DIGITALA DOKUMENT LÄSA OCH DISTRIBUERA

Transkript

1 DIGITALA DOKUMENT LÄSA OCH DISTRIBUERA SÄKERHET, SEKRETESS OCH ATT GÖRA RÄTT

2 01 GRUPPEN VI SOM JOBBAT Vi som jobbat med aktiviteten Christoffer Winterkvist och Mattias Lyckne har granskat kraven på sekretess ur en teknisk synvinkel - går det att bygga säkert, kombinera det med användarvänlighet? Martin Eliasson har varit ett viktigt bollplank för att kunna testa och se om de föreslagna lösningarna är tillräckligt användarvänliga. Anders Ahlström har varit en resurs vad avser det grafiska, hur ska lösningen se ut, ikoner, utseende mm. Mikael Winterkvist har hållit ihop aktiviteten, intervjuat och pratat med DataInspektionen, läst 20-talet publicerade skrifter och slutligen sammanställt detta dokument. Arbetsmetoder Arbetet har huvudsakligen bedrivits så att efter genomgång och kontroll med DataInspektionen så har olika lösningar skissats fram. Sedan har dessa vägts mot de krav som DI Personuppgiftslagen och Sekretesslagstiftningen ställer.

3 02 FRÅGESTÄLLNING Frågeställning PROBLEMET Går det att skapa en flexibel lösning för läsning och distribution av digitala dokument som samtidigt är mobil med hänsyn taget till krav på sekretess och säker hantering av personuppgifter? Det är frågeställningen och utgångspunkten är Apples ipad, någon form av digital distribution av dokument och sedan ett läsprogram som installeras i varje enhet.

4 03 SEKRETESSLAGEN LAGEN Offentlighets- och Sekretesslagen 1 kap. Lagens innehåll 1 Denna lag innehåller bestämmelser om myndigheters och vissa andra organs handläggning vid registrering, utlämnande och övrig hantering av allmänna handlingar. Lagen innehåller vidare bestämmelser om tystnadsplikt i det allmännas verksamhet och om förbud att lämna ut allmänna handlingar. Dessa bestämmelser avser förbud att röja uppgift, vare sig detta sker muntligen, genom utlämnande av allmän handling eller på något annat sätt. Bestämmelserna innebär begränsningar i yttrandefriheten enligt regeringsformen, begränsningar i den rätt att ta del av allmänna handlingar som följer av tryckfrihetsförordningen samt, i vissa särskilt angivna fall, även begränsningar i den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Lagtexten Sekretess innebär begränsningar både i allmänhetens rätt att ta del av allmänna handlingar enligt tryckfrihetsförordningen och i offentliga funktionärers rätt till yttrandefrihet enligt regeringsformen och Europakonventionen. I offentlighets- och sekretesslagen finns det också bestämmelser om i vilka fall tystnadsplikt inskränker den rätt att meddela och offentliggöra uppgifter som följer av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Lagen innehåller dessutom bestämmelser om myndigheters skyldighet att registrera allmänna handlingar, om överklagande av myndigheters beslut att inte lämna ut en allmän handling och om att kommunala företag och vissa enskilda organ ska tillämpa offentlighetsprincipen. Regeringskansliet

5 04 PUL LAGEN Personuppgiftslagen, PUL Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Lagtexten När personuppgifter är ordnade i register, databaser eller på annat sätt så att man enkelt kan söka fram eller sammanställa dem, gäller inte missbruksregeln i person- uppgiftslagen (se ovan). I stället måste man följa hela personuppgiftslagen, de så kallade hanteringsreglerna. Dessa omfattar bland annat att de grundläggande kraven, regler för när behandlingen är tillåten, när känsliga personuppgifter får behandlas samt hur man måste informera de registrerade. Om man hämtar personuppgifter från ett strukturerat material, till exempel en förenings medlemsregister, för att publicera i löpande text på en webbplats ska hanteringsreglerna tillämpas på urvalsprocessen och missbruksregeln på publice- ringen på webbplatsen. Det innebär att det kan krävas samtycke för att få samman- ställa uppgifterna för webbpubliceringen. Regeringskansliet

6 05 FLER LAGAR LAGEN Fler lagar Det finns fler lagar och förordningar som skulle kunna vara intressanta i sammanhanget men för att inte krångla in sig i ytterligare lagregler och lagtexter så kan konstateras att dessa två är de huvudsakliga, de viktiga. Tryckfrihetsfördningen, Förvaltningslagstiftningen och även Yttrandefrihetsförordningen gränsar till området och det finns vissa tolkningar och delar som kan beröra ämnet. För tydlighetens skull fokuserar vi på dessa två lagar, Offentlighets- och Sekretesslagen och Personuppgiftslagen, PUL. Utgångspunkten är följande: Vissa dokument är belagda med sekretess och får inte spridas, kopieras eller ens göras tillgängliga utanför en mycket snäv krets av berörda. Dessa handlingar innehåller känslig information för den enskilde. Då är frågan om det är tekniskt möjligt att bygga lösningar som håller sig inom lagens råmärken samtidigt som de lösningarna inte är så komplicerade så att användarna avskräcks?

7 06 LITET PROBLEM BESLUT Ett litet problem Ett litet problem i sammanhanget har varit att flera av de myndigheter som är berörda och som kommer med instruktioner och rekommendationer inte kan uttala sig utan att de också i så fall fattar ett beslut. Ska du skapa en tjänst eller liknande så får du i så fall begära ett förhandsbesked. Underlaget till detta arbete har dock underlättats högst väsentligt genom de rekommendetaioner som DataInspektionen har gett ut och de samtal vi kunnat föra med dem under arbetet. Vi har helt enkelt kunnat testa olika lösningar och de har svarat ifall de har invändningar, skulle kunna ha invändningar - utan att därmed fatta ett myndighetsbeslut.

8 07 LÖSNINGEN DEL 1 LÄSUTRUSTNINGEN Lösningen Lösningen består av tre delar: - Server som filerna distribueras via - ipad - App/mjukvara för att läsa dokument

9 08 LÖSNINGEN DEL 2 LÄSUTRUSTNINGEN Sekretesslagstiftningen Utifrån gällande lagstiftning så ställs det mycket höga krav på skydd av sekretssbelagda handlingar - exempelvis om de hanteras inom ramen för socialförvaltningen. Alla sådana handlingar hanteras som om de vore skyddade. Det är det omvända förhållandet som råder. Sekretess ska anses råda såvida motsatsen inte sägs. Det i sin tur innebär att dokument inte får permanentlagras utanför verksamheten (husets fyra väggar). Teknisk lösning: - Varje ipad är försedd med en speciell mjukvara, för att kunna läsa dokument. - Alla dokument är krypterade - All kommunikation med den server som filerna distribueras via är krypterad - Alla dokument är försedd med en pinkod - Alla dokument raderas automatiskt efter en viss tid - Inga dokument lagras mer än temporärt Användaren hämtar/laddar ned de aktuella dokumenten som är försedda med en pinkod. Denna kod krävs för att dokumenten ska vara läsbara. Det innebär att en serie dokument eller ett enskilt dokument kan vara försett med en egen unik pinkod. - Pinkoden måste anges vid jämna mellanrum, intervall Anges inte pinkoden efter en viss tid så stängs dokumentet och raderas ur användarens ipad. - Dokumentet raderas efter utsatt tid, exempelvis efter sammanträdet har avslutats.

10 09 TEKNIKEN INVÄNDNINGAR Tekniska invändningar Krypteringen måste vara säker, AES 256-bitar eller kraftigare kryptering. I det fall sekretessbelagda handlingar ska distribueras så är det uteslutet att DataInspektionen skulle godkänna distribution via externa servrar eller servrar som finns i utlandet. Det som är tänkbart är att servern finns hos ett godkänt, certifierat säkerhets/lagringsföretag - exempelvis Fortlax i Piteå. Utöver det så är lösningen tekniskt sett, förutsatt att alla delar fungerar, tillräckligt säker vilket gör att den skulle kunna godkännas för att distribuera sekretessbelagda dokument. Det är i princip godkänt ska tilläggas och den som vill bygga en lösning och ett system av den här modellen bör i så fall kunna begära ett förhandsbesked.

11 10 KRYPTERING Kryptering APPAR Det finns flera olika typer av kryptering och olika metoder. Vi valde att använda en lösning som bygger på den så kallade RSA-algoritmen. Det är, enkelt uttryckt, användningen av en öppen nyckel och en hemlig, unik personlig nyckel. En enkel förklaringsmodell skulle kunna vara siffran 15. Det är en siffra som vi kan visa öppet, dela med oss av. Hemligheten ligger i vilka primtal som använts för att komma fram till just den siffran. Den tekniska lösmingen frågar helt enkelt hur kommer du fram till siffran 15?. I våra tester bså var siffran avsevärt mycket större vilket gör uträtkningen ändligt mycket mera komplicerad men vi håller oss till 15 för att exemplet ska bli begripligt. Utan de två nummer som använts för att komma fram till 15 så kan du inte logga in, du kan inte ladda ned någon fil och du kan inte läsa innehållet i en fil. Du kommer helt enkelt ingen vart. De två hemliga nycklarna är 3 och 5. Enkelt att räkna ut men mycket, mycket svårt att hitta om du bara har siffran 15. Enkelt uttryckt så är det så RSA-lagoritmen fungerar. En en snabb, enkel räkneoperation som leder fram till en öppen nyckel. Hemligheten är alltså de nummer som använts för att få fram den öppna nyckeln. Bara ett sätt fungerar, bara ett sätt är det rätta sättet och bara ett sätt ger dig access till informationen.

12 11 TESTER APPAR Tester Av kostnads- och tekniska skäl så genomfördes testerna med två befintliga appar: Byske FVO DocuNotes Byske FVO är en iphone-app för att köpa fiskekort på nätet. Den kopplar upp sig mot en fiskebutik, där du kan köpa ett fiskekort som sedan betalas via en betalväxel, DIBS. Appen var lämplig därför att den ska klara av att gemomföra ett köp enligt vissa strikta, bestämada tekniska regler. I normalfallet så behöver inte kommunikationen mellan användaren och appen vara krypterad och skyddad vid sidan av då själva köpet genomförs. I den delen sker all trafik krypterad. Byske FVO var lämplig därför att kommunikationen måste fungera, den följer ett strikt mönster där informationen ska skickas i viss ordning - i annat fall underkänns ett köp. DocuNotes är en app för att distribuera, ladda ned och ta emot dokument, läsa dokument, lägga till anteckningar och bokmärken. Det finns egentligen inget skäl till att vare sig identifiera varje enskild ipad och användare, informationen, inloggningen eller kommunikationen. Den information som distribueras är helt öppen, icke sekretessbelagd information. DocuNotes var lämplig för testerna därför att de som använder appen är rätt ordinära användare. De har ett teknisk kunnande på normalnivå. Alla säkerhetsåtgärder måste byggas utifrån det. Lösningarna får inte bli för tekniska, inte vara för svåra att använda i kombination med att de måste vara säkra - om de ska fungera tekniskt och ur användarens synpunkt. Byske FVO - här låg utmaningen i det tekniska. Kryptera all kommunikation, kryptera hela köpet och kryptera det nedladdade fiskekortet. Detta utan att användaren i princip skulle märka något. DocuNotes innebar tekniska och utmaningar vad gäller användarna.

13 12 BYSKE FVO APPAR Byske FVO En krypteringslösning lades på, AES-256 bitars kryptering, som krypterade all kommunikation, hela inloggningen och hela köpet - från enheten och användarens sida. Av tekniska orsaker så kunde vi inte använda AES-256 när varukorgen, det som skulle köpas överfördes. Samma dag, på eftermiddagen, efter det att ändringarna hade gjorts så hade vi en fungerande prototyp. En app som kopplade upp sig mot en server, användaren kunde logga in, genomföra köpet och få sitt fiskekort. Ironiskt nog så var sannolikt den viktigaste delen - köpet - skyddad med något sämre kryptering än den vi använde. Användaren startar appen med en pinkod, anger sitt namn och lösenord vid inloggning och sedan genomförs köpet precis på samma sätt som görs med den app som finns inlämnad till Apple. Av tekniska orsaker har vår prototyp inte lämnats in till Apple. För att en krypterad app ska godkännas krävs långa tester och rätt omfattande skriftsväxling med Apple och det är långt ifrån nödvändigt med tanke på vad appen ska göra. Kunden, som köper ett fiskekort, fyller i sina uppgifter, loggar in och kan sedan genomföra ett helt igenom krypterat köp där alla uppgifter, all kommunikation och till och med fiskekortet är skyddat och krypterat.

14 13 DOCUNOTES APPAR DocuNotes Varje ipad ska kunna indentifieras. Detta för att undvika att enbart ett namn och ett lösenord ska kunna användas för att logga in och hämta dokument. En unik ID-kod krävs alltså för varje ipad. Användaren ska kunna identifieras - namn och lösenord bedömdes vara tillräckligt. Kommunikationen med servern ska vara skyddad och krypterad. Av tekniska orsaker valde vi att inte kryptera varje enskilt dokument.

15 14 SLUTSATSER SUMMERING Slutsatser och summering Ja, det går förmodligen att skapa ett skyddat system för att disitribuera dokument, i digital form under följande förutsättningar: - Appen som används för att läsa ett sekretessbelagt dokument med, får inte lagra dokumentet permanent - Dokumentet får inte lämnas öppet, aktivt, läsbart under någon längre tid - Läsningen måste kontrolleras med pinkod. Anges inte rätt pinkod så stängs dokumentet och den raderas från läsplattan - Varje enskild ipad måste kontrolleras och bara rätt surfplatta kan/får logga in - Användaren måste identifiera sig med namn och lösenord - Servern som skickar ut filerna får inte stå utomlands och ska den hanteras av tredjepart så kommer licenser och godkännande krävas Utöver dessa krav så lär DataInspektionen också kräva: - Möjlighet att snabbt radera, stoppa och låsa en ipad/användare ute Så över till det en helt vanlig användare ser och ska hantera. - Pinkod - för att låsa upp och hämta ett dokument - Namn/lösenord för att logga in Resterande delar går att lösa transparent så att användaren inte ser, inte upplever eller behöver bry sig om kryptering, extraskydd och extrainloggningar. Varje surfplatta identifieras vid första inloggningen. Sedan är ipad och användare länkade till varandra. Krypteringen finns men syns inte och hanteras med en vanlig pinkod. Rätt pinkod låser upp och gör dokumentet läsbart. Fel pinkod, stänger och raderar dokumentet.

16 04 GÅR DET ATT DISTRIBUERA OCH SKICKA UT DIGIATAL DOKUMENT TILL EN LÄSPLATTA MEN ÄNDÅ UPPFYLLA LAGENS KRAV PÅ SEKRETSS? DIGITALA DOKUMENT En liten aktivitet