Arbetsgrupp för hantering av personuppgifter i Svea

Arbetet med att ta fram en referenskonsekvensbedömning över de olika personuppgiftsbehandlingarna som kan komma att hanteras i Svea är nu igång. 

En arbetsgrupp med deltagare från flera kommuner och olika verksamhetsområden har påbörjat arbetet med att undersöka vilka juridiska, organisatoriska och säkerhetsmässiga aspekter som behöver hanteras när Svea används i kommunal verksamhet, särskilt i sammanhang där personuppgifter behandlas och där användningen kan innebära förhöjda risker för den personliga integriteten. 

Gemensam referenskonsekvensbedömning

Målet är att ta fram en gemensam referenskonsekvensbedömning som kommunerna ska kunna använda som stöd i sitt eget arbete. Det handlar alltså inte om att leverera en helt färdig DPIA eller konsekvensbedömning som kan användas direkt utan anpassning, utan om att skapa en grund och ett stödmaterial som kommunerna kan bygga vidare på utifrån sina egna behov, verksamheter och användningsområden. 

En av de stora utmaningarna i arbetet är att Svea kan användas för många olika typer av behandlingar och verksamhetsprocesser. Användningen kan se väldigt olika ut beroende på verksamhet, målgrupp och vilken typ av information som hanteras. Därför blir nästa steg i arbetet att identifiera, beskriva och klustra tänkbara behandlingar och användningsfall. Det är först när dessa börjar ta form som det blir möjligt att tydligare bedöma vilka risker, skyddsåtgärder och rekommendationer som behöver finnas på plats. 

Arbetet sker stegvis och utforskande. Det finns ingen helt färdig metod eller spikrak väg framåt, utan arbetsgruppen kommer behöva testa, resonera och utveckla arbetssätt under resans gång. Det inledande fokuset ligger nu på att skapa en gemensam förståelse för vilka frågor som behöver hanteras och hur arbetet kan struktureras på ett sätt som blir användbart för kommunerna. 

Gruppen har redan haft en inledande dialog med dataskyddsombud kring hur arbetet kan angripas och vilka perspektiv som behöver tas med tidigt i processen. Flera olika roller deltar redan idag i arbetet och bidrar med sina erfarenheter och kompetenser. Samtidigt är det tydligt att fler perspektiv kommer behöva involveras längre fram. För att arbetet ska bli relevant och användbart kommer det behövas inspel från verksamheter, jurister, informationssäkerhetsfunktioner och personer med teknisk kompetens, men också från de som i praktiken ska använda Svea i olika sammanhang. 

Parallellt inväntas fortfarande ytterligare material från AI Sweden. Arbetsgruppen har däremot fått ta del av Sveas säkerhetsdeklaration och håller nu på att gå igenom och analysera innehållet som en del av det fortsatta arbetet. 

Utöver själva konsekvensbedömningen ser arbetsgruppen också ett behov av att längre fram ta fram rekommendationer och vägledning kopplat till användning av Svea i situationer där personuppgifter behandlas, särskilt känsliga personuppgifter eller andra skyddsvärda uppgifter enligt dataskyddsförordningen och offentlighets och sekretesslagstiftningen. Det kan exempelvis handla om anvisningar för olika typer av användning, rekommenderade arbetssätt och utbildningsinsatser för att skapa både förståelse och kunskap kring vilka typer av uppgifter som kan hanteras i olika sammanhang, vilka risker som behöver beaktas och vilka skyddsåtgärder som behöver finnas på plats för att användningen ska ske på ett ansvarsfullt och säkert sätt. 

Arbetet kommer att utvecklas löpande och kommunerna kommer kunna följa processen under resans gång. Har ni frågor, tankar, kommentarer eller medskick är ni varmt välkomna att höra av er. Inspel från fler perspektiv kommer vara viktiga för att arbetet ska bli så relevant och användbart som möjligt.