Nationell lagstiftning, EU och ny teknik för utlämnande av data Birgitta Pettersson birgitta.pettersson@scb.se Nationell lagstiftning Statistiklagen Personuppgiftslagen Sekretesslagen 1
EU:s lagstiftning Dataskyddsdirektivet Förordningen om gemenskapsstatistik Dataskyddsdirektivet Dataskyddsdirektivet gäller vid behandling av personuppgifter Personuppgifter: All slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. 2
Dataskyddsdirektivet Personuppgifter skall vara adekvata och relevant får behandlas bara om det är nödvändigt för ändamålet får behandlas bara för särskilda, uttryckligt angivna och berättigade ändamål får inte bevaras längre än nödvändigt. Dataskyddsdirektivet För behandling av känsliga personuppgifter t.ex. om politiska åsikter eller hälsa gäller särskilt stränga regler För forskningsändamål krävs i Sverige godkännande från en forskningsetisk nämnd 3
Sekretesslagen Uppgifter som samlas in för statistikändamål är enligt huvudregeln hemliga/sekretessbelagda. Sekretess gäller oavsett från vilken källa uppgifterna samlas in. Sekretesslagen Undantag från huvudregeln: Uppgift som behövs för forsknings- eller statistikändamål och avidentifierade uppgifter, får lämnas ut om det står klart att uppgiften kan röjas utan att någon lider skada eller men. 4
SCB:s policy SCB lämnar i princip endast ut avidentifierade uppgifter för statistikframställning och forskning: för särskilda specificerade projekt med begränsning till de variabler som behövs för angivet ändamål. Avidentifierade uppgifter kan också i vissa fall lämnas ut för utredningsändamål. Utlämnande till tredje land Överföring av personuppgifter till tredje land får ske om endast om ifrågavarande land säkerställer en adekvat skyddsnivå. Undantag från detta förbud kan medges bl.a. om den registrerade lämnar sitt samtycke. 5
Utlämnande till tredje land EG-kommissionen kan fatta bindande beslut i frågan om ett land har en adekvat skyddsnivå. EG-kommissionen har fattat beslut om adekvat skyddsnivå i Schweiz, Ungern och Kanada samt enligt s.k. safe harborprinciper i USA Utlämnande till utlandet - sekretessregler Den svenska sekretesslagen innehåller också särskilda regler för utlämnande av uppgifter till annat land. SCB restriktiv när det gäller utlämnande av mikrodata till annat land 6
Utlämnande av mikrodata I Sverige får forskarna idag ta del av mikrodata via CD-rom och DVD och kan därigenom bearbeta data vid sina egna institutioner och andra arbetsplatser. Dagens nya behov att distribuera mikrodata större volymer Utlämnande via Internet Utvecklar system för utlämnande via Internet. Bygger på det danska systemet. Systemet beräknas kunna tas i bruk under hösten 2004. 7
Teknisk lösning Tunna klienter hos användarna (Server based computing) Personliga skrivbord CITRIX Server SAS Server SQL Server och vyer SuperSTAR Server Teknisk lösning Användare kommer inte att kunna kopiera eller skriva ut information från klientverktygen men ges möjlighet att via en enkel SMTP-tjänst utvecklad på SCB skicka e-post med bifogade filer understigande en viss storlek. De programvaror och licenser som utnyttjas i systemet kommer att hanteras av SCB. 8
Säkerhet Kontroll av att användaren kommer från rätt nät Användarid och lösenord. Loginsäkerheten med stark (128 bitars) kryptering Verifiering med RSA säkerhetsdosa Åtkomst till mikrodata på SCB SCB forskarnät Universitetsnät Internet Datalager SCB internt 9
Målsättning Inga data lämnar SCB Enkelt för forskaren Säkert system för SCB och forskaren Aktualitet vid förändringar Ingen egen infrastruktur (backup, servrar ) Matchning mot egna/andras data Till sist Inga legala problem. Ett utlämnande av data via Internet kräver dock, i likhet med utlämnande av data på annat sätt, att utlämnandet är möjligt enligt gällande nationella regler. 10