Innebygget personvern

Innføringen av GDPR var en gullgruve for mange konsulentselskaper – mange firma var usikre på hva det ville medføre, og brukte hundre-tusenvis av kroner på å bli “GDPR-klare”. En av de mest merkbare konsekvensene av GDPR var at mange virksomheter så seg nødt til å vaske epostlistene sine, og slette alle mottakere som ikke hadde gitt eksplisitt samtykke. Derfor fikk mange av oss gjentatte eposter hvor vi ble bedt om å bekrefte at vi fortsatt vill stå på epostlisten.

Ellers i verden så vi eksempler på at tyske myndigheter i praksis la ned forbud for Facebooks reklamevirksomhet, og amerikanske medier debatterte om det virkelig gir mening at teknologiselskaper skal ha eierrettigheter til forbrukeres personopplysninger (det har de ikke i Europa).

På hjemmefronten hadde vi allerede før GDPR sett flere tilfeller der teknologi for barn hadde snublet i personvernet. Dukken Cayla var hypermoderne og tilsynelatende intelligent, og kunne føre samtaler med barn. Imidlertid viste det seg at den var satt opp med tilkobling til trådløse nett på en slik måte at uvedkommende kunne avlytte samtaler og til og med kommunisere med barnet – man trenger ikke være fan av 80-talls skrekkfilmer for å skjønne at dette bærer galt av sted. Forbrukerrådet gjorde senere en vurdering av ulike smartklokker for barn, og fant ut at mange av dem tilsvarende var dårlig sikret, og kunne misbrukes til avlytting og sporing.

Dette er eksempler på teknologioptimisme fra produsenter, der det som ofte ellers er viktigere å få funksjonalitet ut til brukerne enn å sørge for at sikkerhet og personvern er i varetatt. Med tingenes internett på full fart inn i vår hverdag, kan vi se for oss dette og verre ting i nær fremtid. Vi har allerede kunne observere at f.eks. IP-kamera har blitt smittet med skadevare, og brukt til å gjennomføre tjenestenektangrep. Det er derfor på høy tid at alle forstår at sikkerhet og personvern er grunnleggende egenskaper som må være med fra starten – det er ikke noe “vi kan fikse senere”!

Hva er personvern, og hvorfor trenger vi det?

En av de store motivasjonene for at virksomheter ble opptatt av personvernforordringen (GDPR), var de veldig spesifikke maksimale bøtesatsene for brudd på retningslinjene – opp til 20 millioner euro, eller 4% av global årlig omsetning, avhengig av hva som er størst.

Sikkerhet og personvern er begreper som har mye med hverandre å gjøre, men de er selvfølgelig ikke synonymer. Den klassiske oppdelingen av sikkerhet i konfidensialitet, integritet og tilgjengelighet gjør det fristende å konkludere at personvern ikke har noe å gjøre med de to siste, og følgelig på et eller annet vis må være relatert til konfidensialitet. Det er imidlertid et subtilt skille mellom personvern og konfidensialitet; mens det på den ene siden er åpenbart at man kan sikre personvernet med knallhard anvendelse av konfidensialitet, finner vi i det virkelige liv at vi er nødt til å utveksle forskjellige typer personopplysninger med andre instanser, slik at konfidensialitet for vår egen del aldri kan være nok alene. Videre er det slik at selv om vi deler personopplysninger nå, ønsker vi ikke nødvendigvis at disse skal være tilgjengelig for motparten for lang tid framover, og i hvert fall ikke for andre formål enn de ble samlet inn.

“Den registrerte” – hvem er det?

Det engelske begrepet data subject oversettes (litt krøkkete) med “den registrerte” eller “den opplysningene gjelder”. Avhengig av situasjonen, kan dette være forskjellige aktører – kunder, pasienter, ansatte, fotgjengere, …

Personopplysninger

Personopplysninger er all informasjon relatert til en identifisert eller identifiserbar naturlig person. Dette kan omfatte oppførselsmønster: Hvor du befinner deg, hva du handler inn, hva du leser, hvem dine venner er, hva du kommuniserer.

Sensitive personopplysninger omfatter rase eller etnisitet, politiske meninger, religiøse eller filosofiske trosforhold, fagforeningsmedlemskap, genetiske data, biometriske data for unik identifisering av en naturlig person, helseopplysninger, seksualliv eller seksuell orientering.

Personvernprinsipper (GDPR artikkel 5)

Personvernforordringen spesifisere 7 grunnleggende personvernprinisipper, som Datatilsynet beskriver slik:

  1. Behandling av personopplysninger må være lovlig

Det må finnes et rettslig grunnlag for den behandlingen en virksomhet ønsker å gjøre. Forordningens artikkel 6 regulerer i hvilke tilfeller det skal anses lovlig å behandle personopplysninger. Minst ett av vilkårene i denne bestemmelsen må være oppfylt for at behandlingen er tillatt. Dersom det behandles sensitive personopplysninger må i tillegg minst ett av vilkårene i artikkel 9 være oppfylt.

  • Personopplysninger skal kun behandles for spesifikke, uttrykkelige, angitte og legitime formål

Ethvert formål med behandling av personopplysninger skal identifiseres og beskrives presist. Alle formål skal være forklart på en måte som gjør at alle berørte har samme entydige forståelse av hva personopplysningene skal brukes til. At formålet skal være legitimt innebærer at det i tillegg til å ha et rettslig grunnlag også skal være i samsvar med øvrige etiske og rettslige samfunnsnormer.

  • Prinsippet om dataminimering innebærer å begrense mengden innsamlede personopplysninger til det som er nødvendig for å realisere innsamlingsformålet.

Dersom identitetsopplysninger eller personopplysninger ikke er nødvendige for å oppnå formålet, taler dataminimalitetsprinsippet i retning av å ikke samle dem inn. Dataminimalitetsprinsippet kan også være relevant i vurderingen av hvor stort antall personer som skal registreres i et datasett.

  • Personopplysninger som behandles skal være korrekte. Opplysningene skal også oppdateres hvis det er nødvendig.

Dette betyr at behandlingsansvarlig må sørge for å straks slette eller rette personopplysninger som er uriktige med hensyn til de formål de behandles for.

  • Prinsippet om lagringsbegrensning innebærer at personopplysninger skal lagres slik at de slettes eller anonymiseres når de ikke lengre er nødvendige for formålet de ble innhentet for.
  • Personopplysninger skal behandles slik at opplysningenes integritet og fortrolighet beskyttes.
  • Prinsippet om ansvarlighet (accountability) understreker den behandlingsansvarliges ansvar for å opptre i samsvar med reglene for behandling av personopplysninger.

Det er ikke nok å bare ha ansvaret – man må vise at man tar ansvaret.

Den behandlingsansvarlige må opptre proaktivt og etablere alle nødvendige organisatoriske og tekniske tiltak for å sikre at regelverket etterleves til enhver tid. Virksomheten må også kunne vise at den faktisk opptrer i samsvar med reglene.

Rettigheter til den registrerte

Den som opplysningene angår har rett til å

  • Bli informert om datainnsamling
  • Motsette seg registrering (unntak finnes)
  • Bli slettet – retten til å bli glemt (unntak finnes)
  • Få portable data (dataportabilitet)
  • Unngå å utsettes for helautomatiserte beslutninger
  • Begrense prosessering av data
  • Få innsikt i hvilke data som behandles (transparens)
  • Få feil rettet

Behandlingsansvarligs ansvar

Behandlingsansvarlig er nødt til å utnevne et personvernombud, og må utføre en vurdering av personvernskonsekvenser (DPIA) før innsamling begynner. Alle systemer som behandler personopplysninger skal utvikles etter prinsippene for innebygd personvern, og personvern skal være standardvalg i alle tilfeller. Databehandleren er nødt til å føre regnskap med behandlingen av personopplysninger, og dersom en ekstern databehandler benyttes, må det foreligge en databehandleravtale. Dersom det skulle skje et brudd på personvernet, er behandlingsansvarlig pliktig til å underrette den opplysningene angår uten unødig opphold, og senest 72 timer etter bruddet er oppdaget.

7 grunnleggende prinsipper for innebygget personvern

Ann Cavoukian, som var Information & Privacy Commissioner i Canada, formulerte 7 grunnleggende prinsipper for innebygget personvern:

  1. Proaktivt, ikke reaktivt; forhindre at uheldige ting skjer, heller enn å rydde opp i etterkant
  2. Personvern som standardinnstillng
  3. Personvern bakt inn i designet
  4. Full funksjonalitet – Positiv-sum, ikke null-sum
  5. Ende-til-ende sikkerhet – Full livssyklus beskyttelse
  6. Synlighet og transparens – Hold det åpent
  7. Ha respekt for brukerens personvern – Hold det bruker-sentrisk

Programvareutvikling med innebygd personvern

Datatilsynet har utviklet en veiledning for å utvikle programvare med innebygget personvern:

Veiledningen er delt inn i 7 hovedområder:

Vi skal i det følgende raskt oppsummere innholdet i de forskjellige delene.

Opplæring

Den som skal utvikle programvare som skal behandle personopplysninger må ha en grunnleggende forståelse av personvern og informasjonssikkerhet. Utviklere bør ha en etablert utviklingsmetodikk godkjent av ledelsen som de følger når de utvikler programvare. Metodikken skal omfatte innebygget personvern og personvern som standardinnstilling, samt innebygget sikkerhet. Opplæringen i dette skal omfatte utviklere, arkitekter, testere, prosjektledere, ledelse, alle andre ansatte og leverandører, og dette bør skje ved begynnelsen av utviklingsprosjekter, med jevnlige oppdateringer, og ved begynnelsen av utrullingsprosesser.  

Krav

Det må stilles krav til personvern og informasjonssikkerhet for det endelige produktet, og disse kravene må reflektere behovet for personvern og informasjonssikkerhet. For å stille de riktige kravene, er det viktig å vite hvilke kategorier av personopplysninger som vil bli prosessert i systemet. Kravene til programvare, produkter, applikasjoner, systemer, løsninger eller tjenester må tilfredsstille personvernprinsippene, beskytte personvernrettighetene til den registrerte, møte kravene som stilles til firmaet, sørge for at standardinnstillingene er satt til det mest personvernfremmende alternativet, og sørge for at sluttproduktet er robust, sikkert, og sørger for at den registrertes rettigheter lar seg håndheve.

Design

Det må forsikres at krav til personvern og informasjonssikkerhet er reflektert i designet. Det er viktig å ta med i beregningen at det finnes trusselaktører som kan forsøke å innhente og få tilgang til personopplysninger. For å begrense angrepsflaten må den analyseres, og programvaren bli modellert og designet for å sikre at sluttproduktet er robust. Dataorienterte designkrav omfatter:

  • Minimaliser og begrens
  • Skjul og beskytt
  • Separer
  • Aggreger
  • Personvern som standardinnstilling

Prosess-orienterte designkrav omfatter:

  • Informer
  • Kontroller
  • Tving gjennom
  • Demonstrer

Koding

Gjør utviklere i stand til å skrive sikker kode ved å implementere kravene for personvern og sikkerhet. Det er viktig å velge en sikker felles metodikk, både for koding og for å gjøre utviklerne i stand til å detektere og fjerne sårbarheter fra koden. Automatiserte kodeanalyseverktøy bør introduseres, og firmaet må ha etablerte prosedyrer for statisk kodeanalyse og kodegjennomgang.

Mulige tiltak for sikker koding omfatter:

  • Lag en liste av alle godkjente verktøy og biblioteker
  • Søk gjennom alle avhengigheter for kjente sårbarheter eller utdaterte versjoner
  • Manuell kodegjennomgang
  • Statisk kodeanalyse med sikkerhetsregler

Testing

Testere sjekker at krav for personvern og informasjonssikkerhet har blitt implementert som planlagt.

Mulige tiltak omfatter:

  • Fuzzing
  • Sårbarhetsanalyse
  • Penetreringstesting
  • Trusselmodellering og gjennomgang av angrepsflate

Produksjonssetting

I forbindelse med produksjonssetting må virksomheten planlegge hvordan den effektivt kan håndtere sikkerhetshendelser. En hendelseshåndteringsplan vil typisk ha elementer for å detektere hendelser, analysere og verifisere dem, og rutiner for rapportering. Deretter må hendelsene håndteres, og til slutt må normal drift gjenopprettes.

Det må også lages rutiner for oppdatering av programvare. Denne fasen omfatter også en full sikkerhetsgjennomgang av programvaren, og en endelig godkjenning.

Forvaltning

Det viktigste elementet i denne aktiviteten er at virksomheten har implementert en plan for hendelseshåndtering (se over), og faktisk følger denne planen når hendelser inntreffer. Videre må man ha rutiner for vedlikehold, tjenesteproduksjon og drift: Definere roller, ansvar og myndighet; håndtere den registrertes rettigheter og henvendelser relatert til disse, som tilgang til data, endring, sletting, dataportabilitet, samtykke, informasjon, og transparens; kontinuerlig vurdere virkningsgraden av tekniske og organisatoriske sikkerhetsmekanismer for å avdekke sårbarheter; vedlikehold av data, plattform, nettverk og programvare – inkludert leverandører.