År 2020 betonades betydelsen av dataskydd och datasäkerhet

Privacy.
© GettyImages/SinArtCreative

Övergången till distansarbete och nyheterna om dataintrång 2020 lyfte på ett beklagligt sätt fram betydelsen av dataskydd och datasäkerhet för tillgodoseendet av allas rättigheter. I ämbetsverk såsom Fimea, där man behandlar bl.a. sekretessbelagda hälsouppgifter, har man visserligen tidigare satsat på att förverkliga och trygga dataskyddet och datasäkerheten, men under det senaste året fick detta arbete nya nyanser. 

Vad är dataskydd och datasäkerhet

Dataskydd och datasäkerhet går ofta hand i hand. De är dock inte helt samma sak och det räcker inte med att endast beakta den andra. 

Dataskydd är en del av allas integritetsskydd som tryggas i grundlagen. Syftet med dataskydd är att säkerställa att personuppgifter behandlas lagenligt i organisationer och endast när det finns en lagstadgad grund för behandlingen av personuppgifter. Dessutom tryggar dataskyddet den registrerades rättigheter vid behandlingen av uppgifter som rör honom eller henne.

Med datasäkerhet strävar man däremot efter att trygga informationens tillgänglighet, integritet och konfidentialitet. Tillgänglighet garanterar tillgång till information vid behov. Integritet däremot innebär att informationen är tillförlitlig och oföränderlig, och konfidentialitet säkerställer att informationen endast behandlas av de personer som har rätt att behandla informationen i fråga.

Personuppgifter är alla uppgifter som gäller en identifierad eller identifierbar fysisk person, såsom namn, personbeteckning, patientuppgifter eller något för personen kännetecknande drag. 

Dataskydd och datasäkerhet beaktas under uppgifternas hela livscykel

Dataskyddet och datasäkerheten beaktas i varje skede av personuppgifternas behandling, från insamlingen av uppgifterna till deras förstöring. 

Personuppgifter får endast samlas för ett visst ändamål och endast i den omfattning som behövs för ändamålet. Personuppgifter kan alltså inte endast samlas på grund av nyfikenhet eller för säkerhets skull. 

Personuppgifter kan endast behandlas av personer vars uppgifter förutsätter behandling av uppgifterna. Denna begränsning bör också göras inom organisationerna. Så gör man också vid Fimea, där endast de tjänstemän vars arbetsuppgifter omfattar behandling av personuppgifter har tillgång till uppgifterna. 

Behandlingen begränsas särskilt med användarrättigheter till systemen och kontrolleras med logguppgifter. Eftersom man vid Fimea också behandlar mycket personuppgifter i pappersform, har tillgången till vissa lokaler begränsats för att säkerställa att uppgifterna i dokumenten inte av misstag hamnar i fel händer. 

Dataskyddet beaktas också vid övervägandet av om personuppgifter vid Fimea ska överlåtas utanför Fimea. Den som begär personuppgifter ska också kunna bevisa sig ha rätt att behandla de uppgifter som begärs. Datasäkerhet bidrar i sin tur till att personuppgifter i huvudsak överförs via krypterad e-post. 

När det inte längre finns grunder för att behandla personuppgifterna ska de antingen arkiveras eller förstöras på ett datasäkert sätt. 

Tillgodoseende av den registrerades rättigheter 

Enligt dataskyddsförordningen har den registrerade bl.a. följande rättigheter:

  • rätt att få information om behandlingen av sina personuppgifter
  • rätt att få tillgång till uppgifterna
  • rätt att rätta uppgifter
  • rätt att begränsa behandlingen av uppgifter
  • rätt att motsätta sig behandlingen av uppgifter.

Den registrerades rätt att få uppgifter säkerställs bl.a. med hjälp av offentliga dataskyddsbeskrivningar. Dataskyddsbeskrivningarna för Fimeas register finns på vår dataskyddswebbplats: Dataskydd

Alla har också rätt att kontrollera hurdana uppgifter den personuppgiftsansvarige har om honom eller henne.

En berättelse om dataskydd

Pertti har läst i tidningen att var och en har rätt att kontrollera om myndigheterna har uppgifter om dem, och vilka dessa uppgifter i så fall är. Pertti har några år sedan fått biverkningar av ett läkemedel som ordinerats honom, och beslutar att kontrollera vilka uppgifter Fimea har om honom.

Pertti hittar instruktioner på Fimeas webbplats om hur man kan begära granskning av de egna uppgifterna: dataskydd. Pertti identifierar sig i Fimeas e-tjänst och gör där en begäran om granskning enligt instruktionerna.

Begäran anländer som ett krypterat meddelande till Fimeas registratorskontor, där Ritva registrerar det i ärendehanteringssystemet och styr det till dataskyddsansvarige för behandling. Dataskyddsansvarige Sanna tar upp begäran i behandling, kontrollerar att den innehåller all nödvändig information och ber därefter ansvarspersonerna för Fimeas alla register och ärendehanteringssystem att kontrollera om det finns uppgifter om Pertti.

Granskningens resultat är att det finns uppgifter om Pertti i både anmälan om biverkningar, som Pertti antog, och i registret över specialtillstånd. Pertti har nämligen flera år tidigare använt ett läkemedelspreparat som förutsätter ett specialtillstånd av Fimea.

Efter ha fått uppgifterna skickar dataskyddsansvarige Sanna informationen om granskningens resultat till Pertti per krypterad e-post.

Däremellan har Pertti läst mer om dataskydd och lärt sig att han också har rätt att motsätta sig användningen av sina egna uppgifter. Han vill inte att hans uppgifter används senare i till exempel undersökningar. Pertti skickar Fimea ett brev där han förbjuder senare användning av sina uppgifter. 

Informationen om Perttis förbud dokumenteras i Fimeas ärendehanteringssystem. Om man i fortsättningen ber om personuppgifter av Fimea för till exempel forskningsändamål, överlåts inte Perttis uppgifter. Dataskyddsansvarige Sanna meddelar Pertti att hans förbud har registrerats och kommer att beaktas i fortsättningen.

När allt inte går som planerat

I Fimea arbetar man multiprofessionellt för att dataskyddet och datasäkerheten ska genomföras på ett ändamålsenligt sätt. Trots alla förberedelser går allt inte alltid som det borde. Uppgifter kan försvinna, hamna i fel händer eller deras innehåll kan förändras på ett sätt som inte avses. Då är det fråga om kränkning av datasäkerheten. 

Vid kränkning av datasäkerheten utvärderar Fimea risken som kränkningen av datasäkerheten orsakat och inleder vid behov korrigerande åtgärder. Vid behov meddelar man också kränkningen till dataombudsmannen och den registrerade, vars uppgifter det är fråga om. 

Genom spel till expert inom datasäkerhet

Uppdaterade instruktioner och personalens kontinuerliga och förnyande utbildning utgör grunden för genomförandet av dataskydd och datasäkerhet. Fimea uppdaterar instruktionen regelbundet och personalen erbjuds möjligheter att öka sin kompetens. 

Att öka kompetensen behöver inte alltid vara så allvarligt, utan datasäkerhet kan också studeras genom att till exempel spela. Fimea deltog i veckan för digital säkerhet hösten 2020. Under veckan uppmuntrades personalen att spela Digiturvallinen elämä-mobilspelet som erbjuds av Myndigheten för digitalisering och befolkningsdata. Spelet fick ett positivt mottagande på ämbetsverket. Som en medarbetare på Fimea konstaterade: ”Det är inte varje dag som arbetsgivaren uppmanar en att spela under arbetstiden.” 

Du kan också påverka förverkligandet av dataskydd

När du uträttar ärenden hos myndigheter, använd vid behov krypterad e-post. Du kommer till Fimeas tjänst för säker post här: https://secmail.fimea.fi/index.cgi

Avlägg den allmänt tillgängliga dataskyddskursen i eOppiva: https://www.eoppiva.fi/koulutukset/tietosuojan-abc-julkishallinnon-henkilostolle/.

Läs mer om dataskydd på dataombudsmannens webbplats: https://tietosuoja.fi/sv/privatpersoner