Hej och välkommen till Molnguiden. Jag heter Arman Borghem och är Regulatory and Compliance advisor på Cleura, det europeiska molnet. I det här avsnittet ska vi prata om dataskydd. Det låter ju ganska likt informationssäkerhet, eller hur? Dataskydd. Informationssäkerhet. Det hade nästan lika gärna kunnat heta datasäkerhet och informationsskydd.
Men det finns faktiskt flera viktiga skillnader. När man använder ordet dataskydd brukar man nämligen avse skyddet av personuppgifter. Data avser alltså personuppgifter eller det som på engelska kallas personal data. Mest känt från dataskyddsförordningen GDPR, General Data Protection Regulation.
OK. Så dataskydd handlar alltså om personuppgifter. Är det informationssäkerhet för personuppgifter som dataskyddsförordningen handlar om? Alltså att personuppgifter hålls konfidentiella och riktiga och tillgängliga? Ja, det är en del av dataskyddsförordningen. Artikel 5.1 F och artikel 32 handlar om det till exempel.
Men GDPR har faktiskt 97 artiklar till så dataskydd eller skydd för personuppgifter har en betydligt bredare innebörd än bara informationssäkerhet för personuppgifter. När man pratar om skydd här så betyder det alltså mer än bara säkerhet. Faktum är att skyddet av personuppgifter. Det är en grundläggande rättighet i EUs rättighetsstadga.
I artikel 8 i EUs rättighets stadga står det till exempel att personuppgifter ska hanteras för bestämda ändamål baserat på en legitim och lagenlig grund och att man har rätt att få tillgång till insamlade personuppgifter. Tittar vi i dataskyddsförordningen så konkretiseras de här rättigheterna.
Att personuppgifter behandlas med en korrekt tillämpad rättslig grund, till exempel. Det kan ju vara samtycke, fullgörande av avtal med en individ, intresseavvägning med mera. Kan man inte identifiera en rättslig grund som funkar? Då är det förbjudet att behandla personuppgifterna. Ett annat krav. Det gäller att personuppgifter bara får samlas in för uttryckligt angivna och berättigade ändamål.
Sedan gäller principer om uppgifts minimering, lagrings minimering. Tydlig och koncis information om behandlingen med mera. De flesta av de här punkterna har inte så mycket att göra med konfidentialitet eller riktighet eller tillgänglighet. Att kunna identifiera en korrekt rättslig grund, det kräver rättslig kompetens.
En rättslig grund handlar inte om att skydda information från obehöriga eller att hålla informationen korrekt eller tillgänglig. Det behöver man också göra, men det kommer därefter. När man väl har en rättslig grund och vet att man kan använda den. Dataskydd det kräver alltså informationssäkerhet.
Artikel 32 GDPR kräver att information hålls säker på en lämplig nivå. Men dataskydd kräver så mycket mer än det. Alltifrån att göra kluriga bedömningar av rättslig grund till att informera individer om personuppgiftsbehandling på ett koncist och begripligt sätt.