EU:s kommande dataskyddsförordning GDPR träder i kraft den 25 maj och påverkar alla som använder eller utvecklar IoT-produkter. Reglerna kan få betydande inverkan på leverantörers affärsmodeller och hur man utformar sina lösningar, produkter och processer.
Här är fem viktiga förändringar av särskild relevans för internet of things:
1. Dataintrång
Uppkopplade produkter är en möjlig angreppspunkt för hackare och cyberkriminella. GDPR inför en allmän obligatorisk anmälningsplikt vid intrång där system hanterar personuppgifter i de fall intrånget medför en risk för fysiska personers rättigheter och friheter.
Leverantörer måste anmäla sådana intrång till sin tillsynsmyndighet senast 72 timmar efter att ha blivit medvetna om intrången. I Sverige är det den kommande Integritetsskyddsmyndigheten (idag Datainspektionen) som blir tillsynsmyndighet. I vissa fall kommer det också att krävas att sådana intrång rapporteras till personer vars data kan ha spritts vid intrånget.
Läs också: Här är 7 klassiska it-säkerhetsråd som håller än
2. Samtycke
Många internet of things-lösningar samlar upp data som kan kopplas till en person, till exempel antal steg, samtal och position. Dessa data blir därmed personuppgifter. Den nya förordningen stärker kraven på att användare informeras om att sådana data faktiskt samlas in.
Om ingen annan laglig grund finns för att behandla personuppgifter kan leverantörer begära att samtycke inhämtas från användare av den aktuella tjänsten. Den som behandlar personuppgifterna måste då kunna visa att samtycke har lämnats genom en tydligt bekräftande handling från användarens sida, som bekräftar att man får behandla användarens uppgifter. GDPR föreskriver att samtycke inte kan antas genom den registrerades inaktivitet. Samtycket ska inte betraktas som givet om den registrerade inte har något äkta eller frivilligt val och inte kan neka eller återkalla samtycke utan alltför stora negativa konsekvenser.
Ett exempel är en uppkopplad motionsklocka som mäter hjärtfrekvens, antal steg, hastighet och distans under en löptur. För att ett samtycke ska anses vara frivilligt behöver en användare ha möjlighet att neka till att data lagras i leverantörens moln och fortfarande kunna använda klockan. Funktionerna i molnet har man då inte längre tillgång till, men klockan ska fortfarande fungera som avsett.
3. Privacy by design
Med GDPR finns ett rättsligt ansvar för att produkter och lösningar har säkerhetsmässigt genomtänkta tekniska och organisatoriska lösningar genom ett uttryckligt krav på dataskydd, så kallad privacy by design. Kravet innebär också att personuppgifter inte ska behandlas i onödan.
Om persondata sprids oavsiktligt och det beror på brister i konstruktion eller underhåll kan leverantören bli ansvarig. Detta ansvar omfattar relationen till leverantörens kunder om dess utrustning inte lever upp till kraven på privacy by design. Därför blir det nödvändigt för leverantörer att genomföra säkerhetsgranskningar av både hela systemet och ingående komponenter. Ett arbete som bör ske såväl under utvecklingsarbete, som under produktens fortsatta livscykel.
4. Ökade rättigheter till egna persondata
GDPR ger utökade rättigheter till personer vars personuppgifter har registrerats. Dessa rättigheter inkluderar bland annat rätt att få veta vilka data som behandlas om den registrerade, rätten att bli bortglömd, rätten att överföra sina data till en annan leverantör (så kallad dataportabilitet) och rätten att invända mot ett eventuellt automatiserat beslutsfattande för personens räkning.
5. Behandling av personuppgifter om barn
Enligt GDPR får personuppgifter om barn behandlas om barnet är minst 16 år. Är barnet yngre krävs det samtycke från någon som har föräldraansvar för barnet. Varje EU-land kan dock föreskriva att åldersgränsen för samtycke från barn kan vara lägre än 16 år, dock lägst 13 år. Enligt det svenska förslaget till ny dataskyddslag ska barns personuppgifter få behandlas med stöd av barnets samtycke om barnet är minst 13 år. Leverantörer av produkter som riktar sig till yngre konsumenter behöver därför införa skyddsmekanismer och lösningar för att säkerställa att barns personuppgifter behandlas på ett korrekt sätt, inklusive till exempel lösningar för att inhämta föräldrars samtycke.
Läs också: BI-döden är här – de gamla verktygen hänger inte längre med
Sammanfattningsvis behöver utvecklare, tillverkare och säljare av lösningar som bygger på internet of things tänka på hela lösningens säkerhet och bygga in personuppgifts- och integritetssäkerhet redan från början. Man ska ge användare tydlig information om vilka data som samlas in och hur de används. Om personuppgifter behandlas med stöd av samtycke ska leverantörer erbjuda sådant samtycke att användaren enkelt kan välja att acceptera insamling av vissa data men inte andra.
All information i dessa avseenden ska vara tydlig, utformad på ett enkelt språk och givetvis relevant i förhållande till den roll man har som användare i den aktuella situationen. Ytterst handlar ju GDPR i stor utsträckning om att användaren ska ges makt över sina egna persondata. Det är hög tid för IoT-leverantörer att implementera dessa krav i sina processer, system och produkter.
Befattning: Vd
Företag: Attentec
Linkedin: Anders Englund
E-post: anders.englund@attentec.se
Hemsida: www.attentec.se
Expertområden: IoT – applikationer och hur dessa tillämpas för att skapa affärsnytta
Bakgrund: Civilingenjör i Datateknik LiTH, CWRU. Praktisk erfarenhet av att sälja och införa IoT-lösningar.
