Informationssäkerhet

Informationssäkerhet är ett begrepp som först och främst handlar hur man kan hindra känslig information från att hamna i orätta händer. Myndigheter som registrerar uppgifter om privatpersoners hälsa måste till exempel se till så att uppgifterna är väl skyddade.

God informationssäkerhet är också viktigt för att information som har ett värde inte ska kunna förstöras. Det är också en fråga om att uppgifter inte ska kunna förvanskas på ett sätt som gör så att någon råkar illa ut.

Informationssäkerhet kan också handla om att information ska finnas tillgänglig i rätt tid för rätt person. Den som exempelvis behöver en uppgift från Skatteverket inför sin deklaration ska kunna få den inom rimlig tid. Samma sak gäller om någon behöver få ut handlingar för att kunna förnya sitt pass.

Informationssäkerheten är lagstadgad

Dataskyddsförordningen, dataskyddslagen och dataskydd i stort syftar till ökad informationssäkerhet. Företag, myndigheter och organisationer i hela Europa är skyldiga att arbeta för ökad informationssäkerhet. Det handlar bland annat om att informera privatpersoner innan personuppgifter sparas och om att se till så att alla register är skyddade mot intrång.

Varför är informationssäkerhet så viktigt?

Informationssäkerhet handlar om skydd av den personliga integriteten och är en fråga om en grundläggande rättighet som är av stor vikt i ett rättssamhälle. Idag är personuppgifter något som de flesta delar med sig av online och det gör att uppgifterna är extra utsatta.

Arbetet med informationssäkerhet är en process som måste hålla jämna steg med den tekniska utvecklingen. Ny teknik kan innebära både nya hotbilder och nya möjligheter till förbättrad datasäkerhet.

Hur uppnår man god informationssäkerhet?

Det är upp till varje företag, myndighet och organisation att utse ett dataskyddsombud och att vidta de åtgärder som krävs för att uppnå tillräckligt hög informationssäkerhet.

Vilka säkerhetsrisker en organisation är utsatt för beror på hur de arbetar och vad för typ av information det är som hanteras. I korta drag kan man säga att arbete med informationssäkerhet handlar om riskminimering. Ett effektivt sätt att säkerställa informationssäkerhet är att genomgå en certifiering av ISO 27001.

Informationssäkerhet online
Informationssäkerhet är grunden i alla verksamheter

Informationssäkerhet enligt dataskyddsförordningen

Den nya dataskyddsförordningen med bestämmelser som gäller i hela EU-området trädde i kraft 2018. Men i Sverige har det länge funnits lagar som rör informationssäkerhet. Om de inte följs rör det sig om incidenter.

Arbetet med informationssäkerhet ska bottna i dataskyddsförordningen och dataskyddslagen så att grundläggande rättigheter för individer kan skyddas.

Lagar och förordningar beskriver vilken grad av informationssäkerhet som ska kunna garanteras, men alltså inte exakt hur till exempel ett företag ska arbeta för att nå tillräckligt hög informationssäkerhet.

En grundförutsättning för ett framgångsrikt arbete med informationssäkerhet är att det finns en struktur och tydliga rutiner för hur det ska gå till. Dessa strukturer och rutiner ska ha en rättslig grund och utgå från dataskyddsförordningen.

Förutom att det ska finnas tekniska lösningar och arbetssätt som skyddar den information en organisation arbetar med är det viktigt att inte bygga rutiner för att skydda information som en organisation inte ska behandla.

Vilka personuppgifter behöver vi behandla, i vilken omfattning ska det göras och vad är ändamålet med det? Hög informationssäkerhet handlar också om att identifiera och bemöta risker. Det gäller särskilt när det är fråga om behandling av personuppgifter av extra känslig karaktär.

Med känsliga uppgifter menas bland annat trosuppfattning, politisk tillhörighet och sexuell läggning. Handlar det om känslig behandling ska det göras en bedömning av vilka åtgärder som behöver genomföras för att man ska kunna uppnå god informationssäkerhet. 

Resultatet av riskanalysen och bedömningen av vilka åtgärder som kan eller ska genomföras måste sedan kommuniceras. De som berörs av strategier för informationssäkerhet i ett företag, en myndighet eller en organisation ska ha tydliga instruktioner om hur de ska bidra till att hög informationssäkerhet kan uppnås.

Datasäkerhet är ett personligt ansvar

Här fokuserar vi på vad informationssäkerhet innebär för dem som hanterar register med potentiellt känslig och skyddad information. Begreppet informationssäkerhet kan dock också användas i en bredare mening.

Även individer har naturligtvis ett ansvar för att hantera information som är känslig för dig på ett ansvarsfullt sätt. Ofta krävs det dock att man först görs medveten om att information kommer att sparas för att man ska kunna ta ett medvetet och ansvarsfullt beslut.