Lite mer än 2 år efter att dataskyddsförordningen trädde i kraft, visar IMY:s Integritetsskyddsrapport 2020, att många svenska verksamheter har problem med att uppnå de grundläggande principerna av GDPR. Rapporten, som utkom januari 2021, tittar också in i framtiden, och utvecklingen av ny teknik och hur den kan komma att påverka vår integritet. Här kommer vi att presentera vad du och din verksamhet kan lära av de sanktionsavgifter som IMY hittills har utdelat, och teknik som många företag använder som kan komma att påverka framtidens integritet.
Så bra är svenska verksamheter på integritet
Personlig integritet är varje persons rätt till ett privatliv, och att inbladning i den privata sfären kan avisas. Men hur bra är svenska verksamheter idag på att värna om den personliga integriteten? Enligt IMY:s bedömning, lite mer än 2 år efter att GDPR trädde i kraft, finns det många verksamheter som inte uppnår de grundläggande principerna. De klagomål som IMY mottagit, handlar framförallt om att många verksamheter brister på den enskildas rätt till radering och rätt till information.
Lärdomar från de incidenter som skett och de sanktionsavgifter som utdelats
Från de cirka 11 000 personuppgiftsincidenter som IMY har tagit emot, kan myndigheten konstatera att de allra flesta incidenter orsakas av den mänskliga faktorn. Det beror bland annat på att många anställda saknar kunskap om hur man behandlar personuppgifter på ett säkert sätt. Den omedvetna medarbetaren står faktiskt för majoriteten av de säkerhetsincidenter som inträffar på ett företag. Men det är viktigt att inte skuldbelägga de enskilda medarbetarna, utan istället ge dem de rätta förutsättningarna för att kunna hantera personuppgifter och personlig integritet, på ett säkert sätt. Om fler verksamheter hade arbetat aktivt med att utbilda sin personal, och ökat deras medvetenhet, menar IMY att de flesta incidenter som de mottagit, hade kunnat undgås.
Sedan 25 maj 2018 (dagen då GDPR trädde i kraft), fram till årsskiftet 2020 har IMY avslutat omkring 150 tillsynsärenden. IMY delar med sig av resultaten från tillsynen till allmänheten, så att fler än de granskande kan ta reda på vad som krävs för att följa reglerna. Här under har vi sammanställt några av de ärenden som nämns i rapporten, där en sanktionsavgift blivit utdelad. Det är ärenden som visar de brister som finns hos många verksamheter idag. Genom att lära av andras misstag, kan man själv undgå att hamna i samma situation.
IMY skriver i rapporten att ungefär hälften av de ärenden som nämns där, är överklagade. Därför kan den faktiska sanktionsavgiften komma att ändras. Den sanktionsavgift vi skriver här är dem som IMY har angett i sitt ursprungs beslut.
Ärende
|
Bristfällighet
|
Avgift
|
Användning på försök av ansiktsigenkännings teknik för närvarokontroll på en skola.
|
-
Bristanande i den grundläggande principen om uppgiftsminimering
-
Behandling av känsliga personuppgifter
-
Avsaknad av konsekvensbedömning och förhandssamråd
|
200 tkr
|
En hyresfastighet använde kamerabevakning i syfte att komma tillrätta med skadegörelse.
|
|
300 tkr
|
Övervakning av en boende på ett LSS-hem i dennes sovrum.
|
-
Brister i de grundläggande principerna
-
Avsaknad av rättslig grund
-
Behandling av känsliga personuppgifter
-
Bristande information
-
Avsaknad av konsekvensbedömning och förhandssamråd
|
200 tkr
|
Forskare som skickat känsliga uppgifter över okrypterade mail, och lagrat ett antal protokoll med känsliga uppgifter, som ingick i forskningen, i en molntjänst.
|
|
4 mkr
|
Incidenter i fem olika delsystem i en skolplattform.
Brister hade funnits över en längre tid och även känsliga och integritetskänsliga uppgifter, exempelvis uppgifter om skyddad identitet
|
-
Brister avsåg de grundläggande principerna
-
Bristande säkerhet i plattformen
-
Bristande konsekvensbedömning
|
4 mkr
|
Det betyder bristerna
Här är en beskrivning av vad dessa brister innebär, och vilken del av dataskyddsförordningen man som verksamhet inte lyckats att leva upp till.
|
|
Behandling av känsliga personuppgifter
|
Som utgångspunkt är det förbjudet att behandla känsliga personuppgifter (det finns undantag), och så måste man ha ett samtycke från den enskilde individen.
|
Bristande/Avsaknad av konsekvens- bedömning och förhands- samråd
|
Om man behandlar personuppgifter som KAN leda till en hög risk för den enskilde individen, ska man göra en konsekvensbedömning för att förebygga riskerna. Om man därefter fortfarande ser risken som hög, ska man ha ett förhandssamråd med IMY.
|
Bristande/ Avsaknad av rättslig grund
|
Utan rättslig grund, är behandling av personuppgifter olaglig. GDPR har 6 stycken olika rättsliga grunder; Samtycke, Avtal, Intresseavvägning, Rättsliga förpliktelse, Myndighetsutövning och uppgift av allmänt intresse och Grundläggande intresse.
|
Brister i de grundläggande principerna
|
GDPR består av 7 grundprinciper. Ett exsempel som är dataminimering som fokuserar på att endast inhämta den data som krävs för att uppnå ett specifikt syfte, vilket motsvarar den enskilda rätten till dataskydd.
|
Bristande information
|
Det är av yttersta vikt att säkerställa att den enskilda individen är medveten och har information om dennes personuppgifter samlas in.
|
Bristande säkerhet
|
Målet med GDPR är att skydda människors personliga integritet. Därför är det viktigt att all behandling av personuppgifter sker med lämplig säkerhet, till exempel att man sänder krypterade mail, om mailet innehåller personuppgifter.
|
Om ni som verksamhet vill lära er av andras misstag, så kan ni använda denna sammanfattning av brister, som lett till sanktionsavgifter för andra, som en checklista för att säkerställa att ni hanterar personuppgifter på ett korrekt sätt.
Framtidens teknik och hur det påverkar integritetsskyddet
Idag går teknikutvecklingen snabbt, IMY menar att utvecklingen går exponentiellt. Det förklaras bland annat av att ett genombrott på ett område, skapar framsteg inom ett annat. Möjligheten att kunna tjäna pengar på data är också en stark faktor, till varför hastigheten är hög i utvecklingen. Idag behandlar i princip alla företag personuppgifter, för några är det själva affärsmodellen. Drivkraften att samla in personuppgifter kan för vissa verksamheter bli så stor att de väljer att göra det utan att fundera över den personliga integriteten.
I IMY:s rapport redogör de för 16 teknikområden, i 5 olika kategorier, där utvecklingen av tekniken går betydligt snabbare än arbetet med den personliga integriteten. I detta blogginlägg kommer vi att ta upp 4 av dessa områden, som vi tänker är relevanta för de flesta verksamheter att vara medvetna om.
Teknik för att samla in data
Sensorer och sändare utvecklas för att bli mindre men mer kraftfulla, vilket gör att de kan samla in flera former av data, så som; ljud, bild, rörelse och temperatur. Ett nätverk av sensorer, ett smart damm, kan tillsammans samla in data över mycket stora områden, där de kan monteras på byggningar, drönare, fordon eller följa med vattendrag.
Sensorer har många användningsområden för många industrier, men också i privatlivet. På senare tid har det blivit väldigt populärt med sensorer som mäter kroppens signaler och ger feedback till användaren. Det kan till exempel vara pulsklockor. Sensorer kan också användas av företag, till exempel för att mäta kontorets temperatur eller hur många personer som är i byggningen samtidigt, det kan till exempel vara användbart om byggningen har en kantin, så att de kan få en idé av hur många tallrikar som behövs till lunchen.
En av de stora integritetsutmaningarna med att använda sensorer är att de kan samla in mer data än vad som är nödvändigt, vilket byter mot GDPR:s princip om dataminimering.
Sensorer kan också fånga upp information om personer utan att det vet om det, och även om det inte är syftet med insamlingen av datan. Det gör det svårt för den enskilda personen att veta vem som samlar in data om dem och i vilket syfte. Därför menar IMY, att alla företag som arbetar med sensorer, eller som installerar dem på kontoret, tar sitt ansvar genom att säkerställa att de efterlever dataskyddsförordningen och att man är transparent med insamlingen av data.
Biometri mäter kroppens egenskaper, och biometriska uppgifter räknas som extra känsliga personuppgifter. Tekniken används för att verifiera, autentisera eller identifiera individer. Det har till exempel blivit väldigt populärt att använda sitt ansikte eller fingeravtryck för att låsa upp sin telefon. För många företag kan det verka som en bra idé att byta ut passerkort, som ofta glöms hemma, till en biometrisk verifiering för att komma in på kontoret. Det är nämligen en av de största fördelarna med tekniken, det är bekvämt och många gånger går det snabbare att scanna sitt fingeravtryck än att skriva in ett lösenord.
En av de absolut största riskerna med att använda biometriska uppgifter, är att de inte kan bytas ut. Om man upplever att en obehörig får tillgång till sitt lösenord, kan man byta lösenord, men man kan inte byta ut sitt fingeravtryck om man använt det som verifiering. Därför är IMY:s rekommendation att man ska ha en restriktiv hållning till att använda biometriska uppgifter till bara när det är absolut nödvändigt. Men man kan också använda sig av artificiell biometri, som kan bytas ut.
När biometriska uppgifter behandlas, finns en risk att datan används till ändamål som det inte var menat till från början. Till exempel kan biometriska uppgifter om ansikte och gångstil inte bara identifiera enskilda, utan de kan också identifiera oönskade beteenden eller särskilda behov hos enskilda individer.
Teknik för att bearbeta och använda data
Artificiell Intelligens, AI
AI är en förutsättning för att kunna använda de stora mängder data som många verksamheter samlar in, samtidigt är datamängden en förutsättning för tekniken eftersom det är så den lärs upp. AI kommer med riktigt många möjligheter, för många olika delar av vårt samhälle. Till exempel kan tekniken diagnostisera sjukdomar, effektivisera jordbruket, minska energianvändningen, minska antalet trafikolyckor och skriva filmmusik. Men för de allra flesta verksamheter är AI intressant eftersom tekniken kan ta över beslutsprocesser som automatiseras.
Riskerna med AI, är lika många som dess möjligheter. En av dem är, att många kan tro att ett beslut som en AI tar, är en objektiv sanning. Men så är det tyvärr inte, en AI bygger sina beslut på den kod som definierar den och den data som den har lärts upp av. En AI kan alltså ta (fel) beslut som byggts på diskriminering. Det leder också till frågan om vem som är ansvarig när en AI tar ett felaktigt beslut.
Ett svenskt exempel där en AI gjort fel, är hos Arbetsförmedlingen, som upptäckte vid intern kontroll att mer än var sjunde beslut om indraget aktivitetsstöd, kan ha varit ett felaktigt beslut av ett automatiserat system.
Teknik för att lagra data
I takt med att insamlingen av data ökat, och bearbetningen av den blir mer sofistikerad, ökar också kraven på att kunna lagra datan. Den teknik som hittills har svarat bäst på behovet av stora lagringskapacitet, är molnlagring. Som är relativt billig, snabb och den går att anpassa. Med molnlagring kan användare komma åt och bearbeta insamlad data var som helst, när som helst.
Många verksamheter har under Corona pandemin använt sig av molnlagring, för att det underlättar det digitala samarbetet. Det kan till exempel vara att kollegor delar ett dokumentarkiv, som alla kan komma åt hemifrån.
Det många verksamheter inte är lika medvetna om är att marknaden för molnlagring styrs av ett fåtal globala aktörer, där de flesta av dem är amerikanska. EU-domstolens ogiltigförklarande av den så kallade Privacy Shield lagen, innebär att överföra data från ett EU land, till ett amerikanskt moln inte längre är möjligt med denna princip som grund.
Utvecklingen av ny teknik ska byggas med integritetsskydd
Utöver att verksamheter aktivt ska jobba med att utbilda sin personal för att öka deras medvetenhet och kunskap för hur man hanterar personuppgifter på ett säkert sätt, så ska man aktivt jobba för att implementera integritetsskydd när nya IT systems byggs.
En möjlig del av förklaring till varför många svenska verksamheter brister i det grundläggande principerna i dataskyddsförordningen, utöver de omedvetna medarbetarna, är för att lagen kom efter att deras IT system blev byggt. Det är svårare att implantera integritetsskyddet i efterhand, än under tiden systemet byggs. Därför vill vi som avslutade ord lyfta hur viktigt det är att aktivt, under utvecklingen av ny teknik hela tiden ha med en plan på hur man jobbar med integritetsskydd, både för idag och för framtiden.