Bara den som har rätt att behandla personuppgifter ska kunna utföra behandlingen. Ett grundkrav på system som innehåller personuppgifter är att de går att styra behörigheten.

Säkerheten kring behörigheter beror mycket på tilldelning och avslutande av behörigheter. Om det dessutom gäller tillgång till känsliga personuppgifter är kraven ännu högre på fungerande rutiner för behörighetshantering och även loggningsfunktioner i systemen, exempel vem som gjorde var och när.

Skapa arbetsrutiner för behörigheter. Följande rekommenderas:

• Säkerställ att ni har fungerande rutiner även när en medarbetare byter tjänst internt eller när en medarbetare slutar.
• Ha rutiner för att minst årligen kontrollera att behörigheterna är korrekta.
• Kraven på behörigheter gäller även våra leverantörer. Se därför regelbundet över vilka behörigheter som finns hos våra leverantörer.