Under årens lopp har jag som säkerhetskonsult upplevt att intresset att skydda personlig information ofta kommer i andra hand. Bottennappet hittills är besöket i en kommun där ansvarige bestämt motsatte sig inloggning med e-legitimation för åtkomst till känsliga personuppgifter. “Det enda Datainspektionen kan göra är att skälla på oss”. Jag vill påstå att Datainspektionen har bättre påtryckningsmedel än så. Det som oroar dock är det faktum att den ansvarige inte såg behovet av säker inloggning som en del i skyddet av den personliga integriteten, utan mer som en jobbig, kostnadsdrivande och en uddlös kravställning. Så illa är det inte överallt, tack och lov.
Samtidigt så utvecklas alltfler tjänster där vi som användare (må vara som kunder eller medborgare) förväntas dela med oss av information om oss själva. Varje bit av information som vi lämnar ifrån oss kan i sig vara harmlös (adress, telefonnummer, personnummer, skostorlek, e-postadress, hämtningstider på dagis, serienummer på pendlingskortet och antal hemmavarande barn), men tänk hur mycket man kan få reda på om en person genom att slå samman alla dessa uppgifter. Uppgifter som i sin tur kan användas för att ta reda på ännu mer om dig. Du som användare kan aldrig vara säker på att de uppgifter du lämnat ifrån dig är i säkra händer, då du med all sannolikhet inte kan påverka den insamlande organisationens informationssäkerhetsarbete.
Vem ställer då krav på att insamlad data hålls säker? I Sverige finns Personuppgiftslagen (1998:204, PuL) som ett slags skyddsnät när ingen annan lagstiftning är applicerbar. När du drar ditt kundkort i mataffärens terminal och listan på inhandlade varor läggs i affärens analyssystem, kopplade till dig som kund, så är det PuL som är den skyddslagstiftning som finns. Snart kommer vi få ny lagstiftning i form av en förordning inom EU (den är troligen klar i höst och planeras träda ikraft årsskiftet 2017/2018). Däri kommer det slås fast att den som samlar in information är skyldig att skydda den från obehörig åtkomst, i annat fall blir det saftiga böter.
Sedan finns det alltid gråzoner, såsom uppgifter av personlig karaktär men inte strukturerade samt icke-personliga uppgifter som går att personalisera. I den förstnämnda kategorin har vi som exempel en arbetsgivare (privat eller offentlig) där information om de anställda inte bara finns i form av ett HR- eller lönesystem. Här finns information om (och av) de anställda i form av e-post- och chatkonversationer, i dokument och i rapporter. Hacket mot Sony sommaren 2014 resulterade i att man publicerade allt man kommit över. Det innebar att även helt oskyldiga anställda fick sin e-post publicerad. Hacket denna sommar mot otrohetssajten AshleyMadison.com gjorde saken ännu tydligare.
I den andra kategorin återfinns information som vi användare lämnar ifrån oss mer eller mindre ovetandes. Genom att använda sig av statistik- och delningsverktyg på webbsajter så blir resultatet att dessa tjänsteleverantörer får reda på alltmer om oss som användare. I det fallet är det inte själva webbsajtägaren som får ta del av ditt besöksmönster, utan tjänsteleverantören. Till stor del är insamlandet anonymiserat, men forskning visar att det är häpnadsväckande enkelt att identifiera en person bakom avidentifierad data.
Tillbaka till det inledande påståendet att den personliga integriteten är kraftigt hotad. Du som användare får helt enkelt till viss del skylla dig själv genom att du använder digitala tjänster och på sätt lämnar ett digitalt spår efter dig från kundkort i butiker, accesskort i lokaltrafiken, betalkort, webbmail och e-tjänster hos myndigheter.
Jag vill vända det hela och säga att din personliga integritet är värd att strida för. Du ska med säkerhet kunna utföra dina dagliga tjänster i en digital omgivning utan att vara rädd att uppgifterna kommer på drift. Men striden om rättigheten till integritet kommer alltid att föras, därför att därute finns det alltifrån krafter som vill veta mer om dig till ansvariga som bara inte orkar skydda dina uppgifter.
Tyvärr måste fortfarande du som användare vara kunnig inom området för att kunna stå på dig med dina krav: Dina uppgifter är dina.
Carl Önne