Informationssäkerhet och personuppgifter (2026-03-24)

Introduktion

Den 24 mars 2025 samlade vi drygt 20 deltagare för att diskutera informationssäkerhet och konsekvensbedömningar vid AI-användning. Mötet hade ett praktiknära upplägg där en Utvecklingsledare digitalisering från Lidköpings kommun delade sina erfarenheter av att genomföra en DPIA (dataskyddskonsekvensbedömning) för Intric-plattformen, följt av omvärldsbevakning och gruppsdiskussioner om gemensamma utmaningar.

Syftet var att dela konkreta lärdomar kring konsekvensbedömningar, presentera stödmaterial från Intric och skapa forum för kunskapsutbyte om hur man balanserar innovation med informationssäkerhet.

Ämnen som diskuterades

Check-in: Största utmaningarna Deltagarna identifierade juridisk osäkerhet, kompetensbrist, dataflöden i plattformen, svårigheten att arbeta systematiskt med informationssäkerhet samt balansen mellan kontroll och utforskande som centrala utmaningar.

Erfarenheter från en konsekvensbedömning Lidköpings kommun delade sitt tillvägagångssätt för att genomföra DPIA av Intric-plattformen, som de kör i en dedikerad molninstans. De började med en fullständig kravbedömning (KRT), studerade tidigare framgångsrika bedömningar och använde AI-verktyg för att effektivisera arbetet med känsliga dokument. De byggde två AI-assistenter för olika delar av processen och arbetade iterativt med feedback från informationssäkerhetssamordnare och dataskyddsombud (DSO).

Presentationen och den färdiga DPIA:n kommer att delas i Intric Arena när den är sekretessprövad.

Organisering och förvaltning Diskussionen berörde hur man organiserar AI-användning mellan centralt och decentraliserat. Kommunen som presenterade hade en systemförvaltningsplan med representation från olika sektorer, vilket möjliggjorde decentraliserad användning inom tydliga ramar.

Omvärldsbevakning Fyra viktiga initiativ lyftes fram: Oskarshamns kommuns förhandssamråd med Integritetsmyndigheten (IMI) om Gemini för elever, IMI:s pågående innovationssandlåda med Kalmar kommun kring transkribering, IMI:s kommande innovationssandlåda med fokus på generella AI-plattformar, samt Datatilsynets (Norge) Sandkasse-projekt med tre norska kommuner kring transkribering i socialomsorg.

Stödmaterial från Intric Vi presenterade strukturerat stödmaterial för konsekvensbedömningar, inklusive tekniska systembeskrivningar, dataflödesvisualiseringar, dokumentation av tekniska och organisatoriska skyddsåtgärder samt steg-för-steg-guide. Allt material finns samlat på Intrics hjälpcenter.

Behandlingsregister och informationsklassning Flera deltagare lyfte utmaningen med att hålla strukturerade behandlingsregister och informationsklassning. AI-användningsfall tenderar att vara mer dynamiska och skära över traditionella processstrukturer, vilket kräver mer granulär klassificering på informationsmängdsnivå snarare än processnivå.

AI-förordningen Diskussionen berörde behovet av att komplettera GDPR-perspektivet med AI-förordningen, som blir fullt implementerad 2026. Många organisationer har ännu inte börjat fundera på dessa krav, och det kommer dröja innan det finns tydliga prejudikat från tillsynsmyndigheter.

Lärdomar och insikter

  • Använd AI för att effektivisera DPIA-arbetet: Genom att använda AI-assistenter kunde arbetet med att sammanställa och analysera underlaget effektiviseras betydligt, vilket minskade arbetstiden markant.
  • Konsekvensbedöm på högre nivå: Sikta på att göra konsekvensbedömningar som täcker upp flera användningsfall och ändamål, snarare än att göra nya bedömningar för varje enskild assistent. Detta möjliggör smidigare innovation inom de ramar som bedömts.
  • Börja med öppen information: Starta AI-resan med icke-känslig, öppen information för att inte fastna i långdragna processer som hämmar innovation. När organisationen har byggt upp kompetens och rutiner kan man successivt utöka till mer känsliga användningsområden.
  • Iterativ process med rätt kompetenser: Framgångsrik konsekvensbedömning kräver iteration med informationssäkerhetssamordnare och DSO. Viktigaste feedbackområdena brukar vara ändamålsskrivning, hantering av felaktig information, tredjelandsöverföringar (TIA) och rättslig grund (6.1.e - uppgift av allmänt intresse).
  • Balans mellan centralisering och decentralisering: En systemförvaltningsplan med tydliga roller och representation från olika sektorer möjliggör att verksamheter kan arbeta självständigt inom säkra ramar, samtidigt som nya ändamål och högriskscenarier hanteras centralt.
  • Regelbunden uppföljning är avgörande: Konsekvensbedömning är inte en engångsinsats. Det krävs systematisk uppföljning genom loggranskning, stickprovskontroller och aktiv systemförvaltning för att säkerställa efterlevnad över tid.
  • Visa att ni har försökt: När det gäller AI-förordningen finns ännu inga tydliga prejudikat. Det viktiga är att dokumentera att man har arbetat systematiskt med att tillämpa kraven, snarare än att ha alla svar från början - precis som det var med GDPR initialt.

Nästa steg

Under mötet uttrycktes intresse för fortsatt erfarenhetsutbyte kring behandlingsregister och konsekvensbedömnigsarbete mellan kommuner. Vi kommer därför att bilda en arbetsgrupp i Intric Arena för intresserade kommuner som vill utforska möjligheten att dela behandlingsregister över kommungränser. Detta skulle kunna underlätta arbetet med att systematiskt bedöma nya användningsfall och skapa gemensamma strukturer för informationsklassning på processnivå.

Uppdaterad