Rättsliga regelverk

Rättsliga regelverk är ett av samhällets starkaste styrmedel och fyller en viktig roll för att bygga upp informationssäkerhet både nationellt och internationellt. I vissa fall handlar det om att specificera ett särskilt skydd för viss typ av information medan i andra påbjuds ett sätt att arbeta med informationssäkerhet på mer generell nivå.

Här nedan följer en kort redogörelse ett antal lagar, förordningar, myndighetsföreskrifter och allmänna råd som är centrala ur ett informationssäkerhetsperspektiv. Till höger finns länkar till central EU-rätt. Något anspråk på fullständighet görs inte utan informationen kommer att byggas på efter hand.

Rättsligt skydd för viss typ av information

Allmänna handlingar

Offentlighetsprincipen, som framgår av tryckfrihetsförordningens andra kapitel, reglerar vilken typ av information hos myndigheterna som ska betraktas som allmänna handlingar och då enligt huvudregeln vara tillgängliga, offentliga. Vissa allmänna handlingar innehåller dock känsliga uppgifter, exempelvis rörande rikets säkerhet eller den enskildes personliga förhållanden. Offentlighets- och sekretesslagen specificerar därför vilka av de allmänna handlingarna som ska beläggas med sekretess.  

Tryckfrihetsförordning (1949:105)

Offentlighets- och sekretesslag (2009:400)

Sekretessbelagd information rörande rikets säkerhet

Information som är sekretessbelagd med hänsyn till rikets säkerhet ges ett särskilt skydd genom säkerhetsskyddslagen. Säkerhetsskyddet ska bland annat förebygga att sådana uppgifter på ett obehörigt sätt röjs, ändras eller förstörs samt hindra obehöriga att få tillträde till platser där de kan få tillgång till den typen av uppgifter. Regleringen innehåller regler om vilken kontroll man får göra av personer som hanterar den här typen av information. I säkerhetsskyddsförordningen finns bland annat regler kring kryptering och behörighetskontroll.

Säkerhetsskyddslag (1996:627)

Säkerhetsskyddsförordning (1996:633)

Säkerhetspolisens föreskrifter och allmänna råd om säkerhetsskydd, RPSFS 2010:03 

Personuppgifter 

Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgifter definieras som all slags information som direkt eller indirekt kan hänföras till en fysisk person i livet. Genom att i lagen begränsa och styra de sätt på vilka man får hantera personuppgifter ges informationen ett särskilt skydd.  Lagen innehåller även regler om vilka tekniska och organisatoriska säkerhetsåtgärder den som hanterar personuppgifter ska vidta.

Personuppgiftslag(1998:204)

Datainspektionens allmänna råd om säkerhet för personuppgifter  

Företagshemligheter

Lagen om skydd av företagshemligheter är ytterligare ett exempel på reglering som ger en viss typ av information ett särskilt skydd. I det här fallet gäller det information om affärs- eller driftförhållanden i en näringsidkares rörelse som näringsidkaren håller hemlig och vars röjande är ägnat att medföra skada för honom i konkurrenshänseende. Uppgifter som företag väljer att skydda genom särskilda tekniska åtgärder får även ett rättsligt skydd genom att det blir brottsligt att olovligen skaffa sig tillgång till företagshemligheten. Den som gör sig skyldig till företagsspioneri kan dömas till böter eller fängelse i högst två år. Om brottet är grovt kan straffet bli fängelse upp till 6 år.

Lag (1990:409) om skydd av företagshemligheter 

Information som ska arkiveras

En viktig uppgift med många kopplingar till informationssäkerhet är att över tid säkra riktigheten hos och skapa tillgänglighet till allmänna handlingar.

Arkivering ställer särskilda krav, särskilt när det gäller elektronisk information. Riksarkivet utfärdar föreskrifter på området.

Arkivlag (1990:782)

Arkivförordning (1991:446)

Riksarkivets föreskrifter och allmänna råd om elektroniska handlingar, RA-FS 2009:1

Riksarkivets föreskrifter om och allmänna råd om tekniska krav på elektroniska handlingar, RA-FS 2009:2

Rättsliga regler om arbete med informationssäkerhet i viss typ av verksamheter

Statliga myndigheter

Informationssäkerhet i verksamheter byggs i stor utsträckning upp genom systematiskt arbete som involverar ledningen, grundas på risk- och sårbarhetsanalyser och rätt vidtagna åtgärder. Krav på att statliga myndigheter ska se till att informationshanteringen uppfyller krav på säkerhet finns i förordning (2006:942) om krisberedskap och höjd beredskap. Myndigheten för samhällsskydd och beredskap föreskriver dessutom att myndigheterna ska införa ett ledningssystem för informationssäkerhet och därvid följa de internationella standarderna ISO/IEC 27001 och ISO/IEC 27002.

Myndigheten för samhällsskydd och beredskaps föreskrifter och allmänna råd om statliga myndigheters informationssäkerhet, MSBFS 2009:10

Förodning(2006:942) om krisberedskap och höjd beredskap

Elektronisk kommunikation

 

Lagen om elektronisk kommunikation reglerar hur information ska hanteras i elektroniska medier och vänder sig främst till telekommunikationsoperatörer. Den som tillhandahåller allmänna kommunikationsnät eller allmänt tillgängliga elektroniska kommunikationstjänster ska se till att verksamheten uppfyller rimliga krav på god funktion och teknisk säkerhet. Detta bland annat för att säkerställa att de elektroniska kommunikationerna fungerar.

Det är även viktigt att skydda uppgifterna som hanteras i de elektroniska näten. Enligt lagen ska den som tillhandahåller en allmänt tillgänglig elektronisk kommunikationstjänst även vidta lämpliga åtgärder för att skydda behandlade uppgifter. Vilka åtgärder som vidtas är beroende på risken för integritetsintrång, tillgänglig teknik och kostnaderna. 

Lag (2003:389) om elektronisk kommunikation

Post- och Telestyrelsens allmänna råd om god funktion och teknisk säkerhet samt uthållighet och tillgänglighet vid extraordinära händelser i fredstid, PTSFS 2007:2

Hälso- och sjukvård

Inom hälso- och sjukvården hanteras stora mängder ur integritetssynpunkt känslig information. Det är av stor vikt att informationshanteringen inom hälso- och sjukvården är organiserad så att den tillgodoser patientsäkerhet och god kvalitet och kostnadseffektivitet. Att säkerställa respekt för patienters och övriga registrerades integritet är prioriterat liksom arbetet med att säkerställa att inga obehöriga får tillgång till dokumenterade personuppgifter.

Patientdatalag (2008:355)

Patientdataförordning (2008:360)

Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården, SOSFS 2008:14

Reglering som förbjuder viss typ av handlingar

Dataintrång och andra brott

Rättslig reglering bidrar till informationssäkerhet genom att ställa krav på att vidta åtgärder men även genom att kriminalisera vissa handlingar. Många brott, som bedrägeri, begås idag ofta med hjälp av IT. Ett brott med uttrycklig koppling till IT är dataintrång. Enligt brottsbalken 4 kap 9c§ är det förbjudet olovligen bereda sig tillgång till en uppgift som är avsedd för automatiserad behandling eller olovligen ändra, utplåna, blockera eller i register föra in en sådan uppgift. Det är heller inte tillåtet att olovligen allvarligt störa eller hindra användningen av en sådan uppgift. Den som bryter mot detta kan dömas för dataintrång till böter eller fängelse i högst två år.

Brottsbalk (1962:700)

EU-rätt

RÅDETS RESOLUTION av den 28 januari 2002 om en gemensam inställning och särskilda åtgärder på området för nät- och informationssäkerhet (2002/C 43/02)

Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter länk

Kontakt

2010 © Myndigheten för samhällsskydd och beredskap (MSB)
MSB: Telefon: 0771-240 240. Fax: 010-240 56 00. Webb: www.msb.se