Dataskydd.net förlorade mot MSB i kammarrätten
Den 31 januari 2017 förlorade Dataskydd.net mål 5858-16 mot Myndigheten för samhällsskydd och beredskap i Kammarrätten i Göteborg. Det var ett mål om tillämpligheten av sekretessbestämmelser på incidentrapporter som lämnats in till MSB sedan 1 april 2016, då MSB fick rätten att kräva rapporter om IT-säkerhetsproblem från alla statliga myndigheter.
Enligt Kammarrätten kan incidentrapporterna, trots att de inlämnande myndigheterna i de flesta fall tydligt angivit att informationen i incidentrapporterna inte behöver sekretessklassas, användas för att begå IT-attacker mot myndigheterna. Om man känner till phishing, kan man själv ägna sig åt phishing, ser ut att vara kammarrättens resonemang.
Dataskydd.net har dock begärt ut incidentrapporter direkt från de myndigheter som är rapporteringsskyldiga. Runt 25 myndigheter lämnade ut sina incidentrapporter till Dataskydd.net. Ytterligare 54 myndigheter har åberopat samma sekretessbestämmelser som MSB, ofta med hänvisning till MSB:s pressrelease om att Dataskydd.net förlorade målet i kammarrätten. Fler än 100 myndigheter uppger att de inte drabbats av ett enda spam, bedrägeriförsök, malware, personuppgiftsläcka, hård- eller mjukvarufel eller konfigurationsfel under perioden april 2016-januari 2017.
Incidentrapporterna som Dataskydd.net fått ta del av är av tveksamt värde för allmänheten. Enkätformuläret ser i princip bara ut att vara användbart för produktionen av cirkel- och stapeldiagram, och skulle sannolikt inte uppfylla de krav som ställs på sådana incidentrapporter som enskilda ska få ta del av enligt Dataskyddsförordningens artikel 34.
Dataskydd.net har dock länge framhållit värdet av att incidentrapporter skickas direkt till privatpersoner, med information om vad IT-säkerhetsproblemet innebär för den enskilde, samt vad den enskilde kan göra för att skydda sig mot detta. Individcentrisk incidentrapportering finns i 47 amerikanska delstater och har införts under 2000-talet av konsumentskyddsskäl. Vi känner enklast igen det i vår vardag på hur större amerikanska webbtjänster hanterar IT-säkerhetsproblem: med informationssidor, tydliga instruktioner till sina användare om vilka åtgärder de bör vidta, och vad som orsakat problemet.
Målet är överklagat till Högsta förvaltningsdomstolen, dock inte av Dataskydd.net. Högsta förvaltningsdomstolen kommer nu att bestämma om de vill ge målet prövningstillstånd, och om domstolen inte lyckas övertyga sig om att transparens och ansvarsutkrävande kan förbättra IT-system, på samma sätt som transparens och ansvarsutkrävande förväntas förbättra myndigheternas verksamheter i övriga genom offentlighetsprincipen, är det ett svårt bakslag för privatpersoners och konsumenters rättigheter i den digitala eran.
Läs mer:
MSB, Kammarrätten i Göteborg avslår ytterligare två överklaganden angående utlämning av uppgifter om allvarliga it-incidenter (03.02.2017):
https://www.msb.se/sv/Om-MSB/Nyheter-och-press/Nyheter/Nyheter-fran-MSB/...
Allmän handling, mål nr 5858-16 (05.02.2017):
http://www.allmanhandling.se/2017/02/05/9338/
Steptoe & Johnson LLP, Comparison of US State and Federal Security Breach Notification Laws – Current through January 21, 2016. (21.01.2016):
http://www.steptoe.com/assets/htmldocuments/SteptoeDataBreachNotificatio...
LinkedIn Official Blog, Protecting Our Members (19.05.2016):
https://blog.linkedin.com/2016/05/18/protecting-our-members
State of California, Search Data Security Breach Notification databas:
https://oag.ca.gov/ecrime/databreach/list
Se även Dataskydd.net:s inlagor till pågående och avslutade utredningar om dataskydd och IT-säkerhet: