Webbseminarium: Brexit och datatransfers

Se Forum för dataskydds och Bristows seminarium om datatransfers efter Brexit här.

Talare: Robert Bond, partners vid Bristows, och Caroline Olstedt Carlström, ordförande för Forum för dataskydd.

Datainspektionens frågor till Inera

Inera, som ägs av SKL Företag, regioner och kommuner, förvaltar och utvecklar tjänster inom e-hälsa och digitalisering, däribland 1177 Vårdguiden.

Datainspektionen har sedan det blev känt att ett stort antal inspelade samtal till 1177 funnits tillgängliga på en oskyddad server inlett en granskning av Ineras personuppgiftsbehandling.

Datainspektionen frågar i sin tillsynsskrivelse till Inera vilka personuppgifter som behandlas, till vilka kategorier av mottagare uppgifterna lämnas ut och om Inera behandlar uppgifterna i egenskap av personuppgiftsbiträde eller personuppgiftsansvarig samt vem eller vilka som ev. är personuppgiftsansvariga och med stöd av vilken rättslig grund uppgifterna behandlas. Frågorna ska vara besvarade senast den 19 mars.

– Inera ser allvarligt på den aktuella händelsen och det är viktigt att invånare kan känna sig trygga med att ringa 1177. Det är angeläget att understryka att Ineras system som 18 regioner använder för tjänsten 1177 Vårdguiden inte berörs av säkerhetsbristen. Men vi välkomnar givetvis att Datainspektionen inleder tillsyn kring händelsen och även kring hur Inera behandlar personuppgifter på telefon, säger Sofie Zetterström, vice vd på Inera.

Nej till ramavtalsupphandling av utländska molntjänster

Kammarkollegiet har efter införandet av dataskyddsförordningen, NIS-direktivet, president Trumps executive order 12333 och CLOUD Act undersökt möjligheten att ta fram ramavtal för webbaserade kontorsprodukter som Microsofts Office 365 och Googles G Suite.

I sin förstudie uttalar projektgruppen att sekretessreglerade och säkerhetskänsliga uppgifter som finns tillgängliga i en utländsk molntjänst är att betrakta som röjda.

Gruppen uttalar vidare att en svensk myndighet som låter företag som lyder under problematiska regelverk ger det utländska regelverket företräde framför den europeiska dataskyddsförordningen, villkor i personuppgiftsbiträdesavtal samt reglerna för internationell rättshjälp. Som exempel på länder med problematisk lagstiftning nämns utöver USA även Indien, Kina och Ryssland.

– Det vi har kommit fram till är att vi skulle få noll anbud med rätt kravställning. Det finns ingen leverantör i dag som skulle uppfylla både funktionella krav, säkerhetskrav och juridiska krav, säger Daniel Melin, projektledare vid Statens Inköpscentral till Computer Sweden.

Enligt förstudien skulle det vara möjligt att upphandla webbaserat kontorsstöd som är tekniskt och rättsligt godtagbart, om offentlig sektor och marknaden påvisar behov och investeringsvilja.

Läs mer på avropa.se.

Se också advokat Nina Barzeys föreläsning och IT-säkerhet och upphandling av molntjänster från Forum för dataskydds seminarium i Stockholm den 19 februari här.

Facit för Datainspektionens verksamhet under GDPR-året

För drygt ett år sedan föreslog regeringen att Datainspektionens anslag skulle höjas med 30 miljoner kronor. Vi bedömde då att myndigheten sannolikt kommer behöva ytterligare anslag för att kunna hantera anmälningar och incidentrapporter, och även för att stärka kommunikationsarbetet och den tekniska plattformen.

Kraftig ökning av ärenden – som väntat

Av Datainspektionens årsredovisning för 2018 framgår nu att antalet inkommande ärenden ökat från ca 8 000 till ca 25 000. Myndigheten tog emot 2 262 incidentrapporter och ca 1 800 klagomål från enskilda (att jämföra med omkring 250 2017).

Myndighetens medarbetare besvarade 8 500 frågor via telefon och närmare 11 000 skriftliga frågor. 16 000 samtal nådde inte fram, detta trots att antalet medarbetare ökade från 57 till 87 under året.

Svårt behålla kompetens

Parallellt med nyrekryteringen gick många vidare till andra uppdrag. En förklaring uppges vara den ökade efterfrågan på dataskyddskompetens. Enligt årsredovisningen har 70 procent av medarbetarna varit anställda kortare tid än 18 månader.

Datainspektionen konstaterar vidare att myndighetens eget digitaliseringsarbete kommer kräva fortsatta investeringar.

Läs också: Hur långt räcker 30 miljoner?

Video: IT-säkerhet och upphandling av molntjänster

Se Nina Barzeys föreläsning om IT-säkerhet, molntjänster och upphandling från Forum för dataskydds seminarium i Stockholm den 19 februari 2019 här.

Bilderna finns tillgängliga i Powerpoint-format under medlemssidorna.

“Med känsligare uppgifter kommer större krav”

I veckan avslöjande tidningen Computer Sweden att miljontals telefonsamtal till Vårdguiden 1177 ska ha funnits tillgängliga som ljudfiler på en oskyddad server. 57 000 svenska telefonnummer förekommer enligt uppgift i databasen.

Forum för dataskydds ordförande Caroline Olstedt Carlström kommenterade uppgifterna i Expressen på måndagen:

– Det kan vara både hälsodata och information om barn. Det är väldigt allvarligt eftersom det är extra känslig information. Med känsligare uppgifter kommer också ett större krav på att underleverantören lever upp till säkerhetskraven. De måste se till att ha en tillförlitlig kontroll.

Rose-Mharie Åhlfeldt, professor i informationsteknologi vid Högskolan i Skövde och styrelseledamot i Forum för dataskydd, kommenterar det inträffade i Dagens Nyheter.

– Det som förvånar är att avtalsskrivningen vid upphandlingar inte blivit bättre. Och bara för att ett avtal är skrivet, betyder det inte att man kan strunta i att göra uppföljningar med leverantörerna.

Åhlfeldt konstaterar också i en artikel i Svenska Dagbladet att informationssäkerhet är ett eftersatt område i Sverige.

Datainspektionen har nu inlett tillsynsärenden, bl a mot Inera, som utvecklar och förvaltar tjänster inom e-hälsa på uppdrag av regioner och kommuner.

 

“Demokratin rämnar och det är Facebooks fel”

 

Gråmulen januarimorgon i Bryssel. Jag gör sällskap med en handfull konsulter och forskare till kommunen Schaarbeek och privacykonferensen CPCP. Det har gått någon vecka sedan franska CNIL meddelade att Google ska betala omkring en halv miljard kronor i sanktionsavgift. Panoptykon Foundation har just anmält samma företag för otillåten personuppgiftsbehandling kopplad till annonsering.

Under konferensens hashtag diskuteras nyheten om att Apple blockerat Facebook Research, en app som ska ha använts för att samla in bl a platsdata, konversationer och sökhistorik. De stående samtalsämnena är just de återkommande skandalerna, EU-valet i maj och inte minst Facebooks och Googles närvaro vid konferensen. Själv har jag just varit värd för ett seminarium om plattformsföretagens samhällspåverkan, vid vilket författaren och analytikern Mattias Beijmo tecknade en helt annan bild av Facebooks datahantering än den företagets VD Mark Zuckerberg målar upp i en debattartikel i Expressen.

– Demokratin rämnar under oss och det är Facebooks fel, suckar en ung konsult. Hon är inte ensam. Liknande tongångar hörs från lagstiftare, professorer, företrädare för tillsynsmyndigheter och även företag längre ner på listan över sponsorer. En återkommande uppfattning är att plattformarna söker rikta fokus mot enkla lösningar och från sådant som microtargeting, bit requests, ad auctions, profilering, inhämtande av samtycken och frågan om självreglering kontra lagstiftning.

– Vad ska de säga? GDPR går på tvärs mot själva affärsmodellen, säger konsulten.

Europeiska datatillsynsmannen Giovanni Buttarelli, en av årets mottagare av EPIC:s International Data Privacy Champion Awards, konstaterar i ett anförande att mytologin kring affärsmodeller som sammankopplat allt och alla börjat tappa sin lyster. Med avstamp i Shoshana Zuboffs nysläppta bok The Age of Surveillance Capitalism och EU:s antitraffickingdirektiv manar han till kamp mot det digitala slaveriet. Företrädare för EU-kommissionen säger med eftertryck att de vill se åtgärder från plattformarnas sida nu, före valet.

Plattformarna är representerade såväl på scen som i mässhallen. I mitten av det som en gång var en marknadsplats för traktens bönder delar Google utbroschyrer med information om insatser för att skydda data i samband med det stundande valet. Project Shield, ett verktyg som skyddar sajter mot DDOS-attacker, kommer exempelvis göras tillgängligt för alla politiska organisationer. Jag får också en dosa för tvåfaktorssautentisering.

Mark Zuckerberg skriver i Expressen att företaget han startade för 15 år sedan strävar mot en värld där makten ligger i människors händer. Facebook säljer inte användares personuppgifter. Transparensverktyg gör det möjligt för användare att se varför annonser visas, polariserande innehåll tas bort. Samtycken hämtades in inför att GDPR skulle börja gälla.

Det är inte försäljning av data kritiker som Harvardprofessorn och författaren Shoshana Zuboff skjuter in sig på, utan just maktförhållandet: Företagen vet inte bara vad användarna gjort utan också vad de kommer att göra. Samtidigt är systemen utformade för att hålla användarna i okunskap och fast i en ny ekonomisk ordning. I förlängningen ersätter algoritmerna de demokratiska institutionerna, offentliga handlingar ersätts av företagshemligheter. Assymetrin saknar motstycke i mänsklighetens historia, menar hon.

Många av de närmare 100 000 anmälningar som ska ha kommit in till tillsynsmyndigheterna rör just plattformsföretagen. CNIL konstaterar i sitt beslut om sanktionsavgift att det är svårt för användare att överblicka hur data hanteras, trots design patterns och transparensverktyg. Datainspektionen har nyligen inlett en egen granskning av företaget (se Datainspektionens presentation från vårt seminarium den 28 januari här). Amerikanska FTC utreder just nu Facebook med anledning av bland annat Cambridge Analytica-skandalen och väntas besluta om rekordsanktioner.

Företagen återkommer till att de anställer medarbetare och vidareutvecklar tekniska verktyg för att identifiera och ta bort otillåtet innehåll. De motsätter sig, på det stora hela, reglering – och det med kraft. Enligt amerikanska medier lade Apple, Microsoft, Facebook, Amazon och Google rekordbelopp på lobbying förra året. Google ska exempelvis ha spenderat 21 miljoner dollar på lobbying enbart i Washington.

Paul Nemitz, direktör vid EU-kommissionen, betonar under konferensen att dataskyddsreformen genomförts trots omfattande lobbying. Åsikterna om huruvida regelverken är tillräckliga eller om det behövs ytterligare lagskärpningar går isär.

Sir Timothy Berners-Lee uppfann webben för 30 år sedan. Idag hör han till skaran som varnar för plattformarnas dominans och som efterlyser regelverk som kan tygla dem. Hans forskningsprojekt Solid, och startupen Inrupt, syftar till att decentralisera webben och ge användare bättre kontroll över hur data används. Macron och Merkel har tidigare talat om behovet av insyn i hur algoritmerna fungerar. Lagstiftare på båda sidor om Atlanten har bett Zuckerberg övertyga dem om att reglering inte behövs. Apples Tim Cook efterfrågade en amerikansk motsvarighet till dataskyddsförordningen när han gästade Bryssel i höstas. För egen del saknar jag en diskussion om huruvida det bör vara tillåtet för plattformar att upplåta utrymme till i praktiken anonyma användare.

Vi lyfte frågan vid Nordic Privacy Arena i november, då med hjälp av representanter för kommissionen, EDPS, Bird & Bird och Mozilla. Vid 2017 års konferens, ett halvår innan Cambridge Analytica-skandalen rullades upp, talade EPIC:s president Marc Rotenberg om dataskydd och demokrati. Vi återkommer till ämnet vid årets konferens, då Googles Global Privacy Officer Peter Fleischer möter bl a företrädare för CNIL.

Vi har kritiserats för att legitimisera företagen genom att ge dem talarplats. Jag förstår invändningen. Samtidigt har det tidigare varit, och är delvis fortfarande, ett problem att plattformarna inte varit närvarande där de här frågorna diskuteras. Jag är fast övertygad om vikten av dialog. Vi kan inte tvinga talare att delta i paneler, och vi kan inte tvinga dem att tala om sådant de inte vill tala om. Men vi kan samla dataskyddsombud och andra som faktiskt styr över hur företagen hanterar data, ministrar, journalister och dataskyddsexperter i samma rum. Och vi kommer aldrig ta emot betalning för talartid.

Den yttrandefrihet och det integritetsskydd vi har idag är resultatet av en dragkamp mellan olika aktörer, exempelvis mellan lagstiftare som velat begränsa det fria ordet och publicister som försvarat det. Idag tar vi för givet att medieföretag deltar i samtalen och även att de berättar om hur de resonerat inför olika beslut. Så har det inte alltid varit. I pressens barndom bestod tidningar, om de kunde kallas det, bokstavligt talat av fake news. Professionaliseringen av kåren, pressetiken och synen på medierna som något mer än vinstdrivande företag – en statsmakt – kom senare.

Nu ser vi en liknande civilisationsprocess, med andra aktörer och andra förutsättningar. Dataskyddsombud och andra experter på området är en viktig röst i sammanhanget. De får en allt starkare ställning och har möjlighet att påverka utvecklingen. Google har exempelvis skrotat en ”censurerad” version av sökmotorn avsedd för den kinesiska marknaden efter interna protester. Men de behöver inte nödvändigtvis agera bromsklossar. De kan bidra till att hitta nya lösningar där teknik och juridik går hand i hand. De lösningarna diskuteras kanske i de lite mindre hörsalarna, men diskussioner pågår.

 

Fredrik Svärd
Generalsekreterare Forum för dataskydd

Sveriges signalspaning prövas i Grand Chamber

I somras godkände Europadomstolen en reviderad version av den så kallade FRA-lagen. Detta efter en anmälan från Centrum för rättvisa. Fem domare har nu beslutat att målet ska tas upp för prövning av Europadomstolens Grand Chamber.

– Det här målet väcker viktiga rättsfrågor som kräver ett vägledande avgörande från Grand Chamber, säger Fredrik Bergman, chef för Centrum för rättvisa.

– Europeiska stater möter idag allvarliga hot från terrorism och gränsöverskridande brottslighet. Hemlig övervakning är en del av hur vissa stater bemöter dessa hot. Utan tillräckliga garantier mot missbruk riskerar dock hemlig massövervakning att kränka just de grundläggande fri- och rättigheter som staterna vill skydda från sina fiender.

2 500 incidentrapporter sedan 25 maj

Enligt en undersökning från DLA Piper har europeiska dataskyddsmyndigheter tagit emot omkring 59 000 incidentrapporter sedan dataskyddsförordningen började gälla.

Datainspektionen ska ha tagit emot omkring 2 500 anmälningar, nästan dubbelt så många som franska CNIL. Sverige placerar sig på delad sjätteplats sett till antalet anmälningar efter Irland, Tyskland, Storbritannien, Irland och Danmark.

Enligt rapporten har 91 beslut om sanktionsavgifter fattats sedan den 25 maj 2018.

Läs också: Hur långt räcker 30 miljoner?

 

Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde?

Svenska Datainspektionen ska leda en arbetsgrupp som på uppdrag av EDPB ska ta fram nya riktlinjer och vägledning för hur begreppen personuppgiftsansvarig och personbiträde ska tolkas.

– De befintliga riktlinjerna måste anpassas till bestämmelserna i GDPR som bland annat innehåller tydligare regler om personuppgiftsbiträdens roll. Dessutom har det uppstått nya, ofta komplicerade frågeställningar som måste tas om hand. Ett sådant exempel är situationer då det finns ett gemensamt personuppgiftsansvar, alltså då flera organisationer har delat ansvar för en och samma behandling av personuppgifter, säger Elisabeth Jilderyd, internationell samordnare vid Datainspektionen.

Läs mer hos Datainspektionen.

Medlemmar kan ta del av inspelningen från Forum för dataskydds seminarium på samma tema från juni 2018 under medlemssidorna.

 

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1445 kr per år exklusive moms
Student: 400 kr per år inklusive moms











Go to cart