Dataskydd.NET 2.10
Dataskydd.NET
Vol. 2, nr. 10, 27 maj 2015
https://dataskydd.net - info@dataskydd.net
Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.
Detta nyhetsbrev finns även på [node:url]
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
I detta nummer:
1. Dataskyddspaketet - framtiden börjar i juni?
2. Dataskydd.NET besöker Söderhamn, kommunen med hjärta i e-legitimationen
3. Informationssäkerhetsförslag långt från demokratisk värdegrund
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
1. Dataskyddspaketet - framtiden börjar i juni?
I juni har EU-ländernas justitieministrar åter ett möte. Det ryktas att de kanske vill börja förhandlingar med parlamentet efteråt, men ett dokument från tyska regeringen visar att det fortfarande är många hinder kvar på vägen (läsvärt!). Någon dagordning för det kommande mötet finns ännu inte på regeringens hemsida. Än finns alltså en möjlighet för svenska regeringen att göra bättring i stora frågor som splittrande och föråldrad särregisterlagstiftning, profilering, mer makt till privatpersoner och bättre transparens!
Läs mer:
EU-kommissionens bakgrundsmaterial från januari 2012:
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
Tysklands kommentarer till ministerrådet (18.05.2015):
http://www.statewatch.org/news/2015/may/eu-council-dp-reg-horizontal-iss...
Ingen dagordning (verifierat 26.05.2015):
http://www.regeringen.se/sb/d/108?action=browsePage&page=1&c=y2015
Dataskydd.NET, Dataskydd i Bryssel: lagars tydlighet mäts inte i spaltmeter (05.05.2015):
https://dataskydd.net/nyheter/2015/05/05/dataskydd-i-bryssel-lagars-tydl...
Dataskydd.NET, Stor läcka från EU:s dataskyddsförhandlingar eller minst 20 sätt som svenska regeringen hatar ditt privatliv (10.03.2015):
https://dataskydd.net/nyheter/2015/03/10/stor-lacka-fran-eus-dataskyddsf...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
2. Dataskydd.NET besöker Söderhamn, kommunen med hjärta i e-legitimationen
Den 16 april åkte Dataskydd.NET upp till Söderhamn för att prata e-legitimation. Söderhamns kommun har ingått i ett EU-finansierat pilotprojekt för integritetsvänlig e-legitimation. Den bakomliggande tanken är att tekniken ska hjälpa användare att prata med den de vill på ett säkert sätt, utan att någon annan, utanför konversationen, får reda på eller kan kartlägga konversationen.
Att man ska kunna prata med skatteverket, vården eller skolan utan att tredjeparter får reda på vem, eller i vilken ordning, man pratat med dem är något de flesta håller med om. Men det har visat sig vara ett tekniskt klurigt problem att lösa. De flesta lösningar - till exempel BankID och Näringsdepartementets nya e-legitimation - bygger på att möten med myndigheter och företag i digitala miljöer säkras av att en god man, någon som inte ingår i mötet, kan berätta för båda deltagarna att de har fått tag på rätt person. Det förutsätter att man har stort förtroende för den gode mannen (i praktiken banken, eller under E-legitimationsnämnden, något företag som givits
tillstånd att vara god man).
Söderhamns tekniksatsning använder också dataminimering, så att användare inte behöver berätta mer om sig själva än vad som är nödvändigt. I skolmiljön kan det typiskt vara att få tillgång till resurser (lärare, skolmaterial) för att man går i klass 9C, eller sjuksköterskan för att man är elev (och inte till exempel förälder), istället för att man berättar sitt namn, var man bor eller vilken personnummer man har. Fördelen med detta ur dataskyddssynpunkt är att det blir svårare att samla stora mängder information om enskilda. Det minskar i sin tur risken för identitetsstölder eller läckor (man kan inte läcka information man inte har), eller diskriminering
(särbehandling av enskilda utifrån profilering, som Dataskydd.NET tidigare skrivit om).
Vi pratade med Söderhamn om deras erfarenheter, och det politiska läget i kommunen. Pilotprojektet genomfördes på en skola, och deltagarna var av varierade åldersgrupper. Bland annat möten med sköterskor, lärare och elever testades. Projektet började med att det lokala Söderhamnsföretaget Eurodocs var motiverade att delta i det europeiska projektet ABC4Trust, men Barn- och utbildningsnämnden från kommunfullmäktige, och kommunalrådet Sven-Erik Lindestam, har varit involverade hela tiden. Viljan i kommunen är att ha ett säkert, och samtidigt integritetsskyddande, sätt att bekräfta att rätt person är på rätt plats i olika sammanhang.
I enkätundersökningar före och efter projektet kom bland annat följande fram:
- Vissa föräldrar uttryckte oro för teknologins möjlighet att skydda sekretess vid kontakter med sjuksköterskan.
- Efter projektet hade de flesta skolelever en god uppfattning kring vad det innebär att bara berätta det man behöver för att göra vissa saker. De förstod också de integritetsskyddande aspekterna av systemet.
Projektet löpte väl, och klagomålen var få. Man har förhoppningar på att tekniken kan gå att använda i andra sammanhang. För Dataskydd.NET är det extra roligt att kommunen inte bara hanterat e-legitimationen
som ett tråkigt upphandlingsprojekt, utan aktivt jobbat med att integrera både projektets deltagare och kommunens politiska ledarskap i tankar kring hur tekniken kan användas för att förbättra förvaltning och mänskliga rättigheter. Så uppenbart som det kan verka att vi påverkas av samhällets strukturer runt om oss - även när de kommer i form av IT - är det ett perspektiv som nästan alltid glöms bort.
En oundviklig konsekvens av att Söderhamns kommun är en allmän förvaltning, var att man blev tvungen att bygga in en funktion i e-legitimationen för att avslöja vem någon är i efterhand. Det är inte en integritetsskyddande funktionalitet, men skollagen och hälsovårdsrelaterad lagstiftning kräver att skolan kan sätta in åtgärder om någon enskild till exempel uttrycker svår depression vid möten med skolpersonal, eller beter sig väldigt illa. Tillämpningen blev dock att alla som använde systemet blev tydligt informerade om när de led risk att bli avslöjade, och enkätundersökningarna visar att till exempel skoleleverna förstod skillnaden mellan platser och
personer de kunde prata med utan att bli inspekterade, och platser där inspektion var en möjlighet.
Har Söderhamn tur kan både den tekniska lösningen och de ideologiska tankarna bli en exportprodukt när fler kommuner börjar tänka på IT-infrastruktur och medborgarnas roll i det digitala samhället. Att bygga ett samhälle som ger alla personer så stor makt över sina egna identiteter och möten som möjligt borde vara både populärt och önskvärt.
Läs mer:
ABC4Trust i Söderhamn:
https://abc4trust.eu/index.php/home/pilots/soederhamn-sweden
Videoklipp som förklarar ABC4Trust på enkelt vis:
https://abc4trust.eu/index.php/news/archived-news/215-now-available-the-...
Företaget Eurodocs:
Mer information från VLM-institutet:
http://vlm.se/seminarium-soderhamn
Seda Gürses, A Critical Overview of 10 years of Privacy Enhancing Technologies (konferenspresentation) (27.12.2010):
http://media.ccc.de/browse/congress/2010/27c3-4244-en-critical_overview_...
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
3. Informationssäkerhetsförslag långt från demokratisk värdegrund
I utredningsmassorna från Justitiedepartementet om allt som har med internet att göra är det lätt att tappa bort sig. I mars 2015 kom ytterligare 800 sidor utredning om informationssäkerhet, cybersäkerhet och säkerhetsskydd. Man föreslår, precis som i SOU 2015:31 om datalagring, ytterligare utredningar - förvånande nog en översyn av reglerna om hemliga tvångsmedel, som vi andra trodde redan hade gjorts i den 844 sidor långa mastodontutredningen SOU 2012:44 med titeln "Hemliga tvångsmedel". Denna gavs ut i juni 2012, det vill säga för mindre än tre år sedan.
Vi behöver bli bättre på att prata öppet om informationssäkerhet och informationsteknologi med medborgare och privatpersoner som förväntas lotsas kring i en förvaltning som styrs av IT-system. De nya utredningarna är flerfaldiga steg tillbaka:
a) Myndigheten för samhällsskydd och beredskap föreslås få större befogenheter att diktera vad andra myndigheter bör göra,
b) Försvarsanknutna verksamheter föreslås få större befogenheter att bestämma vilka verktyg och åtgärder andra bör vidta, och
c) Man glömmer konsekvent bort att medborgare och konsumenter faktiskt utgör huvuddelen av alla som kommer i kontakt med IT-system, både som besökare i den offentliga förvaltningen och som kunder till företag på den privata marknaden.
Inte ett ord ägnas åt privatpersoners intressen, och möjligheter att ta tillvara på dessa intressen. Det är ett otransparent och centraliserat system som undersöks och föreslås, där makt ska ligga långt bort från oansvariga dumskallar ute i landet, som inte begriper sitt eget bästa.
Där en utredning om hur man ger reella verktyg till privatpersoner att förstå och sedan agera på när informationssäkerhet på myndigheter, eller hos företag, hade gjort stor nytta, kommer dessa utredningar bidra till att frågan sjunker djupare ner i militärträsket.
Istället för att rösta med fötterna, får vi vara tacksamma när våra förvaltningschefer i framtiden följer order.
Informationsteknologisk determinism (”nu funkar datorn så här och då anpassar vi oss till det”; se till exempel SOU 2014:67, E-delegationens samlade verk) är ett problem ingalunda begränsat till informationssäkerheten. Men, det är ett problem när den enda utvecklingen av förvaltningsapparaten – som i stora delar måste anses likställd med dess informationsteknologiska utformning – är den som sker för att flytta makt och kontroll uppåt, bort från medborgarna, in i system och beslutsprocesser som aldrig var avsedda för civil samorganisering i fredstid.
När den offentliga förvaltningen och dess upphandlingar ställs in på militärt hierarkiska beslutskedjor påverkar man också kompetensutvecklingen och produktutbudet på marknaden: vi får tjänster och konsulter anpassade efter tungråddade, centrala och byråkratiska system, istället för hyggliga mekanismer att vara tillmötesgående mot privatpersoner. Man byter bort de fördelar som kommer av gradvisa förbättringar som alla kan hjälpa till med, mot nackdelen med ett system där någon kanske visserligen ibland ger ett klokt diktat, men de flesta inte får vara delaktiga i sitt samhälle.
Två utmärkta och enkla åtgärder som skulle förändra oändligt mycket är att se till att privatpersoner alltid informeras om IT-problem som angår dem, oavsett det är som anställd, medborgare eller företagskund. Tillsammans med införande av en dataombudsman skulle man kunna ge varje privatperson effektiv möjlighet att själv bidra till inkrementellt bättre säkerhet över tid. För att man ska kunna bidra till förbättringen av IT-säkerheten krävs att man har information, rättigheter och medel.
Det är svårt att se hur en sådan dynamisk och inkluderande process skulle utklassas av godtyckliga centraldirektiv – självaste demokratin, eller varför inte den fria, konkurrensutsatta marknaden, är exempel på att man genom lång och mödosam experimentation kommit fram till att dynamiska, inkrementella processer för förbättring ofta fungerar bäst.
Vissa förslag i den mer demokratiska riktningen har lagts av EU-kommissionen i dataskyddspaketet. Det är dock svårt att känna optimism inför den svenska förvaltningen idag - med lite tur kommer fler kommuner att få upp ögonen för den maktförflyttning som sker, och be om meningsfull förändring.
Läs mer:
When Tech Gets Its Nader Moment - or how to get software liability and certification wrong or right , Walter van Holst (09.04.2015):
https://medium.com/@whvholst/when-tech-gets-its-nader-moment-fbe57a3b5a8b
SOU 2015:23, Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten:
http://www.regeringen.se/sb/d/19838/a/255536
SOU 2015:25, En ny säkerhetsskyddslag:
http://www.regeringen.se/sb/d/19838/a/255971
EU-kommissionens bakgrundsmaterial från januari 2012:
http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
* ** *** **** ***** ****** ******* ****** ***** **** *** ** *
Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!