Den kommande dataskyddsförordningen 2016/679 kommer att ersätta den nu gällande personuppgiftslagen (1998:204). Personuppgiftslagen och den kommande förordningen reglerar skyddet för personuppgifter vid behandling som helt eller delvis företas på automatisk väg (5 § 1 stycket personuppgiftslagen och artikel 1.1 och 2.1 dataskyddsförordningen).

Problemet för många, utifrån min upplevelse, ligger i tillämpningen av artikel 32 dataskyddsförordningen som föreskriver informationssäkerhet (en ”lämplig säkerhetsnivå”) vid behandling av personuppgifter. Artikeln har sin motsvarighet i den nu gällande 31 § personuppgiftslagen, som i sin tur är införlivad genom artikel 17.1 dataskyddsdirektivet 95/46/EG. Artikel 32 dataskyddsförordningen ställer krav på en ”lämplig säkerhetsnivå” för de personuppgifter som behandlas. I artikeln ges en icke-heltäckande katalog över lämpliga åtgärder, men någon närmare definition av ”lämplig säkerhetsnivå” ges inte.

Med begreppet ”personuppgift” ska förstås all slags information om en identifierad eller identifierbar fysisk person (3 § personuppgiftslagen och artikel 4.1 dataskyddsförordningen). En ”personuppgiftsansvarig” är den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för personuppgiftsbehandlingen (3 § personuppgiftslagen och artikel 4.7 dataskyddsförordningen).

Eftersom artikel 32 dataskyddsförordningen kommer att ersätta den motsvarande bestämmelsen i personuppgiftslagen, är det viktigt hur kravet på ”lämplig säkerhetsnivå” hittills har tolkats utifrån personuppgiftslagen. Anledningen till detta är att tolkningen av begreppet enligt personuppgiftslagen fortfarande kan ge viss rättslig vägledning även om lagen i sig upphör att gälla.

Enligt 31 § personuppgiftslagen ska:

”Den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av

a) de tekniska möjligheter som finns,

b) vad det skulle kosta att genomföra åtgärderna,

c) de särskilda riskerna som finns med behandlingen av personuppgifterna, och

d) hur pass känsliga de behandlade personuppgifterna är.”

Någon närmare definition av ”lämplig” säkerhetsnivå ges alltså inte heller i personuppgiftslagen. I förarbetena till personuppgiftslagen angavs att uppräkningen av de faktorer som ska beaktas är allmänt hållen och ger en bra sammanfattning, men att reglerna ”givetvis inte ger tillräcklig vägledning” för den personuppgiftsansvarige att avgöra vilka säkerhetsåtgärder som ska vidtas i det enskilda fallet. Avsikten var att regeringen genom Datainspektionen skulle ge närmare föreskrifter om säkerhetsåtgärder som behövs (SOU 1997:39 s. 412-413).

Datainspektionen har genom Datainspektionens allmänna råd – Säkerhet för personuppgifter (härefter ”DAR-S”) gett närmare vägledning rörande kravet på informationssäkerhet enligt 31 § personuppgiftslagen.

Datainspektionen angav härvid att bedömningen av de tekniska möjligheter som finns exempelvis kan avse vilka fysiska säkerhetshjälpmedel som finns tillgängliga på marknaden (sid. 17 DAR-S).

Kostnaden att genomföra åtgärderna får också vägas in. Det ställs alltså inte krav på att den personuppgiftsansvarige använder en mycket dyr utrustning om det skulle innebära en alltför stor belastning i förhållande till risken. Som regel är det tillräckligt att använda utrustning som normalt används och finns tillgänglig på marknaden (sid. 17 DAR-S).

Angående analysen av de särskilda risker som finns med behandlingen av personuppgifterna uttryckte Datainspektionen att en sådan särskild riskfaktor är antalet personer som de behandlade uppgifterna omfattar. Det följer av sakens natur att skador från ett angrepp kan bli mer omfattande när behandlingen gäller ett stort antal personer. Detta kan i sig också teoretiskt sett innebära att risken för intrång ökar, eftersom en eventuell angripare kan komma över en större mängd information vid ett och samma tillfälle (sid. 17 DAR-S). I artikel 32 dataskyddsförordningen anges att även ”behandlingens art, omfattning, sammanhang och ändamål” ska beaktas vid denna bedömning.

Datainspektionen uttryckte vidare att känsligheten hos personuppgifterna som behandlas alltid måste bedömas särskilt. Här gäller framför allt uppgifternas art, men även mängden uppgifter rörande en och samma person har betydelse för bedömningen. Mängden data rörande en viss person är av vikt för hur detaljerad bild av personen som kan inhämtas genom uppgifterna (sid. 17 DAR-S). Artikel 32 dataskyddsförordningen stadgar härvid att ”riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter” ska beaktas vid bedömningen av vad som utgör en lämplig säkerhetsnivå. Den personuppgiftsansvarige ska ”säkerställa en säkerhetsnivå som är lämplig i förhållande till risken”.

Här är alltså knäckfrågan. Bedömningen av den säkerhetsnivå som är lämplig ska framförallt avgöras genom att väga riskerna gentemot de åtgärder som är rimliga för att skydda sig mot dem. Ju fler och/eller allvarligare risker (i vid mening) som finns med behandlingen, desto högre ställs kraven på åtgärderna för att uppnå en betryggande säkerhet.

Det första steget när man genomför en bedömning och avvägning enligt artikel 32 dataskyddsförordningen bör alltså vara att identifiera de särskilda riskerna med behandlingen. En bra början kan vara att fråga sig varför personuppgifterna behandlas. Vilket, eller kanske vilka, ändamål finns med behandlingen? Behandlas personuppgifterna på ett sätt som gör det svårt att kontrollera att det sker enbart i enlighet med ändamålen som de samlades in? Behandlas personuppgifter från en större andel personer och hur omfattande är datamängden? Hanteras personuppgifter via öppna nät, som till exempel e-post? Hur stor är sannolikheten för (och konsekvenserna av) en teknisk störning eller ett dataintrång? Ju fler av dessa frågor som kan besvaras jakande, desto fler (eller större) säkerhetsåtgärder krävs för att uppnå en lämplig säkerhetsnivå.

Nästa steg blir att bedöma personuppgifternas känslighet. Enligt 13 § personuppgiftslagen är personuppgifter automatiskt att anse som känsliga om de avslöjar; ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller uppgifter som rör hälsa eller sexualliv. Motsvarande bestämmelse hittas i artikel 9.1 dataskyddsförordningen och omfattar i stort sett samma kategorier av uppgifter, med tillägg för behandling av genetiska och biometriska uppgifter samt sexuell läggning. Även om de personuppgifter som behandlas kanske inte klassificeras som känsliga i lagens mening kan uppgifterna dock ändå vara integritetskänsliga, bland annat beroende på i vilket sammanhang de förekommer. Det kan exempelvis röra sig om personuppgifter som behandlar inkomst och förmögenhet, lagöverträdelser, inkasso eller socialvård. En bra fråga att ställa sig är om personuppgifterna omfattas av tystnadsplikt eller sekretess enligt offentlighets- och sekretesslagen (2009:400). Kanske omfattas behandlingen av personuppgifterna av någon särlagstiftning, till exempel patientdatalagen (2008:355)? Ju känsligare personuppgifterna kan anses vara, enligt ovanstående bedömning, desto fler eller större säkerhetsåtgärder krävs.

När de olika riskerna har identifierats blir nästa steg att besluta vilka åtgärder som är lämpliga att vidta. Den tänkbara variation som kan uppstå genom de olika ovanstående faktorer som identifieras vid riskanalysen, medför naturligtvis att en ”lämplig säkerhetsnivå” är långt ifrån densamma för alla personuppgiftsansvariga. Detta beror förstås på att lagstiftaren har önskat täcka in alla tänkbara situationer. Detta kan dessvärre innebära att det frammanar en viss osäkerhet hos den som ska tillämpa bestämmelsen. Det viktigaste att tänka på här är att säkerhetsnivån ska vara tillfredsställande i förhållande till de identifierade riskerna.

Enligt dataskyddsförordningen såväl som personuppgiftslagen uppräknas två kategorier av säkerhetsåtgärder; organisatoriska och tekniska.

Organisatoriska säkerhetsåtgärder bör som regel vara de mest kostnadseffektiva åtgärderna, åtminstone för mindre företag och organisationer. Några exempel på organisatoriska åtgärder kan vara: rutiner för personuppgiftsbehandling, inlogg- och lösenordshantering, säkerhetspolicy, rutiner mot mänskliga misstag, fysisk säkerhet, rapportering av incidenter samt tillträdes- och behörighetskontroll.

Tekniska säkerhetsåtgärder kan exempelvis vara: skydd av datakommunikation och drift, kryptering, spårbarhet i IT-system, styrning av åtkomst till information, säkerhetskrav på IT-system vid inköp och utveckling m.m., regelbunden kontroll av säkerhetsnivån samt säkerhetskopiering.

Vid bedömningen av vilka åtgärder som ska vidtas, får den personuppgiftsansvarige (jämlikt ovan) även ta hänsyn till vilka säkerhetshjälpmedel som finns tillgängliga på marknaden och normalt används. Den personuppgiftsansvarige får också avväga kostnaderna för implementeringen gentemot de identifierade riskerna. Bedömningen av vad som utgör en lämplig säkerhetsnivå i det enskilda fallet utmynnar alltså i en sorts skälighetsbedömning.

Slutligen kan sägas att artikel 32 dataskyddsförordningen är sanktionsförenad (artikel 83.4 a dataskyddsförordningen). Det innebär att i det fall en personuppgiftsansvarig misslyckas med att upprätthålla en lämplig säkerhetsnivå så kan denne tilldömas sanktionsavgift samt eventuellt skadestånd till den, eller dem, registrerade. Utifrån den synvinkeln kan det alltså vara klokt för den personuppgiftsansvarige att vidta några fler säkerhetsåtgärder utöver vad denne bedömer behövs (såvida det inte är oskäligt). De extra kostnader som detta kan innebära för exempelvis ett företag har, i min bedömning, potential att vinnas åter i form av good-will från kunder, anställda och samarbetspartners.