GDPR och kryptering

GDPR

En sökfråga som dyker upp då och då dyker upp här på Kryptera.se är och kryptering. Så varför inte ta tag i detta och ställa några frågor till Jonatan Seeskari som är specialist på GDPR och jobbar på .

Jonatan skriver följande gällande GDPR och kryptering:

”GDPR ställer inte absoluta krav på kryptering av personuppgifter. Det nya regelverket innehåller dock omfattande krav på säkerheten i samband med behandling av personuppgifter, särskilt när det kommer till känsliga uppgifter (t.ex. hälsa).

Som du kanske känner till så finns det också nya koncept kring ”inbyggt dataskydd” och ”dataskydd som standard”. I grunden kan kryptering användas som ett verktyg av flera tillgängliga för att uppnå kraven på sådana tekniska och organisatoriska åtgärder som säkerställer en säkerhetsnivå som är lämplig i förhållande till risken med behandlingen av personuppgifterna.

Krypterade personuppgifter kan även underlätta hanteringen av och behandling av personuppgifter för nya ändamål i och med att GDPR innehåller vissa undantag för dessa situationer – under förutsättning att personuppgifterna är krypterade.”

Tittar vi vidare förordningstexten för dataskyddsförordningen så förekommer ordet ”kryptering” tre gånger:

Artikel 6

Laglig behandling av personuppgifter

”Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.”

Avsnitt 2 – Säkerhet för personuppgifter

Artikel 32

Säkerhet i samband med behandlingen

”a) pseudonymisering och kryptering av personuppgifter,”

Artikel 34

Information till den registrerade om en

”a) Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.”

Jonas Lejon

Om Jonas Lejon

En av sveriges främsta cybersäkerhetsexperter med nästan 20 års erfarenhet inom området och en bakgrund från FRA och Försvarsmakten. Kontakta mig gärna på telefonnummer 010 1018099 eller [email protected] om Er organisation behöver hjälp med cybersäkerhet. LinkedIn Twitter

2 comments

  1. Carl-Arne Johannesson

    Kryptering har inget värde som skydd om inte bra processer för nyckelhantering är upprättade. Pseudonymisering är också ett svårt område då möjligheterna till härledning av informationen till en viss person eller begränsad grupp ökar över tid. T.ex. Google och FB bygger hela tiden upp kunnande om oss som kan användas för härledning. Det är viktigt att hantera dessa frågeställningar om man skall leva upp till kraven i GDPR.

Skriv en kommentar

Du kan använda följande HTML HTML:
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>