Informationssäkerhet och outsourcing av IT

I samband med outsourcingen av it-verksamhet hos Transportstyrelsen har ett antal frågeställningar aktualiserats som även är relevanta att besvara för kommuner, landsting och regioner och andra verksamheter i offentlig sektors regi. SKL har därför tagit fram rekommendationer för sina medlemmar kring hur de bör arbeta för att förhindra liknande läckor som den hos Transportstyrelsen.

Varje verksamhet inom SKLs område bör kartlägga sina informationstillgångar och it-system och särskilt analysera om det finns något som kan vara kritiskt för rikets säkerhet. Det är viktigt att alla kan säkerställa att det finns fungerande rutiner för nödvändiga säkerhetsanalyser och kontroll enligt dataskyddslagstiftningen och att dessa efterföljs vid upphandling.

Information med olika säkerhetsnivå

Information kan vara olika känslig och bör därför klassificeras beroende på känslighetsgrad. SKL har tagit fram verktyget KLASSA för att underlätta arbetet med detta. Även MSB har en rekommenderad modell för att göra en korrekt indelning av känslig information.

Det finns flera exempel på typer av information där det första är information som omfattas av vanlig sekretess som t.ex. personuppgifter. Annan information som ska skyddas är sådan som kan vara kritisk under en större kris och t.ex. berör infrastruktur, transporter, läkemedelshantering och sophantering. Den tredje kategorin innefattar information som är så känslig att den går under Säkerhetsskyddslagen och därför kräver extra varsam hantering och exakta säkerhetsåtgärder.

Varje verksamhet har själv ansvar att avgöra om de innehar den sistnämnda typen av högkänslig information, och ska i så fall se till att utföra en adekvat säkerhetsanalys för att garantera regelrätt behandling.

Viktigt med god säkerhetskultur

Informationssäkerhet är till stor del en fråga om förtroende. Både från individer som delar med sig av känslig information till offentlig sektors verksamheter och mellan myndigheter som utbyter informationen med varandra. För att återvinna förtroendet som kan ha skadats i och med informationsläckaget hos Transportstyrelsen, är det viktigt att tydligt kunna redogöra för de säkerhetsrutiner som gäller i verksamheten för såväl de som ombeds dela med sig av sina uppgifter, som för organisationens medarbetare.

Förutom att följa befintliga lagar och riktlinjer är det nödvändigt att befästa ett kontinuerligt säkerhetsarbete och en stark säkerhetskultur i hela verksamheten. Verksamheterna bör arbeta för att skapa ett fungerande samarbete mellan ledning och kompetenser inom juridik och informationssäkerhet för att på så sätt underbygga säkerhetsarbetet i organisationen.

Informationssäkerhet och outsourcing

Det är inte självklart att intern informationshantering är bättre än outsourcing. Däremot bör alla informationstillgångar kartläggas och säkerhetsbehoven klargöras i upphandling av it-drift med leverantörer. Säkerhetskraven ska också tydligt framgå i avtalet för att garantera att leverantören håller tillräckligt hög säkerhetsnivå. I nuläget bör kommuner, landsting och regioner se över aktuella leverantörer och deras underleverantörer, ta reda på i vilka länder de finns samt säkerställa att även de efterföljer gängse rutiner.

Lagar som reglerar informationssäkerhet:

  • Offentlighets- och Sekretesslagen (OSL) reglerar vilken information som ska omfattas av sekretess.
  • Personuppgiftslagen (PUL) omfattar dataskydd av uppgifter som berör individer. Under 2018 kommer PUL ersättas av EU:s Dataskyddsförordning med betydligt hårdare krav på informationssäkerhet.
  • Säkerhetsskyddslagen reglerar verksamheter och information som är så känslig att hela rikets säkerhet kan riskeras om den kommer i orätta händer.