Privacy by Design - en metod för utveckling av integritetssäkra IT

| Av Hanna Stenvall | Tipsa redaktionen

INTEGRITETSSÄKERHET. Regelverket för skydd av individers personliga integritet utvecklas fortlöpande, inte minst genom Datainspektionens tillsynsverksamhet. Ett koncept som vuxit sig allt starkare är ”privacy by design”, inbyggd integritet, i samband med utveckling av IT-system. Genom att iaktta fyra grundläggande principer kan företag i säkerhetsbranschen som utvecklar IT-säkerhetslösningar förebygga och undvika obehagliga, och ofta dyra, överraskningar.

Utveckling av nya säkerhets- och IT-system kan vara en långdragen och komplicerad process, där hänsyn måste tas till många olika krav och förutsättningar. En aspekt som tyvärr ofta förbises - eller åtminstone uppmärksammas alltför sent - är personuppgiftslagens, PuL, krav på integritetssäker personuppgiftsbehandling. Skräckexemplet är att parterna först efter driftsättning av ett IT-system inser att hela eller delar av systemet måste byggas om för att uppfylla PuLs krav på integritetssäker personuppgiftsbehandling. Enligt PuL är det den personuppgiftsansvarige, det vill säga den som bestämmer ”ändamålen med och medlen för behandlingen av personuppgifter”, som ska se till att personuppgifter behandlas integritetssäkert.

Personuppgifter får bara behandlas om det är lagligt och om behandlingen är korrekt och i enlighet med god sed. Personuppgiftsansvarig ska dessutom vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. I säkerhetsbranschen och övriga kommersiella sammanhang är det typiskt sett en juridisk person som är personuppgiftsansvarig och följaktligen ansvarig för att systemet uppfyller PuLs krav och regelverk. Vid överträdelser av personuppgiftslagens bestämmelser kan den personuppgiftsansvarige bland annat bli skadeståndsskyldig för kränkning av den registrerades integritet. Även om sådana skadeståndsbelopp i det enskilda fallet sällan uppgår till några högre belopp, så kan det röra sig om stora summor om systemet innehåller uppgifter avseende hundratals, eller kanske tusentals, personer. Vid sidan av risken för skadestånd och andra sanktioner enligt PuL, ska inte heller risken för goodwill- eller PR-förlust underskattas. Det finns alltså stor anledning att förebygga problem utifrån PuLs regelverk. Det är bakgrunden till att konceptet om så kallad privacy by design har utvecklats.

Privacy by design innebär, litet förenklat, att integritetsfrågor ska genomsyra systemets hela livscykel – från förstudie och kravställning, via design och utveckling, till driftsättning, användning och avveckling. Konceptet kan enkelt sammanfattas i följande fyra principer.

1. Minimera antalet personuppgifter som behandlas

Här gäller det för såväl systemleverantören som kunden/beställaren att noggrant tänka igenom vilka personuppgifter som verkligen måste samlas in för att uppfylla ändamålet med systemet. Man bör även fundera på om några personuppgifter kan anonymiseras - notera dock att särskilda krav gäller för sådan anonymisering. Eftersom det, enligt PuL, i regel är förbjudet att behandla uppgifter om enskildas hälsa och andra så kallade känsliga personuppgifter bör sådana i största möjliga utsträckning undvikas. Även personnummer bör undvikas eftersom sådana, vid avsaknad av den registrerades samtycke, bara får behandlas när det är klart motiverat. I många fall är det sannolikt tillräckligt att registrera födelsedatum istället för personnummer.

2. Begränsa åtkomsten till de lagrade personuppgifterna
Ofta behöver vissa personer, arbetsgrupper eller arbetsroller tillgång till en större mängd personuppgifter än andra. För exempelvis HR-system kan ekonomiavdelningen behöva tillgång till uppgifter om sjukskrivning, som är en känslig personuppgift, men detsamma gäller nödvändigtvis inte en annan avdelning. Inför därför behörighetsstyrning baserad på exempelvis grupp- eller rolltillhörighet. Även sökmöjligheterna i systemet bör begränsas, då sådana i sig kan vara integritetskränkande.

3. Skydda personuppgifterna från obehörig åtkomst

Lämpliga säkerhetsåtgärder måste alltid implementeras för att skydda de personuppgifter som lagras i systemet, exempelvis brandvägg, åtkomstlogg och lämpliga autentiseringslösningar. Tänk på att tillämpa starka lösenord och överväg att kryptera lagrade personuppgifter för att skydda dem mot obehörig åtkomst. Vid överföring av känsliga personuppgifter över internet bör även kommunikationen skyddas genom kryptering.

En annan aspekt, som ofta förbises, är vad som händer med personuppgifterna när systemet blir inaktuellt och tas ur bruk. Personuppgifter som inte förs över till andra system bör utplånas. Den personuppgiftsansvarige bör ha en policy för hur och när sådan gallring ska genomföras.

4. Underlätta för användarna att tillvarata sina rättigheter

PuL innehåller vissa obligatoriska rättigheter för registrerade, som rätten att en gång per år begära ett kostnadsfritt utdrag ur registret över de personuppgifter som finns registrerade om personen i fråga. Användaren ska också ha möjlighet att återta eventuella samtycken som lämnats. Ett integritetssäkert system bör därför innehålla användarvänliga funktioner för att till exempel begära registerutdrag eller gallra inaktuella personuppgifter. Datainspektionen rekommenderar att ”systemets arbetsflöde automatiskt styr användaren mot ett integritetssäkert arbetssätt” och att grundinställningarna är satta så att inte mer information än nödvändigt samlas in eller visas. Även fritextfält bör undvikas i så hög utsträckning som möjligt, för att undvika registrering av olagliga eller onödiga personuppgifter.

Ett IT-system som utvecklas med ovanstående grundläggande principer i åtanke har goda förutsättningar att uppfylla PuLs krav på integritetsskydd och säkerhet. Datainspektionen har i ett tillsynsärende (dnr 1874-2011) nyligen uttalat att omfattande behandling av personuppgifter kan vara förenlig med personuppgiftslagen om systemet är byggt utifrån principerna om privacy by design. I det aktuella fallet tillhandahölls ett system, innehållande både hård- och mjukvara, som visade riktad reklam till bilförare som besökte parkeringsgarage i olika köpcentrum i Stockholmsområdet. Systemet läste automatiskt av passerande bilars registreringsskyltar och visade sedan riktad reklam på ljusskyltar, med hjälp av bilregistrets uppgifter om bilmodell och bostadsort samt statistik från SCB om bland annat åldersfördelning och inkomst för bostadsområdet.

Datainspektionen ansåg att behandlingen av personuppgifter var tillåten med hänsyn till den tekniska lösning som tillämpades, som bland annat innefattade begränsning av individanknuten information, kryptering och begränsad åtkomst till de lagrade uppgifterna. Fallet är intressant i flera olika avseenden men är under alla förhållanden ett exempel på hur privacy by design kan tillämpas för att uppfylla PuLs krav på integritetssäker behandling.

Betydelsen av privacy by design kommer sannolikt att öka i framtiden. EU håller nämligen på att ta fram en ny dataskyddsförordning om behandling av personuppgifter, som ska ersätta det nuvarande dataskyddsdirektivet (se Skydd & Säkerhet nr 3/2012). Enligt EU-kommissionens förslag ska den personuppgiftsansvarige säkerställa att alla system i vilka personuppgifter behandlas ska byggas utifrån principerna om privacy by design (2012/0011 (COD)). Om förslaget antas inom EU kommer den nya dataskyddsförordningen att bli direkt tillämplig i Sverige - och därmed helt och hållet ersätta PuL. Enligt den nuvarande prognosen kan lagstiftningsarbetet vara klart tidigast 2014, vilket i sig skulle innebära att dataskyddsförordningen, om den antas, tidigast kan träda i kraft 2016.

För säkerhetsbranschen är principerna om privacy by design särskilt viktiga, inte minst med hänsyn till att företag i branschen ofta behandlar stora mängder personuppgifter. Genom att på detta sätt prioritera integritetsfrågor under systemets hela livscykel så kan obehagliga överraskningar undvikas längs vägen. Det bör understrykas att PuL i nuläget inte innehåller en skyldighet att tillämpa principerna om privacy by design. Företag bryter alltså inte mot PuL om man inte följt metoden, utan privacy by design bör ses som en möjlighet att på ett effektivt och relativt enkelt sätt förebygga och ”bygga bort” risken för potentiella lagöverträdelser.

Daniel Svensson Lundqvist och Fredrik Gustafsson, Delphi - april 2013


Håll dig uppdaterad med Skydd & Säkerhet
Är du prenumerant? Bli prenumerant

Med en prenumeration får du obegränsad tillgång till webbtidningen. Läs webbtidningen online.


Skriv din kommentar
Startsidan just nu

Så nystades IT-härvan upp

Nyligen startade rättegången mot huvudmannen i det malmöbaserade kriminella gäng som misstänks ligga bakom den största IT-härvan i Sverige.

Öppet hus hos Försvarsmakten

Igår, söndag, var det försvarsfokus på Gärdet i Stockholm när Försvarsmakten ordnade en försvarsdag för allmänheten.

Finalisterna redo för Security Awards

Säkerhetsbranschens egna pris delas ut i oktober.

Han avgår som vd

Microsoft automatiserar säkerheten för Windows 10

Assa Abloy köper amerikanskt bolag

Coop i Kristianstad anställer vakter

Arkiv

50 appar sprider skadlig kod

Dataintrångsliga sprängd

Synlig polis minskar oron

Enligt Brottförebyggande rådet, Brå, oroar sig allt fler svenskar för att bli utsatta för överfall eller misshandel. I en undersökning listas de motåtgärder som svenskarna tror på.

Kameror och robotar kan vara hackade

Svenskarna gillar säkerhetskameror

Ingen går säker för skadlig kod

Massiva attacker av skadlig kod, ransomware, har blivit högsta mode bland cyberkriminella.

Militärkrubb till 19 000

Fazer är huvudleverantör av lisvmedel och måltider till Sveriges största militäröving på 20 år- Aurora 17.

Aurora 17 kommer att märkas

Nu vill säkerhetsbranschen kliva in på arenan

Ransomware- årets affärssuccé

På CPX Sweden, säkerhetsföretaget Checkpoints seminarium om cybersäkerhet som hölls i Stockholm nyligen, talade Magnus Sköld, säkerhetsingenjör, om den senaste tidens ransomware-attacker ur ett lite annorlunda perspektiv.

Svenskar slarvar trots riskmedvetenet

Cykelhjälmsanvändningen står still

Forskning kan hejda våldspiral

Kupp mot modebutiker

Nu utreds våld mot närstående

PCI-DSS skyddar väl mot datastöld

IT-och telekomföretaget Verizon publicerade på måndagen sin årliga rapport om betalkortsäkerhet, kallad Verizon 2017 Payment Security Report. Den visar att säkerhetsstandarden PCI DSS verkligen ger ett gott skydd mot stöld av kortinnehavares data ur betalsystemen.

Ny chefsekonom på Svensk Handel

Släpp reglerna – se till sammanhanget!

Statsministern polisanmäld

Krafttag mot falska nyheter

Brist på insikt om GDPR

Ljusteknikföretag till börsen

Amerikansk certifiering säkrar dataflöden

Stockholm har valt säkerhetsleverantör

Cyberkriminella utbildar on-line

Svensk styrka till Somalia

Nätskurk hittad

Securitas-vd utsedd

Sänd till en kollega

0.135