En vecka efter den 25 maj 2018

Det har nu gått en vecka sedan dataskyddsförordningen trädde i kraft. Under den förlidna veckan kom även Förvaltningsrättens utslag som gav Datainspektionen rätt gällande eHälsomyndighetens tjänst Hälsa för mig . För mig var domen mycket välkommen eftersom jag redan sedan start uppfattat Hälsa för mig som en tjänst med skakig ansvarsfördelning och bristande säkerhet trots att den är tänkt att hantera känsliga personuppgifter från hela den svenska befolkningen.

Förra veckan skulle alltså kunna ses som en bra vecka för den personliga integriteten men det återstår verkligen mycket att göra. En separat frågeställning som behöver lyftas är vikten av att få god information om hur personuppgifter hanteras för att kunna skydda den egna integriteten. Individens komplicerade situation blev tydlig när jag såg en del reaktioner, framför allt från tjänsteleverantörer, angående Förvaltningsrättens utslag om Hälsa för mig. Om jag tolkar dessa reaktioner rätt så uppfattar de det som någon form av omyndigförklarande av individer att de (individerna alltså) inte själva får bedöma säkerheten och integriteten i Hälsa för mig (plus i de appar som vidareutnyttjar information) utan att klåfingriga myndigheter lägger sig i. Själv tycker jag att det är en, hm, okonventionell hållning till myndigheters och leverantörers ansvar för sina tjänster som t.o.m. Parks & Recreation hade en bättre analys av (i säsong 7 avsnitt 5  men hela serien rekommenderas naturligtvis!).

Komplexiteten ligger i att både kunna få kunskap om hur de egna uppgifterna hanteras för att kunna välja vilka risker man vill ta som individ samtidigt som det måste ställas krav på de personuppgiftsansvariga att ha nödvändig säkerhet och dataskydd i sina lösningar. Båda dessa aspekter förutsätter att det finns god och dokumenterad kontroll över informationsflöden och säkerhetsåtgärder som går att presentera. Först då finns en situation där individen kan känna tillit till den personuppgiftsansvarige och välja att antingen nöja sig med det eller att fatta ett informerat val att till exempel undandra eller spärra sina uppgifter.

Samtidigt gjorde jag inspirerad av dataskyddsförordningen ett experiment att försöka få en presentation av hur mina personuppgifter hanteras i vården. I patientdatalagen finns regler om hur utlämnande av patientuppgifter får ske till andra vårdgivare och hur individen kan förhindra att så sker. Detta förutsätter att patienten får kännedom om hur åtkomst och potentiell åtkomst till uppgifterna om den egna vården ser ut vilket också får ses som ett grundläggande krav i dataskyddsförordningens tillämpning. Utan att känna till hur uppgifterna hanteras kan jag inte invända mot hanteringen och eventuellt begära en spärr. Hittills har mitt experiment att få reda på hur mina uppgifter går från vårdcentralen in i någon typ av sammanhållen journal som sedan finns tillgänglig via bland annat den nationella tjänsten NPÖ för andra vårdgivare gått sisådär vilket kommer att avrapporteras senare.

Men dessa två sammanfallande förlopp fick mig att fundera på den ständiga frågan som ställts till mig i min yrkesroll under våren angående dataskyddsförordningen: ”Vad måste vi göra?” – som för att hitta miniminivån. Ett bra steg vore om myndigheter och andra i tillitsbranscher som vården istället formulerar frågan som: ”Vad bör vi göra för att uppnå en god integritet?”. Omformuleringen skulle i bästa fall kunna leda till att organisationen internaliserar integritet som ett värde för den egna verksamheten istället för ett mer ögontjänande uppfyllande av externa krav. Då skulle individens intresse av att skydda sin integritet och det av detta följande behovet av att få god information om personuppgifterna hanteras få en betydligt högre dignitet. Mitt till leda upprepade mantra att det inte handlar om exempelvis patientsäkerhet eller integritet utan om patientsäkerhet och integritet skulle i så fall falla ut som ett självklart mål.

Trots att jag intresserat mig för hur vårdinformation hanteras under många år har jag aldrig sett någon flödesbeskrivning som beskriver hur information, tjänster, infrastruktur och organisationer interagerar på ett mer heltäckande sätt. Det är möjligt att det finns men inte ens i de statliga utredningar om e-hälsa m.m. där jag funnits med i utkanten har jag sett den typen av beskrivningar. Det samma gäller för övrigt för e-förvaltning och digitalisering. Det är möjligt att det finns men då så i skymundan att inte ens den intresserade finner dem.

Övergripande process- och flödesbeskrivningar skulle naturligtvis inte bara var av stort värde för enskilde utan också för myndigheter och företag som administrerar olika tjänster i flödena. Avsaknaden av gemensam kartbild kan vara en starkt bidragande orsak till den, trots idoga och stora satsningar, inte så lyckosamma digitaliseringen. Men just nu är jag mest intresserad av den torftiga beskrivning av den i verkligheten mycket komplexa hanteringen av mina patientuppgifter som sker i lokala och nationella tjänster. I mitt hemlandsting finns denna information som visserligen är korrekt men knappast begriplig för den vanliga patienten.

I andra sammanhang betonas ofta vikten av att sätta patientens intresse i centrum och att det ska finnas en valfrihet. Varför skulle inte samma inriktning tillämpas på integritetsfrågan? Jag har därför några förslag som skulle kunna stärka patientens ställning.

Första förslaget: Ta fram en infograf över hur patientinformation flödar inom och mellan vårdgivare och olika leverantörer. Med litet god vilja och innovation borde det på sikt vara möjligt att göra för den enskilde patienten men ett första steg är att visa det på en generell nivå. Detta skulle också vara ett stort stöd i enskilda vårdgivares presentationer av hur patientens information kommer att hanteras. Dessutom skulle mödan att beskriva den mycket intrikata informationsstruktur som byggts upp vara väl värd sett även för att få en större förståelse hos de som fortsättningsvis ska bygga vidare – kanske resulterar det t.o.m. i en planerad utveckling. Ett konkret förslag är att regeringen ger eHälsomyndigheten ett uppdrag att ta fram övergripande flödesbeskrivning med inriktning på personuppgifter. Kanske bör den nya digitaliseringsmyndigheten få motsvarande uppdrag på e-förvaltningssidan. Som den baksluga människa jag är ser jag hur starkt dessa beskrivningar skulle kunna bidra till informationssäkerheten, kontinuitets- och incidenthanteringen och till möjligheten för långsiktigt bevarande av information med autenticitet. I flöden bör det även framgå var valmöjligheter finns för individen, d.v.s. där man kan välja att avstå från att låta personuppgifter om en själv gå vidare.

Andra förslaget: Ett flertal av sjukvårdshuvudmännen har struntat i att efterleva PDL och inte lyckats införa möjligheten för patienten att spärra sin journal. Kommunikationen från vårdgivarna om spärrar har också varit märklig där det ofta framstått som att man löper stora hälsomässiga risker om man vill begränsa åtkomsten till vårdinformationen. Spärrarna är som idé en mycket klumpig form av åtkomstbegränsning som understödjer den typen av hotfulla undertexter eftersom det handlat om allt eller inget, d.v.s. att man spärrar stora delar av vårdinformationen oavsett vilken typ av information det är. Mitt förslag är därför att eHälsomyndigheten får i uppdrag att ta fram ett mer dynamiskt åtkomstskydd som skulle kunna leda till en större valfrihet för mig som patient. Till exempel så skulle jag kunna få välja att endast ge tillgång till information om läkemedel och överkänslighet medan övrig information får efterfrågas vid behov.

Tredje förslaget: eftersom vården uppenbarligen inte klarar att ha en integritetsskyddande behörighetshantering (det räcker att se på de inspektioner som Datainspektionen genomför för att konstatera det) så är pseudonymisering ett alternativ för vården vilket jag skrev om redan 2010 (här vädras verkligen gamla käpphästar).  Pseudonymisering som del i ett privacy by design-arbete i vården skulle ha många fördelar för integritet och säkerhet men skulle kräva en stor sammanhållen insats och en sannolikt en förmåga till samordning som saknas idag.  Men ändå, även detta skulle kunna vara en gemensam uppgift för eHälsomyndigheten och digitaliseringsmyndigheten. Eller kanske Vinnova skulle kunna ge stöd till några entreprenörer som vill ta fram en pseudonymiseringsapp kopplad till BankID som skulle låta oss faktiskt välja hur mycket vi vill att andra ska veta om oss?

Det finns med största säkerhet många invändningar mot mina förslag men om jag får åtminstone några att fundera över integritetsfrågor på ett mer kreativt sätt än vad som synes ske idag lovar jag att var nöjd.

Integritet och informationssäkerhet (1)

Förhoppningsvis har det inte förbigått någon att den nya dataskyddsförordningen 2018 kommer att ersätta  den svenska personuppgiftslagen. Dataskyddsförordningen innebär att den enskildes rättigheter gällande skydd av personuppgifter stärks medan kraven blir strängare för myndigheter, företag och andra organisationer som hanterar personuppgifter.

Ett förbättrat integritetsskydd är verkligen välkommet med tanke på hur det ser ut på integritetsfronten idag. Den kartläggning av som genomförts av Integritetskommittén genomfört (för transparensen skull är det väl bäst att meddela att jag suttit som expert i kommittén) visar på allvarliga brister i skyddet för den enskildes integritet i olika verksamheter. Särskilt bekymmersam beskrivs situationen i hälso- och sjukvården vilket inte på något sätt förvånar den som har någon inblick i hur sjukvårdens informationshantering är utformad idag. Jag kommer att återkomma till den fråga i ett senare inlägg men för den intresserade går det bra att ladda ner utredningen i sin helhet här.

Ett kapitel där jag varit närmare involverad handlar om integritet och informationssäkerhet. Dessa två storheter är nära länkade i ett antal avseenden. Skyddet för den personliga integriteten ingår med självklarhet i aspekten ”konfidentialitet” och att skapa förutsättningar för att upprätthålla integritet är därmed ett mål för informationssäkerhetsarbetet i en organisation. Informationssäkerhetsarbetets arsenal av åtgärder är de samma som måste användas i skyddet för integriteten. Detta kan tyckas vara självklarheter och sammankopplingen har gjorts på det nationella planet exempelvis i den så kallade Infosäk-utredningen som lade fram sitt slutbetänkande SOU 2005:42 Säker information. I utredningen föreslogs som en av tio mål i en svensk informationssäkerhetsstrategi vara att skapa förtroende, trygghet, säkerhet, och öka integritetsskyddet. Tråkigt nog kan detta ses som en startpunkt för en nu decennielång tradition i det nationella informationssäkerhetsarbetet (liksom i e-förvaltnings- och e-hälsosatsningar på nationella planet); att säga att integritet är ett viktigt mål men inte komma med några konkreta förslag på åtgärder för att uppnå målet. Se även Regeringens skrivelse 2009/10:124  Samhällets krisberedskap – stärkt samverkan för ökad säkerhet, Strategi för samhällets informationssäkerhet 2010-2015 och SOU 2015:23 Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (NISU).
I NISU var utredarens uppdrag bland annat att:

föreslå övergripande mål för samhällets informationssäkerhetsarbete, och hur Sverige ska upprätthålla säkerhet och integritet i samhällsviktig it-infrastruktur.

Uppdraget kan tolkas som något otydligt då ordet integritet visserligen ingår men sannolikt i samma betydelse som det engelska integrity.  Detta är ett återkommande problem som , att begreppet integritet används i två helt olika betydelser inom informationssäkerhetsområdet. Den första betydelsen är den definition av den personliga integriteten som återfinns exempelvis i personuppgiftslagen. Den andra har sitt ursprung i EU:s definition av informationssäkerhet där användningen av begreppet är synonymt med det engelska integrity. Begreppet avser i detta sammanhang att en databas, ett nätverk, ett system alternativt en informationsmängd är skyddad från oavsiktlig förändring eller förlust av information.

NISU väljer att över huvud taget inte behandla den personliga integriteten:

I de delar utredningens förslag skulle kunna påverka den enskildes personliga integritet föreslår utredningen ytterligare utredningsåtgärder för att väga in sådana aspekter.

Av vilken orsak utredaren gör denna avgränsning motiveras inte närmare.  Därmed avviker NISU från det förhållningssätt som exempelvis ENISA och OECD rekommenderar.

The European Union Agency for Network and Information Security (ENISA) har uppdraget att samordna EU:s arbete med nät- och informationssäkerhet. Integritetsfrågorna är en inte oväsentlig del av ENISA:s arbete där värnet av den personliga integriteten ses som en förutsättning för den it-utveckling som ska ge en viktig grund för den ekonomiska utveckling som eftersträvas för Europa. Som en följd av detta har ENISA genomfört olika insatser som bland annat resulterat i ett antal publikationer som behandlar integritet från policynivå ner till teknisk tillämpning.

ENISA gjorde 2014 en ambitiös guide som beskriver hur skyddet av integritet kan utformas i praktiken i it-relaterade tjänster och system. De har här utvidgat begreppet för konceptet till att gälla Privacy and Data Protection by Design. I inledningen till vägledningen summeras integriteten i ett EU-perspektiv från ett överordnat värde till tekniska åtgärder som byggs in i it-lösningar:

Privacy and data protection constitute core values of individuals and of democratic societies. This has been acknowledged by the European Convention on Human Rights and the Universal Declaration of Human Rights2 that enshrine privacy as a fundamental right. With the progress in the field of information and communication technologies, and especially due to the decrease in calculation and storage costs, new challenges to privacy and data protection have emerged. There have been decades of debate on how those values—and legal obligations—can be embedded into systems, preferably from the very beginning of the design process.

Även för  OECD (Organisation for Economic Co-operation and Development)har informationssäkerhet och integritet ett nära samband vilket bland annat demonstreras av en arbetsgrupp för informationssäkerhet och integritet (Working Party on Information Security and Privacy in the Digital Economy – WPSPDE). Från Sveriges sida har Post- och telestyrelsen (PTS) deltagit i arbetet. 2015 presenterades den senaste vägledningen i informationssäkerhetsfrågor, Digital Security Risk Management, där ett viktigt paradigmskifte genomförts då man säger att informationssäkerhet inte är en teknisk fråga utan en ekonomisk. Informationssäkerheten ska därmed kopplas till den positiva ekonomiska utveckling som är OECD:s syfte.

OECD har lyft fram integritetsfrågorna som en viktig framgångsfaktor för den ekonomiska utvecklingen. Skydd av personuppgifter vid dataöverföring och datalagring måste vara utformat så att det underlättar för fria dataflöden över landsgränser. 2013 kom en ny version av The OECD Privacy Framework där organisationen framhåller att man under decennier spelat en viktig roll i främjandet av integritet som ett fundamentalt värde och som ett villkor för ett fritt flöde av personuppgifter över landsgränser. I ramverket ingår ett antal principer bland annat rörande insamling av personuppgifter, datakvalitet, syftet, användningen, säkerhet, öppenhet, individens rättigheter samt ansvar för datahanteringen. Vad som tillkommit i revisionen 2013 är att man förordar ett riskbaserat förhållningssätt på samma sätt som i övrigt informationssäkerhetsarbete samt krav på incidentrapportering. Här är OECD:s linje att det bör finnas en nationell strategi för hantering av personuppgifter.

Eftersom i princip alla organisationer hanterar personuppgifter i större eller mindre omfattning så har också i princip alla organisationer legala krav på hur hanteringen ska ske. De flesta organisationer har också behov av att kunna uppvisa en ansvarsfull hantering av personuppgifter för att kunna upprätthålla sin legitimitet och för att kunna skapa tillit hos olika omgivande aktörer. Legitimiteten som kommer av förmågan att kunna upprätthålla den personliga integriteten har, som både ENISA och OECD understryker, en stark påverkan på ekonomisk utveckling på både samhälls- och aktörsnivå.

Kort sagt kan informationssäkerhet ha en mycket viktig funktion även för den ekonomiska utvecklingen nationellt och internationellt. Att man i Sverige då valt en linje med svaga kopplingar mellan områdena är märkligt. Förhoppningsvis kan svenska myndigheter samordna sig i konkreta frågor som att MSB:s obligatoriska it-incidentrapportering integreras med den rapportering av incidenter som ska utifrån kraven i dataskyddsförordningen så dubbelrapportering undviks. Men för att stödja olika verksamheter så att de kan bedriva ett informationssäkerhetsarbete som stödjer de allt starkare kraven på skydd av personliga integriteten kommer enligt min bedömning att kräva betydligt mer. Detta kommer jag att återkomma till i ett senare inlägg.