Integritet och integritetsskydd

Transkript

1 Integritet och integritetsskydd Elin Palm LiU Foass, CTE Personlig integritet (privacy) Integritet: (latin integritas, 'orörd', 'hel', 'fullständig', 'oförvitlig', 'hederlig'), Personlig integritet: Rätten att få sin personliga egenart och inre sfär respekterad och att inte utsättas för personligen störande ingrepp. [Nationalencyklopedin] 1

2 Dimensioner av personlig integritet Informationsrelaterad integritet Territoriell/rumslig integritet Fysisk integritet Beslutsrelaterad integritet Ex. biometriska e pass. Informationsrelaterad integritet Skydd för information som: (1) är personspecifik. Personuppgifter rör en identifierbar person en person som kan identifieras in/direkt mha hänvisning till ett ID nummer eller till faktorer som är specifika för hennes fysiska, fysiologiska, mentala [... ] identitet (95/46/EG). (2) vanligtvis anses som känslig men som inte med nödvändighet är stigmatiserande t ex religiös tillhörighet. (3) är uppenbart känslig och/eller socialt stigmatiserande t ex. journaldata. (4) blir känslig om den samkörs och kombineras t ex m ha datamining program. 2

3 Territoriell integritet kontroll över en personlig sfär. möjlighet att dra sig undan till ett område där man kan förvänta sig att få vara för sig själv, ha personliga tillhörigheter i fred etc. kan men måste inte handla om egendom och/eller fysiskt avskilda/isolerade platser. Ex. integritet i det offentliga Lex Caroline (Europadomstolen). Varför personlig integritet? Beate Rössler, Thomas Scanlon mfl. Individen behöver ha ett visst mått av kontroll över aspekter av henne själv för att kunna agera autonomt d.v.s för att kunna identifiera och agera efter en självständigt utstavad livsplan. P.i = nödvändig förutsättning för autonomi. 3

4 Beate Rössler Den personlig integriteten är den rumsliga och intellektuella sfär som medger individer möjligheten att bestämma över saker som berör dem, att kontrollera vem som har llgång till information om dem själva samt att etablera och utveckla vissa typer av relationer (Rössler, 2005:44). Individen bör kunna a) kontrollera direkt sensorisk information och data i register för att kunna styra hur andra uppfattar oss och påverka relationer till andra individer (grad av förtrolighet). b) dra sig undan observation för att inte konstant påverkas av andras uppfattning om henne. Viktigt för att hon ska kunna definiera sig själv, sina livsmål etc. 4

5 Priscilla Regan Although central for personal autonomy, privacy is not only an individual interest. A more fruitful way of protecting privacy is to frame it as a collective good. People have a shared interest in privacy and privacy is socially valuable (Regan, 1995:213). Helen Nissenbaum Avfärdar dikotomin: offentligt privat Integritetskänslighet är kontextuellt betingad förändras över tid, varierar mellan kulturer, situationer och personer. Vad som upplevs som integritetskänsligt beror på om jag själv har bestämt mig för att delge andra information om mig. Delgivning styrs av normer i olika situationer Transfer, aggregation, datamining a +b + c 5

6 Contextual integrity 1) Informa onsflödets sammanhang kontext, 2) Avsändarens/mottagarens roll 3) Typ av information 4) Överföringsprincipen, The principle of transmission Sammanfattning: PI behövs för att vi ska kunna forma och agera i enlighet med våra livsplaner. Utan skydd för PI ändras sannolikt vår självförståelse och vårt agerande. Genom att skydda PI säkrar vi det mer fundamentala värdet autonomi. Personlig integritet = kontextuellt betingat Individuellt OCH kollektivt intresse. 6

7 Integritet vs säkerhet Privatliv (2010) Torbjörn Tännsjö samhällets intresse av att övervaka medborgare vs medborgarnas rätt till privatliv och integritet > förespråkar ökad öppenhet hos båda parter (polis, militär, SÄPO bör få hemligstämpla information i max fem år). Symmertrisk genomskinlighet medborgare storebror. Statlig övervakning av medborgare: registrering av gener, sjukhusjournaler, bankinformation och skatteuppgifter mm bör vara öppet för insyn. Samtidigt, bör medborgare ha motsvarande insyn i statens förehavanden. Annars kan öppenheten utnyttjas av staten på ett otillbörligt sätt. Viktigt att balansera integritet säkerhet! Informa onssäkerhet (IS) IS allt viktigare i och med en ökad digitalisering av informationshantering. Triad: (1) autenticitet, (2) integritet och (3) llgänglighet Informationsbaserad integritet Kontextualiserad integritet 7

8 Integritetsskydd I Europa: otillåtet att förmedla personspecifik data till tredje part i annat syfte än det som ursprungligen avsetts utan datasubjektets uttryckliga medgivande. I Sverige: Personuppgiftslagen (PuL) anno Särskild lag skyddar genetisk information (2006). Datainspektionen E förvaltning och personuppgiftslagen Kommuner och myndigheter utvecklar e tjänster och inför elektroniska ärendehanteringssystem samtidigt som informationsutbytet inom och mellan kommuner/myndigheter ökar En ökad datoriserad behandling av personuppgifter ökar risken för att personuppgifter behandlas i strid med personuppgiftslagen (PuL). > Behov för integritetsskydd och kontrollmekanismer. 8

9 Privacy Impact Assessment (PIA) 1) Kartlägg informationsflödet i ett system/inom en organisation. Identifiera integritetskänsliga aspekter. 2) Kontrollera att lagstiftning och principer som skyddar pi respekteras. 3) Analysera hur systemet påverkar den personliga integriteten mha en riskbedömning och utvärdera vilka möjligheter som finns för att hantera de identifierade riskerna. Privacy by Design (PbD) Ann Cavoukian Inbyggd integritet idén att det är möjligt att bygga in mekanismer i ITsystem för integritetsskydd. Utveckling av tekniska system är ofta komplicerade processer där hänsyn måste tas till olika typer av krav t ex skydd för personlig integritet. Grundläggande principer inom integritetsskydd är att: (1) inte samla in mer information än vad som behövs, (2) Inte lagra längre än man behöver och (3) inte använda den till något annat än vad man samlade in den för. (4) informera om hur uppgifterna ska behandlas, (5) begära samtycke och (6) tillåta insyn i den vidare hanteringen är också led i integritetsskyddet. 9

10 PbD Integritetsfrågor ska påverka systemets hela livscykel från förstudie och kravställning via design och utveckling till användning och avveckling. Personuppgiftsansvar Den som bestämmer över hanteringen av personuppgifter har ansvar för att personuppgiftslagen följs se till att det IT stöd som används inte medför integritetsrisker och därför måste tydliga krav formuleras till leverantören av IT stödet. Även om en leverantör av IT produkter normalt inte är JURIDISKT ansvarig för de eventuella integritetsproblem som uppstår i samband med användningen av produkten är det viktigt att den har de nödvändiga funktionerna för integritetsskydd (Datainspektionen). Sätt att att minska integritetsriskerna a) Använd uppgifter som endast indirekt pekar ut en individ, b) Undvik uppenbart känslig information använd endast uppgifter som är mindre känsliga, c) Ersätt namn, till exempel mha pseudonymer, d) Undvik att rutinmässigt använda personnummer som fält i databaser. 10

11 Etisk teknikvärdering Identifiera etiska problem på ett tidigt stadium! Philip Brey grävande etik 4 värden Helen Nissenbaum kontextberoende integritet PuL Datainspektionen Ann Cavoukian, Privacy Commissioner, CA. 11