Integritet till stöd för innovation

”Enligt Svenskarna och Internet lägger vi mellan 24 och 30 timmar i veckan på Internet och sociala medier. Om man tänker sig det som arbetstid och vad den arbetstiden genererar så är det otroligt mycket data. Och dessa data är en råvara, men det är också makt. Och den här makten och sättet vi hanterar den på måste vi lösa. Inte bara genom regleringar, kommunikation och utbildningar, utan också med teknik.”

Det säger Christian Landgren, VD och grundare ITeam. Christian – en av landets vassaste programmerare – deltog i onsdags i Komets och VInnovas öppna samtal om integritet som nyckel för ansvarsfull innovation. I samtalet deltog också Lena Lindgren Schelin, generaldirektör och chef för Datainspektionen, och Susanne Ås Sivborg, generaldirektör och chef för Lantmäteriet.

Christian Landgren menar att vi måste börja implementera GDPR med statliga medel och försöka få infrastruktur som hjälper oss att bygga lösningar så att det blir enkelt att göra rätt. Ett litet företag kan inte riktigt sätta sig in i de här frågorna på den nivån som behövs. Om man dessutom är start-up så blir det ännu svårare. Och är man är myndighet och försöker göra innovation så blir det ännu svårare.

Panelen är enig om att integritetsfrågorna är otroligt viktiga vid innovation i den digitaliserade världen, men från lite olika perspektiv och utgångspunkter.

Lena Lindgren Schelin och Datainspektionen ser på integritet som en nyckel, en basstruktur och en grundläggande funktion som måste finnas på plats om vi ska ha en hållbar, långsiktig utveckling. Hon lyfter ansvarsfrågan, både för den som äger innovationen, men också för den som utnyttjar digitala tjänster.

I dagens utvecklade samhälle är nästan allt möjligt. Allting går, och då måste den som utvecklar tjänster fundera på: ”Det går, men får vi? Är det här något som rimmar överens med lagar och regler så att vi får en hållbar utveckling?” Till det måste man också lägga den etiska aspekten: ”Bör vi göra det här? Är det här en utveckling vi faktiskt vill se, och stå för i framtiden?”, säger Lindgren Schelin.

Christian Landgren tycker det är dags att utvärdera GDPR. Landgren citerar Jack Ma, grundare för det kinesiska IT-konglomeratet Alibaba, som ska ha sagt att Europa oroar sig för mycket i de här frågorna. Landgren tror att ambitionerna är bra i Sverige och Europa, men att med nuvarande innovationsklimat flyttar innovationen från Europa genom den data vi genererar.

Personliga kryptonycklar möjlig lösning

Dagens moderator, Jon Simonsson, undrar hur entreprenörer ska tänka?

”Privacy by design” (se nedan!) är väldigt bra att utgå ifrån, menar Christian Landgren. Men man behöver jobba med ny teknik också. Man kan inte bara tänka att man ska använda de verktyg man har tidigare i verktygslådan. Det finns nya.

Framförallt bör man använda kryptering och lära sig kryptering, nycklar och hur vi hanterar dessa. Här finns mycket att lära. “Framförallt inom personliga data”.

Landgren återkommer senare i samtalet till att det är kontrollen av data som är det viktiga, inte ägandet. Han föreslår att var och en har sin egen kyptonyckel som man kan ta tillbaka. ”Det måste bli lika enkelt som Bank-ID”.

Landgrens ITeam jobbar med Arbetsförmedlingen i ett open-source-projekt som heter Egendata. Där, menar Landgren, har man en grogrund att göra något större och hållbart, inte bara för Arbetsförmedlingen och CV-data.

Stora behov av kunskap om dataskyddsförordningen

Moderator Simonsson undrar hur Lena Lindgren Schelin tänker runt kunskap hos aktörer? Google lägger exempelvis 500 årsarbetskrafter på att säkerställa GDPR.

Lindgren Schelin ser en kunskap som måste byggas upp. I vissa delar finns den, i andra inte. Det är en fallande skala med de resurser man har i specialister, och kompetenser för att säkerställa att de här aspekterna finns med från början.

Datainspektionen tittade 2019 på implementeringen av dataskyddsförordningen (GDPR). Det var tydligt att regelstyrda verksamheter – vana att implementera regler – ligger långt fram. De som inte är lika vana vid det har lite större utmaningar. Större verksamhet har resurser att sätta till, och då brukar det bli lite bättre, medan småföretagen inte har resurser och saknar kunskapen.

Lindgren Schelin ser en utmaning i det. Företag kan ha få medarbetare men använda enorma datamängder. ”Där är det inte storleken på företag som avgör vilket ansvar man måste ta för de här frågorna”.

”Jag tror att det finns en otrolig lucka att fylla med kunskap, vägledning och stöd. Inriktningar, där vi myndigheter och regulatorer tillsammans med näringslivet och innovatörer, skapar dialoger för att skapa kunskaper och börja prata om de här frågorna på riktigt”, säger Lena Lindgren Schelin.

Susanne Ås Sivborg tycker vi ska tala om vad integritet egentligen betyder. Hon menar att myndigheter ofta ser GDPR som ett hinder. Det är någonting jobbigt. Man kanske skulle se det som en möjlighet istället och öka kunskapen om vad GDPR är och varför det finns där. Kunskapen behöver öka bland medborgarna – de som ska använda sin egen och andras data.

Optimering för att nå klimatmål kan kräva känsligare data

Jon Simonsson pekar på målkonflikter: Statsministern har sagt att Sverige ska gå före och pröva nya arbetssätt för att nå Agenda 2030-målen och skapa det första riktigt hållbara samhället. Då måste man påskynda teknikupptag, kanske våga testa. Hur hänger det här samman med målkonflikter, GDPR och andra regelverk?

Christian Landgren undrar vad det blir det för samhälle, om vi på en skala mellan integritet och innovation hela tiden puttar oss mot integritet och offrar innovation?

”Och innovation betyder ju jobb. I den här världen som rör sig så snabbt måste vi jobba med innovation, annars lämnar vi de jobben någon annanstans. Jag tror vi måste börja tänka att det finns en till dimension i det här” säger Landgren, som vill jobba med utgångspunkt från både integritet och innovation.

Landgren illustrerar en målkonflikt med transportdata: Om klimatmålen ska uppnås kan vi inte bara jobba med de nuvarande sätten, som skatter. Vi måste också jobba med optimering.

”Ska vi optimera transportsystemet ska vi ju utnyttja den data som finns som öppen, och kombinera med den data som egentligen är ganska integritetskränkande. Data om var människor befinner sig, vad de har för behov och vart de är på väg. Om man ska göra det på ett sätt som blir tryggt för människorna så måste man ju ta de här frågorna på allvar. Man kan inte bara säga att vi löser det och så offrar vi integriteten. Vi måste upp från den här skalan och börja undersöka vad som händer där. Och det är något spännande”.

Lena Lindgren Schelin vill helst inte se det som en polarisering mellan integritet och innovation, utan att de aspekterna måste hänga ihop.

Hon exemplifierar med ett husbygge: Först måste man ha en stabil grund. ”Men det blir ju jäklig mycket billigare och går snabbare om man skiter i grunden, men då blir huset inte speciellt stabilt”. Hon föreslår att inte börja bygga innan vi funderat på dragning av avlopp, rör och el. Och frågan om bygglov? Det blir väldigt kostsamt att först riva det man byggde olovligt, och sedan börja söka bygglov och bygga upp det igen.

Det är en grundförutsättning för att kunna ta fram innovationer att de här perspektiven är med. Då är dataskyddsförordningen inte någon förbudslagstiftning, menar Lindgren Schelin. ”Den blir en förbudslagstiftning om du inte haft med dem från början. För då har du gjort saker som du inte får.”

Småskaliga försök som skalas upp nationellt är en väg

Moderator Jon Simonsson konstaterar att tillit till en affärsmodell är väldigt viktigt. ”Om man tittar på Sveriges arbetssätt, är det här en långsiktig konkurrensfördel om vi får ihop integritet och innovation? Kan det bli en spets för oss?”

Christian Landgren ser en farlighet i metaforerna. Om vi pratar om digitala projekt som hus kommer vi till metaforer som tar oss fel. Därför att i ett digitalt hus behövs inte en stabil grund och att allt är genomtänkt i förväg.

”Du kan bygga ett hus med väldigt instabil grund och en hiss upp till en lägenhet som man säljer först. Och då kan de som bor i den lägenheten berätta vad som hade varit bättre, och så kan man utveckla huset.”

Landgren menar att vi har ett industriellt tänkesätt. ”Vi måste våga, med utgångspunkt från de här frågorna, bygga något i liten skala”.

ITeam jobbar tillsammans med Skellefteå kommun kring egendata och ansiktsigenkänning. Skolan i Skellefteå lägger massor av timmar per år i närvarohantering. Om man med ansiktsigenkänning kan frigöra den tiden kommer skolresultaten antagligen förbättras.

”Kan vi utveckla det lilla exemplet, i det lilla klassrummet på ett sätt som gör att vi kan säkerställa integriteten och pröva det – en process vi är inne i – för att sedan visa så här kan vi göra, då kan vi sedan lösa det för hela landet. Vi behöver inte lösa problemet för alla skolor i landet samtidigt.”, säger Christan Landgren.

Vad har vi egentligen samtyckt till?

Lena Lindgren Schelin frågar sig om det är rimligt att privata aktörer som Google och Facebook har mer data än vilken brottsbekämpande myndighet i Europa någonsin skulle kunna få tillgång till? “Vi har inte haft någon aning om vad vi har samtyckt till. Och det är inte säkert att vi medborgare kommer att tycka att all utveckling är så positiv i framtiden.”

Hon tror att vi med våra beteenden på sikt kommer att påverka vad vi vill delta i för tjänster och vad vi vill bli kartlagda av för aktörer. Nu är det i princip monopol på vissa plattformar. ”Europa behöver ta sitt grepp för att skapa en motkraft, för att vi ska känna att här är vi trygga, här är huset byggt med vår grund och med våra bygglov som vi behöver.”

Det är fantastiskt man ha koll på varenda människa. Men det är inte säkert att det blir drivkraften framåt, tror Lindgren Schelin. ”Nu vet vi att det går, då får vi fundera: Vilka avarter får det här med sig? Kan vi vara en seriös spelare så kommer det på sikt att bli en konkurrensfördel. Men det kommer ta tid innan vi hittat formerna för att nå dit.”

 

Fakta: Privacy by design och privacy by default

Inbyggt dataskydd (privacy by design) innebär att man tar hänsyn till integritetsskyddsreglerna redan när man utformar it-system och rutiner. Det är ett sätt att se till att kraven i dataskyddsförordningen uppfylls och att den registrerades rättigheter skyddas.

Kravet på dataskydd som standard (privacy by default) innebär i korthet att den som behandlar personuppgifter ska se till att personuppgifter i standardfallet inte behandlas i onödan. Det kan till exempel handla om att de förvalda inställningarna i en tjänst för sociala media är satta så att inte mer information än nödvändigt samlas in, delas ut eller visas. (Källa: Datainspektionen)

Fakta: GDPR

Dataskyddsförordningen (The General Data Protection Regulation) är till för att skydda enskildas grundläggande rättigheter och friheter, särskilt deras rätt till skydd av personuppgifter. GDPR gäller i hela EU och har till syfte att skapa en enhetlig och likvärdig nivå för skyddet av personuppgifter så att det fria flödet av uppgifter inom Europa inte hindras.

Mycket i dataskyddsförordningen liknar det som fanns i personuppgiftslagen. Läs mer om dataskyddsförordningen hos Datainspektionen: Länk!

Det här är en krönika som summerar frukostsamtalet “Integritet som nyckel för ansvarsfull innovation.”

Seminariet arrangerades av Komet och Vinnova 5 februari 2020.

Texten är skriven av Stefan Hultquist.