Ny integritetsutredning: SOU 2016:41
· Amelia Andersdotter

Ny integritetsutredning: SOU 2016:41

Den 10 juni kom, efter flera års arbete, en kartläggning av risker mot den personliga integriteten. Dataskydd.net har läst den.

Utredningens skriver, för vad Dataskydd.net tror är första gången någonsin i utredningsväsendets historia, att sanktionssystemet i svensk lagstiftning inte fungerar. Få exempel finns på när skadestånd har utdömts, och skadeståndens storlek är inte tillräckligt stora för att antas ha den effekt som eftersträvas (kapitel 6.8). Utredningen behandlar också den dåliga representationen för enskilda i statens arbete med informationssäkerhet (kapitel 22). Trots politiska ambitioner att sätta enskilda i centrum har ansvaret för informationssäkerhet framför allt hamnat hos myndigheter som har ett annat fokus än enskildas rättigheter. Det finns en viss språkförbistring mellan svenska och engelska som förvirrar statens hantering av informationssäkerhet, på ett för enskilda missgynsamt sätt.

För Dataskydd.net är det här utredningens viktigaste observationer, eftersom de har direkt inverkan på enskildas möjligheter att utöva sina rättigheter aktivt och effektivt.

Utvecklingen av e-förvaltningssystem och IT-användning i flera bärande samhällsfunktioner (skola, statlig förvaltning, vård, försäkring, brottsbekämpning) konstateras vara huvudsakligen bortkopplad från integritetsfrågor (kapitel 11). Det är en viktig observation, och som utredningen poängterar finns en risk att man bygger IT-system som efteråt visar sig vara dåliga för dataskydd men som är mycket svåra eller dyra att förbättra. Det är ett litet steg bort från antagandet i utredningen om en myndighetsdatalag (SOU 2015:39) att dataskydd står i motsats till effektivitet. Utredningen har emellertid känt sig nödgad att försvara den svenska utvecklingen genom att stoppa in ett stycke om "potentialen" med inskränkningar av dataskyddet efter varje verksamhetsbeskrivning. Som i många andra utredningar undviker man dock att bedöma i vilken utsträckning "potentialen" faktiskt givit konkreta resultat (till exempel genom kostnadsminskningar, produktivitetsökningar eller ökat förtroende för myndigheterna från allmänheten).

Tyvärr har utredningen i de flesta fall där information saknas dragit slutsatsen att en brist på information innebär att enskildas rättigheter är förhållandevis starka. Underrättelseverksamhet (kapitel 19) och statistikframställning (kapitel 10) är exempel på verksamheter där det inte funnits eller varit möjligt att få information om hur enskilda påverkas, och där utredningen därför antagit att det inte finns några betydande problem.

Den tekniska utredningen av integritetsskyddande teknologier i bilaga 3 får inget genomslag i behandlingen av den tekniska infrastrukturen i de förvaltningar som utredningen undersökt. Det är därför inte uppenbart att utredningen tillgodogjort sig kunskapen att Skolfederationen som beskrivs i kapitel 7.5 är samma tekniska system som upphöjs som särskilt integritetsskyddande i bilaga 3. Enligt Dataskydd.net är det denna sorts brist på sammankoppling av teknisk kunskap och juridiska avvägningar som kan antas ligga bakom många av de genomgående problem som drabbar enskilda i svenska myndighets-IT-system. I kapitel 11 pratar man om Privacy-Enhancing Technologies (PET:s), återigen utan att återkoppla till den tekniska utredning av integritetsskyddande teknologier som man får anta beställts av utredningen specifikt för att få kunskap om PET:s.

Utredningen observerar att amerikanska nättjänster infört bättre skydd för enskilda i svallvågorna av Snowden-avgörandena, men gör inga ansatser till att kartlägga tillfällen då myndigheters handlingar påverkat elektronisk tjänsteutveckling åt andra hållet (kapitel 13). Då myndigheternas och lagstiftarnas prioriteringar påverkar hur näringslivet utformar sina produkter och standardiserar teknologier är det en förhållandevis allvarlig miss. Dataskydd.net har tillsammans med Föreningen för digitala fri- och rättigheter (DFRI) lyft problemet i förhållande till modernisering av husrannsakansregler, men ytterligare behandlingar av ämnet finns till exempel i Datainspektionens och Post- och telestyrelsens gemensamma utredning av mobiloperatörer och dataskydd från 2010. Även då utredningen går igenom teknologier som wifi-tracking och RFID är det uppenbart att en teknisk återkoppling saknas (kapitel 12). Utredningen undviker helt de frågeställningar om kryptering, bakdörrar, tjänster som inte långtidslagrar kommunikation mellan användare och direktåtkomststandarder som präglat diskussionerna om enskildas kommunikation de senaste åren.

I många fall tvingas utredningen falla tillbaka på att tidigare utredningar (till exempel Integritetsutredningen 2007) redan observerat att skyddet för enskilda är svagt, dåligt koordinerat och oöverskådligt även för utredarna. Vilka slutsatser utredningen drar av att många påtalade brister (till exempel att myndigheter inte följer lagen, kapitel 9 och kapitel 18) redan varit kända, och vilka åtgärder som kan vidtas mot de brister som nu upprepas, kommer att visa sig i uppföljningsbetänkandet som kommer nästa år.

För Dataskydd.net är det inte uppenbart varför så mycket energi har lagts på att beskriva varför och vilka hemliga tvångsmedel polisen har tillgång till. Som utredningen konstaterar utreds dessa befogenheter ofta, och lagstiftningen förändras ständigt. Man återupprepar det obefogade påståendet att abonnentuppgifter inte kan vara känsliga: formellt är det sant att de inte faller under dataskyddsförordningens artikel 9 (ras, etnicitet, religion, politiska åsikter, DNA), men det finns inget fog för att de skulle vara mindre känsliga än personnummer, IP-adresser, eller den sorts profileringsdata som Försäkringskassan använder sig av (kapitel 11.1.9). Att de brottsbekämpande myndigheterna kan ha effekt på näringslivets prioriteringar observeras inte alls.

Resultatet blir en svårgenomtränglig textmassa som bara tar upp tid för läsaren. De delar av kartläggningen som för upp ny information - till exempel om den dåliga regleringen av polisens insamling av uppgifter på internet - är i stället korta, begripliga och koncisa, så som man hoppas att utredningen ska vara i sin helhet. Dataskydd.net efterlyser ett högre fokus på korta, begripliga sammanställningar av relevant information, i stället för långrandiga och onödiga hänvisningar till andra utredningar.

Utredningen ger sig på sisyfos-uppdraget att definiera "privacy" men misslyckas med hänvisning till att även andra utredningar misslyckats med detta. Frågan om vad rätten till privatliv är blandas ihop med varför en rätt till privatliv är viktig. Man saknar den enklare uppdelning mellan rätten till privatliv (ett koncept) och rätten till dataskydd (en metod) som finns i den europeiska rätten. Källmaterialet i teoridelen (kapitel 5) kommer från den amerikanska doktrinen, vilket kan antas ge sämre förutsättningar att förstå den svenska lagstiftningstraditionen och även det nya europeiska dataskyddsregelverk som kommer börja gälla i Sverige från och med 2018.

Den allvarligaste bristen är att enskilda fortfarande mest sätts i baksätet för utredningens ansats. Utredningens riskgradering verkar till exempel inte vara kopplad till enskildas möjligheter att själva utöva makt och inflytande över sin identitetsutveckling, utan vilken möjlighet myndigheterna har att skydda enskilda från att otillbörligen påverkas utifrån. Det är en passiv enskild - ett offer för omständigheterna - som förutsätts utgöra skyddsobjektet, vilket får till följd att det man kallar "risk" blir mindre av att ett fåtal passiva enskilda kan påverkas, eller upplevs mindre allvarlig för att myndigheterna själva kan göra något åt "risken".

Det viktigaste med utredningen är dock inte hur deras innevarande kartläggning tagit form, utan vilka åtgärder som utredningen kommer att föreslå i sitt uppföljande betänkande.

Läs mer:

SOU 2016:41. Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Dataskydd.net och DFRI lämnar in en skrivelse till utredningen om modernisering av regler för husrannsakan och beslag (26.05.2016):

https://dataskydd.net/nyheter/2016/05/26/dataskyddnet-och-dfri-lamnar-en...

Dataskydd.net, Inlaga till integritetsutredningen Ju 2014:09 från Dataskydd.net (01.03.2016):

https://dataskydd.net/nyheter/2016/03/07/dataskyddnet-har-skickat-inlaga...

Remissyttrande över SOU 2015:39 om en ny myndighetsdatalag (23.11.2015):

https://dataskydd.net/sites/default/files/sou201539_remissyttrande_datas...

SOU 2007:22, Skyddet för den personliga integriteten - kartläggning och analys

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Mastodon/Fediverse. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).