Morgan Johansson kan ordna incidentrapportering på mindre än 12 månader om han vill
Dataskydd.NET har med intresse följt DN:s rapportering om informationssäkerhet. Den utmynnade i att inrikesminister Anders Ygeman sa att man kanske behöver titta på ett obligatoriskt system för att rapportera incidenter till staten.
Men det är justitiedepartementet, det vill säga Morgan Johansson, som är i bäst ställning att införa incidentrapportering snabbt. EU-kommissionen har nämligen redan föreslagit incidentrapportering till privatpersoner och myndigheter i dataskyddspaketet, just för att det ger bättre möjligheter för alla att få veta och förstå vad som händer i IT-system. När privatpersoner förstår vad som händer kan de utöva påtryckningar mot både myndigheter och företag att förbättra sina system. Samhället som helhet vinner också, för det privatpersoner har en rätt att veta, kan också en myndighet få reda på. EU:s förslag uppmärksammades av Marcin de Kaminski när han våren 2013 menade att svenska regeringen bör ta kommissionens förslag om incidentrapportering på allvar i en kommentar om IT-säkerhetsproblem på Skatteverket.
EU-kommissionens dataskyddspaket är uppbyggt kring fem enkla principer:
-
Individen i centrum: Utgå ifrån att personuppgifter kommer from personen i fråga. En privatperson är alltid källan till uppgifter, information och slutsatser kring sig själv och sitt umgänge.
-
Rätt att veta: Personer ska ha en rätt att veta vad som händer och vem som påverkar dem.
-
Rätt att samtycka: Personer ska ha en rätt att godkänna vad som händer och vem som påverkar dem.
-
Dataminimering: Man ska inte samla in mer data än vad som är absolut nödvändigt. Det minskar risken för stora dataläckor och ökar informationssäkerheten.
-
Kännbara straff: Den som misslyckas med ovanstående ska hållas ekonomiskt ansvarig.
Den andra principen, att man har rätt att veta, skulle vara värdefull när man hanterar IT-säkerhetsbrister hos myndigheter och företag. När något hotar ditt privatliv, ska du ha en rätt att veta.
Tyvärr har många regeringar, däribland svenska regeringen, motsatt sig den här sortens rapportering. I EU-diskussionen har fokus fallit bort från privatpersoners säkerhet och möjlighet att med rätt kunskap utöva påtryckningar på företag och myndigheter att förbättra sin verksamhet. Incidentrapportering har förminskats till att handla om myndigheters möjligheter att samla på sig information om sånt som hänt. Ett förväntat resultat av den svenska regeringens linje hittills är förstås att någon myndighet, till exempel MSB, får möjligheten att göra många, fina stapeldiagram och cirkeldiagram. Men visst måste det vara mycket bättre om privatpersoner istället får möjligheten att själva förstå och utöva inflytande över system som påverkar dem?
Företagen har varnat för att privatpersoner kommer bli alldeles för trötta och blaserade om de får veta alla IT-problem som drabbar myndigheter och företag. Ett företag i Bryssel hävdade att det är svårt att bygga tillräckligt stora databaser för att hantera mängden incidentrapporteringar som kommer att behöva skrivas(!) Företagens underliga retorik tillsammans med politikernas övertro på stapeldiagram har gått hårt an incidentrapporteringen och privatpersoners rättighet att få veta har urvattnats i både parlamentet och ministerrådet.
Det här kan alltså bli ett bra tillfälle för teambuilding i Sveriges nya regering! Anders Ygeman borde, tillsammans med sin kollega Morgan Johansson, bestämma att EU:s dataskyddspaket ska göras mycket bättre för alla i hela Unionen och samtidigt råda bot på många av de brister DN påvisar. Att bygga på, istället för att vattna ur, kommissionens förslag om incidentrapportering i dataskyddspaketet ger bättre inflytande för privatpersoner, bättre kunskap om IT-säkerhetsproblem och tydligare mekanismer för ansvarsutkrävande när någonting går fel, där alla har en möjlighet att påverka och förbättra det som är viktigt för dem själva! En win-win, om Sverige vågar anslå en privatlivsvänlig och politiskt övertygande ton i nästkommande ministermöten.