OBS! Föreningen Dataskydd.net upplöstes i maj 2024. Sidorna kan innehålla brutna länkar och information som är inaktuell.

Tiden är kommen: FRA redogör för Datainspektionen hur deras loggfunktioner ska stärkas

Tiden är kommen: FRA redogör för Datainspektionen hur deras loggfunktioner ska stärkas

Datainspektionen kritiserade år 2010 Försvarets radioanstalt (FRA) för att de inte i tillgänglig utsträckning följer upp och kontrollerar att interna rutiner och den tekniska säkerheten med avseende på dataskydd faktiskt efterlevs. I sin slutrapport kring granskningen av FRA meddelade Datainspektionen att de trodde att FRA ändå hade infört loggning, på det sätt inspektionen föreslagit.

Under hösten 2016 förnyade Datainspektionen emellertid sin kritik av FRA i och med att inspektionen fann att FRA fortfarande, sex år senare, inte hade åtgärdat problemen med loggning och uppföljning som inspektionen hade funnit 2010.

FRA försvarade sig med att man under 2015, i ett projekt orelaterat till Datainspektionens kritik från 2010, hade börjat bygga något som heter en SOC, eller "security operations center". SOC:en ska utgöra en central kontrollfunktion för lagring och uppföljning av loggar.

Datainspektionen uppmanade FRA att snarast färdigställa SOC:en och ta den i bruk, vilket FRA meddelade att man hade för avsikt att göra under 2017. Problemet med inspektionens krav och FRA:s utfästelser är bara att en SOC kan ha många olika syften, och de flesta av dessa syften rör inte tillräckliga tekniska och organisatoriska åtgärder för att skydda personlig integritet.

I FRA:s promemoria till Datainspektionen, inlämnad 28 april 2017, beskriver man att SOC:en fortsatt konstruerats och testats i enlighet med myndighetens intention. Däremot beskrivs inte att SOC:en kommer att tas i bruk för att kontrollera både den tekniska säkerhet som myndigheten själv är intresserad av (att alla datorer som fungerar som de ska) och den tekniska och organisatoriska säkerhet som medborgarna är intresserade av (att tjänstemän och maskiner på FRA inte vidtar åtgärder med privatpersoners information och kommunikation som är olagliga eller olovliga).

Att FRA har påbörjat byggandet av en SOC först 2015 indikerar att SOC:en inte är avsedd att avhjälpa sådana brister som Datainspektionen identifierat under 2010, eftersom FRA sannolikt i sådana fall hade påbörjat projektet mycket tidigare. Det finns skäl att tro att SOC:en inte kommer att eller avses att användas för att stärka det skydd för den personliga integriteten som lagstiftaren har föreställt sig.

Dataskydd.net har skrivit ett par frågor till Datainspektionen för att klargöra att inspektionen har förstått att SOC:ar inte bara, eller ens mestadels, behöver användas för att garantera den sortens säkerhet i ett system som är nödvändig för privatpersoners rätt till privatliv och dataskydd. Vi har också frågat i vilken utsträckning inspektionen har följt upp med FRA i vilken utsträckning SOC:en kommer användas för att se till att FRA:s tjänstemän och datorer inte exekverar åtgärder som är missgynnande, ur teknisk och organisatorisk synpunkt, för den personliga integriteten.

Läs mer:

FRA:s promemoria till Datainspektionen (mottagen via fax, 17 maj 2017) (28.04.2017):

https://dataskydd.net/sites/default/files/fras_skrivelse_till_datainspek...

Datainspektionens tillsynsrapport angående FRA från 26 oktober 2016 (26.10.2016):

http://www.datainspektionen.se/press/nyheter/2016/datainspektionen-klar-...

Datainspektionens tillsynsrapport angående FRA från 2010 (07.12.2010):

http://www.datainspektionen.se/press/nyheter/2010/datainspektionen-rappo...

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).