3 frågor till IT-juristen och GDPR-experten Lars Arrhed

By: Lisa Andersson | Posted: ungefär en månad ago.

IT-juristen om den nya dataskyddsförordningen och om Transportsstyrelsens misstag

 

Lars Arrhed är advokat och delägare i advokatfirman Lindahl i Göteborg. Med sin omfattande specialistkunskap inom av IT-säkerhet, integritetsrätt och offentlig upphandling är han helt rätt person att ställa frågor till kring den nya dataskyddsförordningen. 

Vad är din reaktion på sommarens skandal med outsourcing av Transportstyrelsens IT-drift?

Med facit i hand kan det tyckas helt obegripligt. Vem skulle kunna tro att en stor svensk myndighetet, fullt medvetet och på vad som framstår vara alla nivåer i organisationen, skulle genomdriva en upphandling av myndighetens IT-drift  som gör avsteg från Säkerhetsskyddslagen, Personuppgiftslagen, Offentlighets- och sekretesslagen samt myndighetens egna riktlinjer för informationssäkerhet – det vill säga delvis straffsanktionerade bestämmelser inom grundlagsskyddade områden?

Vad är det som kan ha gått fel enligt din mening?

Jag har ingen insyn i just Transportstyrelsens upphandling. Vi som arbetar med implementation av IT-säkerhet och integritetsrätt kan dock se ett beteende som inte är unikt för Transportstyrelsen. Såväl politiker som tjänstemän vet att personuppgifter omfattas av bestämmelser till skydd för enskilda och allmänna intressen på integritetsrättens område. Det är emellertid tydligt att vissa gemensamma särdrag hos myndigheternas organisationskultur kan utgöra ett hinder att ta till sig syftet med reglerna och de allvarliga konsekvenser som är kopplade till myndighetens brist att prioritera IT-säkerhet och integritetsrättsliga frågor.

Riksrevisionen lyfter fram olika delförklaringar till de stora brister i myndigheternas informationssäkerhetsarbete som framkommit i olika granskningar, exempelvis RiR 2016:8. Det gäller bland annat bristfällig hantering av informationstillgångar, felaktigt hanterad eller helt utebliven klassificering av information. Personalen har generellt haft en låg medvetenhet om informationsklassificering och hur den ska tillämpas i praktiken. Det har i princip inte genomförts några övergripande riskanalyser med fokus på informationssäkerhet, utan de analyser som genomförs har endast gällt begränsad IT-infrastruktur.

Myndigheterna har saknat underlag för att kunna bedöma om deras ledningssystem för informationssäkerhet fungerar eller inte. Ingen av de granskade myndigheterna i ovan nämnda granskning nådde upp till en godkänd nivå rörande reglering av spårbarhet i loggar. Myndigheternas ledningar delegerar ansvaret för informationssäkerhet till ansvariga som varken haft mandat eller praktiska förutsättningar att fullgöra sitt ansvar. Den allmänt rådande uppfattningen bland tillfrågade tjänstemän varit att informationssäkerhetsarbetet är något för säkerhets- eller IT-avdelningen, särskilt medarbetare i myndighetens kärnverksamhet har tenderat att se kraven på informationssäkerhet som ett hinder för sina primära arbetsuppgifter: Ett byråkratiskt regelpaket som inte är förankrat i verkligheten helt enkelt, och som man kan avvika från av samma skäl som man går mot röd gubbe om man det inte finns någon bil i synhåll.

Efter IT-skandalen, och med den växande insikten om att dagen då GDPR ersätter PUL närmar sig med stormsteg, ser vi dock en tydlig attitydförändring. Nu verkar myndigheterna mest vara frustrerade över brist på information och kunskap om hur ett tillräckligt informationssäkerhetsarbete ska implementeras konkret, i synnerhet i relation till de nya krav som ställs i och med GDPR.

Vad får man med sig om man går kursen Praktisk implementering av nya dataskyddsförordningen?

Utbildningen är till för dig som vill åka hem med en tydlig bild på näthinnan (såväl som ett handfast skriftligt material) om innehållet och omfattningen av implementationsarbetet i praktiken. Det är minst lika viktigt att förstå vad som INTE måste göras för att åstadkomma ett lyckat implementationsprojekt. Vi kommer att gå igenom hur myndigheten möter informationssäkerhetskrav och integritetsrättsliga krav på en praktisk nivå. Istället för en teoretisk genomgång kommer frågor om biträdesavtal, incidentrapportering, krav på samtyckeshantering m.m. besvaras i sitt praktiska sammanhang som en del av implementation och förvaltning av IT-säkerhet och integritetsskydd under GDPR.    


Kursen som går igenom ditt GDPR-projekt från ax till limpa

Lars är även en mycket uppskattad föreläsare och håller i SIPUs kurs Praktisk implementering av nya dataskyddsförordningen. Under kursen delar han med sig av sina arbetserfarenheter från implementering av de nya reglerna hos såväl små som stora myndigheter. Känner du att det är hög tid att ta kontroll över er GDPR-implementering ger kursen dig redskapen och insikterna för att tryggt ro projektet i land. Boka kursen här.