Vi arbetar ständigt vid Lantmäteriverket för att medborgarnas uppgifter ska vara trygga och behandlas korrekt.
Utöver den skärpta dataskyddsregleringen finns inom samhället en strävan efter att få omfattande tillgång till information i digital form och därigenom främja digitaliseringen och dataekonomin. Även i detta mål är Lantmäteriverket fullt involverat.
Står dessa två syften i strid med varandra? Kan information göras allmänt tillgänglig för dem som behöver den, samtidigt som man på ett effektivt sätt ser till dataskyddet?
Jag tror att båda målen kan uppnås samtidigt. När vi till exempel lämnar ut uppgifter från fastighetsdatasystemet till kunderna upprättar vi ett avtal med kunden, som kräver att villkoren för dataskydd och datasäkerhet iakttas. Tillstånd för erhållande av uppgifter kan inte beviljas om inte ändamålet för användningen av uppgifterna är lagenligt och om kunden inte förbinder sig till behövliga datasäkerhetsprocesser.
Fastighetsdatarevision – vad gjorde vi?
Under våren 2022 kvalitetsreviderade vi ungefär 20 organisationer som använder Söktjänsten för fastighetsuppgifter. Genom revisionerna kontrollerar vi att kraven på dataskydd och datasäkerhet uppfylls.
Granskningen genomfördes i form av en skriftlig enkät där kunderna ombads att med hjälp av dokument och logguppgifter verifiera att fastighetsuppgifterna behandlades korrekt. Granskningen omfattade följande:
- Uppgifternas användningsändamål
- Dokumentering av behandling av information
- Beskrivning av behandlingsåtgärder enligt EU:s dataskyddsförordning
- Logguppgifternas överensstämmelse med kraven
- Instruktioner och utbildning för personer som behandlar uppgifter.
Utan undantag hade alla organisationer som var föremål för revisionen användningsändamålet för fastighetsuppgifterna i skick, dvs. uppgifterna användes endast för de ändamål för vilka tillståndet hade beviljats. Alla organisationer hade i tillräcklig utsträckning gett instruktioner och utbildning om dataskydd till de personer som behandlade uppgifterna.
Dokument och loggar i ordning
Det fanns skillnader i dokumentationen mellan de olika organisationerna. Det finns inga krav på dokumentationsformen, men dokumentationen bör vara kontinuerligt uppdaterad och beskriva de processer som rör behandlingen av uppgifterna och datasäkerhetslösningarna lösningarna för datasäkerhet i de här processerna.
Alla organisationer som granskades kunde slutligen uppvisa en beskrivningsdokumentation som uppfyllde de krav som ställts i avtalet. Ur Lantmäteriverkets synvinkel fanns det dock utrymme för förbättring gällande hur väl man i organisationerna känner till beskrivningarna och håller dem uppdaterade.
Alla granskade organisationer hade sett till loggföringen, även om vi vid revisionen noterade att loggarna inte i alla fall kunde påvisa vilken fysisk person som gjort en sökning rörande fastighetens uppgifter. I dessa fall uppmanades organisationerna att rätta till sin loggningspraxis.
Användningen av mjukvarurobotik i systemen har ökat, och även i dessa fall ska tillräcklig information samlas in i loggarna. Dessutom ska en beskrivning av mjukrobotarnas verksamhetsprinciper lämnas in till Lantmäteriverket. I samband med revisionen begärdes sådana beskrivningar av ett antal organisationer.
Vad lärde vi oss?
Revisionen visade att kundorganisationerna fullgör skyldigheterna i avtalen bra eller mycket bra. Det fanns inga allvarliga brister i behandlingen av uppgifterna.
Å andra sidan stärkte revisionen uppfattningen att dataskydds- och datasäkerhetsfrågor bör tas upp så att de inte glöms bort i kundernas dagliga praktiska arbete. Innehållet i och villkoren för Lantmäteriverkets serviceavtal ska vara tillräckligt kända i organisationerna, även till exempel då personal byts ut.
När det gäller genomförandet av granskningsenkäten fann vi också att eftersom antalet kunder som ska granskas inte kan vara så stort åt gången, är det bättre att utföra revisionen som små urval fördelade över olika år. Vi lärde oss också att kunderna måste få tillräckligt med tid för att samla ihop det material som behövs.
Minna Ryyppö
Skribenten är ledande expert vid Lantmäteriverket.
I Lantmäteriverkets blogg behandlar olika skribenter aktuella frågor vid Lantmäteriverket.