Skatteverket måste ha en lämplig säkerhetsnivå för de personuppgifter som myndigheten behandlar. Vad som är en lämplig nivå beror bland annat på riskerna med behandlingen, tekniska möjligheter, kostnader och vilken typ av uppgifter som behandlas. Vid bedömningen ska särskild hänsyn tas till risken för oavsiktlig eller olaglig förstörning, förlust, ändring, eller obehörigt röjande av eller obehörig åtkomst till personuppgifterna.
EU:s dataskyddsförordning och BDL innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter för att skydda de personuppgifter som behandlas, särskilt mot obehörig eller otillåten behandling och mot förlust, förstöring eller annan avsiktlig skada (artikel 32 EU:s dataskyddsförordning, 3 kap. 2 och 8 §§ BDL och 3 kap. 11 § BDF).
Syftet med bestämmelserna om säkerhetsåtgärder är att skydda de registrerade personernas personliga integritet.
Bestämmelserna rör
Innan en personuppgiftsbehandling påbörjas ska Skatteverket göra en bedömning av vad som är en lämplig säkerhetsnivå för behandlingen. I denna bedömning ska Skatteverket ta hänsyn till samtliga omständigheter kring behandlingen. För att göra det på ett strukturerat sätt bör Skatteverket göra en risk- och sårbarhetsanalys innan en tänkt behandling av personuppgifter påbörjas. En sådan analys kan användas som underlag för att bedöma vilken säkerhetsnivå som är lämplig och vilka säkerhetsåtgärder som behöver vidtas.
Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig mot bakgrund av följande:
Vilka personuppgifter Skatteverket ska behandla påverkar vilka säkerhetsåtgärder myndigheten behöver vidta. Om Skatteverket ska behandla känsliga personuppgifter, personuppgifter om lagöverträdelser eller uppgifter som omfattas av sekretess behöver Skatteverket vidta andra säkerhetsåtgärder än om myndigheten inte behandlar den typen av uppgifter. Om Skatteverket behandlar personuppgifter som rör ett stort antal personer är kraven på den säkerhet som måste uppnås högre än om Skatteverket behandlar uppgifter som rör få personer.
Skatteverket skulle t.ex. kunna använda följande säkerhetsåtgärder vid en personuppgiftsbehandling:
Skatteverket ska tillämpa bestämmelserna om säkerhetsåtgärder för personuppgiftsbehandlingen även om den registrerade samtycker till en annan behandling.
I dataskyddsregleringen finns det särskilt uttryckt att integritetsaspekterna ska ha arbetats in och beaktats från förstudie och kravställning via design och utveckling, till användning och avveckling av it-systemen (artikel 25 EU:s dataskyddsförordning och 3 kap. 1 § BDF). Som personuppgiftsansvarig ska Skatteverket ha ett inbyggt dataskydd. Genom att integritetsfrågorna ska beaktas under hela den period som personuppgifter behandlas i systemen kan säkerheten höjas och på så sätt medföra att behandlingen blir korrekt och författningsenlig (jfr 3 kap. 3 § BDL och prop. 2017/18:232 s. 174).
Det ska som huvudregel inte vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen i ett it-system. Det kan i mer praktisk mening beskrivas som att ett system ska styra användaren så att behandlingen utförs i enlighet med dataskyddsregleringen. Exempelvis kan grundinställningarna i ett system medföra att information inte visas mer än nödvändigt eller på annat sätt behandlas (artikel 25 EU:s dataskyddsförordning och 3 kap. 4 § BDL, jfr prop. 2017/18:323 s. 175).
EU:s dataskyddsförordning (artikel 32.2 EU:s dataskyddsförordning) och BDL innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter. I säkerhetsarbetet ingår att föra loggar. I BDL regleras detta uttryckligen genom att särskilt anges att det ska föras loggar över personuppgiftsbehandlingen i den utsträckning som det är särskilt föreskrivet. (3 kap 5 § BDL). Vilka typer av behandlingar som ska loggas i Skatteverkets brottsbekämpande verksamhet framgår av 3 kap. 4 § BDF.
Loggning är en säkerhetsåtgärd där behandlingshistorik sparas och möjliggör efterkontroll av den behandling som sker i systemet. Det skapar också förutsättningar för att få information om externa och interna angrepp mot ett system. Loggning är en viktig åtgärd för det interna säkerhetsarbetet.
Det särskilda kravet på loggning avser sådana system som är särskilt utformade eller anpassade där personuppgifter behandlas mer eller mindre strukturerat. Som exempel nämns verksamhetsstöd i form av dokument- eller ärendehanteringssystem och olika typer av register och databaser. Däremot omfattas inte standardprogram som Word eller Outlook av kravet på loggning (jfr prop. 2017/18:232 s. 177).
Eftersom Skatteverket har stora mängder uppgifter samlade så att integritetskänsliga uppgifter enkelt är sökbara, finns det en uppenbar risk för intrång i den personliga integriteten. Att tillgången till personuppgifter i så stor utsträckning som möjligt begränsas till vad var och en behöver för att utföra sitt arbete i verksamheten är en viktig åtgärd för att värna om den registrerades integritet (prop. 2017/18:232 s. 180).
Skatteverket ska som personuppgiftsansvarig också se till att tillgången till personuppgifter begränsas till vad de anställda behöver för att kunna fullgöra sina arbetsuppgifter (3 kap. 6 § BDL och 3 kap. 5–7 §§ BDF).
Behovet av säkerhetsåtgärder ska löpande ses över och vid behov uppdateras (artikel 24 EU:s dataskyddsförordning och prop. 2017/18:232 sid. 453).
Det kan finnas bestämmelser om säkerhetsåtgärder även i andra lagar och förordningar, t.ex. ArkivL. När så är fallet ska Skatteverket tillämpa även de bestämmelserna på den personuppgiftsbehandling som görs i Skatteverkets verksamhet. Kravet på informationssäkerhet finns också i bl.a. säkerhetsskyddslagen (2018:585) och förordningen (2015:1052) om krisberedskap och bevakningsansvariga myndigheters åtgärder vid höjd beredskap.
Skatteverket ska skriva instruktioner för hur personuppgifter ska behandlas för Skatteverkets räkning. De som behandlar personuppgifter för Skatteverkets räkning kan vara t.ex. anställda och uppdragstagare. Skatteverket ska skriva instruktioner även för de personuppgiftsbiträden som Skatteverket anlitar för att behandla personuppgifter för Skatteverkets räkning. Instruktionerna kan ingå i personuppgiftsbiträdesavtalet eller utgöra ett separat dokument. Skatteverket ska också följa upp att instruktionerna följs (jfr artikel 28 EU:s dataskyddsförordning) När Skatteverket anlitar ett personuppgiftsbiträde ska Skatteverket säkerställa att personuppgiftsbiträdet kan vidta nödvändiga säkerhetsåtgärder och att biträdet verkligen vidtar dessa säkerhetsåtgärder (artikel 32 EU:s dataskyddsförordning och 3 kap. 18 § BDL).
Skatteverkets instruktioner för personuppgiftsbehandlingen ska vara så tydliga att otillåten behandling inte kommer att utföras. Alla som behandlar personuppgifter för myndighetens räkning ska känna till åtminstone för vilka ändamål uppgifterna behandlas och att behandling som är oförenlig med dessa ändamål inte är tillåten.
Vilka instruktioner som behövs för en personuppgiftsbehandling får avgöras i det enskilda fallet. Det skulle t.ex. kunna vara instruktioner om:
hur en begäran om utlämnande av uppgifterna ska hanteras.
Skatteverket ska skriva ett personuppgiftsbiträdesavtal med personuppgiftsbiträdet (artikel 28.3 EU:s dataskyddsförordning och 3 kap. 16 § BDL). Syftet med avtalet är bland annat att garantera att säkerhet och sekretess för personuppgifterna inte påverkas negativt på grund av att den personuppgiftsansvariga anlitar ett personuppgiftsbiträde i stället för att utföra personuppgiftsbehandlingen själv.
I ett personuppgiftsbiträdesavtal ska bland annat följande anges:
Det är Skatteverket som personuppgiftsansvarig som har ansvar för att ett personuppgiftsbiträdesavtal upprättas. Ett sådant avtal ska skrivas innan personuppgiftsbiträdet påbörjar behandlingen av personuppgifterna. Personuppgiftsbiträdesavtalet ska även innehålla instruktioner för personuppgiftsbehandlingen.
Skatteverket måste ha rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. En personuppgiftsincident är en säkerhetsincident som kan innebära risker för människors friheter och rättigheter (artikel 4.12 EU:s dataskyddsförordning och 1 kap. 6 § BDL), de registrerade kan också drabbas av ekonomisk skada. Riskerna kan innebära att någon förlorar kontrollen över sina uppgifter eller att rättigheterna inskränks, t.ex. genom diskriminering, identitetsstöld, bedrägeri, brott mot sekretess eller tystnadsplikt.
En personuppgiftsincident har inträffat om t.ex. uppgifter om en eller flera registrerade personer har
Allmänhetens förtroende för Skatteverket kan påverkas om en personuppgiftsincident inte skulle hanteras på ett lämpligt sätt. En personuppgiftsincident kan även leda till sanktionsavgifter.
Skatteverket måste anmäla vissa typer av personuppgiftsincidenter till Integritetsskyddsmyndigheten. Anmälan ska göras inom 72 timmar efter det att överträdelsen har upptäckts. Anmälan ska innehålla (artikel 33 EU:s dataskyddsförordning och 3 kap. 9 § BDL):
Skatteverket måste enligt huvudregeln informera de registrerade omedelbart om det är stor risk att deras rättigheter och friheter kan påverkas, till exempel om det finns risk för id-stöld eller bedrägeri (artikel 34 EU:s dataskyddsförordning och 3 kap. 10 § BDL).
Informationen ska innehålla:
Syftet med informationen är att de registrerade ska kunna få hjälp med att mildra följderna av en personuppgiftsincident. Om det skulle krävas en oproportionerlig ansträngning att informera de registrerade kan informationen i stället ges till allmänheten.