Du är här:Hem → Lagar & regler → Personuppgiftslagen → Säkerhet enligt personuppgiftslagen

Säkerhet enligt personuppgiftslagen

Hur man bedömer lämpliga säkerhetsåtgärder

För alla som hanterar och bearbetar personuppgifter är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt. Enligt personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Till tekniska åtgärder räknas saker som brandväggar, krypteringsfunktioner och anti-virus, medan organisatoriska åtgärder handlar om säkerhetsarbetets organisation och rutiner, instruktioner och policyer.

Generellt gäller att ju känsligare personuppgifterna är eller ju fler personuppgifter som hanteras, desto mer omfattande bör säkerhetsåtgärderna vara.

Bestäm vilka säkerhetsåtgärder som är lämpliga

När man gör en lämplighetsbedömning, det vill säga bestämmer vilka säkerhetsnivå man ska ha, ska man tänka på att åtgärderna ska ge en säkerhetsnivå som är lämplig i förhållande till

• tillgänglig teknik
• kostnaden för åtgärderna
• om det finns några särskilda risker med behandlingen
• hur pass känsliga uppgifterna är.

Med tillgänglig teknik menas de tekniska lösningar som i dagsläget är tillgängliga på marknaden. Det kan också ses som en referens till att i första hand använda produkter som stödjer etablerade, välbeprövade standarder.

Kostnaden för säkerhetsåtgärderna ska ställas i relation till riskerna för att obehöriga får ta del av personuppgifterna. Ju större riskerna är, desto mer omfattande ska säkerhetsåtgärderna vara.

Ta ställning till särskilda risker

Den som är personuppgiftsansvarig ska ta ställning till vilka särskilda risker det finns med behandlingen. Finns det sådana risker kan det påverka vilka säkerhetsåtgärder som behövs för att skydda personuppgifterna. Frågor man bör ställa sig är:

• Behandlas personuppgifterna på ett sätt som gör det svårt att kontrollera att det bara sker i enlighet med ändamålen med behandlingen? Finns det risk för att personuppgifterna kan spridas på ett oönskat sätt?
• Hanteras personuppgifter via öppna nät som Internet, till exempel via en webbhemsida eller genom e-post?
• Kan många användare komma åt personuppgifterna?
• Behandlas personuppgifter om många personer?
• Behandlas en stor mängd personuppgifter om varje person?
• Hur stor är sannolikheten för och konsekvenserna av tekniska störningar eller att obehöriga får åtkomst till uppgifterna?

Ju fler av dessa frågor som ni svarar Ja på, desto mer omfattande bör säkerhetsåtgärderna vara.

Bedöm hur känsliga uppgifterna är

Enligt personuppgiftslagen gäller särskilda begränsningar för behandling av vissa kategorier av personuppgifter. I lagen betecknas dessa uppgifter som "känsliga" personuppgifter.

Känsliga personuppgifter är enligt personuppgiftslagen sådana som avslöjar:

• ras eller etniskt ursprung
• politiska åsikter
• religiös eller filosofisk övertygelse
• medlemskap i fackförening
• uppgifter som rör hälsa eller sexualliv.

Personuppgifter som normalt sett inte är integritetskänsliga i lagens mening är uppgifter som rör exempelvis anställningsförhållanden eller kundförhållanden. Normalt sett harmlösa personuppgifter kan dock bli känsliga beroende på i vilket sammanhang de förekommer. Uppgifter om ekonomisk hjälp eller vård inom socialtjänsten, personuppgifter inom inkasso eller kreditupplysning eller uppgifter om personliga förhållanden inom bank- och försäkringsväsendet är normalt sett att anse som känsliga när det handlar om säkerhet.

Följande frågor kan också påverka när man bedömer hur pass integritetskänsliga uppgifterna är:

• Omfattas uppgifterna av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen eller annan lagstiftning?
• Omfattas behandlingen av någon särlagstiftning, till exempel patientdatalagen eller lagen om behandling av personuppgifter inom socialtjänsten, kriminalvården, med flera?
• Är det uppgifter om lagöverträdelser?
• Är det uppgifter om enskildas personliga förhållanden?

Är svaret Ja på någon av dessa frågor, ska säkerhetsåtgärderna för att skydda personuppgifterna vara mer omfattande.

Mer information

Mer information om olika säkerhetsåtgärder får du i informationsbladet Informationssäkerhet och i Datainspektionens allmänna råd Säkerhet för personuppgifter (se länkarna till höger).

Mer information

Mobila enheter

Checklista för behandling av personuppgifter
En checklistan för den som planerar att använda sig av mobila enheter, ex. surfplattor, för överföring av integritetskänsliga personuppgifter.

Säkerhet för personuppgifter i e-post

Det finns särskilda risker när man hanterar personuppgifter i e-post. Här berättar vi mer om vad man bör tänka på.

IT-säkerhet och myndigheters e-tjänster

Utvecklingen av e-tjänster innebär en ökad datoriserad behandling av personuppgifter. För myndigheter som dessa tjänster är det viktigt att säkerställa att personuppgifterna skyddas på ett bra sätt.

Nyheter

• Fortsatt nej för kommun att använda molntjänst

  10 juni 2013

• Europa pekar på riskerna med mobilappar

  14 mars 2013

• Kreditupplysningsföretag måste stärka säkerheten

  7 mars 2013

• Folkpartiet måste skydda sitt centrala medlemsregister bättre

  18 oktober 2012

• Datainspektionen kräver säkrare bankappar

  15 oktober 2012

• IT-attacker största hotet mot Sverige

  4 oktober 2012

• Datainspektionen granskar hur socialnämnder använder läsplattor

  24 april 2012

• Bättre integritetsskydd med ny vägledning

  27 januari 2012

• Otydliga riktlinjer för hur känsliga uppgifter skickas med e-post

  13 december 2011

• Hög IT-säkerhet krävs för att skicka förundersökningsprotokoll elektroniskt

  29 juni 2011

Dokument

Informationssäkerhet

I det här informationsbladet hittar du en sammanställning av de viktigaste säkerhetsåtgärderna.

Säkerhet för personuppgifter

I Datainspektionens allmänna råd finns exempel på administrativa och tekniska säkerhetsåtgärder som man kan vidta för att uppfylla de krav som personuppgiftslagen ställer på informationssäkerhet när man behandlar personuppgifter.