Hoppa till innehåll på sidan

Informations­säkerhet

Informationssäkerhet handlar framför allt om att hindra information från att läcka ut, förvanskas och förstöras. Det handlar också om att rätt information ska finnas tillgänglig för rätt personer, och i rätt tid. Information ska inte kunna hamna i orätta händer och missbrukas. De registrerade ska veta vem som använder deras personuppgifter och varför.

Myndigheter, företag och organisationer arbetar kontinuerligt med säkerhetsarbete av olika slag. Här fokuserar vi på säkerhet för personuppgifter som är en del av informationssäkerhetsarbetet.

Varför är det viktigt att skydda personuppgifter? Det handlar om kärnan i dataskyddsförordningen: att skydda personers integritet och om att värna allas friheter och rättigheter.

IMY talar inte om hur ni ska göra – det måste ni bestämma själva

Säkerhetsrisker och hot mot den personliga integriteten varierar beroende på personuppgiftsbehandlingens storlek och komplexitet, men till stor del handlar säkerhetsarbetet om att minimera risker och att hantera risker på bästa sätt. Ni kan använda olika åtgärder och teknik, men ert arbete med informationssäkerhet måste uppfylla syftet med dataskyddsförordningen, att skydda enskildas grundläggande rättigheter och friheter.

Här berättar vi vilka krav som finns, vad ni måste göra, men vi kan inte förklara i detalj hur ni ska gå till väga. Det är varje organisations ansvar att planera och genomföra säkerhetsarbetet så att det uppfyller kraven i dataskyddsförordningen på bästa sätt.

Vad innebär dataskyddsförordningen?

Har ni bra säkerhet för personuppgifter behöver ni antagligen inte ändra på ert arbete. Men ni måste kontrollera att ni

  • följer alla de grundläggande principerna i dataskyddsförordningen
  • har en korrekt rättslig grund för era personuppgiftsbehandlingar
  • dokumenterar hur ni har tänkt och hur ni gör.

Informationssäkerhetsarbete: struktur, rutiner och förutsägbarhet

Med en klar och tydlig struktur och väl anpassade rutiner i säkerhetsarbetet uppnår ni förutsägbarhet. Om ni har tydliga, interna rutiner eller följer en standard minskar ni riskerna för att ni missar något viktigt eller gör misstag som kan leda till kostsamma säkerhetsincidenter.

Obs! Var alltid uppmärksamma på att ni inte behandlar personuppgifter som ni inte har rättslig grund för att behandla. Ni ska inte bygga rutiner och tekniska lösningar för att skydda uppgifter som ni inte har rätt att behandla.

Vad behöver ni tänka på och hur kan ni gå till väga?

Följande fyra steg hjälper er att arbeta strukturerat och därmed att uppfylla kraven i dataskyddsförordningen.

Utgå alltid från de grundläggande principerna i dataskyddsförordningen och svara på: Varför behöver ni behandla personuppgifter? Vilka är ändamålen?

Bedöm också vilken rättslig grund ni ska stödja era beslut på.

Grundläggande principer

Rättslig grund

  • Vad ska skyddas? Vad behöver ni behandla? Vad får ni behandla?
  • Omfattning av behandlingen
  • Risker med behandlingen: Gör en grundlig riskanalys.

Har ni en personuppgiftsbehandling som är särskilt känslig kan en konsekvensbedömning bli nästa steg.

Vad är lämpligt med tanke på det vi tagit fram i analysen?

  • Vilken teknik finns?
  • Vilka organisatoriska rutiner är lämpliga för oss att genomföra?

Gör en sammanlagd bedömning

  • Vilka åtgärder krävs för en säker personuppgiftsbehandling?
  • Vilka åtgärder är lämpliga utifrån kostnader och möjligheterna att genomföra åtgärderna?

Besluta om åtgärder

  • tekniska
  • organisatoriska: rutiner, styrdokument

Kommunicera!

Alla berörda ska ha klara och tydliga instruktioner så att er personuppgiftsbehandling är säker och laglig. Ingen otillåten behandling ska kunna ske.

Dataskyddsförordningen ställer höga krav på dokumentation. Skaffa goda rutiner för att kontinuerligt motivera era beslut och dokumentera

  • vad ni gör
  • hur ni tänkt – motivera era beslut
  • era rutiner och styrdokument.

Konsekvensbedömningar

Personuppgiftsincidenter

 

 

Rättsinformation

Fördjupa dig
Senast uppdaterad: 19 maj 2021
Sidans etiketter Dataskydd