Regleringar kring dataskydd och IT-säkerhet påverkar framväxten av innovativa lösningar!

Share this post:

Nyttan av databehandling          

Ingen lämnas oberörd av den genomgripande digitaliseringen av samhället. Som bekant drivs utvecklingen i stor utsträckning av en ökad dataanvändning. I många verksamheter är insamling och analys av personrelaterade data en viktig förutsättning för att kunna ta fram ny kunskap. Det kan t.ex. handla om att identifiera hälsovanor.

Government and Regulatory Affairs Executive

Den kunskapen kan användas för att utveckla och anpassa olika tjänster som i sin tur ger upphov till olika kommersiella och samhälleliga nyttor.

Det finns flera användningsområden:

• Ett exempel är uppkopplingen av våra telefoner och datorer mot olika datadrivna tjänster och att de kan anpassas till våra behov och ge oss större nytta och användbarhet.
• Inom hälso- och sjukvård kan forskare genom analyser av stora medicinska datamängder utveckla och erbjuda mer exakta och anpassade diagnoser och behandlingar.

För att skapa förtroende hos medborgare för dessa tjänster och samtidigt underlätta utbudet, måste en del saker vara på plats. Framför allt är det viktigt att få en bra balans mellan integritetsaspekter och tillgång till data, men också att hantera säkerhetsaspekterna på rätt sätt.

På många håll funderar politiker på hur reglerna för skyddet av personuppgifter kan anpassas till den explosion av dataanvändning som digitaliseringen av samhället medfört och samtidigt vad som krävs för att möta den ökade risken för cyber attacker.

Hur ska då reglerna kring dataskydd och IT-säkerhet se ut?Mycket av det arbete som pågår, och som sätter ramarna för oss i Sverige, utgår från Bryssel.

Ett antal EU-regleringar förhandlas nu som bäst. Dataskyddsförordningen och NIS-direktivet om nät- och informationssäkerhet är kanske de mest centrala.

Om vi till att börja med tittar på integritetsaspekterna kan vi konstatera att ett svagt dataskydd leder till ökad risk för att individens integritet kränks. Ett för starkt skydd leder till att dataanvändning försvåras och att de välfärdsvinster som dataanvändning kan ge begränsas eller helt uteblir.

Dataskyddsförordningen ska säkra gemensamma och enhetliga regler för dataskydd i hela EU. Detta är riktigt och bra. Men det finns ett antal frågor som är särskilt viktiga för en balanserad reglering.

Utgångspunkten för regleringen måste vara en riskbaserad ansats:

• Det är viktigt att inse att data används på mycket olika sätt och i väsentligt skilda sammanhang. Hur och var personuppgifter används innebär olika grader av risk – och kräver därmed också olika typer av skydd.
• Så som EU-kommissionen har utformat sitt förslag kan förordningen i värsta fall leda till ett total förbud mot profiling eller data segmentering. Data segmentering utgör det första nödvändiga steget för att göra en dataanalys. För att inte hämma de många nyttor som uppstår av nya, innovativa sätt att använda data är det alltså viktigt att skyddet baseras på en riskbedömning som tar fasta på hur data används i den specifika situationen.

Fria dataflöden:

• Data blir en allt mer central förutsättning för innovation, och utgör en allt mer kritisk resurs för många verksamheter. Betydande samhällsvinster finns att hämta.
• Att förhindra globala dataflöden skadar inte bara de verksamheter som hanterar data, men ytterst de kunder och patienter som drar nytta att de insikter som möjliggörs. IBM’s Watson använder cognitive computing för en mängd olika applikationer – t.ex. för att analysera data från patienter över hela världen, med deras medgivande, kring sjukdomar som en ovanlig form av hjärntumör.
• Personen vars data behandlas vinner alltså på att åtgärderna för hur hens information skyddas utgår ifrån hur en organisation behandlar informationen framför var den behandlas. Därför behöver databehandlande verksamheter i största möjliga mån globala regler och krav.

Tydliga ansvarsroller för controllers och processors:

• I förordningsförhandlingarna har det föreslagits en ny modell som bygger på ett gemensamt ansvar för den part som är ansvarig för att data behandlas korrekt (controllers) och den part som behandlar data (processors). Det skulle göra ansvarsbilden otydligare, och riskerar att medföra såväl sämre skydd som driva kostnader för samtliga inblandade parter.
• Modellen i nuvarande dataskyddsdirektiv från 1995 med separerat ansvar för controllers och processors har fungerat mycket väl över tid och bör därför stödjas i kommande förordning.

Så vad händer i fråga om regler kring säkerhetsaspekterna?

Förslaget till NIS-direktivet har tagits fram av EU-kommissionen för att skapa ett effektivt verktyg mot cyber attacker. Idén är att slå fast regler och standarder för vilka åtgärder verksamheter måste vidta för att öka beredskapen och säkerheten, men också ett obligatorisk system för rapportering av incidenter.

De verksamheter som omfattas av direktivet är s.k. ”kritisk infrastruktur”, alltså verksamheter av allmänt intresse inom områden som sjukvård, energiförsörjning och finansiella tjänster. Men även s.k. ”väsentliga tjänster” kan komma att omfattas, inklusive Cloud.

Liksom i fallet med dataskydd, gäller det här att reglera rätt och med bra träffsäkerhet. När vi talar om säkerhet i molnet måste vi göra skillnad mellan olika typer av moln (hybrid, privat, offentligt etc), specifika processer eller aktiviteter som avses för att kunna beöma risk på ett korrekt sätt.

Från vår sida tycker vi återigen att det är viktigt att olika kriterier tillämpas med avseende på graden av risk. Det är stor skillnad mellan de risker som hanteras inom kritisk infrastruktur och de som hanteras inom s.k. väsentliga tjänster. Jämför t.ex. vidden av en incident inom energiförsörjningsektorn med ett driftsavbrott som påverkar ett socialt nätverk.

Sedan är det viktigt att betona att dessa hot har en global karaktär. Världen stannar inte vid EUs gränser och därför behöver standarder i största möjliga utsträckning kopplas till globala standarder.

Vad gör IBM?

IBM deltar aktivt i arbetet med en europeisk uppförandekod för Enterprise Cloud

• IBM arbetar aktivt för att bygga förtroende för Cloud och dess leverantörer. Utgångspunkten är att fokusera på säkerheten och integriteten i molnet. En viktig del är vårt samarbete inom näringslivet och med EU-kommissionen för att ta fram en europeisk uppförandekod för Enterprise Cloud. Den här industrikoden kommer utgöra del i det s.k. “ Trusted Cloud Europe” brand, som är bindande och möjlig att verifiera.
  IBM använder EUs standardklausuler för gränsöverskridande dataöverföring

• En aktivitet som kan leda till frågor från våra kunder gäller överföringen av personlig data från EU till länder utanför EU. I och med att IBM använder använder EUs stadardklausuler i fråga om gränsöverskridande dataöverföring behöver vi inget godkännande av särlösningar för våra avtal. Som första företag började IBM använda EUs standardklausuler med kunder för denna typ av överföringar redan 2001.