Integritetskommittén (Ju 2014:09) har uppdragit åt Kirei att i en bred kunskapsöversikt belysa framförallt tekniska, men också vissa anknytande administrativa och organisatoriska, åtgärder som kan vidtas för att främja skyddet av den personliga integriteten i enskildas elektroniska kontakter med myndigheter och privata företag.

Resultatet av uppdraget har bilagerats kommitténs delbetänkande (SOU 2016:41), och återfinns som Bilaga 3 (sid. 709 ff).

Vid författandet av rapporten kunde det konstateras att dagens persondataskyddslagstiftning i allt väsentligt omfattar de principer för inbyggt integritetsskydd som rapporten belyser, samtidigt som IT-system idag i princip aldrig utformas utifrån dessa principer. Att persondataskyddsfrågorna kommer i skymundan i verksamhets- och systemutvecklingen har naturligtvis sina orsaker. Det krävs kompetens och resurser, som normalt inte tillsatts inom projekten. Persondataskydd i IT-systemen är därför en ledningsfråga, inte en fråga på projektnivå och särskilt inte en fråga för IT-avdelningen.

Rapporten föreslår att en standard för Ledningssystem för persondataskydd utarbetas som omfattar principerna för inbyggt integritetsskydd, för att på så sätt genom systematik integrera persondataskyddsfrågorna i verksamheten. En sådan utveckling ligger också väl i linje med EU:s persondataskyddsreform som träder i kraft våren 2018, där den som bär ett personuppgiftsansvar är skyldig att efterleva dessa principer och redovisa hur sådant arbete bedrivs inom organisationen. Genom förordningen skapas även förutsättningar för certifiering, och då krävs förstås även ett ramverk att certifiera mot.