Inbyggt dataskydd och dataskydd som standard

Många talar om ”Privacy by Design” (PbD) som ett krav från Dataskyddsförordningen vilket är lite lustigt då begreppet faktiskt inte återfinns överhuvudtaget i lagen. Däremot ägnas en hel artikel åt ämnet Inbyggt dataskydd och dataskydd som standard. Det sistnämnda är helt enkelt en evolution av det föregående. Men vad är då detta? Lagen säger i artikel 25, som behandlar ämnet specifikt:

”1. Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige, både vid fastställandet av vilka medel behandlingen utförs med och vid själva behandlingen, genomföra lämpliga tekniska och organisatoriska åtgärder – såsom pseudonymisering – vilka är utformade för ett effektivt genomförande av dataskyddsprinciper – såsom uppgiftsminimering – och för integrering av de nödvändiga skyddsåtgärderna i behandlingen, så att kraven i denna förordning uppfylls och den registrerades rättigheter skyddas.

2. Den personuppgiftsansvarige ska genomföra lämpliga tekniska och organisatoriska åtgärder för att, i standardfallet, säkerställa att endast personuppgifter som är nödvändiga för varje specifikt ändamål med behandlingen behandlas. Den skyldigheten gäller mängden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgänglighet. Framför allt ska dessa åtgärder säkerställa att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgängliga för ett obegränsat antal fysiska personer.

3. En godkänd certifieringsmekanism i enlighet med artikel 42 får användas för att visa att kraven i punkterna 1 och 2 i den här artikeln följs.”

Dataskyddsförordningen har fått en hel del kritik kopplat till att detta är synnerligen luddigt beskrivet och visst är det lite svårt att påstå att det är knivskarpt.
I sin enklaste förklaring syftar det till att i teknologi och processer säkerställa den registrerades rättigheter samt att den personuppgiftsansvariges eller biträdets skyldigheter efterlevs.
För att skapa sig en större förståelse kan den vetgirige finna väldigt relevant information om man läser på om PbD, sedan behöver man bara tänka i lite större drag för att omfatta mer än bara integritetsskyddet.

Privacy by Design

PbD som begrepp uppkom i samband med ett samarbete mellan Kanada, Holland och Nederländerna 1995. De skrev då en gemensam forskningsrapport om ”Integritetsförstärkande teknologier” som sökte finna ett förhållningssätt att i utvecklingen av mjukvarubaserade system ta höjd för Integritetsfrågan. Inom begreppet talar man om 7 grundläggande principer som skall vara styrande:

  • Proaktivt, inte reaktivt; förebyggande, inte åtgärdande
  • Integritetsskydd som standardinställning
  • Integritetsskydd inbäddat i designen
  • Full funktionalitet – Inga onödiga kompromisser
  • End-to-end säkerhet – Fullt skydd i hela livscykeln
  • Visibilitet och transparens – Alla intressenter skall ha insyn
  • Respekt för individens integritet – Individen skall sättas först och främst

Dessa principer syftar till att ge högsta tänkbara skydd av integriteten genom att personuppgifter automatiskt skyddas i systemen. Den enskilde individen, oavsett om det är en användare eller en operatör, skall inte behöva göra något för att skydda integriteten – det skall vara standardinställningen. Viktigt att betona är att allt detta skall ske utan att göra avkall på funktionalitet eller användarvänlighet.

Säkerhet i samband med behandling

Om vi utgår från dessa principer i PbD och sedan applicerar de krav som artikel 32 (säkerhet i samband med behandling) ställer,

…förmågan att fortlöpande säkerställa (och kunna återställa) konfidentialitet, integritet, tillgänglighet och motståndskraft…

så skulle jag nog vilja påstå att vi närmar oss något som kan kallas för inbyggt dataskydd och dataskydd som standard.

Det är nämligen viktigt att komma ihåg att dataskydd är mer än bara integritetsskydd. Och då det bl.a. finns krav i lagen att vid offentliga upphandlingar beakta principerna om inbyggt dataskydd och dataskydd som standard så kan det resultera i en hel del utmaningar om det jämställs med endast integritetsskydd.

Som ett exempel skulle jag påstå att system som skall leva upp till inbyggt dataskydd och dataskydd som standard måste ha utvecklats enligt principer för säker kodutveckling. Det är ju trots allt ett av de främsta sätten att säkerställa motståndskraft i system och applikationer, speciellt om vi skall tala om att skyddet skall vara proaktivt och inte reaktivt.

Det gör även att vid upphandlingar gällande system som skall hantera personuppgifter så måste tillgängligheten tas i beaktande. Detta bör leda till att upphandlingar fokuserar mer på kvalité och säkerhet än vad som annars är vanligt förekommande, lägsta pris.

Tittar vi dessutom på de senaste informationssäkerhetsincidenterna så blir det uppenbart att många tjänsteleverantörer nu på allvar måste börja se över sina processer, rutiner och verktyg för att hantera sina tjänsteleveranser för att kunna uppfylla alla de ingående kraven från inbyggt dataskydd och dataskydd som standard.

Den 30:e Maj kommer vi att tala om detta ämne i detalj och resonera kring i vad det innebär för utvecklingsprojekt och vad man behöver säkerställa vid inköp av nya system. Har ni några specifika frågor ni vill ha svar på i ämnet så skicka in dem redan nu så skall vi se till att ni får svar på dem! Maila era frågor till: Info@addlevel.se

Anmäl er till eventet här

Med vänliga hälsningar,

Mats Hultgren

 

Mats Hultgren
IT Strategist and Information Security Advisor at Addlevel with engagements ranging from implementation of strategic security frameworks to strategic governance of IT-services. mats.hultgren@addlevel.se