nytt från datainspektionen
Starkare sekretess behövs för incidenter
¥ En nyhet i den kommande dataskyddsförordningen är att företag , myndigheter och andra organisationer blir skyldiga att rapportera in personuppgiftsincidenter till Datainspektionen . En sådan incident skulle till exempel kunna vara ett dataintrång på en organisations servrar , att ett usb-minne med personuppgifter tappats bort eller att någon anställd obehörigt tagit del av personuppgifter . I en skrivelse till regeringen vill dock Datainspektionen att man nu utreder möjligheterna att ändra offentlighets- och sekretesslagen för att stärka sekretessen kring den information som kommer att rapporteras till inspektionen vid personuppgiftsincidenter . ” Vi anser att den nuvarande sekretessen är för svag vilket kan leda till att Datainspektionen enligt offentlighetsprincipen kan bli tvungen att lämna ut detaljerade uppgifter om incidenter . Risken för it-attacker mot företag , myndigheter och andra organisationer kan öka om incidentrapporteringen avslöjar vilken organisations it-system som har säkerhetsbrister . Dessutom kan den svaga sekretessen påverka viljan att överhuvud taget anmäla incidenter ”, säger Datainspektionens chefsjurist Hans-Olof Lindblom .
Ja till ny brottsdatalag
¥ EU har antagit ett direktiv som reglerar hur personuppgifter får hanteras inom
bland annat området brottsbekämpning . En utredning har därefter tagit fram ett förslag till ny brottsdatalag som ska införa direktivet i svensk lagstiftning , något du kan läsa mer om på sidan 8 . I sitt yttrande över förslaget till ny brottsdatalag är Datainspektionen positiv . Inspektionen konstaterar att utredningen har lämnat ett väl genomarbetat förslag . Det regelverk som föreslås innebär generellt sett ett starkare skydd för den enskildes personliga integritet än vad som gäller enligt det nuvarande regelverket . På flera punkter föreslår utredningen ett starkare integritetsskydd än vad direktivet kräver , vilket är positivt .
Integritetsanalys behövs i förslag till ny spelreglering
¥ Spellicensutredningen har haft i uppdrag att lämna förslag till en ny spelreglering som ska bygga på ett licenssystem som innebär att alla som agerar på den svenska spelmarknaden ska göra det med behöriga tillstånd , och att aktörer utan tillstånd ska stängas ute . Datainspektionen har granskat förslaget och konstaterar att det inte innehåller någon egentlig utredning och analys av förslagets inverkan på enskildas personliga integritet . Det finns inga närmare beskrivningar av hur personuppgifter är tänkta att samlas in och hanteras och vilka risker det kan medföra . Därmed uppfyller förslaget inte vare sig de krav som följer av den nya dataskyddsförordningen eller svensk grundlag . Inspektionen uppmanar lagstiftaren att i det fortsatta arbetet göra en integritetsanalys . En sådan ska svara på frågan om konsekvenserna för den personliga integriteten är proportionerliga i förhållande till det man vill uppnå med hanteringen av personuppgifter .
Begränsa åtkomsten till patientuppgifter
¥ 2013 inledde Datainspektionen en bred granskning av samtliga landsting och regioner . Det som undersöktes var om det fanns en dokumenterad behovsoch riskanalys och skriftliga riktlinjer som beskriver vad som är obehörig åtkomst . Datainspektionen fann att samtliga regioner och landsting brast i arbetet med behovsoch riskanalyser och att många saknade riktlinjer som beskriver vad som är obehörig åtkomst . Nu har ytterligare tre vårdgivare granskats , två privata vårdgivare och ett landstingsägt sjukhus . Även dessa tre saknar
Enkla grunder i dataskydd På Datainspektionens webbplats går det att hämta ett pdf-dokument med en enkel grundkurs i dataskydd med fokus på mindre företag .
www . datainspektionen . se / Documents / enkel-kurs-dataskydd . pdf nödvändiga analyser och riktlinjer . ” För att personal inom vården inte ska få tillgång till fler uppgifter än vad de har behov av i sitt arbete , behöver vårdgivaren både identifiera vilken personal som ska ha tillgång till vilka uppgifter och se till att det också finns en effektiv kontroll . Vi ser att vårdgivarna inte gör detta på ett tillräckligt strukturerat sätt och därför inte har den kontroll som de som personuppgiftsansvariga ska ha ”, säger jurist Martina Lindkvist som lett granskningen .
Höjd åldersgräns på sociala medier
En utredning har lagt fram ett förslag med generella kompletterande regler till den kommande dataskyddsförordningen . Datainspektionen har granskat förslaget och är i huvudsak positiv . Enligt dataskyddsförordningen ska barn som är 16 år eller äldre kunna gå med i sociala nätverk utan vårdnadshavarnas samtycke . Respektive land kan dock sänka den åldersgränsen till som lägst 13 år , vilket den svenska utredningen har föreslagit . Datainspektionen anser dock att det är en för låg åldersgräns . Hittills har tumregeln i Sverige varit att 15 år är en lämplig åldersgräns för när barn normalt ska anses förstå innebörden och konsekvenserna av hur deras personuppgifter kan komma att hanteras och användas .
nytt på webbplatsen
Läs dataskyddsförordningen På webbplatsen finner du också dataskyddsförordningen i sin helhet , både som webbtext och som pdf .
www . datainspektionen . se / forordningstexten
14
n y tt f r å n data i n s pe k t ion e n
Integritetsanalys
behövs i förslag till
ny spelreglering
Starkare sekretess
behövs för incidenter
¥ En nyhet i den kommande
dataskyddsförordningen är att
företag, myndigheter och andra
organisationer blir skyldiga att rapportera
in personuppgiftsincidenter till
Datainspektionen. En sådan incident skulle
till exempel kunna vara ett dataintrång på
en organisations servrar, att ett usb-minne
med personuppgifter tappats bort eller
att någon anställd obehörigt tagit del av
personuppgifter. I en skrivelse till regeringen
vill dock Datainspektionen att man nu utreder
möjligheterna att ändra offentlighets- och
sekretesslagen för att stärka sekretessen kring
den information som kommer att rapporteras
till inspektionen vid personuppgiftsincidenter.
”Vi anser att den nuvarande sekretessen är för
svag vilket kan leda till att Datainspektionen
enligt offentlighetsprincipen kan bli tvungen
att lämna ut detaljerade uppgifter om
incidenter. Risken för it-attacker mot företag,
myndigheter och andra organisationer kan
öka om incidentrapporteringen avslöjar
vilken organisations it-system som har
säkerhetsbrister. Dessutom kan den svaga
sekretessen påverka viljan att överhuvud taget
anmäla incidenter”, säger Datainspektionens
chefsjurist Hans-Olof Lindblom.
Ja till ny brottsdatalag
¥ EU har antagit ett direktiv som reglerar
hur personuppgifter får hanteras inom
bland annat området brottsbekämpning. En
utredning har därefter tagit fram ett förslag
till ny brottsdatalag som ska införa direktivet
i svensk lagstiftning, något du kan läsa mer
om på sidan 8. I sitt yttrande över förslaget till
ny brottsdatalag är Datainspektionen positiv.
Inspektionen konstaterar att utredningen
har lämnat ett väl genomarbetat förslag.
Det regelverk som föreslås innebär generellt
sett ett starkare skydd för den enskildes
personliga integritet än vad som gäller
enligt det nuvarande regelverket. På flera
punkter föreslår utredningen ett starkare
integritetsskydd än vad direktivet kräver, vilket
är positivt.
14
¥ Spellicensutredningen har haft i uppdrag
att lämna förslag till en ny spelreglering
som ska bygga på ett licenssystem som
innebär att alla som agerar på den svenska
spelmarknaden ska göra det med behöriga
tillstånd, och att aktörer utan tillstånd ska
stängas ute. Datainspektionen har granskat
förslaget och konstaterar att det inte
innehåller någon egentlig utredning och
analys av förslagets inverkan på enskildas
personliga integritet. Det finns inga närmare
beskrivningar av hur personuppgifter är
tänkta att samlas in och hanteras och vilka
risker det kan medföra. Därmed uppfyller
förslaget inte vare sig de krav som följer
av den nya dataskyddsförordningen eller
svensk grundlag. Inspektionen uppmanar
lagstiftaren att i det fortsatta arbetet göra
en integritetsanalys. En sådan ska svara på
frågan om konsekvenserna för den personliga
integriteten är proportionerliga i förhållande
till det man vill uppnå med hanteringen av
personuppgifter.
Begränsa åtkomsten
till patientuppgifter
¥ 2013 inledde Datainspektionen en
bred granskning av samtliga landsting
och regioner. Det som undersöktes var
om det fanns en d [Y[�\Y��Z�ݜB��\[[�\���ܚY��YH�Z��[\�B\ܚ]\�Y��H0��ؙZ0휚Y0]�\��]�Z[�Z�[ۙ[�[�]���[]��YH�Y[ۙ\���[��[�\��H�\]�]��YY��Z�ݜB��\[[�\\���]���p[H�ZۘY�BZ��[\�H�\ܚ]\�Y��H0��ؙZ0휚Y°]�\��H��\�]��\�Y\H��H�\�]\Bܘ[]����H��]]�H�\�]\H���]���[��[���ڝZ�\ˈ0�[��\H��H�Zۘ\���YH�[[�\\���Z��[\8'Q휈�]���\ۘ[��[H�\�[�[�H�H�H��[��[��[���\�\��Y�\0��Y���H��\�Z�݈�]�H�]��\]�K��Z0흙\�\�]\[�Y�H�Y�[�YY\B[�[��\ۘ[��H�H��H��[��[��[���[�B\��Y�\���H��[���]����]��H�[�[YZ�]�����H�\�]���\�]\H�[�B휈��]��H�0H�]����[����Y���Z�\\]�������0�휈�[�H��\��[�����H��H�B�\\��Y�[ݘ\YH�H��x'K���\�\\�X\�[H��[�ݚ\��H��]���ܘ[ۚ[[0횙�0[��\ܰ�0H�X[�H�YY�Y\[�]�Y�[��\��Y��[H�]���휜�YYY��[\[��H�\��]��\[�H�Y�\��[���[�[X[�H��]�\Y��ٰ휛ܙ�[[�]�Z[�Z�[ۙ[��\�ܘ[]��휜�Y]��0��H��]Y�Z��]�]�[�Y��]�\Y��ٰ휛ܙ�[[�H�\�H0��M\�[��\0���H�[H�H�YY��H�X[�H���\]�[�\�Y��]\\�[]�XK�\�Z�]B�[��[����H��[0[��\ܰ�[�[���H�0���L0\��[�]���[�ݙ[B]�Y�[[��\�휙\�Y]���]�Z[�Z�[ۙ[[\���]����]�0��[�휈�0Y0[��\ܰ�˂�]��[����\��[\Y[��H�ݙ\YH�\]��]���MB\0��[�0�\��Y0[��\ܰ��휈���\ܛX[���H�[\�휜0H�[X휙�[��ۜZݙ[\H�]��\��\\��\\��Y�\[�[XH�]����[�\\���[��\˂�H����0H��H������]���H�[�H�ܝ[�\�H��]�\Y���0���]�\Y��ٰ휛ܙ�[[0H��]�Z[�Z�[ۙ[�X��]��\�]��]���0�]�H�]�����Y�[Y[��YY�[�[[��ܝ[�\�H��]�\Y���YY�\�0H�Z[�H�휙]�Yˈ�0H�X��]�[�[\��H�H��]�KBY��ٰ휛ܙ�[[�H�[��[��]���Y�BH�X�^�����H���˙�]�Z[�Z�[ۙ[K�[Y[�[[�Z\Y�]�\Y����˙�]�Z[�Z�[ۙ[Kܛܙ�[�^��[