Integritetskonsekvensbedömning

En Privacy Impact Assessment ( PIA ) är en process som hjälper organisationer att identifiera och hantera integritetsrisker som uppstår från nya projekt, initiativ, system, processer, strategier, policyer, affärsrelationer etc. Det gynnar olika intressenter, inklusive organisationen själv och organisationen. kunder, på många sätt. I USA och Europa har policyer utfärdats för att föreskriva och standardisera integritetskonsekvensbedömningar.

Översikt

En integritetskonsekvensbedömning är en typ av konsekvensbedömning som utförs av en organisation (vanligtvis en statlig myndighet eller ett företag med tillgång till en stor mängd känsliga, privata uppgifter om individer i eller strömmar genom dess system). Organisationen granskar sina egna processer för att avgöra hur dessa processer påverkar eller kan äventyra integriteten för de individer vars data den innehar, samlar in eller behandlar. PIA har utförts av olika underorgan till det amerikanska departementet för inrikessäkerhet ( DHS), och metoder för att genomföra dem har standardiserats.

En PIA är vanligtvis utformad för att uppnå tre huvudmål:

1. Säkerställ överensstämmelse med tillämpliga lagar, regler och policykrav för integritet.
2. Identifiera och utvärdera riskerna för integritetsintrång eller andra incidenter och effekter.
3. Identifiera lämpliga integritetskontroller för att minska oacceptabla risker.

En integritetskonsekvensrapport försöker identifiera och registrera de väsentliga komponenterna i alla föreslagna system som innehåller betydande mängder personlig information och att fastställa hur integritetsriskerna förknippade med det systemet kan hanteras. En PIA kommer ibland att gå längre än en bedömning av ett "system" och överväga kritiska "nedströms" effekter på människor som på något sätt berörs av förslaget.

Syfte

Eftersom PIA gäller en organisations förmåga att hålla privat information säker, bör PIA fyllas i när organisationen har personlig information om sina anställda, kunder, kunder och affärskontakter etc. Även om juridiska definitioner varierar, inkluderar personlig information vanligtvis en persons personuppgifter : namn, ålder, telefonnummer, e-postadress, kön, hälsoinformation. En PIA bör också genomföras närhelst organisationen har information som annars är känslig, eller om säkerhetskontrollsystemen som skyddar privat eller känslig information genomgår förändringar som kan leda till integritetsincidenter.

Fördelar

Enligt en presentation på International Association of Privacy Professionals Congress har en PIA följande fördelar:

• Tillhandahåller ett system för tidig varning - ett sätt att upptäcka integritetsproblem, bygga skydd före, inte efter, tunga investeringar och att åtgärda integritetsproblem förr snarare än senare
• Undviker kostsamma eller pinsamma integritetsmisstag
• Tillhandahåller bevis för att en organisation försökte förhindra integritetsrisker (minska ansvar, negativ publicitet, skada på rykte)
• Förbättrar informerat beslutsfattande
• Hjälper organisationen att vinna allmänhetens förtroende och förtroende
• Visar för anställda, entreprenörer, kunder, medborgare att organisationen tar integritet på allvar

Genomförande

PIA involverar en enkel process:

1. Projektinitiering: definiera omfattningen av PIA-processen (som varierar beroende på organisation och projekt). Om projektet är i ett tidigt skede kan organisationen välja att göra en preliminär PIA och sedan slutföra en fullständig PIA när den är i full gång.
2. Dataflödesanalys: kartlägga hur den föreslagna affärsprocessen hanterar personlig information , identifiera kluster av personlig information och skapa ett diagram över hur den personliga informationen strömmar genom organisationen som ett resultat av affärsverksamheten i fråga.
3. Integritetsanalys: personal som är involverad i förflyttning av personlig information kan fylla i frågeformulär för sekretessanalys, följt av recensioner, intervjuer och diskussioner om integritetsfrågor och konsekvenser.
4. Rapport om integritetskonsekvensbedömning: integritetsriskerna och potentiella konsekvenser dokumenteras, liksom en diskussion om möjliga insatser som kan göras för att mildra eller avhjälpa riskerna.

Historia

På 1970-talet skapades Technology Assessment (TA) av United States Office of Technology Assessment . En TA användes för att fastställa de samhälleliga och sociala återverkningarna av ny teknik. På samma sätt vid den här tiden kom miljökonsekvensbedömningarna (MKB), en reaktion på den sociala pushen från sextiotalets gröna rörelser . Metoden för båda dessa konsekvensanalyser fungerade som föregångare till skapandet av PIA. Privacy Impact Statement var en mycket mindre omfattande version av PIA som kom till i slutet av åttiotalet. Under 1990-talet uppstod ett behov av att mäta effektiviteten av ett företags eller en organisations datasäkerhet, särskilt med de flesta data som nu lagras på datorer eller andra elektroniska plattformar. Mer omfattande PIA började användas oftare av företag och regeringar i mitten av 1990-talet och används nu av organisationer över hela världen och av flera regeringar inklusive Nya Zeeland , Kanada , Australien och USA:s Department of Homeland Security för att bedöma integritetsrisken för sina system. Dessutom använder flera andra länder och företag bedömningssystem som liknar PIA för datariskanalys.

PIA över hela världen

Förenta staterna

E -Government Act från 2002, avsnitt 208, fastställer kravet på myndigheter att genomföra integritetskonsekvensbedömningar (PIA) för elektroniska informationssystem och samlingar. Bedömningen är en praktisk metod för att utvärdera integritet i informationssystem och samlingar, och dokumenterad försäkran om att integritetsfrågor har identifierats och åtgärdats på ett adekvat sätt. Processen är utformad för att vägleda SEC-systemägare och -utvecklare i att bedöma integritet under de tidiga utvecklingsstadierna och under hela systemutvecklingens livscykel (SDLC), för att avgöra hur deras projekt kommer att påverka individers integritet och om projektmålen kan uppnås samtidigt som den skyddar integriteten.

Europa

Europeiska kommissionen undertecknade sitt första ramverk för bedömningar av integritetspåverkan i samband med RFID-teknik 2011. Detta fungerade som en grund för att senare erkänna bedömningar av integritetspåverkan i den allmänna dataskyddsförordningen (GDPR), som i vissa fall nu föreskriver påverkan på dataskydd bedömning (DPIA). Förutom nya IT-system och projekt har PIA-metoden värde för strukturerade, periodiska granskningar eller revisioner av en organisations sekretessarrangemang.

PIAF-projekt

PIAF (A Privacy Impact Assessment Framework for data protection and privacy rights) är ett samfinansierat projekt från Europeiska kommissionen som syftar till att uppmuntra EU och dess medlemsstater att anta en progressiv policy för konsekvensbedömning av integritetsskydd som ett sätt att hantera behov och utmaningar relaterade till integritet och behandling av personuppgifter.

Se även

• Global övervakning
  • Massövervakning
• Mänskliga rättigheter i cyberrymden
• Konsekvensanalys
  • Miljökonsekvensbeskrivning
  • Teknikbedömning
• Informationsetik
• Informationssekretess
• Penetrationstest