Hoppa till innehåll på sidan

Behörighetsstyrning

Behörighetsstyrning säkerställer att inte fler användare i verksamheten än nödvändigt har tillgång till fler personuppgifter än nödvändigt. Principen kallas "behöver veta" eller "need to know". Det innebär att man endast har tillgång till de personuppgifter som man behöver för att kunna utföra sina arbetsuppgifter.

Genom behörighetsstyrning avgör ni vilka personuppgifter och funktioner som en användare ska kunna ta del av och använda. Korrekt behörighetsstyrning är en grundläggande säkerhetsåtgärd för att obehöriga inte ska få tillgång till personuppgifter som behandlas i verksamheten.

En behörighet definierar vilka uppgifter en användare har tillgång till och vad medarbetaren kan göra med uppgifterna. Befogenhet handlar om ifall medarbetaren får behandla uppgifterna och i så fall hur och när.

Varför behövs behörighetsstyrning?

Enligt de grundläggande principerna i artikel 5 i dataskyddsförordningen (GDPR) ska personuppgiftsansvariga bland annat säkerställa lämplig säkerhet för personuppgifterna. Det inbegriper skydd mot obehörig eller otillåten behandling. Därför behöver ni vidta säkerhetsåtgärder för att skydda uppgifter från obehörig åtkomst från såväl egna medarbetare som externa aktörer.

Hur ska ni arbeta med behörighetsstyrning?

Nedan följer några exempel på vad som förväntas av er som verksamhet när det gäller behörighetsstyrning för att begränsa riskerna med er personuppgiftbehandling.

  • Analysera ert behov
    Genomför en behovs- och riskanalys för olika roller eller användare innan ni tilldelar behörigheter. Analyserna ska utgå ifrån vem som behöver åtkomst till vilka uppgifter och när. Ta hänsyn till riskerna med en alltför vid behörighet.
  • Dokumentera er analys
    Dokumentera och följ upp behovs- och riskanalyserna för att fånga upp eventuella förändringar i behov eller risker.
  • Principer för åtkomst
    Varje användare ska tilldelas en individuell behörighet för att komma åt personuppgifter. Begränsa åtkomsten till vad varje medarbetare behöver för att kunna utföra sina arbetsuppgifter.
  • Använd behörighetsnivåer
    Det kan behövas olika behörighetsnivåer och skikt för att begränsa åtkomsten till personuppgifter. Säkerställ att tilldelning och användning av privilegierade åtkomsträttigheter, som till exempel administratörsrättigheter, begränsas och kontrolleras.
  • Rutiner för hantering av behörigheter
    Rutiner och instruktioner behövs för de medarbetare som ska tilldela, granska, förändra och avregistrera behörigheter samt vilka åtkomstmöjligheter respektive behörighet innebär.
  • Informera användarna
    Användarna behöver instruktioner som anger hur och när de får använda sina tilldelade behörigheter.
  • Dela upp arbetsuppgifter
    Dela upp momenten vid behörighetstilldelning så att inte samma medarbetare beställer, tilldelar och godkänner behörigheter.
  • Granska behörigheter
    Ni behöver ha en process för att registrera och avregistrera användares behörigheter. Förändras en medarbetares arbetsuppgifter kanske ni även behöver justera behörigheterna. Följ upp behörigheter regelbundet.
  • Dokumentera
    Dokumentera förändringar av behörigheter så att ingen har tillgång till mer information än nödvändigt.
Senast uppdaterad: 10 maj 2023