Tech Blog

Tekniska och organisatoriska åtgärder enligt GDPR

Att lämpliga tekniska och organisatoriska åtgärder ska vidtas för att uppfylla kraven enligt GDPR upprepas genomgående i förordningen, men vad innebär de kraven i praktiken? Nedan behandlas vad olika tillsynsmyndigheter samt EU:s byrå för nätverks-och informationssäkerhet (ENISA) har uttryckt om vad som kan utgöra tekniska och organisatoriska åtgärder, och kort om hur det bör bedömas om åtgärderna är lämpliga.

Inledning – artikel 32 GDPR
Artikel 32 GDPR ger viss vägledning avseende vad som kan utgöra tekniska och organisatoriska åtgärder. Bestämmelsen stadgar även att det i lämplighetsbedömningen ska tas särskild hänsyn till de risker personuppgiftsbehandlingen medför.[1] Artikeln exemplifierar följande åtgärder:

a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingssystemen och behandlingstjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident, och
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

Integritetsskyddsmyndigheten om lämpliga tekniska och organisatoriska åtgärder
Integritetsskyddsmyndigheten (IMY) exemplifierar på sin webbsida, utöver vad som framgår av artikel 32 GDPR, tekniska åtgärder som inloggning, behörighetsspärrar, brandväggar, säkerhetskopiering och antivirusskydd. Som organisatoriska åtgärder uppräknar IMY administrativa säkerhetsåtgärder såsom tilldelning av åtkomsträttigheter, interna rutiner, instruktioner och riktlinjer. Organisatoriska åtgärder anges också vara att endast de som har behov av viss information för att utföra sina arbetsuppgifter ska få tillgång till den, och att verksamma på en arbetsplats endast ska behandla personuppgifter enligt instruktioner från den personuppgiftsansvarige (arbetsgivaren).

I IMY:s rapport om anmälda personuppgiftsincidenter år 2019 framförs ett antal rekommendationer baserat på de brister som upptäcktes under år 2019 och tidigare avseende bland annat lämpliga tekniska och organisatoriska åtgärder. Då IMY uppger att den stora andelen incidenter beror på den mänskliga faktorn understryker myndigheten vikten av löpande internutbildning samt styrdokument och tekniska informationsåtgärder. Vidare framhålls åtgärder som att alltid kontrollera att korrekt mottagare är angiven innan brev och e-post skickas, att använda bcc-funktionen (dold kopia) vid utskick till flera mottagare samt att använda e-post som är skyddad med kryptering vid utskick av känsliga eller integritetskänsliga personuppgifter. IMY betonar även att personuppgifter som lagras på flyttbara media och är särskilt sårbara för stöld eller förlust, exempelvis USB-minnen, bärbara datorer och mobiltelefoner, ska krypteras. Enligt myndigheten kan antagonistiska angrepp förebyggas genom att inte öppna länkar eller bifogade filer från okända avsändare. Vidare rekommenderas alla som hanterar personuppgifter att utarbeta stabila rutiner för att säkerställa att behörigheter tilldelas korrekt, att behörigheterna löpande kontrolleras och följs upp samt att åtkomstkontroller genomförs.

I december 2020 genomförde IMY granskningar på ett flertal större sjukhus i Sverige, däribland Capio S:t Göran, Karolinska Universitetssjukhuset och Sahlgrenska Universitetssjukhuset. Samtliga av dessa tre granskningar visade att sjukhusen hade underlåtit att vidta lämpliga organisatoriska åtgärder, då de inte gjort risk- och behovsanalyser vid tilldelningen av åtkomst till patienters personuppgifter. Enligt IMY måste en riskanalys göras som tar sikte på vilken risk behandlingen av uppgifterna innebär för den registrerade. Då de uppgifter vårdgivare behandlar ofta är känsliga personuppgifter innebär behandlingen av dem en hög risk. Detta menade IMY uppställer stränga krav på behovsanalysen, som tar sikte på att bara de som har behov av personuppgifterna för att kunna göra sitt jobb ska få tillgång till dem. I dessa granskningar betonade IMY även vikten av att logga och dokumentera vem som behandlar personuppgifterna och varför, samt vilka åtgärder som vidtas med dem. I ett av tillsynsbesluten i samband med den s.k. ”1177-incidenten” lyfte IMY även att personuppgifter, och särskilt sådana som rör hälsa, bör säkerhetskopieras för att undvika förlust av uppgifterna.

Lämpliga tekniska och organisatoriska åtgärder i Europa
Den brittiska tillsynsmyndigheten The Information Commissioner’s Office (ICO) föreslog ett flertal tekniska och organisatoriska åtgärder i besluten mot British Airways respektive Marriott. I båda fallen hade angripare fått tillgång till personuppgifter tillhörande bolagens kunder genom dataintrång. ICO framhöll att lagrade personuppgifter bör krypteras som en teknisk säkerhetsåtgärd för det fall en obehörig part får tillgång till dem. ICO menade vidare att multifaktorautentisering bör användas som teknisk åtgärd för att begränsa åtkomst till de som kan genomföra en kombination av två eller fler inloggningssteg. Som organisatoriska åtgärder framhöll ICO att en användare aldrig ska ges större access än vad denne behöver för att fullgöra sina arbetsuppgifter, samt att aldrig lagra personuppgifter utan att detta är nödvändigt i enlighet med uppgiftsminimeringsprincipen. I detta sammanhang förespråkade myndigheten också att användaraktivitet, filintegritet och aktivitet i databaser bör granskas och loggas för att i tid upptäcka onormal aktivitet och förebygga personuppgiftsincidenter. I beslutet mot British Airways lyfte ICO att en lämplig teknisk åtgärd även kan vara IP-whitelisting och användningen av IPSec VPN, samt att administratörer med hög åtkomst bör ha två separata användarkonton – ett för ”day-to-day business use” och ett konto som endast kan användas på en separat specificerad enhet där den höga åtkomsten utövas. ICO föreslog vidare manuell kodgranskning för att upptäcka brister i behandlingen av personuppgifter och ändringar i ett systems kod.

Av ICO:s tillsynsbeslut mot välgörenhetsorganisationen Mermaids kan utläsas att en organisatorisk åtgärd är utbildning av personal angående personuppgiftsbehandling, samt att krav ställs på att dessa utbildningar håller ett visst kvalitetsmått. Trots att all Mermaids personal och volontärer fick obligatorisk dataskyddsutbildning i december 2018 och därefter årligen, ansåg ICO att utbildningen som bedrivits varit otillräcklig och/eller ineffektiv eftersom pågående överträdelser av GDPR inte identifierades.

I ett beslut mot Moss kommun fastställde norska tillsynsmyndigheten Datatilsynet att kommunen brustit i sina tekniska och organisatoriska åtgärder efter att en överföring av personuppgifter från ett vårdsystem till ett annat föranlett att felaktiga personuppgifter skapats. Datatilsynet ansåg att kommunen genomfört bristfälliga riskbedömningar och otillräckliga testkörningar. I ett fall som rör omvandling av stora mängder känsliga uppgifter menade Datatilsynet att det är rimligt att förvänta sig att ett testsystem bestående av olika testscenarier ska upprättas i förväg för att avslöja olika typer av fel som kan uppstå till följd av överföringen. Resultaten av sådana tester bör dokumenteras i en rapport som godkänns eller avvisas av den personuppgiftsansvarige innan den faktiska omvandlingen genomförs.

ENISA utfärdade i december 2016 riktlinjer för hur huvudsakligen små och medelstora företag ska uppnå kraven på tillräckliga organisatoriska och tekniska åtgärder enligt GDPR. För att avgöra hur pass långtgående åtgärder som krävs ska enligt ENISA en riskanalys göras där företag identifierar vilka hot som finns mot personuppgiftsbehandlingen i fråga och hur sannolikt det är att händelsen hotet avser inträffar. Därefter ska en bedömning göras angående vilken påverkan en säkerhetsincident skulle få för de registrerade. En sammanvägd bedömning av hur hög risken för incidenter är och hur stora konsekvenser en eventuell incident skulle få för individer vars personuppgifter behandlas är det som enligt ENISA avgör den så kallade risknivån, och därmed vilka tekniska och organisatoriska åtgärder som är lämpliga.

ENISA räknar upp en mängd olika tekniska och organisatoriska åtgärder som bör vidtas beroende på vilken risknivå som fastställts. Vid högre risknivåer uppställs högre krav på framför allt innehåll i policyer, dokumentation, ansvarsfördelning och hur ofta olika säkerhetsåtgärder behöver vidtas och utvärderas. Som tekniska åtgärder föreslår ENISA bland annat begränsningar av obehörigas fysiska åtkomst till hårdvaror med IT-system som behandlar personuppgifter och att lösenord bör präglas av en viss komplexitetsnivå. Som organisatoriska åtgärder framhåller ENISA exempelvis att mjukvaruutveckling bör göras i miljöer som inte är anslutna till IT-system som används för att behandla personuppgifter och vikten av tydliga instruktioner från personuppgiftsansvarig till personuppgiftsbiträde.

Lämplighetsbedömningen i korta drag
Sammanfattningsvis kan konstateras att det centrala i bedömningen av vilka tekniska och organisatoriska åtgärder som är lämpliga, är risken personuppgiftsbehandlingen innebär för den registrerade. I tillsynsbeslut som berört hantering av hälsouppgifter framgår att behandlingen av dessa utgör en hög risk, vilket även betonas av ENISA som menar att all behandling av känsliga personuppgifter innebär en förhöjd risk. I de ovan refererade sjukhusgranskningarna framhöll IMY att när den personuppgiftsansvarige är en vårdgivare ökar kraven på vad som utgör lämpliga åtgärder, eftersom de som anförtror vårdgivare sina hälsouppgifter har en hög förväntan på att informationen inte ska göras tillgänglig för obehöriga. I ett tillsynsbeslut mot Stockholm Stads Utbildningsnämnd lyfte IMY att även behandling av uppgifter som inte är känsliga personuppgifter, kan innebära en förhöjd risk om de utgör särskilt integritetskänsliga uppgifter (i detta fall personuppgifter tillhörande personer med skyddad identitet. ENISA lyfter i sammanhanget uppgifter tillhörande barn och politiskt utsatta personer). I tillsynsbeslutet framhålls även mängden personuppgifter som en riskhöjande faktor. ENISA menar att det har betydelse hur identifierbar en individ är med hjälp av personuppgifterna och vilken aktör som behandlar dem. Om personuppgifter läcks från en aktör inom ett verksamhetsområde som av sin natur kan avslöja ytterligare information (exempelvis vittnar ett apotek om sjukdom) innebär detta en förhöjd risk.

 

[1] Exempel på vad som kan utgöra risker i samband med personuppgiftsbehandling uppräknas i skäl (75) GDPR.