NYHETSARKIVET
8 jul 2009 14:06
SPV ska förbättra rutiner kring skyddade personuppgifter
Datainspektionen, DI, kräver i ett föreläggande att Statens Pensionsverk, SPV, ska ta fram en åtgärdsplan för bland annat hur myndigheten ska begränsa åtkomsten till skyddade personuppgifter i det äldre verksamhetssystemet.
Efter en inspektion i februari vill DI att SPV ska genomföra en rad förbättringar i sina datarutiner. Ett av problemen som upptäcktes vid inspektionen är att handläggarna har möjlighet att ta del av fler personuppgifter än vad som behövs för arbetsuppgifterna och som handläggarna egentligen har behörighet för. Enligt DI ökar detta risken för obehörigt dataintrång och att uppgifterna kan användas på ett sätt som strider mot personuppgiftslagen.
Ett annat problem gäller skyddade personuppgifter. I det nyare systemet som används är det bara sex personer som kan komma åt uppgifter som är skyddade. I det äldre verksamhetssystemet är skyddade personuppgifter markerade men ändå läsbara av alla. DI vill nu att SPV ändrar systemen så att också de äldre uppgifterna bara blir möjliga att ta del av för en mindre grupp.
SPV föreläggs att komma in med en skriftlig åtgärdsplan i vilken verket ska
ange vilka åtgärder man avser vidta för att begränsa åtkomsten till skyddade
personuppgifter i det äldre verksamhetssystemet. SPV föreläggs dessutom att inrätta behandlingshistorik, loggar, för sina verksamhetssystem och att genomföra logguppföljningar. Logguppföljningarna ska vara systematiska och återkommande. Uppföljningarna ska ske i syfte att förebygga, upptäcka och beivra olovlig åtkomst till personuppgifter i verksamhetssystemen. Åtkomsten till skyddade personuppgifter ska särskilt följas upp.
SPV föreläggs också att inrätta tydliga och verksamhetsanpassade rutiner kring
de kommande loggarna och logguppföljningen samt se till att användarna på
ett tydligt sätt informeras om förekomsten av dessa.
Senast den 15 oktober ska DI ha fått åtgärdsplanen.
Efter en inspektion i februari vill DI att SPV ska genomföra en rad förbättringar i sina datarutiner. Ett av problemen som upptäcktes vid inspektionen är att handläggarna har möjlighet att ta del av fler personuppgifter än vad som behövs för arbetsuppgifterna och som handläggarna egentligen har behörighet för. Enligt DI ökar detta risken för obehörigt dataintrång och att uppgifterna kan användas på ett sätt som strider mot personuppgiftslagen.
Ett annat problem gäller skyddade personuppgifter. I det nyare systemet som används är det bara sex personer som kan komma åt uppgifter som är skyddade. I det äldre verksamhetssystemet är skyddade personuppgifter markerade men ändå läsbara av alla. DI vill nu att SPV ändrar systemen så att också de äldre uppgifterna bara blir möjliga att ta del av för en mindre grupp.
SPV föreläggs att komma in med en skriftlig åtgärdsplan i vilken verket ska
ange vilka åtgärder man avser vidta för att begränsa åtkomsten till skyddade
personuppgifter i det äldre verksamhetssystemet. SPV föreläggs dessutom att inrätta behandlingshistorik, loggar, för sina verksamhetssystem och att genomföra logguppföljningar. Logguppföljningarna ska vara systematiska och återkommande. Uppföljningarna ska ske i syfte att förebygga, upptäcka och beivra olovlig åtkomst till personuppgifter i verksamhetssystemen. Åtkomsten till skyddade personuppgifter ska särskilt följas upp.
SPV föreläggs också att inrätta tydliga och verksamhetsanpassade rutiner kring
de kommande loggarna och logguppföljningen samt se till att användarna på
ett tydligt sätt informeras om förekomsten av dessa.
Senast den 15 oktober ska DI ha fått åtgärdsplanen.
Pensionsnyheterna i Sverige AB
Rapsgatan 1
118 61 Stockholm
info@pensionsnyheterna.se
www.pensionsnyheterna.se
Orgnr: 559339-5907
118 61 Stockholm
info@pensionsnyheterna.se
www.pensionsnyheterna.se
Orgnr: 559339-5907