Säkerhet enligt personuppgiftslagen

Hur man bedömer lämpliga säkerhetsåtgärder

För alla som hanterar och bearbetar personuppgifter är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Enligt personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas saker som brandväggar, krypteringsfunktioner och anti-virus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation och rutiner, instruktioner och policyer.

Generellt gäller att ju känsligare personuppgifterna är eller ju fler personuppgifter som hanteras, desto mer omfattande bör säkerhetsåtgärderna vara.

Bestäm vilka säkerhetsåtgärder som är lämpliga

När man gör en lämplighetsbedömning, det vill säga bestämmer vilken säkerhetsnivå man ska ha, ska man tänka på att åtgärderna ska ge en säkerhetsnivå som är lämplig i förhållande till

  • tillgänglig teknik
  • kostnaden för åtgärderna
  • om det finns några särskilda risker med behandlingen
  • hur pass känsliga uppgifterna är.

Med tillgänglig teknik menas de tekniska lösningar som i dagsläget är tillgängliga på marknaden. Det kan också ses som en referens till att i första hand använda produkter som stödjer etablerade, välbeprövade standarder.

Kostnaden för säkerhetsåtgärderna ska ställas i relation till riskerna för att obehöriga får ta del av personuppgifterna. Ju större riskerna är, desto mer omfattande ska säkerhetsåtgärderna vara.

Ta ställning till särskilda risker

Den som är personuppgiftsansvarig ska ta ställning till vilka särskilda risker det finns med behandlingen. Finns det sådana risker kan det påverka vilka säkerhetsåtgärder som behövs för att skydda personuppgifterna. Frågor man bör ställa sig är:

  • Behandlas personuppgifterna på ett sätt som gör det svårt att kontrollera att det bara sker i enlighet med ändamålen med behandlingen? Finns det risk för att personuppgifterna kan spridas på ett oönskat sätt?
  • Hanteras personuppgifter via öppna nät som internet, till exempel via en webbhemsida eller genom e-post?
  • Kan många användare komma åt personuppgifterna?
  • Behandlas personuppgifter om många personer?
  • Behandlas en stor mängd personuppgifter om varje person?
  • Hur stor är sannolikheten för och konsekvenserna av tekniska störningar eller att obehöriga får åtkomst till uppgifterna?

Ju fler av dessa frågor som man svarar Ja på desto mer omfattande bör säkerhetsåtgärderna vara.

Bedöm hur känsliga uppgifterna är

Enligt personuppgiftslagen gäller särskilda begränsningar för behandling av vissa kategorier av personuppgifter. I lagen betecknas dessa uppgifter som "känsliga" personuppgifter.

Känsliga personuppgifter är enligt personuppgiftslagen sådana som avslöjar:

  • ras eller etniskt ursprung
  • politiska åsikter
  • religiös eller filosofisk övertygelse
  • medlemskap i fackförening
  • uppgifter som rör hälsa eller sexualliv.

Personuppgifter som normalt sett inte är integritetskänsliga i lagens mening är uppgifter som rör exempelvis anställningsförhållanden eller kundförhållanden. Normalt sett harmlösa personuppgifter kan dock bli känsliga beroende på i vilket sammanhang de förekommer. Uppgifter om ekonomisk hjälp eller vård inom socialtjänsten, personuppgifter inom inkasso eller kreditupplysning eller uppgifter om personliga förhållanden inom bank- och försäkringsväsendet är normalt sett att anse som känsliga när det handlar om säkerhet.

Följande frågor kan också påverka när man bedömer hur pass integritetskänsliga uppgifterna är:

  • Omfattas uppgifterna av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen eller annan lagstiftning?
  • Omfattas behandlingen av någon särlagstiftning, till exempel patientdatalagen eller lagen om behandling av personuppgifter inom socialtjänsten, kriminalvården, med flera?
  • Är det uppgifter om lagöverträdelser?
  • Är det uppgifter om enskildas personliga förhållanden?

Är svaret Ja på någon av dessa frågor ska säkerhetsåtgärderna för att skydda personuppgifterna vara mer omfattande.

Mer information

Mer information om olika säkerhetsåtgärder får du här på webbplatsen och i Datainspektionens allmänna råd Säkerhet för personuppgifter (se länkarna till höger).

Personuppgiftslagen

Sagt om Säkerhet

Datainspektionens it-säkerhetsspecialister
Datainspektionens IT-säkerhetsspecialister bloggar om säkerhet och personuppgiftslagen. Här kan du följa de senaste inläggen.

Mer information

Mobila enheter

En checklistan för den som planerar att använda sig av mobila enheter, ex. surfplattor, för överföring av integritetskänsliga personuppgifter.

Säkerhet för personuppgifter i e-post

Det finns särskilda risker när man hanterar personuppgifter i e-post. Här berättar vi mer om vad man bör tänka på.

Säkerhetsåtgärder vid kameraövervakning

Datainspektionen har tagit fram en checklista och en vägledning för säkerhetsarbete när man bedriver kameraövervakning.

Molntjänster

Allt fler kommuner, myndigheter och företag använder sig av så kallade molntjänster. Molntjänster innebär att exempelvis processorkraft, lagring och funktioner tillhandahålls av leverantörer som tjänster över internet.

Nyheter

Dokument

Säkerhet för personuppgifter

I Datainspektionens allmänna råd finns exempel på administrativa och tekniska säkerhetsåtgärder som man kan vidta för att uppfylla de krav som personuppgiftslagen ställer på informationssäkerhet när man behandlar personuppgifter.

Ladda ner som pdf
Beställ som broschyr