Bedöm och hantera riskerna

Med dataskydd fastställs när och under vilka förutsättningar personuppgifter kan behandlas. Rätten till privatliv är en grundläggande mänsklig rättighet och dataskyddet tryggar denna grundläggande rättighet.

Med informationssäkerhet avses åtgärder för att säkerställa uppgifternas konfidentialitet, integritet och tillgänglighet.

Om dataskydds- och informationssäkerhetsrisker realiseras kan det leda till exempelvis ekonomiska skador eller administrativa påföljder eller anseendeskada för organisationerna. Individer kan å sin sida utsättas för till exempel bedrägeri.

I den offentliga sektorns tjänster behandlas och delas många känsliga uppgifter som liknar personuppgifter och vars behandling är förknippad med risker.

Om organisationen har skött sina dataskyddsfrågor oaktsamt, kan organisationernas ledning samt de som ansvarar för informationssäkerhets- och dataskyddsfrågor i värsta fall göra sig skyldiga till brott.

Informationssäkerheten och dataskyddet är förknippade med många typer av lagstiftning, såsom

• EU:s allmänna dataskyddsförordning (EUR-Lex)Öppnas i ett nytt fönster.
• dataskyddslagen (Finlex)Öppnas i ett nytt fönster.
• dataskyddsdirektivet för brottmål (EUR-Lex)Öppnas i ett nytt fönster.
• lagen om behandling av personuppgifter i brottmål (Finlex)Öppnas i ett nytt fönster.
• lagen om tjänster inom elektronisk kommunikation (Finlex)Öppnas i ett nytt fönster.
• lagen om integritetsskydd i arbetslivet (Finlex)Öppnas i ett nytt fönster.
• kreditupplysningslagen (Finlex)Öppnas i ett nytt fönster.
• lagen om internationella förpliktelser som gäller informationssäkerhet (Finlex)Öppnas i ett nytt fönster..

Informationshanteringsnämnden har också gett följande rekommendationer om informationssäkerhet:

• Rekommendation om minimikrav på informationssäkerhet (Finansministeriet 2024:19)Öppnas i ett nytt fönster.
• Rekommendation om kriterier för bedömning av informationssäkerheten inom den offentliga förvaltningen (Julkri) (Finansministeriet 2022:43)Öppnas i ett nytt fönster.
• Rekommendation om hantering av sekretessbelagda handlingar (Finansministeriet 2023:4)Öppnas i ett nytt fönster.

Försummelse av dataskyddet och informationssäkerheten medför anseenderisker som, om de förverkligas, kan leda till skador som hotar organisationens verksamhet. Det är svårt att på förhand bedöma sannolikheten för och konsekvenserna av en anseendeskada.

En anseendeskada som drabbar en organisation inom den offentliga förvaltningen kan försämra medborgarnas förtroende för myndigheternas verksamhet.

Medborgarna måste kunna lita på att den offentliga förvaltningen sköter sina lagstadgade uppgifter.

Förlust av förtroende kan till exempel

• försvåra kundsituationer
• minska kundnöjdheten
• påverka kundernas villighet att använda offentliga tjänster.

En anseendeskada kan också till exempel ha en negativ inverkan på arbetsgivarbilden som organisationen förmedlar och försvåra rekryteringen av kompetenta anställda i framtiden.

Människors beteende och organisationskulturen är exempel på mänskliga faktorer och faktorer i anslutning till organisationen som antingen kan stöda eller försämra verksamhetens framgång.

En god riskkultur är en väsentlig del av en fungerande riskhantering som omfattar hela organisationen och upprätthållandet av den hjälper organisationen att

• klara av kriser bättre
• snabbare anpassa sig till utmanande situationer
• anpassa sig mer flexibelt till förändringar.

Risk är inte en synonym till hot och riskhantering hör inte enbart till krissituationer. Risken kan också vara en möjlighet som kan utnyttjas för att utveckla organisationens verksamhet och uppnå dess syften.

Till exempel kan utnyttjandet av ny teknik, såsom applikationer med artificiell intelligens, samtidigt vara både ett hot och en möjlighet: å ena sidan kan applikationen göra arbetet mer effektivt, men å andra sidan är ibruktagandet av den förknippat med risker i anslutning till miljö och ansvarsfullhet.

Riskhanteringens verksamhetsmiljö är föränderlig och riskerna kan aldrig elimineras helt. Riskerna kan dock förutses och hanteras, och deras konsekvenser eller sannolikhet kan fås till en tolererbar nivå.

• Kursen Riskhantering i den digitala världen (eOppiva)Öppnas i ett nytt fönster.
• Riskhantering inom digital säkerhet (Suomi.fi tjänsteutvecklare)
• Riskienhallinnan käsikirja valtionhallinnon toimijoille (Finansministeriet, på finska)Öppnas i ett nytt fönster.
• VAHTI-ordlista om riskhantering i den digitala verksamhetsmiljön – presentation och introduktion till riskkommunikation (Myndigheten för digitalisering och befolkningsdata, PDF)Öppnas i ett nytt fönster.
• VAHTI god praxis-stödmaterial: Kostnadseffektivitetsmodellen för analys av riskerna med digital säkerhet och riskhantering (Myndigheten för digitalisering och befolkningsdata, PDF, på finska)Öppnas i ett nytt fönster.

Anonymisering av uppgifter är en process där personuppgifterna i informationsmaterialet ändras helt och hållet och permanent.

I ett anonymiserat informationsmaterial kan en person inte längre identifieras, inte ens genom att man kombinerar flera uppgifter med varandra.

Efter anonymiseringen är personuppgifterna inte längre personuppgifter och till exempel EU:s allmänna dataskyddsförordning (GDPR) gäller inte anonymiserade uppgifter.

Läs mer om anonymisering av personuppgifter på Dataombudsmannens webbplats (tietosuoja.fi)Öppnas i ett nytt fönster..

Observera att personuppgifter i regel inte ska öppnas som sådana som öppna data och att det alltid krävs en lagenlig grund för att dela och utnyttja personuppgifter. Läs mer på sidan Beakta lagar och författningar i guiden.

När du en gång har öppnat informationen kan du inte längre påverka hur den utnyttjas i fortsättningen eller vem som utnyttjar den.

Även om det informationsmaterial du öppnar inte ensamt utgör risker för individen eller samhället, kan det orsaka risker när dess uppgifter kombineras med något annat digitalt eller icke-digitalt informationsmaterial.

Sannolikheten för att sådana risker ska realiseras ökar i framtiden, när stora mängder olika material kan kombineras och analyseras med hjälp av artificiell intelligens med en lätthet som aldrig tidigare skådats. Läs mer om riskerna i anslutning till artificiell intelligens i guiden Ansvarsfullt utnyttjande av artificiell intelligens.

Den geografiska informationen är en del av samhällets kritiska infrastruktur och den öppna informationen i anslutning till den kan användas förutom för önskade ändamål även för oönskade ändamål.

Till exempel kan det vara nyttigt att öppna vattenledningsnätets positionsinformation, eftersom det kan förhindra att kritisk infrastruktur av misstag går sönder i samband med byggprojekt, men å andra sidan gör öppnandet av informationen samma infrastruktur mer sårbar även för avsiktliga attacker.

Kommuninvånarna i den fiktiva exempelkommunen har upprepade gånger önskat att plogbilarnas positionsuppgifter ska synas i kommunens webbtjänst, så att de ska veta när plogbilen kommer för att avlägsna snön från deras egen gata. Utifrån detta börjar kommunen planera öppnandet av plogbilarnas positionsuppgifter som öppen information.

Vid kartläggningen av riskerna måste kommunen dock beakta att plogbilarna är kritisk infrastruktur vid snöstorm.

Den övriga trafiken stannar om vägarna inte kan plogas.

Kommunen måste alltså bedöma vilka risker som är förknippade med publiceringen av plogbilarnas aktuella positioner. Den kan också fundera på andra alternativ: skulle risken minska väsentligt till exempel om positionerna visades med 30 minuters fördröjning?