Vad exakt säger lagen om kommunens skyldighet att identifiera vilka ”gästanvändare” som använder kommunens apparater? Och gäller samma sak till exempel för bibliotekens kunddatorer?

Vad exakt säger lagen om kommunens skyldighet att identifiera vilka ”gästanvändare” som använder kommunens apparater? Och gäller samma sak till exempel för bibliotekens kunddatorer? På vilket sätt kräver lagen att de som använder kunddatorerna identifieras?

Då det är fråga om en tjänst som biblioteket erbjuder och kunderna själva gör utskrifter som kan innehålla personuppgifter, är inte biblioteket ett personuppgiftsbiträde. Fokus är därför inte på dataskyddet utan på informationssäkerheten.

Informationshanteringslagen ställer vissa krav i fråga om informationssäkerheten. Lagens 13 § föreskriver bland annat att en informationshanteringsenhet ska säkerställa att informationsmaterialen och informationssystemen är informationssäkra under hela deras livscykel.

Trots att informationshanteringslagen i huvudsak berör kommunens egen informationshantering, kunde lagen tolkas vara tillämplig också i det här fallet, då biblioteket erbjuder utskriftsservice till sina kunder. Det är inte den mest ändamålsenliga lösningen att avlägsna skrivarna helt och hållet. I en del bibliotek har man redan tagit i bruk en metod för säker utskrift, det vill säga att utskriften inte skrivs ut förrän man loggar in i skrivaren till exempel med hjälp av sitt bibliotekskort. Med tanke på informationssäkerheten rekommenderar jag en övergång till säker utskrift.

Datasystem som myndigheterna ger allmänheten tillgång till ska vara informationssäkra, även om kunderna skriver ut sina personliga papper. Kunden har förstås ändå en omsorgsplikt. I det här fallet hade bibliotekets ledning upptäckt risker vid databehandlingen, men det framgick inte om de hade gjort en riskbedömning i saken, eller om det ingår i planerna i något skede. I varje fall hade ledningen med sina åtgärder strävat efter att förhindra att motsvarande fall som kränker informationssäkerheten upprepas, vilket i sig var bra.

En del av skrivarna håller på att bytas ut och också gällande nya apparater ska ”myndigheten vid sina upphandlingar säkerställa att de aktuella informationssystemen har lämpliga säkerhetsåtgärder.” (13 § 4 mom.)

Att förverkliga en informationshanteringsmodell enligt lagens 5 § torde bli aktuellt i biblioteken i något skede – i slutet av det här året (2021) är en föreskriven tidtabell (30 §) som torde vara optimistisk, men fortsättningsvis möjlig.

Också på det här fallet är kraven i informationshanteringslagen tillämpliga. Framför allt borde man här göra en riskbedömning enligt 13 § och genom den bedöma behovet av identifiering (16 §) och av att samla in logginformation (17 §). En identifiering på någon nivå skulle vara motiverad i det här fallet. Det beror sedan på riskbedömningen om det räcker med att till exempel skapa användarnamn och lösenord eller om stark identifiering behövs.