Syftet med denna sida är att skapa en gemensam förståelse för juridiska och säkerhetsmässiga aspekter på systemintegration av personuppgifter. Målsättningen är att underlätta diskussion mellan informationsägare, integrationsarkitekter och andra inblandade när man värderar olika lösningsförslag för integration.
...
Detta mönster bygger på att uppgifter skickas till mottagaren när de etableras/uppdateras. Mottagaren lagrar uppgifterna.
Filter på GU
TBD
Filter hos extern leverantör
Tjänsten skickar ut ALLA uppgifter. Extern part behöver göra behandling i form av filtrering:
...
Överföringen initieras av att ett behov uppstår i källsystemet, t.ex. etablering av en ny person.
TBD Data behöver berikas från GU (t.ex. studieaktivitet), men endast en delmängd av data i källsystemet får behandlas av extern part. Kriterierna för att avgöra detta är inte tillgängliga på GU (t.ex. samtycke registrerat i leverantörens system). Det faktum att leverantören känner till en identifierare (t.ex. personnummer) är tillräcklig grund för utlämnande.
Notera att Extern part har personuppgiftsansvar även för den behandling (transformering) som görs av GU (enligt PUBA).
...
Det är i detta fall fortfarande GU som ansvarar för behandlingen och den görs med rättslig grund som gäller för GU.
Datasäkerhetsaspekter
TBD
...
En personuppgiftsbehandling kan vara olämplig ur ett datasäkerhetsperspektiv även om det rent formellt finns en rättslig grund. Ett exempel är överföring av personuppgifter till en kommersiell aktör på villkor att denne bara ska behandla uppgifter i sitt system för personer som lämnat samtycke till detta. Denna filtrering regleras i PUBA och görs av den externa aktören på uppdrag av GU.
Rent juridiskt finns inga hinder för detta, men det kan vara olämpligt av andra skäl t.ex. att man bedömer att det finns ett starkt incitament hos leverantören för att kringgå avtalet.
Om man beslutar sig för ett lösningsmönster av detta skäl ska detta baseras på en riskanalys.
Beslutsprocess
Det är viktigt att man inte blandar ihop rättsliga och säkerhetsmässiga aspekter vid beslut om lösningsmönster för integration.
Följande är en process som man kan använda för att bestämma vilket lösningsmönster som är tillämpbart i den aktuella situationen.
...