Integritet i fokus Integritet i fokus 3-2017 - Page 14

nytt från datainspektionen
Starkare sekretess behövs för incidenter
¥ En nyhet i den kommande dataskyddsförordningen är att företag , myndigheter och andra organisationer blir skyldiga att rapportera in personuppgiftsincidenter till Datainspektionen . En sådan incident skulle till exempel kunna vara ett dataintrång på en organisations servrar , att ett usb-minne med personuppgifter tappats bort eller att någon anställd obehörigt tagit del av personuppgifter . I en skrivelse till regeringen vill dock Datainspektionen att man nu utreder möjligheterna att ändra offentlighets- och sekretesslagen för att stärka sekretessen kring den information som kommer att rapporteras till inspektionen vid personuppgiftsincidenter . ” Vi anser att den nuvarande sekretessen är för svag vilket kan leda till att Datainspektionen enligt offentlighetsprincipen kan bli tvungen att lämna ut detaljerade uppgifter om incidenter . Risken för it-attacker mot företag , myndigheter och andra organisationer kan öka om incidentrapporteringen avslöjar vilken organisations it-system som har säkerhetsbrister . Dessutom kan den svaga sekretessen påverka viljan att överhuvud taget anmäla incidenter ”, säger Datainspektionens chefsjurist Hans-Olof Lindblom .
Ja till ny brottsdatalag
¥ EU har antagit ett direktiv som reglerar hur personuppgifter får hanteras inom
bland annat området brottsbekämpning . En utredning har därefter tagit fram ett förslag till ny brottsdatalag som ska införa direktivet i svensk lagstiftning , något du kan läsa mer om på sidan 8 . I sitt yttrande över förslaget till ny brottsdatalag är Datainspektionen positiv . Inspektionen konstaterar att utredningen har lämnat ett väl genomarbetat förslag . Det regelverk som föreslås innebär generellt sett ett starkare skydd för den enskildes personliga integritet än vad som gäller enligt det nuvarande regelverket . På flera punkter föreslår utredningen ett starkare integritetsskydd än vad direktivet kräver , vilket är positivt .
Integritetsanalys behövs i förslag till ny spelreglering
¥ Spellicensutredningen har haft i uppdrag att lämna förslag till en ny spelreglering som ska bygga på ett licenssystem som innebär att alla som agerar på den svenska spelmarknaden ska göra det med behöriga tillstånd , och att aktörer utan tillstånd ska stängas ute . Datainspektionen har granskat förslaget och konstaterar att det inte innehåller någon egentlig utredning och analys av förslagets inverkan på enskildas personliga integritet . Det finns inga närmare beskrivningar av hur personuppgifter är tänkta att samlas in och hanteras och vilka risker det kan medföra . Därmed uppfyller förslaget inte vare sig de krav som följer av den nya dataskyddsförordningen eller svensk grundlag . Inspektionen uppmanar lagstiftaren att i det fortsatta arbetet göra en integritetsanalys . En sådan ska svara på frågan om konsekvenserna för den personliga integriteten är proportionerliga i förhållande till det man vill uppnå med hanteringen av personuppgifter .
Begränsa åtkomsten till patientuppgifter
¥ 2013 inledde Datainspektionen en bred granskning av samtliga landsting och regioner . Det som undersöktes var om det fanns en dokumenterad behovsoch riskanalys och skriftliga riktlinjer som beskriver vad som är obehörig åtkomst . Datainspektionen fann att samtliga regioner och landsting brast i arbetet med behovsoch riskanalyser och att många saknade riktlinjer som beskriver vad som är obehörig åtkomst . Nu har ytterligare tre vårdgivare granskats , två privata vårdgivare och ett landstingsägt sjukhus . Även dessa tre saknar
Enkla grunder i dataskydd På Datainspektionens webbplats går det att hämta ett pdf-dokument med en enkel grundkurs i dataskydd med fokus på mindre företag .
www . datainspektionen . se / Documents / enkel-kurs-dataskydd . pdf nödvändiga analyser och riktlinjer . ” För att personal inom vården inte ska få tillgång till fler uppgifter än vad de har behov av i sitt arbete , behöver vårdgivaren både identifiera vilken personal som ska ha tillgång till vilka uppgifter och se till att det också finns en effektiv kontroll . Vi ser att vårdgivarna inte gör detta på ett tillräckligt strukturerat sätt och därför inte har den kontroll som de som personuppgiftsansvariga ska ha ”, säger jurist Martina Lindkvist som lett granskningen .
Höjd åldersgräns på sociala medier
En utredning har lagt fram ett förslag med generella kompletterande regler till den kommande dataskyddsförordningen . Datainspektionen har granskat förslaget och är i huvudsak positiv . Enligt dataskyddsförordningen ska barn som är 16 år eller äldre kunna gå med i sociala nätverk utan vårdnadshavarnas samtycke . Respektive land kan dock sänka den åldersgränsen till som lägst 13 år , vilket den svenska utredningen har föreslagit . Datainspektionen anser dock att det är en för låg åldersgräns . Hittills har tumregeln i Sverige varit att 15 år är en lämplig åldersgräns för när barn normalt ska anses förstå innebörden och konsekvenserna av hur deras personuppgifter kan komma att hanteras och användas .
nytt på webbplatsen
Läs dataskyddsförordningen På webbplatsen finner du också dataskyddsförordningen i sin helhet , både som webbtext och som pdf .
www . datainspektionen . se / forordningstexten
14
n y tt f r å n data i n s pe k t ion e n Integritetsanalys behövs i förslag till ny spelreglering Starkare sekretess behövs för incidenter ¥ En nyhet i den kommande dataskyddsförordningen är att företag, myndigheter och andra organisationer blir skyldiga att rapportera in personuppgiftsincidenter till Datainspektionen. En sådan incident skulle till exempel kunna vara ett dataintrång på en organisations servrar, att ett usb-minne med personuppgifter tappats bort eller att någon anställd obehörigt tagit del av personuppgifter. I en skrivelse till regeringen vill dock Datainspektionen att man nu utreder möjligheterna att ändra offentlighets- och sekretesslagen för att stärka sekretessen kring den information som kommer att rapporteras till inspektionen vid personuppgiftsincidenter. ”Vi anser att den nuvarande sekretessen är för svag vilket kan leda till att Datainspektionen enligt offentlighetsprincipen kan bli tvungen att lämna ut detaljerade uppgifter om incidenter. Risken för it-attacker mot företag, myndigheter och andra organisationer kan öka om incidentrapporteringen avslöjar vilken organisations it-system som har säkerhetsbrister. Dessutom kan den svaga sekretessen påverka viljan att överhuvud taget anmäla incidenter”, säger Datainspektionens chefsjurist Hans-Olof Lindblom. Ja till ny brottsdatalag ¥ EU har antagit ett direktiv som reglerar hur personuppgifter får hanteras inom bland annat området brottsbekämpning. En utredning har därefter tagit fram ett förslag till ny brottsdatalag som ska införa direktivet i svensk lagstiftning, något du kan läsa mer om på sidan 8. I sitt yttrande över förslaget till ny brottsdatalag är Datainspektionen positiv. Inspektionen konstaterar att utredningen har lämnat ett väl genomarbetat förslag. Det regelverk som föreslås innebär generellt sett ett starkare skydd för den enskildes personliga integritet än vad som gäller enligt det nuvarande regelverket. På flera punkter föreslår utredningen ett starkare integritetsskydd än vad direktivet kräver, vilket är positivt. 14 ¥ Spellicensutredningen har haft i uppdrag att lämna förslag till en ny spelreglering som ska bygga på ett licenssystem som innebär att alla som agerar på den svenska spelmarknaden ska göra det med behöriga tillstånd, och att aktörer utan tillstånd ska stängas ute. Datainspektionen har granskat förslaget och konstaterar att det inte innehåller någon egentlig utredning och analys av förslagets inverkan på enskildas personliga integritet. Det finns inga närmare beskrivningar av hur personuppgifter är tänkta att samlas in och hanteras och vilka risker det kan medföra. Därmed uppfyller förslaget inte vare sig de krav som följer av den nya dataskyddsförordningen eller svensk grundlag. Inspektionen uppmanar lagstiftaren att i det fortsatta arbetet göra en integritetsanalys. En sådan ska svara på frågan om konsekvenserna för den personliga integriteten är proportionerliga i förhållande till det man vill uppnå med hanteringen av personuppgifter. Begränsa åtkomsten till patientuppgifter ¥ 2013 inledde Datainspektionen en bred granskning av samtliga landsting och regioner. Det som undersöktes var om det fanns en d [Y[\YZݜB\[[\ܚYYHZ[\B\ܚ]\YH0ؙZ0휚Y0]\ ]Z[Z[ۙ[[][]YHY[ۙ\[[\H\]]YYZݜB\[[\\]p[HZۘYBZ[\H\ܚ]\YH0ؙZ0휚Y°]\ H\]\Y\HH\]\Bܘ[]H]]H\]\H][[ڝZ\ˈ0[\HHZۘ\YH[[\\Z[\8'Q휈]\ۘ[[H\[[HHH[[[\\Y\0YH\Z݈]H]\]KZ0흙\\]\[YHY[YY\B[[\ۘ[HHH[[[[B\Y\H[]]H[[YZ]۝ H\]\]\H[B휈]H0H][YZ\\]0휈[H\[۝HHB\۝\Y[ݘ\YHHx'K\\\X\[H[ݚ\H]ܘ[ۚ[[0횙0[\ܰœ0HX[HYYY\[]Y[\Y[H]휜Y›YY[\[H\]\[HY\[[[X[H]\Yٰ휛ܙ[[]Z[Z[ۙ[\ܘ[]휜Y]0H]YZ]][Y]\Yٰ휛ܙ[[H\H0 M\[\0H[HHYYHX[H\][\Y]\\[]XK\Z]B[[H[0[\ܰ[[H0 L0\[][ݙ[B]Y[[\휙\Y] ]Z[Z[ۙ[[\]]0[휈0Y0[\ܰ˂][\[\Y[Hݙ\YH\]] MB\0[0\Y0[\ܰ휈\ܛX[H[\휜0H[X휙[ۜZݙ[\H]\\\\۝\Y\[[XH][\\[\˂H0HH]H[Hܝ[\H]\Y0]\Yٰ휛ܙ[[0H]Z[Z[ۙ[X]\]]0]H]Y[YY[[[ܝ[\H]\YYY\0HZ[H휙]Yˈ0HX][[\HH]KBYٰ휛ܙ[[H[[] YBHX^H˙]Z[Z[ۙ[K‘[[[ Z\Y]\Y ˙]Z[Z[ۙ[K™ܛܙ[^[