F3+litteratur

Question 1

Vad är personlig integritet/information privacy?

Answer 1

• Personlig integritet, rätten till en ”privat sfär” –
  rätten att få ”vara ifred” anses som en av
  människans grundläggande rättigheter
  -Personlig integritet” eller ”Dataskydd” kallas även den säkerhetsprincip vilken anger att personlig och privat information inte behandlas eller delges andra utan individens vetskap eller samtycke

Question 2

Varför är personlig integritet viktigt?

Answer 2

• Frihet, öppenhet - yttrandefrihet
• Respekt för önskan att hålla något hemligt
• Rätten till en privat sfär
• Begränsa myndigheternas makt över medborgare
• Totalitära stater använder begränsning av ”privacy” som ett centralt verktyg för att behålla makt över medborgare.

Question 3

Vilken lagstiftning finns?

Answer 3

Dataskyddsförordningen (GDPR) som skyddar enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter.

Question 4

Vart gäller GDPR och vem har tillsyn över den?

Answer 4

• Gäller inom hela EU.
• Svenska Integritetsskyddsmyndigheten IMY.se har tillsyn.

Question 5

Vad leder GDPR till (både positivt och negativt)?

Answer 5

• Friare flöde inom EU med en enhetlig och likvärdig nivå för skyddet av personuppgifter
• Skapat en massa arbete i verksamheter - inte minst på grund av möjliga sanktionsavgifter (upp till 4% av global omsättning).

Question 6

Behandling

Answer 6

(processing, av personuppgifter) - all typ av behandling, lagring, ta emot, skriv ut,
överföra.

Question 7

Personuppgiftsansvarig

Answer 7

(controller)- den som beslutar om ändamålet med behandlingen (ofta en
juridisk person som ett företag)

Question 8

Personuppgiftsbiträde

Answer 8

(processor) - den som behandlar uppgifter å den personuppgiftsansvariges
vägnar.

Question 9

Registrerad

Answer 9

(data subject)- den uppgifterna handlar om (exempelvis dig och mig).

Question 10

GDPR principer för personuppgiftshantering (ULLRÄKA)

Answer 10

• Uppgiftsminimering: inte ska behandla fler personuppgifter än vad som behövs för
  ändamålen
• Lagringsminimering: ska radera personuppgifterna när de inte längre behövs
• Laglig grund: måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
• Riktighet: ska se till att personuppgifterna är riktiga
• Ändamålsbegränsning: bara får samla in personuppgifter för specifika, särskilt angivna
  och berättigade ändamål
• Konfidentialitet: ska skydda personuppgifterna, till exempel så att inte obehöriga får
  tillgång till dem och så att de inte förloras eller förstörs
• Ansvarsskyldighet: ska kunna visa att och hur man lever upp till dataskyddsförordningen.

Question 11

Krav i huvuddrag i dataskyddsförordningen

Answer 11

• Register över behandling (eng. ”ROPA”) - var finns personuppgifter, hur behandlas de, för vilka ändamål etc.
• Analyser - konsekvensanalys (eng. ”DPIA”), riskanalys
• Skydd - Tekniska och organisatoriska skyddsåtgärder ska införas
• Incidentrapportering - till Integritetsskyddsmyndigheten IMY(f.d.
  Datainspektionen)

Question 12

Dataskyddsombud

Answer 12

Oberoende anställd eller inhyrt ombud
* Lokal ”tillsyn” över dataskyddsarbetet
* Kompetenskrav
* Goda affärsmöjligheter

Question 13

GDPR- läget i Sverige idag

Answer 13

• De flesta har hunnit kartlägga, men få har hunnit skydda.
• Många ”biträdesavtal” saknar konkreta instruktioner om hur uppgifterna får
  behandlas och ska skyddas.
• Juristerna har gjort sitt intåg.
• ”GDPR-Projekten” har avslutas, i många fall parkeras allt hos oss på
  informationssäkerhet.

Question 14

Patientdatalagen

Answer 14

• Sammanhållen journalföring – mellan vårdgivare
• Inre sekretess – bara den som har vårdrelation får ta del av informationen
• Egen rätt att spärra åtkomst till uppgifter
• Lagen medger direktåtkomst till journal och loggar via Internet
• Behörigheter, Spårbarhet, Åtkomstkontroll

Question 15

Lagen om Elektronisk Information (LEK)

Answer 15

• Gäller tillhandahållare av ”allmänt tillgängliga
  elektroniska kommunikationstjänster”. E-post, Telefoni, etc.
• Gäller främst information i kommunikationen och som kan
  hänföras till abonnenten.
• ”Integritetsincident” medför rapportskyldighet till Post- och Telestyrelsen och i vissa fall till abonnenten.
• PTS föreskrifter och allmänna råd om
  skyddsåtgärder för behandlade uppgifter”
• Lag - förordning - föreskrift - allmänna råd.

Question 16

FRA-lagen

Answer 16

• Gäller tele och datatrafik som passerar Sveriges
  gränser
• FRA får signlalspana i kabel efter beslut av domstol
• Spaningen gäller särskilda teman
• Gäller även innehållet i ex. ett telefonsamtal eller
  SMS.
• Behov, kritik och granskning

Question 17

Datalagringsdirektivet

Answer 17

• För brottsbekämpning
• Lagring av uppgifter i elektronisk kommunikation, dvs parter
  (telefonnummer), geografisk placering, IP-nummer på dator, etc.
• Behov och kritik
• EU-domstolen har ogiltigförklarat direktivet men Sverige hade länge kvar den nationella lagstiftningen
• Datainspektionen var kritisk till proportionaliteten
• 2016 upphörde lagen att gälla.

Question 18

IP-nummer

Answer 18

• IP-nummer - alla tjänster kan se vilket nummer du har.
• Detta kan kopplas ihop med dig som person dels genom information din
  Internetleverantör har dels på andra sätt.
• Begäran om vad som haft vilket IP-nummer vid en viss tidpunkt.
• Vid spårning av attacker, hot, bedrägerier, är IP-numret oftast nyckeln.

Question 19

Cookies

Answer 19

• Cookie - en textsträng som kan sparas i din webbläsare över tid.
• Råder bot på ”problemet” att IP-nummer kan användas av flera.
• Används för att hålla reda på vem som surfar in på en viss tjänst.

Question 20

personlig information när man surfar

Answer 20

• HTTP-referrer - om du är på en webbsida och klickar på en länk kan den som länken går till se varifrån du kom. Exempelvis från en webbmail, från en googlesökning, etc.
• Genom att para ihop data - om du surfar in på min webbsida kan jag se hur gammal du är, vad du sökt på för att komma till mig, etc.

Question 21

Molntjänster

Answer 21

• Man bör räkna med att myndigheter i respektive land har tillgång till informationen som lagras där
• Man bör räkna med att tjänsteleverantörens
  anställda kan titta på det som lagras
• Såvida inte TNO-tjänst = Trust No One (ex. kryptera säkerhetskopian innan den lämnar din dator)

Question 22

IOCCC - de fem antagandena för säker personlig
användning av AI-chatbotar

Answer 22

□ 1) Input disclosure: “- Information som jag matar in i en AI-chattbot lämnas därmed ut och kommer att göras tillgänglig för andra.”
□ 2) Output traceback: “- Svar som jag får från en AI-chattbot kan senare spåras tillbaka till den chatboten.”
□ 3) Conversation logging: “- Konversationer som jag har med en AIchattbot lagras i mitt namn och min tillhörighet för framtida användning.”
□ 4) Copyright infringement: “- Jag kan göra intrång i lagligt skyddade rättigheter om jag gör chatbotens svar tillgängliga för andra, eftersom
svar genereras baserat på upphovsrättsskyddade källor.”
□ 5) Chatbot hallucination: “- AI-chattbotar “hallucinerar” - deras uttalanden är ofta ofullständiga, partiska eller helt osanna.

Question 23

Risker för privatpersoner

Answer 23

• Familjens egna övervakning/positionering av
  familjemedlemmar
• Phishing-meddelanden
• Användning av tjänster som nyttjar datan på annat sätt än förväntat
• Hacking via trådlöst nät
• Hacking via annan sårbarhet

Question 24

Åtgärder

Answer 24

□ Säkerhetskopiering – verifierad
□ VPN-tjänst för kryptering av förbindelsen från hemmet förbi ex. internetleverantören eller
landet
□ Säkra det trådlösa nätet (bra kryptering, uppdaterad programvara)
□ Säkerhetsuppdateringar (slå på automatiska uppdateringar, uppdatera program)
□ Brandvägg (finns i datorn – kontrollera att den är påslagen)
□ Läs igenom och förstå avtal och funktioner för tjänster som används
□ Klicka inte på länkar någon skickar utan att tänka efter först
□ Prata med yngre familjemedlemmar om användning, regler, etc.
□ Lita aldrig på att den uppgivna avsändaren av ett epostmeddelande är korrekt