Kan man lita på FaceApp?
Vaga formuleringar och oklara tolkningar. Uppgifterna går isär och röster höjs på olika håll i media den här veckan för vilka och hur stora risker som användare utsätter sig för.
Se t.ex. BBC för en bakgrund: https://www-bbc-com.cdn.ampproject.org/c/s/www.bbc.com/news/amp/technology-49018103
Internetstiftelsens Anne-Marie Eklund Löwinder, som är en av talarna på Nordic Privacy Arena i september, var förra veckan intervjuad av DN (https://www.dn.se/ekonomi/expert-faceapp-inte-storre-risker-an-andra-appar/). Hon rekommenderar alla att alltid fundera en god stund innan man laddar ner en app och ställa sig frågan om den erbjudna förströelsen är värd att köpa för ens användardata. Det här är en stor fråga som har lyfts tidigare, inte minst av DN:s reportrar i deras stora granskning om spårning via appar, ”Din plats till salu”, som tydliggjorde behovet av medvetenhet bland användarna samt ansvarstagande hos de som tillhandahåller apparna.
Facebook når uppgörelse med FTC om böter på 5 miljarder USD för Cambridge Analytica-skandalen
År 2016 uppdagades det att stora mängder information om Facebookanvändare hamnade hos analysföretaget Cambridge Analytica. Informationen användes bland annat i Donald Trumps valkampanj under presidentvalet i USA samma år. Till följd av detta startade den amerikanska myndigheten Federal Trade Commission (FTC) en undersökning i fallet, vilken nu alltså har kulminerat i böter motsvarande ca 47miljarder svenska kronor.
Facebook var förberett och hade avsatt 3 miljarder dollar för eventuella böter. Beloppet är ändock enligt många bedömare alltför lågt i förhållande till företagets årsinkomst, trots att beloppet är bland de högsta som utdelats i FTC:s historia. Överenskommelsen behöver godkännas av det amerikanska justitiedepartementet för att bli giltig.
Läs mer här: https://www.bloomberg.com/news/articles/2019-07-12/ftc-approves-facebook-privacy-settlement-worth-about-5-billion
Schrems II till avgörande
Max Schrems, en ung österrikisk jurist och aktivist, bad Facebook år 2011 att delge honom all information de hade om honom. Han fick då en cd-skiva från Facebook som omfattade 1200 sidor av information om hans liv. I cd-skivan kunde man bland annat läsa om de privata meddelanden han skickat, evenemang han deltagit i och saker han gillade. Schrems bad därför 2013 den irländska dataskyddskommissionen att stoppa Facebook från att överföra hans privata information till USA, en klagan som gick ända till EU-domstolen.
Den 9 juli 2019 behandlade EU-domstolen det mål som kommit att kallas Schrems II och som på sikt kan leda till att Facebook och andra företag tvingas ändra på överflyttningsdynamiken av personuppgifter till områden utanför EU, exempelvis USA. Överföring av uppgifterna har möjliggjorts genom standardavtalsklausuler som godkänts av EU-kommissionen. Schrems menar att avtalsklausulerna inte räcker för att skydda EU-medborgares privata uppgifter från amerikanska underrättelsetjänster.
Beslut i målet väntas först i början av nästa år. Om EU-domstolen följer Schrems uppfattning, kan det få omfattande påverkan på internationella dataflöden och organisationer kan behöva omreglera hur transfereringar av personuppgifter sker – något som förstås kan ge upphov till omfattande arbete och stora kostnader i internationella affärsverksamheter. Beslutet kan även indirekt komma att få effekt för andra överföringsmekanismer såsom EU-US Privacy Shield.
Läs mer här: https://iapp.org/news/a/iapp-faqs-what-does-the-cjeus-schrems-ii-case-mean-for-data-transfers/
Otillräcklig DD av dataskyddet kan riskera bli dyrt – eventuella sanktioner mot hotellkedja
I slutet av 2018 upptäcktes och offentliggjordes en läcka av personuppgifter hänförliga till 339 miljoner gästregistreringar från hotellkedjan Marriott, av vilka drygt 30 miljoner anses härröra till personer inom EES-området, enligt ICO. Läckans ursprung antas hänföras till intrång i Starwoods system under 2014. Marriott förvärvade därefter Starwood 2016, men exponeringen av gästinformationen upptäcktes inte förrän 2018. ICO har tidigare konstaterat att Marriotts ”due diligence” (DD) var bristfällig vid förvärvet av Starwood och att läckan åtminstone borde ha upptäckts efter uppköpet. Marriott köpte därmed på sig en risk när de förvärvade kedjan med bristfälligt dataskydd och inte företog ett tillräckligt dataskyddsarbete.
ICO har utfärdat en bot på 1,17 miljarder kronor till Marriott för brott mot dataskyddsförordningen. Marriott har emellertid fortfarande tid att inkomma med synpunkter för att påverka bötesbeloppet, vilket de väntas göra. Tidigare har Marriott uttalat att man anser bötesbeloppet vara orättmätigt eftersom de också samarbetat med ICO. ICO menar däremot att en organisation har ett fullständigt ansvar för de personuppgifter som de förfogar över, även om uppgifterna var en del av ett uppköp eller en företagsfusion.
Sanktioner mot British Airways
Flygbolaget British Airways drabbades för drygt ett år sedan av en betydande cyberattack. Attacken ledde till att känslig information om 380 000 resenärer (innefattandes kreditkortsuppgifter) gjordes tillgänglig för hackare.
Enligt ICO har flygbolagets säkerhetsrutiner varit undermåliga under en längre period. Uppgifter om adress, betalningsinformation och namn uppges inte ha skyddats på erforderligt sätt, vilket strider mot dataskyddsförordningen.
Till följd av de bristande säkerhetsrutinerna tillkännagav ICO att man har för avsikt att fatta beslut om att flygbolaget ska böta 183 miljoner pund, motsvarande 2,2 miljarder svenska kronor och 1,5 % av den totala årsomsättningen för flygbolaget. Det blir därmed den högsta bot som utdömts för brott mot dataskyddsförordningen hittills.
Mer information: https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/07/ico-announces-intention-to-fine-british-airways/
Sanktioner i Frankrike och Spanien
Spanska La Liga ska ha avlyssnat fotbollsfans mobiltelefoner för att undersöka om pubar visat matcher utan tillstånd. Organisationen ska ha fått tillgång till telefonernas ljudupptagningar via ligans officiella app, som laddats ner omkring tio miljoner gånger. Tillsynsmyndigheten AEPD bedömer inte att La Liga informerat om insamlingen tillräckligt tydligt och fattar därmed beslut om sanktionsavgift om 250 000 euro.
I Frankrike ska ett fastighetsföretag utge 400 000 euro för att ha gjort information om enskildas identiteter och ekonomiska förhållanden tillgänglig via en hemsida. Företaget ska ha känt till sårbarheten sedan mars 2018, men inte infört krav på autentisering eller vidtagit andra åtgärder.
Företrädare för tillsynsmyndigheter i bl a Frankrike, Tyskland, Sverige, Finland och Irland diskuterar harmonisering och sanktioner vid Nordic Privacy Arena (Stockholm 23-24 september).
Hur blir det med insynen när algoritmer fattar beslut?
Bara omkring var femte svensk känner till att en del beslut inom offentlig sektor fattas på automatisk väg. Det visar en undersökning genomförd av en forskargrupp vid Göteborgs universitet.
Merparten av svarandena tror att automatiseringen leder till sämre insyn i beslutsfattandet och att besluten blir mindre tillförlitliga. Samtidigt tror närmare sju av tio att beslutsfattandet blir mer opartiskt. De som har mer kunskaper visar sig vara mer positivt inställda till tekniken.
På Arbetsförmedlingen har man sett över rutinerna sedan det framkommit att en ”beslutsrobot” fattat ett stort antal felaktiga beslut. Stickprovskontroller har införts, och numera informeras arbetssökande om att beslut fattas på automatisk väg. Enligt Arbetsförmedlingen rör det sig om en bugg som inte upptäckts när systemet testkörts.
– Efteråt insåg vi att vi inte informerat tillräckligt väl om att beslutet var maskinellt, säger Gabor Sebastiani, digital risk officer vid Arbetsförmedlingen.
Andra myndigheter som automatiserat delar av beslutsfattandet är Transportstyrelsen, Försäkringskassan och vissa kommuner. Beslut om tandvårdsstöd och föräldrapenning fattas i princip helt automatiserat. I Sverige rör det sig än så länge om enklare beslut, men AI-utvecklingen gör det teoretiskt möjligt att överlåta även mer avancerade bedömningar åt maskiner. I Danmark identifierar myndigheter barn som kan behöva särskild omsorg med hjälp av algoritmer. Svenska Försäkringskassan har bedömt att det kan bli möjligt för systemen att lösa komplicerade frågor utifrån stora mängder data, men konstaterar också att implementeringar måste föregås av juridiska och etiska analyser.
I privat sektor används AI av bl a försäkringsföretag och rekryterare. Gabor Sebastiani följer utvecklingen:
– Det här är ett intressant område där vi utforskar, men inte har saker i produktion då vi inte får eller vill fatta beslut på information som inte är uppenbart relevant för beslutet. Exempelvis skulle det vara orimligt att ha ett fotografi på en person som indata i en beslutsprocess.
– Vi har tittat på möjligheten att genom maskininlärning försöka förutspå hur länge en person kommer att vara arbetslös så att vi tidigt kan sätta in insatser för personer vi ser löper hög risk för långtidsarbetslöshet. Vi fick dock inga fantastiska resultat i de försöken, säger Sebastiani.
Han nämner också exemplet med kreditföretag som bedömer betalningsförmåga utifrån vilka enheter som används vid låneansökningar.
– Skulle Arbetsförmedlingen kunna se mönster som pekar på att personer som skriver in sig via en iPad i regel är arbetslösa kortare tid än personer som skriver in sig via en Android-telefon? Om mönstret finns, är det lagligt och moraliskt för en myndighet att fatta beslut om insats baserat på det beslutsunderlaget? Strider inte det mot likabehandlingsprincipen?
I 28 § förvaltningslagen stadgas att beslut kan fattas på automatiserad väg. Digitaliseringsrättsutredningen och eSams rättsliga expertgrupp har uttalat stöd för att bestämmelsen bör kunna betraktas som ett nationellt undantag från förbudet mot helt automatiserade beslut som har rättsliga föjder för den registrerade i dataskyddsförordningens artikel 22.
Förvaltningslagen och dataskyddsförordningen innehåller båda bestämmelser om informationsgivning. Kari Laumann, jurist vid norska Datatilsynet, föreläste om AI och kravet på transparen vid Nordic Privacy Arena 2017. Se inspelningen här:
Vid årets konferens diskuterar representanter för bl a Arbetsförmedlingen automatiserade beslut och transparens. Vi välkomnar också företrädare för försäkringsbolag och brottsbekämpande myndigheter för diskussioner om AI och profilering. Nordic Privacy Arena äger rum i Stockholm 23-24 september 2019.
Fredrik Svärd
fredrik.svard@dpforum.se
Läs också:
Ny bok varnar för bias i myndigheters algoritmer
“Är Sverige redo att låta maskiner fatta besluten?” (dn.se)
Juridik som stöd för förvaltningens digitalisering (regeringen.se)
Samtycke och registerutdrag i fokus för nya granskningar
Datainspektionen genomför under året ett antal granskningar för att undersöka om företag använder sig av samtycke som laglig grund för behandling av personuppgifter på rätt sätt. Först ut är Bonnier Magazines & Brands AB. Myndigheten har också inlett ett tillsynsärende rörande Spotifys utlämning av registerutdrag.
JO-kritik för överföring av journaluppgifter till USA
JO kritiserar Region Halland för att ha lämnat ut pseudonymiserade uppgifter ur patientjournaler till en organisation i USA.
Flera omständigheter borde manat till försiktighet, menar JO, som konstaterar att det rör sig om uppgifter av mycket integritetskänsligt slag och att det varit möjligt att identifiera individer med hjälp av en referensfil. Minst åtta medarbetare varav tre konsulter ska ha haft tillgång till referensfilen.
Regionen kritiseras för att ha lämnat ut personuppgifter i strid med då gällande lagstiftning och för bristande dokumentation. Mottagaren var inte ansluten till Safe Harbor-principerna, och partnerna hade inte tecknat standardavtalsklausuler.
Nu granskas Googles annonsauktioner
Irlands dataskyddsmyndighet har beslutat att granska Googles överföring av personuppgifter till leverantörer av annonser. Enligt anmälaren, Johnny Ryan vid Brave(bilden), läcker det annonssystem som ska vara installerat på fler än åtta miljoner webbplatser känslig information om besökare.
Systemet skickar information om användare i form av ”bid requests” till certifierade leverantörer, som lämnar bud för visning av annonser.
Enligt anmälan delas uppgifter om politisk åskådning och sexuell läggning. Systemet ska också dela uppgifter om vad användaren läser och tittar på samt göra det möjligt att kartlägga användarens beteenden över tid. Irlands dataskyddsmyndighet ska nu utreda om behandlingen är förenlig med dataskyddsförordningen.
Myndigheten har tidigare kritiserats för att inte agera tillräckligt kraftfullt mot teknikföretagen. Sedan dataskyddsförordningen började gälla har dock ärenden inletts rörande bl a Facebook, Apple, Twitter, LinkedIn och Instagram.
Bland kritikerna märks Alexander Hanff, CEO för ThinkPrivacy och moderator vid årets Nordic Privacy Arena (se nedan). Vi välkomnar också Googles Global Privacy Counsel Peter Fleischer och företrädare för Irlands och Frankrikes dataskyddsmyndigheter.
Se Mozillas head of EU public policy Raegan MacDonalds keynote och den efterföljande paneldiskussionen om ad tech från förra årets konferens här.
Läs också:
Datainspektionen om Googleärendet
“Demokratin rämnar och det är Facebooks fel”
Konsumentorganisationer anmäler Google
Fredrik Svärd
fredrik.svard@dpforum.se
