgärderna och avgör därmed vilka som passar den egna organisationen. Utifrån riskanalysen så utgår man från den bild som riskanalysen ger av verksamhetens informationstillgångar och skyddsbehov. Med hjälp av den skräddarsyr man
63 Angående detta stycke, se MSBSFS 2014: 7, s. 15.
64 Angående detta stycke, se Myndigheten för samhällsskydd och beredskap, www.informationssäkerhet.se,
Välja säkerhetsåtgärder, 2011, s. 4–6.
