Säkerhet vid distansarbete

Internet

Fråga:

Frågan gäller säkerheten vid distansarbete med känsliga personuppgifter.

Svar:

Enligt 31 § personuppgiftslagen ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, kostnaden för åtgärderna, särskilda risker med behandlingen och hur pass känsliga uppgifterna är.

Vid bedömning av hur pass känsliga uppgifterna är, ska man särskilt beakta om personuppgifterna definieras som känsliga i personuppgiftslagen, om de omfattas av tystnadsplikt eller sekretess enligt sekretesslagen eller annan lagstiftning samt om de i övrigt kan anses som ömtåliga. Sådana personuppgifter får lämnas ut via öppna nät (till exempel Internet) endast till identifierade användare vars identitet är säkerställd med en teknisk funktion som asymmetrisk kryptering (till exempel e-legitimation), engångslösenord eller motsvarande.

Systemet bör kunna kontrollera användningen så att endast de som behöver uppgifterna för sitt arbete får tillgång till åtkomstskyddade personuppgifter. Det bör finnas rutiner för hur man ska tilldela, följa upp och ta bort behörigheter.

För att kunna utreda eventuell olovlig åtkomst ska det finnas en behandlingshistorik (logg) där det går att utläsa vem som gjort vad i systemet och vid vilken tidpunkt. Loggen bör följas upp och skyddas mot otillåtna ändringar. I ert fall bör den som minst visa användaridentitet, tidpunkt och vilka personuppgifter som användaren har tagit del av. För att loggningen även ska ha ett förebyggande syfte bör användarna informeras om att loggar förs och att det är möjligt att spåra användningen.

Själva kommunikationen mellan hemmet och verksamhetssystemet ska vara försedd med krypteringsskydd när det rör sig om känsliga uppgifter.

Om arbetsgivaren tillåter att anställdas hemdatorer får användas för distansarbete uppkommer ytterligare säkerhetsrisker som den personuppgiftsansvarige bör ta i beaktande för att bedöma hur säkerheten i dessa datorer ska upprätthållas enligt ovan, exempelvis obehörig åtkomst genom läsning på skärmen, lagring av temporärfiler på datorns hårddisk, med mera. Det bör också finnas rutiner för hur den personuppgiftsansvarige ska kunna förvissa sig om att säkerhetskraven uppfylls. Känsliga personuppgifter som lagras på mobila eller löstagbara media ska krypteringsskyddas eftersom de riskerar att komma på avvägar.

(November 2007)

Personuppgiftsombudet


Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.