Sluta inte att tänka säkert!
För att vi som enskilda ska vara skyddade när vi använder våra uppgifter i olika digitala sammanhang måste vi tänka säkert. Vi behöver tänka på vilka uppgifter vi lämnar om oss själva och till vem, hur och när vi kan klicka på en länk och när vi ska låta bli. Men det räcker inte att vi själva tänker säkert. För att våra uppgifter ska vara säkra behöver också de verksamheter som behandlar våra uppgifter tänka säkert.
Den som är personuppgiftsansvarig ansvarar för att följa dataskyddsförordningen (GDPR). Dataskydd handlar både om de rättsliga reglerna som ger skydd för den enskildes fri− och rättigheter, men också om det faktiska skyddet, som bland annat ska se till så att personuppgifterna inte hamnar i orätta händer. Det faktiska skyddet skapas genom tekniska och organisatoriska säkerhetsåtgärder.
För att bedöma vilka säkerhetsåtgärder som är lämpliga för att skydda en viss personuppgiftsbehandling ska den som är personuppgiftsansvarig göra en bedömning i det enskilda fallet kopplat till risken för den enskildes fri− och rättigheter. Det enda som skiljer informationssäkerhet vid behandling av personuppgifter från annat informationssäkerhetsarbete är med andra ord perspektivet vad gäller skyddsobjektet. I övrigt bör samma metod användas som för allt annat informationssäkerhetsarbete.
Många av de personuppgiftsincidenter som anmäls till IMY uppges bero på den mänskliga faktorn. Som vi redan konstaterat ansvarar den personuppgiftsansvariga för all behandling av personuppgifter som sker i en verksamhet. Det gäller även om det är frågan om misstag eller felbedömningar av en anställd. Det innebär att om en anställd i sitt arbete skickar uppgifter på ett osäkert sätt över internet eller lägger in uppgifterna i ett AI-verktyg för att få hjälp med en analys eller på något annat sätt tappar kontroll över uppgifterna, så sker det inom ramen för den personuppgiftsansvarigas verksamhet. Därmed är det den personuppgiftsansvarigas ansvar.
För att komma till rätta med de incidenter som anges bero på den mänskliga faktorn krävs ofta tekniska och organisatoriska åtgärder som gör det lätt att göra rätt och svårt att göra fel. Även dessa säkerhetsåtgärder behöver integreras i de processer verksamheten har för informationssäkerhet. Säkerhetsarbetet behöver ske kontinuerligt, men också ständigt utvärderas och förbättras.
Fortsätt därför att tänka säkert året om!
Katarina Tullstedt, enhetschef Enheten för säkerhetstillsyn
Mats Juhlén, it- och informationssäkerhetsspecialist
Senaste blogginläggen
-
Hur påverkas nuvarande regler av förslagen i kamerabevakningsutredningen?
15 april 2024 -
Kamerabevakning i skolor – vägledande frågor och svar
12 mars 2024 -
Frågor & svar: Webbinariet Trygghetsmätning i offentliga miljöer med hjälp av IoT-teknik
22 februari 2024 -
Så blir dataskyddsåret 2024
26 januari 2024
Senaste blogginläggen
-
Hur påverkas nuvarande regler av förslagen i kamerabevakningsutredningen?
15 april 2024 -
Kamerabevakning i skolor – vägledande frågor och svar
12 mars 2024 -
Frågor & svar: Webbinariet Trygghetsmätning i offentliga miljöer med hjälp av IoT-teknik
22 februari 2024 -
Så blir dataskyddsåret 2024
26 januari 2024