Säker behandlingsmiljö

EU:s dataförvaltningsförordning handlar om att öka delningen av myndigheters skyddade data. För att kunna dela skyddade data och göra den tillgänglig för vidareutnyttjande, kan du och din organisation exempelvis använda er av en säker behandlingsmiljö.

Skyddad data är exempelvis

  • uppgifter som skyddas av statistiksekretess
  • företagshemligheter
  • personuppgifter.

För att du och din organisation ska kunna tillgängliggöra skyddade data för vidareutnyttjande kan ni använda er av en så kallad säker behandlingsmiljö.

Det här är en säker behandlingsmiljö

En säker behandlingsmiljö är en plattform där en behörig person på ett säkert sätt, ensam eller tillsammans med andra, kan få åtkomst till skyddade data och resurser. Det kan exempelvis vara lämpliga programvaror och hårdvara för att kunna behandla data.

Det ska vara möjligt att få tillgång till resultat av sin bearbetning utan att skyddade data lämnar den säkra behandlingsmiljön. I en säker behandlingsmiljö kan även annan funktionalitet ingå såsom metadata, versionshantering, möjlighet att importera hjälpinformation m.m.

En säker behandlingsmiljö kan vara myndighetens egen. Det kan också vara en miljö hos någon annan, som då kontrolleras av myndigheten som delar skyddade data.

Åtgärder innan data delas

Även om personuppgifter eller andra data ska delas i en säker behandlingsmiljö kan pseudonymisering eller andra tekniska åtgärder behöva vidtas för att ytterligare säkra behandlingen av skyddade data innan de delas.

Innan skyddade data kan tillgängliggöras, i en säker behandlingsmiljö eller på annat sätt, måste det stå klart att data får tillgängliggöras för andra utanför den egna myndigheten. Varje begäran om utlämnande av data ska prövas var för sig. Särskilt viktigt är att utreda på vilket sätt uppgifterna är skyddade, nedan listas några saker att tänka på:

Säkerhetsskyddsklassificerade uppgifter måste skyddas

Om uppgifterna är säkerhetsskyddsklassificerade måste säkerhetsskyddlagstiftningen tillämpas vid en eventuell delning.

Säkerställ att samma behov av skydd och säkerhetsåtgärder finns

Före delning av skyddade data är det lämpligt att säkerställa att mottagaren ser samma behov av skydd och skyddsåtgärder för den information som ska delas. MSB:s föreskrifter för informationsklassning kan tolkas på olika sätt, vilket kan medföra att organisationer använder olika nivåer och därtill tillämpar olika skyddsåtgärder på dessa nivåer.

Delning av personuppgifter kräver extra hänsyn

När personuppgifter delas är det viktigt att klargöra redan från början vilken myndighet eller organisation som är personuppgiftsansvarig för personuppgifterna i den säkra behandlingsmiljön. Eventuellt kan det vara gemensamt personuppgiftsansvar mellan flera myndigheter som behandlar samma data. Ett personuppgiftsbiträdesavtal är oftast nödvändigt.

Vid delning av personuppgifter ska, enligt artikel 32 i dataskyddsförordningen, särskild hänsyn tas till de risker som behandlingen medför. Det gäller i synnerhet för

  • oavsiktlig eller olaglig förstöring
  • förlust eller ändring
  • obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats.

Om delningen är av stor betydelse i samhällsviktig verksamhet kan ytterligare krav ställas, exempelvis är kontinuitetshantering då av stor vikt.

Datadelning efter beslut om utlämnande

Observera att när datadelning sker efter ett beslut om ett utlämnade övergår ansvaret för denna data till mottagaren.

Om mottagaren är en myndighet kan den välja att använda skyddade data i en säker behandlingsmiljö, men behöver inte göra det. Myndigheten kan till exempel ha behov av att kunna bearbeta skyddade data i annan miljö eller ha behov av att arkivera data i ett arkiv.

Vid utlämnande av skyddade data till övriga aktörer kan den utlämnande myndigheten ha rätt att begränsa användningen och neka till användning utanför en säker behandlingsmiljö.

Krav på en säker behandlingsmiljö

För att skydda data i en säker behandlingsmiljö behöver åtgärder vidtas avseende informationssäkerhet som säkerhetsställer riktighet, konfidentialitet och tillgänglighet. Säkerhetsåtgärder finns beskrivna i ISO-standarden ISO 27002.

Organisatoriska säkerhetsåtgärder

Organisatoriska säkerhetsåtgärder handlar om det administrativa säkerhetsarbetet som till exempel riktlinjer för styrning av åtkomst av behörigheter. Dessutom ska det göras regelbundna dokumenterade kontroller och revisioner av säkerhetsåtgärderna, till exempel av utdelade behörigheter.

Personrelaterade säkerhetsåtgärder

Personrelaterade säkerhetsåtgärder handlar till exempel om bakgrundskontroller vid anställning, personalutbildning, sekretessförbindelser, rutiner och instruktioner.

Fysisk säkerhet

Fysisk säkerhet ska förebygga att obehöriga får tillträde till byggnader, lokaler eller kontor där de kan få tillgång till uppgifter de inte har rätt att ta del av. Här är det extra viktigt att se över hur datorer och lagringsmedier förvaras, zonindelning, direktlarm till bevakningsbolag, säkerhetsdörrar eller om andra har tillträde till byggnaden, lokalen eller kontoret.

Tekniska säkerhetsåtgärder

Tekniska säkerhetsåtgärder syftar till att it-tekniskt försvåra eller förhindra intrång samt att kunna följa upp händelser genom till exempel logganalys vid misstanke om incidenter. Exempel på tekniska säkerhetsåtgärder är flerfaktorsautentisering, brandväggar, kryptering, behörighetssystem, loggning, övervakning, säkerhetskopiering, antivirusskydd, aktiv förvaltning av programvaror inklusive versionshantering samt säkerhetspatchning.

Mer information om rekommendationer kring autentisering finns sidan E-legitimering.

Krav på myndigheter som delar data

Statliga myndigheter ska ha ett Ledningssystem för informationssäkerhet (LIS) och följa föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6 och 2020:7) från Myndigheten för samhällsskydd och beredskap (MSB).

Under 2025 börjar Cybersäkerhetslagen gälla och MSB kommer att ge ut nya föreskrifter, som inte bara gäller statliga myndigheter utan också regioner, kommuner och större privata företag. Den nya lagen baseras på EU-direktivet NIS2 och CER.

Hjälpte denna information dig?

Ditt svar hjälper oss att förbättra sidan

Senast uppdaterad: