Säkerhet för personuppgifter

Krav på säkerhet

EU:s dataskyddsförordning innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter för att skydda de personuppgifter som behandlas, i synnerhet från oavsiktlig eller olaglig förstöring, förlust eller ändring eller från obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas (artikel 32 EU:s dataskyddsförordning).

Syftet med bestämmelserna om säkerhetsåtgärder är att skydda de registrerade personernas personliga integritet. Bestämmelserna rör

• hur personer som behandlar personuppgifter under myndighetens ledning ska behandla uppgifterna
• hur ett personuppgiftsbiträde som behandlar personuppgifter för myndighetens räkning ska behandla uppgifterna
• vilka säkerhetsåtgärder myndigheten ska vidta för att skydda personuppgifterna som behandlas.

Risk- och sårbarhetsanalyser

Innan en personuppgiftsbehandling påbörjas ska Skatteverket göra en bedömning av vad som är en lämplig säkerhetsnivå för behandlingen. I denna bedömning ska Skatteverket ta hänsyn till samtliga omständigheter kring behandlingen. För att göra det på ett strukturerat sätt bör Skatteverket göra en risk- och sårbarhetsanalys innan en tänkt behandling av personuppgifter påbörjas. En sådan analys kan användas som underlag för att bedöma vilken säkerhetsnivå som är lämplig och vilka säkerhetsåtgärder som behöver vidtas.

Vilka säkerhetsåtgärder ska vidtas vid personuppgiftsbehandlingen?

Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig i förhållande till risken. Detta ska ske mot bakgrund av följande (artikel 32.1 i EU:s dataskyddsförordning):

• vilka tekniska möjligheter som finns
• kostnaden för att genomföra åtgärderna
• behandlingens art, omfattning, sammanhang och ändamål
• de särskilda risker som finns med personuppgiftsbehandlingen
• hur känsliga personuppgifterna är.

Vilka personuppgifter Skatteverket ska behandla påverkar vilka säkerhetsåtgärder myndigheten behöver vidta. Om Skatteverket ska behandla känsliga personuppgifter, personuppgifter om lagöverträdelser eller uppgifter som omfattas av sekretess behöver Skatteverket vidta andra säkerhetsåtgärder än om myndigheten inte behandlar den typen av uppgifter. Om Skatteverket behandlar personuppgifter som rör ett stort antal personer är kraven på den säkerhet som måste uppnås högre än om Skatteverket behandlar uppgifter som rör få personer.

Skatteverket skulle t.ex. kunna använda följande säkerhetsåtgärder vid en personuppgiftsbehandling:

• fysiskt skydd av den tekniska utrustning som används för att behandla personuppgifter
• rutiner för tillträdeskontroll till det utrymme där den tekniska utrustningen finns
• rutiner för tilldelning och kontroll av behörigheter – enbart de personer som behöver uppgifterna för att utföra sina arbetsuppgifter bör ha tillgång till personuppgifterna
• behandlingshistorik (logg) för att kunna kontrollera vilka personer som har haft tillgång till personuppgifterna
• rutiner för incidentrapportering
• rutiner för säkerhetskopiering av uppgifterna
• skydd mot att personuppgifterna förstörs, ändras eller förvanskas
• kryptering av behandlade uppgifter
• utbildning av den personal som ska utföra behandlingen
• policy för användning av internet och e-post.

Skatteverket ska tillämpa bestämmelserna om säkerhetsåtgärder för personuppgiftsbehandlingen även om den registrerade samtycker till en annan behandling.

Inbyggt dataskydd

I dataskyddsregleringen finns det särskilt uttryckt att integritetsaspekterna ska ha arbetats in och beaktats från förstudie och kravställning via design och utveckling, till användning och avveckling av it-systemen (artikel 25 i EU:s dataskyddsförordning). Som personuppgiftsansvarig ska Skatteverket ha ett inbyggt dataskydd. Genom att integritetsfrågorna ska beaktas under hela den period som personuppgifter behandlas i systemen kan säkerheten höjas och på så sätt medföra att behandlingen blir korrekt och författningsenlig (jfr prop. 2017/18:232 s. 174).

Dataskydd som standard

Det ska som huvudregel inte vara möjligt att behandla andra personuppgifter än de som är nödvändiga för varje särskilt angivet ändamål med behandlingen i ett it-system. Det kan i mer praktisk mening beskrivas som att ett system ska styra användaren så att behandlingen utförs i enlighet med dataskyddsregleringen. Exempelvis kan grundinställningarna i ett system medföra att information inte visas mer än nödvändigt eller på annat sätt behandlas (artikel 25 EU:s dataskyddsförordning, jfr prop. 2017/18:232 s. 175).

Loggning i automatiserade system

Artikel 32.2 i EU:s dataskyddsförordning innehåller bestämmelser om krav på säkerhet vid behandling av personuppgifter. I säkerhetsarbetet ingår att föra loggar.

Loggning är en säkerhetsåtgärd där behandlingshistorik sparas och möjliggör efterkontroll av den behandling som sker i systemet. Det skapar också förutsättningar för att få information om externa och interna angrepp mot ett system. Loggning är en viktig åtgärd för det interna säkerhetsarbetet (jfr prop. 2017/18:232 s. 177).

Tillgången till personuppgifter

Eftersom Skatteverket har stora mängder uppgifter samlade så att integritetskänsliga uppgifter enkelt är sökbara, finns det en uppenbar risk för intrång i den personliga integriteten. Att tillgången till personuppgifter i så stor utsträckning som möjligt begränsas till vad var och en behöver för att utföra sitt arbete i verksamheten är en viktig åtgärd för att värna om den registrerades integritet (jfr prop. 2017/18:232 s. 180).

Behovet av säkerhetsåtgärder ska löpande ses över och vid behov uppdateras (artikel 24 EU:s dataskyddsförordning).

Det kan finnas bestämmelser om säkerhetsåtgärder även i andra lagar och förordningar, t.ex. ArkivL. När så är fallet ska Skatteverket tillämpa även de bestämmelserna på den personuppgiftsbehandling som görs i Skatteverkets verksamhet. Kravet på informationssäkerhet finns också i bl.a. säkerhetsskyddslagen (2018:585) och förordningen (2022:524) om statliga myndigheters beredskap.

Instruktioner för personuppgiftsbehandlingen

Skatteverket ska skriva instruktioner för hur personuppgifter ska behandlas för Skatteverkets räkning. De som behandlar personuppgifter för Skatteverkets räkning kan vara t.ex. anställda och uppdragstagare. Skatteverket ska skriva instruktioner även för de personuppgiftsbiträden som Skatteverket anlitar för att behandla personuppgifter för Skatteverkets räkning. Instruktionerna kan ingå i person­uppgifts­biträdes­avtalet eller utgöra ett separat dokument. Skatteverket ska också följa upp att instruktionerna följs (jfr artikel 28 EU:s dataskyddsförordning). När Skatteverket anlitar ett personuppgiftsbiträde ska Skatteverket säkerställa att personuppgiftsbiträdet kan vidta nödvändiga säkerhetsåtgärder och att biträdet verkligen vidtar dessa säkerhetsåtgärder (artikel 32 EU:s dataskyddsförordning).

Vilka instruktioner ska finnas för personuppgiftsbehandlingen?

Skatteverkets instruktioner för personuppgiftsbehandlingen ska vara så tydliga att otillåten behandling inte kommer att utföras. Alla som behandlar personuppgifter för myndighetens räkning ska känna till åtminstone för vilka ändamål uppgifterna behandlas och att behandling som är oförenlig med dessa ändamål inte är tillåten.

Vilka instruktioner som behövs för en personuppgiftsbehandling får avgöras i det enskilda fallet. Det skulle t.ex. kunna vara instruktioner om:

• ändamålen för behandlingen
• vilka uppgifter som får behandlas
• hur uppgifterna ska behandlas
• hur länge uppgifterna ska sparas
• hur uppgifterna ska gallras
• hur behandlingen ska dokumenteras
• hur kontroll och uppföljning av behandlingen ska göras
• vilka säkerhetsåtgärder som ska vidtas
• rutiner för rättelse av felaktiga personuppgifter
• hur en begäran om utlämnande av uppgifterna ska hanteras.

Personuppgiftsbiträdesavtal

Skatteverket ska skriva ett person­uppgifts­biträdes­avtal med person­uppgifts­biträdet (artikel 28.3 EU:s dataskyddsförordning). Syftet med avtalet är bland annat att garantera att säkerhet och sekretess för personuppgifterna inte påverkas negativt på grund av att den personuppgiftsansvariga anlitar ett personuppgiftsbiträde i stället för att utföra personuppgiftsbehandlingen själv.

I ett person­uppgifts­biträdes­avtal ska bland annat följande anges:

• Person­uppgifts­biträdet, och den som arbetar under biträdets ledning, får behandla personuppgifterna bara i enlighet med instruktioner från den personuppgiftsansvariga.
• Person­uppgifts­biträdet är skyldigt att vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas.

Det är Skatteverket som personuppgiftsansvarig som har ansvar för att ett person­uppgifts­biträdes­avtal upprättas. Ett sådant avtal ska skrivas innan person­uppgifts­biträdet påbörjar behandlingen av personuppgifterna.

Personuppgiftsincidenter

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som behandlas (artikel 4.12 i EU:s dataskyddsförordning). En personuppgiftsincident kan innebära risker för den vars personuppgifter det handlar om. Riskerna kan leda till konsekvenser för den drabbade som t.ex. diskriminering, identitetsstöld, bedrägeri, brott mot sekretess eller tystnadsplikt, ekonomisk skada eller social nackdel.

En personuppgiftsincident har inträffat om t.ex. uppgifter om en eller flera registrerade personer har

• blivit förstörda eller gått förlorade på annat sätt
• ändrats på felaktigt sätt
• skickats till fel mottagare eller på annat sätt gjorts åtkomliga för någon obehörig.

Alla personuppgiftsincidenter behöver dokumenteras, även de som inte innebär några risker för fysiska personers rättigheter och friheter (artikel 33.5 i EU:s dataskyddsförordning).

Skatteverket måste ha rutiner för att kunna upptäcka, rapportera och utreda personuppgiftsincidenter. Allmänhetens förtroende för Skatteverket kan påverkas om en personuppgiftsincident inte skulle hanteras på ett lämpligt sätt. En personuppgiftsincident kan även leda till sanktionsavgifter.

Anmälan om personuppgiftsincident

Skatteverket måste anmäla personuppgiftsincidenter till Integritetsskyddsmyndigheten om det inte är osannolikt att personuppgiftsincidenten medför risk för fysiska personers rättigheter och friheter. Om Skatteverket bedömer att en anmälan behöver göras så ska det ske utan onödigt dröjsmål, men inte senare än 72 timmar efter att incidenten upptäcktes. Anmälan ska innehålla (artikel 33 EU:s dataskyddsförordning):

• en beskrivning av personuppgiftsincidentens art, inbegripet, om så är möjligt, de kategorier av och det ungefärliga antalet registrerade som berörs samt de kategorier av och det ungefärliga antalet personuppgiftsposter som berörs
• namnet på och kontaktuppgifterna för dataskyddsombudet eller andra kontaktpunkter där mer information kan erhållas
• en beskrivning av de sannolika konsekvenserna av personuppgiftsincidenten
• en beskrivning av de åtgärder som den personuppgiftsansvariga har vidtagit eller föreslagit för att åtgärda eller mildra konsekvenserna av personuppgiftsincidenten.

Information om personuppgiftsincident

Skatteverket måste enligt huvudregeln informera de registrerade omedelbart om det är hög risk att deras rättigheter och friheter kan påverkas, till exempel om det finns risk för identitetsstöld eller bedrägeri (artikel 34 EU:s dataskyddsförordning).

Informationen ska innehålla:

• en tydlig beskrivning av orsaken till personuppgiftsincidenten
• namn och kontaktuppgifter till dataskyddsombudet
• troliga följder av personuppgiftsincidenten
• en beskrivning av hur Skatteverket hanterar personuppgiftsincidenten och vad myndigheten gör för att mildra följderna av personuppgiftsincidenten.

Syftet med informationen är bland annat att de registrerade ska få möjlighet att vidta egna åtgärder för att skydda sig själv mot negativa konsekvenser av incidenten, t.ex. genom att byta lösenord eller genom att vara extra vaksam på eventuella bluffmejl. Om det skulle krävas en oproportionerlig ansträngning att informera de registrerade kan informationen i stället ges till allmänheten.