IMY varnar Migrationsverket
Efter att ha granskat hur Migrationsverket använder VIS för utbyte av uppgifter om visum mellan EU:s medlemsländer, utfärdar IMY två varningar eftersom det finns risk för att bestämmelserna i dataskyddsförordningen kan brytas. Dels finns det en risk att det kan uppstå felaktigheter vid utveckling och fortsatt förvaltning av VIS på grund av otydligheter kring IT-dokumentationen, dels finns det en risk att användarloggar sparas för länge eftersom Migrationsverket saknar en rutin för gallring av användarloggar.
BAKGRUND
Integritetsskyddsmyndigheten (IMY) beslutade, i enlighet med en fastställd inspektionsplan, att granska Migrationsverkets behandling av personuppgifter i den nationella delen av informationssystemet för viseringar (VIS). Syftet med granskningen var att kontrollera om behandlingen av personuppgifter överensstämde med dels förordning (EU) 767/2008 (VIS-förordningen), dels förordning (EU) 2016/679 (dataskyddsförordningen).
VIS är ett EU-gemensamt system för utbyte av uppgifter om viseringar för kortare vistelser mellan EU:s medlemsländer. VIS innehåller personuppgifter som samlats in och registrerats i samband med ansökan om visum. Vilka personuppgifter som får behandlas anges i VIS-förordningen och inkluderar bland annat fingeravtryck och fotografier.
INTEGRITETSSKYDDSMYNDIGHETEN
Inledning
IMY:s granskning är omfattande och Migrationsverkets hantering av VIS föranleder på de flesta punkter ingen anmärkning från tillsynsmyndigheten. Vad gäller IT-säkerheten, beträffande dokumentation av IT-arkitekturen över VIS och gallring av användarloggar, bedömer dock IMY att det finns vissa brister.
Rättslig reglering
De grundläggande principerna för behandling av personuppgifter anges i artikel 5 dataskyddsförordningen. I artikel 32 dataskyddsförordningen regleras säkerheten i samband med behandlingen. Enligt punkt 1 ska den personuppgiftsansvarige vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken. Enligt punkt 2 ska, vid bedömningen av lämplig säkerhetsnivå, särskild hänsyn tas till de risker som behandlingen medför.
I artikel 32.2 VIS-förordningen anges närmare krav på IT-säkerheten avseende det nationella gränssnittet. Även om artikeln enligt ordalydelsen riktar sig till medlemsstaterna ger den vägledning vid tolkningen av artikel 32 dataskyddsförordningen. Migrationsverket är personuppgiftsansvarig för VIS i Sverige och är därmed den myndighet som ytterst ansvarar för att kraven i artikel 32 dataskyddsförordningen och 32.2 VIS-förordningen är uppfyllda.
Dokumentation av IT-arkitekturen över VIS
IMY konstaterar inledningsvis att en korrekt och uppdaterad dokumentation över IT-arkitekturen är en viktig del i att skydda informationen och IT-system. Det minskar även risker och sårbarhet till exempel när personal byts ut eller slutar. Det är en sådan organisatorisk åtgärd som krävs enligt artikel 32 dataskyddsförordningen.
Vid ett inspektionstillfälle överlämnade Migrationsverket ett dokument med IT-arkitekturen i VIS. Dokumentet hade status ”utkast”. Det saknades också beslutsdatum i rutan ”beslutad av” och information i rutan ”godkänd av”. IMY anser att detta skulle kunna betyda att dokumentet inte formellt är beslutat av myndigheten. Det är inte heller tydligt för den som läser dokumentet att det är ett uppdaterat dokument som återspeglar nuvarande IT-arkitektur. Enligt IMY är det därmed sannolikt att det kan uppstå felaktigheter vid utvecklingen och förvaltningen av VIS, vilket i sin tur kan leda till att Migrationsverket inte vidtar lämpliga tekniska och organisatoriska åtgärder som säkerställer en lämplig säkerhetsnivå enligt artikel 32 dataskyddsförordningen.
Gallring av användarloggar
Enligt IMY kan en användarlogg som sparas längre än vad som är nödvändigt för ändamålet i sig innebära en säkerhetsrisk. I bedömningen, enligt artikel 32 dataskyddsförordningen, av lämpliga säkerhetsåtgärder och användarloggar ligger att ta ställning till hur länge det finns ett behov av att spara dessa ur ett IT-säkerhetsperspektiv. Enligt principen om lagringsminimering i artikel 5.1 e dataskyddsförordningen ska personuppgifter inte sparas längre än vad som är nödvändigt för ändamålet.
Enligt Migrationsverket ska användarloggarna gallras efter tio år, vilket motsvarar preskriptionstiden för grovt dataintrång. Vid en inspektion uppgav Migrationsverket att myndigheten ännu inte fått igång någon rutin för gallring av användarloggar. Den äldsta loggposten registrerades den 1 september 2012. Enligt IMY synes valet av tidsperiod främst bygga på ett informationssäkerhetsperspektiv och inte på ett integritetsperspektiv. Tillsynsmyndigheten understryker att båda perspektiven ska tas i beaktande vid bedömningen.
IMY konstaterar att en avsaknad av en rutin för gallring av användarloggar, nu när tidpunkten att börja gallra loggar närmar sig, sannolikt kan leda till en felaktig behandling av personuppgifter i strid med artikel 5.1 e dataskyddsförordningen.
Sammanfattning
IMY bedömer att det är sannolikt att Migrationsverkets hantering kan komma att leda till felaktig behandling av personuppgifter. Det är inte fråga om konstaterade brister som kan föranleda reprimand, föreläggande eller administrativa sanktionsavgifter. Tillsynsmyndigheten anser dock att det är motiverat att tilldela Migrationsverket varningar för att framtida behandlingar kan komma att stå i strid med artikel 32 dataskyddsförordningen respektive artikel 5.1 e dataskyddsförordningen.
Publicerad 21 dec 2021
Jurist
