Del 14 – Hur värnar vi personlig integritet?

I vår serie med artiklar vägleds du till hur en byggnad blir digital och uppkopplad. Del fjorton tar upp hur vi säkerställer att integritetsaspekterna är med från början när vi installerar ny teknik.

Artikeln uppdaterades i augusti 2023

När du kommer till jobbet på morgonen öppnas dörren med hjälp av ansiktsigenkänning. Kaffemaskinen har bryggt din favoritdryck och din arbetsplats är redan reserverad för den tiden du inte har mötesbokningar i din kalender. Dina externa gäster ges tillfällig access och blippar sig igenom dörrar och dirigeras till konferenslokalen där de informeras om sitt fysiska tillstånd och besökslistan uppdateras följaktligen.

Men det finns ett pris att betala. För att teknik ska fungera krävs det att man ska kunna kartlägga och förutsäga kundernas beteenden. Hur långt vill man gå i att göra individer spårbara och vilka val har vi individer i dessa sammanhang. I denna artikel gör vi ett försök att svara på dessa frågor.

Kan vi välja själva?
Redan nu kan vi tänka oss situationer som berövar oss ett eget val i framtiden. I många länder används ansiktsigenkänning i köpcentrum och butiker. Konsumenter accepterar denna teknikanvändning genom att gå in och handla där. Att butiken frågar om lov om att använda tekniken utgör i praktiken ett villkor för konsumenten att överhuvudtaget komma åt butikens utbud.

För konsumenten blir valet att acceptera det nya läget med övervakning eller att helt avstå från att handla i köpcentrumet. Vad gör man då när köpcentret är den enda stora livsmedelsbutiken i närheten? Avvägningen görs mellan individens personliga integritet och digitalisering. Man får nog räkna med att digitaliseringen kommer gå framåt oavsett vad man anser om personlig integritet.

Det kan det låta som science fiction men är redan verklighet. Obemannade butiker finns redan på ett flertal platser i landet även om det i nuläget inte är just ansiktsigenkänning utan frivillig registrering av kunder som används. 

Vad kan vi då göra för att sätta integriteten i första rummet?

Integritetsfrågan är grundlagsskyddad
Integritetsfrågan är både skyddad av grundlag och genom reglering i GDPR. Så det är en fråga av tyngd som inte alls fått den plats den förtjänar när man diskuterar ny teknik.

Det finns idag till exempel krav som ställs för projekt och byggen såsom till exempel miljökonsekvensanalys, men vilka krav ställs för att skydda vår personliga integritet i samband med den snabbt ökande digitaliseringen? 

Potential och risker i fastighetsbranschen
Det finns många aspekter att diskutera kring risker, varav en är integritetsfrågan för teknikutveckling och smart tillämpning av befintlig teknik. Denna förutsätter att personlig information måste delas eller ges tillgång till. Det krävs för närvarande inte från lagstiftarens håll att några sådana konsekvensanalyser presenteras av näringsidkare eller informationsaktörer på marknaden.

Techbranschen har inte något egenintresse av att upplysa fastighetsbranschen kring vilka risker som kan uppstå om ny teknik installeras. Lagstiftaren har inte heller några sådana krav. De enda kraven som GDPR ställer på näringsidkaren är att informera om vilken personlig information som man har tillgång till. I det läget är det svårt för användaren att trots denna information förutse och dra slutsatsen om vad det faktiskt innebär för denne. Hur kan jag som individ drabbas?

Eftersom förflyttningen i integritetsfrågan i samhället sker gradvist är det lätt att missa vilka risker digitaliseringen medför i slutändan. Integritetsfrågan finns närvarande hela tiden, men om du inte tänker på den från början så utgör den en potentiell risk. Om man investerar i de här tekniska lösningarna utan att uppmärksamma dessa risker kan fastighetsägaren bygga in ett framtida problem när integritetsfrågan förändras och aktualiseras.

GDPR ändrade rask rutinerna
GDPR trädde i kraft den 25 maj 2018 och fick alla att raskt börja ändra sina rutiner i hur man hanterar information. Om ”GDPR 2.0” kommer kan det innebära stora förändringar, framför allt för de som inte har kontroll över vad man installerat och vilken data man har samlat på sig.

I framtiden kanske det även krävs en informationssäkerhetsanalys för att hantera integritetsfrågorna i samband med projekt och ny- och ombyggnationer. Vilka konsekvenser uppstår då om kunden i det läget säger nej tack till den teknik som finns i byggnaden?

Hur kan fastighetsägaren förbereda sig?
Som fastighetsägare kan man förbereda sig på flera olika sätt. Vid design av en ny produkt eller tjänst utgår man från informationssäkerhetsanalysen och designar byggnaden ur ett säkerhetsperspektiv men även med fokus på integritetsaspekten.

När en ny produkt eller tjänst tas fram är utgångspunkten främst att uppnå en viss effekt eller funktion. Den andra tanken måste då vara hur det påverkar den personliga integriteten. Om produkten brister i säkerhet, det vill säga om den inte kan tillgodose den personliga integriteten för att uppnå funktionen bör inte produkten användas.

Idag utvecklas mycket genom att man kommer på en fiffig lösning och säkerheten måste anpassas till det som produkten tillåter. Datan i sig kan vara ofarlig men det görs sällan en analys om vad som händer när informationsmängder slås ihop med andra källor som gör individer identifierbara.

Detta kan du göra redan nu:

• Inkludera säkerhet från grunden
• Omhänderta både funktion och säkerhet 
• Gör en konsekvensanalys av ny teknik
• Dokumentera för att möjliggöra framtida förändringar
• Verifiera regelverksefterlevnad

Så hur långt kan man gå i att kartlägga sina kunder? Sammanfattningsvis är det svårt att sia om hur framtida krav kommer att stå sig mot framtida lösningar. Det enda vi är riktigt säkra på är att du som fastighetsägare måste ha kontroll över de produkter du installerar i dina byggnader. Förändras kraven ska du veta vilka konsekvenser det får och du har möjlighet till att agera korrekt för att uppfylla de nya kraven.

Är du nyfiken på att läsa mer i ämnet? Titta gärna i vår artikel ”Den tysta byggnaden”

Jimmy Strandhav, Alexandra Lindgren och Daniel Blom
Meta