OBS! Föreningen Dataskydd.net upplöstes i maj 2024. Sidorna kan innehålla brutna länkar och information som är inaktuell.

Försvarets radioanstalt: personuppgiftshantering och loggning

Försvarets radioanstalt: personuppgiftshantering och loggning

För inte så länge sedan tillsattes utredningen om Försvarets radioanstalts (FRA) personuppgiftshantering. Utredningen sammanfaller med FRA:s dödslinje att förklara för Datainspektionen hur de egentligen följer upp loggarna från sin personuppgiftshantering.

Datainspektionen upplever sig ha klagat på FRA:s logguppföljning i sex år. 2010 observerade Datainspektionen att loggningen kunde fungera bättre, men valde att inte direkt kritisera FRA. Efter fem år påbörjade FRA bygget av en så kallad SOC, ett security operations center. Det är ett tekniskt system som håller centraliserad koll på loggar från myndighetens tekniska system, för att se till att inget går fel. När Datainspektionen återvände till sin tillsyn 2016, med observationen att loggningen fortfarande inte verkade följas upp, berättade FRA om sitt SOC-projekt och att projektet förväntades kunna sättas i bruk redan under 2017. Den första maj 2017 förklarade FRA att allt har gått som förväntat.

Problemet är att FRA inte i något de skriver gjort det uppenbart att SOC:en ska användas för att säkerställa tillräckliga tekniska och organisatoriska åtgärder till skydd för enskildas integritet, i enlighet med lagen om personuppgiftsbehandlingen i FRA:s verksamhet. För allt vi medborgare kan utläsa av dokumenten FRA författat till Datainspektionen, kan det vara ett system som ska användas för att se till att deras tekniska lösningar fungerar så som de vill att de ska funka, inte så som lagen kräver att de ska funka. Det är inte heller uppenbart att Datainspektionen förstått att en SOC inte är ett ingritetsstärkande verktyg per se, utan att användningen av SOC:en är det som spelar roll.

Utifrån Datainspektionens ursprungliga invändningar från 2010 och 2016 är det rimligt att tro att de vill att FRA ska upprätthålla integritetsbestämmelser för allmänheten. Kommer FRA:s nya tekniska grej göra det, eller är den istället tänkt att användas för att övervaka personaldata? Är SOC:en alls byggd med funktionaliteten att granska policy-åtgärder? Vi lär inte få veta, och det är osannolikt att Datainspektionen gräver vidare.

För utredningen av FRA:s verksamhet är detta en av många svårigheter: hur gör man när tillsynsmyndigheten med nödvändighet är förpassad till att bli bortkollrad i tekniska detaljer? Dessutom borde staten invänta utlåtandet från Europadomstolen i fallet Centrum för rättvisa påbörjade mot FRA-lagen 2008. Att göra en utredning nu är som att fäkta i blindo: vi vet helt enkelt inte om den sortens metadatainsamling FRA ägnar sig åt verkligen är laglig enligt det regelverk svenska staten förbundit sig att upprätthålla gentemot oss medborgare.

Ytterligare komplikationer uppstår om man tar FRA:s roll som samtidig IT-konsulttjänstleverantör i beaktande. Statliga myndigheter och affärsverk täcks av längre och solidare sekretessregler än de kommersiella ditto. Dataskydd.net funderar på om inkontraktering av FRA i vissa statliga verksamheter kommer utgöra en risk mot den insyn och transparens som dataskyddsförordningen annars försöker skapa. Denna sorts fusk med transparens och insynsregler har Dataskydd.net tidigare kommenterat på i samband med vårt remissyttrande över personuppgiftsbehandling på Nationellt centrum för terrorhotbedömning.

Läs mer:

Kommittédirektiv, Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt:

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/04/dir.-201...

FRA:s promemoria till Datainspektionen (mottagen via fax, 17 maj 2017) (28.04.2017):

https://dataskydd.net/sites/default/files/fras_skrivelse_till_datainspek...

Datainspektionens tillsynsrapport angående FRA från 26 oktober 2016 (26.10.2016):

http://www.datainspektionen.se/press/nyheter/2016/datainspektionen-klar-...

Datainspektionens tillsynsrapport angående FRA från 2010 (07.12.2010):

http://www.datainspektionen.se/press/nyheter/2010/datainspektionen-rappo...

Dataskydd.net, Tiden är kommen: FRA redogör för Datainspektionen hur deras loggfunktioner ska stärkas (2017.05.19):

https://dataskydd.net/nyheter/2017/05/19/tiden-ar-kommen-fra-redogor-dat...

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).