”Mitt råd kommunerna: fråga, fråga och fråga tills ni förstår” – Ida Sulin om dataskydd

28.10.2020
Bloggar Ida Sulin

Dataskydd och datasäkerhet har skapat rubriker på grund av dataläckaget vid Vastaamo. I det aktuella fallet har det skett ett intrång i hälsovårdsföretagets datasystem och kundernas uppgifter har stulits. De stulna uppgifterna används för utpressning.

Brottslingen i fallet är naturligtvis aktören bakom dataintrånget, och det primära offret är företaget i fråga. Det största lidandet drabbar dock i detta fall företagets kunder. Ur dataskyddssynvinkel påverkas kundernas ställning av företagets åtgärder och beredskap: har företaget följt dataskyddsreglerna och dataskyddskraven, eller har brottslingen erbjudits en alltför enkel väg till uppgifterna?

Är kommunernas dataskydd i skick?

Kommunen och samkommunerna ansvarar för en mycket omfattande helhet av personuppgifter. Vid behandlingen av uppgifterna använder kommunen ett mycket omfattande nätverk av ”underleverantörer” – producenter av olika datasystem och nättjänster, dataförädlare och liknande – vars agerande och dataskyddsnivå kommunen dock i sista hand ansvarar för.

Dataskyddslagstiftningen reviderades våren 2018 i fråga om den allmänna dataskyddsförordningen GDPR, dvs. den lagstiftning som reglerar behandlingen av personuppgifter.  I reglerna finns det nuförtiden noggranna bestämmelser om bland annat

  • när man över huvud taget får behandla personuppgifter,
  • hur dessa uppgifter ska behandlas och till exempel
  • vad kommunen ska göra vid ett dataintrång.

I dataskyddslagstiftningen finns det också detaljerade bestämmelser om informationsskyldigheten i förhållande till såväl registrerade personer som den övervakande myndigheten. 

 

Jag har märkt att man i diskussioner med kommunerna om dataskydd lätt fastnar på den grundläggande dataskyddsfrågan: grunden för behandlingen av personuppgifter, dvs. frågan om när människors uppgifter över huvud taget får behandlas och på vilka grunder.

Detta är en väsentlig fråga, eftersom behandlingen av personuppgifter är olaglig utan behandlingsgrund. Ur kommunernas synvinkel kan man dock mycket grovt konstatera att om kommunens verksamhet i ärendet i fråga är laglig, är också behandlingen av personuppgifter inom verksamheten laglig.

Helhetsbilden av dataskyddet uppstår genom förståelse

Det vore viktigt att utöver behandlingsgrunden också få diskutera hur de registrerades rättigheter tillgodoses, behandlingens skyddsnivå och de praktiska metoderna för att skydda personuppgifterna vid behandlingen. Hur upprätthåller den kommunala myndigheten i egenskap av personuppgiftsansvarig uppgifterna, hanteringen och ansvaret för underleverantörernas verksamhet?

Det tredje steget efter att kraven i lagstiftningen har identifierats och uppfyllts är kanske det svåraste. – Hur kan man i den egna organisationen säkerställa att var och en förstår sitt ansvar och agerar på rätt sätt vid behandlingen av personuppgifter? Är det med tanke på dataskyddet exempelvis i sin ordning att använda e-postsystemet i arkiveringssyfte?

Kort lärokurs i dataskyddskrav

Den korta lärokursen i dataskyddskrav för kommunen kunde börja till exempel så här:

  1. Vilken är grunden för behandlingen av uppgifterna och hur länge är den giltig?
  2. På vilket sätt informeras de registrerade om behandlingen av uppgifterna och var kan de kontrollera sina uppgifter, be om mer information och motsvarande?
  3. Vilka är de tekniska villkoren för säker behandling?  Dessa villkor fastställs delvis utgående från uppgifternas omfattning och kvalitet, och är delvis strikt reglerade. I denna helhet ingår också att säkerställa att ”underleverantörer” och datasystem uppfyller de krav som lagen ställer på dem. 
  4. Hur säkerställs det att kommunens organisation iakttar reglerna och föreskrifterna vid behandlingen av uppgifterna? I kommunen sköter både tjänsteinnehavare och förtroendevalda sina uppgifter under tjänsteansvar, men förstår alla kraven gällande dataskydd?
  5. Hur uppdateras och granskas den egna verksamheten och dess tillräcklighet?

Inom dataskyddet är helhetsbilden viktig och det uppstår ingen helhetsbild utan förståelse. Dataskyddet känns ofta främmande och avlägset, tekniskt och komplicerat. Mitt råd till de ansvariga i kommunen är: fråga, fråga och fråga tills ni förstår och själva är säkra på att uppgifterna om kommuninvånarna och dem som använder tjänsterna behandlas på ett säkert sätt.