Privacy by Design är ett av årets hetaste ämnen. Det framgår i synnerhet av det stora antalet aktörer som marknadsför produkter och tjänster med inbyggt dataskydd eller, på engelska Privacy by Design. Några it-leverantör säljer även ”försäkringar” som, enligt dem, gör verksamhetens behandling av personuppgifter förenlig med dataskyddsförordningens (GDPR) höga krav. Men vad är leverantörernas recept? Det är självklart, Privacy by Design.
Vid otaliga frukostseminarier, konferenser och andra evenemang är Privacy by Design dagens hetaste tema. Det saknas dock ofta en viktig sak: en förklaring till vad Privacy by Design egentligen innebär. Detta blogginlägg syftar till att förklara just detta.
Privacy by Design och informationssäkerhet
Vi börjar med att kasta ljus över en fråga som ofta uppkommer i sammanhanget: är Privacy by Design samma sak som informationssäkerhet? Det korta svaret är: nej.
Det långa svaret börjar med att konstatera att många aktörer, framför allt it-leverantör och säkerhetsföretag, likställer Privacy by Design med informationssäkerhet. Varför gör de det? En anledning kan vara att begreppet Privacy by Design låter bättre än informationssäkerhet och kan lyfta leverantörernas marknadsföring. En annan anledning kan vara att Privacy by Design omfattar viktiga delar av informationssäkerheten, som till exempel dataintegritet, behörighetsstyrning och logguppföljning.
Men Privacy by Design är mycket mer än informationssäkerhet, vilket framgår av Privacy by Designs sju grundprinciper. Grundprinciperna understryker att Privacy by Design framförallt handlar om att informera användare, skapa transparens och minimera uppgifter. Enligt grundprinciperna spelar informationssäkerheten en mindre roll än principerna om information, transparens och uppgiftsminimering.
I själva verket kan informationssäkerhet även motverka Privacy by Design. En viktig del av informationssäkerheten består i att övervaka användarnas beteende för att trygga it-system. Men denna övervakning innebär en risk för allvarliga ingrepp i användarnas integritet. Detta argument förklarar också varför en it-chef i många fall inte bör ta rollen som dataskyddsombud då det kan finns en intressekonflikt mellan it-chefens intresse att trygga samtliga it-system och användarnas intresse av personlig integritet.
Privacy by Design och uppgiftsminimering
Enligt grundprinciperna betyder Privacy by Design framför allt en sak – uppgiftsminimering. Men vad är uppgiftsminimering?
Enkelt sagt står begreppet uppgiftsminimering för att behandla så få personuppgifter som möjligt. Detta förutsätter en begränsning av mängden personuppgifter som samlas in. Vidare krävs det att all behandling sker på ett sätt som förebygger integritetsrisker. Det är ingenting man kan åstadkomma över en natt, utan effektiv uppgiftsminimering kräver hårt arbete.
Uppgiftsminimering är så pass viktig att den ingår som självständig grundprincip i GDPR. Samma sak gäller förresten även för informationssäkerheten. Den är införlivad i GDPR genom grundprincipen om konfidentialitet och sekretess.
Uppgiftsminimering i praktiken
I teorin är uppgiftsminimering något gott. Det framstår nästa som ett botemedel för övertramp i enskildas rätt att bli lämnade ifred. Men hur fungerar uppgiftsminimering i praktiken?
Begränsa insamling av personuppgifter
Allt börjar med att begränsa insamlingen av personuppgifter. Detta innebär att organisationer bara ska samla in sådana personuppgifter som är nödvändiga för ändamålet.
Låt oss ta den fiktiva vädertjänsten Cloudy som ett exempel. Cloudy erbjuder en smartphone-app som upplyser om det lokala vädret baserad på användarens position. Cloudy finansieras genom att sälja information om användarbeteende och då särskilt statistiska insikter avseende vissa målgruppers rörelsemönster.
Cloudy samlar in användarnas rörelsemönster genom att hämta användarnas exakta position från ett GPS-gränssnitt flera gånger per minut. Användarnas exakta position kallas också för lokaliseringsuppgifter. Ett sätt för Cloudy att tillämpa uppgiftsminimering är begränsa insamlingen av lokaliseringsuppgifterna till varje femtonde minut.
Anonymisering
Att undvika att samla in personuppgifter låter fint i teorin men kan vara desto svårare i praktiken. När organisationer börjar ett nytt projekt vet de oftast inte vilka personuppgifter kommer att behövas framöver. Ett praktiskt alternativ till att begränsa insamlingen kan vara att använda sig av en teknik som heter anonymisering.
Att anonymisera personuppgifter innebär att man tar bort alla möjligheter att identifiera en person. Effektiv anonymisering leder till att det inte längre går att koppla samman uppgifter med en person. Notera att anonymisering också kallas för avidentifiering ibland (men detta är inte samma sak och kan leda till förvirring). Många aktörer blandar dock felaktigt ihop anonymisering med pseudonymisering. Vi återkommer till detta nedan.
Vi går tillbaka till vårt exempel Cloudy. Innan lokaliseringsuppgifterna skickas till Cloudys servrar kompletteras uppgifterna med brus. Detta betyder att en användarnas position slumpmässigt flyttas i olika geografiska riktningar. Flyttningen sker innan Cloudy skickar användarnas positioner till Cloudys servrar. Om Cloudy utformar logiken som flyttar användarna på ett bra sätt kan man säga att lokaliseringsuppgifterna har anonymiserats på ett effektivt sätt. Fördelen med att anonymisera personuppgifter är att resultatet inte längre består av personuppgifter. Detta betyder att resultatet inte längre omfattas av GDPR:s regelverk.
Pseudonymisering
Att anonymisera personuppgifter på ett effektivt sätt är emellertid svårt. Det är mycket enklare för organisationer att pseudonymisera uppgifterna. Pseudonymisering innebär att en direkt identifierare som ett namn ersätts med en indirekt identifierare som ett kundnummer. Till exempel kan jag pseudonymisera mitt namn, Sebastian, genom att ersätta den med ett slumptal, 78552.
Även våran fiktiva väderapp Cloudy använder sig av pseudonymisering. Den skapar en aktivitetsprofil för samtliga användare och säljer profilen vidare till olika reklamnätverk. Dessa aktivitetsprofiler innehåller inte användarnas namn utan ett unikt reklam-id. Dessa reklam-id är pseudonymer för användarnas namn.
Problemet med pseudonymisering är att pseudonymiserade personuppgifter fortfarande utgör personuppgifter, eftersom det fortfarande är möjligt att särskilja en individ ur grupp individer med de pseudonymiserade personuppgifternas hjälp. Detta betyder att GDPR är tillämplig även på pseudonymiserade personuppgifter. Pseudonymisering är dock en av de viktigaste säkerhetsåtgärderna för att skydda personuppgifter enligt GDPR, men det är inte en metod för anonymisering.
Skillnaden mellan anonymisering och psudonymisering
En särskild fallgrop är att betrakta pseudonymiserade uppgifter som likvärdiga med anonymiserade uppgifter. Det skapar även mer förvirring att ordet anonymisering ofta används som synonym för ordet pseudonymisering. Pseudonymiserade uppgifter kan dock inte likställas med anonymiserade uppgifter. Anledningen till detta är att pseudonymiserade personuppgifter gör det möjligt att särskilja enskilda individer ur en grupp individer. Ur ett dataskyddsperspektiv är det ingen skillnad om man identifierar en individ med hjälp av ett namn eller ett unikt reklam-id. Att förstå denna skillnad – det är kärnan till effektiv anonymisering!
Sammanfattning
Vi sammanfattar de viktigaste punkterna. (i) Privacy by Design och informationssäkerhet är inte samma sak. (ii) I praktiken kan Privacy by Design likställas med uppgiftsminimering, och uppgiftsminimering förverkligas genom att begränsa insamlingen av personuppgifter, anonymisering och pseudonymisering. (iii) Anonymisering (som också felaktligen kallas för avidentifiering ibland) är inte samma sak som pseudonymisering. Anonymiseras personuppgifter på ett effektivt sätt, så är resultat inte länge personuppgifter. (iv) Pseudonymiserade personuppgifter utgör fortfarande personuppgifter.