Vi hjälper er att etablera, driva och övervaka ett systematiskt cybersäkerhetsarbete baserat på er organisations förutsättningar och risker. Våra tjänster inkluderar informationsklassning, riskhantering och implementering av standarder och ramverk för informationssäkerhet såsom ISO 27000-serien, NIST och MSB:s vägledningar. Om ni använder molnbaserade tjänster eller outsourcing kan vi hjälpa er att implementera ett program för säkerhetsuppföljning av tredjepartsleverantörer, ett s.k. Vi tillhandahåller oberoende teknisk säkerhetsgranskning av er cybersäkerhetsnivå. Genom penetrationstester, sårbarhetsskanningar och hot-, risk- och sårbarhetsanalyser ger våra tekniska säkerhetsspecialister er en tydlig bild av aktuellt läge, samt förslag på åtgärder för att hantera riskerna. Vi erbjuder Dataskyddsombud som tjänst genom våra specialiserade jurister. Våra dataskyddsombud tillser att ni efterlever dataskyddsförordningen och genomför t.ex. tillsyn och konsekvensbedömningar, DPIA. Säkerhetsmedvetande hos medarbetarna är en förutsättning för god cybersäkerhet. Våra säkerhetsutbildningar och träningspaket ger era anställda förutsättningar för att upptäcka och hantera säkerhetsincidenter. Våra e-learningtjänster är utformade för olika sektorer såsom vård och omsorg, samhällsviktig verksamhet. Vi använder t.ex. simulerade phishingattacker och kan kartlägga verksamhetens säkerhetsmedvetande på enhetsnivå. Fyll i detta formulär om du är intresserad av att veta mer om våra tjänster. Det går även bra att skicka e-post eller ringa oss för att boka ett möte. Vi återkommer till dig inom kort. Cybersäkerhetstjänster Kontakta oss. Boka ett kostnadsfritt möte med någon av våra experter. Våra konsulter har akademisk examen inom it, datateknik och juridik. De är specialiserade inom cybersäkerhet eller integritetsskydd med certifieringar såsom CISSP, CISA, CISM, CRISC, CDPO och ISO 27001 Lead Implementer. Vi har lång erfarenhet av att arbeta med cybersäkerhet och integritetsskydd på ledningsnivå och använder oss av internationella och nationella standarder och ramverk som grund för vårt arbete. Vårt ledningssystem är certifierat enligt ISO 9001, ISO 27001, ISO 14001 och OHSAS 18001. Fyll i formuläret nedan så återkommer vi till dig inom kort. Vi återkommer till dig inom kort. Secure State Cyber Vår erfarenhet och arbetssätt Några av våra kunder Informations- och cybersäkerhetstjänster sedan 2005. Vill du veta mer om våra tjänster? Vi har erbjudit specialiserade informations- och cybersäkerhetstjänster sedan 2005. Våra kunder finns både i offentlig och privat sektor. Vi erbjuder heltäckande lösningar för informations- och cybersäkerhet. Cyberbloggen 0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Henrik Ottosson Henrik Ottosson Henrik Ottosson Henrik Ottosson Informationssäkerhetsutbildningar och simulerade phishing-attacker utformade för era medarbetare. Vi planerar och genomför simulerade phishing-attacker i kampanjer utformade för er verksamhet. Genom detta kan ni kartlägga verksamhetens säkerhetsmedvetande på enhetsnivå. Våra träningspaket ger era medarbetare förutsättningar för att upptäcka och hantera säkerhetsincidenter. Säkerhetsmedvetande hos medarbetarna är en förutsättning för god cybersäkerhet. Våra säkerhetsutbildningar och träningspaket ger era anställda förutsättningar för att upptäcka och hantera säkerhetsincidenter. Våra e-learningtjänster är utformade för olika sektorer och kan även anpassas till er verksamhet. Vi har flera informationssäkerhetsutbildningar för organisationer verksamma inom vård & omsorg. Detta inkluderar även utbildningar inom nationell säkerhetsinfrastruktur som SITHS och HSA. Vi tillhandahåller flera olika typer av cybersäkerhetsutbildningar anpassade för olika sektorer och målgrupper. Vi erbjuder utbildning i cybersäkerhet till maritima sektorn till verksamma inom maritima sektorn med ansvar för säkerhets- och kvalitetsfrågor. Vår lärplattform för informationssäkerhet kan anpassas för er verksamhet. Så även simulerade phishingattacker för att träna medarbetare. Ta gärna kontakt med oss om du vill veta mer om detta. Vi återkommer till dig inom kort! Utbildning och säkerhetsmedvetande Vi utbildar era medarbetare. Fyll i detta formulär om du är intresserad av att veta mer om våra tjänster. Det går även bra att skicka e-post eller ringa oss för att boka ett möte. Vi återkommer till dig inom kort! Vi utvecklar er informationssäkerhet ur både ett tekniskt och juridiskt perspektiv, eftersom vi vill skapa trygghet för alla i det digitala samhället. Denna policy beskriver de personuppgifter vi samlar in samt hur de används och delas. Vår policy gäller alla Secure States Cybers tjänster och övrig kontakt med Secure State Cyber, såsom besök på webbplats ( ) och epostkommunikation. Vi kommer periodvis att uppdatera denna integritetspolicy. Alla ändringar till denna policy kommer att publiceras på denna sida, och vid viktiga ändringar kommer vi även att meddela detta tydligt på vår hemsida. Även om vi kommer göra vårt bästa för att meddela dig om förändringar i våran integritetspolicy uppmanar vi dig att periodiskt granska denna policy. Secure State Cyber är personuppgiftsansvarig för uppgifterna vi samlar in om dig och behandling som sker för ändamål och medel som bestäms av Secure State Cyber, t.ex. personuppgifter från besökare på vår webbplats och kunders kontaktuppgifter.När vi emellertid behandlar dina personuppgifter för en kunds räkning, t.ex. vid utförandet av våra tjänster, är vi enbart personuppgiftsbiträde. Vid dessa situationer ber vi er att istället kontakta den personuppgiftsansvarige, vanligtvis vår kund. Är ni osäkra på vem som är ansvarig får ni gärna kontakta oss så hjälper vi er att reda ut detta. När du besöker vår webbplats eller för att du ska kunna köpa våra tjänster eller kontakta oss för information eller service samlar vi i vissa fall in personuppgifter om dig, enligt nedan: Vi samlar in och behandlar personuppgifter som du lämnar till oss, t.ex. i samband med att du besöker vår webbplats, köper en viss tjänst, anmäler dig till vårt nyhetsbrev, kontaktar oss eller använder våra digitala kanaler. När du besöker vår hemsida registrerar vi information om din användning. Denna information omfattar vilka sidor du besöker och hur du beter dig på webbplatsen. Denna information kan omfatta operativsystem, webbläsarversion, IP-adresser, cookies och unika identifieringsfiler. Vänligen se vår cookie-policy för mer information. FÖR SECURE STATE CYBERS KUNDER: Vi behandlar dina personuppgifter för att: Uppfylla våra skyldigheter gentemot dig som kund, t.ex. administration, bearbetning och genomförande av inköp, fakturering och tillhandahållande av stöd Följa tillämplig lagstiftning, såsom t.ex. bokföringslagen FÖR DIG SOM PRENUMERERAT PÅ VÅRT NYHETSBREV OCH VISADE INTRESSE GENOM ATT FYLLA I VÅRT ONLINE FORMULÄR: Secure State Cyber behandlar dina personuppgifter för att: Kunna kommunicera med dig om erbjudanden, inbjudningar till events, och riktad marknadsföring av Secure State Cybers tjänster FÖR BESÖKARE PÅ VÅR HEMSIDA: Secure State Cyber behandlar dina personuppgifter för att: Analysera hur du beter sig på vår hemsida för att göra förbättringar i relation till användarupplevelse och användarvänlighet. Analysera vilka av våra sidor och tjänster som är mest intressanta för besökare. Vår behandling av dina personuppgifter görs utifrån följande lagliga grunder: FÖR SECURE STATE CYBERS KUNDER: Avtal och rättslig förpliktelse – För att uppfylla våra avtalsenliga och juridiska skyldigheter FÖR DIG SOM PRENUMERERAT PÅ VÅRT NYHETSBREV OCH VISADE INTRESSE GENOM ATT FYLLA I VÅRT ONLINE FORMULÄR: Samtycke – Som du lämnar vid anmälan till vår epostprenumeration FÖR BESÖKARE PÅ VÅR HEMSIDA: Samtycke – För icke nödvändig behandling, såsom statistik Intresseavvägning – För behandling som är nödvändig för att vi ska kunna tillhandahålla en snabb och användarvänlig hemsida eller för att du ska kunna besöka den IT-LEVERANTÖRER För att tekniskt kunna behandla dina personuppgifter kan de komma att överföras till de IT-leverantörer som tillhandahåller våra plattformar/CRM-system. I dessa fall har vi genom personuppgiftsbiträdesavtal ställt krav på leverantören för att försäkra oss om att de hanterar uppgifterna på ett bra och säkert sätt. TREDJE LAND Skulle dina personuppgifter hanteras utanför EU/EES-området (tredje land) så berättar vi det för dig i samband med relevanta processer. Hanteringen sker i så fall i enlighet med de skyddsregler som finns i dataskyddslagstiftningen. I dagsläget sker ingen sådan överföring. Vi sparar dina personuppgifter så länge det finns ett syfte med hanteringen. När detta syfte eller ändamål inte längre finns, till exempel om ett avtal inte längre gäller eller ärendet är färdigbehandlat, kommer dina personuppgifter att hanteras enligt de lagregler som gäller för arkivering och för att kunna bemöta eventuella rättstvister.Gällande marknadsföring, lagrar vi uppgifter om våra kunder i högst 24 månader efter att kunden fullgjort ett inköp eller på annat sätt interagerat med Secure State Cyber. Därefter raderas uppgifterna från systemet. Antingen på din uppmaning eller på eget initiativ kan Secure State Cyber korrigera, anonymisera, radera eller komplettera personuppgifter som är felaktiga, ofullständiga eller vilseledande. Du har rätt att återkalla ditt samtycke till behandling av personuppgifter när som helst, med omedelbar verkan och utan kostnad. Du kan göra detta genom att kontakta Secure State Cyber. Om du inte vill att Secure State Cyber ska behandla dina personuppgifter för direktmarknadsföring har du rätt att invända genom att kontakta oss. När vi mottar din invändning, upphör vi att behandla dina personuppgifter för marknadsföring. Du har även rätt att invända mot vår behandling av dina personuppgifter som baserats på en intresseavvägning. I sådana fall kommer Secure State Cyber endast att fortsätta behandlingen om det finns berättigade intressen som skulle väga tyngre än dina intressen. RÄTTIGHETER HOS SECURE STATE CYBER Du har rätt att begära: Tillgång till dina personuppgifter, till exempel registerutdrag eller kopior av dina personuppgifter Korrigering av dina personuppgifter på din förfrågan Radering av dina personuppgifter, om fortsatt behandling inte längre är nödvändig i relation till syftet för vilka de samlades in. Detta förutsatt att det inte finns lagkrav som hindrar oss från omedelbart radera dina personuppgifter i enlighet med, till exempel, bokförings- och skattelagstiftning Begränsningar av behandling om du tror att personuppgifterna är felaktiga och du har begärt en korrigering Utdrag och överföring av dina personuppgifter via ett strukturerat, allmänt använt och maskinläsbart format till en annan personuppgiftsansvarig, under vissa förutsättningar Du har rätt att lämna in klagomål angående våra personuppgiftsbehandlingar till Datainspektionen ( ). Vi kommer periodvis att uppdatera denna integritetspolicy. Alla ändringar till denna policy kommer att publiceras på denna sida, och vid viktiga ändringar kommer vi även att meddela detta tydligt på vår hemsida. Även om vi kommer göra vårt bästa för att meddela dig om förändringar i våran integritetspolicy uppmanar vi dig att periodiskt granska denna policy. Se vår Integritetspolicy Personuppgiftsansvarig Personuppgiftsinsamling UPPGIFTER SOM DU SJÄLV LÄMNAR TILL OSS UPPGIFTER SOM SAMLAS IN NÄR DU BESÖKER VÅR HEMSIDA Personuppgiftanvändning Personuppgiftsdelning Sparade uppgifter Hantering och radering Policyförändring Cookies Secure State Cyber Vi planerar och genomför simulerade phishing-attacker i kampanjer utformade för er verksamhet. Genom detta kan ni kartlägga verksamhetens säkerhetsmedvetande på enhetsnivå. Våra träningspaket ger era medarbetare förutsättningar för att upptäcka och hantera säkerhetsincidenter. Ett ransomware-angrepp kan få till följd att hela eller delar av en verksamhets it-system med dess information blir krypterad och inte tillgänglig för medarbetarna. I många fall stjäls även information och sedan hotar angriparna med att publicera den känsliga informationen om inte en lösensumma betalas. För att skydda sig mot dessa typer av attacker behöver organisationer se till att arbeta med förebyggande åtgärder som systematiskt informationssäkerhetsarbete, säkerhetskopiering av information och möjlighet att återställa it-miljön snabbt i händelse av en attack. Sist men inte minst behöver medarbetarna övas så att de höjer sitt säkerhetsmedvetande. Läs mer om MSB:s varning på följande . Läs mer om vår digitala träning av medarbetare för att minska risken för att drabbas av ransomware vid en phishingattack . Ökat hot från Ransomware-aktörer Ny lag om tystnadsplikt vid IT-outsourcing Cyberspionage mot svenska företag MSB varnar aktörer inom svensk hälso- och sjukvård Sjukvården i USA har den senaste tiden blivit utsatt för större hot från ransomware-aktörer och nu varnar den svenska myndigheten för samhällsskydd och beredskap (MSB) om ökade hot mot svensk hälso- och sjukvård. Publicerad den mars 25, 2020 Hur kan du säkra företaget och dess medarbetare när många arbetar hemifrån? Läs våra råd! Arbeta säkert hemifrån Cyber-säkerhet i ett styrelse-perspektiv - Introduktion Katalogtjänst HSA är en elektronisk katalog som innehåller kvalitetsgranskade uppgifter om personer och verksamheter inom svensk vård och omsorg. HSA används som underlag för säkerhetslösningar inom vård och omsorg. Vi tillhandahåller grundutbildning och fördjupningsutbildning för HSA-ansvariga, HSA-administratörer m.fl. som behöver ha kunskap om HSA Katalogtjänst. Identifieringstjänst SITHS är en säkerhetslösning inom vård och omsorg för utfärdande och användning av e-legitimationer för anställda. SITHS gör det möjligt för användare att identifiera sig med stark autentisering vid inloggning i e-tjänster. Vi tillhandahåller utbildning för SITHS-ansvariga, Säkerhetsansvariga och id-administratörer m.fl. som behöver ha kunskap om Identifieringstjänst SITHS. Vi tillhandahåller en lärplattform för organisationer anslutna till SITHS och HSA där ansvarig och administratörer får kontinuerlig tillgång till uppdaterade utbildningar. Informationssäkerhetsutbildningar för Vård och omsorg Sweden Canada HSA-utbildning SITHS-utbildning Lärplattform SITHS och HSA Har er organisation behov av en flexibel lösning för utbildning inom SITHS och HSA? Vår lärplattform ger möjlighet till online-åtkomst till våra utbildningar inom SITHS och HSA för id-administratörer, katalogadministratörer och ansvariga inom SITHS och HSA. Vi erbjuder både grundläggande utbildningar och påbyggnadsutbildningar inom områdena. Kurserna är tillgängliga dygnet runt och uppdateras löpande när regelverk och annat förändras. Det finns även möjlighet att göra utbildningarna anpassade till er organisations administrativa rutiner om så önskas. Kurserna utförs online när deltagaren själv vill. Kurserna är indelade i olika delområden och deltagaren tar vid där man slutade om man väljer att göra kursmomenten uppdelat. Till kurserna finns möjlighet för ansvariga att koppla kunskapstest och följa hur organisationen ligger till gällande utbildningsnivå. Lärplattform för SITHS och HSA Våra HSA-utbildningar vänder sig till dig som arbetar med eller, vill veta mer om Katalogtjänst HSA som används inom svensk vård och omsorg som identitetshantering av medarbetare och underlag för säkerhetslösningar och behörighetsstyrning. Vi har tre HSA-utbildningar: – en grundläggande utbildning kring hur HSA fungerar. – en tilläggsutbildning till HSA Grundutbildning som riktar sig till HSA-administratörer som behöver lära sig hur HSA Admin-verktyget fungerar. – en utbildning som ger dig djupgående kunskaper kring HSA med fokus på behörighetshantering enligt patientdatalagen, vårdgivare och vårdenheter, hanteringen av legitimationer för legitimerade yrkesgrupper och personal med skyddade personuppgifter. Kommande kursdatum hittar du nedan. Vi erbjuder även denna utbildning i vår Lärplattform för SITHS och HSA, för mer information om det vänligen kontakta . HSA Grundutbildning 4 februari onlinekurs, 23 mars onlinekurs, 4 maj onlinekurs, HSA Adminutbildning 10 februari onlinekurs, 24 mars onlinekurs, 5 maj onlinekurs, Om inget av ovanstående tillfällen passar, eller om ni har speciella önskemål runt utbildningen, kontakta gärna oss genom att skicka meddelande till . VÅRD OCH OMSORG - HSA HSA Grundutbildning HSA Adminutbildning HSA Fördjupningsutbildning Sweden Canada Kommande utbildningar: Våra SITHS-utbildningar vänder sig till vård och omsorgssektorn och dig som är SITHS Ansvarig Utgivare, Säkerhetsansvarig eller Id-kortsadministratör i en SITHS-ansluten organisation samt till dig som vill veta mer om SITHS säkerhetsinfrastruktur. Vi tillhandahåller följande utbildningar inom SITHS-området: denna utbildningen riktar sig till dig som ansvarar för SITHS-frågor, säkerhetsansvariga samt id-kortsadministratörer. Kommande kurstillfällen samt anmälning hittar du nedan. Vi kan även tillhandahålla denna utbildning inom ramen för lärplattform SITHS och HSA, för mer information om vår lärplattform vänligen kontakta SITHS-utbildning: 25 mars, onlinekurs, 6 maj, onlinekurs, Om inget av ovanstående tillfällen passar, eller om ni har speciella önskemål runt utbildningen, kontakta gärna oss genom att skicka meddelande till . Kommande utbildningar Secure State Cyber Cybersäkerhetsutbildning för ledningen Cybersäkerhetsutbildning för samhällskritisk verksamhet Simulerade phishing-kampanjer Cybersäkerhetsutbildningar Sweden Canada Att säkra verksamhetens tillgångar och skapa tillit hos kunder och partners är avgörande för affärerna. Cybersäkerhet och integritetsskydd är en ledningsfråga. Denna cybersäkerhetsutbildning riktar sig till personer i ledande befattning, till exempel ledningsgrupper och styrelsemedlemmar. Utbildningen fokuserar på planering, styrning och riskuppföljning inom organisationen, för att kontrollera risknivå och säkra verksamhetens kontinuitet. Cybersäkerhetsutbildning för ledningen Det finns genom GDPR ett starkt skydd för personuppgifter i EU. Eftersom detta skydd endast gäller inom EU finns det en grundregel om att personuppgifter inte får överföras till ett land som inte har samma, eller likvärdiga, skyddsregler. Sådana länder kallas för och det är som huvudregler förbjudet att överföra personuppgifter dit. Huvudregeln har ett antal undantag. Det mest använda undantaget är handelsavtalet mellan USA och EU som kallas Privacy Shield, som är en självcertifieringsmöjlighet för amerikanska bolag att visa att de genom egna rutiner och processer skyddar personuppgifter på ett likvärdigt sätt. Det finns även möjlighet att ingå EU-kommissionens standardavtalsklausuler mellan två parter där parterna genom avtalet garanterar att de genom egna rutiner och processer ska skydda personuppgifterna. Den österrikiske juristen och integritetsaktivisten Max Schrems gjorde i det s.k. Schrems II-målet gällande att Facebook var skyldig att ställa överförda personuppgifter till amerikanska myndigheters förfogande, såsom National Security Agency (NSA). Dessa uppgifter användes sedan inom ramen för olika övervakningsprogram på ett sätt som var oförenligt med rätten till privatliv, dataskydd och rätten till effektiva rättsmedel vid en domstol vilket i praktiken, menade Schrems, innebar att skyddet som Privacy Shield och kommissionens standardvillkor var verkningslösa. För att göra en lång historia kort: EU-domstolen valde att ogiltigförklara Privacy Shield. Sedan den 16 juli 2020 kan med andra ord Privacy Shield inte längre användas som en skyddsmekanism för överföring till USA. Vi fick också närmare vägledning om användningen av standardavtalsklausulerna, vilket är i fokus för denna artikel. I praktiken påverkar Schrems II-domen betydligt fler scenarion än överföring av personuppgifter till USA. Till exempel finns det viktiga världsekonomier som har ett ännu sämre lagskydd för personlig integritet än USA – under vilka förutsättningar kan uppgifter överföras till Kina? Först är det dock nödvändigt att närmare klargöra vad som avses med av personuppgifter till ett tredje land, eftersom det är överföring som standardavtalsklausulerna omfattar. Med överföring avses inte endast att personuppgifter fysiskt lagras på en server i ett tredje land. Andra former av överföring är om en användare i ett tredje land har behörig åtkomst till personuppgifter från EU/EES. En HR-medarbetare som mejlar en mottagare i USA med uppgifter om anställda i ett europeiskt koncernbolag överför personuppgifter till USA. En medarbetare på affärsresa i Kina som loggar in på ett system och därigenom får åtkomst till uppgifter om europeiska kunder överför personuppgifter till Kina. Överföring av personuppgifter kan med andra ord ske i många olika former. EU-domstolen prövade i Schrems II om standardavtalsklausulerna som kommissionen har antagit är korrekta. EU-domstolens svar var att standardavtalsklausulerna kan användas, men den personuppgiftsansvarige kan inte enbart luta sig mot dessa. Klausulerna måste fallet ge en skyddsnivå som ger en för registrerade som den som finns i EU på grundval av GPDR. De krav som ställs på organisationer som vill överföra personuppgifter till USA är därför långtgående. EU-domstolen tar även tillfället i akt att påminna om att Datainspektionen och andra europeiska tillsynsmyndigheter är skyldiga att avbryta eller förbjuda en överföring av personuppgifter till ett tredjeland om den, mot bakgrund av samtliga omständigheter i samband med överföring, anser att de standardavtalsklausulerna inte iakttas eller inte kan iakttas i det tredjelandet. Standardavtalsklausulerna utgör i praktiken den primära skyddsmekanismen för överföring av personuppgifter under en överskådlig framtid. Det är därför nödvändigt att hitta en lösning på när och hur standardavtalsklausulerna kan användas. Därför presenterar vi här hur på Secure State Cyber arbetar med dessa bedömningar inom ramen för vår rådgivning. Inledningsvis har den personuppgiftsansvarige en ansvarsskyldighet, d.v.s. en skyldighet enlig lag att kunna visa för en tillsynsmyndighet att de grundläggande principerna för behandling av personuppgifter efterlevs. Det första steget bör därför vara att kartlägga befintlig och planerad tredjelandsöverföring, till vilka tredjeländer personuppgifter överförs samt vilka skyddsmekanismer som kan tillämpas. Vid kartläggningen är det viktigt att komma ihåg att överföring även innefattar behörig åtkomst av personuppgifter (se avsnitten Vad är en överföring, ovan). Denna kartläggning ska dokumenteras i organisationens registerförteckning. En registerförteckning är, som namnet antyder, en förteckning över den behandling av personuppgifter som sker under organisationens ansvar. Denna registerförteckning ska kunna visas för Datainspektionen på begäran och bör utgöra grunden för bedömningar om standardavtalsklausuler kan och bör användas. Vi rekommenderar att ni kontaktar mottagare av personuppgifter i tredje land – särskilt USA – för att höra hur de ställer sig till det ändrade rättsläget efter Schrems II. Mottagare kan vara tjänsteleverantörer, personuppgiftsbiträden (som behandlar personuppgifter på ert uppdrag) men även kunder och samarbetspartners. Ställ förhållandevis öppna frågor av karaktären ”vad innebär det för er att Privacy Shield blivit ogiltigförklarad?” I detta steget bör ni inte teckna några avtal, särskilt inte utan att konsultera sakkunniga. Syftet är att inhämta information som är värdefullt för kartläggning och andra bedömningar. När en organisation har kartlagt vilka överföringar som sker är det nödvändigt att utvärdera överföringarna eftersom, som EU-domstolen konstaterar, det är nödvändigt att göra en bedömning . Det är nödvändigt att besvara frågor som (1) för vilket eller vilka ändamål överförs personuppgifterna, (2) ska personuppgifterna vidareöverföras till andra tredjeländer, (3) vilka personuppgifter överförs, och (4) vad är mängden personuppgifter som överförs? Det kommer vara svårare att motivera en storskalig överföring av känsliga personuppgifter (som t.ex. omfattas av sekretess enligt offentlighets- och sekretesslagen) än småskalig överföring i enstaka fall av uppgifter som inte är av känslig art. Mot denna bakgrund bör den personuppgiftsansvarige göra en analys om mottagarlandets lagstiftning. Hur långtgående och detaljerad denna analys behöver vara behöver bedömas i förhållande till den aktuella överföringen. Vid en storskalig överföring till en molntjänst kan det till exempel vara lämpligt att ta hänsyn om molntjänsteleverantören har en skyldighet att lämna ut data till rättsvårdande myndigheter, rättssäkerhetsgarantier för enskilda personer vid en sådan begäran (som möjligheten att överklaga en begäran) samt det mandat som mottagarlandets tillsynsmyndigheter har. Parallellt med bedömningen om personuppgifter ska få överföras till ett tredje land och på grundval av standardavtalsklausuler eller en annan skyddsmekanism är det också nödvändigt att bedöma vilka som är lämpliga för att skydda personuppgifter. Om personuppgifter som planeras överföras endast ska tekniskt bearbetas genom lagring och säkerhetskopiering kan kryptering av data medföra en minskad risk för att den personliga integriteten äventyras. Om mottagaren i ett tredje land däremot ska kunna läsa eller ta del av den lagrade data är kryptering en mindre lämplig skyddsåtgärd. Vad som är en lämplig nivå av säkerhetsåtgärder behöver bedömas utifrån den aktuella överföringen. Det är inget uttryckligt krav men vi rekommenderar att den personuppgiftsansvarige samråder med dataskyddsombudet och ber om dennes rekommendation om standardavtalsklausuler är en lämplig skyddsmekanism för den aktuella överföringen. Vid en tillsyn av Datainspektionen bör det vara till den personuppgiftsansvariges fördel att dataskyddsombudet konsulterats och att detta dokumenteras. Efter dataskyddsombudets rekommendation är det lämpligt att fatta beslut om den aktuella överföringen ska ske, och om standardavtalsklausuler är en lämplig skyddsmekanism. Avslutningsvis har den personuppgiftsansvarige en informationsskyldighet där registrerade personer ska informeras om att personuppgifter avses överföras till ett tredje land. Denna information ska inkludera vilket det aktuella tredjelandet är, om ett beslut från EU-kommissionen om adekvat skyddsnivå finns eller saknas, samt vilken skyddsmekanism som används och hur den registrerade personen kan ta del av en kopia av skyddsmekanismen. Om standardavtalsklausuler används har den registrerade personen med andra ord en principiell rättighet att ta den av en kopia en de standardavtalsklausuler som tecknats. All denna information ska enligt GDPR tillhandahållas överföringen av personuppgifter sker, med ett språk som är klart och tydligt för den avsedda målgruppen. Den bedömning som behöver göras innan standardavtalsklausuler kan tecknas är mycket komplex. Därför är det viktigt att ha en tydlig arbetsmetod som bedömningarna görs utifrån. Det ger även organisationen möjlighet att prioritera arbetet utifrån de överföringar som är förknippade med en högre risk. Sist men inte minst bör denna bedömning dokumenteras steg för steg för att möjliggöra en granskning. Det är en sak att ha rätt och en annan sak att få rätt, i kontexten GDPR måste den personuppgiftsansvarige alltid komma ihåg att denne ska kunna visa efterlevnad. 2020-09-07 Secure State Cyber AB Bestämmelserna omfattar även överföring till internationella organisationer, det är dock inget som utvecklas närmare i denna artikel. Artikel 7, 8 och 47 Rättighetsstadgan. EU-domstolen har utvecklat vad som avses med överföring i mål C-101/01 . En guide till möjligheten att använda standardavtalsklausuler för att överföra data till USA och andra länder utanför EU Bakgrund – Schrems II-målet Vad är en överföring? Standardavtalsklausulerna Hur kan standardavtalsklausuler användas? Standardavtalsklausuler för överföring av data till tredjeland Cyberspionage mot svenska företag MSB varnar för phishing-attacker med COVID-19-skepnad EU-domstolens dom i det s.k. Schrems II-målet slog ned som en bomb mitt i industrisemestern och kapade i ett slag handelsavtalet Privacy Shield som utgjorde den juridiska grunden i det transatlantiska dataflödet. Kvar står EU-kommissionens s.k. standardavtalsklausuler som det primära juridiska verktyget för överföring av data till USA, men också överföring till resten av världen. EU-domstolens dom väckte dock fler frågor än vad domen besvarade om hur standardavtalsklausulerna kan användas. I denna artikel vill juristteamet på Secure State Cyber ge en sammanfattning på den metod vi använder oss av i vår rådgivning. tredje land överföring i det enskilda väsentligen likvärdig skyddsnivå eller ett annat tredje land Steg 1: kartlägga befintlig och planerad tredjelandsöverföring Steg 2: kontakta mottagare i tredje land, särskilt USA Steg 3: bedöm den aktuella överföringen i det enskilda fallet Steg 4: analys av mottagarlandet Steg 5: säkerhetsåtgärder tekniska och organisatoriska säkerhetsåtgärder Steg 6: samråd med dataskyddsombudet och beslut Steg 7: informera de registrerade innan Facebook Ireland v. Schrems Konfirmandlärarmålet Cyberbloggen En kaka (eller cookie) är en liten textfil som Secure State Cybers webbplats begär att få spara på din dator för att bättre kunna ge dig som besökare tillgång till olika funktioner och tjänster. Det finns två olika typer av kakor. Den ena typen har ett utgångsdatum och sparas därför under en längre tid på din dator. Dessa kakor används t.ex för statistisk och analys av trafiken på en webbplats. När utgångsdatumet har passerat, raderas kakan automatiskt. Den andra typen av kakor saknar utgångsdatum och kallas istället för sessions-kakor. Sessions-kakor används huvudsakligen för att underlätta ditt surfande och raderas direkt när du stänger din webbläsare. För mer information om kakor och hur de fungerar, vänligen besök PTSs (Post- och telestyrelsen) om kakor. Alla som besöker en webbplats som använder kakor måste enligt lagen om elektronisk kommunikation få information om att webplatsen innehåller kakor, vad de används till och hur man kan välja bort dem. Secure State Cyber strävar efter att använda så få kakor som möjligt på sin webbplats, men för att kunna tillhandahålla, säkra och förbättra webbplatsen och dess funktioner används följande kakor: Dessa cookies är funktionella eller strikt nödvändiga för att webbplatsen ska fungera och kan inte stängas av i våra system. De används vanligtvis endast som svar på åtgärder som du har gjort i anslutning till en tjänstebegäran, till exempel när du ställer in personliga preferenser, loggar in eller fyller i ett formulär. Du kan ställa in så att din webbläsare blockerar eller varnar dig om dessa cookies, men vissa delar av webbplatsen fungerar då inte. Cookies som används Crumb (Session) siteUserCrumb (3 år) RecentRedirect (30 min) Locked (Session) ss_sd (Session) Test (Session) AWSALB, AWSALBCORS (1 veckq) PSPSESSID (1 månad) Dessa cookies tillåter oss att räkna antal besök och trafikkällor så att vi kan mäta och förbättra vår webbplatsprestanda. De hjälper oss att veta vilka sidor som är mer eller mindre populära och hur besökare navigerar runt på webbplatsen. Informationen som dessa cookies samlar in är aggregerad och därför helt anonym. Om du inte tillåter dessa cookies vet vi inte när du har besökt vår webbplats. Cookies som används ss_cid (2 år) ss_cvr (2 år) ss_cvisit (30 min) ss_cvt (30 min) ss_cpvisit (2 år) ss_cookieAllowed (30 dagar) De flesta webbläsare accepterar kakor automatiskt. Om du som besökare vill bli varnad varje gång vår webbplats försöker sätta en kaka på din dator eller om du inte accepterar att kakor lagras på din dator, kan du ställa in detta via din webbläsares säkerhetsinställningar. Exempelvis kan du i Microsoft Edge blockera eller radera kakor genom att klicka Inställningar > Avancerade inställningar > Sekretess och tjänster > Cookies För mer information om hur du ändrar inställningarna i din webbläsare, vänligen kontakta din webbläsares supportsida eller följ länkar nedan. Så här använder Secure State Cyber cookies Funktionella och nödvändiga cookies Analys och prestanda-cookies BLOCKERA OCH STÄNG AV ALLA KAKOR Secure State Cyber En kaka (eller cookie) är en liten textfil som Secure State Cybers webbplats begär att få spara på din dator för att bättre kunna ge dig som besökare tillgång till olika funktioner och tjänster. Det finns två olika typer av kakor. Den ena typen har ett utgångsdatum och sparas därför under en längre tid på din dator. Dessa kakor används t.ex för statistisk och analys av trafiken på en webbplats. När utgångsdatumet har passerat, raderas kakan automatiskt. Den andra typen av kakor saknar utgångsdatum och kallas istället för sessions-kakor. Sessions-kakor används huvudsakligen för att underlätta ditt surfande och raderas direkt när du stänger din webbläsare. För mer information om kakor och hur de fungerar, vänligen besök PTSs (Post- och telestyrelsen) om kakor. Alla som besöker en webbplats som använder kakor måste enligt lagen om elektronisk kommunikation få information om att webplatsen innehåller kakor, vad de används till och hur man kan välja bort dem. Secure State Cyber strävar efter att använda så få kakor som möjligt på sin webbplats, men för att kunna tillhandahålla, säkra och förbättra webbplatsen och dess funktioner används följande kakor: Dessa cookies är funktionella eller strikt nödvändiga för att webbplatsen ska fungera och kan inte stängas av i våra system. De används vanligtvis endast som svar på åtgärder som du har gjort i anslutning till en tjänstebegäran, till exempel när du ställer in personliga preferenser, loggar in eller fyller i ett formulär. Du kan ställa in så att din webbläsare blockerar eller varnar dig om dessa cookies, men vissa delar av webbplatsen fungerar då inte. Cookies som används Crumb (Session) siteUserCrumb (3 år) RecentRedirect (30 min) Locked (Session) ss_sd (Session) Test (Session) AWSALB, AWSALBCORS (1 veckq) PSPSESSID (1 månad) Dessa cookies tillåter oss att räkna antal besök och trafikkällor så att vi kan mäta och förbättra vår webbplatsprestanda. De hjälper oss att veta vilka sidor som är mer eller mindre populära och hur besökare navigerar runt på webbplatsen. Informationen som dessa cookies samlar in är aggregerad och därför helt anonym. Om du inte tillåter dessa cookies vet vi inte när du har besökt vår webbplats. Cookies som används ss_cid (2 år) ss_cvr (2 år) ss_cvisit (30 min) ss_cvt (30 min) ss_cpvisit (2 år) ss_cookieAllowed (30 dagar) De flesta webbläsare accepterar kakor automatiskt. Om du som besökare vill bli varnad varje gång vår webbplats försöker sätta en kaka på din dator eller om du inte accepterar att kakor lagras på din dator, kan du ställa in detta via din webbläsares säkerhetsinställningar. Exempelvis kan du i Microsoft Edge blockera eller radera kakor genom att klicka Inställningar > Avancerade inställningar > Sekretess och tjänster > Cookies För mer information om hur du ändrar inställningarna i din webbläsare, vänligen kontakta din webbläsares supportsida eller följ länkar nedan. Så här använder Secure State Cyber cookies Funktionella och nödvändiga cookies Analys och prestanda-cookies BLOCKERA OCH STÄNG AV ALLA KAKOR Secure State Cyber Denna utbildning innefattar både grundläggande cybersäkerhet och aktuell lagstiftning som gäller för samhällskritisk verksamhet. Utbildningen omfattar genomgång av gällande lagstiftning såsom dataskyddsförordningen (GDPR), NIS och säkerhetsskyddslagen samt detaljerade beskrivningar av vägledningar och rekommendationer för att åstadkomma effektiv informationssäkerhetsstyrning i verksamheten. Utbildningen riktar sig till säkerhetschefer, säkerhetsskyddschefer, inköpare, och andra beslutsfattare inom samhällsviktig verksamhet. Cyberssäkerhetsutbildning för samhällskritisk verksamhet Sweden Canada Cyberbloggen Under 2021 införs nya internationella regler kring cybersäkerhet för maritima sektorn. Denna utbildning går igenom de nya kraven utifrån IMO:s regelverk och vägledningar. Utbildningen riktar sig till verksamma inom maritima sektorn med ansvar för säkerhets- och kvalitetsfrågor. Cybersäkerhetsutbildning för maritima sektorn Sweden Canada Cyberbloggen 0 Current Page: Open Menu Close Menu Current Page: Open Menu Close Menu Current Page: Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Ulrika Nilsson Cyberbloggen Svenska säkerhetspolisen anser att svenska företag behöver öka sitt skydd mot cybersäkerhet. Årligen försvinner miljarder på grund av cyberspionage. Det är viktigt att svenska företag förstår vikten av att skydda sig mot detta. Läs mer . Cyberspionage mot svenska företag Ökat hot från Ransomware-aktörer Standardavtalsklausuler för överföring av data till tredjeland Säpo varnar för att miljarder går förlorade årligen. Cyberbloggen Säkerhetsmedvetande hos medarbetarna är en förutsättning för god cybersäkerhet. Våra säkerhetsutbildningar och träningspaket ger era anställda förutsättningar för att upptäcka och hantera säkerhetsincidenter. Våra e-learningtjänster är utformade för olika sektorer och kan även anpassas till er verksamhet. E-learning utformad för er verksamhet Sweden Canada [1] Det finns i grund och botten två lösningar på detta problem: (1) klargöra (genom lag eller domstolspraxis) hur ett röjande av information sker eller, (2) skapa en möjlighet för myndigheter att under vissa förutsättningar få röja information till tjänsteleverantörer. Skapas en sådan regel är det ju nämligen ointressant att reda ut gråzonen för röjandet. Genom den nya lagen om tystnadsplikt för tjänsteleverantörer vid IT-outsourcing [2] som trädde i kraft den 1 januari 2021 tar riksdagen sikte på att skapa en möjlighet att röja information för tjänsteleverantörer. Frågan är dock om den nya lagen innebär ett elegant alexanderhugg eller blott ett magert stick. Lagen gäller när en myndighet (samt vissa privata aktörer som erhåller offentlig finansiering) uppdrar åt en tjänsteleverantör att . Med andra ord omfattas inte all outsourcing utan endast outsourcing som består i att tekniskt bearbeta eller lagra information. Begreppen teknisk lagring och teknisk bearbetning är hämtade från den svenska grundlagen tryckfrihetsförordningen. Trotts detta är innebörden allt annat än glasklart. Enligt regeringens proposition behöver begreppen tolkas i förhållande till dagens digitala informationshantering och den fortgående tekniska utvecklingen. En tjänsteleverantör kan exempelvis ha fått i uppdrag att införa, förvalta, utveckla och så småningom avveckla en tjänst åt en myndighet. Några exempel på vad som utgöra teknisk lagring och teknisk bearbetning är: Åtgärder som vidtas för att upprätthålla den tillgänglighet, funktionalitet och prestanda i den avtalade tjänsten. Förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. Säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Migrering av information vid avveckling av tjänst. Enligt propositionen ska en upphandlande myndighet informera anlitade tjänsteleverantörer om vilka tjänster som omfattas av tystnadsplikt. Någon sådan förpliktelse ges dock inte genom lagen. En tjänsteleverantör bör därför alltid göra en egen juridisk bedömning för att utreda vilka tjänster som omfattas av den nya lagen och förankra detta med berörda kunder, om nödvändigt genom avtal för att undvika olyckliga missförstånd mellan parterna. En straffsanktionerad tystnadsplikt innebär att det innebär ett brott att bryta mot tystnadsplikten och avslöja en uppgift som är hemlig, d.v.s. information som tjänsteleverantören hanterar åt en myndighet. Därmed kan en person dömas av en domstol för brottet med en straffskala på böter eller fängelse i max ett år. Det krävs inte att gärningen begås uppsåtligen utan brottet kan även begås av oaktsamhet (d.v.s. vårdslöshet eller slarv). En straffsanktionerad tystnadsplikt kan jämföras med tystnadsplikt enligt avtal. Tystnadsplikt enligt avtal är mycket vanlig (t.ex. i ett anställningsförhållande) men det innebär inte något brottsligt att bryta mot tystnadsplikt enligt avtal. Däremot kan skadestånd, vite, eller att avtalet avslutas i förtid vara avtalsrättsliga sanktioner som kan följa om en part bryter om avtalet. En sekretessförbindelse med en anställd gäller dessutom endast i förhållande mot arbetsgivaren (tjänsteleverantören) och inte i förhållande till myndigheten. En annan viktig skillnad är att det endast är en fysisk person (d.v.s. en människa) som kan dömas för ett brott i Sverige. Med andra ord kan inte ett företag eller en juridisk person dömas för ett brott. Det är tjänsteleverantörens personal som därmed bär det straffrättsliga ansvaret för att de själva upprätthåller tystnadsplikten. Mot den bakgrunden bör en tjänsteleverantör säkerställa att berörd personal får information om att de omfattas av en straffsanktionerad tystnadsplikt. Varför är det då viktigt med en straffsanktionerad tystnadsplikt? För att ställa frågan på sin spets: vad uppnår en tystnadsplikt som inte ett vite eller skadestånd på miljonbelopp uppnår? Lagen tar som bekant sikte på att möjliggöra att information kan röjas för en tjänsteleverantör samt dennes underleverantörer. För att en myndighet ska få lämna ut information till en enskild – vilket innefattar tjänsteleverantörer som utför tjänster på uppdrag av myndigheten – krävs att myndigheten först gör en skadeprövning. [3] Vid en skadeprövning bedömer myndigheten om uppgifterna kan röjas för tjänsteleverantören utan att de personer eller intressen som ska skyddas av sekretessen lider skada. Tystnadsplikt genom avtal (Non-Disclosure Agreement eller ”NDA”) ger visst skydd men bedöms inte juridiskt som ett likvärdigt skydd som en straffsanktionerad tystnadsplikt. [4] En straffsanktionerad tystnadsplikt medför inte per automatik att all information kan röjas för en tjänsteleverantör; eller för den delen att all outsourcing kan ske. Det är inte heller lagens syfte. Det är alltid nödvändigt att bedöma om outsourcing är lämpligt samt om vald nivå av informationssäkerhet kan bibehållas eller stärkas. En del av komplexiteten med outsourcing ligger dock i att oförutsägbara mänger och typer av information kan göras tekniskt tillgängliga för tjänsteleverantören. Rättsläget är idag oklart om teknisk tillgänglighet medför ett röjande till tjänsteleverantören eller inte. Utifrån antagandet att ett tekniskt röjande sker behöver en skadeprövning göras. Eftersom en straffsanktionerad tystnadsplikt är värt mycket rent juridiskt vid en sådan bedömning ska denna lag inte underskattas. Med det sagt: grundproblemet – den gordiska knuten – att det är oklart vad ett röjande är kvarstår. Det uppenbara problemet är svensk domstols domsrätt. Annorlunda uttryckt: svensk lag gäller som utgångspunkt endast i Sverige. För att svensk lag ska vara tillämplig utanför Sverige krävs att gärningen (brott mot tystnadsplikt för den aktuella informationen) även är kriminaliserad i det andra landet. En myndighet har knappast lyxen att vid en upphandling överblicka eller välja tjänsteleverantörer som endast nyttjar personal i länder med en lagstiftning motsvarande den svenska; särskilt om en av de globala drakarna (Amazon, Google, Microsoft m.fl.) levererar hela eller delar av tjänsten. Slutsatsen blir därför att lagen varken är ett alexanderhugg eller en halvmesyr. I den utsträckning tjänsteleverantörens personal befinner sig exklusivt i Sverige är det mer sannolikt att uppgifter får röjas för tjänsteleverantören (även om en prövning självklart ska göras i det enskilda fallet). Om tjänsteleverantören eller underleverantörers personal befinner sig utanför Sverige blir effekten betydligt mindre. Den 15 januari 2021 presenterades delbetänkandet [5] som bland annat tar sikte på att undanröja osäkerheten i vad som är ett röjande. Mer om denna nya utredning samt hur förslaget samspelar med en straffsanktionerad tystnadsplikt kan du snart läsa här i Cyberbloggen där vi fortsätter att följa och analysera juridiken kring dataskydd och informationssäkerhet. Ny lag om tystnadsplikt vid IT-outsourcing Nytt lagförslag om när myndigheter får outsourca informationshantering Ökat hot från Ransomware-aktörer Digitalisering av offentlig sektor kan innebära att information betraktas som röjd i lagens mening. När gäller den nya lagen? Vad innebär en straffsanktionerad tystnadsplikt? Varför behövs en straffsanktionerad tystnadsplikt? Finns det några andra problem? Vid digitalisering av offentlig sektor finns det en gordisk knut; när en uppgift som skyddas av sekretess enligt offentlighets- och sekretesslagen ska betraktas som röjd i lagens mening. När information ska betraktas som röjd är nämligen allt annat än klart. För att sammanfatta en mångårig och snårig juridisk diskussion: det är sannolikt inte nödvändigt att en utomstående faktiskt tagit del av en sekretesskyddad uppgift för att den ska anses röjd. Viss risk för att någon har tagit del av information är sannolikt tillräckligt. tekniskt bearbeta eller lagra information kan brott mot tystnadsplikt Säker och effektiv IT-drift Publicerad 26/4 2018 Jan Karlsson, Senior Security Advisor på Secure State Cyber, presenterar hur informationssäkerheten har övergått till cybersäkerhet, pga. digitalisering och en ny hotbild. Tips ges på hur företagsledningen ska bemöta denna nya hotbild och vilka frågor som borde ställas under nästa styrgruppsmöte. Introduktion 1:40 Informationssäkerhet till Cybersäkerhet 1:41 Dagens hotbild 2:55 Cybercrime as a service 4:48 Ramverk för cybersäkerhet (CSF) 6:04 Var det oftast går fel 9:13 Nyckelfrågor för styrelsen del 1 13:45 Nyckelfrågor för styrelsen del 2 16:32 Nyckelfrågor för styrelsen del 3 18:26 Vad kan företagsledningen göra? Cyber-säkerhet i ett styrelse-perspektiv - Introduktion MSB varnar för phishing-attacker med COVID-19-skepnad Arbeta säkert hemifrån Myndigheten för samhällsskydd och beredskap (MSB) varnar för phishingattacker med COVID-19-skepnad och riktade ransomware-attacker mot hälso- och sjukvården i Sverige. Det är viktigt att se till att medarbetare är utbildade och vet hur de ska identifiera och rapportera t.ex. phishingförsök. Kontakta oss för mer information . Läs mer om MSB:s rekommendationer . MSB varnar för phishing-attacker med COVID-19-skepnad Standardavtalsklausuler för överföring av data till tredjeland Cyber-säkerhet i ett styrelse-perspektiv - Introduktion Som vi tidigare diskuterat här på Cyberbloggen är rättsläget oklart om under vilka förutsättningar information ska bedömas vara röjd inom ramen för offentlighets- och sekretesslagen vid outsourcing. Det finns i grunden två lösningar på detta problem: (1) Klargöra (genom lag eller domstolspraxis) under vilka förutsättningar ett röjande av information sker eller, (2) skapa en möjlighet för myndigheter att under vissa förutsättningar tillåtas röja information till tjänsteleverantörer. Skapas en sådan regel är det sedan ointressant att reda ut gråzonen för röjandet. Genom den nya lagen om tystnadsplikt vid IT-outsourcing som trädde i kraft den 1 januari 2021 tog lagstiftaren ett första steg i riktningen mot att skapa en möjlighet för myndigheter att under vissa legala ramar få röja information till tjänsteleverantörer. Delbetänkandet bygger vidare på denna inriktning. [2] Vi får en diger analys av vad som utgör ett röjande. Men framför allt får vi ett skarpt lagförslag om när information får röjas vid outsourcing av informationshantering. Det korta svaret är att vi fortfarande inte vet med säkerhet vad som är ett röjande. Det som delbetänkandet presenterar är en analys (med andra ord en ) av offentlighets- och sekretesslagen; inte en legaldefinition. Utredningsgruppen har inte haft i uppdrag att föreslå ändringar till lagens begreppsapparat. Därmed har en definition av ”röjande” inte funnits på dagordningen. Med det sagt presenteras en tolkning som sannolikt kommer ha stor påverkan på myndigheters tolkning av röjande-begreppet. Därför finns det ett behov av närmare redogöra för tolkningen. Inledningsvis är det viktigt att poängtera att delbetänkandets tolkning uteslutande tar sikte på kontexten en myndighets IT-outsourcing till en tjänsteleverantör och dennes eventuella underleverantörer. Denna tolkning är med andra ord inte avsedd att tillämpas i andra sammanhang. Det finns två former av röjande: tillåtet röjande och otillåtet röjande. Ett tillåtet röjande sker när information röjs och det finns en sekretessbrytande bestämmelse som tillåter röjandet (t.ex. efter en skadeprövning). Motsatsvis sker ett otillåtet röjande när det inte finns en sekretessbrytande bestämmelse som möjliggör att informationen röjs och det ändå sker ett röjande. Röjande i sig är med andra ord ett neutralt begrepp i den bemärkelsen att ett röjande inte per definition är något förbjudet. Delbetänkandet tar avstamp i legaldefinitionen av sekretess: [3] [ ] ett förbud att röja en uppgift, vare sig det sker muntligen, genom utlämnande av en allmän handling eller på något annat sätt. Definitionen redovisar två exempel på hur ett röjande kan ske; d.v.s. genom utlämnande av en handling eller muntligt röjande. Definitionen är inte uttömmande eftersom formuleringen ”eller på något annat sätt” preciserar att röjande kan ske på andra sätt. Delbetänkandet tolkar sekretessdefinitionen som att information som utlämnats (utanför myndighetens gränser) alltid är röjd. Den svenska grundlagen tryckfrihetsförordningen medför nämligen att det är nödvändigt att upprätthålla en tydlig myndighetsgräns mellan myndigheter samt i förhållande till exempelvis en tjänsteleverantör som agerar på uppdrag av en myndighet. Delbetänkandet kommer därför, något förenklat, mot den bakgrunden till slutsatsen att all outsourcing innebär ett röjande eftersom information behandlas och lagras utanför myndigheten. Det leder till konsekvensen att det inte finns något krav på att en person faktiskt tagit del av informationen för att den ska betraktas som röjd i lagens mening. Det medför att information är röjd även om tjänsteleverantören omfattas av en tystnadsplikt enligt avtal eller lag. Det medför också att information som är krypterad eller pseudonymiserad ska betraktas som röjd när den behandlas av en tjänsteleverantör. I sammanhanget är det viktigt att särskilja frågan om information är röjd eller inte från frågan om vilka skyddsåtgärder som myndigheten är förpliktigad att säkerställa för informationsmängden. Det finns, trots en sekretessbrytande bestämmelse som medför att informationen får röjas, krav på vilken nivå av informationssäkerhet som myndigheten ska implementera. Det är alltså inte ointressant att kryptera information oavsett om det inte har betydelse för röjandefrågan. Debatten om röjande har historiskt, förenklat, tagit sikte på ett sannolikhetsresonemang där sannolikheten att informationen blir tillgänglig varit avgörande. Detta resonemang härrör från ett av Högsta domstolens prejudikat. [4] Delbetänkandet kommer till slutsatsen att detta prejudikats räckvidd inte omfattar outsourcing. Anledningen är att prejudikatet tog sikte på otillåtet röjande när inbrottstjuvar berett sig tillgång till ett nyckelskåp som innehöll nycklar till ett säkerhetsskåp där sekretesskyddade handlingar förvarade. Högsta domstolen kom till slutsatsen att informationen i handlingarna endast skulle anses röjd om omständigheterna var sådana att man måste ha räknat med att obehöriga fått åtkomst till informationen. Delbetänkandet anser i sin tolkning att Högsta domstolens resonemang tar sikte på en viss situation och att denna situation inte bör tillämpas på myndigheters IT-outsourcing. Delbetänkandet föreslår en ny sekretessbrytande bestämmelse i offentlighets- och sekretesslagen; d.v.s. en bestämmelse om hur och till vem viss information får röjas. Genom förslaget till en ny sekretessbrytande bestämmelse skapas en möjlighet för myndigheter att under vissa förutsättningar få röja information till tjänsteleverantörer. Denna sekretessbrytande bestämmelse tar (precis som lagen om tystnadsplikt vid IT-outsourcing) inte sikte på all form av outsourcing. Några exempel på vad som utgöra teknisk lagring och teknisk bearbetning är: åtgärder som vidtas för att upprätthålla den tillgänglighet, funktionalitet och prestanda i den avtalade tjänsten. förändring och tillägg i en befintlig tjänsts funktionalitet, etablering av en tilläggstjänst, integration mot andra tjänster, konfiguration, test och utveckling samt tillhandahållande av supporttjänster. säkerhetshöjande åtgärder som uppgradering, uppdatering, säkerhetskopiering, kryptering, anonymisering, pseudonymisering och incidenthantering. Migrering av information vid avveckling av tjänst. Det är därför nödvändigt för den outsourcande myndigheten att göra en noggrann analys av om projektets olika delar omfattas. Det krävs även att informationshanteringen sker för myndighetens räkning. I den mån som tjänsteleverantören behandlar informationen för egna ändamål blir med andra ord den sekretessbrytande bestämmelsen inte tillämplig. Därefter ska den outsourcande myndigheten göra en En intresseavvägning är, som begreppet antyder, en avvägning mellan två eller flera intressen. I den första vågskålen ska myndigheten placera det intresse eller de intressen som ska skyddas av sekretessen. är intressena för sekretess inom hälso- och sjukvården den enskildes hälsotillstånd samt personliga förhållanden (familjeförhållanden, ekonomiska ställning, arbetsförmåga m.m.). I den andra vågskålen ska de myndighetsaktuella skälen för outsourcing placeras. Det medför ett krav på myndigheten att göra en noggrann utredning och därefter preciserar de aktuella intressena som föreligger. För att genomföra en korrekt intresseavvägning bör myndigheten genomföra en informationsklassning. En del av komplexiteten med outsourcing ligger som bekant i att oförutsägbara mängder och typer av information kan göras tekniskt tillgängliga för tjänsteleverantören. Det ställer långtgående krav på informationsklassningen. En detalj i sammanhanget är att delbetänkandet konstaterar att många myndigheter brister i informationsklassning. Innebär nu det här att problemen är över? Vi har en tolkning i delbetänkandet och vi har ett lagförslag till en sekretessbrytande bestämmelse. Situationen är dock inte riktigt så enkel. tar det i regel, under de bästa förutsättningarna, år för ett lagförslag att bli lag. Det är med andra ord inte realistiskt att vi får någon sekretessbrytande bestämmelse i offentlighets- och sekretesslagen under 2021. Om vi utgår från att tolkningen av ”röjande” som delbetänkandet presenterar är korrekt leder det till slutsatsen att det sannolikt sker en hel del outsourcing från myndighetshåll som medför ett röjande i strid med offentlighets- och sekretesslagen. Fram till dess att den föreslagna sekretessbrytande bestämmelsen träder i kraft finns det begränsat utrymme att genomföra många av dessa outsourcingprojekt. Det öppnar upp ett personligt straffansvar för [5] för beslutsfattarna i den mån de fattar, eller har fattat, beslut om otillåtet röjande. En fysisk person som otillåtet röjer information – antingen uppsåtligen eller av oaktsamhet (vårdslöshet eller slarv) – har med andra ord ett personligt straffansvar. Att delbetänkandet på detta sätt öppnar för personligt straffansvar gör att rättsläget för beslutsfattarna blir mer komplext än någonsin. har den rättsliga debatten (som många gånger varit minst sagt polemisk) varit i full gång sedan 2014. Många aktörer har investerat både prestige och trovärdighet i denna debatt. Delbetänkandet besvarar inte alla frågor och tolkningarna och är långt ifrån fria från invändningar. För att presentera några kortfattade exempel: Myndigheters arbetsmaterial (som inte är allmän handling) outsourcas till en tjänsteleverantör och röjs därmed enligt delbetänkandets tolkning. Information som utlämnas (expedieras) utanför myndigheten blir enligt tryckfrihetsförordningen allmän handling. Medför det därmed att arbetsmaterialet genom utlämnande ska bli allmän handling? Det leder i sin tur till den potentiella konsekvensen att information som inte är allmän handling blir allmän handling genom själva outsourcingen. Delbetänkandet kommer till slutsatsen att Högsta domstolens prejudikat [6] inte bör tillämpas på outsourcing. Är det verkligen fallet? Det går att argumentera för att poängen med Högsta domstolens sannolikhetsresonemang var precis den att inte varje utlämnande kategoriskt ska medföra ett röjande. Högsta domstolen nämner detta explicit i sin dom, mot bakgrund av den riskexponering för straffansvar det skulle öppna upp för. Det är inget som delbetänkandet berör. Det går även att ifrågasätta delbetänkandets tolkning av legaldefinitionen av sekretess. [7] Delbetänkandet redogör i princip endast för en tolkning; att varje utlämnande medför ett röjande. Det finns dock flera andra tolkningsalternativ hur denna definition ska läsas. Läsaren får därigenom ingen presentation av olika tolkningsalternativ och deras respektive styrkor och svagheter. Det finns därför gott om juridiskt utrymme till att debattera tolkningarna och lagförslaget. Inte minst finns det många aktörer som har ett stort intresse i en sådan fortsatt debatt. Detta delbetänkande utgör därför på inget sätt slutpunkten. [1] SOU 2021:1 [2] Läs gärna vår tidigare artikel om lagen här på cyberbloggen: Cyberbloggen: [3] 3 kap. 1 § offentlighets- och sekretesslagen (2009:400). 3 § brottsbalken. 1 § offentlighets- och sekretesslagen. Sekretess är För det första För det andra Sweden Canada Nytt lagförslag om när myndigheter får outsourca informationshantering Ny lag om tystnadsplikt vid IT-outsourcing Vet vi äntligen vad som är ett röjande? Vet vi äntligen vad som är ett röjande? När får röjande ske? Avslutande reflektioner Referenser Secure State Cyber Som en försenad julklapp landade delbetänkandet Säker och kostnadseffektiv it-drift [1] under granen lagom till tjugondag knut. Delbetänkandet är ett ymnighetshorn för den med en önskan att förkovra sig i digitaliseringsjuridik. Framför allt ger det oss efterlängtad vägledning om när information ska anses som röjd när en myndighet outsourcar sin informationshantering. brott mot tystnadsplikt Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering.