Connection Information

To perform the requested action, WordPress needs to access your web server. Please enter your FTP credentials to proceed. If you do not remember your credentials, you should contact your web host.

Connection Type

 In Nyhet

Det är vår fasta övertygelse att arbetet med dataskydd blir mest effektivt om det integreras med arbetet som rör informationssäkerhet. Eftersom informationssäkerhet och dataskydd har olika skyddssyften går det dock inte att integrera dessa två områden helt.  Dataskyddet syftar till att skydda den registrerades fri- och rättigheter medan informationssäkerhet syftar till att säkerställa konfidentialitet, riktighet och tillgänglighet avseende informationen i en verksamhet.

Informationssäkerhetsarbete bygger på en struktur där det finns ett ledningssystem med tydliga mål, en dokumentstruktur, klassningsmodell av information och en handlingsplan för årlig uppföljning. Dataskyddsförordningen anger inte hur arbetet med dataskydd ska utföras utan det är upp till varje verksamhet att avgöra hur arbetet ska bedrivas. För att säkerställa efterlevnad av dataskyddet behövs dock ett tydligt strukturerat arbetssätt med bland annat styrdokument, tydliga processer och en handlingsplan för årlig uppföljning. Dataskyddsarbetet borde därför dra nytta av det arbete som görs för informationssäkerhet och det kan finnas anledning att skapa ett gemensamt ledningssystem för dem båda.

En förutsättning för ett gemensamt ledningssystem är att jurister och informationssäkerhetsexperter arbetar tillsammans och skaffar sig förståelse och kunskap om varandras områden. Jurister behöver förstå och skaffa sig kunskap om vad som avses med ett ledningssystem och informationssäkerhetsexperter behöver skaffa sig kunskap om lagkrav och hur lagkrav implementeras i praktiken. Det behöver finnas en medvetenhet om att dataskydd och informationssäkerhet har olika skyddssyften och hänsyn bör tas till detta vid upprättandet av ett gemensamt ledningssystem.

Ett flertal bestämmelser i dataskyddsförordningen bygger på att den personuppgiftsansvarige behöver göra en generell riskbedömning för att identifiera vilka åtgärder som krävs för att minska riskerna. Riskanalys är en grundbult i informationssäkerhetsarbetet. Dataskyddet bör ha stor hjälp av det arbete med riskanalyser som görs inom informationssäkerhetsarbetet. Detta eftersom riskanalyser även ska göras som ett första steg vid genomförandet av konsekvensbedömningar avseende dataskydd.  Att göra riskanalyser som ett först steg är just vad som rekommenderas i Artikel-29-gruppens Riktlinjer om konsekvensbedömning avseende dataskydd och fastställande av huruvida behandlingen ”sannolikt leder till en hög risk” i den mening som avses i förordning 2016/679. Antagna den 4 april 2017. Senast reviderade och antagna den 4 oktober 2017.

Detta är bara några att de effektivitetsfördelar som kan erhållas genom att synkronisera arbetet med dataskydd och arbetet med informationssäkerhet.

 

Recent Posts