Dataskydd.net lämnar synpunkter på Digitaliseringskommissionens omvärldsanalys
Dataskydd.net har efter öppen begäran lämnat in synpunkter på Digitaliseringskommissionens omvärldsanalys. Tyvärr bedömer vi att omvärldsanalysen är bristfällig, industricentrisk och i frågor om både dataskydd och datasäkerhet i viss utsträckning direkt felaktig.
Vårt bidrag till digitaliseringskommissionen begränsat till kapitel 3.5.4 i Digitaliseringskommissionens rapport, som avhandlar integritet och säkerhet. Vårt bidrag ska inte ses som fullständigt, utan är begränsat av den korta svarstid Digitaliseringskommissionen ställt upp. För ytterligare kommentarer på dataskydd och datasäkerhet hänvisar vi till våra remissvar på de statliga offentliga utredningarna SOU 2015:23, SOU 2015:25, SOU 2015:31 och SOU 2015:73.
För källhänvisningar och referenser i texten nedan hänvisas till vår pdf.
Analysen är ett antagande, inte en analys
Att ”[m]ånga kunder förväntar sig att leverantörer proaktivt ska använda den data de har för att tillhandahålla bättre tjänster och individualiserad service” finns det inga belägg för. Den uppsats Digitaliseringskommissionen verkar hämta påståendet ifrån, Anders Ekholms beskrivning av en complex värld, handlar i stället om hur mer data hjälper lagstiftaren skriva bättre regelverk för ”interdependenta” (samberoende) verksamheter i näringslivet och offentlig sektor. Anders Ekholms avfärdande av dataskyddsdebatten är anekdotiskt och anför ingen annans åsikter än hans egna. Ingen annanstans i Digitaliseringskommissionens uppsatssamling i SOU 2015:65 finns annat än anekdotiskt, eller industricentriskt snarare än individcentriskt, stöd för påståendet.
Man får söka sig utanför Digitaliseringskommissionen för att hitta möjliga källor till påståendet. Rapporten Delade meningar från 2015 visar till exempel att många inte har någonting emot att data som samlas in om dem används för att göra reklam mer relevant eller bidra till lösningar på olika samhällsproblem. De som har svarat har dock tagit ställning till om de, givet att de redan förlorat kontrollen över uppgifterna, hellre skulle få irrelevanta erbjudanden och göra det svårare att lösa samhällsproblem, än att ges ett starkt dataskydd. Rapporten är beställd av aktörer inom reklamindustrin, vilket ger läsaren anledning att tro att frågeställningarna anpassats efter dessas behov.
När man studerat frågan i USA har man i stället kommit fram till att användare bryr sig om sin integritet och sitt privatliv, men känner sig uppgivna inför möjligheterna att kontrollera dataspridning.
Slutsatsen att ”’[n]ya avvägningar behöver därför kontinuerligt göras av vad som är en lämplig och godtagbar hantering av persondata i förhållande till förbättringar och innovationer som kan åstadkommas genom en ökad användning och samkörning av datakällor” finns det i alla fall inget stöd för. Tvärtom visar många av de studier, inklusive Delade meningar, att vi snarare behöver starkare och tydligare versioner av de regelverk som enligt Digitaliseringskommissionen uppstod ”under industrialiseringens tid”. Framför allt behövs bättre möjligheter för privatpersoner att skydda sina rättigheter, till exempel genom individcentrisk sårbarhets- och incidentrapportering och införande av en dataminimeringsprincip, att man inte samlar in mer data än vad som är absolut nödvändigt för ett visst ändamål. Man kan inte diskrimineras utifrån, eller få sina uppgifter läckta av, en aktör som inte samlat in uppgifterna.
Avslutande kommentar
Dataskydd.net förstår att Digitaliseringskommissionen arbetat under tidspress och med begränsade resurser. Det kan dock inte vara en ursäkt för Digitaliseringskommissionen att förlita sig på ensidiga partsinlagor och dåligt underbyggda påståenden. När flera stora utredningar 2015 påtalat för regeringen att den ökade användningen av elektroniska system i flera viktiga basinfrastrukturer skapar nya säkerhetsutmaningar, och IT-lösningar med tillhörande säkerhetsproblem på myndigheter utmålas som ett allvarligt och kritiskt hot mot nationens intressen och säkerhet, måste aktörer som Digitaliseringskommissionen ta både dataskydd och datasäkerhet på större allvar.
Lyckligtvis finns det redan en stor mängd kunskap fritt tillgänglig på internet som Digitaliseringskommissionen kan tillägna sig. Dataskydd.net rekommenderar Seda Gürses, Mireille Hildebrandt, Katja de Vries, David Barnard-Wills, eller Ross Anderson för lättillgänglig forskning på områdena dataskydd, IT-säkerhet och övervakning. Svensk forskning finns bland annat på Karlstads universitet och en frågeställning från studien Delade meningar (se ovan) som också bekräftas av en kanadensisk studie över ungas mediavanor på internet ger anledning att tro att det finns särskilda skäl att titta närmare på hur kvinnor drabbas av profilering och automatisk diskriminering i nätmiljöer.
Läs mer:
Dataskydd.net:s bidrag till Digitaliseringskommissionen:
https://dataskydd.net/sites/default/files/digikom_dataskydd.pdf
Digitaliseringskommissionens ursprungliga rapport:
https://digitaliseringskommissionen.se/rapporter/kapitel-3-digitaliserin...
SOU 2015:65, Om Sverige i framtiden – en antologi om digitaliseringens möjligheter
https://digitaliseringskommissionen.se/ny-antologi-om-digitaliseringens-...