Dataskydd.NET 3.2

Dataskydd.NET 3.2

Dataskydd.NET

Vol. 3, nr. 2, 1 februari 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. "Åldersgränser på internet - fast nej"
2. Facebook i Belgien: kartläggningskakor är säkerhetskakor?
3. Datainspektionen chattar om Dataskyddsförordningen
4. Europadomstolen gör vad politikerna borde göra
5. Spelutredningen har förutsatts ställa dataskydd åt sidan
6. Offerkoftan på: Svenskt näringsliv och dataskydd
7. Fortsatta politiska attacker mot användarcentrisk kryptering
8. Recension: Anseenderisker och dataskydd (HHS, 2016)
9. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. "Åldersgränser på internet - fast nej"

Under årets början är det konsumentministerns påstående att dataskyddsförordningen tvingar medlemsländerna att införa åldersgränser på sociala medier som givit den nya EU-lagen störst uppmärksamhet. Dataskydd.net skrev i första nyhetsbrevet 2016 att det här är ett missförstånd, och lyckligtvis är det fler som plockat upp den tanken. Ung Pirats Elin Andersson skriver på förbundets ordförandeblogg att EU-bestämmelserna är en konsekvens av ungdomars bristande möjligheter att samtycka i övrigt. Mediajournalisten Emanuel Karlsten har undersökt vad EU-kommissionen anser om åldersgränser och funnit att kommissionen inte vill införa åldersgränser på sociala medier.

Det finns, utöver det som Dataskydd.net och ovanstående skribenter redan påtalat, ett antal andra observationer man kan göra:

- Dataskyddslagstiftningen rör inte relationen mellan barn och föräldrar, utan relationen mellan företag och barn. I praktiken kan man argumentera att det är svårt för barn att ha en annorlunda relation till internetföretag än vad vuxna har, och att själva utgångspunkten att barn kan ges ett starkare skydd än vuxna är felaktigt. Barns dataskydd kommer i hög grad att vara beroende av hur starkt dataskydd vuxna har. Om tillsynsmyndigheter och företag framför allt ägnar sig åt att följa förordningens regler om skydd av vuxna, kommer inga bestämmelser om skydd av barn innebära fler förpliktelser.

- "Samtycket" som krävs för personuppgiftsbehandling gäller behandlingar som sker i marknadsföringssyfte, för profilering, eller för påverkansarbete mot barnet som går utöver vad som krävs för att tillhandahålla tjänsten barnet efterfrågar. Denna tjänst kan vara en social media-tjänst, en nyhetsprenumeration eller något annat. I praktiken är det svårt att se hur dataskydds-samtycke kommer att behövas för några andra tjänster än de som i övrigt är kostnadsfria, eftersom barn oftast inte får sluta egna betaltjänstavtal utan målsmans samtycke (i vilket fall dataskyddssamtycket enkelt medföljer betaltjänstavtalet). För kostnadsfria internettjänster finns idag ett större antal konsumenträttsliga problem - till exempel att avtalen bara ger förpliktelser till konsumenten, inte till leverantören - och det kan behöva ses över, inte bara för att det ska bli mindre problem med samtycke för unga användare, utan också för att den konsumenträttsliga lagstiftningen faktiskt kräver av leverantören att den gör tydligt vad den åtar sig, oavsett vilken generation konsumenten tillhör.

För både vuxnas och barns skull finns ett behov av större transparens kring profilering, marknadsföring och kategorisering av individer utifrån deras upplevda egenskaper. Går du på samma skola som minst fem funktionshindrade personer? Är du kvinna i 25-årsåldern med en årsinkomst på runt 300'000 kronor med sambo? Har ditt barn precis nått skolåldern samtidigt som dina inlägg på Facebook indikerar att du särskriver? Alla dessa kategorier med information om oss används för att bestämma vilken reklam och vilka nyheter vi kan vara intresserade: nyheter om mobbning av barn i rullstol, svårigheter för hörselskadade att hitta arbete, appar som hjälper med läs- och skrivsvårigheter eller reklam för snygga heminredningsdetaljer.

Företaget Google har börjat åskådliggöra hur privatpersoner kategoriserats av deras algoritmer, men det saknas fortfarande information om vad kategoriseringen innebär. Vi kan gissa, men vi kan inte veta. Vidare kan vi inte veta vilka som köper informationen om vår personliga kategorisering av Google: vilka är intresserade av att rikta sig mot den grupp Google sorterat in oss i?

Det sämsta som kan hända är att konsumentministern och justitieministern låter sig skrämmas av mediarapporterna att blunda för de riktiga och viktiga problem med databehandling, transparens och individuella rättigheter som finns, och istället bara göra kortfattade utfästelser om att de i alla fall inte ska lyssna på EU. De mänskliga rättigheterna är ingenting som EU har bestämt, men genom dataskyddsförordningen har vi fått ett kraftigare verktyg att upprätthålla dem.

Läs mer:

SVT, Ministerns besked: Åldersgräns på sociala medier (29.01.2016):

http://www.svt.se/nyheter/inrikes/sverige-far-aldersgrans-for-sociala-me...

SVT, Tyst från branschjättarna om åldersgräns (29.01.2016):

http://www.svt.se/nyheter/inrikes/teknikbolag-kritiska-mot-nya-reglerna

Elin Andersson, Ung Pirat. "Åldersgräns i sociala medier" - fast nej (29.01.2016):

https://ungpirat.se/201601/aldersgrans-i-sociala-medier-fast-nej/

Breakit, Karlsten om chockbeskedet: "Så illa är det inte" (29.01.2016):

http://www.breakit.se/artikel/2499/karlsten-om-chockbeskedet-sa-illa-ar-...

Dataskydd.net, Barnens rätt i EU:s nya dataskyddsförordning (19.01.2016):

https://dataskydd.net/nyheter/2016/01/19/barnens-ratt-i-eus-nya-dataskyd...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Facebook i Belgien: kartläggningskakor är säkerhetskakor?

Hösten 2015 fälldes Facebook i en belgisk domstol för att ha spårat både användare och icke-användare i sammanhang då privatpersoner inte kunde förutsäga att de blev kartlagda. Dataskyddslagstiftningen innebär att privatpersoner ska ha en rimlig möjlighet att förutsäga vem som kartlägger personen, när och i vilket syfte.

Genom användning av så kallade "kakor", små textfiler som läggs på privatpersonens egen dator för att privatpersonen lätt ska kunna åter identifieras senare, har Facebook lyckats kartlägga även de som medvetet ställt sig utanför Facebooks tjänst. Facebook argumenterar att de av säkerhetsskäl måste ha total koll på vad alla användare på internet gör - annars kan de inte garantera att konton inte kapas och att hackare inte tar sig in i deras system. Men de får mothugg från säkerhetsforskare, som menar att risken för missbruk är stor och att det faller på sin egen rimlighet att man måste kunna hålla koll på alla hela tiden för att kunna garantera säkerhet i digitala miljöer.

Den belgiska domen innebär att Facebook måste se över sin användning av spårning på nätet. De måste begränsa sin kartläggningsverksamhet till de belgare som faktiskt valt att ha kontakt med Facebook genom att bli medlemmar på nätverket. En svag punkt i domen - och som inte kommer att åtgärdas förrän dataskyddsförordningen är på plats - är att domslutet bara gäller belgiska privatpersoner. Som svensk icke-medlem på Facebook kan man alltså även fortsatt spåras fram tills att Datainspektionen i Sverige drivit en likadan process i svensk domstol.

Facebook har överklagat domen till högre instans och processen pågår fortfarande. Under tiden har Facebooks advokater också lämnat in klagomål mot att domstolen i sitt första utlåtande använde sig av engelskspråkiga begrepp för att beskriva internetsaker som "kakor", "webbläsare" och "tracker". Facebook menar att de belgiska språklagarna kräver att domstolen använder nederländska översättningar av orden.

Läs mer:

Zuiderveen, Frederik Borgesius och Oostveen, Manon. Policy Review. Belgian Court tells Facebook to stop tracking non-members (13.11.2015):

http://policyreview.info/articles/news/belgian-court-tells-facebook-stop...

Privacy Commission, The judgment in the Facebook case (10.11.2015):

https://www.privacycommission.be/en/news/judgment-facebook-case

De Tijd, ‘Facebook vertelt complete onzin' (28.01.2016):

http://www.tijd.be/tech_media/technologie/Facebook_vertelt_complete_onzi...

Facebook vindt Belgisch vonnis ongeldig vanwege Engelse woorden (27.01.2016):

http://tweakers.net/nieuws/107579/facebook-vindt-belgisch-vonnis-ongeldi...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3.  Datainspektionen chattar om Dataskyddsförordningen

På den europeiska dataskyddsdagen, 28 januari, kunda man chatta med Datainspektionen om den nya europeiska dataskyddslagstiftningen! Det rör frågor, funderingar eller tankar kring vad den nya dataskyddslagstiftningen innebär. Chatten var öppen i en och en halv timme och finns nu arkiverad på Datainspektionens hemsida.

Dataskydd.net ställde tre frågor:

Tillfällen då svensk registerlagstiftning för myndigheter går emot principerna i den europeiska lagstiftningen. Kommer Datainspektionen behandla sådana fall utifrån att EU-rätten är primärrätt, eller utifrån perspektivet att regeringen får styra sina myndigheter som den själv vill?

Hur ser Datainspektionen på möjligheten att låta principerna i lagstiftningen utgöra grunden även för teknisk standardisering? Dessa frågeställningar har lyfts i förhållande till spårning på internet - där PTS inlett en översyn av användningen av kakor - och profilering - ett område där förordningen stärkt individers rättigheter. Ser Datainspektionen någon möjlighet att vara annat än en passiv observatör som invänder mot nya tekniska lösningar, och istället ta en mer aktiv roll där dataskyddsprinciper förespråkas för inklusion i tekniskt standardiseringsarbete? Följdfråga: Ser Datainspektionen några möjligheter att samarbeta med PTS eller SIS kring områden där teknisk standardisering påverkar dataskydd?

I förhållande till skribenten Slarverns tidigare frågor, kommer Datainspektionen att se till att privatpersoner själva får så mycket information som möjligt om säkerhetsläckor, för att ge privatpersoner möjligheter att själva utkräva ansvar av leverantörer och myndigheter som inte skyddar data på ett bra sätt?

Datainspektionen svarade bara på den första av Dataskydd.net:s frågor. De huvudsakliga dragen i Datainspektionens svar är att förändringarna inte kommer att bli särskilt stora med den nya lagstiftningen. Datainspektionen lyfte fram många frågor om personuppgiftsombud, och skrev också att de kommer ordna utbildningar om vad förordningen innebär.

Läs mer:

Datainspektionens chatt (28.01.2016):

http://www.datainspektionen.se/press/chatt/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Europadomstolen gör vad politikerna borde göra

Två nyliga domslut från Europadomstolen (den domstol som ansvarar för europeiska konventionen om mänskliga rättigheter och som inte är kopplad till EU) har fått visselblåsaren Edward Snowden att utbrista på Twitter: "Tystlåtet, och utan ceremoni, gör domstolarna vad politikerna inte vågar."

I målen Roman Zakharov v. Russia och Szabó and Vissy v. Hungary har Europadomstolen uttryckt sig mot massövervakning. Zakharov-fallet rörde en rysk lagstiftning som är mycket lik den svenska inhämtningslagen (IHL). Inhämtningslagen kartlades av Datalagringsutredningen 2015 och föreslogs där utökas i omfattning. Europadomstolen anser istället att sådana lagstiftningar innebär en mycket hög risk för de mänskliga rättigheterna, eftersom de tekniska systemen byggs på ett sådant sätt att rimlig översyn görs väldigt svår. Svårigheterna uppstår både för individer och för de oberoende instanser som ska granska polisens maktutövande.

I Sverige har Zakharov-fallet mottagits med juridisk trötthet. Trots att Sverige saknar oberoende förhandsgranskning av polisens användning av tvångsmedlet, anser expertbedömarna att Europadomstolen bara sagt att tvångsmedlet är oförenligt med de mänskliga rättigheterna om det saknas "särskilda kontrollåtgärder". I Sverige, där vi har Säkerhets- och integritetsnämnden (en politiskt tillsatt nämnd med fem ledamöter), har vi uppenbarligen bättre kontrollåtgärder än i Ryssland, där domstolar var inblandade dels före, och dels efter, att tvångsmedlet tagits i bruk.

Naturligtvis lider ryska myndigheter av större korruptionsproblem än svenska myndigheter, och all myndighetsutövning i Ryssland är bristfällig på grund av detta korruptionsproblem alldeles oavsett vad lagen säger. Men det är också sant att den svenska lagstiftningen ordagrant är minst lika dålig som den ryska, och att Europadomstolen inte har uttalat sig om lagstiftningens duglighet givet korrupta myndigheter, utan lagstiftningens duglighet i allmänhet.

I Szabo-fallet har Europadomstolen uttalat att övervakning måste vara riktad mot en specifik grupp människor av en specifik anledning: det räcker inte att staten har haft en ambition att skydda "de demokratiska institutionerna", utan staten måste också kunna visa att övervakning har "varit strikt nödvändig i ett specifikt ärende". Här man kan undra ifall både datalagring, inhämtning och FRA-lagen verkligen ryms inom Europadomstolens tolkning av konventionen. Det trötta legalistiska försvaret i Sverige torde återigen vara att särskilda kontrollåtgärder finns i Sverige, som inte fanns i Ungern.

Europadomstolen åtar sig i Szabo att skärpa sin praxis i framtiden. Om den svenska juridiska tröttheten visar sig vara befogad, kan vi förmodligen vänta oss sådana skärpningar i domstolens framtida avgörande om FRA-lagen, en process som inleddes av Centrum för rättvisa 2008 och som snart borde komma till sitt slut.

Fram tills dess är det dock politiskt sorgligt att man ursäktar den svenska lagstiftningen med juridiskt trötta kommentarer om att svenska åtgärder är "särskilda", medan andra länders åtgärder uppenbarligen inte var det. Det kan inte vara så att våra politiker begränsar sin uppmärksamhet för mänskliga rättigheter till exakt de tillfällen då precis deras egna lagar riktas specifik kritik, utan politikerna måste också våga se de mänskliga rättigheterna som ett principiellt ramverk för samhället. Det är inte önskvärt att balansera på gränsen till det tillåtna. Särskilt när balansgången gäller hur ordet "särskilda" ska tolkas - då är man nära gränsen, fast på fel sida.

Läs mer:

https://twitter.com/Snowden/status/689108357760811010

Europadomstolen, Zakharov v. Russia (Application no. 47143/06) (04.12.2015):

http://hudoc.echr.coe.int/fre?i=001-159324

Europadomstolen, Szabo and Vissy v. Hungary (Application no. 37138/14) (12.01.2016):

http://hudoc.echr.coe.int/eng?i=001-160020

Centrum för rättvisa, Europadomstolen ska pröva FRA:s övervakning (31.03.2011):

http://centrumforrattvisa.se/personlig-integritet/centrum-for-rattvisa-t...

CDT, Did the European Court of Human Rights Just Outlaw “Massive Monitoring of Communications” in Europe? (13.01.2016):

https://cdt.org/blog/did-the-european-court-of-human-rights-just-outlaw-...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Spelutredningen har förutsatts ställa dataskydd åt sidan

Spelutredningen, Fi 2015:11, har fått i uppdrag av Sveriges regering att utreda förhållandena på den svenska spelmarknaden. Utredningen fick en kort stunds uppmärksamhet när internetleverantören Bahnhof reagerade på att internetfiltrering var en av de åtgärder utredningen uppmärksammade som styrmedel för att förhindra att olagliga speltjänster riktas mot svenska konsumenter.

En mer bekymrande del av utredningsdirektiven, ur Dataskydd.net:s perspektiv, är uppmaningen från regeringen till utredaren att undersöka behovet av undantag från personuppgiftslagen för att speltjänstföretag ska kunna motverka spelmissbruk.

Personuppgiftslagen och EU:s nya datalagstiftningen bör ses som principiella lagar: de är verktyg genom vilka privatpersoner utövar och upprätthåller sina grundläggande mänskliga rättigheter. Därför är det olyckligt att "undantag" är det första som politikerna tänker på vid utformande av lagstiftning kring verksamheter som kan tänkas befatta sig med personuppgifter. Det rimliga är att all lagstiftning skrivs i syfte att vara förenlig med de grundläggande mänskliga rättigheterna och deras principer, och spellagstiftning bör inte vara ett undantag.

I den tidigare utredningen om speltjänster från 2008 listas ett stort antal exempel på "spelansvarsåtgärder", sådana åtgärder som leverantörer kan behöva vidta för att skydda människor mot spelmissbruk. De spänner över enkla åtgärder, som att tillhandahålla bra information till alla användare om deras skulder, vinster och satsade pengar, till mer komplicerade åtgärder, som att se till att personalen får tillräcklig utbildning i hur man upptäcker spelmissbruk. Den tidigare utredningen listar även ett stort antal personlighetskategorier som kan antas vara i "riskzonen", och här blir politikernas förfrågningar om undantag från personuppgiftslagstiftningen direkt oroande:

Det kan inte anses rimligt att spelleverantörer ska kartlägga människors sociala bakgrund, utbildning, vänskapskretsar och beteenden över de senaste åren i syfte att förebygga spelmissbruk. Tekniskt är det förvisso möjligt att via internets många annonsnätverk extrahera väldigt exakt information om människors bakgrund, deras "profiler", men dataskyddslagstiftningen syftar precis till att undvika att människor kartläggs i syfte att manipulativt styra deras beteenden.

Dataskydd.net har som målsättning att arbeta med andra organisationer i Sverige för att säkerställa att utredningen inte tolkar sitt uppdrag så att de grundläggande rättigheterna till dataskydd och privatliv ställs åt sidan. Väl definierade "spelansvarsåtgärder" är fullt tillräckligt för att speltjänstföretag ska kunna vidta åtgärderna med dataskyddsprinciperna i beaktande. Det enda som krävs är att det finns en rimlig möjlighet att förstå vilka "åtgärderna" är.

Vad gäller profilering av spelkunder, är det frågan om marknadsföringsverktyg verkligen är det som spelindustrin bör förpliktigas att använda om det är så att spelansvarsåtgärderna syfter till att människor inte ska spela för mycket.

Läs mer:

Direktiv 2015:95 till utredning Fi 2015:11, Omreglering av spelmarknaden:

http://sou.gov.se/wp-content/uploads/2015/11/omreglering-av-spelmarknade...

SOU 2008:124, En framtida spelreglering:

www.regeringen.se/contentassets/5c15daa4fa8c45d0985b6846739a71df/en-fram...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Offerkoftan på: Svenskt näringsliv och dataskydd

Under rubriken "Ny dataskyddslag miljonsmäll för företagen" förklarar Svenskt näringsliv att "skyddet för konsumenten blir starkare och företagens ansvar i hanteringen av personuppgifter tydligare i EU:s nya dataskyddsförordning."

Klarnas chefsjurist säger sedan att lagen innebär stort tolkningsutrymme och oklara förpliktelser för företagen. Vilket är sant - för de företag som utvecklat affärsmodeller som förutsätter att man på olika sätt låter bli att respektera, eller bortser ifrån, individens rätt till dataskydd och privatliv.

Dataskydd.net har under 2015 föreläst vid tre olika utvecklarkonferenser om vårt inledande arbete för att ta reda på hur svenska kommuner arbetar med dataskydd på sina hemsidor. Där har vårt budskap till företag och utvecklare som är osäkra på förordningens 91 artiklar varit att man istället för att utnyttja kryphål ska förhålla sig till de principer som finns i förordningens artikel 6: dataminimering, rätt för individen att få insyn, kunskap och att samtycka, samt att individens rättigheter ställs i centrum för utvecklingsprocessen. De övriga 90 artiklarna behandlar sådant man behöver bry sig om ifall man av någon anledning vill avvika från principerna i artikel 6. Faktum är att inga dataskyddslagar blir besvärliga om man håller sig inom principerna för artikel 6: finessen med dataskyddsreglerna är precis att de gör det besvärligt att gå emot de värderingar vi som samhälle vill upprätthålla, och enkla ifall man istället anpassar sig efter de värderingar vi vill upprätthålla i samhället.

Här finns en möjlighet för branschorganisationer som Svenskt näringsliv att lyfta fram exempel på principiellt riktiga affärsmodeller, och vilka möjligheter man som företag har att utforma sin verksamhet på ett sådant sätt att dataskydd blir så enkelt som möjligt. Istället för att uppmuntra företag att hitta varje kryphål och utnyttja varje otydlighet i förordningens många artiklar bör man lyfta fram de värderingar och principer som ligger i grunden för lagstiftningen.

De nya höga sanktionerna för brott mot dataskyddsbestämmelserna finns där för att uppmuntra en utveckling där även företag är med och bygger det liberala, demokratiska samhälle som de mänskliga rättigheterna syftar till att grunda.

Läs mer:

Svenskt näringsliv, Klarna: "Ny dataskyddslag miljonsmäll för företagen" (25.01.2016):

http://www.svensktnaringsliv.se/fragor/digitalisering/klarna-ny-dataskyd...

Dataskydd.net:s tidigare presentationer om webbutvecklares roll i en digital miljö för mänskliga rättigheter:

https://dataskydd.net/wceu2015 (juni, 2015)

https://dataskydd.net/dcbaltics2015 (augusti, 2015)

https://dataskydd.net/fscons-2015 (november, 2015)

Dataskyddsförordningen, konsoliderad men ej språkgranskad version (17.12.2015):

http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Fortsatta politiska attacker mot användarcentrisk kryptering

"It's all going dark", är en amerikansk fras som beskriver polismyndigheternas uppgivenhet inför teknologins möjligheter att lägga kommunikationen i medborgarnas händer. Särskilt "end-to-end-kryptering", en form att säkra kommunikationen så att bara avsändaren och mottagaren kan läsa vad som skrivits, ses som farligt, eftersom polisen av konstitutionella skäl (både i Europa och i USA) inte kan begära att en misstänkt självmant lämnar över uppgifter till polisen som kan ligga den misstänkta till last.

Konflikten mellan staten och kryptering har pågått länge. För en översikt över tidsperioden 1950-1980 rekommenderas James Bamfords bok The Puzzle Palace. För de åtföljande trettio årens spänningar kan man läsa Anne-Marie Eklund-Löwinders bloggpost på IIS:s hemsida från i höstas.

Den senaste eskalationen är det brittiska lagförslaget för en "Snooper's charter" (se Dataskydd.NET 3.1) och ett lagförslag i de amerikanska delstaterna New York och Kalifornien, som båda verkar ha som syfte att göra det ekonomiskt omöjligt för tjänsteleverantörer att kommersiellt omsätta produkter som använder "end-to-end"-kryptering, det vill säga sådan kryptering som sätter användarens egen makt i centrum. I Nederländerna verkar i alla fall riksdagen för närvarande ha en annan uppfattning. I Frankrike och Sverige finns inga tecken på regelrätta förbud mot kommersiella aktörer som tillhandahåller end-to-end-kryptering, men däremot en oroväckande trend mot att polisen istället ska få hacka privatpersoner som använder sådan teknologi.

Efter rättegången mot Aftonbladet angående Aftonbladets skyldighet att till polisen överlämna en bild på en misstänkt gärningsman, utan pixellering, kan man också tänka sig att hot mot svenska krypteringstjänster kan uppstå i kommande utredningar om vilken sorts material som kan begäras utlämnad av polisen under utredningar. Denna misstanke kan om något förstärkas av de upprörda polisiära reaktionerna på SVT:s nyliga beslut att inte överlämna opixelerat bildmaterial till polisen.

Läs mer:

Ars Technica, Bill aims to thwart strong crypto, demands smartphone makers be able to decrypt (21.01.2016):

http://arstechnica.com/tech-policy/2016/01/yet-another-bill-seeks-to-wea...

IIS, Anne-Marie Eklund-Löwinder. EU sätter ner foten mot avlyssning – igen (09.10.2015):

https://www.iis.se/blogg/eu-satter-ner-foten-mot-avlyssning-igen/

Dataskydd.net, Brittiskt lagförslag om övervakning får kritik från FN (16.01.2016):

https://dataskydd.net/nyheter/2016/01/16/brittiskt-lagforslag-om-overvak...

Dataskydd.net, Nej till krypto-bakdörrar i Frankrike, stöd till kryptering i Nederländerna (17.01.2016):

https://dataskydd.net/nyheter/2016/01/17/nej-till-krypto-bakdorrar-i-fra...

Lagen.nu, NJA 2015 s. 631, Frågor rörande husrannsakan på en tidningsredaktion i syfte att genom beslag av en elektronisk informationsbärare få tillgång till digitala fotografier (18.08.2015):

https://lagen.nu/dom/nja/2015s631

SVT, Därför pixlar vi (21.01.2016):

http://www.svt.se/nyheter/regionalt/stockholm/darfor-pixlar-vi

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Recension: Anseenderisker och dataskydd

Den 28 januari lanserade Handelshögskolan i Stockholm en ny bok med färska forskningsresultat om risker och riskhantering i näringslivet och samhället. Boken är utgiven vid Stockholm School of Economics Institute for Research under ledning av professor Richard Wahlund och innehåller 12 texter om olika aspekter av riskhantering för företag och beslutsfattare, inklusive en om anseenderisker och dataskydd. Dataskydd.net har tagit del av denna sist nämnda text.

Richard Wahlund har tillsammans med tre andra medarbetare på Handelshögskolan kartlagt vad som kan skada företags anseende. Fler än 10000 personer har tillfrågats hur de bedömer företagsageranden på 13 olika områden, inklusive miljöarbete, barnarbete, dataskydd, med mera. Det visade sig att dataskydd och barnarbete var de områden som i störst utsträckning upprörde konsumenter, om företagen agerade fel.

Medan företagen kunde vidta kommunikationsåtgärder för att bli av med anseendeskadan som orsakats av barnarbete, visade det sig svårare för företag att avhjälpa dataskyddsproblem med kommunikationsåtgärder. Dåligt dataskydd gav ännu större utslag i gruppen "potentiella anställda". De flesta jobbsökanden vill helst inte arbeta på företag som inte tar dataskydd på allvar.

Utmärkande är  att aktieägare inte i lika hög utsträckning som konsumenter och arbetskraft blir upprörda över dåligt dataskydd.

Kapitelförfattarna ger ett antal rekommendationer för vad företag borde göra för att hantera risken för anseendeskador till följd av dåligt dataskydd: att lyfta dataskyddsfrågor till ledningsnivå, ha en policy för dataminimering (att inte samla in fler personuppgifter än vad som behövs), och att vara transparent och tillmötesgående gentemot konsumenter när man upptäckt fel (istället för att vänta på att media uppmärksammar problemen).

I olika utsträckning täcks forskarnas rekommendationer redan av EU:s nya dataskyddsförordning, samtidigt som Handelshögskolans resultat verkar indikera att företag bör tolka dataskyddsförordningens principer generöst. Dataskydd.net hoppas att denna och andra liknande studier kommer utgöra ett stöd även för Datainspektionen, när de så småningom ska utfärda riktlinjer och föreskrifter för den nya europeiska lagstiftningen.

Läs mer:

"Risker och riskhantering i näringsliv och samhälle". Wahlund, R. (Red.) 2016. Stockholm School of Economics Institute for Research, Stockholm. (s. 95--)

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

9. Kommande

Event:

4 februari, 19:00: Studentafton i Lund gästas av Edward Snowden.

http://www.studentafton.se/2016/01/studentafton-gastas-av-edward-snowden...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!

Vi använder varken kakor eller analysverktyg och vår webbserver loggar inte ditt besök.

Problem med sajten? Frågor? Kontakta oss! Vi finns också på Mastodon/Fediverse. Nyheterna finns som RSS-flöde.

All text, förutom citat, är tillgänglig under CC0 (ingen upphovsrätt).