simplineers

Dataskydd · Informationssäkerhet

GDPR-artiklar i ljuset av informationssäkerhetens mål

Kärnan i Art. 32.1(b) — konfidentialitet, integritet/riktighet, tillgänglighet och motståndskraft — knyter GDPR:s säkerhetskrav till informationssäkerhetens klassiska mål. Venn-diagrammet visar konfidentialitet, riktighet och tillgänglighet som tre huvudperspektiv, medan kompletterande mål som ansvarighet, reviderbarhet, äkthet och oavvislighet visas som stödjande kluster. Övriga GDPR-artiklar placeras i dataskyddsramen runt säkerhetsmålen och visar hur personlig integritet ges rättsligt innehåll.

Terminologinotis: ”Riktighet” används här i informationssäkerhetens betydelse av integrity (data har inte manipulerats). GDPR använder också ”riktighet” som princip i Art. 5(1)(d) — där det syftar på accuracy, dvs att personuppgifterna är korrekta och vid behov uppdaterade. Två närliggande men inte identiska begrepp.

3 + 4 säkerhetsmål (CIA + bevisegenskaper) GDPR Kap. I–XI konceptuellt placerade ur ett informations­säkerhets- och ansvarighets­perspektiv Håll muspekaren — eller tabba — till en artikelchip för kort beskrivning

— bestämmelser som definierar vad som ska skyddas och för vem

Omfattning & definitioner Kap. I
Art. 1 Art. 2 Art. 3 Art. 4
Principer & laglig grund Kap. II
Art. 5(1)(a) Art. 5(1)(b) Art. 6 Art. 7 Art. 8 Art. 10 Art. 11
Registrerades rättigheter Kap. III
Art. 12 Art. 13 Art. 14 Art. 17 Art. 18 Art. 19 Art. 21 Art. 22 Art. 23
UTVIDGADE SÄKERHETSMÅL UTVIDGADE SÄKERHETSMÅL Konfidentialitet CONFIDENTIALITY · C Riktighet INTEGRITY · I Tillgänglighet AVAILABILITY · A
AnsvarighetAccountability
ReviderbarhetAuditability
ÄkthetAuthenticity
OavvislighetNon-repudiation
Endast C
Art. 5(1)(c) Art. 5(1)(e) Art. 9 Art. 29 Art. 34
Endast I
Art. 16
Endast A — drift & rättighetsåtkomst
Art. 15 Art. 20 Art. 32(1)(c)
C ∩ I
Art. 5(1)(f) Art. 25
C ∩ A
Art. 28
I ∩ A
Art. 5(1)(d)
C ∩ I ∩ A — kärnan
Art. 32 Art. 32(1)(b)

— bestämmelser som styr vart uppgifter får flöda och hur efterlevnad upprätthålls —

Företrädare & samarbete Kap. IV avsnitt 1–2
Art. 27 Art. 31
Efterlevnadsbevis & certifiering Kap. IV avsnitt 5
Art. 40 Art. 41 Art. 42 Art. 43
Internationell överföring Kap. V
Art. 44 Art. 45 Art. 46 Art. 47 Art. 48 Art. 49 Art. 50
Tillsyn & samarbete Kap. VI–VII
Art. 51–59 Art. 60–67 Art. 68–76
Rättsmedel & sanktioner Kap. VIII
Art. 77 Art. 78 Art. 79 Art. 80 Art. 81 Art. 82 Art. 83 Art. 84
Särskilda situationer Kap. IX
Art. 85 Art. 86 Art. 87 Art. 88 Art. 89 Art. 90 Art. 91
Delegerade akter & slutbestämmelser Kap. X–XI
Art. 92–99

Utvidgade säkerhetsmål — artiklar i detalj

ringen förstoras 04 / kompletterar CIA
Accountability

Ansvarighet

Spårbart ansvar — användare och den personuppgiftsansvarige kan hållas ansvariga för sina handlingar.

Art. 5(2) Art. 24 Art. 26 Art. 30 Art. 35 Art. 37–39
Auditability

Reviderbarhet

Händelser kan loggas, följas upp och granskas — internt såväl som av tillsynsmyndighet.

Art. 30 Art. 33 Art. 35 Art. 36 Art. 39(1)(b) Art. 58(1)
Authenticity / Trustworthiness

Äkthet

Identitet och informationskälla kan verifieras — väsentligt för t.ex. BankID, stark kundautentisering och rättigheter.

Art. 12(6) Art. 14(2)(f) Art. 32 Art. 5(1)(d)
Non-repudiation

Oavvislighet

En part ska inte kunna förneka en utförd handling eller transaktion i efterhand. Kräver normalt starkare bevisning än ett register — signerade händelser, säkra loggar eller transaktionsbevis.

Art. 7(1) Art. 33(5)
Konfidentialitet Bara behöriga får ta del av informationen.
Riktighet Information och system får inte ändras obehörigt.
Tillgänglighet Information och system finns när de behövs.
Personlig integritet GDPR:s övergripande mål — ramen runt allt övrigt.