Integritet och informationssäkerhet (1)

Förhoppningsvis har det inte förbigått någon att den nya dataskyddsförordningen 2018 kommer att ersätta  den svenska personuppgiftslagen. Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.

Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag. Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter. Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag. Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet här.

Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet. Dessa två storheter är nära länkade i ett antal avseenden. Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål för informationssäkerhetsarbetet i en organisation. Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten. Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande SOU 2005:42 Säker information. I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet. Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationella informationssäkerhetsarbetet (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet. Se även Regeringens skrivelse 2009/10:124  Samhällets krisberedskap – stärkt samverkan för ökad säkerhet, Strategi för samhällets informationssäkerhet 2010-2015 och SOU 2015:23 Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (NISU).
I NISU var utredarens uppdrag bland annat att:

föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.

Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska integrity.  Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet. Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen. Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska integrity. Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.

NISU väljer att över huvud taget inte behandla den personliga integriteten:

I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.  Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.

The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet. Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa. Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.

ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system. De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design. I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar:

Privacy and data protection constitute core values of individuals and of democratic societies. This has been acknowledged by the European Convention on Human Rights and the Universal Declaration of Human Rights2 that enshrine privacy as a fundamental right. With the progress in the field of information and communication technologies, and especially due to the decrease in calculation and storage costs, new challenges to privacy and data protection have emerged. There have been decades of debate on how those values—and legal obligations—can be embedded into systems, preferably from the very beginning of the design process.

Även för  OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE). Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet. 2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk. Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.

OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen. Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser. 2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser. I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen. Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigt informationssäkerhetsarbete samt krav på incidentrapportering. Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.

Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske. De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer. Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.

Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt. Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt. Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks. Men för att stödja olika verksamheter så att de kan bedriva ett informationssäkerhetsarbete som stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer. Detta kommer jag att återkomma till i ett senare inlägg.

 

 

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *