Säkerhet för personuppgifter

Säkerhet för personuppgifter uppnås genom att uppgifterna är skyddade genom lämpliga åtgärder i relation till hur känslig informationen är. GDPR föreskriver inte exakt vilken säkerhetsnivå som krävs men ger riktlinjer.

Lästid: 2 minuter.

Vad är säkerhet för personuppgifter?

Organisationer som använder personuppgifter måste skydda uppgifterna med en säkerhetsnivå som är lämplig i förhållande till risken för individen om de missbrukas. När du bestämmer vad som är “lämpligt” bör du överväga vilken typ av uppgifter, sammanhanget och för vilka ändamål du tänker använda uppgifterna. Det är också relevant att överväga möjliga risker med den avsedda användningen, till exempel förstörelse, förlust, ändring, obehörigt avslöjande av- eller tillgång till personuppgifter.

Säkerhet för personuppgifter regleras i artikel 32 i GDPR. Denna artikel och skäl 78 i GDPR anger element för vad som är bra säkerhet. Element för bra säkerhet är:

• använda pseudonymisering och krypteringstekniker;

• säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos processystem och tjänster;

• ha processer för att regelbundet testa, bedöma och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärderna.

När det gäller att bedöma om en säkerhetsåtgärd är lämplig eller inte måste du känna till kraven för säkerhet på en nivå som är tillräcklig för att förstå om behandlingen uppfyller kraven eller inte. För att göra detta ska du leta efter ytterligare vägledning i ramarna för certifiering av informationssäkerhet och kontrollkataloger. Några relevanta exempel för säkerhet för personuppgifter är:

• ENISA har utvecklat ramverket för “Privacy by design” som kan användas vid utveckling av system och program;

• ISO / IEC 27002 är en standard för säkerhetstekniker som ger riktlinjer för val, implementering och hantering av olika säkerhetskontroller;

• ISO / EIC 27005 är en standard för säkerhet för personuppgifter som ger riktlinjer för riskhantering;

• NIST Framework Special Publication 800-53 är en standard med kataloger över tekniska kontrollösningar.

Exempel på kontrollösningar

Nedan följer förslag för din säkerhet för personuppgifter:

• Uppgiftsminimering – e.g. minimera de personuppgifter som används för en specifik uppgift,

• Åtkomstkontroll – e.g. kontrollera åtkomst till utrymmen med nyckelkort och installera larm,

• Integritet och konfidentialitet – e.g. användarbehörighet är begränsad till uppgifter eller roller (e.g.endast HR),

• Pseudonymisering – e.g. ersätta delar av personuppgifter så att de visas som icke-personuppgifter, även om det är möjligt att spåra tillbaka till personen,

• Kryptera maskinvara eller använda en krypterad molntjänst,

• Använd överföringskontroller för att säkerställa att personuppgifter är säkra vid transitering eller SSL certifikat för webbplatser,

• Sekretess – e.g. ange använd lösenordspolicyer, inkludera en skyldighet att inte lämna ut information i avtal med konsulter eller andra som får tillgång till personuppgifter,

• Återvinningsbarhet – e.g. kontrollera säkerhetskopior för att säkerställa en lyckad återvinning,

• “Privacy by design” och integritet som standard – principer från ENISA som ska användas vid utveckling av system och program,

• Utvärdering – e.g. regelbunden granskning och förbättring av dina informationssäkerhets processer och säkerhetsåtgärder.

Tänk på att vissa tekniska kontroller utlöser kravet på att utföra en dataskyddskonsekvensbedömning (DPA) innan du börjar bearbeta uppgifter.