Säkerhet vid behandling av personuppgifter i forskning Magnus Bergström IT-säkerhetsspecialist magnus.bergstrom@datainspektionen.se www.datainspektionen.se
Först några ord om informationssäkerhet Organisationens mest värdefulla tillgång Informationstillgångarna Det överordnade syftet är ofta att säkra verksamhetens fortgående. Var kommer PuL in i det sammanhanget?
Lagkrav som påverkar infosäk-åtgärder 1. Från grundlag: TF/YGL OSL och Arkivlag, god offentlighetsstruktur 2. Från lagar som styr hur verksamheter ska/får bedrivas FL/HSL/SOL/RB/Bank och finansieringsrörelse 3. Dataskyddslagstiftning PuL och alla registerförfattningar
Informationssäkerhet och lagstiftning 1. Grundlag 2. Verksamhetsreglering 3. Dataskydd
Dagens ämne är PuLs infosäk-krav 1. Grundlag 2. Verksamhetsreglering 3. Dataskydd
och hur det hela hänger ihop. Det första grundläggande kravet i PuL gör att en behandling av personuppgifter, till exempel utlämnande, aldrig kan vara laglig om den skulle stå i strid med annan lagstiftning, till exempel tystnadsplikt. Bestämmelser i andra lagar påverkar vilka krav på säkerhetsåtgärder som ska vidtas enligt PuL. Man kan heller inte ta integritetstrappan baklänges
Integritetstrappan Integritetstrappan En modell för hanteringsreglerna i personuppgiftslagen Överföring till 3:e land 33-35 Säkerhet 30-32 Information 23-27 Lagöverträdelser och personnummer 21-22 Känsliga personuppgifter 13-20 Tillåten behandling 10 Grundläggande krav och definitioner 3-9
Säkerhetsbestämmelser enligt PuL 30 Personer som behandlar personuppgifter 31 Säkerhetsåtgärder
Personuppgiftsbiträde 30 PuL 30 Personuppgiftsbiträden (PuB) och underställda Behandlar personuppgifter för den personuppgiftsansvariges räkning. PuB och underställda får bara behandla personuppgifter i enlighet med instruktioner från PuA. Med PuB ska det finnas ett skriftligt avtal. 31 andra stycket PuA ska se till att PuB både kan och verkligen vidtar lämpliga säkerhetsåtgärder
Personuppgiftsbiträden Skyddet för personuppgifterna får inte åsidosättas bara för att man väljer att anlita ett personuppgiftsbiträde.
Personuppgiftsbiträden Frågor! Utanför egna organisationen Skriftligt personuppgiftsbiträdesavtal? lämpliga säkerhetsåtgärder? servicebyrå, driftpartner, molntjänstleverantörer
Säkerhetsåtgärder 31 PuL Lämpliga tekniska och organisatoriska åtgärder för att skydda uppgifterna Åtgärderna ska åstadkomma en lämplig säkerhetsnivå - Tänk strukturerat informationssäkerhetsarbete
Säkerhetsåtgärder 31 PuL (forts.) Lämplig med beaktande av: Tekniska möjligheter Kostnad Särskilda risker Hur pass känsliga uppgifterna är
Vad är lämpligt? Tillgänglig teknik Standardlösningar Man behöver inte uppfinna något nytt Kostnad Sällan krävs att skyddet ska kosta mer än det som ska skyddas
Vad är lämpligt? (forts) Särskilda risker Öppna nät? Uppgifter om många personer? Många uppgifter om samma person? Uppgifterna åtkomliga för många? e-post?
Vad är lämpligt? (forts) Hur pass känsliga är uppgifterna Känsliga personuppgifter enligt 13 PuL? Särreglering? Vad säger den? Tystnadsplikt eller sekretess? - Tänk Skyddsvärde
Direktivet mer klargörande Artikel 17.1 [PuA] skall genomföra lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter från förstöring genom olyckshändelse eller otillåtna handlingar eller förlust genom olyckshändelse samt mot ändringar, otillåten spridning av eller otillåten tillgång till uppgifterna, särskilt om behandlingen innefattar överföring av uppgifter i ett nätverk, och mot varje annat slag av otillåten behandling.
Allmänna råd Säkerhet för personuppgifter Rekommendationer Förtydligar PuLs krav
Fysisk säkerhet Tillträdeskontroll Skydd av utrustning Lokal Lås och larm Brandskydd Elförsörjning
Fysisk datasäkerhet Mobila enheter och flyttbara lagringsmedia Rutiner för hantering och förvaring Kryptera lagrade känsliga uppgifter Trådlösa nät, blåtand etc Frågor!
Autentisering Vem är X? Unik användaridentitet Lösenord personligt, hemligt, komplext Asymmetrisk kryptering (t.ex. e-legitimation) Engångslösenord Smarta kort Biometri Frågor! - insamling Intressant vid åtkoms till uppgifter
Behörighetskontroll Vad får X göra? Styrning av åtkomsträttigheter Skriftligt dokumenterad Tilldelning, ändring och borttagning av behörigheter Uppföljning av tilldelade behörigheter
Loggning Dokumentation av åtkomst till personuppgifter Information till användarna Rutiner för uppföljning Loggning (behandlingshistorik) innebär i sig personuppgiftsbehandling!
Datakommunikation Överföring av personuppgifter Publika och externa nätverk Internet / Sjunet Hur skyddas kommunikationen? Kryptering av meddelande eller kommunikationslänk Frågor! e-post!
Säkerhetskopiering Viktiga program och data Rutiner på regelbunden basis Förvaring/överföring av säkerhetskopior Test av återläsning från kopian
Utplåning, reparation och service Data på lagringsmedia och i annan utrustning. Avtal med en extern part (till exempel en servicebyrå) Regler om tystnadsplikt/sekretess Instruktioner till servicebyrån
Skydd mot skadliga program Program på servrar och klienter som skyddar mot datavirus, trojaner, spionprogram etc. Förebygga Detektera Kontinuerlig uppdatering
Fler frågor! Avidentifierade data / anonymiserade data / kodade data Förvaring av kodnycklar Direktåtkomst till kvalitetsregister i forskningssyfte Elektroniska underskrifter
Ännu fler frågor??