Privacy by Design - en metod för utveckling av integritetssäkra IT

| Av Hanna Stenvall | Tipsa redaktionen

INTEGRITETSSÄKERHET. Regelverket för skydd av individers personliga integritet utvecklas fortlöpande, inte minst genom Datainspektionens tillsynsverksamhet. Ett koncept som vuxit sig allt starkare är ”privacy by design”, inbyggd integritet, i samband med utveckling av IT-system. Genom att iaktta fyra grundläggande principer kan företag i säkerhetsbranschen som utvecklar IT-säkerhetslösningar förebygga och undvika obehagliga, och ofta dyra, överraskningar.

Utveckling av nya säkerhets- och IT-system kan vara en långdragen och komplicerad process, där hänsyn måste tas till många olika krav och förutsättningar. En aspekt som tyvärr ofta förbises - eller åtminstone uppmärksammas alltför sent - är personuppgiftslagens, PuL, krav på integritetssäker personuppgiftsbehandling. Skräckexemplet är att parterna först efter driftsättning av ett IT-system inser att hela eller delar av systemet måste byggas om för att uppfylla PuLs krav på integritetssäker personuppgiftsbehandling. Enligt PuL är det den personuppgiftsansvarige, det vill säga den som bestämmer ”ändamålen med och medlen för behandlingen av personuppgifter”, som ska se till att personuppgifter behandlas integritetssäkert.

Personuppgifter får bara behandlas om det är lagligt och om behandlingen är korrekt och i enlighet med god sed. Personuppgiftsansvarig ska dessutom vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. I säkerhetsbranschen och övriga kommersiella sammanhang är det typiskt sett en juridisk person som är personuppgiftsansvarig och följaktligen ansvarig för att systemet uppfyller PuLs krav och regelverk. Vid överträdelser av personuppgiftslagens bestämmelser kan den personuppgiftsansvarige bland annat bli skadeståndsskyldig för kränkning av den registrerades integritet. Även om sådana skadeståndsbelopp i det enskilda fallet sällan uppgår till några högre belopp, så kan det röra sig om stora summor om systemet innehåller uppgifter avseende hundratals, eller kanske tusentals, personer. Vid sidan av risken för skadestånd och andra sanktioner enligt PuL, ska inte heller risken för goodwill- eller PR-förlust underskattas. Det finns alltså stor anledning att förebygga problem utifrån PuLs regelverk. Det är bakgrunden till att konceptet om så kallad privacy by design har utvecklats.

Privacy by design innebär, litet förenklat, att integritetsfrågor ska genomsyra systemets hela livscykel – från förstudie och kravställning, via design och utveckling, till driftsättning, användning och avveckling. Konceptet kan enkelt sammanfattas i följande fyra principer.

1. Minimera antalet personuppgifter som behandlas

Här gäller det för såväl systemleverantören som kunden/beställaren att noggrant tänka igenom vilka personuppgifter som verkligen måste samlas in för att uppfylla ändamålet med systemet. Man bör även fundera på om några personuppgifter kan anonymiseras - notera dock att särskilda krav gäller för sådan anonymisering. Eftersom det, enligt PuL, i regel är förbjudet att behandla uppgifter om enskildas hälsa och andra så kallade känsliga personuppgifter bör sådana i största möjliga utsträckning undvikas. Även personnummer bör undvikas eftersom sådana, vid avsaknad av den registrerades samtycke, bara får behandlas när det är klart motiverat. I många fall är det sannolikt tillräckligt att registrera födelsedatum istället för personnummer.

2. Begränsa åtkomsten till de lagrade personuppgifterna
Ofta behöver vissa personer, arbetsgrupper eller arbetsroller tillgång till en större mängd personuppgifter än andra. För exempelvis HR-system kan ekonomiavdelningen behöva tillgång till uppgifter om sjukskrivning, som är en känslig personuppgift, men detsamma gäller nödvändigtvis inte en annan avdelning. Inför därför behörighetsstyrning baserad på exempelvis grupp- eller rolltillhörighet. Även sökmöjligheterna i systemet bör begränsas, då sådana i sig kan vara integritetskränkande.

3. Skydda personuppgifterna från obehörig åtkomst

Lämpliga säkerhetsåtgärder måste alltid implementeras för att skydda de personuppgifter som lagras i systemet, exempelvis brandvägg, åtkomstlogg och lämpliga autentiseringslösningar. Tänk på att tillämpa starka lösenord och överväg att kryptera lagrade personuppgifter för att skydda dem mot obehörig åtkomst. Vid överföring av känsliga personuppgifter över internet bör även kommunikationen skyddas genom kryptering.

En annan aspekt, som ofta förbises, är vad som händer med personuppgifterna när systemet blir inaktuellt och tas ur bruk. Personuppgifter som inte förs över till andra system bör utplånas. Den personuppgiftsansvarige bör ha en policy för hur och när sådan gallring ska genomföras.

4. Underlätta för användarna att tillvarata sina rättigheter

PuL innehåller vissa obligatoriska rättigheter för registrerade, som rätten att en gång per år begära ett kostnadsfritt utdrag ur registret över de personuppgifter som finns registrerade om personen i fråga. Användaren ska också ha möjlighet att återta eventuella samtycken som lämnats. Ett integritetssäkert system bör därför innehålla användarvänliga funktioner för att till exempel begära registerutdrag eller gallra inaktuella personuppgifter. Datainspektionen rekommenderar att ”systemets arbetsflöde automatiskt styr användaren mot ett integritetssäkert arbetssätt” och att grundinställningarna är satta så att inte mer information än nödvändigt samlas in eller visas. Även fritextfält bör undvikas i så hög utsträckning som möjligt, för att undvika registrering av olagliga eller onödiga personuppgifter.

Ett IT-system som utvecklas med ovanstående grundläggande principer i åtanke har goda förutsättningar att uppfylla PuLs krav på integritetsskydd och säkerhet. Datainspektionen har i ett tillsynsärende (dnr 1874-2011) nyligen uttalat att omfattande behandling av personuppgifter kan vara förenlig med personuppgiftslagen om systemet är byggt utifrån principerna om privacy by design. I det aktuella fallet tillhandahölls ett system, innehållande både hård- och mjukvara, som visade riktad reklam till bilförare som besökte parkeringsgarage i olika köpcentrum i Stockholmsområdet. Systemet läste automatiskt av passerande bilars registreringsskyltar och visade sedan riktad reklam på ljusskyltar, med hjälp av bilregistrets uppgifter om bilmodell och bostadsort samt statistik från SCB om bland annat åldersfördelning och inkomst för bostadsområdet.

Datainspektionen ansåg att behandlingen av personuppgifter var tillåten med hänsyn till den tekniska lösning som tillämpades, som bland annat innefattade begränsning av individanknuten information, kryptering och begränsad åtkomst till de lagrade uppgifterna. Fallet är intressant i flera olika avseenden men är under alla förhållanden ett exempel på hur privacy by design kan tillämpas för att uppfylla PuLs krav på integritetssäker behandling.

Betydelsen av privacy by design kommer sannolikt att öka i framtiden. EU håller nämligen på att ta fram en ny dataskyddsförordning om behandling av personuppgifter, som ska ersätta det nuvarande dataskyddsdirektivet (se Skydd & Säkerhet nr 3/2012). Enligt EU-kommissionens förslag ska den personuppgiftsansvarige säkerställa att alla system i vilka personuppgifter behandlas ska byggas utifrån principerna om privacy by design (2012/0011 (COD)). Om förslaget antas inom EU kommer den nya dataskyddsförordningen att bli direkt tillämplig i Sverige - och därmed helt och hållet ersätta PuL. Enligt den nuvarande prognosen kan lagstiftningsarbetet vara klart tidigast 2014, vilket i sig skulle innebära att dataskyddsförordningen, om den antas, tidigast kan träda i kraft 2016.

För säkerhetsbranschen är principerna om privacy by design särskilt viktiga, inte minst med hänsyn till att företag i branschen ofta behandlar stora mängder personuppgifter. Genom att på detta sätt prioritera integritetsfrågor under systemets hela livscykel så kan obehagliga överraskningar undvikas längs vägen. Det bör understrykas att PuL i nuläget inte innehåller en skyldighet att tillämpa principerna om privacy by design. Företag bryter alltså inte mot PuL om man inte följt metoden, utan privacy by design bör ses som en möjlighet att på ett effektivt och relativt enkelt sätt förebygga och ”bygga bort” risken för potentiella lagöverträdelser.

Daniel Svensson Lundqvist och Fredrik Gustafsson, Delphi - april 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Anders Thornberg Sommarpratar 16 juli

Rikspolischef Anders Thornberg kommer bland annat berätta om tiden som Säpo-chef, P1 måndag 16 juli klockan 10.00.

Vi ses i höst!

Tv-klassikern blir partner med SäkerhetsBranschen

TV3:s Efterlyst gör nystart i höst och tar in SäkerhetsBranschen för att bidra med kunskap och expertis.

Polisutbildningen i Malmö till jättelokaler

9 000 kvadratmeter – inklusive skjutbanor och garage för polisfordon

IT-SÄKERHET
Lista: Så undviker du att bli ID-kapad

Svenska AI-kameror till Förenade Arabemiraten

Nyhetsbrev

Drönare ska vinna tid åt Södertörns brandförsvar

4C Strategies och Södertörns Brandförsvarsförbund har ingått ett samarbete med drönarföretaget Flypulse.

Arkiv

Över 10 000 har skrivit under

IT-SÄKERHET
Svensk säkerhets-startup tar in 58 miljoner

"Målsättningen är att vara världsledande 2021"

IT-SÄKERHET
Branschen efterlyser relevanta IT-säkerhetsutbildningar

Målkonflikt i kampen mot den organiserade brottsligheten

Riksrevisionen kliver in och gör oberoende granskning av de samarbetande myndigheterna.

7-miljonersavtal till Sectis – årets största

Heine Wang: ”Vi får en väldigt bra position”

Nokas beräknas ta 30 procent av den svenska bevakningsmarknaden, om förvärvet av Avarn går i lås. "Nu får marknaden en stor spelare till", säger koncernchefen Heine Wang, som vill börsintroducera företaget.

Stor dubbelbeställning till Saab

Nokas näst störst i Norden – går mot börsen

Nokas bekräftar att företaget är i slutförhandlingar med Sector Alarm Group för förvärv av Avarn Holding.

Efter hyllningarna: "Vår skogsbrandssäsong är för kort för egna plan"

De kom, de vattenbombade, de hyllades. Nu är piloterna och deras gula vattenbombplan hemma i Italien igen. Men det är, med största sannolikhet, inte sista gången vi ser dem här.

VALET 2018
Så många avstår från att uttrycka politiska åsikter på nätet

Unga värderar sociala medier högre som informationskälla inför det första "internetvalet".

Tar pop-up-trucken till i Almedalen

Polisen angav fel födelsedatum i pass

Branschen om Polisens lagförslag

"En välkommen present inför semestern". "Denna process kommer dock ta många år". "Borde kanske köpt aktier i branschen"

DEBATT
Inför ROT- och RUT-avdrag för trygghetsinvesteringar

Inför valet prioriterar Säkerhetsföretagen tre frågeställningar. En av dem är ROT- och RUT-avdrag: "Det är orimligt att avdrag medges för byte av köksluckor, men inte för installation av ett kvalitetssäkrat hemlarm", skriver Li Jansson, branschchef och vice VD i Säkerhetsföretagen.

Midsommar – nödsamtalens tid

Gävleborgs län värst – 73% fler nödsamtal i fjol.

IT-SÄKERHET
Hackarna checkar ut under fotbolls-VM

Tydligt mönster när IT-attackerna minskar.

Tar över centrumjättens samtliga gallerior

Oroligt i Malmö – staden öppnar stödcentrum

Nu är det klart: Tvingas i konkurs

Vesper Group och Hantera agera inleder samarbete

Confidence skriver avtal med stort bostadsföretag

Polisens Twitterkonto väcker känslor

Hennes IT-säkerhetsföretag värt två miljarder

Nokas får ny order för kontanthantering

IT-SÄKERHET
Så mycket kostar en ransomewareattack

De vinner nya marknadsandelar i Storstockholm

Securitas värvar turkisk säkerhetsjätte

Rusta testar DNA mot brott

Fjärde person anhållen för terrorbrott

Se alla Företagens egna nyheter

Sänd till en kollega

0.136