Kistamässan 18-19 mars 2025

Personuppgifter i kamerabevakningssystem glöms ofta bort

Det ställs ofta höga krav på att verksamheter ska skydda sig mot intrång och att rätten till tillgång till lokaler och utrymmen styrs utifrån behov. För att möta dessa krav finns ofta passersystem och kamerabevakning installerat för att skapa spårbarhet och för att försvåra eller förhindra brott. Kamerabevakningen kan också ge värdefull information vid inträffade brott och kan därmed underlätta polisens utredningsarbete. Inom dessa säkerhetssystem finns personuppgifter lagrade. Personuppgifter som ofta förbises vid företags inventering av personuppgifter.

Att det förekommer personuppgifter i säkerhetssystem torde vara allmänt känt. Detta blir väldigt tydligt i passersystem då behörigheter kopplas till personer och aktivt administreras med för- och efternamn. Att personuppgifter också kan utgöras av inspelat videomaterial i kamerabevakning är däremot inte lika uppenbart. Men då kamerabevakningen ofta utgörs av personbevakning med lagrat videomaterial ställs en rad krav på den organisation som bedriver kamerabevakning att detta hanteras i enlighet med kamerabevakningslagen och dataskyddsförordningen, GDPR.
Några av de vanliga fel som förekommer för kamerabevakning med anledning av de skyldigheter som följer av dataskyddsförordningen är följande:

Bristfällig skyltning
Skyltning vid kamerabevakning har historiskt skett genom tydlig skyltning med information om att kamerabevakning sker och med information om, eller reklam för, den som installerat kamerabevakningen.
Dataskyddsförordningen ställer högre krav på informationen, vilket bland annat innebär att det tydligt måste framgå vem som kamerabevakar, hur denne kan kontaktas och var de personer som blir föremål för kamerabevakningen kan läsa mer om detta. En rundtur i valfri stad kommer visa att korrekt skyltning är ytterst sällsynt.

Bristfällig dokumentation
Att dokumentera kamerabevakning utifrån tekniska förmågor förekommer tämligen frekvent. Uppgifter som kameraplacering och prestanda blandas med rutin vid exportering av videomaterial för att underlätta vid överlämnande till polis.
Den dokumentation som krävs enligt dataskyddsförordningen saknas oftast. Ofta innebär detta att kamerabevakningens dokumentation ska bevisa att den bedrivs med ett så kallat berättigat intresse. Detta kan vara att kamerabevakningen är nödvändig för att förebygga brott eller skadegörelse. Det ska även säkerställas att samtliga bedömningar som krävs enligt dataskyddsförordningen finns dokumenterade och förvaras på en känd plats. Dokumentationen ska inte vara beroende av en person som kanske slutar några år efter upprättandet av dokumentationen.

Bristfällig IT-säkerhet
Det finns otaliga exempel på hur bristfällig IT-säkerhet i kamerabevakningssystem gett tillgång till direktsänt och lagrat videomaterial. Detta är resultatet delvis av säkerhetsprodukter som förhållandevis nyligen börjat höja nivån på IT-säkerhet i själva produkterna, men det har även förvärrats av installationer där exempelvis standardlösenord inte ändrats och där säkerhetsuppdateringar och brandväggar stängts av för att inte kunna orsaka oönskade omstarter eller driftsstörningar. Det krävs en högre ambitionsnivå vid dessa installationer för att inte lämna videomaterial oskyddat. Kamerabevakningssystemet kan även utgöra en svag länk, och därmed underlätta intrång i företags nätverk.

Avsaknad av personuppgiftsbiträdesavtal
Ger ni något annat företag tillgång till ert videomaterial? Detta kan exempelvis ske genom att installatören exporterar video till sina egna datorer för vidare hantering eller att en larmcentral vid vissa tillfällen kopplar upp sig och hanterar videomaterialet. Vid dessa tillfällen ska ett personuppgiftsbiträdesavtal finnas mellan den som äger kamerabevakningssystemet och det företag som får tillgång till videomaterialet/personuppgifterna.

Detta är några vanliga exempel på brister som ofta förekommer hos företag som köpt utrustning för kamerabevakning. Kunskapsnivån om dataskydd hos de som installerar utrustningen varierar kraftigt och man är ibland rädd för att kraven från kamerabevakningslagen och dataskyddsförordningen ska försvåra i försäljningsprocessen.

Vår erfarenhet är att det endast krävs förhållandevis små insatser hos de organisationer som vill bedriva kamerabevakning för att säkerställa att kamerabevakningen sker i enlighet med kraven i dataskyddsförordningen. Detta kräver dock en medvetenhet om varför man kamerabevakar ända ner till syftet med varje enskild kamera. Om kamerabevakning sker med kunskap om dataskyddsförordningen kommer detta sannolikt inte detta innebära en mindre effektiv kamerabevakning utan snarare en bevakning som sker med ökad medvetenhet och på ett mer kostnadseffektivt sätt.

Denna text är skriven av Mikael Hammarström, seniorkonsult inom fysisk säkerhet och informationssäkerhet på Knowit Cybersecurity & Law.

Låt oss hålla kontakten

Anmäl dig till vårt nyhetsbrev nedan och få den senaste informationen om mötesplatsen.
Scroll to Top