· Amelia Andersdotter

Föreslaget sensorsystem för MSB har inget lättbegripligt syfte

Regeringen skickade nyligen ut en promemoria på remiss med innebörden att Myndigheten för samhällsskydd och beredskap ska få ett eget sensorsystem för att kartlägga IT-hot mot svenska myndigheter.

Dataskydd.net har konsekvent sedan sitt grundande förespråkat en IT-säkerhetspolitik som utgår ifrån ett säkerhetsekonomiskt perspektiv. Det innebär att medborgare och konsumenter behöver bättre verktyg för ansvarsutkrävande vid IT-säkerhetsproblem. Sensorsystemet kommer, så vitt Dataskydd.net kan utläsa av promemorian, inte medföra bättre möjligheter till ansvarsutkrävande utan bli ännu en dyr, onödig åtgärd som inte kan få något annat resultat än att MSB:s kommunikatörsavdelning får nöjet att någon gång per år sammanställa infografik.

Preliminärt har Dataskydd.net även...

· Amelia Andersdotter

Utredningen om tillsyn av dataskydd i Sverige: utmaningar och brister

Utredningen om tillsyn av den personliga integriteten (SOU 2016:65) har uppenbarligen haft stora utmaningar med sitt uppdrag. Det pågår tiotalet andra utredningar samtidigt, varav en är en riksdagskommitté, varför det inte kunde vara känt för utredningen vilken lagstiftning det var som skulle tillses. Utredaren Anna Skarhed har lyckligtvis insett detta, och utredningen är därför förhållandevis kort - bara dryga 200 sidor - och beskriver ofta att dess uppdrag inte nödvändigtvis varit enkelt att utföra eller förstå vad det borde innebära. Anna Skarhed har också offentligt kritiserat den hattiga utredningsmetodologin regeringen har för dataskyddsfrågor i november 2016.

Dataskydd.net delar frustrationen kring de många parallella utredningarna och den dåliga styrningen av både...

· Amelia Andersdotter

Nationellt centrum för terrorhotbedömning drivs inte av rationella val

Justitiedepartementets promemoria Ds 2016:31 om behandling av personuppgifter inom Nationellt centrum för terrorhotbedömning (NCT) handlar om både den behandling av personuppgifter som krävs inom Säkerhetspolisens, Musts och FRA:s personaladministration, och sådan behandling av personuppgifter som sker inom ramen för NCT:s verksamhet.

NCT är missnöjda med att de måste redovisa sina slagningar i register, och att de tre myndigheterna - som blandar civila och militära kompetenser - inte kan samköra databaser i högre utsträckning än idag. Promemorian föreslår att myndigheterna ska ges direktåtkomst till varandras databaser.

Dataskydd.net lämnade remissvar på promemorian med följande huvudsakliga poänger:

- Det är uppenbart att den som är utsatt för kontrollåtgärder,...

· Amelia Andersdotter

Pågående prövning av sekretessklassning av incidentrapporter på MSB

Sedan 1 april 2016 måste statliga myndigheter rapportera in IT-incidenter till CERT-SE under Myndigheten för samhällsskydd och beredskap. Dataskydd.net försökte begära ut samtliga IT-incidentrapporter som inkommit under vecka 41, men MSB lämnade bara ut incidentrapporterna med tung maskering. Varje informationsruta är maskerad utom uppgifter om huruvida händelsen är polisanmäld. MSB hänvisar till offentlighets- och sekretesslagens 18 kap. 8 § 3 st, nämligen att säkerhets- och bevakningsåtgärder kan medföra sekretess om det kan antas att syftet med åtgärden motverkas om uppgiften röjs.

Dataskydd.net har...

· Amelia Andersdotter

Dataskydd.net lämnar remissyttrande för SOU 2016:41 Hur står det till med den personliga integriteten?

Integritetskommitténs delbetänkande om risker för den personliga integriteten och utvecklingen av dessa risker i samtiden kom i somras. Nu har Dataskydd.net färdigställt sitt remissyttrande.

Vi har lagt 13 förslag för åtgärder som kommittén kan beakta för att höja privatpersoners informationssäkerhet och dataskydd. Dessutom anser vi att kommitténs förslag om en årlig integritetsrapport är bra. Norge har redan en årlig integritetsrapport, och resultatet kan antas ha varit omedelbart önskvärt i det att de norska myndigheterna för konsumentskydd och dataskydd både utreder och agerar på samtidsfenomen.

Viktiga förslag från vår sida rör incidentrapportering (privatpersoner som inte får veta när myndigheter och företag gör någonting dåligt eller oförutsett, har ingen möjlighet...

· Amelia Andersdotter

EU-domstolen: dynamiska IP-adresser är personuppgifter, och det berättigade intresset i privat sektor brett

Patrick Breyer, jurist och piratpartistisk politiker i tyska delstaten Schleswig-Holstein, har använt det befintliga europeiska regelverket för att förstärka det tekniska och juridiska dataskyddet i ett flertal fall. 19 oktober gjorde EU-domstolen ett slutgiltigt avgörande i hans fråga om dynamiska IP-adresser som lagras efter besök av privatpersoner hos offentliga myndigheter kan utgöra personuppgifter på samma sätt som andra personuppgifter.

Domslutet har flera implikationer. Den första är att dynamiska IP-adresser, precis som statiska IP-adresser, utgör personuppgifter. Detta följer av att det är förhållandevis lätt att begära ut information från en internetleverantör om vilken specifik kund som tildelats ett visst IP-nummer vid ett visst tillfälle.

Den andra...

· Amelia Andersdotter

EU:s justitieministrar initierar (kanske inte) diskussion om EU-regler för kryptering

I september publicerade organisationen Statewatch ett frågeformulär som EU:s ministerråd skickat till alla justitie- och/eller inrikesministrar i EU om kryptering. Flera europeiska civilsamhällesgrupper försökte ta reda på vad enskilda medlemsstater rapporter - och Dataskydd.net bidrog med en begäran om utlämning av offentlig handling i Sverige.

Svenska regeringen vill inte ha vidare aktioner på EU-nivå. Kryptonycklar (till exempel lösenord) kan överlämnas till polisen, men bara efter domstolsbeslut. Däremot är det tydligt att polisen upplever att det är ett ökande problem.

Under tiden enkäten cirkulerade bland medlemsländerna utdelade en belgisk domstol 30'000 euro i böter till Skype för att de vägrade ge avlyssningsmöjligheter till polisen. Krypteringsdiskussioner är...

· Amelia Andersdotter

Stor vinst om kartläggning på nätet: rikspolischefen måste lämna ut kakor

Dataskydd.net fick rätt i Kammarrätten om rikspolischefens webbkakor,
en sorts liten textfil som gör det möjligt att återidentifiera
webbesökare när de besöker en webbplats för andra gången.

I vårt sommar-nyhetsbrev i juli rapporterade vi redan bakgrunden till
våra försök att begära ut webbkakorna, som redan 1999 konstaterades
vara allmänna handlingar i dåvarande regeringsrätten (nuvarande Högsta
förvaltningsdomstolen). Justitieministern och inrikesministerns
representanter fick nämligen för sig att uppgifter som delats ut till
reklamföretag kunde vara så pass känsliga för rikets säkerhet att
medborgare i riket inte kunde få samma tillgång som reklamföretag.

Under 2015 och 2016 har Kammarrätten hållit med Dataskydd.net i två
...

· Amelia Andersdotter

Dataskydd.net skickar en skrivelse till utredningen om integritetsskydd på Rättsmedicinalverket

Dataskyddsförordningens antagande i våras har utlöst febril utredningsaktivitet hos flera departement, och Dataskydd.net kan bara anta att ännu fler utredningar är att vänta.

Vi har lämnat in en inlaga till utredningen om stärkt integritetsskydd vid personuppgiftsbehandling på Rättsmedicinalverket. Vi försöker koppla några allmänna teman från dataskyddsförordningen till utredningens uppdrag, och dessutom knyta in aspekter av integritetskommitténs delbetänkande från i somras. Då Rättsmedicinalverket sedan 2013 efterfrågat en egen registerförfattning har vi desutom haft fördelen att bättre förstå vad som leder till registerförfattningar. Vi har dock ännu inte laddat upp den interna rapporten (fråga så kanske det händer!) som vi begärde ut från Justitiedepartementet. Den är rätt...

· Amelia Andersdotter

EU-dom om upphovsrätt uppmuntrar id-kontroller av wifi-användare

EU-domstolen beslutade i början av september att ett rimligt föreläggande mot en tillhandahållare av trådlösa nätverk i till exempel en klubblokal, på ett kafé eller i en butik, är att tillhandahållaren ska lösenordsskydda sitt nätverk och göra tillgången till lösenordet avhängigt att den som vill använda nätverket visar foto-legitimation. Dessa förelägganden kan utdömas ifall en upphovsrättsinnehavare inför en domstol kan påvisa att det är sannolikt att ett upphovsrättsintrång begåtts genom nätverket.

I princip har EU-domstolen också sagt att en hotspot-leverantör inte kan hållas ansvarig för upphovsrättsintrången. Dataskydd.net är ändå oroade för den rättsliga utvecklingen av ett huvudsakligt skäl:

EU-domstolens avvägning mellan olika intressen förutsätter att alla...

Sidor