meny

Informationssäkerhet

Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas. De registrerade ska veta vem som använder deras personuppgifter och varför.

Myndigheter, företag och organisationer arbetar kontinuerligt med säkerhetsarbete av olika slag. Här fokuserar vi på säkerhet för personuppgifter som är en del av informationssäkerhetsarbetet.

Varför är det viktigt att skydda personuppgifter? Det handlar om kärnan i dataskyddsförordningen: att skydda personers integritet och om att värna allas friheter och rättigheter.

Datainspektionen talar inte om hur ni ska göra – det måste ni bestämma själva

Säkerhetsrisker och hot mot den personliga integriteten varierar beroende på personuppgiftsbehandlingens storlek och komplexitet, men till stor del handlar säkerhetsarbetet om att minimera risker och att hantera risker på bästa sätt. Ni kan använda olika åtgärder och teknik, men ert arbete med informationssäkerhet måste uppfylla syftet med dataskyddsförordningen, att skydda enskildas grundläggande rättigheter och friheter.

Här berättar vi vilka krav som finns, vad ni måste göra, men vi kan inte förklara i detalj hur ni ska gå till väga. Det är varje organisations ansvar att planera och genomföra säkerhetsarbetet så att det uppfyller kraven i dataskyddsförordningen på bästa sätt.

Vad är nytt i dataskyddsförordningen?

Egentligen innebär inte dataskyddsförordningen så mycket nytt när det gäller informationssäkerhet för personuppgifter. Har ni bra säkerhet nu så behöver ni antagligen inte ändra på ert arbete. Men ni måste kontrollera att ni

  • följer alla de grundläggande principerna i dataskyddsförordningen
  • har en korrekt rättslig grund för era personuppgiftsbehandlingar
  • dokumenterar hur ni har tänkt och hur ni gör.
  • Informationssäkerhetsarbete: struktur, rutiner och förutsägbarhet

Med en klar och tydlig struktur och väl anpassade rutiner i säkerhetsarbetet uppnår ni förutsägbarhet. Om ni har tydliga, interna rutiner eller följer en standard minskar ni riskerna för att ni missar något viktig eller att ni gör misstag som kan leda till kostsamma säkerhetsincidenter.

Obs! Var alltid uppmärksamma på vilken information som ni behandlar, så att ni inte behandlar personuppgifter som ni inte har rättslig grund för att behandla. Ni ska inte bygga rutiner och tekniska lösningar för att skydda uppgifter som ni inte har rätt att behandla.

Vad behöver ni tänka på och hur kan ni gå till väga?

Följande fyra steg hjälper er att arbeta strukturerat och därmed att uppfylla kraven i dataskyddsförordningen.

1. Utgå från grundläggande principer och rättslig grund

Utgå alltid från de grundläggande principerna i dataskyddsförordningen och svara på: Varför behöver ni behandla personuppgifter? Vilka är ändamålen?

Bedöm också vilken rättslig grund ni ska stödja era beslut på.

2. Analysera skyddsobjekt, omfattning och risker

  • Vad ska skyddas? Vad behöver ni behandla? Vad får ni behandla?
  • Omfattning av behandlingen.
  • Risker med behandlingen: Gör en grundlig riskanalys. Har ni en personuppgiftsbehandling som är särskilt känslig kan en konsekvensbedömning bli nästa steg.

3. Analysera åtgärder och lämplighet

  • Vad är lämpligt med tanke på det vi tagit fram i analysen?
  • Vilken teknik finns?
  • Vilka organisatoriska rutiner är lämpliga för oss att genomföra?

Gör en sammanlagd bedömning:

  • Vilka åtgärder krävs för en säker personuppgiftsbehandling?
  • Vilka åtgärder är lämpliga utifrån kostnader och möjligheterna att genomföra åtgärderna?

Besluta om åtgärder:

  • Tekniska
  • Organisatoriska: rutiner, styrdokument

Obs: Kommunicera! Alla berörda ska ha klara och tydliga instruktioner så att er personuppgiftsbehandling är säker och laglig. Ingen otillåten behandling ska kunna ske.

4. Motivera era beslut och dokumentera kontinuerligt

Dataskyddsförordningen ställer höga krav på dokumentation. Skaffa goda rutiner för att kontinuerligt motivera era beslut och dokumentera

  • vad ni gör
  • hur ni tänkt – motivera era beslut
  • era rutiner och styrdokument.

Läs mer om konsekvensbedömningar
Läs mer om och anmäl personuppgiftsincidenter

Rättsinformation

Artikel 29 (Behandling under den personuppgiftsansvariges eller personuppgiftsbiträdets överinseende)
Artikel 32 (Säkerhet i samband med behandlingen)
Skäl 83