Skillnader mellan dataskydd och informationssäkerhet
Data – skydd, det låter ju ganska likt informationssäkerhet, eller hur? Dataskydd. Informationssäkerhet. Det hade nästan lika gärna kunnat heta datasäkerhet och informationsskydd.
Men det finns faktiskt flera viktiga skillnader. När man använder ordet dataskydd brukar man nämligen avse skyddet av personuppgifter. Data avser alltså personuppgifter eller det som på engelska kallas personal data. Mest känt från dataskyddsförordningen GDPR, General Data Protection Regulation.
Det handlar om personuppgifter
OK. Så dataskydd handlar alltså om personuppgifter. Är det informationssäkerhet för personuppgifter som dataskyddsförordningen handlar om? Alltså att personuppgifter hålls konfidentiella och riktiga och tillgängliga? Ja, det är en del av dataskyddsförordningen. Artikel 5.1 f och artikel 32 handlar om det till exempel.
Men GDPR har faktiskt 97 artiklar till så dataskydd eller skydd för personuppgifter har en betydligt bredare innebörd än bara informationssäkerhet för personuppgifter. När man pratar om skydd här så betyder det alltså mer än bara säkerhet. Faktum är att skyddet av personuppgifter är en grundläggande rättighet i EU:s rättighetsstadga.
I artikel 8 i EU:s rättighetsstadga står det till exempel att personuppgifter ska behandlas för bestämda ändamål baserat på en legitim och lagenlig grund och att man har rätt att få tillgång till insamlade personuppgifter. Tittar vi i dataskyddsförordningen så konkretiseras de här rättigheterna.
Rättslig grund och andra krav på dataskydd
Att personuppgifter behandlas med en korrekt tillämpad rättslig grund, till exempel. Det kan ju vara samtycke, fullgörande av avtal med en individ, intresseavvägning med mera. Kan man inte identifiera en rättslig grund som funkar, då är det förbjudet att behandla personuppgifterna. Ett annat krav gäller att personuppgifter bara får samlas in för uttryckligt angivna och berättigade ändamål.
Sedan gäller principer om uppgiftsminimering, lagringsminimering, tydlig och koncis information om behandlingen med mera. De flesta av de här punkterna har inte så mycket att göra med konfidentialitet eller riktighet eller tillgänglighet. Att kunna identifiera en korrekt rättslig grund, det kräver rättslig kompetens.
En rättslig grund handlar inte om att skydda information från obehöriga eller att hålla informationen korrekt eller tillgänglig. Det behöver man också göra, men det kommer därefter. När man väl har en rättslig grund och vet att man kan använda den.
Dataskydd kräver alltså informationssäkerhet. Artikel 32 i GDPR kräver att information hålls säker på en lämplig nivå. Men dataskydd kräver så mycket mer än det. Alltifrån att göra kluriga bedömningar av rättslig grund till att informera individer om personuppgiftsbehandling på ett koncist och begripligt sätt.
Har du frågor om molntjänster och digitalisering?
Vi kan hjälpa din organisation att genomföra digitaliseringsresan på ett lagligt och hållbart sett.