RINF augustitentamen

Transkript

1 RINF augustitentamen RINF augustitentamen Personnummer: Betyg: Totalpoäng: 27 Övergripande kommentar:

2 2 RINF augustitentamen Augustitentamen i Rättsinformatik den 24 augusti 2016, kl Skrivningen består av 3 frågor om sammanlagt 30 poäng. Tentamen besvaras på dator. Rättningen är anonym. Examinatorer: Cecilia Magnusson Sjöberg För att erhålla betyg från tentamen måste samtliga obligatorier ha uppfyllts. Alla studenter måste vara anmälda till tentamen. Examinationsregler: Alternativ 4. All kurslitteratur är tillåten, författningssamling eller lagbok, rättsfallssamling, utskrifter av material från kurshemsidan, samt seminarieinstruktionerna och seminarieinlämningar. I det tillåtna materialet är över- och understrykningar och handskrivna anteckningar tillåtna. Egenskrivna anteckningar skrivna på dator eller för hand är tillåtna. Utskrifter av rättsfall, lagkommentarer och artiklar m.m. som ej behandlats på kursen är inte tillåtna. Resultatet meddelas genom FastReg senast 3 veckor från dagens datum. LYCKA TILL BÄSTA STUDENTER!

3 RINF augustitentamen Energibolaget GlobEl säljer el på den svenska marknaden. Det rör sig om ett svenskt dotterbolag i den internationella koncernen Global Electricity. Företaget har närmare en miljon kunder spridda över hela landet. GlobEl erbjuder flera olika elavtal, bl.a. rörligt avtal, mixavtal av olika slag och därtill olika finansieringslösningar kopplade till avtalen. Dessutom säljer man andra produkter på elmarknaden som t.ex. lampor och armaturer. GlobEl står nu inför att utveckla sin affärsverksamhet än mer vilket ger upphov till flera rättsinformatiska frågor av både kommersiellt och offentligrättsligt slag. Compliance officer Plia, dvs. den person på bolaget som ansvarar för regelefterlevnad i verksamheten, har förstått att det är ändringar på gång när det gäller regleringen av dataskydd. Hon tar därför kontakt med chefsjurist Legalia för att få reda på mera. Legalia har som vanligt ont om tid och vidarebefordrar därför ett mail till dig på din första dag som praktikant på juristavdelningen med följande frågor som nu ska besvaras: Vad kan tänkas bli konsekvenserna för bolaget av att den s.k. missbruksregeln försvinner när EU:s allmänna dataskyddsförordning träder i kraft den 25 maj 2018? Vad betyder egentligen missbruk i detta sammanhang? (4 p.) Samtycke så som gäller redan nu enligt personuppgiftslagen lär finnas kvar som ett sätt att göra en personuppgiftsbehandling tillåten. Innebär det att vi på GlobEl kan bygga ut våra kompetensdatabaser avseende anställda bara vi får personalens OK på vår profilering av både deras styrkor och svagheter? (3 p.) Lagstiftaren verkar lägga allt mer vikt på att bygga in dataskydd i olika IT-lösningar. Vad förstås med detta mer konkret och vad skulle kunna bli aktuellt för bolaget? (3 p.) Svar: 1) Nuvarande lagstiftning för svensk del bygger på dataskyddsdirektivet som implementerats genom Personuppgiftslagen (PuL). Missbeuksregeln som den är utformad i svensk rätt tillkom under en lagtiftningsrevision 2007, långt efter att lagstiftningen trätt i kraft, eftersom den modell för hantering av personuppgifter som ursprungligen fanns i PuL är en allt för komplicerad regelmodell för sådan behandling av personuppgifter som betraktas som "vardaglig". När man konstatert att PuL är tillämplig på aktuell behandling, d.v.s. att det rör sig om helt elelr delvis automatiserad, och i vissa fall manuell, behandling utan att någon undantag i 6-8 är tillämpligt, blir nästa fråga om vilken regelmodell för behandling som blir tillämplig. Bestämmelsen är i nuläget 5 a PuL. Undantaget för vardahglig behandling kan sägas innebära en slags "PuL light", och medför inte att PuL inte tillämpas, menatt den endast tillämpas i begränsad utsträckning. Bland annat behöver grundläggande krav på behandling avseende ändamål, datakvalitet och god sed (9 ) inte behaktas. Inte heller måste dte finnas ett samtycke eller nödvändig behandling för att behandlingen ska vara tillåten. Däremot måste alltid säkerhetsåtgärder enligt iakttas, för att tillförsäkra behandlingen tillräcklig nivå av informetionssäkerhet.

4 4 RINF augustitentamen Den typ av behandling som undantas är sådan vardaglig behandling i ostrukturerat material, i vilket personuppgifterna inte strukturerats för att påtaglig underlätta sökning. Enligt förarbetena ska det handla om sedvanligt utnyttjande av allmänna funktioner, t.ex. användningen av ett ordbehandlingsprogram där den teknikst administrativa lösningen inte styr. Typiskt sett rör det sig om uppgifter som inte finns i databaser eller register och regeln omfattar publicering av personuppgifter i löpande text, vilket innebär att snart sagt all publicering på webben, bloggar och liknande. I HFD 2015 ref 3 presenterades en slags tvåstegs modell som går ut på att först undersöka om materialet är strukturerat vilket sker hgenom ett pragmatiskt ställningstagande. Vidare ska undersökas om sökning påtagligt underlättas vilket, som ovan nämnts, tar sikte på om datorteknikens fördelar har utnyttjats. Även om det rör sig om en ostrukturerad behandling får emellertid personen som behandlas inte kränkas, 5 a 2 st PuL. Ma får alltså - oavsett vad - inte publicera personuppgifter som skandaliserar, förföljer, är i för stor mängd, innehåller felaktigheter, är förtalande eller förolämpande, o.s.v. Faktoer som påverkar bedömningen är syftet med publiceringen, vilka uppgifter som lämnas ut, hur länge uppgifterna har funnits på nätet, och i vissa fall hur den kränkte upplever behandlingen (HFD 2011 ref 77, HFD 2012 ref. 16). Det är denna regel som tar sikte på "missbruk" i missbruksregeln. Regeln i 5 a PuL innebär en lättnadsregel, men uppgifterna får fortfarande inte missbrukas. Det bör noteras att yttrandefrihetn och undantaget för journalistiska ändamål går före, vilket vid en proportionalitetsavvägning mellan integritetsskydd och yttrandefrihet kan innebära att kränkinngen ändå är godtagbar. Konsekvensen av att möjligheten till vardaglig behandling försvinner är att all behandling kommer att omfattas av de mer komplicerade hanteringsreglerna (i ny tappning, förstås). Detta kommer innebära ökade krav på företag och enskilda att känna till lagstiftningen, eftersom sanktionerna kommer att skärpas i och med den nya lagstiftningen. GlobEl kommer alltså att behöva vara varsam vid publicering av t.ex. bilder och texter på interna hemsidor och kommer behöva vara beredda på att informera om behandlingen samt även ha en beredskap för "the right to be forgotten". GlobEl kommer att i större utsträckning behöva precisera ändamålet med sina publivceringar t.ex. på nätet, och dessutpom vid en intresseavvägning få anses ha skäl att få lov att behandla uppgifterna. GlobEl kommer behöva försäkra sig om att all behandling följer de grundläggande krav på ändamål, datakvalitet och god sed som ställs i 9 och dessutom att behandlingen är laglig, antingen med samtycke, eller att den är nödvändig. Vidare kan det finnas skäl att anlita ett personuppgiftsombud för att minska behoven av att anmäla vissa behandlingar till tillsynsmyndigheten. Denna form av "internrevisor" kan också vara praktisk när kraven ökar, och rikserna för stora skadeståndsbelopp (upp till 4 % av årsomsättningen) ökar. 2) När hanteringsmodellen är tillämplig krävs för att behandlingen ska vara tillåten att den vars uppgifter ska behandas antingen samtycker, eller att det rör sig om en s.k. nödvändig behandling. Samtycket definieras i 3 PuLsom en frivillig, särskild och otvetydig viljeyttring. Ett giltigt samtycke kan endast lämnas efter information om behandlingen. Det finns inga formkrav för samtycke, utan det kan lämnas muntligt eller skriftligt. Däremot är samtycket

5 RINF augustitentamen enskilt såtillvida att dte inte kan lämnas som "grupp". Vad gäller samtycke för icke känsliga uppgifter går konkludent samtycke bra, medan det för känsliga uppgifter krävs ett "uttryckligt" samtycke, vilket utesluter konkludent handlande. Samtycke i arbetslivet är däremot svårt; arbetsgivare har vanligtvis svårt att stödja sin behandling på samtycke. Arbetstagaren befinner sig i en beroendeställning och kan inte lämna sådana frivilliga samtycken som lagen kräver. För att samtycket ska anses vara giltigt måste det således röra sig om ett verkligt fritt val och att arbetstagaren, utan nackdelar överhuvudtaget, kan återkalla sitt samtycke till behandlingen. Av denna anledning måste arbetsgivare i regel stödja sin behandling på att det är en nödvändig behandling, vanligtvis efter en intresseavvägning enligt 10 f PuL. Vanligtvis kan en arbetsgivare behandla uppgifter i en kompetensdatabas (som t.ex. kan innehålla uppgifter från genomförda utbildningar, ansökningshandlingar, kvalifikationer, karriärmål m.m.) efter en avvägning enligt 10 f PuL. Intresset av att behandla uppgifterna för arbetstagarens skulle torde väga tyngre än arbetstagarens intresse av integritet. Behandlingen måste dock även uppfylla de allmänna kraven i 9, vilket är att bl.a. god sed på arbetsmarknaden ska följas, 9 b PuL. Sker en behandling i strid med god sed är den i regel även olaglig, 9 a PuL. Det kanske viktigaste är att ändamålen ska bestämmas, och dessa får inte vara för vida. När GlobEl bygger ut sina databaser måste de beakta att de riskerar använda insamlade uppgifter för ändamål som inte fanns när uppgifterna ursprungligesn samaldes in, vilket vore i strid med den s.k. finalitetsprincipen, 9 d PuL. Eftersom GlobEl har profilerat sina anställda så torde nuvarande databas vara uppbyggd enligt vissa ändamål. Beroende på hur GlobEl vill utveckla databasen kommer behandlingen vara tillåtet. GlobEl kan dock inte förlita sig på ett "Ok", eftersom det inte kommer att betraktas som ett giltigt samtycke. I stället måste ändamålen preciseras, och information gå ut till de registrerade om för vilka ändamål behandlingen sker, och att det finns rätt att dra tillbaka eventuellt givna samtycken. 3) En nyhet med den nya förordningen är att det finns regler kring och möjligheter till s.k. "Privacy by design". Syftet är att skapa en proaktivitet i arbetet med integritetsskyddet, och bygga in vissa säkerhetsnivåer i system, beroende på vilken typ av säkerhet som eftersträvas i det enskilda fallet. Detta kan givetvis skilja sig åt beroende på om det är "harmlösa" eller känsliga personuppgifter som behandlas, samt vilken typ av behandling i vilket medium som sker. Det är vanligtvis enklare och mer kostnadseffektivt (samt compliance-effektivt) att bygga in juridiska lösningar i IT-system redan från början. Detta är ett steg i en riktning mot att juristen kommer in tidigt i olika processer istället för att arbeta reaktivt, när problemen redan uppstått. Här fungerar I både som objekt för rättstillämpningen (i och med att det finns lagkrav) och som rättsligt styrinstrument (eftersom de tekniska lösningarna kommer styra efterlevnaden av regler). Det finns säkerligen flera olika tekniska lösningar för bolaget att ta till för att bygga in regelefterlevnad. En del skulle kunna vara mer fokuserade på informationssäkerhet och handla om att t.ex. grundläggande krav på god datakvalitet, d.v.s. att uppgifterna är riktiga och aktuella. Ett sätt att göra det bvore att - åtminstone i företag - ha ett system för gallring av icke-aktuella uppgifter. Vidare kan givetvis kraven på informationssäkerhet i 30 (och i förekommande fall 31 ) efterlevas genom tekniska lösningar, vilket redan sker idag.

6 6 RINF augustitentamen Vad gäller regler som inte anknyter till informationssäkerhet, skulle informationsplikten i stor utsträckning kunna automatiseras och byggas in. Dessutom skulle man kunna ha system som automatiskt varje år genererar sådan information som den enskilde skulle kunna komma att begära enligt 26 PuL. Man kan vidare tänka sig automatiserade formulär för sådan informationsbegäran. Även eventuella behov av anmälan till tillsynsmyndighet kan byggas in i systemen. Det finns flera lösningar som kan tänkas, och som också skulle kunna tänkas bidra till en effektivisering av regelefterlevnaden på GlobEl. Eftersom det är svårt att överblicka alla regler, kan det vara bra att utforma och datorisera sådan efterlevnad redan på förhand. Poäng: 9 Kommentar: 2. Verket för svenskt studiestöd (VeSS), dvs. den (fiktiva) myndighet som beslutar om bidrag och lån för studier i Sverige och utomlands har under årens lopp fått många förfrågningar från Pestman. Handläggarna vid VeSS har t.o.m. fått särskilda instruktioner av sina chefer att behandla Pestman lagligt och korrekt i övrigt trots att det uppenbarligen rör sig om en person med förstärkt rättskänsla så att säga. Det som nu är aktuellt är ett antal framställningar som är så knepiga att rättsavdelningen där du arbetar har blivit inkopplad. Din uppgift är nu att producera koncisa svar som kan ligga till grund för myndighetens slutliga ställningstaganden gällande följande: VeSS erbjuder s.k. egna utrymmen för bidragssökande, dvs. ett slags privata digitala lagringsplatser inom myndighetens it-system. Innehållet i ett eget utrymme är med hänvisning till 2 kap. 10 första stycket TF privat på så vis att ingen tjänsteman har åtkomst till innehållet som alltså har lagrats upp av enskilda personer. Det kan röra sig om allt ifrån halvt ifyllda ansökningsblan-ketter, studieintyg och personliga noteringar i elektronisk form. Pestman vill nu ha ett eget utrymme men har utan närmare motivering nekats detta med hänvisning till myndighetens interna riktlinjer om vem som under vilka förutsättningar kan få ha ett eget utrymme hos VeSS. (5 p.) Pestman har vidare begärt att få del av ett antal e-postmeddelanden som utväxlats mellan generaldirektören för VeSS och en grupp av andra generaldirektörer i statsförvaltningen under december månad Pestman menar att det finns grund för misstanke om korruption i samband med upphandling av it-system för de berörda myndigheterna. Chefen för upphandling hos VeSS menar dock att misstankarna är fullständigt ogrundade och har därför sett till att all e-post som gått ut externt från VeSS under den aktuella tidsperioden raderats. Att det var ett misstag att ta bort samtliga

7 Svar: 1) RINF augustitentamen e-postmeddelanden råder det numera ingen tvekan om, men gjort är gjort. Pestman kräver dock att den felaktigt borttagna e-posten ska återskapas vilket VeSS alltså motsätter sig. (5 p.) Att myndigheter tillhandahåller s.k. "egna utrymmen" eller "digitala lagringsytor" utgör en funktion för att inom den elektroniska förvaltinngen kunna ge inledande stöd till enskilda utan att de handlingar som tekniskt sett lagras hos myndigheten blir föremål för allmänhetens insyn. Det rör sig om en "modern grundlagstolkning" av TF 2:10. En handling - oavsett om den utgörs av en icke fullständigt ifylld blankett - är enligt TF en handling som genom att den är inkommen är att betrakta som allmän, och således är föremål för handlingsoffentlighet. Man laborerar med olika exemplar av handlingar, där vissa får anses inkomna, medan andra endast lagras som ett led i en teknisk beabetning. Praktsikt sett torde det gå till så att myndigheten skapar logiska gränser (istället för fysiska) och kategoriserar olika handlingar som antingen lagrade för teknisk bearbetning eller inkomna. Man anser att de handlingar som befinner sig i lagringsutrymmet inte är av principiellt intresse för handlingsoffrentligheten, varför det principiellt sett inte står i strid med grundlag att undandra handlingar från allmänheten. Att en handläggare inte har tillgång till uppgifterna är ingen avgörande faktor. Man kan nämligen tänka sig att det pågår en handläggning. Alternativt befinner man sig fortfarande i ett "digitalt serviceskede", och då torde det inte vara fråga om någon rätt för en handläggare att ha insyn. Frågan här är i vilken mån handlingen anses som inkommen enligt 10 Förvaltningslagen (FL). Detta är nämligen den tidsmässiga startpunkten för när service enligt 4 FL går över i handläggning. Det bör noteras att det givetvis inte finns någon skyldighet för en mynidghet att tillhandahålla denna form av service till enskilda. Processerna kan förvisso förenklas både för mynidgheten och den enskilda, men det finns inget lagkrav på att digitala lagringsytor ska tillhandahållas. Vad gäller kommunikation med mynidgheten är 5 2 st FL i princip den enda bestämmelsen i FL som är digitaliserad. Det finns alltså en skyldighet för mynidgheten att kunna kontaktas via e-post eller telefax. Det bör noteras att betsämmelsen inte är så vidsträckt till att omfatta att myndigheten ska tillhandahålla ett digitalt serviceskede eller digitala lagringsytor. Inte ens kommunikation via SMS omfattas av bestämmelsen. Blir mynidgheten kontaktad via mail bestämmer dessutom mynidgheten själv hur den bestvarar kommunikatione, vilket alltså kan ske via t.ex. post. Däremot finns det krav på att säkerheten inte eftersätts ( 7 FL), vilket mynidgheten måste beakta i sin kommunikation. Se även JO:s beslut , dnr , om att känslig information inte kan skickas över öppna nät utan att vara krypterad. Frågan har diskuterats om myndigheten kan ställa upp krav på t.ex. anvisad e-tjänst. Myndigheterna kan förvisso ange ett elektroniskt mottagningsställe där den tar emot enskildas handlingar, men detta innebär inte att mynidgheten kan strunta i handlingar som kommit in på annat sätt. fall som JO avgjorde från migrationsverket visade att mynidgheten inte får lov att prioritera ansökningar som kommit i digitalt. Principerna om obejktivitet, legalitet och likabehandling får inte frångås i den digitala förvaltningen. Däremot skulle mynidgheten kunna

8 8 RINF augustitentamen ha vissa säkerhetskrav för att man ska kunna ta del av en viss e-tjänst. Det kan t.ex. finnas krav på elektronisk identifiering eller underskrift. På det sättet skulle mynidgheten kunna kontrollera sin kommunikation med enskilda. Pestman kan alltså inte begära ett eget utrymme. VeSS har ingen skyldighet att tillhandahålla dessa, men kan göra det som en serviceåtgärd. Att VeSS ställer upp krav för att få använda en e-tjänst kan vara i enlighet med interna regler, och kan tänkas förekomma bl.a. av informationssäkerhetsskäl. Däremot kan VeSS inte strunta i kommunikationen med Pestman. Om Pestman vill initiera ett ärende där mynidgheten har e-tjänster, kan man tänka sig att han - så länge han uppfyller de krav som ställs i allmänhet på att få använda tjänsten - måste beredas tillgång på grund av likabehandlingsprincipen. 2) VeSS är en myndighet och ska tillhandhålla allmänheten insyn i den offentliga förvaltningen. Vad gäller den digitala sfären är det främst tre insynsrätter som är av betydelse; handlingsoffentligheten, Partsinsyn och rätt till registerutdrag enligt PuL. I detta fall är dte fråga om en begäran enligt handlingsoffentligheten Tryckfrihetsförorningen (TF) är teknikanpassad och omfattar även elektroniska handlingar. Som huvudregel ska en allmän handling som inte omfattas av sekretess lämnas ut på begäran, det är alltså fråga om en reaktiv insynsrätt. Det råder ingen tvekan om att e-post är en handling enligt TF 2:3; det är en upptagning (varje meningsfull konstellation av uppgifter) som kan läsas, avlyssnas eller uppfattas med ett tekniskt hjälpmedel, d.v.s. en dator. Handlingen får anses vara färdig så tillvida att det inte rör sig om någon sammanställning av uppgifter ur en databas. Av den anledningen är handlingen förvarad hos VeSS, eftersom den kan läsas med ett hjälpmedel som mynidgheten själv utnyttjar. För att handlingen ska vara allmän krävs dock att den är inkommen till eller upprättad hos myndighten. Mailen har utväxlats mellan generaldirektören för VeSS och statsförvaltningen, vilket borde innebära att kommunikatione gått över myndighetsgränser. Handlingen måste således anses expedierad enligt TF 2:7, och således upprättad och allmän. Om det istället rör sig om endast en intern kommunikation som inte är expedierad (beroende på hur myndighetsgränserna ser ut) så behöver handlingen vara "färdigställd", ifall det nu inte finns någon ärendeanknytning.av HFD 2013 ref. 86 framgår att att endast det förhållandet att e-post skickats mellan tjänstemän inte medför att handlingen anses färdigställts, utan att det krävs någon form av "åtgärd" som visar att den är färdigställd. Omhändertagande av handlingar och spridande av handlingar för kännedom har ansetts utgöra sådana åtgärder. I detta fall verkar det dock som om handlingen är expedierad och således allmän. Handlingarna (e-posten) ska således utlämnas till Pestman, under förutsättning att sekretess inte råder. Här kan man givetvis fråga sig om Pestman kan befaras att behandla uppgifterna i strid med PuL, varvid sekretess enligt 21:7 Offentlighets- och sekretesslagen (OSL) skulle föreligga. Detta är dock ej särskilt troligt. Sekretessen är svag, och presumtionen är för offentlighet. Dessutom är det troligt att Pestmans eventuella behandling enligt PuL skulle falla under undantaget för journalistiska ändamål i 7 2 st PuL. Uttrycket journalistiska ändamål är nämligen mycket vidsträckt och omfattar inte bara traditionella nyhetsmedier (se NJA 2001 s. 409, Ramsbro-fallet).

9 RINF augustitentamen I nuläget finns emellertid inen e-post att lämna ut, den är raderad. Allmänna handlingar ska som huvudregel bevaras och regler kring detta anges i lag, TF 2:18. I Arkivlagen (ArkivL) anges således i 3 att myndigheternas arkiv bildas av allmänna handlingas som efter beslut arkiveras. Arkiven är en del av kulturarvet. Myndigheten har dock uttryckligt stöd i lag för att gallra handlingar, 10 ArkivL. Att göra så kan till och med vara en del i att behålla en god offentlighetsstuktur, 4 kap OSL. Arkivförordningen (ArkivF) innehåller kompletterande regler, bl.a. om att Riksarkivet är den myndighet som kan utfärda kompletterande normer (12 ArkivF). Gallring kräver alltså stöd i lag, och ett aktivt myndighetsbeslut. det krävs också att gallringen faktiskt effektuerats, vilket brukar finnas inom myndigheters egna rutiner. När VeSS gallrade mailen har detta troligen skett i strid med lag. Enligt 10 ArkivL, som hänvisar till 3 ArkivL, får galring inte inskränka rätten att ta del av allmänna handlingar. Det är alltså mynidgheten som beslutar huruvida det är av intresse att bevara och arkivera handlingar i det enskilda fallet, samt ifall handlingarna är ointressanta ur bl.a. handlingsoffentlighetens perspektiv. De förevarande mailen var helt klart intressanta ur handlingsoffentlighetens perspektiv, och har gallrats i strid med lag. Det finns emellertid säkerhetskopior, och Pestman begär att dessa ska återskapas till handlingar som han kan ta del av. Av Högsta förvaltningsdomstolens dom i mål nr och Högsta förvaltningsdomstolens dom i mål nr framgår dock att säkerhetskopior inte förlorar sin karaktär av säkerhetskopior bara för att originalen raderats i strid med gallringsföreskrifter. Säkerhetskopior ska således inte automatiskt uppväckas och bli allmänna handlingar igen. Domstolen menade att den enskilde inte har rätt att begära ett sådant förfarande, men att det ändå kan finnas en principiell skyldighet för mynidgheten att återuppväcka handlingarna för att tillgodose handlingsoffentlighetens behov. Men det finns alltså ingen skyldighet. Pestman kan alltså inte stödja sin begäran av handlingarna på laglig grund. Det är upp till mynidgheten att - möjligtvis på grund av samveteskval - återuppväcka e-post handlingarna på Pestmans begäran. Det kan slutligen noteras att Pestman i vilket fall som helst inte har rätt att kräva handlingarna i elektronisk form, endast genom utskrift eller visning på datorskärm, TF 2:13. Poäng: 9 Kommentar: 3. Informationssäkerhet i samband med digitalisering har kommit att bli allt viktigare i allt fler verksamheter. Juridiskt inriktade riskanalyser utgör numera ett viktigt instrument för att klarlägga sårbarhet så att adekvata tekniska och organisatoriska säkerhetsåtgärder kan vidtas. Precis som när det gäller annat samspel mellan it och juridik uppstår det i detta sammanhang materiella frågor om tolkning och tillämpning av rättsregler i olika digitala miljöer. Det finns också ett behov av juridiskt inriktade arbetsmetoder som kan bidra till att säkerhetsmässiga krav på rättssäkerhet och affärsmässighet efterlevs. Beskriv hur man som jurist lämpligen kan bidra till det löpande säkerhetsarbetet hos ett företag, en

10 10 RINF augustitentamen myndighet eller organisation av annat slag. Håll svaret på en principiell nivå, dvs. det behöver inte vara specifikt för en viss typ av digitaliserad verksamhet. (10 p.) Svar: Hantering av information är idag en grundförutsättning för samhällets och olika organisationers funktionalitet. Säkerhetsfrågorna måste ligga på agendan för alla yrkesgrupper som har information som ett centralt arbetsområde, vilket finns inom såväl företagsvärlden som det offentliga. Ska information behandlas, så måste behandlingen vara säker, i synnerhet i en digital miljö där traditionella metoder som inlåsning av information i pappersformat inte fungerar. Vad dom är en lämplig nivå av informationssäkerhet avgörs vanligtvis efter en riskanalys och skiljer sig åt från olika organisationer, vad värdet av informationen i den specifika organsiationen är, vad syftet är med behandlingen av information är och vlken typ av information som behandlas.genom att ständigt och löpande jobba med informationssäkerhet kan man undvika höga kostnader, både i form av onödigt säkerhetsarbete men också till undvikande av informationsförlust- och störning samt eventuella rättsliga anspråk. Risker för informationen orsakar sårbarhet vilket motiverar skydd som bygger säkerhet. Det är viktigt att samarbeta över verksamhetsgränser och discipliner för att kunna åstadkomma ett effektivt arbete med ett gemensamt språk och gemensam terminologi. Grundstommen i informationssäkerhetsbegreppet att vissa grundläggande funktioner eller kvaliteter hos informationen ska säkerställas. Informationen sk vara tillgänglig (för rätt person vid rätt tidpunkt), riktig (i bemärkelsen icke obehörigen förvanskad), konfidentiell ( att den inte delges någon obehörig) och spårbar (att det i efterhand kan härledas vilka åtgärder, och av vem, som vidtagits avseende informationen). Som en del av kravet på spårbarhet kan även autenticitet/ursprung vara av vikt; att man kan härleda data från en användare. Vilken eller vilka av dessa funktioner som ska säkerställas avseende viss information, beror på typ av information, för vilka syften den behandlas, och vem (organisation, företag, mynidghet, privatperson) som behandlar den. Som jurist handlar arbetet med informationssäkerhet om en rad olika aspekter och steg. En jurist med ansvar för informationssäkerhet bör identifiera relevanta rättsregler, jobba proaktivt med reglering och vägledning, instruera befattningshavare och anställda, bevaka den fortsatta och pågående utvecklingen inom informationssäkerhet, följa upp arbetet samt i förekommande fall medverka i rättsprocesser om informationssäkerhet. För juristen handlar även det mer praktiska arbetet om att klassificera vilken information som behandlas och vad man vill åstadkomma med just denna information. Detta ligger till grund för en riskanalys där behoven och kraven (som kan vara såväl lagstadgade som avtalade) ställs mot de hot och risker som finns för informationen. Detta leder till att åtgärder, såväl tekniska som organisatoriska vidtas och att dessa sedan följs upp. Vid informationsklassificeringen framgår det ofta vilken typ av information organisationen hanterar och vilken typ av rättsregler som då blir aktuella. Regelverket kring informationssäkerhet är vida spritt och återfinns i en mängd olika författningar utfärdade såväl på internationell nivå som EU-nivå och på nationell nivå.vad gääer svensk normgivning är det inte endast fråga om lag (såsom PuL, OSL, TF, Säkerhetsskyddsförorningen, Polisdatalagen) utan även en hel de föreskrifter utfärdade av olika aktörer såsom Finansinspektionen (FFFS 2014:5), Datainspektionen, Riksarkivet (RA-FS 2009:1), Rikspolisen (RPSFS 2010:03)

11 RINF augustitentamen och Myndigheten för samhällsskydd och beredskap (MSBFS 2009:10). Betsämmelserna ställer direkta eller indirekta krav på arbete med och implementering av säkerhetsåtgärder. Förutom att det i olika normer ställs krav på informationssäkerhet så kan kravet ställas indirekt; för att uppnå vissa lagkrav krävs informationssäkerhet. Ett exempel är när det enligt lag eller praxis krävs en egenhändigt undertecknad signatur och det framgår att den kan uppfyllas elektroniskt. Enligt 17 Signaturlagen krävs då att man använder sig av en kvalificerad elektronisk signatur. Sedan 1 juli i år har signaturlagen ersatts av eidas, som enligt art 25 likställer en kvalificerad elektronisk underskrift med en handskriven underskrift. Ett annat mer konkret exempel är 7 kap. Bokföringslagen som kräver att bokföringsmaterial som huvudregel förvaras i Sverige och omedelbart kan tas fram i utskdift på papper eller mikroskrift. Genom att först analysera typen av information som behandlas kan alltså rätt regelverk identifieras. Myndigheter hanterar exempelvis allmänna handlingar och potentiellt sekretessbelagt elelr annars integritetskänsligt material, och har således att förhålla sig till att informationen bebehålls riktig och oförvanskad - annars är handlingsoffentlighete inte mycket värd. Informationen måste också hållas ordnad på ett sätt att allmänheten kan ta del av den, i enlighet med regler kring god offentlighetsstruktur. Vidare medför OSL ett krav på konfidentialitet, och myndigheten måste alltid beakta att handlingar kan komma att behöva arkiveras på ett säkert sätt, vilket farmgår av RA-FS 2009:1 och olika ISO-standarder. För organisationer som jobbar med integritetskänsligt material, t.ex. känsliga uppgifter enligt PuL ställs också vissa specifika krav på informationssäkerhet enligt 31 PuL. Dessa krav måste efterlevas även om informationshanteringen utkontrakteras till ett personuppgiftsbiträde, och kraven på ett biträdesavtal är högt ställda, 31 PuL. I dessa fall är det mycket viktigt med tekniska åtgärder som kyyptering, åtkomstbegränsinngar o.dyl. Ett återkommande krav i flera föreskrifter är arbetet med ett s.k. ledningssystem för insformationssäkerhet, ett LIS, som utpekas i ISO standardserierna och Ett exempel på hur arbetet ska gå till enligt denna standard finns i Finansinspektionens föreskrifter om informationssäkerhet (FFFS 2014:5), som gäller för banksektorn. Systemet går ut på att mål och ändamål med informationssäkerheten ska identifieras och dokumenteras, att ansvars- och rollfördelning ska bestämmas, att informationsklassificering och riskanalys ska göras. detta är administrativa åtgärder. Det finns även krav på vissa tekniska åtgärder som handlar om åtkomstbehörigheter till IT-system För att på ett effektivt sätt arbeta med informationssäkerhetsarbetet inom en organisation bör således ett LIS upprättas. Detta utgör ett stöd för ledningen kring hur man ska jobba med informationssäkerheten inom organisationen. Som jurist får man se till att löpande fortbilda och utbilda samt informera och uppdatera ledningen och all personal. Det måste finnas en medvetenhet kring informationssäkerhet på alla nivåer inom organisationen. Informationssäkerheten kan inte försummas av någon; alla bidrar till ett fungerande system genom att agera inom sitt ansvarsområde och följa de regler och riktlinjer som ställts upp. För att detta effektivt ska kunna ske bör juristen utveckla vägledningar och policys. Detta för att förenkla förståelsen och säkra efterlevnaden. Det kan t.ex. utvecklas policys kring hur egna bärbara dataenheter ska behandlas säkerhetsmässigt, hur organisationens medarbetare får agera på sociala medier och på webben, när kryptering behövs, intern och extern användinng av e-legitoimationer.

12 12 RINF augustitentamen Utvecklingen ska sedan bevakas. Som exempel kan nämnas att ett helt nytt regelverk för elektroniska signaturer och betrodda tjänster just har utvecklats. Detta kan skapa nya krav, men också möjligheter. Exempelvis kommer nu även juridiska personer kunna använda sig av elektronisk identifiering genom s.k. elektroniska stämplar. detta är ett nytt sätt att säkerställa informationssäkerheten hos informationen inom en organisation.en annan nyhet från och med 2018 är den nya personuppgiftsförordningen som kommer medföra nya krav. Bryter man mot dessa regler kan man riskera böter på upp till 4 % av årsomsättningen inom en organisation. Att överväga "compliance by design" är således ett gott alternativ. Till sist måste informationssäkerhetsarbetet ständigt följas upp och utvärderas. man måste tillse att policys och vägledinngar är uppdaterade, att kraven och säkerhetsåtgärderna som ställs och vidtas är rimliga i förhållande till den information man behandlar och se till att säkerhetsåtgärder verkligen implementeras i den dagliga driften av organisationen. Genom att arbeta proaktivt kan man förhindra att hamna i problem i efterhand, och undvika kostnader, bland annat till följd av rättsprocesser. Juristens arbete och förmåga att kliva in tidigt i processen är således avgörande för att arbetet med informationssäkerhet ska fungera i vilken organisation, företag eller mynidghet det än rör. Poäng: 9 Kommentar: