Sammanfattning av IMY:s integritetsskyddsrapport 2020
I januari 2021 lämnade Integritetskyddsmyndigheten (tidigare Datainspektionen), IMY, över sin första integritetsskyddsrapport till regeringen. Rapporten är en del av IMY:s nya uppdrag att vart fjärde år lämna en redovisning av utvecklingen inom dataskyddsområdet till regeringen. IMY:s slutsats är att Sveriges ambitiösa digitaliseringspolitik behöver kompletteras med en tydlig och konkret integritetsskyddspolitik. I detta blogginlägg sammanfattar vi några av de viktigaste punkterna som IMY lyfter fram i sin rapport.
Digitaliseringspolitiken i EU och Sverige
I rapporten framhävs att både EU och Sverige har en hög ambitionsnivå avseende tillvaratagande av digitaliseringsmöjligheterna, och digitaliseringspolitiken är högt upp på agendan. Inom EU märks det bland annat genom att det i februari 2020 presenterades flera strategiska dokument som anger inriktningen för EU:s digitala framtid: EU:s digitaliseringsstrategi, datastrategi och vitbok för AI. För Sveriges del har digitaliseringspolitiken fått ett större fokus på senare år genom framtagandet av en nationell digitaliseringsstrategi och en nationell inriktning för AI.
Ett ökat skydd för personuppgifter
För att möta den snabba tekniska utvecklingen infördes dataskyddsförordningen (GDPR) den 25 maj 2018. Genom införandet av dataskyddsförordningen stärktes enskildas rättigheter samtidigt som skyldigheterna för de verksamheter som hanterar personuppgifter skärptes.
Sedan GDPR trädde i kraft har EU-domstolen meddelat ett tiotal domar rörande integritetsskydd. I rapporten ges en kortfattad beskrivning av den praxis som hittills utvecklats. Rapporten tar bland annat upp EU-domstolens underkännande av Privacy Shield, målet där EU-domstolen klargör vad som gäller vid överföring av personuppgifter till tredje land (Schrems II).
Digitalisering och teknikutveckling
Avsnittet om digitalisering och teknikutveckling utgör kärnan i rapporten. Precis som i IMY:s rapport presenteras 16 olika teknikutvecklingsområden nedan. Teknikutvecklingsområdena presenteras utifrån de olika sätt personuppgifter kan behandlas på (utifrån personuppgifternas livscykel).
Teknik för att samla in data
Stora mängder data ger omfattande affärsmöjligheter vilket har skapat starka incitament för att utveckla teknik för att samla in data. De teknikutvecklingsområden som lyfts fram i den här delen är sensorer och sändare, nya former för interaktion mellan människa och dator, Internet of things (IoT), Webbskrapning och insamling av biometriska uppgifter.
Teknik för att bearbeta data och använda data
Starkt sammankopplat med teknik för att samla in data är teknik för att bearbeta och använda data. Utan möjlighet att använda den data som har samlats in skulle datainsamlingen helt enkelt vara värdelös. De teknikutvecklingsområden som IMY lyfter fram i den här delen är utvecklingen av AI, Edge computing och den digitala annonsmarknaden.
Teknik för att lagra data
För att kunna utnyttja fördelarna med insamling av stora mängder data och tekniken för att bearbeta och använda data behövs lämpliga lagringsmöjligheter. Utifrån detta lyfter IMY fram teknikutvecklingsområdena molnlagring och edge storage.
Teknik för att transportera data
Den stora mängden insamlad data och förmågan att bearbeta och använda denna data ställer inte bara krav på lagringsmöjligheter utan också på teknik för att transportera stora datamängder. I denna del lyfter IMY fram 5G och andra former av digital kommunikationsteknik.
Teknik för att säkra data
Teknik för att säkra data behövs under hela livscykeln och den sammanlagda teknikutvecklingen har medfört ökade krav på digitala säkerhetslösningar. I rapporten diskuteras AI-baserad säkerhetsteknik och edge security, krypteringsteknik och blockkedjor som exempel på teknikutvecklingsområden vilka kan användas för att stärka integritetsskyddet.
Teknik för att förstöra data
Teknik för att förstöra data skiljer sig från de andra delarna av personuppgifternas livscykel. Medan teknikutvecklingen inom övriga områden har drivit på varandra har utvecklingen av teknik för att förstöra data snarare gått i motsatt riktning. Genom att lagringskapaciteten har ökat har incitamenten för att förstöra data minskat. Det teknikutvecklingsområde som lyfts fram i den här delen av rapporten handlar istället om teknik för att återskapa raderad eller på annat sätt förlorad data.
Den exponentiella teknikutvecklingen
IMY framhåller vid upprepade tillfällen i rapporten den snabba teknikutvecklingen. IMY poängterar att många av de teknikutvecklingsområden som beskrivs i rapporten utvecklas exponentiellt och att utvecklingen de kommande 100 åren, på grund av detta, kommer att motsvara 20 000 år av teknikutveckling. IMY påpekar också att de olika teknikutvecklingsområdena hänger ihop och påverkar varandra. Exempelvis har den ökade insamlingen av biometriska uppgifter i stor utsträckning möjliggjorts och påskyndats av utvecklingen inom till exempel IoT, sensorer och sändare, AI och big data och molnifiering av lagring.
Integritetsskyddet idag – och i framtiden
I rapporten diskuteras också vilken nivå integritetsskyddet har idag. IMY:s bedömning är att det generellt finns stora brister av grundläggande karaktär hos många verksamheter i samhället. Av de drygt 11 000 personuppgiftsincidenter som anmälts till myndigheten beror majoriteten av fallen på den mänskliga faktorn, vilket betyder att det finns ett behov av mer och bättre utbildning för att öka kunskapen hos medarbetare. I rapporten presenteras att grundläggande kunskap om dataskyddsförordningen hos medborgarna är bra och att de flesta vet om att personuppgifter används men att få vet hur personuppgifterna används, vilket har lett till att oron för hur uppgifterna används har ökat hos befolkningen.
Avslutande kommentar
I rapporten dras tre huvudsakliga slutsatser. För det första har människor idag viss kunskap om att data samlas in, men inte i vilken utsträckning det görs. Detta kan för många leda till en känsla av otrygghet. För det andra innebär utvecklingen med IoT att datainsamling och personuppgiftshantering flyttar in i människors hem, vilket gör det ännu viktigare att hanteringen sker på ett lagligt sätt. För det tredje innebär den ökade insamlingen av biometrisk data att det krävs särskilda insatser för att öka säkerheten avseende användandet av sådana uppgifter.
Om du vill läsa mer hittar du integritetsskyddsrapporten i sin helhet här.