Dataskydd.NET

Vol. 4, nr. 3, 29 maj 2017

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på https://dataskydd.net/nyhetsbrev/dataskyddnet-43

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Ny dataskyddslag - med obetydligt upprätthållande
2. Brottsdatalag: allmänt bra men många frågetecken
3. Nätverks- och informationssäkerhet: utan privatpersoner i centrum
4. Nya EU-förslag om "e-bevis" att vänta i juni?
5. Fem europeiska datainspektioner bötfäller Facebook
6. New Mexico blir 48:de delstaten med incidentrapporter till konsumenter
7. Försvarets radioanstalt: personuppgiftshantering och loggning
8. Dataskydd.net lämnar remiss på promemoria om sensornätverk tillsammans med DFRI
9. Dataskydd.net lämnar remissyttrande på Ds 2017:7 om säker kommunikation för kritiska verksamheter
10. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Ny dataskyddslag - med obetydligt upprätthållande

Utredningen om tillsyn av den personliga integriteten (SOU 2016:65) hade som uppdrag att utreda tillsynen av den personliga integriteten. Därför är vi på Dataskydd.net förvånade över att SOU 2016:65 utgav sig för att inte ha kunnat utreda detta område, för att istället lämna över utredning av tillsyn på utredningen om en ny dataskyddslag.

Men där SOU 2016:65 hade klokheten att notera att de bristande resurserna hos Datainspektionen kan utgöra ett problem, så väl som för medborgare som för företag, har utredningen om en ny dataskyddslag inte samma insikt. Här handlar det istället om att frånta Datainspektionen kompetenser som Datainspektionen sedan länge haft - som möjligheten att förena förelägganden med viten. Det är inte uppenbart hur utredningen försökt förena Datainspektionens nya, utökade uppdrag, med motsvarande förbättrade möjligheter till att samverka med andra myndigheter. Bara Riksarkivet omnämns särskilt som samarbetspartner för Datainspektionen i lag, vilket inte kan vara tillräckligt.

Tyvärr har utredningen haft som utgångspunkt att inget ska förändras, vilket innebär att många av de dåliga bestämmelser som för närvarande finns i svensk lagstiftning kommer att bestå - oavsett dataskyddsförordning. Det gör också att utredningen inte kunnat begagna sig av ny information, som Integritetskommitténs delbetänkande SOU 2016:41 om utmaningar för den personliga integriteten, utan varit låst i äldre information, som utredningen om en ny myndighetsdatalag (SOU 2015:39) som det aldrig blev något av.

Utredningen om en ny dataskyddslag har till exempel inte plockat upp Integritetskommitténs observationer om personuppgiftsincidenter, eller kommitténs observationer om de i dagsläget dåligt fungerande skadestånden. När något fungerar dåligt, och med enkla grepp skulle kunna förmås att fungera bättre (och detta redan är utrett), är det inte uppenbart varför det ska fortsätta fungera dåligt.

En väntad besvikelse är att staten fortsatt, med hänvisning till journalistisk och konstnärlig frihet eller tryckfrihetsförordningen, får utgöra ett hot
mot svenskars informationssäkerhet. Spridning av identitetsuppgifter skapar obehag för enskilda och utsätter dem för risker att bli bedragna eller få sina identiteter kapade som staten med enkla grepp skulle kunna skydda dem ifrån.

Dataskydd.net fortsätter så klart sitt arbete med att granska utredningen. Allmänheten har en möjlighet att kommentera på utredningen fram till augusti 2017.

Läs mer:

SOU 2017:39, Ny dataskyddslag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Dataskydd.net, Remissyttrande över SOU 2016:65 Ett samlat ansvar för tillsyn över den personliga integriteten (2017.01.25):

https://dataskydd.net/sites/default/files/sou201665_remissyttrande_datas...

Dataskydd.net, Remissyttrande över SOU 2015:39 om en ny myndighetsdatalag (2015.11.23):

https://dataskydd.net/sites/default/files/sou201539_remissyttrande_datas...

SOU 2016:41, Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

SOU 2015:39, Myndighetsdatalag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Brottsdatalag: allmänt bra men många frågetecken

Utredningen om en ny brottsdatalag (SOU 2017:29) är resultatet av det svenska utredningsväsendets försök att greppa EU:s direktiv om personuppgiftsbehandling hos de brottsbekämpande myndigheterna.

Vid en första genomläsning ser Brottsdatalag, till skillnad från sin äldre kusin Myndighetsdatalag (SOU 2015:39), ut att inte bli allt för detaljerad i sina bestämmelser och heller inte beskära sådana rättigheter som privatpersoner redan haft idag. Flexibiliteten i EU:s lagstiftning har inte varit stor, annat än i möjligheten att göra breda undantag för nationell säkerhet, men detta har utredningen mestadels ansett att polisiär verksamhet inte berörs av. Dataskydd.net är positiva till det.

En allmänt hållen lagstiftning ger bättre förutsättningar för både Datainspektionen och Polismyndigheten att planera sin infrastruktur och sina IT-system efter vad som är tekniskt rimligt och möjligt. Detaljbeskrivningar i lag riskerar att låsa in den tekniska utvecklingen vid något särskilt, inte nödvändigtvis effektivt, skydd och blir även svåra att ändra.

Men det finns underliga hål i utredningen: behandling av personuppgifter som samlats in via tvångsmedel ges ingen uppmärksamhet alls. Förhoppningsvis kommer utredaren tillbaka till detta i ett senare betänkande. Begreppet "biometri" verkar utredaren helt enkelt ha missförstått. Sammansättning "bio" och "metri" implicerar att det innefattar varje form av data som gör att man kan mäta en biologisk egenskap hos någon, inklusive fotografier, inte att "biometriska data" ska tolkas som att de bara utgörs av resultatet av en behandling av biometriska data.

Att underleverantörer som polisen hyr in för särskilda utredningar inte ska täckas av brottsdatalag är underligt. Under den allmänna dataskyddslagstiftningen har dessa aktörer möjlighet att åberopa berättigat intresse eller instruktioner från myndighet (juridisk förpliktelse) för att behandla uppgifter i strid mot privatpersoners kunskap och rättigheter, utan att privatpersoner nödvändigtvis får reda på det. En risk finns alltså att utkontraktering av vissa tveksamma etiska praktiker tillåter polisen att kringgå det annars höga skydd de är tänkta att behöva garantera för privatpersoner.

Inte heller är det piggt att Datainspektionen begränsas i sitt tillsynsarbete på det sätt utredningen föreslår. Dels ska Datainspektionen hinna avsluta tillsyner på fem år, men för att kunna gå hela vägen till en ekonomisk sanktion måste de påtala, påpeka, varna, och klaga: alla dessa steg i tillsynsprocessen tar åtskilliga år att fullfölja, vilket visas inte minst av Datainspektionens nio år långa interaktioner med Gävleborgs landsting - som fortfarande inte följer patientdatalagen trots påpekanden och varningar.

Dataskydd.net saknar referenser tillbaka till Integritetskommitténs delbetänkande SOU 2016:41.

Om utredningen om Brottsdatalag hade itererat över redan befintlig statlig kunskap på integritetsområdet hade den insett att privatpersoner redan idag har mycket dåliga förutsättningar att utkräva ansvar av myndigheter genom till exempel skadestånd. Inte heller hade utredningen då definierat "oberoendet" i tillsynen som ett oberoende från medborgaren - vid rättsprövningar i EU (Schrems-målet, Kommissionen mot Ungern) har oberoendet istället handlat om oberoende från de politiska makthavarna.

Dessutom finns en aspekt incitamentslära som gått utredningen helt förbi: sanktioner behöver inte utdömas mot myndigheter för att de per se skulle vara elaka, utan för att det är dyrt och tråkigt att förändra bristfälliga dataskyddsrutiner. Sanktionerna är där för att det ska bli ännu dyrare och tråkigare att låta bli.

Dataskydd.net är remissinstans och kommer återkomma till utredningen.

Läs mer:

SOU 2017:29, Brottsdatalag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

SOU 2016:41, Hur står det till med den personliga integriteten? – En kartläggning av Integritetskommittén:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

SOU 2015:39, Myndighetsdatalag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

Datainspektionen, Skarp kritik mot hanteringen av patientuppgifter i Gävle (2017.04.25):

http://www.datainspektionen.se/press/nyheter/2017/skarp-kritik-mot-hante...

Kommissionen mot Ungern (2014.05.16):

http://curia.europa.eu/juris/documents.jsf?num=C-288/12

Schems mot Datainspektionen på Irland (2015.10.06):

http://curia.europa.eu/juris/documents.jsf?num=c-362/14

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Nätverks- och informationssäkerhet: utan privatpersoner i centrum

Nätverks- och informationssäkerhet (NIS) fortsätter stå högt på regeringens agenda. I den nyss släppta statliga digitaliseringsstrategin är implementationen av EU:s nya direktiv om NIS (Direktiv 2016/1148) den enda åtgärden som föreslås där det finns en rimlig möjlighet att förutsäga konkreta utfall av åtgärden. Men utredningen lämnar en del att önska.

Expertgruppen som utredaren har haft till hands har bestått av myndighetsjurister och jurister från statliga affärsverk. Denna begränsade kunskapspool har lett till en styvmoderlig behandling av EU-direktivets ofrånkomliga tekniska och ekonomiska karaktär. EU stiftar nämligen företrädelsevis marknadslagstiftning, och EU:s lagstiftare är därför i högre utsträckning än många svenska krislagstiftningshanterande jurister medvetna om ekonomiska aspekter av säkerhet: det kostar att investera i säkerhet, och beroende på de operativa riskerna med att något går fel, är det inte säkert att return-on-investment är tillräckligt hög. Incitamentslära och handlingsimperativ (hur ger man rätt aktörer rätt incitament att agera på rätt sätt så ofta som möjligt) genomsyrar alltså bestämmelserna i direktivet på ett sätt man inte nödvändigtvis förväntar sig av till exempel svenska säkerhetsskyddslagen. Den senare är istället mer kontrollbetonad: genom inspektioner och föreskrifter framtvingar en myndighet (Säkerhetspolisen, till exempel) sådana åtgärder som myndigheten tycker är bra.

Eftersom IT-säkerhet inom de senaste 10 åren gjort en flytt från Näringsdepartementet till Justitiedepartementet (via Försvarsdepartementet) är det fallet att utredningen inte uppenbarligen har haft kännedom om den systematik som finns i Sveriges övriga, konkurrens- och marknadsfrämjande, kommunikationslagstiftning. Däremot kan de ha haft god kännedom om kontrollagstiftning. Det skapar en del underliga problem:

Om varje myndighet är ansvarig för sitt eget område, men Post- och telestyrelsen (PTS) är ansvarig för digital infrastruktur, vad är det då för infrastruktur man menar uppstår i elnät, vattennät, och transportsektorn när dessa "digitaliseras"? PTS hamnar i den underliga sitsen att de eventuellt är ansvariga för allt möjligt, men förmodligen inte är det.

Den koordinerande Myndigheten för samhällsskydd och beredskap (MSB) ska hålla möten och samla in incidentrapporter, men syftet är som för den redan befintliga rapportering oklart. Incidentrapporterna ges inte karaktären av att vara det konsumentstöd de blivit i till exempel amerikanska delstater, och det är inte uppenbart att MSB heller har den tekniska sakkunskap och kompetens för att kunna använda incidentrapporterna till att bli ett meningsfullt stöd för företag och myndigheter som stöter på säkerhetsproblem. Ibland kan det hända att incidentrapportering i Sverige ska ske till Säkerhetspolisen istället för till en öppnare myndighet: då får medborgare och konsumenter inte alls reda på vad som hänt, eftersom det antas ligga i nationens intresse att vi hålls utanför. NIS-utredningen gör ingen ansats att förtydliga när vi måste offra inflytande och makt över myndigheter och företag vi har kontakt med för nationens skull.

En gulligare avvikelse är definitionen av nätverks- och informationssäkerhet, som är direktkopierad från förlagan i det europeiska direktivet. Enligt NIS-utredningen är nätverks- och informationssäkerhet att information i ett system är "tillgänglig, autentisk, riktig och konfidentiell". Detta är inte samma fyra begrepp som föreslagits utgöra basen i den svenska NIS-strategin av NIS-utredningen från 2015 (SOU 2015:23). Inte heller sammanfaller begreppen med de tre ord som vanligast används i internationellt IT-säkerhetsarbete (och som också syns i svensk IT-brottslagstiftning): confidentiality, integrity, availability (CIA).

I den europeiska lagstiftningsprocessen uppstår onödiga och konstiga dupliceringar av definitioner till följd av den långa lagstiftningsprocessen med många aktörer som ska vara med och kompromissa. Det svenska utredningsväsendet är tänkt att i alla fall för lagstiftning i direktivform kunna räta ut några av de frågetecken som kan uppstå i en sådan process, men har i det här fallet misslyckas - trots att NIS-utredningen från 2015 bara är två år gammal och fick mycket uppmärksamhet!

Dataskydd.net är remissinstans och kommer att återkomma med fler observationer.

Läs mer:

SOU 2017:36, Informationssäkerhet för samhällsviktiga och digitala tjänster:

http://www.regeringen.se/remisser/2017/05/remiss-av-sou-201736-informati...

Dataskydd.net, Remissyttrande över SOU 2015:23 – Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (2015.09.11):

https://dataskydd.net/sites/default/files/sou201523_remissyttrande_datas...

Regeringen, Digitaliseringsstrategi (slutlig) (2017.05.18):

www.regeringen.se/49adea/contentassets/5429e024be6847fc907b786ab954228f/...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Nya EU-förslag om "e-bevis" att vänta i juni?

Sedan förra hösten utreder EU-kommissionen behovet av att introducera ny lagstiftning på den europeiska nivån för att samla in och hantera så kallade elektroniska bevis. Dessa kan utgöras av uppgifter motsvarande de som tidigare reglerades i datalagringsdirektivet, eller de svenska datalagringslagarna, men också av meddelanden i appar som är krypterade och i dagsläget inte uppenbart tillgängliga för många polisstyrkor.

EU-kommissionär Věra Jourová har vid ett par tillfällen under våren lyft fram att EU-kommissionen så tidigt som i juni i år kommer vilja lyfta möjliga förslag med medlemsländerna.

En enkätundersökning bland medlemsländerna förra hösten visade att flera av de största medlemsländerna är villiga att gå vidare med koordinering på europeisk nivå, medan till exempel Sveriges regering är avvaktande. Sverige är ett av bara två EU-länder som fortfarande inte ratificerat Europarådets cyberbrottskonvention, och de två statliga utredningar om hemliga, elektroniska tvångsmedel som sannolikt är tänkta att leda till en ratificering kommer inte vara klara förrän i höst.

Elaka rykten om ett nytt datalagringsdirektiv har hörts, men EU-domstolens beslut från i december 2016 lär vara sådant att det blir svårt att manövrera sig runt. En växande korpus av rättsfall från Europadomstolen om insamling och övervakning av metadata (information om vem man pratat med, hur länge och varifrån, till exempel, "information om information") snävar också in utrymmet stater har att godtyckligt utsätta sina medborgare för kartläggning, profilering och granskning.  I till exempel Sverige sätter man istället sina förhoppningar till de pågående förhandlingarna om eDataskyddsförordningen, där operatörernas sug efter att få kartlägga sina konsumenter ännu mer antas ge bättre utrymme även för polisen att få tag på sådan data de vill ha.

Här på Dataskydd.net, som på andra ställen, väntar vi med spänning på vad EU-kommissionär Jourová kan tänkas föra upp för idéer med medlemsländerna.

Läs mer:

EU-kommissionen, Speech by Commissioner Jourová on Law Enforcement Challenges in the Online Context - University of Luxemburg (2017.04.25):

http://europa.eu/rapid/press-release_SPEECH-17-1092_en.htm 

Dataskydd.net, EU:s justitieministrar initierar (kanske inte) diskussion om EU-regler för kryptering (2016.11.07):

https://dataskydd.net/nyheter/2016/11/07/eus-justitieministrar-initierar...

Ministerrådets frågeenkät om kryptering (20.09.2016):

http://statewatch.org/news/2016/sep/eu-usa-encryption-quest-12368-16.pdf

Svenska regeringens svar på enkäten:

https://dataskydd.net/sites/default/files/questionnaire_med_svar.pdf

Danska regeringens svar på enkäten:

https://itpol.dk/sites/itpol.dk/files/Encryption-of-data-Questionnaire-1...

Ministerrådets analys av samtliga svar på enkäten (21.10.2016):

http://www.statewatch.org/news/2016/oct/eu-encryption-orientation-debate...

Dataskydd.net, Polisen kritiserar säkra appar för slutkonsument (i Dataskydd.NET 4.2) (2017.04.03):

https://dataskydd.net/nyhetsbrev/dataskyddnet-42

Dataskydd.net, Kommentarer till Näringsdepartementet på EU-kommissionens förslag till ny eDataskyddsförordning (2017.03.03):

https://dataskydd.net/sites/default/files/edataskydd_dataskyddnet_201703...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Fem europeiska datainspektioner bötfäller Facebook

Datainspektionerna i Nederländerna, Frankrike, Spanien, Hamburg och Belgien har i ett gemensamt uttalande annonserat att de inte accepterar de ändringar i dataskyddsavtal för användare som Facebook genomförde för 1,5 år sedan.

I Frankrike har överträdelsen redan lett till böter, medan Nederländernas datainspektionen fortfarande överväger om Facebook har åtgärdat bristerna.

Det är ett pilotprojekt i samarbete mellan datainspektioner över gränserna och förhoppningsvis en föraning om vad vi kommer att se mer av efter att dataskyddsförordningen träder i kraft. Inspektionerna invänder särskilt mot att Facebook inte är tillräckligt transparenta kring vad som händer med uppgifterna, och att företaget använder känslig information om sexualitet, ålder, etnicitet och politiska preferenser utan specifik tillåtelse från användarna. Franska datainspektionen invänder dessutom mot att Facebook spårar även icke-medlemmar på ett otillåtet sätt med hjälp av kakor.

Den senaste invändningen har redan varit uppe i domstol en vända i Belgien, där domstolen till sist kastade ut målet med hänvisning till att Facebook i Europa är baserade på Irland. Belgiska datainspektionen söker nu få upp målet i domstol igen.

Franska datainspektionen invänder att EU-domstolen i Weltimmo-målet förklarat att en datainspektion är behörig att pröva ett företags praktiker om företaget finns på det språk som är majoritetsspråk i datainspektionens tillsynsområde och marknadsför sig på det språket gentemot medborgare i datainspektionens tillsynsområde. Det blir en spännande process att se om de franska domstolarna, likt de belgiska, gömmer sig bakom Facebooks irländska huvudkvarter, eller om Weltimmo-målet hade en riktig och avgörande effekt på hur den europeiska dataskyddstillsynen i fortsättningen ska fungera.

För större företag är det säkert också en ovälkommen påminnelse om att man inte kan undvika dataskyddsregler bara genom att försvaga Datainspektionen på hemmaplan. För regeringen borde detta vara en påminnelse om att en svag Datainspektionen utsätter svenska företag för onödiga risker även på det europeiska planet. Nu är dataskydd ett rejs till toppen, och där borde Sverige vara med.

Läs mer:

CNIL, FACEBOOK sanctionné pour de nombreux manquements à la loi Informatique et Libertés (2017.05.16):

https://www.cnil.fr/fr/facebook-sanctionne-pour-de-nombreux-manquements-...

Autoriteit Persoongegevens, AP: Facebook handelt in strijd met de privacywetgeving (2017.05.16):

https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-facebook-handelt-stri...

Common Statement by the Contact Group of the Data Protection Authorities
of The Netherlands, France, Spain, Hamburg and Belgium (2017.05.16):

https://www.agpd.es/portalwebAGPD/noticias-inicio/common/pdf/2017/05_may...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. New Mexico blir 48:de delstaten med incidentrapporter till konsumenter

När New Mexicos lagstiftning om incidentrapportering till konsumenter träder i kraft i juni 2017, återstår bara två amerikanska delstater, Alabama och South Dakota, som ännu inte har lagstiftning om att konsumenter ska informeras när någonting gått fel i ett IT-system som hotar deras intressen.

Incidentrapportering i USA har kommit att kännetecknas av andra tankar och idéer om ekonomi än vad som hittills präglat europeisk incidentrapporteringslagstiftning. Medan särskilt EU:s lagstiftare varit bra på att uppmuntra medlemmarna att sätta upp nationella kontaktpunkter för informationsutbyte i form av tillsynsmyndigheter, har de amerikanska lagstiftarna istället haft ett starkt konsumentfokus i sina incidentrapporteringslagar. Tanken är att konsumenter ska informeras om vilka företag som gör dåliga saker, och vilka företag som gör bra saker, och att de företag som tar IT-säkerhet på allvar ska få konkurrensfördelar.

I flera av delstaterna finns öppna arkiv med incidentrapporter. Washington, Vermont, Oregon, New Hampshire, Montana, Maryland, Iowa och Kalifornien har arkiv över integritetsincidenter som gör det möjligt att kontrollera om vissa aktörer utsätts extra ofta. De flesta andra delstater har i alla fall nyhetsrapporter från den centrala juridiska tillsynsmyndigheten, Attorney General, när särskilt stora personuppgiftsläckor har ägt rum.

Incidentrapportering har lett till ett större fokus på konsumentsäkerhet i amerikanska IT-tjänster. Spridningen av krypterade anslutningar, som HTTPS, i nätmiljöer attribueras ofta till den amerikanska rörelsen för bättre incidentinformation också för privatkonsumenter.

Läs mer:

Snell & Wilmer Cybersecurity and Data Privacy Blog, New Mexico Passes Data Breach Notification Law (2017.03.30):

http://www.swlaw.com/blog/data-security/2017/03/30/new-mexico-passes-dat...

Rainer Böhme och Stefan Laube, The Economics of Mandatory Security Breach Reporting to Authorities (2015):

http://www.econinfosec.org/archive/weis2015/papers/WEIS_2015_laube.pdf

Dataskydd.net, Remissyttrande över promemorian Ju2017/02002/L4 om ett tekniskt sensorsystem hos MSB, tillsammans med DFRI (särskilt vissa delar) (2017.04.26):

https://dataskydd.net/sites/default/files/dfri_dataskyddnet_promemoriaju...

Dataskydd.net, Remissyttrande över SOU 2015:23 – Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten (2015.09.11):

https://dataskydd.net/sites/default/files/sou201523_remissyttrande_datas...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Försvarets radioanstalt: personuppgiftshantering och loggning

För inte så länge sedan tillsattes utredningen om Försvarets radioanstalts (FRA) personuppgiftshantering. Utredningen sammanfaller med FRA:s dödslinje att förklara för Datainspektionen hur de egentligen följer upp loggarna från sin personuppgiftshantering.

Datainspektionen upplever sig ha klagat på FRA:s logguppföljning i sex år. 2010 observerade Datainspektionen att loggningen kunde fungera bättre, men valde att inte direkt kritisera FRA. Efter fem år påbörjade FRA bygget av en så kallad SOC, ett security operations center. Det är ett tekniskt system som håller centraliserad koll på loggar från myndighetens tekniska system, för att se till att inget går fel. När Datainspektionen återvände till sin tillsyn 2016, med observationen att loggningen fortfarande inte verkade följas upp, berättade FRA om sitt SOC-projekt och att projektet förväntades kunna sättas i bruk redan under 2017. Den första maj 2017 förklarade FRA att allt har gått som förväntat.

Problemet är att FRA inte i något de skriver gjort det uppenbart att SOC:en ska användas för att säkerställa tillräckliga tekniska och organisatoriska åtgärder till skydd för enskildas integritet, i enlighet med lagen om personuppgiftsbehandlingen i FRA:s verksamhet. För allt vi medborgare kan utläsa av dokumenten FRA författat till Datainspektionen, kan det vara ett system som ska användas för att se till att deras tekniska lösningar fungerar så som de vill att de ska funka, inte så som lagen kräver att de ska funka. Det är inte heller uppenbart att Datainspektionen förstått att en SOC inte är ett ingritetsstärkande verktyg per se, utan att användningen av SOC:en är det som spelar roll.

Utifrån Datainspektionens ursprungliga invändningar från 2010 och 2016 är det rimligt att tro att de vill att FRA ska upprätthålla integritetsbestämmelser för allmänheten. Kommer FRA:s nya tekniska grej göra det, eller är den istället tänkt att användas för att övervaka personaldata? Är SOC:en alls byggd med funktionaliteten att granska policy-åtgärder? Vi lär inte få veta, och det är osannolikt att Datainspektionen gräver vidare.

För utredningen av FRA:s verksamhet är detta en av många svårigheter: hur gör man när tillsynsmyndigheten med nödvändighet är förpassad till att bli bortkollrad i tekniska detaljer? Dessutom borde staten invänta utlåtandet från Europadomstolen i fallet Centrum för rättvisa påbörjade mot FRA-lagen 2008. Att göra en utredning nu är som att fäkta i blindo: vi vet helt enkelt inte om den sortens metadatainsamling FRA ägnar sig åt verkligen är laglig enligt det regelverk svenska staten förbundit sig att upprätthålla gentemot oss medborgare.

Ytterligare komplikationer uppstår om man tar FRA:s roll som samtidig IT-konsulttjänstleverantör i beaktande. Statliga myndigheter och affärsverk täcks av längre och solidare sekretessregler än de kommersiella ditto. Dataskydd.net funderar på om inkontraktering av FRA i vissa statliga verksamheter kommer utgöra en risk mot den insyn och transparens som dataskyddsförordningen annars försöker skapa. Denna sorts fusk med transparens och insynsregler har Dataskydd.net tidigare kommenterat på i samband med vårt remissyttrande över personuppgiftsbehandling på Nationellt centrum för terrorhotbedömning.

Läs mer:

Kommittédirektiv, Behandlingen av personuppgifter inom Försvarsmakten och Försvarets radioanstalt:

http://www.regeringen.se/rattsdokument/kommittedirektiv/2017/04/dir.-201...

FRA:s promemoria till Datainspektionen (mottagen via fax, 17 maj 2017) (28.04.2017):

https://dataskydd.net/sites/default/files/fras_skrivelse_till_datainspek...

Datainspektionens tillsynsrapport angående FRA från 26 oktober 2016 (26.10.2016):

http://www.datainspektionen.se/press/nyheter/2016/datainspektionen-klar-...

Datainspektionens tillsynsrapport angående FRA från 2010 (07.12.2010):

http://www.datainspektionen.se/press/nyheter/2010/datainspektionen-rappo...

Dataskydd.net, Tiden är kommen: FRA redogör för Datainspektionen hur deras loggfunktioner ska stärkas (2017.05.19):

https://dataskydd.net/nyheter/2017/05/19/tiden-ar-kommen-fra-redogor-dat...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Dataskydd.net lämnar remiss på promemoria om sensornätverk tillsammans med DFRI

Dataskydd.net lämnade tillsammans med Föreningen för digitala fri- och rättigheter den 26 april in ett remissyttrande till Justitiedepartementet angående MSB:s önskemål om att få upprätta ett tekniskt sensornätverk för att underrätta sig om IT-säkerhetshot mot samhällets kritiska verksamheter.

Dataskydd.net och DFRI anser att det tekniska sensorsystemet inte bör sättas i bruk.

Myndigheten för samhällsskydd och beredskap bör inte tilldelas underrättelsebefogenheter utan att det tydligare utreds och klarläggs i lagstiftning vad dessa underrättelsebefogenheter i sådana fall skulle bestå av.

Vi är också kritiska mot den knapphändiga utredningen av integritetsrisker till följd av systemet. Att kartlägga korrespondens in och ut ur myndigheter innebär ett intrång i både de offentliganställdas och medborgarnas privatliv som behöver kringgärdas av betydligt starkare skyddsåtgärder än promemorian ger sken av.

Dessutom är båda föreningarna av åsikten att IT-säkerhetsarbetet i Sverige, för att ha någon förutsättning till framgång, behöver ha tydligare fokus på ledning och styrning. Att bara ägna sig åt tekniska projekt vars effektivitet är tveksam eller svår att utvärdera, tror vi svårligen kommer bidra till att samhällets problem med informationssäkerhet minskar.

Läs mer:

DFRI:s och Dataskydd.net:s remissyttrande över JU201702002L4:

https://dataskydd.net/sites/default/files/dfri_dataskyddnet_promemoriaju...

Alla remissyttranden med kommentarer:

https://aevidentia.wordpress.com/2017/05/03/sensor/

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

9. Dataskydd.net lämnar remissyttrande på Ds 2017:7 om säker kommunikation för kritiska verksamheter

Dataskydd.net har den 3 maj inlämnat ett remissyttrande till Justitiedepartementt om departementsseriepromemorian Ds 2017:7 om säker kommunikation för samhällets kritiska verksamheter.

Dataskydd.net avrådet regeringen från att följa promemorians förslag, med anledning av att den infrastruktur som regeringen föreslår redan finns.

Särskilt framhåller vi att det är olämpligt att staten å ena sidan inför nya tvångsmedel för brottsbekämpande myndigheter och ägnar sig åt aktiviteter som undergräver den höga säkerheten i konsumentkommunikationsappar, samtidigt som staten vill spendera medborgarnas skattepengar på att utveckla en egen app. Om staten istället satsar på en hög nivå av kommunikations- och informationssäkerhet för alla, inklusive medborgarna, har staten goda möjligheter att tillgodose de samhällskritiska verksamheternas behov av hållbar, tillgänglig och säker kommunikation.

Läs mer:

Dataskydd.net:s remissyttrande över Ds 2017:7 om säker kommunikation för samhällets kritiska tjänster:

https://dataskydd.net/sites/default/files/ds201707_remissyttrande_datask...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

10. Kommande

Event

Remisser

SOU 2017:23, digitalforvaltning.nu

SOU 2017:29, Brottsdatalag

SOU 2017:30, En omreglerad spelmarknad

SOU 2017:36, Informationssäkerhet

SOU 2017:39, Ny dataskyddslag

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Är du intresserad av att hjälpa till? Kontakta oss på info@dataskydd.net!