Beakta informationssäkerhet, sekretess och integritetsskydd

Risker och sårbarheter bör analyseras kontinuerligt

Det är viktigt att ha en god förståelse för och hantering av risker och sårbarheter som följer med digitalisering. En risk- och sårbarhetsanalys ska innehålla bland annat analyser av risker om informationssäkerhet, sekretess och integritetsskydd. Digitalisering kan ofta vara driven utifrån ett behov av att kunna hantera stora datamängder eller att sammanställa data. Vid digitalisering behöver ni beakta vilken typ av informationsmängder som skapas vid sammanställningar, och hur sammanställningarna behöver skyddas.

En risk- och sårbarhetsanalys kan vara en viktig aktivitet för att fånga, bedöma och hantera eventuella fördomar (data bias) och oavsiktlig diskriminering relaterade till digitalisering. En risk- och sårbarhetsanalys ska även innehålla förslag på riskreducerande åtgärder. Förutom att bedöma risken för oavsiktlig diskriminering bör övervägas att genomföra en analys som tar upp etiska reflektioner och möjliga konsekvenser på kort och lång sikt för offentlig förvaltning, invånare och samhälle.

Informationssäkerhet

Att värna om en god informationssäkerhet är grundläggande och nödvändigt för att lyckas med digitalisering. Om informationssäkerheten inte säkerställs på ett adekvat sätt kan förmågan att leverera tjänster komma att bli på bekostnad av förtroendet för den offentliga förvaltningen som behandlar information om medborgarna.

Det är avgörande att krav på informationssäkerhet utformas på ett ändamålsenligt sätt, så att kraven kan anpassas till den egna verksamhetens potentiella risker. Regelverket ska reglera säkerhetsnivån medan det är organisationen som måste ta ställning till hur kraven ska uppnås. På så sätt blir det också lättare att utforma kraven på ett teknikneutralt sätt.

Sekretess

Att vissa samhällsfunktioner har rättsliga förutsättningar för att kunna dela information med varandra är centralt. Det kan även vara relevant att på ett enkelt sätt kunna kontrollera eller följa upp vissa uppgifter.

Vid regelgivning är det viktigt att beakta vilka informationsmängder som ska vara möjliga att dela, respektive vilka informationsmängder som är nödvändiga och behövliga att skydda. Allmänheten och andra aktörer måste kunna känna sig trygga med att offentlig förvaltning inte röjer, sprider eller delar sådana uppgifter som är skyddade av sekretess. Det är centralt att värna den enskildas integritet och skälet till att vissa uppgifter är skyddade av sekretess.

Integritetsskydd

Det finns författningsbestämmelser som syftar till att skydda rätten till privatliv eller den personliga integriteten, ett exempel är dataskyddsförordningen (Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG). Det handlar om författningar som har till syfte att skydda någon eller något, exempelvis rätten till privatliv, anställdas rättigheter och de mänskliga rättigheterna. Dessa författningar bygger ofta på grundlagsskyddade regler eller internationella konventioner.

Regelverk behöver kunna främja delning och återanvändning av personuppgifter, samtidigt som ett tillräckligt skydd för den enskildes integritet upprätthålls. Integriteten ska värnas, och samtidigt är det viktigt att det offentliga kan dela och använda personuppgifter på ett säkert sätt för att kunna tillhandahålla relevanta tjänster och förfaranden åt allmänheten och andra aktörer.