S2 – Skydda den personliga integriteten

Från dpbl
Hoppa till: navigering, sök

E-delegationens beskrivning

Det är alltid den som bestämmer över hanteringen av personuppgifter som har ansvar för att personuppgiftslagen (PuL) följs. Ansvaret innebär att se till att de tjänster som används inte medför integritetsrisker och därför måste tydliga krav formuleras på dem som levererar tjänsterna. Vid utformning av en ny tjänst ska en analys göras av vilka personuppgifter som är relevanta att samla in och hantera.

Några grundläggande principer inom integritetsskydd är att inte samla in mer information än vad som behövs, inte ha kvar den längre än man behöver och inte använda den till något annat än vad man samlade in den för.

Motivering

Utveckling av digitala tjänster är ofta komplicerade processer där man måste ta hänsyn till många typer av krav, inte minst gäller det skydd av den personliga integriteten. För att undvika fallgropar som blir dyra att åtgärda i efterhand och som gör det svårt att följa lagen är det viktigt att ta hänsyn till integritetsaspekterna i ett tidigt skede av processen.

Att informera om hur uppgifterna ska behandlas, att begära samtycke och att tillåta insyn i den vidare hanteringen är också viktiga led i integritetsskyddet.

Om tjänsten ska hantera personuppgifter bör Datainspektionens rekommendation för ”Privacy by design” (inbyggd integritet) tillämpas. Begreppet går ut på att låta integritetsfrågorna påverka systemets hela livscykel – från förstudie och kravställning via design och utveckling till användning och avveckling.

Konsekvens

Till skydd av integritetskänsliga uppgifter finns det vissa specifika åtgärder som bör beaktas. För att upprätthålla Privacy by design bör man eftersträva att:

  • minimera mängden personuppgifter
  • begränsa åtkomsten till uppgifterna
  • skydda uppgifterna
  • låta tjänsten styra användaren rätt.

Speciellt måste man beakta att sammansatt information från flera källor kan kräva en högre klassificering.

Möjligheten för systemadministrativ personal att arbeta med och ta del av personuppgifter ska begränsas till dem som behöver detta för att kunna utföra sina arbetsuppgifter. Kryptering av lagrad information kan vara ett ytterligare sätt att begränsa åtkomsten.

Vid uttestning av digitala samverkanslösningar bör testdata inte innehålla riktiga personuppgifter.

Loggar och säkerhetskopior kan i sig själva innebära en integritetsrisk. Loggar kan till exempel innehålla personuppgifter och måste därför hanteras på ett integritetssäkert sätt. Säkerhetskopior som sparas länge kan komma att innehålla personuppgifter som borde raderats tidigare etc.

I dPBL vill vi...

Attention niels epting .png   Sidan är under uppbyggnad och dess innehåll är inte fullständigt.



=> Tillbaks till Principer för digital samverkan
=> Till första sidan om E-delegationen


Lägg till din kommentar
dpbl välkomnar alla kommentarer. Om du inte vill vara anonym kan du registrera eller logga in. Det är gratis.