· Amelia Andersdotter

Tiden är kommen: FRA redogör för Datainspektionen hur deras loggfunktioner ska stärkas

Datainspektionen kritiserade år 2010 Försvarets radioanstalt (FRA) för att de inte i tillgänglig utsträckning följer upp och kontrollerar att interna rutiner och den tekniska säkerheten med avseende på dataskydd faktiskt efterlevs. I sin slutrapport kring granskningen av FRA meddelade Datainspektionen att de trodde att FRA ändå hade infört loggning, på det sätt inspektionen föreslagit.

Under hösten 2016 förnyade Datainspektionen emellertid sin kritik av FRA i och med att inspektionen fann att FRA fortfarande, sex år senare, inte hade åtgärdat problemen med loggning och uppföljning som inspektionen hade funnit 2010.

FRA försvarade sig med att man under 2015, i ett projekt orelaterat till Datainspektionens kritik från 2010, hade börjat bygga något som heter en SOC, eller "...

· Amelia Andersdotter

Dataskydd.net lämnar remissyttrande på Ds 2017:7 om säker kommunikation för kritiska verksamheter

Dataskydd.net har den 3 maj inlämnat ett remissyttrande till Justitiedepartementt om departementsseriepromemorian Ds 2017:7 om säker kommunikation för samhällets kritiska verksamheter.

Dataskydd.net avrådet regeringen från att följa promemorians förslag, med anledning av att den infrastruktur som regeringen föreslår redan finns.

Särskilt framhåller vi att det är olämpligt att staten å ena sidan inför nya tvångsmedel för brottsbekämpande myndigheter och ägnar sig åt aktiviteter som undergräver den höga säkerheten i konsumentkommunikationsappar, samtidigt som staten vill spendera medborgarnas skattepengar på att utveckla en egen app. Om staten istället satsar på en hög nivå av kommunikations- och informationssäkerhet för alla, inklusive medborgarna, har staten goda...

· Amelia Andersdotter

Dataskydd.net lämnar remiss på promemoria om sensornätverk tillsammans med DFRI

Dataskydd.net lämnade tillsammans med Föreningen för digitala fri- och rättigheter den 26 april in ett remissyttrande till Justitiedepartementet angående MSB:s önskemål om att få upprätta ett tekniskt sensornätverk för att underrätta sig om IT-säkerhetshot mot samhällets kritiska verksamheter.

Dataskydd.net och DFRI anser att det tekniska sensorsystemet inte bör sättas i bruk.

Myndigheten för samhällsskydd och beredskap bör inte tilldelas underrättelsebefogenheter utan att det tydligare utreds och klarläggs i lagstiftning vad dessa underrättelsebefogenheter i sådana fall skulle bestå av.

Vi är också kritiska mot den knapphändiga utredningen av integritetsrisker till följd av systemet. Att kartlägga korrespondens in och ut ur myndigheter innebär ett intrång i både...

· Amelia Andersdotter

Best practice-dataskyddsbeskrivning i Enköping: en svensk guldstandard

När det gäller både dataskydd och datasäkerhet räcker det ofta inte med att det ska vara lätt att göra rätt. Man måste också förstå vilka målsättningar man har.

Dataskydd.net vill i den här texten lyfta fram en viktig målsättning för offentliga organisationer och företag som vill ha ett bra dataskyddsavtal: se till att de är begripliga och inte behöver så långa.

Om man redan från början vet att man vill att dataskyddsbeskrivningen för den egna webbplatsen, för den egna tjänsten eller plattformen eller det egna kund- eller medlemsregistret ska vara kortfattad och enkel att förstå, kan man utforma sina tekniska åtgärder efter vad man vill göra undantagsklausuler för i sin dataskyddsbeskrivning. Istället för att låta en jurist granska tekniska lösningar i efterhand, för att...

· Amelia Andersdotter

Dataskydd.net förlorade mot MSB i kammarrätten

Den 31 januari 2017 förlorade Dataskydd.net mål 5858-16 mot Myndigheten för samhällsskydd och beredskap i Kammarrätten i Göteborg. Det var ett mål om tillämpligheten av sekretessbestämmelser på incidentrapporter som lämnats in till MSB sedan 1 april 2016, då MSB fick rätten att kräva rapporter om IT-säkerhetsproblem från alla statliga myndigheter.

Enligt Kammarrätten kan incidentrapporterna, trots att de inlämnande myndigheterna i de flesta fall tydligt angivit att informationen i incidentrapporterna inte behöver sekretessklassas, användas för att begå IT-attacker mot myndigheterna. Om man känner till phishing, kan man själv ägna sig åt phishing, ser ut att vara kammarrättens resonemang.

Dataskydd.net har dock begärt ut incidentrapporter direkt från de myndigheter som är...

· Amelia Andersdotter

Nytt EU-förslag om dataskydd på Internet - det goda och det dåliga

Den tionde januari presenterade EU-kommissionen sitt förslag till en ny förordning om skydd av personuppgifter i elektroniska kommunikationsnät.

Förslaget är kraftigt försvagat i jämförelse med ett läckt dokument som publicerades av tidskriften Politico i december 2016. Bland annat har EU-kommissionen övergivit förslaget om dataskydd som standard.

Dataskydd.net har lämnat synpunkter till regeringen på EU-kommissionens förslag, som i korthet innebär att

- Vi välkomnar fokuset på informationssäkerhet för konsumenter. Bland annat vill EU-kommissionen reducera spridningen av abonnentuppgifter mot privatpersoners vilja.

- Vi är kritiska mot att kommissionen vill att teleoperatörer och kommunikationstjänster, utan att be om lov från konsumenten eller ens...

· Amelia Andersdotter

Föreslaget sensorsystem för MSB har inget lättbegripligt syfte

Regeringen skickade nyligen ut en promemoria på remiss med innebörden att Myndigheten för samhällsskydd och beredskap ska få ett eget sensorsystem för att kartlägga IT-hot mot svenska myndigheter.

Dataskydd.net har konsekvent sedan sitt grundande förespråkat en IT-säkerhetspolitik som utgår ifrån ett säkerhetsekonomiskt perspektiv. Det innebär att medborgare och konsumenter behöver bättre verktyg för ansvarsutkrävande vid IT-säkerhetsproblem. Sensorsystemet kommer, så vitt Dataskydd.net kan utläsa av promemorian, inte medföra bättre möjligheter till ansvarsutkrävande utan bli ännu en dyr, onödig åtgärd som inte kan få något annat resultat än att MSB:s kommunikatörsavdelning får nöjet att någon gång per år sammanställa infografik.

Preliminärt har Dataskydd.net även...

· Amelia Andersdotter

Utredningen om tillsyn av dataskydd i Sverige: utmaningar och brister

Utredningen om tillsyn av den personliga integriteten (SOU 2016:65) har uppenbarligen haft stora utmaningar med sitt uppdrag. Det pågår tiotalet andra utredningar samtidigt, varav en är en riksdagskommitté, varför det inte kunde vara känt för utredningen vilken lagstiftning det var som skulle tillses. Utredaren Anna Skarhed har lyckligtvis insett detta, och utredningen är därför förhållandevis kort - bara dryga 200 sidor - och beskriver ofta att dess uppdrag inte nödvändigtvis varit enkelt att utföra eller förstå vad det borde innebära. Anna Skarhed har också offentligt kritiserat den hattiga utredningsmetodologin regeringen har för dataskyddsfrågor i november 2016.

Dataskydd.net delar frustrationen kring de många parallella utredningarna och den dåliga styrningen av både...

· Amelia Andersdotter

Nationellt centrum för terrorhotbedömning drivs inte av rationella val

Justitiedepartementets promemoria Ds 2016:31 om behandling av personuppgifter inom Nationellt centrum för terrorhotbedömning (NCT) handlar om både den behandling av personuppgifter som krävs inom Säkerhetspolisens, Musts och FRA:s personaladministration, och sådan behandling av personuppgifter som sker inom ramen för NCT:s verksamhet.

NCT är missnöjda med att de måste redovisa sina slagningar i register, och att de tre myndigheterna - som blandar civila och militära kompetenser - inte kan samköra databaser i högre utsträckning än idag. Promemorian föreslår att myndigheterna ska ges direktåtkomst till varandras databaser.

Dataskydd.net lämnade remissvar på promemorian med följande huvudsakliga poänger:

- Det är uppenbart att den som är utsatt för kontrollåtgärder,...

· Amelia Andersdotter

Pågående prövning av sekretessklassning av incidentrapporter på MSB

Sedan 1 april 2016 måste statliga myndigheter rapportera in IT-incidenter till CERT-SE under Myndigheten för samhällsskydd och beredskap. Dataskydd.net försökte begära ut samtliga IT-incidentrapporter som inkommit under vecka 41, men MSB lämnade bara ut incidentrapporterna med tung maskering. Varje informationsruta är maskerad utom uppgifter om huruvida händelsen är polisanmäld. MSB hänvisar till offentlighets- och sekretesslagens 18 kap. 8 § 3 st, nämligen att säkerhets- och bevakningsåtgärder kan medföra sekretess om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.

Dataskydd.net har...

Sidor