Logga in

Logga in formulär

Ange ditt användarnamn. Ange ditt lösenord. Glömt ditt lösenord?

Värdet av spårbarhet ur GDPR-synvinkel

dataskydd-vardet-av-sparbarhet-ur-gdpr-synvinkel-huvudbild.jpg

Medan spårbarhet betraktas som en underordnad faktor för informationsklassning inom informationssäkerhetsområdet, är den ett grundläggande värde inom dataskydd. Eftersom många organisationer har både informationssäkerhetsansvariga och dataskyddsombud/GDPR-ansvariga, är det viktigt att dessa kan samverka utifrån sina olika kompetenser både sinsemellan och med organisationens IT-säkerhetsansvariga. I denna analys reder vår expert Jakob Söderbaum ut begreppen, beskriver behovet och förutsättningarna för att jobba med spårbarhet med utgångspunkt i GDPR, och framhåller värdet av spårbarhet i den digitala miljön ur dataskyddssynvinkel.

Viktiga definitioner och distinktioner

Utgångspunkten i denna artikel är behov och krav enligt förordning (EU) 2016/679 (GDPR). Eftersom informationssäkerhet och dataskydd som discipliner har olika infallsvinklar gällande frågan om spårbarhet, föreslås inledningsvis följande definitioner för att hålla isär begreppen på ett relevant sätt.

  • Loggning: Automatisk registrering av händelser i ett IT-system, som sätter en tidsangivelse på händelsen och sparar en historik av händelser.
    Obs! Förekomsten av loggning gör alla händelser och alla relationer mellan händelser sammanhängande med en fysisk person som gett upphov till händelsen i IT-systemet, till personuppgifter (jfr artikel 4.1 GDPR). Eftersom GDPR handlar om att obehöriga inte ska få tillgång till personuppgifter, är loggning samtidigt roten till GDPR-efterlevnad i en digital miljö.
  • Spårning: Kan vara loggning men också att leta upp någonting.
  • Spårbarhet: Förmågan att kunna spåra och kunna analysera informationen från loggar i efterhand för att kunna se en händelsekedja och identifiera mönster för den som har varit inne och påverkat datat.
  • Behov av spårbarhet: Här ett riktvärde på en 4-gradig skala, där 4 är högst, som avgör vilken nivå av och vilka typer av loggning organisationen behöver, givet riskhöjande faktorer som:
    - Känsliga personuppgifter
    - Integritetskänsliga personuppgifter
    - Kvantitet av de ovannämnda

Spårbarhet ur informationssäkerhetssynvinkel

Inom informationssäkerhetsområdet brukar triaden konfidentialitet, riktighet och tillgänglighet användas exempelvis som grund för klassning. Motsvarande begrepp på engelska är ”confidentiality, integrity and availability”, och anses ha sitt ursprung i en publikation 1977 från det amerikanska statliga organet National Institute of Standards and Technology (NIST). Värt att notera är att engelskans ”integrity” alltså översätts till ”riktighet” på svenska – men just detta lämnas utanför den nu föreliggande artikelns fokus. Desto viktigare i detta sammanhang är att ett fjärde kriterium ibland har föreslagits att läggas till denna internationellt välkända triad, nämligen Spårbarhet – på engelska oftast översatt som ”accountability”. Det är dock idag en etablerad uppfattning inom informationssäkerhetsdisciplinen att spårbarhet/accountability är underordnat konfidentialitet och riktighet, och betraktas som en säkerhetsåtgärd snarare än som ett självständigt riktvärde för informationssäkerhet.

Informationssäkerhet vs. dataskydd

Även om personuppgifter är en delmängd inom informationssäkerhet, så kan inte dataskydd utan vidare ses som en underavdelning till informationssäkerhet. Det viktigaste skälet till detta är att ansvaret enligt GDPR är orienterat externt och nedåt gentemot de registrerades friheter och rättigheter, medan ansvaret ur informationssäkerhetssynvinkel är orienterat internt och uppåt utifrån att informationen är en av organisationen disponerad tillgång för organisationens verksamhetssyften. Ansvaret i dessa sammanhang är av olika juridisk art, och ansvarsutkrävandet följer olika utgångspunkter i två olika komplexa ”ekosystem” där olika lagar och regelverk möter olika organisatoriska och tekniska förutsättningar. Och här lägger GDPR både till aspekter och framhåller perspektiv som skiljer sig från traditionellt informationssäkerhetsarbete – exempelvis att de registrerade har rättigheter som den personuppgiftsansvarige är skyldig att tillgodose.

Dataskydd och informationssäkerhet bör alltså snarare ses som två delvis överlappande ringar, där det som ligger inom ramen för överlappningen är personuppgifter – både digitalt och fysiskt registrerade och strukturerade. Här kan för sakens skull också noteras att informationssäkerhet till skillnad från dataskydd enligt GDPR även berör sådan information som inte är automatiserad eller registrerad och strukturerad (jfr artikel 2.1 GDPR).

Ur informationssäkerhetssynvinkel utgör alltså inte spårbarhet/accountability ett fjärde kriterium för säkerhet vid sidan om konfidentialitet, riktighet och tillgänglighet. Ur dataskyddssynvinkel har spårbarhet en huvudsakligen annan betydelse än ”accountability”, nämligen ”traceability” (som också är en etablerad term inom IT. Och det är här det börjar bli vanskligt att framhålla att det svenska ordet spårbarhet – med två möjliga engelska översättningar – kategoriskt ska behandlas i enlighet med en amerikansk bedömning av en amerikansk term i det europeiska sammanhanget.

Spårbarhet ur GDPR-synvinkel har visserligen inte heller någon direkt koppling till konfidentialitet, riktighet och tillgänglighet, utan snarare till personuppgiftsansvaret och kravet på att kunna felsöka och åtgärda upptäckta personuppgiftsincidenter och/eller sårbarheter. Men att informationssäkerhet och dataskydd i denna detalj har en samsyn bygger alltså på olika analyser, och egentligen på olika uttolkningar av det centrala begreppet i sammanhanget som är spårbarhet/traceability (och alltså inte spårbarhet/accountability).

Betydelsen av informationssäkerhets-triaden konfidentialitet, riktighet och tillgänglighet blir därmed följande ur GDPR-synvinkel:

  • Personuppgiftsansvaret behöver ta hänsyn till konfidentialitet i form av känsliga personuppgifter (artikel 9 GDPR) och integritetskänsliga personuppgifter (https://www.imy.se/verksamhet/dataskydd/det-har-galler-enligt-gdpr/introduktion-till-gdpr/personuppgifter/kansliga-personuppgifter/). Obs! att sekretess inom offentlig sektor hör till den senare kategorin.
  • Korrekthet, som är närliggande med informationssäkerhetsbegreppet riktighet, är en av GDPR:s grundläggande principer för en organisations rätt att behandla personuppgifter (artikel 5.1 GDPR).
  • Tillgänglighet ur GDPR-synvinkel utgör en riskfaktor för personuppgifter, eftersom en hög grad av tillgänglighet kan öka risken för obehörigt röjande och/eller obehörig åtkomst. Därför är det även ur GDPR-synvinkel viktigt att ta hänsyn till hur högt riktvärdet för tillgänglighet är.

Återigen, personuppgifter är en delmängd inom informationssäkerhetens ansvarsområde. I och med GDPR lyfts den klassiska informationssäkerhets-triaden konfidentialitet, riktighet och tillgänglighet in i dataskyddssammanhanget – men det sker alltså till en annorlunda juridisk kontext av externt orienterat ansvar. Överlappningen mellan informationssäkerhetsdisciplinen och dataskyddsdisciplinen är alltså inte fullständig heller ifråga om dessa centrala informationssäkerhetsbegrepp.

Spårbarhet ur GDPR-synvinkel

GDPR går ut på att undvika och att förhindra obehörigt röjande av, respektive obehörig åtkomst till, personuppgifter (artikel 32.2 GDPR). För att det överhuvudtaget ska vara möjligt att upptäcka obehörigt röjande eller obehörig åtkomst krävs spårbarhet, i synnerhet i en digital miljö. Den personuppgiftsansvarige behöver kunna spåra vem som har fått tillgång till vad och vad vederbörande då har gjort i händelse av obehörig åtkomst. Upptäcks obehörigt röjande eller tillgång har det skett en personuppgiftsincident (artikel 4.12 GDPR), och den personuppgiftsansvarige är då skyldig att anmäla denna inom 72 timmar till Integritetsskyddsmyndigheten (artikel 33.1 GDPR) med risk för sanktionsavgifter (dataskyddslagen 6 kap. 2 § 2 st).

Ur GDPR-synvinkel finns även ett behov av spårbarhet i digitala miljöer för att ha möjlighet att felsöka och därmed leva upp till kravet på att dokumentera omständigheter kring en upptäckt personuppgiftsincident, inkluderat dess effekter, och att identifiera relevanta korrigerande åtgärder (artikel 33.5 GDPR). Avsaknad av spårbarhet – det vill säga avsaknad av tillräcklig spårning – kan innebära svårigheter att upptäcka vad som har skett, och även medföra ytterligare skada utöver vad som redan har skett. Då kan det vara svårt att se vad som har skett och vem som har gjort någonting, och att identifiera relevanta åtgärder för att begränsa skadan och undvika att samma slags skada inträffar på nytt i framtiden.

Obs! Spårbarhet är mycket lättare att ha i den digitala miljön än i den fysiska (GDPR berör även den fysiska miljön). I den digitala miljön lämnas alltid digitala fotavtryck – frågan är om det går att upptäcka dem, åtminstone i efterhand, och förstå dem tillräckligt väl för att kunna ta sitt ansvar enligt GDPR. Beroende på digniteten av datat i systemet – vilket GDPR påverkar självständigt vid sidan om organisationens egen informationsklassning – ökar behovet av spårbarhet och påverkar också hur omfattande loggning som behövs.

Medan spårbarhet inom informationssäkerhetsdisciplinen ses som en säkerhetsåtgärd, är spårbarhet ur GDPR-synvinkel en förutsättning för att kunna ta ansvar enligt GDPR och för att kunna identifiera och välja lämpliga organisatoriska och tekniska säkerhetsåtgärder. Ur GDPR-synvinkel är det inte en fråga om huruvida man behöver ha spårbarhet/traceability eller inte, som i att det skulle vara en säkerhetsåtgärd, utan om hur pass omfattande spårbarhet som behövs i fråga om obehörig tillgång (obehörigt röjande går exempelvis inte att spåra). Spårbarhet bör därmed ses som ett riktvärde för relevant informationssäkerhet ur dataskyddssynvinkel – alltså i ljuset av att dataskydd sedan GDPR trädde i kraft 2018 är en delvis självständig disciplin vid sidan om informationssäkerhetsdisciplinen. Ur dataskyddssynvinkel är spårbarhet ett lika viktigt riktvärde för en relevant nivå av informationssäkerhet i en organisation som konfidentialitet, riktighet och tillgänglighet.

GDPR återaktualiserar på så vis den numera klassiska frågan om huruvida spårbarhet bör ses som ett självständigt fjärde riktvärde för relevant informationssäkerhet. Frågan har nu fått en nyansering såtillvida att det är spårbarhet i bemärkelsen ”traceability” snarare än ”accountability” som det handlar om. Svaret är idag Ja, åtminstone inom ramen för EU:s jurisdiktion, med nyanseringen att det är behov av spårbarhet som bör ses som det aktuella riktvärdet på svenska med särskilt avseende på risk för integriteten för de personuppgifter som den personuppgiftsansvarige har ett straffsanktionerat ansvar för. I detta är följande faktorer riskhöjande ur GDPR-synvinkel:

  • Känsliga personuppgifter
  • Integritetskänsliga personuppgifter (inklusive sekretessbelagda personuppgifter i offentlig sektor och vissa affärshemligheter i privat sektor)
  • Aktuell kvantitet av de ovannämnda

Det är också av praktiska skäl lämpligt att värderingen av behovet av spårbarhet samordnas med den informationsklassningsmodell som organisationen har för kriterierna konfidentialitet, riktighet och tillgänglighet.

När ska man bry sig om spårbarhet i dataskyddsarbetet?

Behovet av spårbarhet bör bedömas under en risk-, sårbarhets- och/eller konsekvensanalys som alla IT-system genomgår. Detta bör lämpligen ske i samband med informationsklassningen utifrån kriterierna konfidentialitet, riktighet och tillgänglighet, eftersom samma sakkunniga behövs för att göra dessa bedömningar.

Behovet av spårbarhet blir då till ett kvantifierat riktvärde för varje system, som alltså är baserat på känsligheten av den data som förekommer däri. Ett högre riktvärde ökar behovet av organisatoriska och/eller tekniska säkerhetsåtgärder, och det är lämpligt att sätta detta riktvärde i samråd med sakkunniga inom både IT och den berörda verksamheten. Till exempel kan ett högt skattat behov av spårbarhet i ett system med låg allmän IT-säkerhetsnivå innebära behov av att granska loggarna på visst sätt med ökad frekvens som en organisatorisk säkerhetsåtgärd, eller att införskaffa en SOC (Security Operations Centre) som en teknisk säkerhetsåtgärd.

Baserat på den angivna siffran kan också dataskyddsombudet – i den mån organisationen har ett sådant – lättare identifiera och värdera risker, och prioritera sina granskningar på ett så givande sätt som möjligt.

Loggning och GDPR

Personuppgifter är som sagt bara en delmängd av den information som berörs av informationssäkerhetsarbete. Loggning ur informationssäkerhetssynvinkel (och IT-säkerhetssynvinkel) handlar om mycket mer än det som rör personuppgifter. Men den loggning som är av relevans specifikt ur GDPR-synvinkel är ett kontinuerligt insamlande och registrerande av data rörande aktiviteter i IT-systemet, syftandes till att kunna spåra aktiviteter rörande radering, ändring och utläsning av personuppgifter som personuppgiftsbiträdet förfogar över på uppdrag av den personuppgiftsansvarige. För att leva upp till GDPR:s krav på spårbarhet bör den personuppgiftsansvarige således ställa följande krav både på sig själv och på eventuella personuppgiftsbiträden (då lämpligen i personuppgiftsbiträdesavtalets instruktionsbilaga):

  • Loggar som registrerar aktiviteter, avvikelser, fel och andra relevanta händelser bör skapas, bevaras och analyseras.
  • Dessa loggar bör skyddas med adekvat behörighetsstyrning och med backups, och det bör regelbundet säkerställas att tidssynkroniseringen i systemen är korrekt. 

Loggning är förstås i sig en form av personuppgiftsbehandling, och för detta krävs både ändamål (artikel 5.1 b GDPR) och laglig grund (artikel 6). Den personuppgiftsansvariges ändamål med denna personuppgiftsbehandling är att registrera händelser, skapa belägg, säkerställa logginformationens riktighet, förhindra obehörig åtkomst, identifiera informationssäkerhetshändelser som kan leda till en informationssäkerhetsincident och stödja utredningar. Den lagliga grunden för personuppgiftsbehandlingen är rättslig förpliktelse – det bygger på lagkrav enligt GDPR.

Avslutning

Sammanfattningsvis finns det en intressekonflikt mellan dataskydd och informationssäkerhet i fråga om synen på spårbarhet som en grund för organisationens ansvarstagande för information den förfogar över. Ett bakomliggande skäl till detta är att medan informationssäkerhet handlar om ett internt orienterat ansvar för information (all information som organisationen förfogar över), där data betraktas som en tillgång, handlar dataskydd om ett externt orienterat ansvar för information (personuppgifter) inför de registrerade och deras lagstadgade rättigheter.

Lika mycket som det är väl värt att låta dataskyddsarbetet gå hand i hand med informationssäkerhetsarbetet, är det viktigt att känna till denna intressekonflikt. Det är också viktigt att göra skillnad på dataskydd och informationssäkerhet. Det kan annars vara lätt att blanda ihop dataskydd med informationssäkerhet, eller att missta dataskydd för att vara ett arbetsområde underordnat informationssäkerhetsarbetet, just därför att personuppgifter är en delmängd av all information som en organisation förfogar över. Men dataskydd och informationssäkerhet är olika arbetsområden som styrs av olika inre logiker, och de olika sätten att se på spårbarhet är ett tydligt exempel på detta. Detta har blivit särskilt tydligt sedan GDPR trädde i kraft 2018.

GDPR har fört med sig att spårbarhet i EU numera i praktiken har blivit ett lika viktigt kriterium för informationssäkerhet som den klassiska internationella informationssäkerhetstriaden konfidentialitet, riktighet och tillgänglighet. Hanteringen av denna intressekonflikt har direkt bäring såväl på dataskyddsarbetet, informationssäkerhetsarbetet och IT-säkerhetsarbetet var för sig som på samarbetsförutsättningarna dessa funktioner emellan i alla organisationer där dessa funktioner finns. Spårbarhet är också en kostnadsfråga. Av dessa skäl är det väl värt för organisationens högsta ledning att hantera denna fråga strategiskt, och inte bara överlåta det åt sina olika sakkunniga att lösa ut sinsemellan. Frågan är då: Hur vill ledningen att organisationen säkerställer en tillräcklig nivå av spårbarhet/traceability givet identifierade risker och ledningens risktolerans?

Av Jakob Söderbaum, dataskyddsombud, Nacka kommun.
Ursprungligen publicerad i JP ITnet.

Publicerad 12 mar 2024

Jakob Söderbaum

Dataskyddsombud, Nacka kommun

Anmäl dig till vårt nyhetsbrev inom it-rätt:

Se vår integritetspolicy

Upptäck mer

Kurser

Tjänster

Nyheter

Kommissionen har antagit de första genomförandebestämmelserna om cybersäkerhet för kritiska entiteter och nätverk enligt direktivet om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen (NIS2-direktivet).

5 nov 2024

I denna analys går vår expert, Didrik Värmon, igenom vad regelverket innehåller och analyserar dess effekter för EU:s finanssektor.    

5 nov 2024