Inspelat webbinarium: Säker och laglig informationsdelning i ett smart samhälle

It- och informationssäkerhet Digital Law
SÄKERHETSTEAMET PÅ KNOWIT INSIGHT
08.10.2021

Höstens webbinariumserie om det smarta samhället fortsatte med att Johanna Grundberg och Tomas Rimming berättade om och diskuterade ”säker och laglig informationsdelning i ett smart samhälle”. I detta inlägg kan du se det inspelade webbinariet och läsa en sammanfattning. 

 

Webbinariet "Säker och laglig informationsdelning i ett smart samhälle" ägde rum den 1 oktober 2021 och är det tredje av sex webbinarier i serien det smarta samhället. Du kan anmäla dig till nästa webbinarium här. 

  

Vikten av säker och laglig informationsdelning i ett allt mer uppkopplat samhälle 

En viktig komponent i bygget av det smarta samhället är möjligheten, och för offentliga aktörer skyldigheten, att dela data. För att kunna dela information på ett säkert sätt krävs det insikter inom både juridik och cybersäkerhet. 
 

 

Tillgängliggörande av data – juridiska perspektiv 

Johanna lyfte de juridiska aspekterna vid delande av data. Inom en snar framtid kommer den nya öppna data-lagen att träda i kraft vilket kommer innebära en skyldighet för offentliga aktörer att dela sin data. Lagen bygger på ett direktiv, det så kallade öppna data-direktivet. Lagen var tänkt att träda i kraft i somras, men kommer börja gälla inom en snar framtid.  

Två aspekter bör uppmärksammas med anledning av de kommande lagkraven. Verksamheter behöver dels göra en teknisk omställning för att i praktiken möjliggöra datadelning. Dels utföra en bedömning om vilken data som är möjlig att tillgängliggöra.  

Viss information är inte aktuell för delning på grund av att den innehåller uppgifter med skyddsintressen. För att information ska delas på ett säkert sätt krävs att lagstiftning hänförlig till bland annat informationssäkerhet, integritetsskydd och Sveriges säkerhet beaktas. Mer specifik kommer delningskravet att begränsas av bland annat NIS-direktivet, dataskyddsförordningen, offentlighet- och sekretesslagen samt säkerhetsskyddslagen. Dessutom kommer immateriell lagstiftning, speciellt upphovsrättslig sådan att begränsa skyldigheten att dela data.  

Verksamheter som redan idag arbetar med eller vill börja arbeta med att dela data behöver ta hänsyn till ovan nämnda lagstiftning. En bedömning av den information som ska delas krävs för att säkerställa säker datadelning som inte innebär otillbörliga risker för den personliga integriteten, allmänna intressen och rikets säkerhet. 

På EU-nivå sker fortsatt stora satsningar kring främjande av digital innovation genom ytterligare lagstiftning. Dataförvaltningsakten (Data Governance Act på engelska) kommer inom en snar framtid och syftar till att komplettera öppna data-direktivet för att ytterligare främja datadelning. Vi kan alltså vänta oss fler aspekter att ta hänsyn till gällande datadelning i framtiden.  

 

Att klassificera och hantera information säkert 

Tomas pratade om de tre delarna i informationsklassningsarbetet – inventera, klassificera och agera - och berättade om metoder och verktyg som tillhandahålls av Myndigheten för samhällsskydd och beredskap, MSB och Sveriges kommuner och regioner, SKR.   

Tomas förklarade att inventeringen syftar till att identifiera och avgränsa den informationsmängd som ska klassas medan själva klassningen handlar om att förstå hur känsliga de olika informationsdelarna är ur de tre aspekterna konfidentialitet, riktighet och tillgänglighet. Här måste arbetsgruppen ha kunskap om legala krav, verksamhetskrav och avtalsförhållanden med anställda, partners och leverantörer så det är viktigt att ha med kompetens från olika delar av organisationen i arbetet sade Tomas.   

När klassningen är genomförd finns det verktyg som kan hjälpa en att ta fram en handlingsplan som syftar till att skapa rätt skyddsnivå för informationen; vi vill inte röja sekretessbelagd information eller förlora tillgången till verksamhetskritiska data, men samtidigt vill vi ju kunna dela data och hålla både driftskostnader och administrativa kontroller på en rimlig nivå, så balansen är viktig poängterade Tomas. 

I sista delen av föredraget visade Tomas exempel på hur en handlingsplan kan se ut då den exporterats ur SKRs stödverktyg KLASSA och pratade lite om hur en kan arbeta vidare med handlingsplanen. Vidare berättade han att KLASSA finns tillgängligt för alla att använda men att kommuner och regioner har åtkomst till en del funktioner som inte finns tillgängliga för övriga användare. 

 

 

Diskussionsfrågor från deltagarna 

1 Vilken är den största svårigheten man kan stöta på vid en informationsklassning? 
Svar: Man skulle kunna vända på detta och istället fråga sig när går det som bäst”? Svaret är att det går som bäst när alla är motiverade och engagerade till att genomföra klassningen. För att det ska ske behöver ledningen förstå och förmedla varför den är viktig, och det är viktigt att även man själv har samma förståelse. Det är också viktigt att man har rätt personer med sig på klassningsmötet – man behöver ofta ha med sig någon som kan IT, kanske någon som kan HR om det exempelvis är ett personalsystem som ska klassas, och så vidare. Då kan man ta eventuella frågor direkt i mötet istället för att behöva ta dem vidare i efterhand, vilket riskerar att göra projektet tungjobbat.  


Vilken är den viktigaste skillnaden i PSI-lagen och den nya lagen kring öppna data?
Svar: I PSI-lagen kan myndigheter vara passiva; man väntar på att få en förfrågan om vidareutnyttjande och ar därefter ställning till om förfrågan kan godkännas. Den nya öppna data-lagen kommer innebära krav på att aktivt tillgängliggöra datan och med det även krav på att hålla koll på de regelverk som begränsar skyldigheten att dela data. Den personliga integriteten hos individer skyddas genom dataskyddsförordningen och ett brott mot dessa regler leder som känt till höga sanktionsavgifter. 

Läs fler av våra blogginlägg

Fler inlägg