Dataskydd.NET

Vol. 4, nr. 1, 13 mars 2017

https://dataskydd.net - info@dataskydd.net

Information
om EU:s dataskyddspaket och skydd av den personliga integriteten, både
juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-41

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Nationellt centrum för terrorhotbedömning drivs inte av rationella val
2. Utredningen om tillsyn av dataskydd i Sverige: utmaningar och brister
3. Best practise-dataskyddsbeskrivning i Enköping: en svensk guldstandard
4. Oklart vilket problem regeringen vill lösa med nytt sensorsystem
5. Nytt EU-förslag om dataskydd på Internet - det goda och det dåliga
6. Digitaliseringsmyndighet? Om problem för mottagare av svensk IT-förvaltning
7. Dataskydd.net förlorade mot MSB i kammarrätten
8. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Nationellt centrum för terrorhotbedömning drivs inte av rationella val

Justitiedepartementets promemoria Ds 2016:31 om behandling av personuppgifter inom Nationellt centrum för terrorhotbedömning (NCT) handlar om både den behandling av personuppgifter som krävs inom Säkerhetspolisens, Musts och FRA:s personaladministration, och sådan behandling av personuppgifter som sker inom ramen för NCT:s verksamhet.

NCT är missnöjda med att de måste redovisa sina slagningar i register, och att de tre myndigheterna - som blandar civila och militära kompetenser - inte kan samköra databaser i högre utsträckning än idag. Promemorian föreslår att myndigheterna ska ges direktåtkomst till varandras databaser.

Dataskydd.net lämnade remissvar på promemorian med följande huvudsakliga poänger:

- Det är uppenbart att den som är utsatt för kontrollåtgärder, till exempel att den måste redovisa vad den har gjort och varför, tycker att kontrollåtgärderna är tråkiga. Kontroll är något vi genomför, i det här fallet, för medborgarnas skull, inte för myndigheternas skull.
- Om man bygger en teknisk infrastruktur åt myndigheterna som är lätt att missbruka och där det är svårt för utomstående att upptäcka missbruk, är det sannolikt att det kommer ske missbruk. Man behöver inte tolka rational choice-läran (samhällsvetenskaplig förklaringsmodell för individers rationella val) dogmatiskt, men det är oklokt att helt bortse ifrån rational choice.
- Promemorian åberopar en skrivelse från regeringen som faktaunderlag, istället för till exempel någon rapport, en utredning eller forskning. "Politikbaserad evidensframställning" är en olycklig arbetsmetod för Justitiedepartementet att anamma.

Läs mer:

Dataskydd.nets remissyttrande över Ds 2016:31:

https://dataskydd.net/sites/default/files/ds201631_remissyttrande_datask...

Remiss av Ds 2016:31:

http://www.regeringen.se/remisser/2016/09/remiss-ds-201631/

Wikipedia, Rational choice (på svenska):

https://sv.wikipedia.org/wiki/Rational_choice

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Utredningen om tillsyn av dataskydd i Sverige: utmaningar och brister

Utredningen om tillsyn av den personliga integriteten (SOU 2016:65) har uppenbarligen haft stora utmaningar med sitt uppdrag. Det pågår tiotalet andra utredningar samtidigt, varav en är en riksdagskommitté, varför det inte kunde vara känt för utredningen vilken lagstiftning det var som skulle tillses. Utredaren Anna Skarhed har lyckligtvis insett detta, och utredningen är därför förhållandevis kort - bara dryga 200 sidor - och beskriver ofta att dess uppdrag inte nödvändigtvis varit enkelt att utföra eller förstå vad det borde innebära. Anna Skarhed har också offentligt kritiserat den hattiga utredningsmetodologin regeringen har för dataskyddsfrågor i november 2016.

Dataskydd.net delar frustrationen kring de många parallella utredningarna och den dåliga styrningen av både digitalisering och dataskydd i Sverige. Men vi tror också att utredningen hade kunnat göra ett mer visionärt arbete kring tillsynsverksamheten i Sverige och hur den på bästa sätt kan tillgodose medborgares och företags intressen.

Dataskydd.net:s huvudsakliga kritik mot utredningen var följande:

- Det är inte intressant att få veta att andra länder har dataskyddsmyndigheter och andra myndigheter. Det hade varit intressantare att få veta hur dataskyddsmyndigheterna i dessa andra länder arbetar. Dataskydd.net har dock tipsat om befintliga studier och framtida studier som vore bra om de genomfördes.
- Det hade varit bra om de faktiska effekterna av tillsyn utförd av Datainspektionen hade kartlagts, istället för att bara möjligheterna för Datainspektionen att genomföra tillsyn. Likaledes hade det varit bra att ta reda på om de åtgärder Datainspektionen genomför idag upplevs hjälpsamma av de aktörer som är beroende av Datainspektionen för hjälp och stöd, eller om de inte upplevs bra. Att Datainspektionen kan ta emot frågor innebär inte att de ger hjälpsamma svar på de frågorna.
- Utredningen hade sannolikt behöva klargöra för Datainspektionen vad Weltimmo-målet från EU-domstolen betyder för Datainspektionens verksamhet. Eftersom Datainspektionen ännu inte har anpassat sig efter att de, utöver regeringens och riksdagens jurisdiktion, även ligger under EU-domstolens jurisdiktion, lyckas de inte ta ställning till hur det påverkar deras verksamhet att EU-domstolen ser ut att säga att de har tillsynsansvar för de flesta större, amerikanska webbtjänster (t ex sociala medier) som används av många svenskar.
- Datainspektionen kommer inte att klara sig med bara jurister och IT-säkerhetsexperter, även om IT-säkerhetsexperterna blir fler. Både dessa yrkesgrupper tenderar att bli nej-sägare, eller klaga i efterhand. Datainspektionen behöver förvärva möjligheten att vara proaktiv, fatta egna beslut, utfärda föreskrifter och tekniska rekommendationer som är tillförlitliga och kan användas. Det kan krävas både allmän datavetenskaplig kompetens och ekonomisk kompetens.

Läs mer:

Dataskydd.net:s remissyttrande över SOU 2016:65:

https://dataskydd.net/sites/default/files/sou201665_remissyttrande_datas...

SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Best practise-dataskyddsbeskrivning i Enköping: en svensk guldstandard

När det gäller både dataskydd och datasäkerhet räcker det ofta inte med att det ska vara lätt att göra rätt. Man måste också förstå vilka målsättningar man har.

Dataskydd.net vill i den här texten lyfta fram en viktig målsättning för offentliga organisationer och företag som vill ha ett bra dataskyddsavtal: se till att de är begripliga och inte behöver så långa.

Om man redan från början vet att man vill att dataskyddsbeskrivningen för den egna webbplatsen, för den egna tjänsten eller plattformen eller det egna kund- eller medlemsregistret ska vara kortfattad och enkel att förstå, kan man utforma sina tekniska åtgärder efter vad man vill göra undantagsklausuler för i sin dataskyddsbeskrivning. Istället för att låta en jurist granska tekniska lösningar i efterhand, för att hitta de bästa sätten att avtala sig runt de mindre dataskyddande lösningarna, bör man redan från början fundera på hur friskrivningsklausuler i så hög utsträckning som möjligt kan undvikas.

Enköpings kommun har också vunnit blivit utsedda av IDG-tidningen Internet World till Sveriges bästa kommunwebbplats, dock inte för sitt dataskyddsarbete.

Lyckligtvis finns goda exempel:

Enköpings kommun har sedan 2015 medvetet arbetat för ett bättre dataskydd på sin publikriktade webbplats. De har valt tekniska lösningar, som krypterade anslutningar, fristående webbanalys och ställt krav på dataskyddande meta-taggar, som gjort att de kan formulera sin dataskyddsbeskrivning på ett kortfattat och lättbegripligt sätt. De har även valt att hantera tredjepartstjänster på ett sätt som gör att så få spårningskakor riskerar att hamna hos slutanvändaren som möjligt - och planerar att göra ännu mer.

Dataskydd.net hoppas att fler tar intryck av detta och inspireras att hitta de tekniska lösningar som gör dataskyddsavtalen så enkla som möjligt.

Läs mer:

Enköpings kommuns informationssida om personuppgiftshantering och cookies:

http://enkoping.se/om-webbplatsen/personuppgifter-och-kakor-cookies.html

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Föreslaget sensorsystem för MSB har inget lättbegripligt syfte

Regeringen skickade nyligen ut en promemoria på remiss med innebörden att Myndigheten för samhällsskydd och beredskap ska få ett eget sensorsystem för att kartlägga IT-hot mot svenska myndigheter.

Dataskydd.net har konsekvent sedan sitt grundande förespråkat en IT-säkerhetspolitik som utgår ifrån ett säkerhetsekonomiskt perspektiv. Det innebär att medborgare och konsumenter behöver bättre verktyg för ansvarsutkrävande vid IT-säkerhetsproblem. Sensorsystemet kommer, så vitt Dataskydd.net kan utläsa av promemorian, inte medföra bättre möjligheter till ansvarsutkrävande utan bli ännu en dyr, onödig åtgärd som inte kan få något annat resultat än att MSB:s kommunikatörsavdelning får nöjet att någon gång per år sammanställa infografik.

Preliminärt har Dataskydd.net även identifierat en bristfällig analys av konsekvenserna för dataskydd i förslaget, men vi kommer att återkomma med en grundligare genomgång innan april 2017.

Läs mer:

Justitiedepartementet, Tillhandahållande av tekniska sensorsystem – ett sätt att förbättra samhällets informationssäkerhet (27.02.2017):

http://www.regeringen.se/rattsdokument/departementsserien-och-promemorio...

Fil.dr. Tom Andersson i Ny Teknik, ”Hög tid att rensa i ’alternativa fakta’ om it-säkerhet” (10.03.2017):

http://www.nyteknik.se/stories/article6830546.ece

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Nytt EU-förslag om dataskydd på Internet - det goda och det dåliga

Den tionde januari presenterade EU-kommissionen sitt förslag till en ny förordning om skydd av personuppgifter i elektroniska kommunikationsnät.

Förslaget är kraftigt försvagat i jämförelse med ett läckt dokument som publicerades av tidskriften Politico i december 2016. Bland annat har EU-kommissionen övergivit förslaget om dataskydd som standard.

Dataskydd.net har lämnat synpunkter till regeringen på EU-kommissionens förslag, som i korthet innebär att

- Vi välkomnar fokuset på informationssäkerhet för konsumenter. Bland annat vill EU-kommissionen reducera spridningen av abonnentuppgifter mot privatpersoners vilja.

- Vi är kritiska mot att kommissionen vill att teleoperatörer och kommunikationstjänster, utan att be om lov från konsumenten eller ens informera denna, ska få behandla, lagra och analysera innehållet i kommunikation (t ex innehållet i ett e-postmeddelande, SMS, eller WhatsApp-meddelande). Konsumenter kan själva välja ifall de är så intresserade av säkerhet att vill ge upp konfidentialiteten i sin kommunikation.

- Vi ser ingen anledning att upprätthålla självregleringen av telefonförsäljningsindustrin genom NIX-Telefon-liknande arrangemang. Självreglering har fungerat dåligt i telefonförsäljningsindustrin och det är dags att konsumenter får en rätt att inte bli uppringda utan samtycke.

Läs mer:

Dataskydd.net, Kommentarer till Näringsdepartementet på EU-kommissionens förslag till ny eDataskyddsförordning

https://dataskydd.net/sites/default/files/edataskydd_dataskyddnet_201703...

EU-kommissionens informationssida om förslaget

https://ec.europa.eu/digital-single-market/en/proposal-eprivacy-regulation

Kristina Irion, The Weeping Angels are back, and they attack our privacy via smart TVs (09.03.2017):

https://policyreview.info/articles/news/weeping-angels-are-back-and-they...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Digitaliseringsmyndighet? Om problem för mottagare av svensk IT-förvaltning

Innan 2016 år gick ut lanserade Finansdepartementet idéen att Sverige behöver en digitaliseringsmyndighet. En sådan myndighet kan ansvara för digitaliseringsprojekt och se till att andra myndigheter digitaliseras snabbare än vad som är fallet idag. Utredningsuppdraget har gått till den redan befintliga utredningen om effektiv styrning av nationella digitala tjänster och ska presenteras i december 2017.

Det är inte första gången man försöker centralisera digitaliseringsansträngningar. Bortsett från historiska händelser (ADB-systemens 1970-tal) är till exempel eHälsomyndigheten ett uttryck för förhoppningen att en statlig myndighet ska kunna elda på lokala myndigheter och göra befolkningen mer glad.

Men problemen för en digital förvaltning i Sverige är väl kartlagda och det är inte uppenbart hur eller att de korresponderar mot anläggandet av en ny myndighet. Dataskydd.net har istället följande frågor som vi tror att regeringen i högre utsträckning borde begrunda innan de ger sig i kast med att skapa en digitaliseringsmyndighet

- Vad menas med "effektivisering"?
- Vad är medborgarnas roll i en effektiviserad, digitaliserad statsförvaltning?

Ur dataskyddssynpunkt är det ett stort problem att regeringen i princip alltid haft förhållningssättet att dataskydd inte ska påverka verksamheterna på myndigheter. Det gör att myndigheterna inte kan anpassa sina arbetsprocesser och datainsamlingsmetoder för att bättre ge medborgare insyn, makt och kontroll över datahanteringen.

På digitaliseringsområdet ser det, i både E-delegationens och Digitaliseringskommissionens skriverier, ofta ut som om att problemet är ett motsvarande: man köper nya fina IT-system, installerar dem, och hoppas att saker blir effektiva, men i själva verket lägger fler personer mer tid på att ägna sig åt lågkvalificerad datainmatning som är tråkig och inte på något uppenbart sätt bidrar till att förbättra verksamheten.

Att kasta över uppdraget att tänka på viktiga frågor om statlig verksamhet, statlig förvaltning och dessas relationer till medborgare till en ny (eller gammal) myndighet är lockande för politikerna. Då slipper de själva ta ansvar för att de inte har en plan för samhällskontraktet - och särskilt ett sådant samhällskontrakt som inkluderar ett starkt skydd för den grundläggande rätten till privatliv och dataskydd.

Men det är ingenting vi medborgare bör låta dem komma undan med utan följdfrågor.

Läs mer:

Tilläggsdirektiv 2016:97:

http://www.regeringen.se/rattsdokument/kommittedirektiv/2016/11/dir.-201...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Dataskydd.net förlorade mot MSB i kammarrätten

Den 31 januari 2017 förlorade Dataskydd.net mål 5858-16 mot Myndigheten för samhällsskydd och beredskap i Kammarrätten i Göteborg. Det var ett mål om tillämpligheten av sekretessbestämmelser på incidentrapporter som lämnats in till MSB sedan 1 april 2016, då MSB fick rätten att kräva rapporter om IT-säkerhetsproblem från alla statliga myndigheter.

Enligt Kammarrätten kan incidentrapporterna, trots att de inlämnande myndigheterna i de flesta fall tydligt angivit att informationen i incidentrapporterna inte behöver sekretessklassas, användas för att begå IT-attacker mot myndigheterna. Om man känner till nät-phiske, kan man själv nät-phiska, ser ut att vara kammarrättens resonemang.

Dataskydd.net har dock begärt ut incidentrapporter direkt från de myndigheter som är rapporteringsskyldiga. Runt 25 myndigheter delgivit sina incidentrapporter med Dataskydd.net. Ytterligare 54 myndigheter har åberopat samma sekretessbestämmelser som MSB, ofta med hänvisning till MSB:s pressrelease om att Dataskydd.net förlorade målet i kammarrätten. Fler än 100 myndigheter uppger att de inte drabbats av ett enda spam, bedrägeriförsök, malware, personuppgiftsläcka, hård- eller mjukvarufel eller konfigurationsfel under perioden april 2016-januari 2017.

Incidentrapporterna som Dataskydd.net fått ta del av är av tveksamt värde för allmänheten. Enkätformuläret ser i princip bara ut att vara användbart för produktionen av cirkel- och stapeldiagram, och skulle sannolikt inte uppfylla de krav som ställs på sådana incidentrapporter som enskilda ska få ta del av enligt Dataskyddsförordningens artikel 34.

Dataskydd.net har dock länge framhållit värdet av att incidentrapporter skickas direkt till privatpersoner, med information om vad IT-säkerhetsproblemet innebär för den enskilde, samt vad den enskilde kan göra för att skydda sig mot detta. Individcentrisk incidentrapportering finns i 47 amerikanska delstater och har införts under 2000-talet av konsumentskyddsskäl. Vi känner enklast igen det i vår vardag på hur större amerikanska webbtjänster hanterar IT-säkerhetsproblem: med informationssidor, tydliga instruktioner till sina användare om vilka åtgärder de bör vidta, och vad som orsakat problemet.

Målet är överklagat till Högsta förvaltningsdomstolen, dock inte av Dataskydd.net. Högsta förvaltningsdomstolen kommer nu att bestämma om de vill ge målet prövningstillstånd, och om domstolen inte lyckas övertyga sig om att transparens och ansvarsutkrävande kan förbättra IT-system, på samma sätt som transparens och ansvarsutkrävande förväntas förbättra myndigheternas verksamheter i övriga genom offentlighetsprincipen, är det ett svårt bakslag för privatpersoners och konsumenters rättigheter i den digitala eran.

Läs mer:

MSB, Kammarrätten i Göteborg avslår ytterligare två överklaganden angående utlämning av uppgifter om allvarliga it-incidenter (03.02.2017):

https://www.msb.se/sv/Om-MSB/Nyheter-och-press/Nyheter/Nyheter-fran-MSB/...

Allmän handling, mål nr 5858-16 (05.02.2017):

http://www.allmanhandling.se/2017/02/05/9338/

Steptoe & Johnson LLP, Comparison of US State and Federal Security Breach Notification Laws – Current through January 21, 2016.  (21.01.2016):

http://www.steptoe.com/assets/htmldocuments/SteptoeDataBreachNotificatio...

LinkedIn Official Blog, Protecting Our Members (19.05.2016):

https://blog.linkedin.com/2016/05/18/protecting-our-members

State of California, Search Data Security Breach Notification databas:

https://oag.ca.gov/ecrime/databreach/list

Se även Dataskydd.net:s inlagor till pågående och avslutade utredningar om dataskydd och IT-säkerhet:

https://dataskydd.net/vara-remissvar

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Kommande

Event

8 mars: Dataskydd.net deltar i möte på Näringsdepartementet om eDataskydd (nytt EU-förslag)

14 mars: Dataskydd.nets ordförande Amelia Andersdotter är på EpiCenter i Stockholm och pratar om dataskydd.

15 mars: Dataskydd.nets ordförande Amelia Andersdotter pratar om dataskydd och sakernas internet på Nackademin.

22 mars: Dataskydd.net deltar i Funka.coms utvecklingsmöte för kommuner, om hur man dataskyddssäkrar sin webbplats.

28 mars: Dataskydd.nets ordförande Amelia Andersdotter deltar på Get Online Week med Kungliga biblioteket.

Remisser

SOU 2016:81 Ett modernare utsökningsförfarande har dödslinjen 21 april. Utredningen behandlar inte överlåtelse av kundregister och andra personuppgifter vid konkurs. http://www.regeringen.se/remisser/2016/12/remiss-av-sou-201681-ett-moder...

Ds 2016:46 En ny organisation för etikprövning av forskning har dödslinjen 7 april. Etikprövning av forskning är det viktigaste skyddet enskilda privatpersoner har för sin rätt till dataskydd i forskningssammanhang. http://www.regeringen.se/remisser/2017/01/remiss-av-ds-201646-en-ny-orga...

Promemorian Tillhandahållande av tekniska sensorsystem – ett sätt att förbättra samhällets informationssäkerhet har dödslinjen 28 april. MSB vill ha ett tekniskt intrångsdetekteringssystem på myndigheterna. http://www.regeringen.se/remisser/2017/02/remiss-av-promemorian-tillhand...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!