Ansvaret för geografisk information ligger hos ägaren. Den offentliga förvaltningen har mycket geografisk information av vilket en del är offentlig och en del öppet tillgänglig. Enligt offentlighetslagen ska myndigheterna ge medborgarna tillgång till information om sin verksamhet. All offentlig information är dock inte öppen eller öppet tillgänglig.
Geografisk information är förknippad med nya slags krav på informationssäkerhet och dataskydd, och som man ofta i praktiken försöker lösa genom dataskyddsmetoder. Dessa metoder kan användas i förväg, vara upptäckande eller korrigerande.
Kompetenta aktörer, som kommuner, måste tillämpa alla dessa. Tyngdpunkten bör ligga på planering och beredskap i förväg, eftersom det är billigast, effektivast och ofta den enda möjligheten att säkerställa den information som ska skyddas bland all information.
Skydd av geografisk information skyddar samhället
Geografisk information är viktig för säkerheten, både genom att öka möjligheterna och öka hoten. Därför ingår riskanalys och övervägande av om informationen ska publiceras som en nödvändig del av att publicera geografisk information. Geografisk information utgör en stor informationsmängd som sammanlagd datavolym och redan därför utgör informationen ett skyddsvärt objekt med tanke på samhällets totala säkerhet.
Dessutom måste varje aktör som samlar in, hanterar eller behandlar geografisk information skydda sin information mot obehörig användning. Målet är att informationen finns tillgänglig för berättigade användare som behöver få uppgifterna (s.k. need-to-know-princip). Dessutom måste informationen finnas tillgänglig på överenskommen plats när den behövs (s.k. need-to-go).
Samma datasäkerhetsprinciper gäller för geografisk information som för vilken annan information som helst: uppgifterna skyddas genom att i förväg gå igenom kraven på integritet, konfidentialitet och användbarhet samt tillgänglighet.
Geografisk information innebär också dataskyddsrisk
Geografisk information är också förknippad med dataskyddsperspektiv av vilka en del kan vara svåra att identifiera. Bland annat att kombinera uppgifter med hjälp av direkt eller indirekt position och enhetlig identifierare för geografisk information kan utgöra en risk, speciellt vid publicering ur känsliga filer. Även personer kan identifieras indirekt och om uppgifter om en fysisk person från olika källor samlas kan det leda till dataskyddskränkningar.
Realtidskaraktären och tillgängligheten för geografisk information gör det å ena sidan möjligt för olika slags tjänster som tryggar samhället att fungera oklanderligt. Å andra sidan kan en alltför stor öppenhet öka risken för missbruk om uppgifter kombineras och används på ett sätt som äventyrar säkerheten.
Tips för kommuner
Tänk på detta vid kommunernas arbete med geografisk information och sök svar på frågorna:
1. Känner du kommunens viktiga objekt?
Vilken geografisk information är kritisk infrastruktur där det är klokt att granska öppen publicering av metadata och själva datamängden före publiceringen? Radering av ett enskilt objekt rekommenderas i allmänhet inte om det syns på till exempel flygfotografier, men till exempel genom generalisering av egenskapsdata kan kritiska infrastrukturdata skyddas.
- Be om en introduktion av din chef eller kommunens dataskyddsombud.
2. Tänk efter innan du publicerar öppet
Kontrollera att innehållet inte innehåller (känsliga) personuppgifter om medborgare/privatperson, uppgifter om personer med spärrmarkering eller uppgifter som äventyrar den nationella säkerheten. Fäst särskild uppmärksamhet på vilka egenskapsdata du publicerar om kritiska infrastrukturobjekt.
- Gör en riskanalys. Informationen kan som enstaka uppgift vara ofarlig för totalsäkerheten, men som en del av en omfattande helhet utgöra en risk för skyddet av samhällets funktion.
- Innehåller kommunens anvisningar för hantering av personuppgifter indirekt identifiering av personer?
3. Behöver all geografisk information vara tillgänglig?
Kan en del av kommunens data delas bara internt inom förvaltningen? Om till exempel planuppgifter om planerade och genomförda projekt finns offentligt tillgängliga kan en obehörig analysera utfallet så att säkerhetsrisker kan uppstå. Om det i kommunen finns objekt som ska ges särskilt skydd bör kommunen med Försvarsmaktens regionalbyrå komma överens om publicering av information .
4. Är tekniken i skick?
När uppdaterades GIS-servrarna senast? Har säkerhetsprogramvaror införskaffats för kommunens arbetsstationer och servrar och kan någon analysera vid larm om skadlig programvara? Kommunen måste ha teknisk förmåga hos personalen, uppföljning och förmåga att be om hjälp i akuta situationer från Cybersäkerhetscentralen.
- Följs användningen av webbtjänster och överförs information på ett säkert sätt?
- Vet man vilka som laddar ner material från servern och för vilket ändamål?
5. Var hittar du hjälp?
Talar kommunens personal om ifall de observerar något underligt i geografisk information som publicerats och vem vänder de sig till? Hur har dataskyddsutbildningen skötts i kommunen och tar kommunens dataskyddsombud ställning till säkerheten för geografisk information? Har kommunen en process för vad man gör om det uppkommer misstanke om dataskyddskränkning av personuppgift?
Fråga oss om säkerhet för geografisk information
Du kan skicka ditt meddelande till paikkatietoturvallisuus(a)maanmittauslaitos.fi. Vi svarar på frågor inom några dagar (med undantag för semestertider).
Se viktiga länkar på den finskspråkiga sidan.