2016-02-28

Dataskydd.NET 3.4

Dataskydd.NET

Vol. 3, nr. 4, 29 februari 2016

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Snart blir det incidentrapportering!
2. Ny nederländsk studie om den transparenta medborgaren
3. Det börjar inte så bra för Privacy Shield-avtalet om dataöverföringar
4. Apple och FBI i kryptokrigen 2.0: det hettar till!
5. Identitetsstöld - brott eller bara dåligt dataskydd?
6. Dataskydd.net skriver till riksdagen angående ny straffbestämmelse om olovlig identitetsanvändning
7. Dataskydd.net lämnar remissyttrande på Ds 2016:2 om förändringar i offentlighets- och sekretesslagen
8. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Snart blir det incidentrapportering!

Vintermånaderna 2015-2016 var händelserika för cybersäkerheten. Den här texten behandlar det incidentrapporteringskrav som gäller alla statliga myndigheter från och med april 2016.

Incidentrapporter berättar om saker som inte har gått till som det är tänkt i cybervärlden: att någon kommit åt uppgifter som den inte borde ha kommit åt, att det har skett en olycka, slarv, en hackattack eller något annat som gör att situationen frångår ”det normala”. Jag vill sätta förslaget i en europeisk och i en individuell kontext. Ämnet kan verkar tekniskt torrt, men rör hur staten ska förhålla sig till sig själv, företag och individer.

Incidentrapportering finns med i EU:s direktiv om nätverks- och informationssäkerhet (NIS-direktivet), i EU:s dataskyddsförordning (GDPR), och i EU:s direktiv om skydd av personuppgifter i elektroniska kommunikationsnät (ePrivacy-direktivet). I det först nämnda direktivet är syftet med rapporterna att en ska få statistik över tillfällen då sakernas tillstånd frångått det förväntade (”fler IT-incidenter orsakas av snö än av hackare”). I de sistnämnda direktiven ligger emfasen mer på konsumenters behov av att kunna lita på tjänsteleverantörer.

Rapporterna ska stärka individens möjligheter att skydda sig själv, byta leverantör och åtgärda problem. Liknande lagar finns i flera amerikanska delstater, till exempel Kaliforniens Security Breach Notification Act of 2002, som också var USA:s första.

PTS är idag ansvariga för incidentrapportering under ePrivacy. Ett utfall kan skönjas i PTS granskning av säkerhetsbrister i kundplacerad utrustning från december 2015. Flera operatörer har vidtagit åtgärder för att routrar och modem inte ska ha sådana säkerhetsbrister som Dagens nyheter beskrev 2014. I PTS-besluten står information till privatpersoner centralt.

Vad gäller GDPR återstår att tolka orden ”hög risk” i artikeln som beskriver privatpersoners rätt att få reda på när någonting gått fel. Privatpersoner ska själva informeras bara i fall av ”hög risk”, och det är Datainspektionen som kommer kunna besluta vilken grad av konsumentinflytande och medborgarinsyn orden medför. I min mening bör ”hög risk” få en bred tolkning, för att stärka individens möjlighet att själv agera i en så stor mängd situationer som möjligt.

Transparens och konsumentinformation låter både naturligt och bra, men motståndet är hårt. Kommer en undan med det är det lättare att vara tyst. Slarv och bristande initiativ till att åtgärda problem kan ge förödande förtroendetapp. Att den franske militärstrategen Kerckhoffs redan i slutet av 1800-talet etablerade att insyn är en bättre måttstock för kvalitet i säkerhetssystem än fördunkling har inte hindrat att fördunkling, eller rent av förnekelse, blivit ledande säkerhetsprinciper i både näringsliv och offentlig sektor.

Vi kan använda Sverige som exempel: här har incidentrapportering utretts av Myndigheten för samhällsskydd och beredskap (MSB) sedan 2010. I MSB:s första rapport från 2011 står att myndigheten själv bör samla in rapporterna på grund av ”det utvidgade mandat som [vi] fått genom ändring i [vår] instruktion”. Kunskap om incidenter kan antas vara viktigt, men det finns inget som säger att MSB bäst förvaltar kunskapen.

Det andra argumentet MSB anför för sin egen huvudroll är att CERT-SE flyttades från Post- och telestyrelsen (PTS) till MSB år 2009. Redan 2006 hade PTS emellertid den ambitiösare målsättningen att få sårbarheter (dvs kända fel) rapporterade. En fördel med PTS förslag var att fel hade kunnat åtgärdas innan de blev incidenter. Idag är PTS, som vi såg ovan, begränsade till att syna incidenter som redan ägt rum.

I nästa utredning från 2012 klargör MSB att rapporterna ”inte [ska] ersätta anmälningar om brottslig verksamhet till Polisen.” De har satt upp en ”arbetsgrupp bestående av /…/ MSB, Säkerhetspolisen och Rikskriminalpolisen” för att förfina sina förslag. Dessa rader speglar polisens och säkerhetspolisens historiskt obekväma förhållande till IT, och går igen i nationella IT-brottsgruppens kommentarer på NIS-direktivet (se ovan): de är bekymrade för att de ska lämnas utanför.

Redan 2001 skrev IT-kommissionen en manual för incidenthantering. Där står, på sidan 32 i versaler och ett typsnitt som liknar Comic Sans, att ”[a]lla åtgärder i samband med en IT-incident ska utgå ifrån att incidenten ska polisanmälas”. Den vänliga gula rutan kan tolkas i kontrast till manualens goda råd (t ex de tio budorden på sidan 15) som snarare handlar om hur en kan stärka sin framtida säkerhet baserat på tidigare erfarenheter.

Manualens brist. förutom att den aldrig implementerats eller följts upp, är att privatpersoner som finns i systemen helt utelämnas från dess incidenthantering. Vad gör en om en som konsument eller privatperson inte själv äger systemet utan bara påverkas av dess brister? IT-historien är full av massor som reduceras till datapunkter i system som antas angå någon annan.

Det obehag som polisen och Justitiedepartementet har inför cybervärlden har idag fått utmanare i form av MSB och Försvarsdepartementet. Privatpersoners egna möjlighet att tillse sina rättigheter försvinner i bråket mellan myndigheter om vem som ska få domdera systemägare. Tanken att samhället istället borde betrakta privatpersonen som närvarande konsument och deltagande medborgare förefaller långt borta.

Vi har idag flera utmärkta möjligheter att stärka privatpersoners rättigheter. Genomförandet av dataskyddsförordningen är det starkast uttalade. För det krävs dock att vi alla skaffar tillräcklig kännedom om sandlådestriderna mellan de olika delarna av våldsmonopolet för att kunna avfärda dem.

Läs mer:

Myndigheten för samhällsskydd och beredskap, Obligatorisk it-incidentrapportering införs 1 april för statliga myndigheter (17.12.2015):

https://www.msb.se/sv/Om-MSB/Nyheter-och-press/Nyheter/Nytt-informations...

Ny Teknik, Snart måste it-incidenter rapporteras (18.02.2016):

http://www.nyteknik.se/tekniknyheter/article3961913.ece

EU:s nätverks- och informationssäkerhetsdirektiv, konsoliderad text (december 2015):

http://www.consilium.europa.eu/en/workarea/downloadAsset.aspx?id=
40802207457

EU:s dataskyddsförordning, konsoliderad text (17.12.2015):

http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/...

EU-kommissionens förordning (EU) nr 611/2013 av den 24 juni 2013 om åtgärder tillämpliga på anmälan av personuppgiftsbrott enligt Europaparlamentets och rådets direktiv 2002/58/EG vad gäller personlig integritet och elektronisk kommunikation (24.06.2013):

http://eur-lex.europa.eu/legal-content/EN/TXT/?qid=1456015407642&uri=CEL...

ENISA, First annual report of cyber incidents in the EU: 51 severe outages reported over 2011 (11.10.2012):

https://www.enisa.europa.eu/media/press-releases/first-annual-report-of-...

State of California Department of Justice, Office of the Attorney General. Data Security Breach Reporting:

https://oag.ca.gov/ecrime/databreach/reporting

Post- och telestyrelsen, Granskning av säkerhetsbrister i kundplacerad utrustning avslutad (16.12.2016):

http://www.pts.se/sv/Nyheter/Internet/2015/Granskning-av-sakerhetsbriste...

Dagens nyheter, Säkerhetsbrist åtgärdades inte – trots expertens larm (31.10.2014):

http://www.dn.se/nyheter/sverige/sakerhetsbrist-atgardades-inte-trots-ex...

Myndigheten för samhällsskydd och beredskap, System för obligatorisk IT-incidentrapportering för statliga myndigheter (2011):

https://www.msb.se/Upload/Nyheter_press/System_for_obligatorisk_IT-incid...

Myndigheten för samhällsskydd och beredskap, Uppdragsredovisning IT-incidentrapportering (2012):

https://www.msb.se/Upload/Forebyggande/Informationssakerhet/MSB_uppdrags...

IT-kommissionen 39/2001. Hantering av IT-incidenter - vem gör vad och hur? (2001):

http://www.itkommissionen.se/doc/94.html

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Ny nederländsk studie om den transparenta medborgaren

Den nederländska organisationen Bits of Freedom har tillsammans med förläggaren De Correspondent undersökt hur så kallade "data brokers" samlar in personuppgifter om nederländska konsumenter på internet och använder dessa för att kategorisera konsumenterna i olika grupper för att tillhandahålla reklam eller annan information ("profilering").

Slutsatserna från studien är dels att antalet data brokers är väldigt stort. 180 företag är verksamma inom denna bransch i Nederländerna. De saknar också en juridisk bas för sin behandling av personuppgifter, struntar i att tillämpa ändamålsbegränsningar och lämnar inga möjligheter för privatpersoner att själva välja om de vill delta i datainsamlingen och den efterföljande behandlingen.

Förutom att man kartlagt ett antal juridiska problem, drog man också slutsatsen att relativt små förändringar i algoritmerna som styr hur privatpersoner kategoriseras kan ha stora konsekvenser för vad kategoriseringen innebär. Det kan påverka privatpersoners kreditvärdighet, deras relationer med nya företag och på vilket sätt de får möjlighet att utveckla sin personlighet. Bits of Freedom efterfrågar större transparens i hur data behandlas.

Dataskydd.net är för närvarande inte medvetna om några liknande svenska undersökningar. Det är inte heller första gången Bits of Freedom gör ny forskning kring olika rättighetsteman på internet. För ett antal år sedan producerade de ny forskning om så kallade "notice-and-action"-system, där det visade sig att internetföretag ofta reagerar på nedtagningsförfrågningar utan att kontrollera att förfrågan hade en berättigad avsändare.

Läs mer:

Transparent consumers – a report by Bits of Freedom (24.02.2016):
https://edri.org/transparent-consumers-a-report-by-bits-of-freedom/

Floris Kreiken: Transparent consumers – Data brokers and profiling in the Netherlands (24.02.2016):
https://www.edri.org/files/transparent-consumers-bits-of-freedom.pdf

The slide from self-regulation to corporate censorship, s. 19-20 (25.09.2010):

https://edri.org/papers/the-slide-from-self-regulation-to-corporate-cens...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Det börjar inte så bra för Privacy Shield-avtalet om dataöverföringar

I februari månads början slog EU-kommissionen på stort med att de slutit ett nytt avtal om dataöverföringar med USA. Avtalet visade sig vara en preliminär överenskommelse utan slutgiltig text och beståendes av en samling förtroendeingivande brev från högt uppsatta tjänstemän i USA till högt uppsatta tjänstemän i EU-kommissionen. Dataskydd.net har skrivit om frågan tidigare under året.

Nu har USA tillkännagivit sitt erbjudande till EU. Massövervakning ska begränsas till sex, enligt USA, kritiska områden. Här finns en konflikt med EU-domstolens domslut, eftersom EU-domstolen menat att massövervakning inte är tillåtet.

Den teknikorienterade online-tidskriften Techdirt har också skrivit om att USA planerar att utöka verkningsområdet för den amerikanska Executive Order 12333 - ett dokument som utfärdas som en del av presidentens utövande av makt bortanför kongressens och senatens granskningsområde. I den nya formuleringen av EO 12333 kommer data från NSA att kunna delas med en ganska lång rad andra amerikanska federala myndigheter på ett sätt som nästan säkerligen strider mot den förväntan på rättssäkerhet som europeiska medborgare enligt EU-domstolen bör ha.

Samtidigt har den amerikanska lagstiftningen Judicial Redress Act fått ett tillägg under behandlingen i senaten som innebär att europeiska medborgare inte ska tillerkännas några rättigheter i den händelse att EU inte godkänner det av USA och EU förhandlade avtalet.

I övriga nyheter verkar svenska regeringen vilja utöka sina dataöverföringar till USA bortanför det europeiska samarbetet. Det är inte uppenbart att den juridiska makten för Sverige att sluta egna avtal med USA om dataöverföringar fortfarande består, efter det att EU:s medlemsländer kommit fram till att dataskydd vid överföringar av personuppgifter i brottsbekämpande syften ska tillägnas ett eget direktiv på europeisk nivå, och EU-kommissionen blivit bemäktigad att förhandla ett Europatäckande avtal med USA å medlemsländernas vägnar.

Läs mer:

Reuters, United States sets out limits on its spying as part of new data pact with EU (27.02.2016):

http://www.reuters.com/article/us-eu-dataprotection-usa-idUSKCN0W00G5

Lagrådsremiss, Informationsutbyte med USA (28.01.2016):

http://www.regeringen.se/pressmeddelanden/2016/01/informationsutbyte-med...

Techdirt, Rather Than Ending NSA's Key Surveillance Tool, White House To Now Let Other Agencies Use It (26.02.2016):

https://www.techdirt.com/articles/20160225/22583933716/rather-than-endin...

Dataskydd.net, Privacy Shield: Inget nytt dataöverföringsavtal (än) (14.02.2016):

https://dataskydd.net/nyheter/2016/02/14/privacy-shield-inget-nytt-datao...

Dataskydd.net, Europeiska dataskyddstillsynsmannen sågar Paraplyavtalet för dataöverföringar i brottsbekämande verksamhet (18.02.2016):

https://dataskydd.net/nyheter/2016/02/18/europeiska-dataskyddstillsynsma...

Jämförelse mellan texterna i Privacy Shield-avtalet och EU-domstolens dom, via Max Schrems (27.02.2016):

https://dataskydd.net/media/169

Max Schrems tweet (tillgänglig i två månader från och med 27 februari 2016):

https://twitter.com/maxschrems/status/703598604175413248

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Apple och FBI i kryptokrigen 2.0: det hettar till!

Dataskydd.net har tidigare skrivit om konflikten mellan kryptering och staten vid ett flertal tillfällen. I USA har konflikten nått en ny nivå efter att Apples VD Tim Cook publicerat ett öppet brev till Apples konsumenter om konsekvenserna av att låta FBI kringgå krypteringsskydd i smarta telefoner i vissa fall. Apple menar att det inte går att begränsa FBI:s till en enskild telefon vid ett enskilt tillfälle, utan att den tekniska funktionaliteten i telefonen måste anses vara den funktionalitet som gäller för alla telefoner alltid. FBI menar att Apple har en juridisk förpliktelse att följa förelägganden från domstolar om att bevilja myndigheten tillgång.

Även i Sverige har Apples konflikt med FBI fått återverkningar. Dagens nyheter skriver på sin ledarsida att Apple givetvis borde göra som staten säger, och att det i sig är ett legitimt mål att försöka utreda allvarliga brott.

Dataskydd.net menar precis som i diskussionen om polistrojaner att frågeställningen är något bredare än att bara gälla de mänskliga rättigheterna. Det handlar också vilken sorts näringspolitiskt utrymme vi vill skapa för säkra lösningar som ger konsumenter egen makt över sina digitala liv. Istället för att begränsa frågan till en fråga om rättssäkerhet, där det naturligtvis är uppenbart att vi med olika administrativa åtgärder kan kontrollera brottsbekämpande myndigheter i alla fall i stater som har en relativt lång och stabil demokratisk tradition, bör vi också beakta vilken sorts konsumenträttigheter och långsiktig marknadsutveckling vi vill ha.

Det är svårt att skapa tekniska lösningar som är osäkrade gentemot vissa aktörer men säkrade gentemot andra aktörer. Antingen har man konstruerat tekniken så att användaren har egen kontroll, eller så har man inte det. Det är också den poäng Tim Cook lyfter i sitt brev till Apples konsumenter.

Det råder inget tvivel om att FBI med hjälp av domstolar kan hävda sig gentemot Apple. En större strategisk avvägning, som man kunde hoppas skulle genomföras på den politiska nivån snarare än i domstolar, är huruvida kuvandet av Apple leder till bästa möjliga teknologiska framtid för alla.

I polisens verktygslåda för utredningar ingår många verktyg som inte innebär en försämring av säkerheten i elektronik för slutkonsumenter. Det kunde vara politiskt påpassligt att efterfråga en vidareutveckling av dessa verktyg, snarare än att sätta stopp för en teknisk utveckling som för en gångs skull bejakar alla individers intresse av autonomi, säkerhet och dataskydd.

Läs mer:

Apple, A Message To Our Customers (16.02.2016):

https://www.apple.com/customer-letter/

Dagens nyheter, Apple beordras hacka telefon åt FBI (17.02.2016):

http://www.dn.se/ekonomi/teknik/apple-beordras-hacka-telefon-at-fbi/

Dagens nyheter, Erik Helmerson: Rätt att kolla terroristens Iphone (25.02.2016):

http://www.dn.se/ledare/signerat/erik-helmerson-ratt-att-kolla-terrorist...

Göteborgs-Posten: Statliga trojaner hindrar ett säkrare internet (18.12.2015):

https://www.gp.se/nyheter/debatt/1.2931257-statliga-trojaner-hindrar-ett...

Dagens Juridik: Att avlyssna Skype - statligt finansierade dataintrång handlar även om ren konsumenträtt (01.12.2015):

http://www.dagensjuridik.se/2015/12/debatt-amelia-andersdotter-dataavl%C...

Dagens Samhälle: Förslag om dataintrång och signalspaning duger inte (26.11.2015):

http://www.dagenssamhalle.se/debatt/foerslag-om-dataintrang-och-signalsp...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Identitetsstöld - brott eller bara dåligt dataskydd?

Efter flera års utredningar ska Justitiedepartementet föreslå att kriminalisera identitetsstöld, skriver Dagens juridik. Hittills har identitetsstöldsbrotten täckts av bedrägeri, dataintrång, urkundsförfalskning och liknande lagar. Dataskydd.net kan observera att nykriminalisering är populärare än förebyggande åtgärder i digitala miljöer, vilket både skadar individens intressen och riskerar att leda till långsammare och ineffektivare förbättringar av datasäkerheten.

I likhet med åklagaren i ett rättsfall som rörde en felaktigt utfärdad e-legitimation, anser Dataskydd.net att man bör begränsa mängden information om privatpersoner som är tillgänglig att köpa från svenska myndigheter. Sättet myndigheterna finansierar sin registerverksamhet idag skadar enskildas intressen på en rad områden, från att individen utsätts för telefonförsäljning mot sin vilja till att individens bevis för vem den är kan komma på villovägar. Vad gäller individers kontakter med företag, särskilt finansiella verksamheter som banker och långivare, är det idag så att individen bär risken för att den har identifierats korrekt. Man måste kunna bevisa att man inte efterfrågat ett lån för att inte behöva betala tillbaka, istället för att banken ska bevisa att man har efterfrågat lånet för att få kräva en på pengar.

Det finns en risk att regeringen förlitar sig för mycket på straffrätt för att komma till bukt med de problem som privatpersoner drabbas av i digitala miljöer. Förvaltare av stora identitetshanteringssystem, som banker och myndigheter, har idag få förpliktelser mot enskilda. När det gäller dataskydd och identifiering ligger risken för att dessa sker på bästa möjliga sätt ofta på den enskilde själv, trots att en enskild har mycket få möjligheter att säkerställa sig om eller visa att en bank eller en myndighet sköter sina system på bästa möjliga sätt.

I SOU 2013:85, Stärkt straffrättsligt skydd för egendom, föreslås kriminalisering av identitetsstöld, med den tillhörande problemformulering att det är enkelt att med mycket lite information om en enskild vidta finansiella åtgärder i dess namn (t ex ta lån). Utredningen har inte utrett huruvida problemet kan vara att banker och andra finansiella institutioner inte bär ett risken för att en person är korrekt identifierad (det vill säga - det är den enskilde som måste bevisa att banken identifierat denne fel, istället för att banken ska bevisa att den identifierat en enskild rätt). Dataskydd.net menar att man av respekt för individens rätt till dataskydd bör ålägga de aktörer som vidtar åtgärder mot individer baserat på individens identitet, och som i likhet med en bank är i uppenbart bättre ställning än individen att verifiera identiteten, bör åläggas en skyldighet att göra detta.

I SOU 2015:77 om fakturabedrägerier konstateras att bluffakturor redan i stor utsträckning går att åtgärda, men att företagare och enskilda ofta inte är medvetna om enkelheten i att bestrida fakturor. Därför föreslås informationsåtgärder istället för nykriminalisering. I SOU 2015:39 om en ny myndighetsdatalag föreslås att myndigheter ska begränsa användningen av personnummer och samordningsnummer vid upprättande av myndighetsbeslut, så att besluten fortsatt kan täckas av offentlighetsprincipen utan att det utgör en risk för identitetskapningar för individen.

Identitetskapningar kan vara ett av de områden där det är allra tydligast att brottsförebyggande åtgärder i form av ändrad lagstiftning kring myndigheters hantering av personuppgifter och överläggande av bevisbördan för individers korrekta identitet på de finansiella institutionerna vore bättre än nykriminalisering.

Läs mer:

Lagrådsremiss, Straffrättsligt skydd mot olovlig identitetsanvändning (11.02.2016):

http://www.regeringen.se/rattsdokument/lagradsremiss/2016/02/straffratts...

Dagens industri, Den stora blåsningen (24.05.2015):

http://digital.di.se/artikel/den-stora-blasningen-4

SOU 2013:85, Stärkt straffrättsligt skydd för egendom:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

SOU 2015:77, Fakturabedrägerier:

http://www.regeringen.se/remisser/2015/10/remiss-sou-201577-fakturabedra...

SOU 2015:39, Myndighetsdatalag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Dataskydd.net skriver till riksdagen angående ny straffbestämmelse om olovlig identitetsanvändning

Regeringen avser att bekämpa identitetskapning – genom kriminalisering. Den här intressanta om än inte nytänkande strategin annonserades den 11 februari, det nya brottet ska heta ”olovlig identitetsanvändning”. Man menar att kriminaliseringen leder till att den drabbade får bättre möjlighet att ta tillvara på sin rätt.

Dataskydd.net menar att det finns bättre vägar att gå. Ett av de främsta skäl som anges för behovet av den föreslagna lagstiftningen är olovliga SMS-lån. Man beskriver hur den här typen av brott sannolikt har ökat avsevärt och hur den som utsätts för id-kapning som regel tvingas lägga mycket tid på att motverka negativa effekter av bedrägeriet.

Problembeskrivningen är förmodligen riktig men tyvärr tyder inte mycket på att den nya kriminaliseringen kommer åstadkomma vad tidigare straffrättsliga bestämmelser, så som bedrägeri, urkundsförfalskning eller dataintrång, har misslyckats med.

Förslagsvis borde man rikta in sig på vad det är som gör identitetskapning attraktivt, nämligen svag konsumenträtt – istället för att tvinga bedrägerioffer att bevisa sin oskuld borde rimligtvis bevisbördan ligga på tillhandahållaren av tjänster. Det är inte bara rimligt av etiska skäl, den främsta fördelen är att om exempelvis banker är de som huvudsakligen drabbas när banker utvecklar och tillhandahåller osäkra tekniska system för sina kunder, så kommer de sannolikt anstränga sig mer än man gör idag för att de system man erbjuder är säkra.

Dataskydd.net förespråkar skärpt konsumenträtt som brottsförebyggande åtgärd istället för överflödig nykriminalisering av tveksamt värde.

Läs mer:

Lagrådsremiss, straffrättsligt skydd mot olovlig identitetsanvändning (11.02.2016):

http://www.regeringen.se/rattsdokument/lagradsremiss/2016/02/straffratts...

SOU 2013:85, Ett stärkt straffrättsligt skydd för egendom:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Dataskydd.net, skrivelse till riksdagen (26.02.2016):

https://dataskydd.net/sites/default/files/olovlig_identitetsanvandning_d...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Dataskydd.net lämnar remissyttrande på Ds 2016:2 om förändringar i offentlighets- och sekretesslagen

När det gäller offentligt hanterande av personuppgifter förespråkar Dataskydd.net en så kallad dataminimeringsprincip, det innebär kortfattat att man ej ska samla in eller hantera mer personuppgifter än vad som är absolut nödvändigt, detta i enlighet med rådande lagstiftning, dataskyddsförordningen.

Avseende sekretesslagstiftningen innebär det att lämpligheten i offentliggörande av personuppgifter blir beroende av intentionen, om offentliggörande av personuppgifter underlättar granskning av maktutövande så är offentliggörandet lämpligt och vice versa.

Lagförslagen är emellertid utformade först och främst efter myndigheters specifika önskemål, principen om transparent myndighetsutövande har i bästa fall varit sekundär inspiration.

Bland förslagen återfinns en ny paragraf (18 kap 17§ OSL) vilken innebär att uppgifter som lämnats av utländskt organ i brottsbekämpande syfte får sekretessbeläggas om detta antas vara en förutsättning för att uppgiften lämnats.

Dataskydd.net är inte övertygade om att nyttan med sådan lagstiftning överväger riskerna. Mängden information som delas i internationella polisiära samarbeten har ökat trefaldigt på tio år men något tydligt tecken på att det har lett till mer framgångsrik brottsbekämpning saknas. Lagstiftningen riskerar att vara ett sätt att kringgå de dataskyddsbestämmelser som är inskrivna i internationella och europeiska konventioner om mänskliga rättigheter vars mål är att förhindra att myndigheter och företag samlar på sig eller delar personuppgifter när det inte är nödvändigt.

Läs mer:

Ds 2016:2, Några frågor om offentlighet och sekretess (05.02.2016):

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

Dataskydd.net:s remissyttrande över Ds 2016:2 (22.02.2016):

https://dataskydd.net/sites/default/files/ds201602_remissyttrande_datask...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Kommande

Event:

Dataskydd.net är med på WordCamp Nürnberg, 16-17 april:

https://2016.norway.wordcamp.org/

Nightly Build, Köln. 1 september:

https://www.nightlybuild.io/