Dataskydd.NET 2.19

Dataskydd.NET 2.19

Dataskydd.NET

Vol. 2, nr. 19, 2 december 2015

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. IT-säkerhetsproblem ger halva böter i EU-ländernas dataskyddsförslag
2. Nederländska datainspektionen instämmer med svenska Datainspektionen mot wifi-övervakning
3. Polistrojaner tydliggör kontrast mellan individuell säkerhet och individuell integritet
4. Spanska högsta domstolen om tidningars roll i rätten att bli bortglömd
5. Dataskydd.net lämnar remissyttrande på SOU 2015:39 om ny myndighetsdatalag
6. Arnbak: en avhandling om IT-säkerhet värd att läsa för jurister
7. IT i vården: två dåliga nyheter och en bra
8. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. IT-säkerhetsproblem ger halva böter i EU-ländernas dataskyddsförslag

Ordförandelandet för EU:s ministerråd, Luxembourg, har publicerat sina förhandlingspapper inför de uppkommande trepartsförhandlingarna i Bryssel. De kommande förhandlingarna mellan kommissionen, parlamentet och EU-ländernas regeringar kommer att beröra processfrågor: hur Datainspektionen ska fungera, vilka böter som ska utmätas, och hur samarbetet mellan datainspektioner i olika EU-länder ska fungera.

Dataskyddsförordningen och det tillhörande dataskyddsdirektivet har stött på starkare motstånd efter de våldsamma terrorattackerna i Paris. Europeiska kristdemokraternas huvudförhandlare Axel Voss har i tysk media uttalat att han inte längre anser att varken en förordning eller ett direktiv är en bra väg framåt.

EU-ledamoten Axel Voss är i och för sig inte ensam i sin kritik mot hur EU:s dataskyddsreform har tagit sig form. Redan i våras riktade många företag hård kritik mot medlemsländernas förslag till samarbetsmekanism, som upplevdes som tungrott och byråkratiskt. Dataskydd.net publicerade i våras många artiklar som kritiserade EU-ländernas förhållningssätt till grundläggande principer i förordningen.

Det Dataskydd.net är mest förvånade över inför trepartsförhandlingarna om processfrågor är dock inte att ministerrådet fortfarande ställer sig bakom sin byråkratiska samarbetsmodell, utan att man föreslår att ge hälften så låga böter till dem som inte uppfyller förordningens krav på säkerhet vid behandlingen av data om privatpersoner, som man vill ge dem som inte uppfyller förordningens krav på principer kring hanteringen (ändringar i artikel 79).

Man lägger alltså tyngdpunkten i förordningen på avtalsrätt och formalia, snarare än konkreta åtgärder för att garantera att de tekniska systemen fungerar så som det är tänkt och att individer underrättas om fel.

Läs mer:

Dataskydd.net, dataskyddsförordningen tidslinje:

https://dataskydd.net/dataskyddsforordningen-tidslinje

Presidency debriefing, Preparation for trilogue - Chapters I, VI, VII, VIII, IX, X and XI (20.11.2015):

http://www.statewatch.org/news/2015/nov/eu-council-dp-reg-multicolumn-Ch...

Consolidated text of the regulation as of (27.11.2015):

http://statewatch.org/news/2015/nov/eu-council-dp-reg-whole-text-14481-1...

Axel Voss i FAZ, Die Poli­tik ist im Daten­schutz das größte Pro­blem (25.11.2015):

http://www.axel-voss-europa.de/2015/11/25/die-politik-ist-im-datenschutz...

Out-Law.com, Bureaucracy will prevail in 'one stop shop' data protection regime, UK and Ireland warn (13.03.2015):

http://www.out-law.com/en/articles/2015/march/bureaucracy-will-prevail-i...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Nederländska datainspektionen instämmer med svenska Datainspektionen om wifi-övervakning

Att kartlägga människors rörelsemönster i och kring butiker med hjälpa av wifi-signalen från deras telefoner, utan att först informera privatpersonerna, strider mot lagen, säger nederländska datainspektionen CPB i ett uttalande 1 december.

CPB:s beslut liknar Datainspektionens beslut om Västerås City-samverken från juni 2015, där Datainspektionen gjorde bedömningen att man inte fick spåra människors rörelsemönster i Västerås stadskärna med hjälp av wifi-signaler.

Just nu är det två medlemsländer som beslutat att hemlig spårning av människors rörelsemönster inte är förenligt med lagstiftningen, samtidigt som danska post- och telestyrelsen istället bestämt att det är lagligt. Då EU-kommissionen precis inlett en översyn av lagstiftningen om skydd av personuppgifter och privatliv i elektroniska kommunikationsnät, kommer det bli intressant att se om denna divergerande praxis får utslag i lagstiftningsarbetet i Bryssel. EU-kommissionens preliminära sondering av terrängen stänger 30 december 2015.

Läs mer:

CPBWeb, CBP: Wifi-tracking rond winkels in strijd met de wet (01.12.2015):

https://cbpweb.nl/nl/nieuws/cbp-wifi-tracking-rond-winkels-strijd-met-de...

Dataskydd.net, Datainspektionen öppnar för privatlivsvänliga telefonstandarder (01.07.2015):

https://dataskydd.net/nyheter/2015/07/01/datainspektionen-oppnar-privatl...

EDRi, WiFi tracking and the ePrivacy Directive in Denmark (01.07.2015):

https://edri.org/wifi-tracking-eprivacy-directive-denmark/

Europakommissionen, Regulatory environment for platforms, online intermediaries, data and cloud computing and the collaborative economy (01.10.2015):

https://ec.europa.eu/eusurvey/runner/Platforms/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Polistrojaner tydliggör kontrast mellan individuell säkerhet och individuell integritet

Dagarna efter de våldsamma terrorattackerna mot Paris, valde Sveriges högsta politiska ledning att damma av förslagen om hemlig dataavläsning från 2005. Det innebär att polisen på något sätt får möjlighet att bereda sig tillgång till privatpersoners elektroniska utrustning, och på det sättet läsa av filer, chattar eller annan data som annars kan vara krypterad. I praktiken innebär det att polisen utnyttjar dataintrång för att ta sig in i system medan de körs, istället för att som idag vara begränsade till dataåtkomst bara efter beslag av hårddiskar.

Hemlig dataavläsning efterfrågades av Sten Heckschers utredning om hemliga tvångsmedel från 2012, och de senaste två eller tre åren har polisen ofta pratat med media om tillfällen då kryptering orsakar problem för dem i utredningar. Inrikesminister Anders Ygeman menar att invändningarna mot hemliga tvångsmedel från 2005 till viss del blivit utdaterade, och att samma befogenheter måste finnas på internet som tidigare fanns i kopparnätet. Flera personer som kommenterat förslaget menar att regeringen går för snabbt framåt, och att det inte är lämpligt att utöka mängden tvångsmedel i svallvågorna efter en terroristattack. Senast i augusti 2015 angav regeringen i sin strategi mot terrorism att det inte var aktuellt att införa nya hemliga tvångsmedel just nu.

Polisiära dataintrång har många ekonomiska nackdelar, som lyfts av teknikpressen. De verktyg som används av polismyndigheter världen över är beroende av säkerhetsfel i konsumentprodukter, och företagen som tillverkar produkterna (eller myndigheterna själva när det är så) tvingas vända sig till undervärldens IT-kriminella för att få tag på information om säkerhetsfelen. Det har också visat sig att företag som säljer dataintrångsutrustning till polismyndigheter hjälper icke-demokratiska länder med förföljelser av aktivister. IDG.se frågar sig om det är till sådan verksamhet vi vill att våra skattepengar ska gå.

Ur integritetssynpunkt är polisiära dataintrång en sorts riktad övervakning, som bara drabbar en enskild åt gången. Det gör att Europarådets parlamentariska utskott har föredragit metoden över massövervakning, som de menar står i strid mot rättssäkerhet och de mänskliga rättigheterna.

Polisiära dataintrång borde dock föranleda en annan rättslig granskning: dess överensstämmande med den individuella rätten till säkerhet. Individers säkerhet i en mängd vardagliga situationer bygger i allt högre utsträckning på att IT-produkterna individerna använder är tillförlitliga och säkra. Digitaliseringskommissionen föreslår till exempel att samtliga myndighetskontakter ska flyttas till internet, vilket gör att säkra konsumentprodukter för IT blir en förutsättning för att privatpersoner ska kunna ha säkra kontakter med myndigheter. Detta gäller inte bara privatpersoners kontakter med det allmänna, utan också deras kontakter med företag.

Så vitt Dataskydd.net känner till finns ingen utarbetad praxis om vad individers rätt till säkerhet i EU-stadgans artikel 6 kan innebära, men analogt med rätten till dataskydd och privatliv torde den täcka även individers skydd i förhållande till det allmänna i sig självt och även kommersiella leverantörer. Då kan det vara på sin plats att utreda bättre konsumentskydd då företag inte gör tillräckliga investeringar i IT-säkerhet, istället för att ge företag polisiära incitament att låta bli att göra investeringar i säkerhet.

Läs mer:

DN.se, En farlig justitieminister (22.12.2015):

http://www.dn.se/ledare/huvudledare/en-farlig-justitieminister/

Computer Sweden, Skattepengar ska göda en marknad som lever på osäkerhet – gör det oss säkrare? (19.11.2015):

http://computersweden.idg.se/2.2683/1.643057/polis-hack

Computer Sweden, Polisen ska få rätt att hacka datorer. Nu förklarar inrikesministern hur det ska gå till. (27.11.2015):

http://computersweden.idg.se/2.2683/1.643794/polisen-far-hacka-datorer

Arstechnica, Meet the men who spy on women through their webcams (11.03.2013):

http://arstechnica.com/tech-policy/2013/03/rat-breeders-meet-the-men-who...

Dagens juridik, Amelia Andersdotter ""Att avlyssna Skype - statligt finansierade dataintrång handlar även om ren konsumenträtt" (01.12.2015):

http://www.dagensjuridik.se/2015/12/debatt-amelia-andersdotter-dataavl%C...

Dagens samhälle, Amelia Andersdotter "Förslag om dataintrång och signalspaning duger inte" (26.11.2015):

http://www.dagenssamhalle.se/debatt/foerslag-om-dataintrang-och-signalsp...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Spanska högsta domstolen om tidningars roll i rätten att bli bortglömd

Dataskydd.net har tidigare framfört intressant utveckling kring rätten att bli bortglömd i och med det italienska Manni-fallet (C-398/15).

Nu sker dock utveckling av praxis även på medlemslandsnivå.

Spanska högsta domstolen hade nyligen att ta ställning till om den spanska dagstidningen El País var skyldig att inte meta-tagga artiklar om människors tidigare olägenheter på ett sådant sätt att de hamnade särskilt högt upp i webbsökningar på en privatpersons namn. Domstolen fann att så var fallet. Det är alltså inte bara Google och andra sökmotorer som har ett ansvar att hjälpa individer gå vidare från tidigare misstag, utan medier som publicerar artiklar om individers misstag - även då informationen som sådan är korrekt - är skyldiga att se till att sådana artiklar, om det är lämpligt och tillräcklig tid har förflutit, inte ligger individen till last.

Resonemanget känns praktiskt, eftersom det lägger ansvaret för hur information om individer kopplas ihop i nätmiljöer närmare dem som producerar informationen. Domstolens dom understryker också att ett samhälle där det är möjligt att gå vidare och förnya sig själv är ett gemensamt ansvar för samhällets alla aktörer, inte bara enskilda framgångsrika IT-jättar.

Läs mer:

IPKat, Tailor-made memory and online communications: Spain's Supreme Court rules on the right to be forgotten (03.11.2015):

http://ipkitten.blogspot.co.uk/2015/11/tailor-made-memory-and-online.html

Dataskydd.net, Italienskt rätten-att-bli-bortglömd-fall i EU-domstolen kan påverka svensk offentlighetsprincip (23.09.2015):

https://dataskydd.net/nyheter/2015/09/23/italienskt-ratten-att-bli-bortg...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net lämnar remissyttrande på SOU 2015:39 om ny myndighetsdatalag

Dataskydd.net är positiva till att utredningen tar upp problemen med de komplexa registerförfattningarna. Vi ser inga anledningar att ifrågasätta att det blir svårare för enskilda privatpersoner och för myndigheter att bena ut vad individernas rättigheter egentligen är i det spretiga regelverk som finns i dag. Dataskydd.net välkomnar också att man problematiserat uppdelningen mellan olika utlämningsförfaranden för uppgifter (direktåtkomst och annat elektroniskt utlämnande).

Det verkar dock som att utredarna fastnat i teknisk determinism. Juridiken är inte ett verktyg som kan skydda privatpersonen trots tekniken. Tekniken kan tvärtom genom incitament som uppstår ur en väl övervägd juridik designas på ett sådant sätt att privatpersonen skyddas med hjälp av tekniken. Sådan utveckling finns i viss omfattning redan: till exempel investerar myndigheter redan i loggningssystem och accesskontroller. Sådana tekniska lösningar kan användas för att tillgodose utredarnas krav på sökbegränsningar, men de skulle också kunna vara ett transparensverktyg för privatpersoner.

Utredningen har skett på myndigheternas villkor. Transparensverktyg som tillfaller privatpersoner för att granska databehandling hos myndigheter diskuteras till exempel utifrån perspektivet att de kan vara ett problem för myndigheten. I dagsläget är problemet för varje enskild privatperson snarare att loggning och accesskontroll görs av myndighetscentrerade säkerhetsbetänkelser snarare än individcentriska dataskyddsskäl. Om privatpersonerna inte själva bereds tillgång till information om hur deras information och uppgifter behandlas, kan de inte utkräva ansvar av myndigheter som kränker deras integritet. Privatpersonens möjlighet att aktivt utöva sina rättigheter borde vara centralt för myndigheterna, inte sättas i baksätet.

Utredarna ställer effektivitet i motsatsförhållande till integritet. Dataskydd.net delar
inte problemformuleringen att effektivitet och dataskydd står i motsats till varandra. Mycket teknisk utveckling syftar idag till att ge privatpersoner bättre inflytande över både sig själv och sin situation relativt andra. Det vore olyckligt om myndighetsdatalagen ger incitament för entreprenörer inom offentlig förvaltning att inte haka på den utvecklingen.

Lagförslagen i utredningens kapitel 1 definierar en passiv privatperson som inte själv har något med utövandet av sina rättigheter att göra. Om man i stället förutsätter en aktiv privatperson som har kapacitet att själv utöva sina rättigheter kan man formulera lagförslagen på ett mindre preskriptivt sätt. En öppnare lagstiftning lämnar öppet för fler tekniska utvecklingar i framtiden.

Även Datainspektionen har riktat hård kritik mot utredningen, och menar att den föranleder "principiella invändningar".

I bilaga 1 (s. 26–36) finns ett tre-kolumns-dokument som sammanställer samtliga ursprungsförslag, ändringsförslag samt kortfattade kommentarer till ändringsförslagen. För längre motiveringar av ändringsförslagen hänvisas till brödtexten och källhänvisningar i brödtexten.

Läs mer:

Dataskydd.net:s remissyttrande på SOU 2015:39 om en ny myndighetsdatalag:

https://dataskydd.net/sites/default/files/sou201539_remissyttrande_datas...

SOU 2015:39 om en ny myndighetsdatalag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Datainspektionen, Principiella invändningar mot ny myndighetsdatalag (26.11.2015):

http://www.datainspektionen.se/press/nyheter/2015/principiella-invandnin...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Arnbak: en avhandling om IT-säkerhet värd att läsa för jurister

En återkommande del i vardagen för oss på Dataskydd.net är att läsa igenom forskning och information som är intressant för vårt område: att verka för ett dataskydd som fungerar både tekniskt och juridiskt.

Den nederländske säkerhetsforskaren Axel Arnbak blev i november 2015 färdig med sin avhandling om IT-säkerhetsbegreppet i europeisk lagstiftning. Med avstamp i bland annat certifikathaveriet i Nederländerna (DigiNotar) och de europeiska diskussionerna om en ny e-legitimationslag utvecklar han rekommendationer för hur EU kan gå vidare mot bättre säkerhets- och dataskyddsreglering i framtiden (lång, engelska): http://dare.uva.nl/record/1/492674

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. IT i vården: två dåliga nyheter och en bra

Den nyss avslutade utredningen om nästa steg för e-hälsa har fått hård kritik från säkerhetsexperter och Datainspektionen. Förslaget anses bristfälligt, och det respekterar inte individers rätt till inflytande över sin egen behandling. Vissa läkare har också uppmärksammat att patientsekretessen fyller en fortsatt viktig funktion i vårdsituationer, vilket behöver ges mer utrymme vid utformandet av ny lagstiftning och nya elektroniska system.

Ett abortregister har läckt. Vid en telefonförfrågan om statistik över aborter i Kalmar län från en forskare, skickade läkaren omedelbart över en detaljerad lista med namn, personnummer och abortteknik. Forskaren, som är anknuten till Kalmar universitet, reagerade på detta och försökte ta bort listan från sin mejlkorg. Händelsen hade kunnat innebära en mycket allvarligare kränkning av kvinnornas privatliv än vad som verkar ha blivit fallet. Det illustrerar organisatoriska och tekniska problem kring dataskydd och sekretess med IT i vården.

Till sist har Centrum för rättvisa vunnit en stämning mot sjukvården i Västerbottens landsting. En man som sökt vård vid ett sjukhus i landstinget hade betalat för sin vård med bankkort. Sjukhuset hade då läckt information till banken om varför mannen genomförde betalningen, vilket han ansåg skadade hans rätt till integritet. Domstolen höll med mannen. Det är ett stort framsteg för patientsekretessen att man inte har en skyldighet att berätta för betaltjänstleverantörer och banker att man sökt vård och av vilken anledning. Förhoppningsvis kan det föranleda spännande teknisk utveckling för betaltjänster till privatpersoners fördel, som också kan hjälpa privatpersoner läcka mindre information även i andra sammanhang än vårdsammanhang.

Centrum för rättvisa letar nu fler patienter som utsatts för samma behandling av sina landsting. Om du är orolig för att ditt landsting använder tekniska medel för att skvallra till banken om att du söker vård - kontakta Centrum för rättvisa.

Läs mer:

Centrum för rättvisa, GUIDE: KRAV MOT LANDSTINGET I VÄSTERBOTTEN (02.11.2015):

http://centrumforrattvisa.se/nyheter/guide-krav-mot-landstinget-i-vaster...

SVT, Landstinget döms till skadestånd (20.11.2015):

http://www.svt.se/nyheter/regionalt/vasterbotten/landstinget-doms-till-s...

SVT, Läkare lämnade ut abortregister (30.11.2015):

https://sverigesradio.se/sida/artikel.aspx?programid=86&artikel=6313102

Datainspektionen, Allvarlig kritik mot bristfällig utredning på e-hälsoområdet (26.10.2015):

http://www.datainspektionen.se/press/nyheter/2015/allvarlig-kritik-mot-b...

Kirei.se, Inrättande av ett centralt statligt ordinationsregister? (13.11.2015):

https://www.kirei.se/2015/11/13/inrattande-av-ett-centralt-statligt-ordi...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Kommande

Kommande remissmöjligheter:

SOU 2015:66 "En förvaltning som håller ihop" (E-delegationen). Dödslinje: 15 december 2015.

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Ds 2015:44 om en ny passdatalag. Deadline: 11 januari 2016.

http://www.regeringen.se/remisser/2015/09/remiss-av-ds-201544-passdatalag/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Twitter. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).