3.4 Säkerhet i arbetet

När det bedömts att det finns en laglig grund för behandling av de specifika personuppgifterna ska all behandling – i alla led – vara i enlighet med gällande regler och instruktioner. Det är den som initierar behandlingen som har att säkerställa att detta sker. I Dataskyddsförordningen ställs mycket stora krav på att den som behandlar personuppgifter väl dokumenterar hur det ska gå till. Detta innebär att innan ett projekt med personuppgifter som behandlas måste man säkerställa att det finns tillräckliga skyddsåtgärder, att säkerheten är tillräcklig samt att alla som behandlar personuppgifterna gör detta på ett korrekt och lagligt vis. Detta måste kunna visas och det är därför viktigt med en tydlig dokumentation.

Vilka skydds- och säkerhetsåtgärder som ska vidtas beror på vilka sorters personuppgifter som behandlas, hur känsliga de är, om det är en stor mängd etc.

Exempel på skydds- och säkerhetsåtgärder.

  • Pseudonymisering
    Om uppgifterna som behandlas inte är direkt kopplade till en person utan det finns en separat nyckel som kopplar person till information är dessa pseudonymiserade. Uppgifterna räknas fortfarande formellt sett som personuppgifter men hanteringen sker med en större säkerhet.
  • Kryptering och kodning
    Att kryptera eller koda information är ett sett att minimera skadorna vid dataläckage och är bra som tekniskt skydd.
  • Anonymisering
    Om uppgifterna inte längre, varken direkt eller indirekt, går att koppla till en person är dessa anonymiserade och formellt sett inte längre personuppgifter (Dataskyddsförordningen gäller ej dessa). Om arbetet kan bedrivas på anonymiserade uppgifter skall detta ske.
  • Accesskontroll
    Att sätta upp och dokumentera regler för vilka som ska ha åtkomst till den insamlade informationen är en administrativ skyddsåtgärd som bör användas. Här ingår också regelverket för vem som får lov att göra vad med informationen (vem får läsa, söka respektive ändra och i vilka delar av materialet?)
  • Certifiering av den personal som ska jobba med personuppgifterna
    Information och kunskap hos personalen är viktiga säkerhetsåtgärder som inte sällan försummas. Att försäkra sig om att de som arbetar med personuppgifter också är medvetna om och följer de regler som finns för arbetet är viktigt.
  • Fysiskt avskilda servar, backup etc.
    Att tekniskt skydda information från förlust vid olika typer av haverier är inte ett krav i Dataskyddsförordningen men kan vara nog så viktigt för exempelvis den enskilde forskaren. Ett absolut minimum är att se till att informationen lagras på ett sätt som omfattas av backup.
  • Gallring och radering
    Personuppgifter som inte längre behövs för behandling skall raderas. Följ gallringsbeslut och konsultera arkivarierna vid behov.
  • Filer med ekonomiska uppgifter till banken sänds krypterade enligt den internationella standarden ISO 20022/XML, så kallad SEPA-betalning.