Gå till innehåll
Stäng
Riksrevisionen logotyp, länk till startsidan.
Stäng
Riksrevisionen logotyp, länk till startsidan.

Ordlista

Beröringspunkterna mellan dataskydd, informationssäkerhet och cybersäkerhet är många. I grunden är det ofta samma typ av systematiska arbete och åtgärder som behövs för att förebygga hot mot den personliga integriteten och för att stärka skyddet för samhällets säkerhet.

Cyberangrepp (eller IT‑angrepp)
Ett cyberangrepp är ett försök att få obehörig åtkomst till nätverk och informationssystem för att stjäla, ändra, otillgängliggöra eller förstöra data.

Cybersäkerhet
Det finns ingen standardiserad, allmän definition av cybersäkerhet. Europeiska revisionsrätten definierar cybersäkerhet som den verksamhet som krävs för att skydda nätverks- och informationssystem, deras användare och övriga personer som berörs av cyberhot. Det inbegriper förebyggande, detektering och hantering av samt återställning efter cyberincidenter. Dessa incidenter orsakas av händelser som kan vara planerade eller oplanerade och omfatta oavsiktligt röjande av information, angrepp mot företag och kritisk infrastruktur, stöld av personuppgifter och till och med inblandning i demokratiska processer och val. De kan även omfatta allmänna desinformationskampanjer som syftar till att påverka den offentliga debatten.[421] Se även Informationssäkerhet och Dataskydd.

Dataskydd
Dataskydd innebär att var och ens rättigheter och friheter tillgodoses vid behandling av personuppgifter. Syftet med dataskydd är att ange när och under vilka förutsättningar personuppgifter kan behandlas. Se även Informationssäkerhet och Cybersäkerhet.

Informationsklassning
Att klassa sin information avseende konfidentialitet, riktighet och tillgänglighet i olika nivåer utifrån vilka konsekvenser ett bristande skydd kan få.[422] Att klassa informationstillgångar innebär att genom konsekvensanalyser identifiera skyddsbehov för information och resurser som hanterar information.

Informationssäkerhet
Bevarande av konfidentialitet, riktighet och tillgänglighet hos information.[423] Informationssäkerhet innefattar både organisatorisk säkerhet och teknisk säkerhet (se vidare Säkerhetsåtgärder). Andra närliggande begrepp som används för att beskriva samma grundläggande systematiska arbete är dataskydd och cybersäkerhet. Beröringspunkterna mellan de olika begreppen är många. I grunden är det ofta samma typ av säkerhetsåtgärder som behövs för att förebygga hot mot den personliga integriteten och för att stärka skyddet för samhällets säkerhet. I granskningen används begreppet informationssäkerhet.

IT‑incident eller informationssäkerhetsincident
En IT‑incident är en händelse med en faktisk negativ inverkan på säkerheten i nätverk och informationssystem.[424] Informationssäkerhetsincidenter kan samtidigt vara andra typer av incidenter såsom personuppgiftsincidenter.

Konfidentialitet
Konfidentialitet är en egenskap hos en informationstillgång som innebär att den inte tillgängliggörs eller avslöjas för obehöriga individer, objekt eller processer.

Ledningssystem för informationssäkerhet
Del av myndighetens övergripande ledningssystem, baserat på en metodik för verksamhetsrisk, som syftar till att upprätta, införa, driva, övervaka, granska, underhålla och utveckla organisationens informationssäkerhet.[425] Ledningssystemet omfattar organisationsstruktur, policyer, planeringsaktiviteter, ansvar, praxis, rutiner, processer och resurser.

Omsorgsgivare
Den som ansvarar för eller utför insatser för äldre personer eller personer med funktionsnedsättning.[426]

Patientinformation
Personuppgifter som hanteras i journalsystem, kvalitetsregister och liknande.

Personuppgift
All information som handlar om fysiska personer som kan identifieras är personuppgifter. Det spelar ingen roll om individen är direkt identifierbar genom uppgiften, eller om det krävs ytterligare information för att individen ska kunna identifieras.[427]

Personuppgiftsansvarig
Den organisation, till exempel aktiebolag, stiftelse, förening eller myndighet, som bestämmer för vilka ändamål uppgifterna ska behandlas och hur behandlingen ska gå till.[428]

Personuppgiftsincident
En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring av personuppgifter. Den kan också leda till ett obehörigt röjande av eller obehörig åtkomst till personuppgifter.[429]

Riktighet
Egenskap hos informationstillgång som innebär att den skyddas mot oönskad förändring.

Säkerhetsåtgärder
För att skydda information krävs säkerhetsåtgärder, det vill säga åtgärder för att möta en organisations risker. Säkerhetsåtgärder för informationssäkerhet omfattar åtgärder inom det organisatoriska, personrelaterade, tekniska och fysiska säkerhetsområdet. Åtgärderna kan verka förebyggande, upptäckande eller korrigerande. Inom det organisatoriska området återfinns exempelvis policyer och riktlinjer, interna rutiner och instruktioner, roll- och ansvarsfördelning och ledningens ansvar samt hantering av informationssäkerhetsincidenter. Personrelaterade åtgärder inbegriper bland annat bakgrundskontroll samt medvetenhet och utbildning inom informationssäkerhet. Tekniska säkerhetsåtgärder avser bland annat åtkomsträttigheter, säkerhetskopiering av information, inloggning, brandväggar, kryptering och antivirusskydd. Med fysiska säkerhetsåtgärder avses exempelvis fysiskt skalskydd och tillträde, arbete i säkrade utrymmen och placering och skydd av utrustning.[430]

Tillgänglighet
Innebär i informationssäkerhetssammanhang att en informationstillgång är åtkomlig och användbar inom förväntad tid och i förväntad omfattning.

Vårdgivare
Statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet.[431]

  • [421] Kontaktkommittén för de högre revisionsorganen inom Europeiska unionen (2020), Cybersäkerhet i EU och medlemsstaterna, s. 9.
  • [422] 6 § 1 MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
  • [423] 3 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
  • [424] 2 § lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.
  • [425] 3 § MSB:s föreskrifter om informationssäkerhet för statliga myndigheter (MSBFS 2020:6).
  • [426] Omsorgsgivare definiteras i 1 § lagen (2022:913) om sammanhållen vård- och omsorgsdokumentation. I granskningen använder vi begreppet i en allmän mening för verksamheter som bedriver omsorg om äldre och personer med funktionsnedsättning. Se avsnitt 1.2.
  • [427] IMY, ”Introduktion till dataskyddsförordningen”, hämtad 2023-02-13.
  • [428] IMY, ”Personuppgifts­ansvariga och personuppgiftsbiträden”, hämtad 2023-02-13.
  • [429] IMY, ”Anmäl personuppgifts­incident”, hämtad 2023-02-17.
  • [430] Svenska institutet för standarder, Svensk standard SS-ISO/IEC 27002:2022, Informationsteknik – Säkerhetstekniker – Riktlinjer för informationssäkerhetsåtgärder (ISO/IEC 27002:2022, IDT), utgåva 3.
  • [431] 2 kap. 3 § hälso- och sjukvårdslagen (2017:30).

Uppdaterad: 18 april 2024

Kontakta oss

Skicka dina frågor eller synpunkter via formuläret nedan så ser vi till att de når rätt handläggare. Ange gärna om din fråga har att göra med informationen på just den här sidan. Genom att skicka in en fråga till oss medger du behandling av dina personuppgifter i enlighet med EU:s dataskyddsförordning (GDPR).

Läs mer om behandling av personuppgifter

Vad handlar din fråga om?
Vad handlar din fråga om?