F3+litteratur Flashcards
Vad är personlig integritet/information privacy?
- Personlig integritet, rätten till en ”privat sfär” –
rätten att få ”vara ifred” anses som en av
människans grundläggande rättigheter
-Personlig integritet” eller ”Dataskydd” kallas även den säkerhetsprincip vilken anger att personlig och privat information inte behandlas eller delges andra utan individens vetskap eller samtycke
Varför är personlig integritet viktigt?
- Frihet, öppenhet - yttrandefrihet
- Respekt för önskan att hålla något hemligt
- Rätten till en privat sfär
- Begränsa myndigheternas makt över medborgare
- Totalitära stater använder begränsning av ”privacy” som ett centralt verktyg för att behålla makt över medborgare.
Vilken lagstiftning finns?
Dataskyddsförordningen (GDPR) som skyddar enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.
Vart gäller GDPR och vem har tillsyn över den?
- Gäller inom hela EU.
- Svenska Integritetsskyddsmyndigheten IMY.se har tillsyn.
Vad leder GDPR till (både positivt och negativt)?
- Friare flöde inom EU med en enhetlig och likvärdig nivå för skyddet av personuppgifter
- Skapat en massa arbete i verksamheter - inte minst på grund av möjliga sanktionsavgifter (upp till 4% av global omsättning).
Behandling
(processing, av personuppgifter) - all typ av behandling, lagring, ta emot, skriv ut,
överföra.
Personuppgiftsansvarig
(controller)- den som beslutar om ändamålet med behandlingen (ofta en
juridisk person som ett företag)
Personuppgiftsbiträde
(processor) - den som behandlar uppgifter å den personuppgiftsansvariges
vägnar.
Registrerad
(data subject)- den uppgifterna handlar om (exempelvis dig och mig).
GDPR principer för personuppgiftshantering (ULLRÄKA)
- Uppgiftsminimering: inte ska behandla fler personuppgifter än vad som behövs för
ändamålen - Lagringsminimering: ska radera personuppgifterna när de inte längre behövs
- Laglig grund: måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
- Riktighet: ska se till att personuppgifterna är riktiga
- Ändamålsbegränsning: bara får samla in personuppgifter för specifika, särskilt angivna
och berättigade ändamål - Konfidentialitet: ska skydda personuppgifterna, till exempel så att inte obehöriga får
tillgång till dem och så att de inte förloras eller förstörs - Ansvarsskyldighet: ska kunna visa att och hur man lever upp till dataskyddsförordningen.
Krav i huvuddrag i dataskyddsförordningen
- Register över behandling (eng. ”ROPA”) - var finns personuppgifter, hur behandlas de, för vilka ändamål etc.
- Analyser - konsekvensanalys (eng. ”DPIA”), riskanalys
- Skydd - Tekniska och organisatoriska skyddsåtgärder ska införas
- Incidentrapportering - till Integritetsskyddsmyndigheten IMY(f.d.
Datainspektionen)
Dataskyddsombud
Oberoende anställd eller inhyrt ombud
* Lokal ”tillsyn” över dataskyddsarbetet
* Kompetenskrav
* Goda affärsmöjligheter
GDPR- läget i Sverige idag
- De flesta har hunnit kartlägga, men få har hunnit skydda.
- Många ”biträdesavtal” saknar konkreta instruktioner om hur uppgifterna får
behandlas och ska skyddas. - Juristerna har gjort sitt intåg.
- ”GDPR-Projekten” har avslutas, i många fall parkeras allt hos oss på
informationssäkerhet.
Patientdatalagen
- Sammanhållen journalföring – mellan vårdgivare
- Inre sekretess – bara den som har vårdrelation får ta del av informationen
- Egen rätt att spärra åtkomst till uppgifter
- Lagen medger direktåtkomst till journal och loggar via Internet
- Behörigheter, Spårbarhet, Åtkomstkontroll
Lagen om Elektronisk Information (LEK)
- Gäller tillhandahållare av ”allmänt tillgängliga
elektroniska kommunikationstjänster”. E-post, Telefoni, etc. - Gäller främst information i kommunikationen och som kan
hänföras till abonnenten. - ”Integritetsincident” medför rapportskyldighet till Post- och Telestyrelsen och i vissa fall till abonnenten.
- PTS föreskrifter och allmänna råd om
skyddsåtgärder för behandlade uppgifter” - Lag - förordning - föreskrift - allmänna råd.
FRA-lagen
- Gäller tele och datatrafik som passerar Sveriges
gränser - FRA får signlalspana i kabel efter beslut av domstol
- Spaningen gäller särskilda teman
- Gäller även innehållet i ex. ett telefonsamtal eller
SMS. - Behov, kritik och granskning
Datalagringsdirektivet
- För brottsbekämpning
- Lagring av uppgifter i elektronisk kommunikation, dvs parter
(telefonnummer), geografisk placering, IP-nummer på dator, etc. - Behov och kritik
- EU-domstolen har ogiltigförklarat direktivet men Sverige hade länge kvar den nationella lagstiftningen
- Datainspektionen var kritisk till proportionaliteten
- 2016 upphörde lagen att gälla.
IP-nummer
- IP-nummer - alla tjänster kan se vilket nummer du har.
- Detta kan kopplas ihop med dig som person dels genom information din
Internetleverantör har dels på andra sätt. - Begäran om vad som haft vilket IP-nummer vid en viss tidpunkt.
- Vid spårning av attacker, hot, bedrägerier, är IP-numret oftast nyckeln.
Cookies
- Cookie - en textsträng som kan sparas i din webbläsare över tid.
- Råder bot på ”problemet” att IP-nummer kan användas av flera.
- Används för att hålla reda på vem som surfar in på en viss tjänst.
personlig information när man surfar
- HTTP-referrer - om du är på en webbsida och klickar på en länk kan den som länken går till se varifrån du kom. Exempelvis från en webbmail, från en googlesökning, etc.
- Genom att para ihop data - om du surfar in på min webbsida kan jag se hur gammal du är, vad du sökt på för att komma till mig, etc.
Molntjänster
- Man bör räkna med att myndigheter i respektive land har tillgång till informationen som lagras där
- Man bör räkna med att tjänsteleverantörens
anställda kan titta på det som lagras - Såvida inte TNO-tjänst = Trust No One (ex. kryptera säkerhetskopian innan den lämnar din dator)
IOCCC - de fem antagandena för säker personlig
användning av AI-chatbotar
□ 1) Input disclosure: “- Information som jag matar in i en AI-chattbot lämnas därmed ut och kommer att göras tillgänglig för andra.”
□ 2) Output traceback: “- Svar som jag får från en AI-chattbot kan senare spåras tillbaka till den chatboten.”
□ 3) Conversation logging: “- Konversationer som jag har med en AIchattbot lagras i mitt namn och min tillhörighet för framtida användning.”
□ 4) Copyright infringement: “- Jag kan göra intrång i lagligt skyddade rättigheter om jag gör chatbotens svar tillgängliga för andra, eftersom
svar genereras baserat på upphovsrättsskyddade källor.”
□ 5) Chatbot hallucination: “- AI-chattbotar “hallucinerar” - deras uttalanden är ofta ofullständiga, partiska eller helt osanna.
Risker för privatpersoner
- Familjens egna övervakning/positionering av
familjemedlemmar - Phishing-meddelanden
- Användning av tjänster som nyttjar datan på annat sätt än förväntat
- Hacking via trådlöst nät
- Hacking via annan sårbarhet
Åtgärder
□ Säkerhetskopiering – verifierad
□ VPN-tjänst för kryptering av förbindelsen från hemmet förbi ex. internetleverantören eller
landet
□ Säkra det trådlösa nätet (bra kryptering, uppdaterad programvara)
□ Säkerhetsuppdateringar (slå på automatiska uppdateringar, uppdatera program)
□ Brandvägg (finns i datorn – kontrollera att den är påslagen)
□ Läs igenom och förstå avtal och funktioner för tjänster som används
□ Klicka inte på länkar någon skickar utan att tänka efter först
□ Prata med yngre familjemedlemmar om användning, regler, etc.
□ Lita aldrig på att den uppgivna avsändaren av ett epostmeddelande är korrekt