Mer och mer data lagras i takt med att internet växer. Hans Hedbom, forskare och ordförande i en arbetsgrupp för identitetshantering och personlig integritet hos SIS, välkomnar skärpningarna som GDPR innebär. För organisationer betyder det att det krävs nya sätt att arbeta. – Standarder kan bli ett stöd även om de inte kan garantera att man följer lagen, säger Hans Hedbom.

– Människor har börjat inse att det är ett problem att så mycket information sprids, säger Hans Hedbom, forskare i datavetenskap vid Karlstads universitet.

Han välkomnar den nya dataskyddsförordningen GDPR, General Data Protection Regulation.

– Från min horisont som forskare om personlig integritet tycker jag att det är en välbehövlig förändring. Den kunde ha gått ännu längre. Men det finns olika åsikter om detta, säger han.

Hans Hedbom pekar på att en av de viktiga förändringarna är att organisationer och företag måste vara mer öppna med hur de använder insamlade uppgifter.

– Det blir ett större krav på samtycke från personer som registreras. Organisationer behöver tydliggöra hur de använder olika uppgifter, säger han.

Han förutser dock inga stora förändringar när det gäller vilka uppgifter som sparas – men som enskilda individer kommer vi att märka att vi måste säga ja till många fler frågor om uppgifter som rör oss själva.

– I framtiden kan vi räkna med att det kommer teknik som hjälper till med detta. Det pågår forskning och utveckling av digitala verktyg där vi kan sätta upp riktlinjer för hur vi vill att våra data behandlas i olika sammanhang, säger han.

Ur organisationers perspektiv innebär förändringen alltså nya sätt att arbeta. Men vilken hjälp kan man få av standarder?

– Det finns ingen standard som kan garantera att man följer och upprätthåller lagen. Däremot kan du få mycket hjälp på vägen och det finns flera olika standarder som kan hjälpa till, säger Hans Hedbom.

Ledningssystemstandarden för informationssäkerhet, 27001, är grunden i arbetet för att skapa processer för att hantera dataskyddsfrågor. Det finns också stöd att hämta i ett tillägg till standarden. I somras publicerades ISO/IEC 29151, Information technology – Security techniques - code of practice for personally identifiable information protection. Den ger stöd i arbetet med att implementera kontrollfunktioner i hanteringen av personuppgifter.

En annan standard som ger vägledning i arbetet är ISO/IEC 29134:2017 Information technology – Security techniques – Guidelines for privacy impact assessment.
Där finns stöd för att skapa processer för att göra utvärderingarna av hur den personliga integriteteten påverkas i olika sammanhang. I standarden finns också förslag till struktur och innehåll i en så kallad PIA-rapport (privacy impact assessment).

– Arbetet med hur standarder kan stödja fortsätter att utvecklas. Det kommer att hända mycket på området, säger Hans Hedbom.

Text: Susanne Rydell
Illsurtation: Malin Koort