2015-10-11

Dataskydd.NET 2.17

Dataskydd.NET

Vol. 2, nr. 17, 14 oktober 2015

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. #SafeHarbor: EU-domstolen river upp avtalen
2. EU-länderna klara att gå vidare med dataskydd i polisverksamhet
3. Anmälan mot svenska SPAR-registret med anledningen av EU-domstolens Bara-dom
4. Dataskydd.net svarar på SOU 2015:73 om dataskydd i utlännings- och medborgarskapshanteringen
5. Dataskydd.net svarar på Energimarknadsinspektionens rapport Ei R2015:09 om framtidens elmätare
6. Dataskydd.net lämnar synpunkter Digitaliseringskommissionens omvärldsanalys
7. Berätta inte för andra om dina besökare: refer(r)ers
8. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. #SafeHarbor: EU-domstolen river upp avtalen

I förra Dataskydd.net skrev vi att EU-domstolen föreslog att riva upp Safe Harbor-avtalen, en sorts dataskyddsavtal som EU-kommissionen slutit med USA:s regering runt millennieskiftet. EU-domstolen beslutade den 6 oktober 2015 att avtalen ska förklaras ogiltiga och att nationella myndigheter med ansvar för dataskydd inte kan gömma sig bakom EU-kommissionen för att slippa utreda överträdelser av dataskyddet i deras ansvarsområde.

Beslutet har rönt stor uppmärksamhet. Många företag och större koncerner använder dataöverföringar i sina lönebetalningssystem och vid personaladministration. Infrastrukturen för dataöverföringar mellan EU och USA är betydligt större än ett fåtal stora sociala nätverk riktade mot slutkonsumenter. Det råder också viss osäkerhet kring hur företag ska organisera sig framöver. EU-kommissionen hävdar till exempel att hävande av Safe Harbor-avtalen inte gör någon egentlig skillnad, och liknande åsikter har också lyfts i Sverige. Argumentet är att modellkontrakt kan användas istället.

EU-domstolen har dock ställt upp strikta kriterier för vad rättssäker behandling innebär. Det står bortom rimligt tvivel att enbart en lagförändring i USA med innebörden att europeiska medborgare får samma dataskydd i USA som de redan åtnjuter i Europa kommer att göra det riskfritt att överföra personuppgifter. En sådan lagförändring är å andra sidan inte uppenbart att vänta. USA saknar dels en juridisk tradition för det övergripande dataskydd som finns i EU. USA saknar också en juridisk tradition av att behandla alla privatpersoner, oavsett medborgarskap, lika. Ett modellkontrakt är inte nödvändigtvis tillräckligt - förutsatt att det finns effektiva rättsmedel för den integritetskränkte att åberopa.

De omedelbara konsekvenserna är svåra att förutse och mycket kommer att bero på hur tillsynsmyndigheterna (i Sverige Datainspektionen) hanterar frågan. Utan tillsyn och föreskrifter kan konsekvensen tyvärr bli att allting fortsätter som förut, men i en juridisk gråzon där privatpersoners rättigheter inte ges det utrymme som EU-domstolen uppenbarligen avser att de ska ha.

Domslutet väcker också frågor kring hur EU-domstolen skulle behandla liknande klagomål i relation till europeiska underrättelsetjänster. Varken Sverige, Tyskland eller Storbritannien har samma starka rättssäkerhetsåtgärder gentemot sina egna befolkningar som USA har gentemot sina medborgare. Facebook har servrar i Luleå. Det återstår att se i fall vi får prövningar framöver kring de olika EU-ländernas förpliktelser gentemot andra EU-länders medborgare.

Beslutet har redan kommenterats av ett antal aktörer. Den europeiska organisationen EDRi, som bedriver politisk påverkansarbete i Bryssel runt digitala rättigheter, har kommenterat att detta är andra gången på mindre än ett år som EU-kommissionen får se sig själv besegrad av EU-domstolen i viktiga frågor om mänskliga rättigheter i digitala miljöer (datalagring och Safe Harbor). Svenska Internetstiftelsen har publicerat en längre historieskildring av övervakning som går tillbaka till 1990-talets första konflikter om globala övervakningsprogram och krypteringsförbud. I Svenska Dagbladet kan man å andra sidan läsa att USA:s handelsdepartement är missnöjda med att förtroendet mellan EU och USA i och med domslutet blivit mindre.

EU-domstolens ordförande Koen Lenaerts har sagt till Wall Street Journal att varken domstolen som sådan eller Europa i sin helhet bör känna skam för sina mest grundläggande principer. Han säger också att det inte handlar om USA:s lagstiftning, utan huruvida europeisk lagstiftning uppnår sina målsättningar givet de förhållanden som råder. Precis som beslutet om rätten att bli bortglömd lär beslutet om Safe Harbor diskuteras under lång tid framöver.

Läs mer:

EU-domstolen. Pressmeddelande om avgörande i Schrems C-362/14 (06.10.2015):

http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp150117...

EU-domstolen. Generaladvokat Bots förhandsutlåtande om Safe Harbor och Schrems C-362/14 (23.09.2015):

http://curia.europa.eu/jcms/jcms/P_174297/

EU-kommissionens särskilda pressmeddelande med Frans Timmersman och Vera Jourova (06.10.2015):

http://europa.eu/rapid/press-release_STATEMENT-15-5782_en.htm

IDG.se, Safe Harbor (artikelsamling) (06.10.2015):

http://www.idg.se/2.1085/1.638827/safe-harbor

Practical Law, ECJ rules that the EU-US safe harbor arrangement is invalid (08.10.2015):

http://uk.practicallaw.com/5-619-2986

Politico.EU, 5 takeaways from the death of safe harbor (06.10.2015):

http://www.politico.eu/article/5-takeaways-from-the-death-of-safe-harbor...

WSJ, European Court Chief Defends Decision to Strike Down Data-Transfer Agreement (13.10.2015):

http://www.wsj.com/articles/european-court-chief-defends-decision-to-str...

EDRi, Fifteen years late, Safe Harbor hits the rocks (06.10.2015):

https://edri.org/safeharbor-the-end/

IIS, EU sätter ner foten mot avlyssning – igen (09.10.2015):

https://www.iis.se/blogg/eu-satter-ner-foten-mot-avlyssning-igen/

SvD, EU-dom kan stoppa dataöverföring till USA (06.10.2015):

http://www.svd.se/eu-domstolen-osterrikare-vann-over-facebook/av/teresa-...

Dataskydd.NET 2.16.1: https://dataskydd.net/nyhetsbrev/dataskyddnet-216

Dataskydd.net, informationssida: https://dataskydd.net/safe-harbour-avtalen

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. EU-länderna klara att gå vidare med dataskydd i polisverksamhet

Den 9 oktober 2015 meddelade EU:s regeringar och justitieministrar att de är redo att gå vidare med trepartsförhandlingar om direktivet om dataskydd i polisiär verksamhet. Trepartsförhandlingarna kommer att genomföras tillsammans med EU-kommissionen och EU-parlamentet.

Direktivet om dataskydd i polisiär verksamhet handlar om vilka förpliktelser polismyndigheter och andra brottsbekämpande myndigheter ska ha att skydda privatpersoners grundläggande rättigheter till privatliv och dataskydd. Precis som i dataskyddsförordningen - som gäller all icke-polisiär verksamhet - har ministerrådet knåpat ihop ett urvattnat förslag som inte skyddar privatpersoner särskilt mycket.

EU-parlamentet å sin sida presenterade redan i mars 2014 ett kraftigt förstärkt förslag gentemot EU-kommissionen, med många ytterligare möjligheter för medborgare att bevaka sina intressen.

Av särskilt intresse i direktivet om dataskydd inom den polisiära verksamheten är så klart undantag medlemsländerna vill ha från förpliktelser. En stor politisk konflikt är under vilka omständigheter polisen får samarbeta med underrättelsetjänster och andra försvarsorganisationer, och vilket skydd individer då ska ha. Enligt medlemsländerna ska det skyddet antingen vara obefintligt, eller i alla fall inte definieras av EU.

De väntande trepartsförhandlingarna kommer att innebära en intensiv period av sämre insyn i hur förhandlingarna fortskrider. Dataskydd.net har gjort en tidslinje över hur dataskyddsdirektivet för polisiär verksamhet hittills hanterats i svenska lagstiftande institutioner (regeringen och riksdagen). Från och med nu går det dock bara att få tag på information från dem som är direkt delaktiga i förhandlingarna, fram tills dess att vi får veta hur den nya lagstiftningen ska se ut.

Läs mer:

Ministerrådets pressmeddelande. Data protection for police and judicial cooperation in criminal matters: Council ready for talks with EP (09.10.2015):

http://www.consilium.europa.eu/en/press/press-releases/2015/10/09-data-p...

EU-kommissionens pressmeddelande. EU Data protection reform on track: Commission
proposal on new data protection rules in law enforcement area backed by
Justice Ministers (09.10.2015):

http://europa.eu/rapid/press-release_IP-15-5812_en.htm

Ministerrådets förslag till nytt direktiv för skydd av personuppgifter i polisiär verksamhet:

http://data.consilium.europa.eu/doc/document/ST-12555-2015-INIT/en/pdf

Dataskydd.net informationssida om dataskyddsdirektivet för polisiär verksamhet:

https://dataskydd.net/nya-dataskyddsdirektivet

Dataskydd.net tidslinje om det nya dataskyddsdirektivet:

https://dataskydd.net/dataskyddsdirektivet-tidslinje

EU-parlamentets förslag (12.03.2014):

http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-T...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Anmälan mot svenska SPAR-registret med anledningen av EU-domstolens Bara-dom

Måndagen 5 oktober anmälde Dataskydd.net SPAR-registret till Datainspektionen mot bakgrund av EU-domstolens avgörande i C-201/14 Smaranda Bara m.fl.

EU-domstolen har uttalat i målet att "lag /.../ [inte] kan, i den mening som avses i artikel 10 i direktiv 95/46, anses utgöra en information som de registrerade berörda redan känner till och som gör att den registeransvarige befrias från sin skyldighet att informera de personer från vilka inkomstuppgifter har samlats in om vem som är mottagare av uppgifterna." (C-201/14, p. 38)

Att SPAR-registret finns reglerat i lag (1998:527) om det statliga personadressregistret är alltså inte tillräckligt för att utlämningen av personuppgifter till EVRY AB och fler än 1100 andra företag och parter ska anses korrekt.

Utlämning av personuppgifter till ändamål som ”direktreklam, marknadsundersökning, opinionsbildning, samhällsinformation, forskning eller liknande” kan inte omfattas av något undantag i artikel 13. Detta måste anses styrkt av att privatpersoners rättigheter enligt artikel 12 i direktiv 95/46/EG om rätt till registerutdrag redan inte har begränsats. EU-domstolen antyder att det inte är tillräckligt att ange att uppgifter kan komma att överföras för vissa ändamål.

Domstolen understryker också vikten av att den registrerade att veta vem som får del av uppgifterna. Motivet är ju att den registrerade ska kunna utöva sin rätt till tillgång och rättelse. Det kan man ju inte göra endast utifrån en vag formulering om att uppgifterna förmodligen lämnats ut till alla möjliga mottagare för vissa i och för sig angivna syften.

Att informera varje enskild privatperson om när, hur och till vem privatpersonens uppgifter ur SPAR-registret lämnas ut och under vilka villkor utlämningen sker kan vidare inte anses strida mot offentlighetsprincipen. Därför gäller inte direktivets bestämmelser om att medlemsländerna får inskränka dataskyddet för att upprätthålla regler om transparens och insyn i det offentliga. Personuppgiftslagens 7–8 §§ kan därför inte utgöra någon begränsning av Skatteverkets skyldigheter att skydda enskildas rättigheter. Tvärtom bör det anses att offentlighetsprincipen stärks av att privatpersoner får nya möjligheter att granska utlämningen av uppgifter.

Att införa starkare informationskrav från SPAR gentemot privatpersoner överensstämmer också väl med de politiska ambitioner som regeringen och Europeiska unionen godkänt i och med det nya direktivet om PSI-data (”öppna data”): ”[I] synnerhet ändras inte genom detta direktiv de skyldigheter och rättigheter som anges i direktiv 95/46/EG.”

Dataskydd.net uppmuntrar också intresserade privatpersoner att lägga in egna anmälningar till Datainspektionen. Myndigheternas tillsynsverksamhet styrs i viss mån av vilket intresse olika orättvisor i samhället får. SPAR-registret får anses vara en stor och mystisk orättvisa som förblivit outredd med medborgarnas bästa intresse för ögonen. Datainspektionen kan spela en viktig roll i att förändra den omständigheten.

Läs mer:

Dataskydd.net:s anmälan:

https://dataskydd.net/sites/default/files/c20114spar_dataskydd.pdf

EU-domstolens avgörande i C-201/14:

http://curia.europa.eu/juris/document/document.jsf?text=&docid=168943&pa...

EU:s nya direktiv om PSI-data:

http://eur-lex.europa.eu/legal-content/SV/TXT/HTML/?uri=CELEX:%2002003L0...

SPAR-registrets informationssida om vilka utlämningstjänster företag kan få:

https://www.statenspersonadressregister.se/root/vara-tjanster/urval.html

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Dataskydd.net svarar på SOU 2015:73 om dataskydd i utlännings- och medborgarskapshanteringen

Den 30 september lämnade Dataskydd.net in ett remissyttrande på SOU 2015:73 om personuppgiftsbehandling på utlännings- och medborgarskapsområdet, som bland annat föreslår en ny utlänningsdatalag, utlänningsdataförordning, ändringar i lagar och förordningar rörandes personuppgiftsbehandling hos Skatteverket, Kronofogden, i identitetsväsendet samt i polisdatalagen.

Dataskydd.net är kritiska mot förslaget, som avviker kraftigt från det ideologiska ramverk för dataskydd som ställts upp i EU:s förslag till ny dataskyddsförordning från 2012.

Utredningen bortser ifrån tekniska konsekvenser av sina förslag, och framtvingar onödigt komplicerade tekniska lösningar som på grund av myndigheternas organisatoriska tröghet kommer att vara mycket svåra att förändra om det visar sig att systemen fungerar otillfredsställande ur säkerhets- och dataskyddshänseende.

Dataskydd.net föreslår:

Transparens och insyn

Bättre användning av samtycke vid utlämning av personuppgifter för att ge individen möjligheter att spåra uppgiftsöverlämningar mellan myndigheter. Se avsnitten om kapitel 7.11, 7.13 och 7.14.
Införande av individ-centrisk incident- och sårbarhetsrapportering i syfte att underlätta ansvarsutkrävande för bristande informationssäkerhet. Se avsnitten om kapitel 7.7.5 och 7.7.10, 7.12 och 7.15.
Information till individer som möjliggör granskning – och i förekommande fall reellt ansvarsutkrävande – av att myndigheten agerar i enlighet med sina ändamål och inte samlar in eller behandlar fler personuppgifter än vad som är nödvändigt för dessa ändamål . Se avsnitten om kapitel 7.7.5 och 7.7.10, 7.8, 7.10.

Datasäkerhet

Stadgande av en dataminimeringsprincip, det vill säga att mer uppgifter inte ska samlas in än vad som är absolut nödvändigt för en viss uppgift. Se avsnitten om kapitel 7.11, 7.12 och 7.13.
Återhållsamhet med direktåtkomst samt bättre planering av varje register och tillhörande applikationer med det i åtanke att tekniska lösningar av dataskydds- och säkerhetsskäl kan behöva uppgraderas och förändras, och att det måste vara någorlunda enkelt att göra. Se avsnitten om kapitel 7.15.

Bättre ansvarsfördelning

Inkludera privatpersonerna själva i processen för ansvarsutkrävande (se ovan, rekommendationer för transparens och insyn, samt datasäkerhet).
Inför bestämmelser om att även personuppgiftsbiträden har direkta skyldigheter gentemot de privatpersoner vars rättigheter ska skyddas. Se avsnitten om kapitel 7.8, 7.12 och 7.15, samt det avsnitt som behandlar förslagets förhållande till EU-kommissionens förslag till ny uppgiftsförordning från 2012.

Läs mer:

SOU 2015:73, Personuppgiftsbehandling på utlännings- och medborgarskapsområdet:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Dataskydd.net:s remissyttrande:

https://dataskydd.net/sites/default/files/sou201573_remissyttrande_datas...

Datatilsynet (Danmark), Journalnummer 2013-632-0050. Uvedkommendes adgang til personoplysninger i systemer, som Rigspolitiet er dataansvarlig for (2015.07.31):

http://www.datatilsynet.dk/afgoerelser/seneste-afgoerelser/artikel/vedro...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net svarar på Energimarknadsinspektionens rapport Ei R2015:09 om framtidens elmätare

Den 28 september lämnade Dataskydd.net in sitt remissyttrande på Energimarknadsinspektionens rapport om funktionskrav på framtidens elmätare, med tillhörande lagförslag.

Dataskydd.net är kritiska mot att Energimarknadsinspektionen framhärdar i integritetskränkande, och ofta tvingande, åtgärder mot slutkonsumenter i syfte att uppnå målsättningar som Energimarknadsinspektionens egna rapporter säger inte går att uppnå med den metod inspektionen har valt. En rapport som inspektionen själv har beställt kallar inspektionens förhoppningar på resultat "naiv".

Energimarknadsinspektionen har tagit varken dataskyddsfrågor eller säkerhetsfrågor på allvar. Detta är särskilt allvarligt då samhällets kris-, försvars- och polismyndigheter i ökande utsträckning tar över viktiga marknadsfunktioner, så som lansering och försäljning av bra och säkra produkter till konsumenter, från företag.

Det enda stödet som anförs för att smarta elmätare i dag har bra säkerhetsfunktioner är att tillverkare och försäljare av smarta elmätare upplever att de har byggt in säkerhetsfunktioner.
Påvisad brist på anledningar för konsumenter att anpassa sig efter elnätet tas som intäkt för att övervaka konsumenters elkonsumtion ännu mer - och delge konsumenterna själva resultatet så att de kan begrunda sig dåliga anpassning till samhällets behov.
Den privatlivskränkande granulariteten i mätningarna som Energimarknadsinspektionen driver på är inte lämpliga för att uppnå energibesparingar. Däremot möjliggör de inträngande övervakning av vilka apparater i hushållet som används vid vilka tider - både av parter utanför hushållet och mellan parter i hushållet.

Särskilt den sista punkten innebär dels en maktförskjutning över individens beteende i det egna hushållet till någonstans utanför hushållet, men innebär också att maktrelationer inuti hushållet förskjuts vilket kan skapa onödiga extra friktioner mellan individerna i ett hushåll.

För att det statliga systemet med expertmyndigheter ska fungera måste expertmyndigheterna ge korrekt information om åtgärder till lagstiftarna i stället för att påskynda projekt som visat sig inte hjälpa lagstiftaren uppnå sina mål (i det här fallet energibesparing). Det är ännu viktigare att expertmyndigheterna inte framställer grundläggande mänskliga rättigheter, som hemfrid, privatlivets sfär och dataskydd, som sidospår och eftertankar. Dataskydd.net föreslår att Energimarknadsinspektionen börjar verka i denna anda.

Dataskydd.net föreslår att man använder en marknadsanpassad modell för smarta elmätare i Sverige, på samma sätt som man har gjort i Tyskland. Då kan elföretagen marknadsföra smarta elmätare, och konsumenter själva göra valet om de vill utsätta sig för den granulära övervakning som smarta elmätare möjliggör.

Dataskydd.net föreslår naturligtvis också att expertmyndigheterna inte bortser från resultat av studier de beställt.

Läs mer:

Energimarknadsinspektionens rapport: Funktionskrav på framtidens el:

http://www.energimarknadsinspektionen.se/sv/Publikationer/Rapporter-och-...

Dataskydd.net:s remissyttrande på Ei R2015:09 om funktionskrav på framtidens elmätare:

https://dataskydd.net/sites/default/files/ei201509_dataskyddnet_remissyt...

Broberg, Thomas. Brännlund, Runar. Kazukauskas, Andrius. Persson, Lars. Vesterberg, Matthias, ”En elmarknad i förändring – Är kundernas flexibilitet till salu eller ens verklig?” Umeå universitet, augusti 2014. Rapport beställd av Energimarknadsinspektionen:

http://ei.se/Documents/Publikationer/rapporter_och_pm/Rapporter%202014/R...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Dataskydd.net lämnar synpunkter Digitaliseringskommissionens omvärldsanalys

Dataskydd.net har efter öppen begäran lämnat in synpunkter på Digitaliseringskommissionens omvärldsanalys. Tyvärr bedömer vi att omvärldsanalysen är bristfällig, industricentrisk och i frågor om både dataskydd och datasäkerhet i viss utsträckning direkt felaktig. Digitaliseringskommissionen har senare svarat att de inte hanterat dataskydd och datasäkerhet då andra statliga utredningar hanterat dessa frågor istället. Dataskydd.net är av uppfattningen att detta inte ursäktar att komma med felaktiga påståenden om dataskydd och datasäkerhet.

Vårt bidrag till digitaliseringskommissionen begränsat till kapitel 3.5.4 i Digitaliseringskommissionens rapport, som avhandlar integritet och säkerhet. Vårt bidrag ska inte ses som fullständigt, utan är begränsat av den korta svarstid Digitaliseringskommissionen ställt upp. För ytterligare kommentarer på dataskydd och datasäkerhet hänvisar vi till våra remissvar på de statliga offentliga utredningarna SOU 2015:23, SOU 2015:25, SOU 2015:31 och SOU 2015:73.

För källhänvisningar och referenser i texten nedan hänvisas till vår pdf.

1. Analysen är ett antagande, inte en analys

Att ”[m]ånga kunder förväntar sig att leverantörer proaktivt ska använda den data de har för att tillhandahålla bättre tjänster och individualiserad service” finns det inga belägg för. Den uppsats Digitaliseringskommissionen verkar hämta påståendet ifrån, Anders Ekholms beskrivning av en complex värld, handlar i stället om hur mer data hjälper lagstiftaren skriva bättre regelverk för ”interdependenta” (samberoende) verksamheter i näringslivet och offentlig sektor. Anders Ekholms avfärdande av dataskyddsdebatten är anekdotiskt och anför ingen annans åsikter än hans egna. Ingen annanstans i Digitaliseringskommissionens uppsatssamling i SOU 2015:65 finns annat än anekdotiskt, eller industricentriskt snarare än individcentriskt, stöd för påståendet.

Man får söka sig utanför Digitaliseringskommissionen för att hitta möjliga källor till påståendet. Rapporten Delade meningar från 2015 visar till exempel att många inte har någonting emot att data som samlas in om dem används för att göra reklam mer relevant eller bidra till lösningar på olika samhällsproblem. De som har svarat har dock tagit ställning till om de, givet att de redan förlorat kontrollen över uppgifterna, hellre skulle få irrelevanta erbjudanden och göra det svårare att lösa samhällsproblem, än att ges ett starkt dataskydd. Rapporten är beställd av aktörer inom reklamindustrin, vilket ger läsaren anledning att tro att frågeställningarna anpassats efter dessas behov.

När man studerat frågan i USA har man i stället kommit fram till att användare bryr sig om sin integritet och sitt privatliv, men känner sig uppgivna inför möjligheterna att kontrollera dataspridning.

Slutsatsen att ”’[n]ya avvägningar behöver därför kontinuerligt göras av vad som är en lämplig och godtagbar hantering av persondata i förhållande till förbättringar och innovationer som kan åstadkommas genom en ökad användning och samkörning av datakällor” finns det i alla fall inget stöd för. Tvärtom visar många av de studier, inklusive Delade meningar, att vi snarare behöver starkare och tydligare versioner av de regelverk som enligt Digitaliseringskommissionen uppstod ”under industrialiseringens tid”. Framför allt behövs bättre möjligheter för privatpersoner att skydda sina rättigheter, till exempel genom individcentrisk sårbarhets- och incidentrapportering och införande av en dataminimeringsprincip, att man inte samlar in mer data än vad som är absolut nödvändigt för ett visst ändamål. Man kan inte diskrimineras utifrån, eller få sina uppgifter läckta av, en aktör som inte samlat in uppgifterna.

2. Avslutande kommentar

Dataskydd.net förstår att Digitaliseringskommissionen arbetat under tidspress och med begränsade resurser. Det kan dock inte vara en ursäkt för Digitaliseringskommissionen att förlita sig på ensidiga partsinlagor och dåligt underbyggda påståenden. När flera stora utredningar 2015 påtalat för regeringen att den ökade användningen av elektroniska system i flera viktiga basinfrastrukturer skapar nya säkerhetsutmaningar, och IT-lösningar med tillhörande säkerhetsproblem på myndigheter utmålas som ett allvarligt och kritiskt hot mot nationens intressen och säkerhet, måste aktörer som Digitaliseringskommissionen ta både dataskydd och datasäkerhet på större allvar.

Lyckligtvis finns det redan en stor mängd kunskap fritt tillgänglig på internet som Digitaliseringskommissionen kan tillägna sig. Dataskydd.net rekommenderar Seda Gürses, Mireille Hildebrandt, Katja de Vries, David Barnard-Wills, eller Ross Anderson för lättillgänglig forskning på områdena dataskydd, IT-säkerhet och övervakning. Svensk forskning finns bland annat på Karlstads universitet och en frågeställning från studien Delade meningar (se ovan) som också bekräftas av en kanadensisk studie över ungas mediavanor på internet ger anledning att tro att det finns särskilda skäl att titta närmare på hur kvinnor drabbas av profilering och automatisk diskriminering i nätmiljöer.

Läs mer:

Dataskydd.net:s bidrag till Digitaliseringskommissionen:

https://dataskydd.net/sites/default/files/digikom_dataskydd.pdf

Digitaliseringskommissionens ursprungliga rapport:

https://digitaliseringskommissionen.se/rapporter/kapitel-3-digitaliserin...

SOU 2015:65, Om Sverige i framtiden – en antologi om digitaliseringens möjligheter

https://digitaliseringskommissionen.se/ny-antologi-om-digitaliseringens-...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Berätta inte för andra om dina besökare: refer(r)ers

När du klickar på en länk skickar din webbläsare normalt så kallad referrer-information som berättar exakt vilken sida du varit på. (Tekniskt sett i fältet Referer [sic!] i HTTP-förfrågningen.)

Om du exempelvis besöker Folkhälsomyndighetens sida "Sjukdomsinformation om hivinfektion" och klickar på LinkedIn-knappen längst ner skickar din webbläsare följande till LinkedIn:

Referer: http://www.folkhalsomyndigheten.se/amnesomraden/smittskydd-och-sjukdomar...

Det kan tänkas att du inte vill att LinkedIn ska veta att du läst om hivinfektion.

Samma sak gäller om en sida du besöker har externa resurser som laddas in: JS-filer, bilder, typsnitt och så vidare.

Om du exempelvis besöker Självmordslinjens hemsida – som förvisso har den goda smaken att använda HTTPS, men det spelar ingen roll i det här fallet – skickar din webbläsare glatt följande till bland annat Twitter och Googles annonsnätverk DoubleClick utan att du behöver göra någonting alls (eftersom sidan använder skript från dem):

Referer: https://mind.se/sjalvmordslinjen/

Det kan tänkas att du inte vill att Twitter och Googles annonsnätverk DoubleClick ska veta att du besökt Självmordslinjen.

Refer(r)er-fältet är en katastrof ur integritetssynpunkt, men det finns några saker en sajtägare kan göra för att förbättra situationen för besökarna. En är att använda länktypen noreferrer (rel="noreferrer") som introducerades i HTML5. Detta gäller dock bara vanliga länkar och inte de resurser en sida laddar in, och måste dessutom anges för varje individuell länk.

Ett överlägset bättre och enklare alternativ är nyttja en nyare utveckling, Referrer Policy, som gör det möjligt att med en meta-tagg ange en policy som gäller för samtliga förfrågningar en sida genererar – såväl klickade länkar som externa resurser. Lägg in följande i sidhuvudet för att säga åt besökarens webbläsare att inte skicka referrer-information överhuvudtaget vid besök på din sajt:

Andra alternativ är exempelvis "origin", som skickar referrer men tar bort allt förutom domännamnet.

Det här är en ändring som både är fullkomligt trivial att implementera och som kan ha stor effekt.

Referrer Policy finns ännu bara som utkast från W3C men stöds av Firefox, Chrome, Safari och Microsoft Edge (webbläsaren i Windows 10). (Egentligen är content="no-referrer" att föredra, men senast vi kollade stöddes det inte av Edge, medan "never" funkade i alla.)

Läs mer:

W3C, Referrer Policy, Editor's Draft:

https://w3c.github.io/webappsec-referrer-policy/

Mozilla Security Blog, "Tighter Control Over Your Referrers":

https://blog.mozilla.org/security/2015/01/21/meta-referrer/

"Can I use..." om webbläsarstöd för Referrer Policy:

http://caniuse.com/#feat=referrer-policy

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Kommande

Dataskydd.net kommer under hösten att finnas på:

FSCONS, 7-8 november: https://fscons.org/2015/

Kommande remissmöjligheter: