Hva er egentlig forskjellen på personvern og informasjonssikkerhet?
Du har kanskje møtt på dette spørsmålet når du har gjort en DPIA? For hva skiller den egentlig fra en ROS? Og hvilke uønskede hendelser hører hjemme i en DPIA, mens hvilke skal du flytte til en ROS?
Dette er et spørsmål som ofte kommer opp når jeg gjør DPIAer. Og det handler nok om at personvern og informasjonssikkerhet glir mye over i hverandre.
Informasjonsikkerhetsprinsippene (konfidensialitet, integritet og tilgjengelighet) er jo f.eks. en del av personvernprinsippene i GDPR.
Og personopplysninger er jo en informasjonstype man kan prøve å sikre med informasjonsikkerhetsmetodikk.
Hva sier lærerboka?
Det finnes mange definisjoner på dette, og det jeg kommer med her er ikke en absolutt fasit.
Men i The Architecture of Privacy av Bowman, Gesher, Grabt & Slate, foreslår de denne formuleringen som en forklaring på forskjellen mellom personvern og informasjonssikkerhet:
«Designing privacy protections is about limiting harm by authorized users - those that have been explicitly granted access to the data for some purpose.
But what about unautorized access to data? All the privacy controls in the world are meaningsless of they can be circumventee from the start.
Information security, therefore, is about limiting unauthorized access to data, and is fundametal to building a privacy protective system.»
Kort fortalt: Personvern handler om å beskytte mot at folk som har tilgang til systemet ditt ikke gjør personvernbrudd (interne trusler), mens informasjonssikkerhet handler om å beskytte mot at uvedkommende ikke skal få tilgang (eksterne trusler).
Hvorfor er dette relevant?
Jo, det kan noen ganger være vanskelig å skille mellom de uønskede hendelsene som skal vurderes i en DPIA, og de som skal vurderes i en ROS.
I vår europriske kontekst vil det også være relevant å ta med uønskede hendelser knyttet til oppfyllelse av den registrertes rettigheter og friheter i en DPIA, og det dekkes naturlig nok ikke av den amerikanske definisjonen ovenfor.
Og så ER jo informasjonssikkerhet også en del av GDPR og noe Datatilsynet VIL gi bøter for hvis personopplysninger kommer på avveie…
Og det betyr at det alltid vil være overlapp mellom de risikosecnarioene du tar med i en DPIA og de du legger over i en ROS. Og det tror jeg betyr at svaret på hvilke scenarioer som skal hvor, irriterende nok beror på en «konkret helhetsvurderingvurdering»