Sammanställning över rättsinformatiken PDF

Preview

Summary

GDPR SCHEMA Gäller GDPR? a. Materiella och territoriella tillämpningsområdet Vilka konsekvenser får det att GDPR gäller? Vilka krav ska uppfyllas? Hur kan kraven konkretiseras i detta fall? a. Laglig, öppen och korrekt (art. 5 + 6) i. Samtycke 1. Problematiskt, kan återkallas (art. 7(3)), läkare i ö...

Description

GDPR SCHEMA 1. Gäller GDPR? a. Materiella och territoriella tillämpningsområdet 2. Vilka konsekvenser får det att GDPR gäller? Vilka krav ska uppfyllas? Hur kan kraven konkretiseras i detta fall? a. Laglig, öppen och korrekt (art. 5 + 6) i. Samtycke 1. Problematiskt, kan återkallas (art. 7(3)), läkare i överordnad position vs. patient- lär ej bedömas som frivilligt (7.4) 2. Ex. policys ii. Nödvändig för att skydda grundläggande intressen 1. Sannolikt! Art. 6.1.d iii. Allmänt intresse (myndighetsutövning). 1. Art. 6.1.e- fungerar också! iiii. Vissa är bara aktuella för myndigheter etc. 2. Hamnar ofta i samtycke eller intresseavvägning. a. Ibland kan samtycke vara svårt, särskilt i AT och AGförhållande. Då bör man försöka hitta annan grund för sina egna skull. 3. Grundläggande principer a. Skriv konkret kring hur man kan uppfylla principerna. Kan t.ex. anonymiserad data bidra till att uppfylla ändamålet? b. Ändamålsbegränsningen! Kom ihåg undantagen såsom för vetenskapliga forskningsändamål! c. Om art. 89 gäller har registrerade oftast mindre rättigheter vad gäller insyn, information och tillgång. 4. Vem är PUA, PUB, gemensamt ansvariga? a. Kommunen kan vara PUA och företaget PUB men det kan bara vara så om analysfriheten av företaget sker inom tydliga gränser (kommunen bestämmer ändamålet) och om det finns avtal kring sekretessbeläggning av uppgifterna (OSL). b. Rollfördelning i. Främst PUA:s ansvar (82-84). Fastställd. SKA och partners bestämmer tillsammans varför krav ställs på samarbetsavtal (art. 26). Inbördes ansvar för att leva upp till kraven ska fastslås i avtalet. SKA ska teckna med alla partners, men det fråntar dem inte ansvaret för PUB. c. Personuppgiftsansvarig- art. 4. Den som bestämmer över behandlingen (ändamålet och medel för behandlingen). Ej att blanda ihop med enskild person som jobbar med behandlingen, utan man måste bestämma. Är det på en myndighet är det nog myndigheten som bestämmer och inte en tjänsteman. Men en enskild person kan också vara PUA men oftast är det myndigheten, organisation eller företag. Syftar ofta inte på en enskild. d. Personuppgiftsbiträde- PUA anlitar, oftast ett företag, som gör en behandling för dess räkning. i. 5. Undantag från förbudet mot att behandla känsliga PU? a. Hälsouppgifter! Känsliga, art. 9. Undantag; i. 9(2)(h). Men måste då också identifiera 9.3, vilket kan vara problematiskt att

uppfylla tystnadskravet. ii. 9(2) i eller j kan annars fungera. iii. Hälsa tolkas vidsträckt (konfirmandlärarmålet). 6. Villkor för överföring till tredje land uppfyllt? Identifiera att US ej är med i kommissionens lista (art. 45). Eftersom privacy shield ej gäller längre, kolla art. 46 eller 47. Råd för PUB → Säkerhetspolicys man kan samtycka till, uppfyller då samtidigt informationsskyldigheten. Tydligt informera innan behandling, ge korrekt information så öppenhet uppfylls. Ju tydligare det är desto lättare bevisa senare (BB art. 7.1). GDPR GDPR (förordning och ska tillämpas direkt, men fått aningen direktivliknande karaktär, alltså många kompletterande regler). Syfte: GDPR syftar till att skydda enskilda personers fri- och rättigheter, särskilt rätten till skydd för behandling av personuppgifter (art. 1). Med personuppgifter menas varje upplysning som avser en identifierad eller identifierbar fysisk person (registrerad) (artikel 4.1). Tolkas brett, inkluderar alla uppgifter som tillsammans eller självständigt kan kopplas till fysisk levande person. Känsliga uppgifter HR är att sådana enlig art. 9.1 inte får behandlas men 9.2 stadgar undantag. Samtycke är ett exempel men ett problem då det kan återkallas vilket kan föranleda krav på omfattande åtgärder. Sjukvård → Behandling av känsliga uppgifter för att förebygga hälso-och sjukvård är en laglig grund enligt 3:5 dataskyddslagen. Men krav i 9.3 GDPR och 3:2 dataskyddslagen på att behandling sker under ansvar av en yrkesutövare som omfattas av tystnadsplikt. Biometriska- Igenkänning- PU. Biometrisk (4.14). Ansvaret regleras i art. 24 Laglig grund- art. 9 p.g.a biometrisk. Undantag i 9.2. Måste alltså finnas laglig grund enligt art. 6 och särskilt undantag från förbuden i 9.2. Anger uttryckligt samtycke- strängare krav. European data protection board (EDPB) har riktlinjer för detta. Privata aktörer som behandlar biometrisk data för egna intressen (inbegripet säkerhet) kommer förmodligen behöva uttryckligt samtycke, men även andra undantag kan vara tillämpliga. 6.1.f- intresseavvägning är ej tillämplig vid behandling av känsliga uppgifter i art. 9. Samtycke är ett alternativ (art. 7 för villkor). AI Datorprogram med förmåga att efterlikna människors beteende och tänkande. Risker med dynamiska algoritmer baserade på maskininlärning Maskininlärning- algoritm är ej exakt förprogrammerad utan lär sig att fungera genom att tränas på träningsdata (s. 252). Dynamisk, självlärande algoritm som anpassar sig under användningens gång. Problem med algoritmer- ej transparent anpassning (Blackbok, SOU 2018:25 s. 212). Inte ens programmeraren vet när eller varför anpassningen skett. Problematiskt avseende rättssäkerhet, insyn och beslutsmotivering (32 § FL). Samma SOU säger att programmets funktion är beroende av träningsdatans mängd och kvalitet.

Eventuella snedvridningar (bias) och bristfälligheter i träningsdatan kommer överföras till algoritmen och påverka efterföljande beslut. Ur rättssäkerhetsperspektiv är det viktigt att algoritmen har tränats på just den data som senare kommer användas vid beslut avseende sjukersättning (SOU:n). Skälen till sjukersättning är högst individuellt och varierar från tid till tid, varför algoritmerna inte kan vara tränade i allt. AI- datorprogram som efterliknar mänskligt tänkande och beteende. Intelligensen härrör från dator/maskin och ej människa. AI finns nästan överallt- räknar ut golfpoäng och face-ID m.m. Särskilt jurister kommer i kontakt med AI vilket kräver förståelse Två huvudtyper av AI; - Deterministiska algoritmer - arbetat utifrån programmerade instruktioner för problemlösning - Maskininlärning - utvecklar sina egna problemlösningsmetoder utifrån träningsdata som den försetts med AI berör etik, ekonomi, nationell säkerhet m.m. AI finns både inom privat och offentlig sektorkunskap krävs och juristen ska aktivt följa debatten. AI har påskyndat beslutsfattande, bidragit med kunskap psv. Samt problem som juristen måste förstå. Ex. AI vs. insyn (28 § FL) p.g.a rättssäkerhet. Öppenhet (s. 249) genom t.ex. 10 § FL och 25 § (kommunikation). Kan AI tillgodose detta? Säkerställa att allt relevant material beaktats? Tillräckliga garantier? Kunna kontrollera programfel själv och förstå att det är tekniska fel? Flertalet program kan begäras ut med stöd av off-P. Öppenhet kan alltså fortfarande tillgodoses vid AB till viss del. Dock- ifall AI-AB byggd på maskininlärning är till grund för beslut kanske inte ens systemutvecklarna kan förklara beslutsprocessen- insynen ifrågasätts. Samt svårt garantera att likabehandling och objektivitet upprätthålls. Tilliten till systemen blir lidande vilket kan skada relationen mellan enskilda och det offentliga. AI finns överallt och innebär intelligens som kommer från en maskin och inte det mänskliga intellektet. Nytt fenomen och därmed mycket obesvarat. Due diligence- information och dokumentation om ett visst företag samlas in och analyseras inför t.ex. kommande företagsförvärv. Sådan process innehåller oftast PU om t.ex. anställda på företaget. 28.2- byrå i egenskap av PUB får endast anlita annat biträde om PUA godtar det. AVTAL och ansvar! Risk- olika typer av programfel som ger inkorrekta beslut. Saknas även förståelse för hur AB fattas (blackbox). Outsourcing Många företag väljer outsourcing till externa parter. Finns många skäl till det, såsom bristande kompetens eller resurser (s. 385). Särskilt om ansvar och säkerhet Om kommunen outsourcar till företaget är den PUA enligt 4.7 och företaget PUB enligt 4.8. Kommunen har fortfarande det huvudsakliga ansvaret (ex. 5.2 GDPR) men även företaget får ett viktigt ansvar. Det är viktigt att kommunen säkerställer att företaget uppfyller skyldigheter och rättigheter vilket bör regleras i ett biträdesavtal (art. 28.1). Särskilt eftersom företaget gärna vill

bestämma vilka AI-analyser och forskningsmetoder som ska användas. Avtalet ska fastställa ändamålet med och varaktigheten av behandlingen samt SH och RH parterna emellan 82-83 GDPR. Företaget måste såsom kommunen beakta art. 5+6+9. Företaget ställer krav på att de ska få spara uppgifterna och analysera dem, så lagringsminimering måste förtydligas (5.1e). Säger överföring ska ske, vilket går om EU-kommissionen utan vidare åtgärder har beslutat om adekvat skyddsnivå enligt art. 45.1, annars gäller lämpliga åtgärder enligt 46.1. INFORMATIONSSÄKERHET Ur informationssäkerhetsperspektiv är principerna om konfidentialitet (behandling sker utan obehörig åtkomst), integritet (uppgifterna får inte ändras) samt tillgänglighet (ska få ta del av uppgifterna om så önskas) viktiga. Art. 32 ställer vidare krav på att informationen vid behov ska krypteras och/eller pseudonymiseras för att tillgodose dessa principer. Info-säkerhet- saknas legaldefinition men konfidentialitet, riktighet eller integritet, spårbarhet, oavvislighet. Även bl.a. MSB:s definition. Mål och metod för IS-arbetet med tjänsten IS-arbetet ska ske kontinuerligt för att vid varje tidpunkt uppfylla krav enligt tillämpliga regelverk. Känsliga och integritetsnära uppgifter- viktigt med säkerhet! Stora konsekvenser om obehöriga får åtkomst. IS-arbete omfattar; - konfidentialitet- obehöriga får ej få tillgång - riktighet eller integritet- information får ej ändras av obehörig - tillgänglighet- IS-system är vid varje tidpunkt tillgängliga för bolaget - spårbarhet- kan identifiera vem som gjort vad och när med informationen - oavvislighet- bolaget ska kunna påvisa att händelse ägt rum eller utförts av en viss angiven person Bör i sin dagliga verksamhet systematiskt och metodiskt anpassa informationen till behandlingens komplexitet och storlek i syfte att ta höjd på förevarande risk. Därav ska klassificering ske och behandlingens syfte klargöras, riskanalys avseende hot och risker ska identifieras och sannolikheten för dess förverkligande beaktas. Härigenom kan slutsatser dras kring ett proaktivt och lämpligt ISarbete samt se vilka åtgärder som behövs (s. 68). Konfidentialitet, integritet och tillgänglighet- hållas borta från obehöriga, ej kunna ändras, och hållas tillgängliga ifall den registrerade önskar det. IS uppnås ej direkt utan är en ständig process. Art. 32- riskanalyser och ex. kryptering eller pseudonymisering. NIS är införlivad genom NIS-lagen. 1 § anger syfte. För 7 sektorer inklusive digitala tjänster. Leverantörerna som omfattas anges i bilaga 2 till NIS-direktivet. Ska: leverera samhällsviktig tjänst och vara etablerad inom Sverige, tjänsten ska vara beroende av nätverk- och informationssystem samt incident som medför betydande störning vid tillhandahållandet av tjänsten. Även JP som tillhandahåller digital tjänst om har huvudsakliga etableringsställe eller företrädare etablerad här (3 §). Man måste uppfylla 29-30 §§ för att undvika sanktionsavgifter och påtryckning. För samhällsviktiga tjänster är kraven angivna i 11, 12 och 14 §§. Digitala tjänster anges i 15 och 16 §§. IS-arbete är en löpande process. Vid bedömningen av lämplig säkerhetsnivå ska särskild hänsyn tas till de risker som behandlingen medför. Främst på risken för oavsiktlig eller olaglig förstöring, förlust, ändring eller obehörigt röjande av eller obehörig åtkomst till PU. Se skäl 75 + 76. Lämplig nivå ställs även i förhållande till typen av

uppgifter som behandlas, vilka tekniska möjligheter som finns samt kostnaderna förknippade med stäkerhetsåtgärderna. Skäl 83- åtgärderna inbegriper säkerställande av konfidentialitet. Art. 32 anger även åtgärder som kan minska risker med behandlingen. MSBFS 2016:1- statliga myndigheters informationssäkerhet som säger att dessa ska arbeta systematiskt och riskbaserat med informationssäkerhet och krav ställs på att ledningssystem för IS ska finnas och utformas efter verksamhetens behov. Finns även ISO/IEC-standarderna 27001 och 27002 om ledningssystem för IS. Huruvida behandlingen inbegriper risk bör göras utifrån en objektiv bedömning. Hur allvarlig och sannolik risken för rättigheter och friheter är bör fastställas på grundval av behandlingens art, omfattning, sammanhang och ändamål. Desto större risker desto mer omfattande åtgärder krävs. SÄKERHETSÅTGÄRDER Klassificering + löpande riskanalyser → Klassificering är utgångspunkten för att se vilka åtgärder som är lämpliga (bestäms utifrån utvecklingen, genomförandekostnader + behandlingen art, omfattning, sammanhang och ändamål samt förverkligandets sannolikhet (s. 90 + art. 32). Sätta upp en femgradig skala som anställda får vara med och skapa samt bygga rutiner utifrån de olika. På så vis blir personalen uppmärksam på risker och minskar dem för incidenter. Risker kan vara att obehöriga får tillgång och utnyttjar informationen för skada barnet, eller utpressa föräldrarna. Andra risker är att de med tillgång till systemet kan ändra i informationen som kan medföra komplikationer för familjerna. Riskerna kan medföra stora kostnader vid konsekvenser men denna risk för intrång och kapning är låg om ej familjerna är offentliga personer etc. Men åtgärder ska ändå vidtas. - Tekniska och organisatoriska. Dessa tillsammans ger högsta skyddseffekten (s. 70). Kryptera och pseudonymisera är billigt och lämplig för skyddet (art. 32 + skäl 83). Obehörig åtkomst minskas. Antivirusprogram + brandväggar för att skydda informationsåtkomst + åtgärda informationsläckage. I dagliga arbetet bör de använda skyddsförstärkan sådana som är numera standard enligt art. 25. Innebär kort att PUB inte ska ske i onödan. Även ickebindande ISO-standarder är att föredra. - Behörighet och tillgång- kan reglera vem som har tillgång till informationen genom personliga inloggningar, e-signaturer osv. Läckor kan därmed spåras. Tillgång ska endast ges till den med behov av att hantera dem. Samt endast behandla enligt bolagets instruktion (art. 32.4 + skäl 75-76 + art. 5.1.f). - Medarbetsansvar- “Clean desk policy”- högriskinformation lämnas ej framme för obehöriga (kan även tillämpas elektroniskt). Alla anställda åläggs därmed att säkerställa att inlogg och dylikt skyddas. - Incidentrapportering- utse ansvarig som medarbetarna rapporterar till. Policy upprättas på vilka typer av incidenter som ska rapporteras, till vem och inom vilka frister. - Avtal om överföring- mellan parterna för att reglera ansvar. Intro- varför behövs IS-strategi? Grundläggande principer om IS som är konfidentialitet, riktighet eller integritet, tillgänglighet och spårbarhet. Informationsklassning, verksamhetsanalys (interna och externa krav), riskanalys, val av säkerhetsåtgärder, uppföljning, information om hur IS i företaget bör utvecklas. Klassning- vilken typ av information hanteras och i vilket syfte? Vilken information behöver skydd och vilken typ av information behövs? Riskanalys- hot och risker? Riskmoment om uppgifter om barn kommer ut. Pseudonymisering kan vara bra. Stor hotbild om hackas.

Kontinuitetsplanering- hur agera om allvarlig störning inträffar? Ansvarsfördelning? Begränsa störningar och minimera skador, så verksamheten kan upptas så fort det går. Tekniska och organisatoriska åtgärder- art. 32. Virusprogram, brandväggar, elektroniska signaturer, intrångsdetekteringssystem, kryptering. Org- ansvarsfördelning internt men även hur användarnas behörighet minimeras. Behandla- laglighet, uppgifter som rör barn och art. 10, profilering, dataintrång, incidenter (art. 3334), sanktioner och skadestånd (83). Säkerhetspolicy Proaktivt och fortlöpande arbete för att förhindra obehörig åtkomst. Konfidentialitet, spårbarhet, riktighet eller integritet, oavvislighet (s. 63). Klassificering p.g.a vi kan komma i kontakt med information som ska skyddas. Riskanalys (s. 68) där nämns; - Roller och ansvar - klargöras, tydlig rollfördelning (s. 61) - kan då effektivt styra arbetet genom planering, genomförande, kontrollera + förbättra hanteringen (i linje med prop. till NIS-lagen 2017/18:205 s. 39) + kan agera snabbt vid händelser - Informationssystem - Åtgärder utifrån klassificerad information, ska vara lämpliga i förhållande till risken, varför riskanalys krävs (ex. 13 § NIS-lagen och art. 32) - Riskklasser, ju högre risk desto större konsekvenser - kan då prioritera kostnader etc. - Tekniska och organisatoriska åtgärder - Kryptering, antivirusprogram, brandväggar - beakta tekniska utvecklingen och vad som finns tillgängligt på marknaden (prop. 2017/18:205 s. 41) + art. 25 GDPR - trots bolaget ej är bundna till detta ska de beakta ISO-standarder (27001 + 27002 i detta fall) - ska molntjänster användas? Då eventuellt PUB-avtal (endast anlita PUB med tillräcklig skyddsnivå (art. 28) - Behörighet och tillgång - endast behöriga + möjliggör spårbarhet - säkerhetsnivån för inloggning ska motsvara informationskänsligheten och ev. riskklasser - PU- endast tillgång för de som behöver och endast behandla de på instruktion av bolaget (art. 32.4 + 5.1) - avs. företagshemligheter så omfattas endast hemligheter där rimliga åtgärder vidtagits för att hemlighålla informationen av skyddet (2 § p. 3 LFH) - antalet personer med informationskännedom ska vara begränsad, definierbar och sluten (prop. 2017/18:200 s. 138) - Medarbetares ansvar - clean desk policy, ej lämna framme - vidta lämpliga åtgärder för att hålla lösenord och IT-utrustning skyddade från obehöriga - om så dock sker- underrätta + upptäckt av intrång Övervakning av datatrafik Övervaka all sådan i servrar och system i syfte att hindra läckage av företagshemligheter + upptäcka

hot och intrång- använd automatiserad övervakning. Medarbetare uppmanas ej använda system och utrustning för privata ändamål. Hantering av IS-incidenter Ansvar för att följa upp, skyndsamt åtgärda och vidta nödvändiga åtgärder som minskar konsekvenserna. Rapportera till behörig tillsynsmyndighet. Rör det PUB sker det till DI (art. 33) samt till berörd om lagstöd för det (34). MSB om rör annan information (CSIRT-organ enligt 12 § NIS) + följa regler om frivillig rapportering (15 § NIS). Varför behövs ens säkerhetsjuridiskt förhållningssätt baserat på verksamhetsanalys, riskanalys och informationsklassning? Intern informationshantering (anställda m.fl.) och externa (förhållande till kunder m.fl.) bör omfattas. Konfidentialitet, integritet (datas riktighet/korrekthet), tillgänglighet (avtalsbaserad/författningsbaserad), spårbarhet, icke-förnekande och ansvar. Tekniska och organisatoriska. Lär aktualisera PUB, art. 9 (Art. 32 med krav på säkerhet). 6.4.e t.ex. Även art. 5 som generell reglering. Policyn kan vara vägledande ifall incident uppstår (art. 33-34).

INCIDENTER Om sannolikt medför risk för fri- och rättigheter ska bolaget rapportera till DI (art. 33). Ibland ska den som PU berör informeras (art. 34). Ska vidta skademinimerande åtgärder snarast och hantera incidenterna. Annars sanktioner!

SEKRETESSREGLERADE UPPGIFTER Särskilt om sekretessreglerade uppgifter OSL likt GDPR, ställer krav på att lämpliga åtgärder vidtas för att uppfylla informationssäkerhet. Enligt 25:1 OSL är hälsouppgifter presumerade att vara sekretessbelagda varför en sekretessprövning måste göras innan utlämnande. Även OSL ställer krav på konfidentialitet (ej obehörig åtkomst), samt spårbarhet, tillgänglighet och riktighet (s. 92). Rättsläget huruvida det föreligger sekretessbrytande bestämmelser enligt 10:2 OSL eller inte vid outsourcing till privata aktörer, vilket påverkar myndigheter negativt (SOU 2018:25 s. 107). Art. 22, patienterna måste få motsäga sig och man måste ha personal tillgänglig ifall patienter gör det. AI → Art. 22. Klubben behöver ha personal redo för att behandla informationen manuellt istället för AI om registrerade motsätter sig. För att undvika detta kan man omarbeta så det inte enbart grundas på AB. TILLGÅNG TILL DATA FRÅN MYNDIGHETER Vidareutnyttjande av offentlig information En uppgift för statliga och kommunala myndigheter är att framställa och förvalta informationssamlingar (s. 371) som sedan kan användas av företag för kommersiella tjänster (5 § PSI). Har som HR rätt att ta del av allmän handling om önskar, av t.ex. Transportstyrelsen (2:1 och 2:15 TF). PSI-lagens syfte i 1 §....