Dataskydd.NET

Vol. 3, nr. 12, 27 juni 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-312

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Dataskydd.net på WordCamp Europe 2016 med Webbkollen
2. Ny statlig utredning om dataskydd i socialförvaltningen
3. Förvaltningsrätten bestämmer att även landsting måste följa patientdatalagen
4. Riksdagen kastar remissrundan i sjön: fortsatt Säpo-övervakning trots protester
5. PrivacyShield klart att godkännas efter att USA berättat att de vill väl
6. Brexit och dataskydd - vad händer nu?
7. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Dataskydd.net på WordCamp Europe 2016 med Webbkollen

Den 24-26 juni var Dataskydd.net på WordCamp Europe i Wien och presenterade Webbkollen - ett verktyg för att granska webbplatser med avseende på dataskydd.

Intresset för dataskyddsfrågor är stort, och kunskapen bland webbutvecklare kring enkla metoder man kan använda för att förbättra dataskyddet är inte alltid hög. Därför har Dataskydd.net:s webbkoll lagt emfas på att tala om vad man kan göra för att enkelt höja dataskyddet för sina besökare, på sin egen webbplats.

Dataskydd.net pratade också om den kommunundersökning vi publicerade 31 maj i år, där de flesta kommuner fick sämsta betyg. Vi presenterade också vilka kriterier vi använder för att bedöma hur bra dataskyddet är.

Naturligtvis låg fokuset på de åtgärder man kan vidta på sin egen webbplats, eller be ansvarig vidta på en annan webbplats, för att förbättra dataskyddet!

Alla våra tips finns på:

https://dataskydd.net/wceu2016

Där hittar du också slides.

Dataskydd.net:s webbkoll:

https://webbkoll.dataskydd.net/sv/

Och kommunundersökning:

https://dataskydd.net/kommuner/

Läs mer:

Dataskydd.net, Hur bra är din kommun på dataskydd? Se vår kommunundersökning! (31.05.2016):

https://dataskydd.net/nyheter/2016/05/31/hur-bra-ar-din-kommun-pa-datask...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Ny statlig utredning om dataskydd i socialförvaltningen

Samtidigt med utredningen om dataskyddsförordningen, integritetskommitténs kommande betänkande om åtgärder för stärkt integritetsskydd och ett antal andra utredningar som Dataskydd.net skrivit om, har regeringen nu tillsatt en statlig utredning om dataskydd i socialförvaltning. Det handlar om hur man ska anpassa registerförfattningarna i socialförvaltningen till EU:s nya dataskyddsförordning.

Utredningsuppdraget handlar framför allt om hur regeringen behöver skriva om lagstiftningen för att ingenting ska behöva förändras i myndigheternas nuvarande personuppgiftshantering. En specifik uppmaning att titta på hur man kan begränsa enskildas förstärkta rättigheter att få information och kunskap om hur deras information används i verksamheten samt för beslut som riktas mot dem ingår i uppdraget.

På ett allt för typiskt och visionslöst sätt ställer man effektivitet mot dataskydd, och menar att näringslivet inte får begränsas att hitta nya sätt att använda personuppgifter som de förvärvat i sina kontakter med socialtjänsten och vården.

Dataskydd.net kommer dock att verka för att utredningen ska ta upp viktiga frågor om huruvida de förväntade effektivitetsvinsterna av försämrat dataskydd faktiskt realiserar sig. Det är också dags att Socialdepartementet trappar upp sina ambitioner för inbyggd integritet: i stället för att åẗeruppliva "integritetsfunktionen" från SOU 2014:67, skulle man till exempel kunna föreslå en genomgång av IT-system i socialtjänsten enligt den checklista för inbyggd integritet som Datainspektionen tog fram 2012.

Läs mer:

Kommittédirektiv 2016:52, Dataskyddsförordningen – behandling av personuppgifter och anpassningar av författningar inom Socialdepartementets verksamhetsområde

http://www.regeringen.se/rattsdokument/kommittedirektiv/2016/06/dataskyd...

SOU 2014:67, Inbyggd integritet inom Inspektionen för socialförsäkringen:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Datainspektionen, Inbyggd integritet:

http://www.datainspektionen.se/lagar-och-regler/personuppgiftslagen/inby...

Dataskydd.net, Integritetsutredningarnas år 2016 (11.04.2016):

https://dataskydd.net/nyheter/2016/04/11/integritetsutredningarnas-ar-2016

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Förvaltningsrätten bestämmer att även landsting måste följa patientdatalagen

Efter Datainspektionens tillsyn av hur landstingen följer patientdatalagen har det framkommit att många landsting inte följer patientdatalagen. Specifikt har chefer i landstingen inte tagit fram rutiner för hur personuppgifter ska behandlas, och det har inte skett dokumenterade behovs- och riskanalyser då man bestämt vem som ska få läsa journaler.

Efter en vända i förvaltningsrätten är det nu etablerat att behovs- och riskanalysen behöver skötas centralt. Detta är ett rimligt beslut av domstolen, eftersom IT-systemen där journalerna lagras upphandlas och underhålls centralt i landstinget. En verksamhetschef har alltså få praktiska möjligheter att efterleva en egen behovsprövning, eftersom den inte kan styra över sina egna arbetsverktyg.

Att behovs- och riskanalyser genomförs längre bort från de dagliga verksamheterna innebär inte att enskildas möjligheter att utöva sina rättigheter stärks. Snarare flyttas maktutövningen ett steg längre bort från individen. Det är emellertid svårt att förlika centraliseringen och de storskaliga upphandlingarna med ett mer verksamhetsnära förfarande för åtkomstprivilegier. Vårdverksamheten dikteras i praktiken av de krav på dokumentation och granskning av vården som IT-system som köps upp gör möjliga. Central behörighetsutdelning är en naturlig anpassning till den omständigheten.

Under 1970- och 80-talen diskuterades frågor om centraliserade IT-system och myndighetsutövning mycket i både riksdagen och i statliga utredningar. De senaste tre decennierna har mindre uppmärksamhet riktats mot konsekvenserna av centralisering av IT-system. Det gör att både arbetssituationen för verksamhetens anställda, och möjligheterna för enskilda att utkräva ansvar, givits lägre fokus.

Särskilt verkar detta inte ha givits något större fokus när man bestämt hur man ska bygga systemen som används inom vården och på vilket sätt man ska låta system prata med varandra, om man ska göra det. Integritetskommittén har i sitt delbetänkande SOU 2016:41 särskilt lyft fram att varken polisdatalagen eller patientdatalagen verkar följas av verksamheterna i vardagen.

Läs mer:

Datainspektionen, Vårdgivare måste förhindra att anställda får för vid åtkomst till journaluppgifter (08.06.2016):

http://www.datainspektionen.se/press/nyheter/2016/vardgivare-maste-forhi...

Dataskydd.net sammanställning av svenska utredningar om dataskydd från 1972 och framåt (med länkar till KB:s SOU-register):

https://dataskydd.net/svenska-utredningar-om-dataskydd

SOU 2016:41. Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Riksdagen kastar remissrundan i sjön: fortsatt Säpo-övervakning trots protester

Riksdagen har i tysthet röstat för en proposition om att förlänga en lagparagraf som ger Säkerhetspolisen möjlighet att övervaka enskildas kommunikation utan föregående misstanke.

I en utredning från 2015 påvisade Sten Heckscher att den här övervakningen bland annat används av polisen i fiskeexpeditioner - när man övervakar ej misstänkta enskilda utifall att de borde vara misstänkta, utanför ett faktiskt förundersökningsförfarande. I ett frapperande exempel på sidan 277 i SOU 2015:31 beskrivs hur man utsatt en grupp med individer för sådan övervakning för att sedan tvingas konstatera att de faktiskt inte gjort något. Vilket ju polisen redan visste eftersom de inte var misstänkta för något.

Utredningen SOU 2015:31 fick stark kritik från många remissinstanser. Regeringen har svarat på kritiken genom att ändå behålla den lagstiftning som utredningen misslyckats försvara. I stället för att ta remissvaren i beaktande, har regeringen hänvisat till EU-domstolens pågående prövning av lagligheten i inhämtning i målet Tele2 mot PTS (Mål C-203/15).

Nu har riksdagen valt att ställa sig bakom regeringens avfärdande av det demokratiska förfarandet, för att i stället underkasta sig det juridiska. Även om domstolarna har visat sig vara mer pålitliga beskyddare av rättsstatens grundläggande principer och enskildas rättigheter är det synd, för helst vill vi ju att våra politiska ledare också ska vara pålitliga.

Läs mer:

Dagens Juridik, Säpos undantag förlängs - får fortsätta hemlig övervakning utan brottsmisstanke (23.06.2016):

http://www.dagensjuridik.se/2016/06/sapos-undantag-forlangs-far-fortsatt...

DFRI, Regeringen kör över kritik mot inhämtningslagen (03.06.2016):

https://www.dfri.se/regeringen-kor-over-kritik-mot-inhamtningslagen/

Skrivelse till riksdagen från DFRI, FORES, SICS och Dataskydd.net:

https://www.dfri.se/wp-content/uploads/2016/06/skrivelse_om_inhamtningsl...

Proposition 2015/16:177, Fortsatt giltighet av tidsbegränsad bestämmelse i inhämtningslagen (18.05.2016):

http://www.regeringen.se/rattsdokument/proposition/2016/05/prop.-201516177/

Den föregående promemorian (ej publicerad på regeringens hemsida) (25.02.2016):

https://dataskydd.net/sites/default/files/ju2016-00530-1_promemoria.pdf_...

Den föregående remisslistan (ej publicerad på regeringens hemsida) (25.02.2016):

https://dataskydd.net/sites/default/files/ju2016-00530-2_remiss.pdf_2444...

Regeringskansliets lista över inkomna remissvar till utredningen SOU 2015:31 om datalagring och integritet (09.09.2015):

http://www.regeringen.se/remisser/2015/09/remiss-sou-201531-datalagring-...

Dataskydd.net, EU-domstolen håller förhör om datalagring (18.04.2016):

https://dataskydd.net/nyheter/2016/04/18/eu-domstolen-haller-forhor-om-d...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. PrivacyShield klart att godkännas efter att USA berättat att de vill väl

Enligt Reuters är EU-länderna redo att godkänna ett förändrat PrivacyShield-beslut om att tillåta dataöverföringar till USA efter att amerikanska myndigheter förklarat mer om hur de kommer att använda sig av undantagen i beslutet.

Det tidigare förslaget till PrivacyShield-beslut har fått kritik av EU:s dataskyddsmyndigheter för otydlig terminologi, dåliga avgränsningar och obegripliga översynsmekanismer, och när medlemsländernas egen expertkommitté möttes för en månad sedan kom de överens om att titta närmare på frågan ett tag till.

Den nya texten är inte öppen för allmänheten och Dataskydd.net har inte kunnat spåra texten i Europakommissionens så kallade "komitologi", men medlemsländernas expertkommitté (som består av representanter från olika justitiedepartement) kommer att rösta om beslutet i juli 2016.

Samtidigt är de så kallade modellavtalen, som EU-kommissionen var snara med att förespråka efter EU-domstolens upphävande av det tidigare Safe Harbor-beslutet i oktober 2015, på väg upp till EU-domstolen. Den österrikiske juridikstudenten Max Schrems och irländska datainspektionen har begärt att Irlands högsta domstol ska efterfråga ett förhandsutlåtande från EU-domstolen om huruvida avtalsbaserade dataöverföringar verkligen i högre utsträckning garanterar rättssäkerhet än vad Safe Harbor-beslutet gjorde.

Den irländska processen mot Facebooks dataöverföringar har rönt stor internationell uppmärksamhet, och både amerikanska myndigheter, och amerikanska konsumentorganisationer, har begärt att få vara med och uttala sig inför den irländska domstolen.

Läs mer:

Reuters, EU, United States agree on changes to strengthen data transfer pact (24.06.2016):

http://www.reuters.com/article/us-eu-dataprotection-usa-idUSKCN0ZA1QT

German IT Law, Data flows to the US: Why the EU Model Clauses may soon be no longer state of the art (24.06.2016):

http://germanitlaw.com/data-flows-to-the-us-why-the-eu-model-clauses-may...

Irish Times, Data protection groups seek to join key High Court case (17.06.2016):

https://www.irishtimes.com/news/crime-and-law/courts/high-court/data-pro...

Europe-V-Facebook, US Government seeks to join European US mass surveillance case (13.06.2016):

http://www.europe-v-facebook.org/PA_MC-US.pdf

Dataskydd.net, Inget Privacy Shield för dataöverföringar mellan EU och USA tills vidare (30.05.2016):

https://dataskydd.net/nyheter/2016/05/30/inget-privacy-shield-dataoverfo...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Brexit och dataskydd - vad händer nu?

Torsdagen 23 juni fick de i Storbritannien som vill lämna EU-samarbetet majoritet i en folkomröstning. De ekonomiska och politiska konsekvenserna av engelsmännens önskan att lämna EU-samarbetet innefattar konsekvenser för dataskyddsförordningen. Många företag som är baserade i Storbritannien har verksamhet i övriga Europa, men alla européer påverkas också av den brittiska regeringens ofta negativa inställning till enskildas rätt att inte utsättas för hemliga tvångsmedel, hemlig övervakning och risker för IT-säkerhet.

Brittiska politiska ledare har tidigare under året uttryckt en önskan om att lämna även Europeiska konventionen för mänskliga rättigheter bakom sig. Av olika, framför allt ekonomiska, skäl, lär det dock bli så att Storbritannien behöver förhålla sig till de europeiska dataskyddsreglerna i alla fall.

Den nya dataskyddsförordningen som träder i kraft i maj 2018 innehåller ett förstärkt skydd av privatpersoners rättighet att kunna förvänta sig att företag som de är kunder hos inte överlämnar information om dem godtyckligt till utländska myndigheter. Det kommer bli svårt för Storbritannien att få till ett beslut liknande PrivacyShield-beslutet med EU-kommissionen om de inte följer europeisk dataskyddsrätt.

Trots löften från brittiska politiker om att de ska utnyttja så många undantag i dataskyddsförordningen som möjligt, visar också ny statistik från brittiska dataskyddsmyndigheten ICO att konsumenters och enskildas förtroende för företags och myndigheters hantering av data är väldigt låg. Bara 22% av privatpersoner tror till exempel att reklamindustrin behandlar dem på ett schysst sätt med avseende på datasäkerhet. Högst förtroendesiffror får banker, med 53%. Att enskilda och konsumenter bara i 20% av fallen tror att lagstiftningen är tillräcklig för att man ska kunna lita på företag och myndigheter kan vara en anledning för Storbritannien att respektera ett starkt dataskydd oavsett Brexit.

Läs mer:

ICO Annual Track Report 2016 (16.06.2016):

https://ico.org.uk/about-the-ico/our-information/research-and-reports/in...

The Register, Brexit and data protection: A period of shock and reflection (24.06.2016):

http://www.theregister.co.uk/2016/06/24/brexit_and_data_protection_a_per...

Europaportalen, Ledande brittisk minister: Vi måste lämna Europakonventionen (26.04.2016):

http://www.europaportalen.se/2016/04/ledande-brittisk-minister-lamna-eur...

European Commission decisions on the adequacy of the protection of personal data in third countries:

http://ec.europa.eu/justice/data-protection/international-transfers/adeq...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Kommande

Event:

Dataskydd.net är med på NightlyBuild, Köln 2 september:

https://nightlybuild.io/

Remisser:

Inget på (den officiella) agendan just nu. Inofficiellt kan man börja förbereda sig för remissen på SOU 2016:41.

Övrigt:

EU-kommissionens öppna samråd om direktivet om personuppgiftsskydd i elektroniska miljöer. Dödslinje: 5 juli 2016.

https://ec.europa.eu/digital-single-market/en/news/public-consultation-e...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!