Då var det återigen dags att summera det gångna året. I år samlade sig årets godsaker lagom till jul. Åtminstone om man som jag värnar om den personliga integriteten!
Först kantrade Safe Harbor och sedan klubbade EU mer eller mindre enhälligt igenom Dataskyddsförordningen. Safe Harbor kantrade som ett resultat av alla betänkligheter som avslöjades i spåren av Snowden, och Dataskyddsförordningen tycker jag kan ses som ett resultat av flera medlemsländers oförmåga att på allvar värna om den personliga integriteten.
Sverige har verkligen inte varit något föregångsland vad gäller personlig integritet. Här har personuppgiftslagen setts som ett hinder av alla de organisationer som inte förmår att hantera skyddsvärd information på ett nyktert sätt. Den personliga integriteten naggas därutöver ständigt i kanten av alla de särintressen som påstår sig ha större behov av intrång för att kunna utföra sitt uppdrag eller för att säkerställa att gamla förlegade industrier inte behöver se över sina föråldrade affärsidéer. Inte blir det bättre av att lagstiftaren inte kan se igenom alla ihåliga argument.
Jag tänker tillbaka till tiden då Tomas Bodström såsom justitieminister i en intervju i Rapport konstaterar att den som inte har något att dölja heller inte behöver vara orolig över de lagar som ger myndigheter rätt till större intrång i den personliga integriteten.
Hur kunde vi ens låta det passera obemärkt och låter det fortsatt obemärkt passera?
Nu nyligen konstaterades att de berörda myndigheterna, trots möjligheter till utökad avlyssning, inte når önskvärda resultat. Förvånande? Knappast! Det är inte speciellt svårt att skydda sig förutsatt rätt tekniska och organistoriska hjälpmedel. För övrigt samma hjälpmedel som är ett resultat av Personuppgiftslagen, och numera Dataskyddsförordningens, krav för att skydda känsliga personuppgifter. För att kringgå dessa skyddsåtgärder ropas det efter spiontrojaner.
Vem löper åter igen störst risk? De onda eller de goda? Svaret är fortsatt givet!
Är det en slump att de organisationer som ser den personliga integriteten som ett hinder inte heller har tillräckliga tekniska och organisatoriska förmågor att hantera skyddsvärd information? Är det en slump att de ser livscykelhanteringen av kryptonycklar som något hämtat från en spionroman?
Det paradoxala är dock att de myndigheter som har behov av större intrång i den personliga integriteten bara når framgång när det slarvas med fundamentala ting som exempelvis nyckelhantering. De som slarvar är inte sällan myndigheter som hanterar stor mängd integritetskänslig information. Det hela liknar ett moment 22 av sällan skådat slag.
För att undvika att bli en del i denna cirkus, nu uppbackad av betydligt kraftfullare lagstiftning, är det inte överdrivet svårt att göra rätt. Det handlar om klassiskt informationssäkerhetsarbete som utgår från att skydda det som är skyddsvärt och inte minst förmå att omsätta informationssäkerhetsarbetet i reella tekniska och organisatoriska skyddsåtgärder. Här i ligger vanligtvis utmaningen.
Vi måste sträva efter en verksamhet som förstår och förmår att hantera skyddsvärd information. Rätt implementerat kommer informationssäkerhetsarbetet att naturligt vävas in i den sedvanliga verksamheten vilket garanterar en robusthet över tid. Därigenom kommer inte längre livscykelhantering av kryptonycklar, som ett av flera exempel där det idag brister rejält, att ses som onaturliga inslag.
Det finns inte längre något utrymme för verksamheter som vare sig förstår eller förmår att hantera skyddsvärd information!
Thomas Nilsson
