Google Analytics och andra externa webbplatsverktyg utmanas rättsligt

Den 22 december 2021 fattade den österrikiska dataskyddsmyndigheten ett tillsynsbeslut om Google Analytics. Beslutet fick stor uppmärksamhet den 13 januari 2022 efter att det publicerats av den ideella organisationen Noyb (None of your business). I beslutet drog den österrikiska dataskyddsmyndigheten slutsatsen att en österrikisk webbplats bröt mot dataskyddsförordningen GDPR genom att använda Google Analytics.

Advokatfirman Covington har skrivit en kort sammanfattning av den österrikiska dataskyddsmyndighetens bedömning att Googles standardavtalsklausuler och kompletterande åtgärder var otillräckliga. Så länge Google trots kryptering med mera kunde få tillgång till online-identifierare (indirekta personuppgifter) i klartext var de kompletterande åtgärderna inte effektiva enligt GDPR.

Den norska dataskyddsmyndigheten, Datatilsynet har varnat webbplatsägare för att det kan vara olagligt att använda Google Analytics (och många andra webbplatsverktyg). I många fall kan användarens IP-adress fortfarande komma kopplas till dennes konto via cookies.

– Många verktyg kan vara olagliga att använda, och då måste webbplatserna ta bort dem omedelbart. I allvarliga fall finns det risk för sanktioner från Datatilsynet, och eftersom det är så mycket uppmärksamhet kring dessa frågor nu förväntar vi oss att få fler klagomål, säger Tobias Judin, chef för Datatilsynets internationella sektion.

Som Tech Crunch rapporterar kritiserade Europeiska datatillsynsmannen Europaparlamentet i början av januari 2022. Datatillsynsmannen kritiserade parlamentets webbsida för bokning av Covid 19-tester. Sidan innehöll kod som integrerade Stripe (en betaltjänstleverantör) och Google Analytics, som alla överförde data till USA utan tillräckliga skyddsåtgärder. Anmärkningsvärt nog integrerades Stripe trots att webbplatsen inte krävde betalning för att boka tester. Stripe hade lagts till av en extern leverantör som hade kopierat koden från en testsida.

Även externa teckensnitt och nätverk för innehållsleverans ifrågasätts.

I ett nyligen publicerat fall från Tyskland framgår det att analysverktyg och betalningstjänster inte är de enda typer av externa webbresurser som kan komma ifrågasättas rättsligt.

The Register rapporterar att en domstol i München har beslutat att en webbplatsägare måste betala 100 euro i skadestånd till en besökare på en webbplats. Webbplatsen tvingade besökarens webbläsare att ladda ner typsnitt från Googles servrar för att kunna visa sidan.

Det är vanligt att webbplatser avsiktligt utformas så att delar av innehållet tillhandahålls av externa parter. En webbplats kan använda sig av kantmoln eller innehållsleveransnätverk för att webbplatsen ska laddas snabbare eller för att minska belastningen på webbservern. Ett exempel på detta är användningen av Vimeo eller liknande nätverk för att leverera videoinnehåll.

Vidare rapporterar The Register att denna webbplats använde Google Fonts, ett externt bibliotek med typsnitt som levererades via Googles nätverk för innehållsleverans. När någon besökte webbplatsen laddade webbläsaren ner typsnitten från Googles servrar, som registrerade besökarens IP-adress.

The Register nämner att omkring 50 miljoner webbplatser världen över använder Google Fonts som levereras via Googles innehållsnätverk. I artikeln konstateras att domstolen i München ansåg att denna praxis är oacceptabel enligt tysk lag och GDPR, eftersom typsnitten i Google Fonts biblioteket också kan levereras direkt av webbservern.

Dessa beslut visar att användningen av externa element/funktioner måste övervägas noga. Det kan också vara överraskande för många, när man ser hur många webbplatsverktyg, utöver externa analysverktyg och betalningsförmedlare, som faktiskt samlar in och överför personuppgifter.

Det kan vara bra att känna till att många WordPressteman är förinställda på att använda Google Fonts som servas från Googles servrar. En hemsideadministratör som infogar en karta eller CAPTCHA från Google eller en annan leverantör kan också behöva undersöka om det leder till att personuppgifter delas med leverantören.

Länkar:

Datatilsynet nyhet från 26 januari 2022

Advokatfirman Covingtons blogginlägg den 14 januari 2022

Tech Crunchs artikel 10 januari 2022

Artikel från The Register 31 januari 2022.

Google Maps FAQ

Ett IT-företag i Malta blev ålagt med en sanktionsavgift på €65 000 efter en omfattande dataläcka som påverkade två tredjedelar av Maltas befolkning

Tillsynsmyndigheten i Malta, Information and Data Protection Commissioner, IDPC, har ålagt IT-företaget C-planet med en sanktionsavgift på € 65 000, motsvarande cirka 675 000 svenska kronor. C-planet anlitades av Arbetarpartiet i Malta för att hantera privat information om maltesiska väljare. En tillsyn av företaget påbörjades på begäran av en oberoende valkandidat, Arnold Cassola.

Hur gick dataintrånget till och vilka personuppgifter var det fråga om?

Personuppgifter tillhörande 337 384 väljare offentliggjordes online i samband med en dataläcka i april 2020. Informationen kom ursprungligen från Arbetarpartiets databas där det fanns en intern lista under namnet ”Local Area Network” som innehöll väljares personuppgifter.

Personuppgifterna som röjdes i samband med läckan var namn, adresser, ID-korts uppgifter, telefonnummer och uppgifter om väljarnas avsikter. IDPC bekräftade att de sistnämnda uppgifterna identifierade de enskilda väljarnas politiska åsikt. De anses därför vara särskilt känsliga och tillsynsmyndigheten konstaterade att C-planet bröt mot GDPR genom att behandla dessa utan någon giltig laglig grund.

Utöver uppgifter som kom från sekretessbelagda röstlängder, innehöll listan antingen en etta eller en tvåa som stod bredvid väljarens namn. Ettan stod för att väljaren var att se som Arbetarpartiets anhängare, medan tvåan angav att väljaren sympatiserade med Nationalistpartiet. IDPC bekräftade att uppgifter som identifierade de enskilda väljarnas politiska åsikt ingick i databasen. Enligt uppgifter om Europeiska valresultat från Europaparlamentet fick Arbetarpartiet 54,29% av rösterna och Nationalistpartiet 37,9%.

Arbetarpartiet tog avstånd från intrånget och anser att deras användning av data är förenlig med GDPR.

Vad kom IDPC fram till?

IDPC konstaterade att C-planet, som identifierades som den personuppgiftsansvarige för informationen, behandlade personuppgifterna som offentliggjordes i samband med läckan, i strid med gällande dataskyddslagstiftning. Vidare framförde IDPC att C-planet har underlåtit att vidta lämpliga åtgärder för att garantera en lämplig säkerhetsnivå. C-planets underlåtande var enligt tillsynsmyndigheten det som ledde till intrånget.

Sen anmälan till dataskyddsombud och bristande information till de drabbade registrerade

Utöver det som nämndes ovan hade företaget underlåtit att anmäla incidenten inom den tidsfrist som föreskrivs i lagstiftningen. C-planet missade dessutom att informera de registrerade om att deras data har offentliggjorts i en dataläcka.

Läs mer Här

Källan till uppgifter om valresultat finns Här

EU:s dataskyddsmyndighet tvingar Europol att radera uppgifter om personer utan koppling till brott

Den 3 januari 2022 gav europeiska datatillsynsmannen, European Data Protection Supervisor (EDPS) Europol ett föreläggande. Europol måste radera uppgifter om personer som inte tydligt har kopplats till brottslig verksamhet, inom sex månader. EDPS slår fast att Europol inte har rättsligt stöd för att lagra uppgifterna på obestämd tid.

Europol är Europeiska unionens (EU) byrå för polissamarbete. Europol bistår polismyndigheterna i EU:s medlemsstater. Europol hjälper dem att samordna polisinsatser och möjliggör lagring, utbyte och analys av uppgifter från brottsutredningar.

Europol behöver personuppgifter för att kunna utföra operativ och strategisk analys

Europols behandling av personuppgifter som rör brott, regleras av Europolförordningen (EU 2016/794). I denna förordning fastställs begränsningar: Europol får endast behandla personuppgifter om enskilda personer som har en tydlig koppling till brottslig aktivitet. En koppling föreligger om Europol anser att denna person är en potentiell misstänkt, vittne, offer eller liknande. Processen för att avgöra vilken av dessa kategorier en person tillhör, och därmed avgöra om Europol ens lagligen får analysera dem, kallas “kategorisering av registrerade”.

Enligt artikel 18.2 i Europolförordningen får Europol behandla personuppgifter för operativ och strategisk analys. Operativ analys innebär att man analyserar uppgifter för att lösa brottsfall. Strategisk analys handlar om att förstå brottslighet och brottstrender för att hjälpa staten att utvärdera effektiviteten i lagstiftning, förebyggande åtgärder eller sättet att utreda brott.

I april 2019 undersökte EDPS hur Europol använder Big Data för strategisk och operativ analys av personuppgifter som Europol har. EDPS avslutade tillsynen i september 2020 och kom fram till att behandlingen medförde en hög risk för de registrerade och hade en potentiellt allvarlig inverkan på deras grundläggande fri- och rättigheter.

Lagring av rå brottsdata utan slutdatum saknade rättslig grund

EDPS ansåg att Europol inte hade den nödvändiga rättsliga grunden för att på obestämd tid lagra rådata från brottsutredningar som överförs av medlemsstaterna. EDPS menade också att Europol inte heller får analysera uppgifterna innan de registrerade kategoriserats. I september 2020 ansåg EDPS att det var lämpligare att ge Europol uppgiften att utarbeta en handlingsplan än att beordra radering av uppgifterna.

Under de följande månaderna hade de två EU-organen en serie skriftväxlingar. Sammanfattningsvis tillhandahöll Europol en handlingsplan och statusrapporter. EDPS var fortfarande bekymrad över hanteringen av rådata från brottsutredningar. EDPS begärde att Europol skulle fastställa en maximal lagringsperiod. Europol vägrade och menade att en fastställd lagringsperiod allvarligt skulle begränsa pågående brottsutredningar. EDPS informerade Europol i juli 2021 om att de avsåg tvinga fram en lagringstid för uppgifter.

EDPS framhåller att lagens begränsning om vem som får registreras måste beaktas vid bedömningen av riskerna för de registrerade. När en nationell polismyndighet överför brottsuppgifter till Europol delas och samkörs dessa uppgifter också med brottsbekämpande myndigheter i andra länder. Enligt EDPS uppfattning ökar detta den potentiella omfattningen och riskerna för de registrerade utöver den risk som den nationella polisens databehandling medför.

EDPS beslut innebär att Europol måste införa en lagringstid på max 6 månader, för rådata där de registrerade inte kategoriserats. För rådata som samlats in före EDPS beslut ges dock en övergångsperiod på 12 månader.

Den 10 januari 2022 rapporterade tidningen the Guardian att EU-kommissionen föreslagit ändringar av Europolförordningen. Om lagförslaget antas kan det innebära att Europol inte behöver radera uppgifterna.

För mer information:

EDPS pressmeddelande med länk till beslutet och FAQ

The Guardians artikel den 10 januari 2022

Amedia, en stor mediekoncern i Norge, blev i slutet av december utsatt för ett allvarligt dataangrepp där flera centrala datasystem stängdes ner

Ett externt dataangrepp riktat mot Amedia skedde natten till tisdag den 28 december 2021. Till följd av dataangreppet slutade flera, men inte alla, system att fungera. Systemen som påverkades av angreppet ansvarade för utgivning av papperstidningar, annonser och hantering av prenumerationer. Detta ledde i sin tur till att inga papperstidningar kom ut på onsdagen den 29 december 2021. Som tur var kunde nyheter i alla fall fortsätta publiceras online.

Det finns fortfarande ingen detaljerad information om angreppet och vilka konsekvenser det kan komma att få framöver

Ännu finns tyvärr en begränsad mängd information om vad som var syftet med attacken och vem eller vilka som var ansvariga för den. VD:n för Amedia, Pål Nedregotten, uppgav i samband med en intervju att de jobbade på att begränsa skadorna för att återgå till normal drift så fort som möjligt.

Fick angripare tillgång till personuppgifter?

Det är fortfarande oklart om angripare fick tillgång till några personuppgifter i samband med angreppet. Ett av systemen som angreps, prenumerationssystemet, innehåller bland annat personuppgifter som namn, adress och telefonnummer. Lösenord, läshistorik och bankuppgifter påverkades dock inte av angreppet.

Var angreppet riktat mot pressen?

Biträdande generalsekreterare för Redaktörsföreningen, Reidun. K Nybø, uttryckte sin oro för att attackens möjliga motiv eftersom attacken var riktad mot redaktörskontrollerade medier Hon uppgav dock att det är för tidigt att svara på om attacken faktiskt riktade sig mot pressen, men att det är en fråga som aktualiseras när ett mediehus blir föremål för ett sådant angrepp.

Höjd beredskap efter attacken  

Mediekoncernen Schibsted höjer sin beredskap till högsta nivå efter attacken mot Amedia och var i dialog med Amedia för att få klarhet i vad som har inträffat. Säkerheten har även skärpts på Norsk Telegrambyrå, enligt uppgifter från chefredaktören Tina Flem.

Varningar om dataattacker under semestertider  

National Security Authority avstod från att kommentera händelsen, men uppgav att det inte är förvånande. Säkerhetsmyndigheten kom i början av december 2021 ut med en varning till norska företag om att risken för allvarliga datattacker var högre under ledigheter och semestertider. Norska företag uppmanades därför att höja sin säkerhet och beredskap under dessa tider. Detta eftersom de som står bakom attacker tar vara på lediga dagar med lägre beredskap.

Läs mer HÄR

Europeiska kommissionen godkänner överföring av personuppgifter till Sydkorea

Den 17 december 2021 beslutade Europeiska kommissionen att Sydkorea erbjuder en adekvat skyddsnivå. Beslutet gäller tillsvidare men kommer omprövas efter tre år och därefter vart fjärde år.

Europeiska kommissionen skriver i sin FAQ att Sydkorea år 2020 genomförde betydande reformer av sitt dataskydd. Reformerna gav den koreanska dataskyddsmyndigheten, Personal Information Protection Commission (PIPC) i Sydkorea, starkare utrednings- och tillsynsbefogenheter. Enligt Kommissionens uppfattning utgör sådana reformer där ett lands dataskyddsmyndighet garanteras en oberoende ställning, en nyckelkomponent i den nya globala standarden för moderna dataskyddslagar som håller på att växa fram. I FAQ:n anges också att beslutet om adekvat skyddsnivå kommer att stärka frihandelsavtalet mellan EU och Sydkorea, som för närvarande omsätter cirka 90 miljarder euro per år.

Beslutet innehåller få undantag

Koreas personuppgiftslag, Personal Information Protection Act (PIPA), som Europeiska kommissionen anser vara förenlig med EU:s lagstiftning, har ett brett tillämpningsområde. Den gäller både organisationer inom den privata och den offentliga sektorn. I beslutet om adekvat skyddsnivå förutsätts att även den behandling av överförda uppgifter som kan komma att utföras av brottsbekämpande organ och underrättelsetjänster i Korea uppfyller EU:s normer.

Det finns dock tre väldigt specifika undantag: Beslutet tillåter inte överföringar om uppgifterna ska användas i Korea när ett politiskt parti nominerar kandidater, i religiösa organisationers missionsverksamhet och av finansiella organisationer som omfattas av den koreanska finansinspektionens jurisdiktion. Dessa aktiviteter omfattas antingen av annan lag eller av mjukare PIPA-regler som inte uppfyller EU-rättens krav.

Europeiska kommissionen har undersökt de förpliktelser som PIPA innebär för privata organisationer och offentliga organ i Korea som behandlar personuppgifter som exporterats från Europa. Europeiska kommissionen anser att PIPA innehåller begränsningar som uppfyller de EU-rättsliga kraven på nödvändighet och proportionalitet samt mekanismer för tillsyn och rättslig prövning för EU-medborgare.

Bilaga II till beslutet om adekvat skyddsnivå innehåller information om det koreanska rättssystemet som de koreanska myndigheterna lämnat till Europeiska kommissionen. I denna bilaga anges det att skyddet av personuppgifter inte har någon egen bestämmelse i Koreas konstitution. Skyddet härleds ur de grundläggande mänskliga rättigheterna om mänsklig värdighet, att sträva efter lycka och att ha ett privatliv. Vidare förklarar de koreanska myndigheterna i bilagan att den koreanska författningsdomstolen har slagit fast att de grundläggande mänskliga rättigheterna även gäller för utlänningar. Det finns dock inget specifikt prejudikat om utlänningars grundlagsskyddade rätt till att ha ett privatliv.

Extra skydd för EU-data och fler beslut om adekvat skyddsnivå på gång

Den koreanska dataskyddsmyndigheten CIPC har också publicerat ett tillkännagivande till koreanska personuppgiftsansvariga, som har status som bindande offentlig rätt. Tillkännagivandet innehåller specialregler som kompletterar PIPA för uppgifter som överförs till Korea enligt Europeiska kommissionens beslut om adekvat skyddsnivå. Koreanska personuppgiftsansvariga som importerar uppgifter måste enligt dessa kompletterande regler under alla omständigheter informera den registrerade senast en månad efter det att uppgifterna importerats.

Avslutningsvis aviserar Europeiska kommissionen i FAQ:n att fler beslut om adekvat skyddsnivå kan vara på gång. För det första har förhandlingarna med USA om ett nytt arrangemang för laglig överföring av uppgifter dit intensifierats under senaste månaderna. För det andra utforskar kommissionen aktivt möjligheten till fler adekvansbeslut i dialog med länder i Asien och Latinamerika.

Vill du veta mer?

Läs det gemensamma pressmeddelandet från EU Kommisionen och Koreanska dataskyddsmyndigheten CIPC

Direktlänk till beslutet om adekvat skyddsnivå (inklusive bilagor)

Direktlänk till EU Kommissionens FAQ om beslutet

Den norska dataskyddsmyndigheten, Datatilsynet, har utfärdat sin högsta sanktionsavgift hittills

En sanktionsavgift på 65 miljoner norska kronor har utfärdats till Grindr, en dejtingplattform som riktar sig till hbtq-personer och använder en positionsbaserad teknik. Sanktionsavgiften skulle först vara 100 miljoner norska kronor, men beloppet har justerats efter att Datatilsynet har fått mer information om företagets ekonomi. Sanktionsavgiften är den största som Datatilsynet hittills har dömt ut.

Personuppgifter delades med tredje parter i marknadsföringssyfte

En tillsyn av Grindr påbörjades i samband med en anmälan från det norska konsumentverket, Forbrukerrådet. Av anmälan framgick att Grindr delade användarnas personuppgifter med tredje parter och att uppgifterna skulle användas i marknadsföringssyfte.

Personuppgifterna kunde kopplas till användare och bestod bland annat av användarnas platsinfo, ålder, IP-adress och kön samt faktumet att de använde Grindr – som avslöjade deras sexuella läggning. Dessutom kunde tredje parter som fick tillgång till personuppgifterna dela dem vidare.

En sådan personuppgiftshantering kräver ett uttryckligt samtycke från de registrerade vilket Grindr samlade in, men på grund av omständigheter som kommer att beröras nedan var samtycket ogiltigt.

Samtycket var ogiltigt

Enligt ett uttalande från Tobias Judin, sektionschef på Datatilsynet, kom myndigheten fram till att den rättsliga grunden för personuppgiftshanteringen var samtycke, men att samtycke om att personuppgifter skulle delas med tredje parter saknade verkan.

Samtyckets ogiltighet berodde på att användare var tvungna att godkänna samtliga villkor i integritetspolicyn för att kunna använda appen. De fick alltså ingen chans att ta ställning till att deras personuppgifter kunde användas i marknadsföringssyfte. Datatilsynet ansåg därför att ett giltigt samtycke saknades.

Vissa personuppgifter i frågan var särskilt känsliga

Uppgifter om användarnas sexuella läggning tillhör en speciell kategori av personuppgifter och anses vara extra känsliga. Att dessa uppgifter delades med tredje parter stred mot GDPR eftersom användarnas samtycke var ogiltigt på grunder som har berörts ovan.

Även platsdata kräver extra skydd. Personuppgifternas karaktär bidrog till att överträdelsen klassades som grov och till att sanktionsavgiften blev så hög.

Vad händer nu?

Beslutet om sanktionsavgiften kan överklagas av Grindr inom tre veckor från dagen då de tog emot beslutet. Tidsfristen kan komma att förlängas på grund av vissa omständigheter. Forbrukerrådet har efter beslutet inkommit med uppgifter om att Grindr har brutit mot några till bestämmelser i GDPR. Forbrukerrådet har även bett Datatilsynet att beordra Grindr att radera de personuppgifter som sanktionsavgiften hänför sig till. Med hänsyn taget till detta är det inte uteslutet att Datatilsynet vidtar fler åtgärder som riktar sig till Grindr.

Läs mer HÄR och HÄR

Diskriminerande databehandling ledde till nationell rekordsanktion för nederländskt skatteverk

Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) offentliggjorde den 7 december 2021 att den utfärdat en sanktionsavgift på 28,2 miljoner kronor (2,75 miljoner euro) till den nederländska skattemyndigheten. Enligt hemsidan Enforcement Tracker, som kartlägger sanktionsavgifter i EU:s medlemsstater, är detta den hittills högsta sanktionsavgiften som utdelats i Nederländerna.

Den nederländska skattemyndigheten behandlade under olika former, personuppgifter på ett diskriminerande vis, åtminstone mellan åren 2016 och 2020. Myndigheten handlägger ansökningar om barnomsorgsbidrag som föräldrar använder för att betala daghemskostnader. I kampen mot bidragsfusk behandlade den nederländska skattemyndigheten olagligt sökandes personuppgifter genom:

1) Registrering av dubbelt medborgarskap.

2) Algoritmisk profilering för riskbedömning baserad på nationalitet.

3) Systematisk användning av nationalitet som sökkriterium i manuella databassökningar.

För det första fann AP att det bröt mot GDPR att i detta sammanhang registrera om någon är nederländsk medborgare och samtidigt medborgare i ett annat land. AP ansåg att skattemyndigheten endast behövde registrera att sökanden var nederländsk medborgare för att bedöma om denne var berättigad till barnomsorgsbidrag.

För det andra använde det nederländska skatteverket en algoritm för att riskbedöma sökande. En av riskindikatorerna var huruvida den sökande var utländsk medborgare eller hade dubbelt medborgarskap, vilket AP ansåg vara irrelevant för att utföra kontrollerna.

För det tredje visade AP:s utredning att 213 manuella databassökningar hade genomförts mellan maj 2018 och april 2019, som alla var baserade på nationalitet. När det skedde en förändring i inflödet av ansökningar från en viss nationalitet kunde det få skattemyndigheten att titta närmare på alla sökande i den gruppen i jakt på systematiskt bedrägeri. Till exempel omfattade två databassökningar alla sökande med medborgarskap från Ghana respektive Bulgarien.

AP fann att skattemyndigheten behandlade uppgifterna i strid med dataskyddsprinciperna i GDPR och utan rättslig grund. Vid beräkningen av sanktionsavgiften tog AP också hänsyn till att uppgifterna behandlades systematiskt och diskriminerande, i strid med grundläggande rättigheter och med sociala och ekonomiska konsekvenser för de registrerade. AP fastställde sanktionsavgiften till 28,2 miljoner kronor (2,75 miljoner euro).

Många drabbade fick sina liv förstörda och regeringen fick avgå

Dataskyddsförordningen syftar till att förebygga riskerna för de registrerade (se skäl 75). Detta fall kan ses som en bekräftelse på att dessa risker är allt annat än teoretiska.

The Guardian rapporterade i januari 2021 att den nederländska regeringen avgick efter att en parlamentarisk utredning kommit fram till att grundläggande rättsstatsprinciper hade kränkts. Tidningen rapporterar att 10 000 familjer, som felaktigt anklagades för att på falska grunder ha fått barnomsorgsbidrag, tvingades betala tillbaka bidraget, vilket enligt tidningen ledde till förödande konsekvenser för dem.

Nederländernas nationella statistikbyrå släppte i oktober 2021 siffror som avslöjade ytterligare konsekvenser för de drabbade familjerna, enligt Irish Times. Mer än 1 100 barn togs om hand av socialtjänsten mellan 2015 och 2020 efter att deras föräldrar blev ekonomiskt ruinerade. Artikeln i Irish Times fortsätter med att konstatera att skandalen ledde till en hel rad sociala, hälsomässiga och ekonomiska problem som i många fall vände upp och ned på de drabbades liv. Enligt nättidningen NL Times har regeringen avsatt 51,2 miljarder kronor (5 miljarder euro) för kompensation till de drabbade.

I ett blogginlägg (på nederländska) på AP:s webbplats reflekterar myndighetens styrelseordförande Aleid Wolfsen över vad som hände. Blogginlägget tar upp utmaningarna med att använda AI för riskbedömning inom den offentliga sektorn. Han varnar för risken för diskriminering, informerar om bristen på rättsligt skydd för offren i det här fallet och framhåller att medborgarna måste veta varför de blir utvalda för att kunna ta vara på sin rätt.

Händelserna i Nederländerna har fått Amnesty International att publicera en rapport om diskriminerande användning av algoritmer för riskbedömning i sociala trygghetssystem. De efterlyser effektivare tillsyn och övervakning av den offentliga sektorns användning av algoritmer och bättre tillgång till rättsmedel (lagliga vägar att få sin sak prövad) för individer och grupper vars rättigheter har kränkts.

Vill du fördjupa dig på egen hand i denna nyhet? Nedan kommer en hel lista på Engelska och Nederländska länkar.

Engelska källor:

Dataskyddsmyndigheten APs pressrelease på engelska, 8 dec 2021.

Artikel i Irish Times, 22 okt 2021.

Artikel i the Guardian, 15 januari 2021.

Amnesty Internationals uttalande 25 oktober 2021, om diskriminerande algoritmer med länk till deras rapport.

Direktlänk till Amnestys rapport om diskriminerande algoritmer.

Artikel i NL Times 29 oktober 2021.

Artikel i det kanadensiska nätmagasinet Vice, 1 mars 2021.

Artikel i Dutch News 15 januari 2021 med intervjuer av drabbade.

Artikel i Dutch News 20 oktober 2021 om statistiken över omhändertagna barn.

Inslag i BBC den 15 januari 2021.

Nederländska källor:

APs tillsynsbeslut om sanktionsavgiften, 7 dec 2021.

APs pressrelease om beslutet, 7 dec 2021.

Blogginlägg av styrelseordföranden i Nederländska dataskyddmyndigheten AP, 10 dec 2021.

Nederländska statistikbyråns fick ett regeringsuppdrag att ta fram statistik på omhändertagna barn med anledning av skandalen, de officiella siffrorna publicerades här den 18 oktober 2021.

Den parlamentariska utredningen som publicerades i december 2020.

Officiell reflektion från Nederländska ”högsta förvaltningsdomstolen”, 19 november 2021 om dess egen roll med en ursäkt till drabbade familjerna. ”Högsta förvaltningsdomstolens” ordförande är ångerfull inför att förvaltningsdomstolarna under lång tid konsekvent gick på skattemyndighetens linje och inte var mer kritiska. Reflektionen innehåller en lista på åtgärder som domstolen vill ska vidtas för att återställa förtroendet för förvaltningsdomstolarna.

(Nederländska Raad van State är ett statsorgan med två avdelningar. Ena avdelningen för förvaltningsrätt fungerar som högsta förvaltningsdomstol. Det är ordföranden för förvaltningsavdelningens som uttalar sig.  Den andra, rådgivningsavdelningen, yttrar sig över lagförslag och har en liknande roll som lagrådet i Sverige).

Clearview Al riskerar att få betala 17 miljoner pund i sanktionsavgift eftersom deras användning av en teknik för ansiktsigenkänning kan strida mot Storbritanniens dataskyddslagstiftning

Den brittiska dataskyddsmyndigheten, The Information Commissioner’s Office (ICO) gick den 29 november 2021 ut med ett preliminärt beslut om sin avsikt att potentiellt döma ut sen sanktionsavgift om strax över 17 miljoner pund till det amerikanska bolaget Clearview Al.

Vad är Clearview Al och vilken verksamhet avser sanktionsavgiften?

Clearview Al beskriver sig som ”världens största ansiktsnätverk” och tillhandahåller en teknik för ansiktsigenkänning. Genom Clearview Al:s tjänster kan användare ladda upp en bild på en person och sedan få tillgång till bilder som finns på personer online. Detta sker genom att bilden som laddas upp matchas ihop med bilder från företagets databas som innehåller 10 miljarder bilder. Förutom tillgång till bilderna på personen i fråga får användaren även veta varifrån bilderna har hämtats – exempelvis om de har hittats på Instagram, Facebook eller andra sociala plattformar.

Brottsbekämpande myndigheter och deras användning av tekniken

Enligt data från företaget själva, har deras tjänster använts av 600 brottsbekämpande myndigheter under år 2020. Bland annat har de brittiska brottsbekämpande myndigheterna använt sig av tjänsterna, dock endast under en gratis provperiod som sedan avslutades.

Även den svenska Polismyndigheten har nyttjat tjänsten, vilket ledde till att IMY startade en tillsyn. Den 11 februari 2021 kom IMY:s beslut där det konstaterades att Polismyndighetens användning av tjänsterna stred mot brottsdatalagen. Polismyndigheten blev, i samband med beslutet ålagt med en sanktionsavgift på 2,5 miljoner kronor.

ICO:s preliminära uppfattning om överträdelser av den brittiska dataskyddslagstiftningen

Överträdelserna ska enligt ICO avse ett flertal punkter, bland annat att Clearview Al:

  • Inte behandlat britters personuppgifter på ett sätt som de har kunnat förutse
  • Inte haft en lämplig process som säkerställer att data inte lagras i all oändlighet
  • Inte haft en rättslig grund till personuppgiftsbehandling
  • Inte uppfyllt de högre kraven som ställs på behandling av biometriska personuppgifter
  • Inte informerat britter om hur deras personuppgifter behandlas

Beslutet om sanktionsavgiften är än så länge preliminärt

Än så länge är beslutet om sanktionsavgiften preliminärt och Clearview Al ska nu få en möjlighet att bemöta de påstådda överträdelserna. Ett slutgiltigt beslut förväntas komma i mitten av februari 2022.

Läs mer här:

Artikel från ICO

Artikel från IMY

Artikel från Nytimes

Myndigheter nobbar Teams och ger exempel på alternativa lösningar.

Den 18 november 2021 publicerade en projektgrupp inom E-samverkansprogrammet (e-Sam) med representanter från åtta statliga myndigheter en rapport över alternativ till amerikanska molnplattformar. Projektgruppen drog slutsatsen att det finns lämpliga och lagliga alternativ till Microsoft Teams och presenterade en lista med ett 30-tal lösningar för att bevisa det.

När Microsoft meddelade att man skulle upphöra med Skype for Business undersökte Skatteverket och Kronofogdemyndigheten om de skulle gå över till dess efterföljare, Microsoft Teams. De två myndigheterna drog slutsatsen att användningen av Microsoft Teams skulle innebära att stora datamängder skulle bli tillgängliga för Microsoft på ett sätt som inte skulle vara förenligt med offentlighets- och sekretesslagen och dataskyddslagstiftningen. Skatteverket och Kronofogdemyndigheten beslutade att inte övergå till Microsoft Teams och att tillsammans med andra intresserade myndigheter hitta alternativ.

Myndigheter behöver rättslig stabilitet för att klara av digitaliseringen

Syftet med rapporten har varit att underlätta digitaliseringen av den offentliga sektorn. I rapporten betonas att det inte finns något egenvärde i att utesluta enskilda leverantörer. Däremot skapar dolda utländska lagar med extraterritoriell räckvidd (som till exempel gör att amerikanska myndigheter i hemlighet kan bereda sig tillgång till kunddata lagrad utanför USA) ett hinder mellan amerikanska molnleverantörer och svenska myndigheter.

I rapporten konstateras att svenska myndigheter inte ska behöva verka i en juridisk gråzon för att hitta lösningar som uppfyller deras digitaliseringsbehov. Projektgruppen föreslår att svenska myndigheter bör föregå med gott exempel. Projektet syftar till att sätta stopp för den praxis där svenska myndigheter investerar mycket tid och resurser för att utreda och konstruera speciallösningar med riktlinjer om vad som får lagras hos vilken molnleverantör och vilka funktioner som måste stängas av.

Projektgruppen vill att den offentliga sektorn tar på sig ledartröjan och talar om vad dess organisationer behöver. Det är inte den offentliga sektorn som ska anpassa sig till kraven från leverantörerna i IT-branschen, utan tvärtom. Projektgruppen hoppas att rapporten ska leda till att leverantörerna utvecklar verktyg som uppfyller de svenska myndigheternas behov av säkerhet, laglighet och sekretess. Författarnas mål är att den offentliga sektorn ska kunna använda verktyg som inte riskerar att ogiltigförklaras av en domstol efter år av förhandlingar, som i fallet med Privacy Shield.

Två realistiska alternativ till Teams

Enligt projektet finns det två allt-i-ett-lösningar som kan ersätta Microsoft Teams. Dessa erbjuder funktionalitet som är jämförbar med Office365 och Google Workspace. Den första, Nextcloud, utmärker sig genom att den är anpassningsbar och baserad på öppen källkod. Det är en lösning som kan installeras på myndighetens egen server eller hos valfri molnleverantör. Ett stort antal funktioner kan tillhandahållas via hundratals valbara moduler. Med dessa erbjuds funktioner som fil- och dokumenthantering, webbdokumentredigerare med stöd för samtidig redigering, fasta chattrum med stöd för grupp- och personlig chatt, videomötestjänst, e-post, kalenderhantering, “att-göra-listor”, kanban, kalendrar, enkätverktyg, wiki och whiteboard. Den andra kompletta lösningen som nämns i rapporten är Compliant Office, som tillhandahålls av en viss svensk leverantör, City Network. Den underliggande tekniken är Icewarp, en proprietär lösning (stängd källkod).

Enligt rapporten erbjuder IceWarp en sammanhållen samarbetslösning med ett färdigt paket av funktioner som e-postklient, e-postserver, kalender, chatt, videokonferenser, uppgiftshantering, dokumenthantering och Office med stöd för samtidig online-redigering. I rapporten betonas att myndigheten också kan köra IceWarp på sina egna servrar eller hos valfri molnleverantör.

Rapporten tar också upp flera andra alternativ som tillhandahålls av svenska och europeiska leverantörer. Vissa av dessa lösningar har mer avgränsade användningsområden som Mattermost (gruppchatt), Jitsi (videokonferens) och Focal point (Kanban).

Läs mer:

E-sams pressrelease 18 okt 2021 med länk till rapporten och bilagor.

För en bakgrund: Skatteverket och Kronofogdens beslut i maj 2021 om att inte migrera till Microsoft Teams.

Ett nederländskt lågprisflygbolag, Transavia, får betala €400 000 i sanktionsavgift efter brister i sitt säkerhetssystem

Transavia, ett nederländskt lågprisflygbolag, har blivit ålagt med en sanktionsavgift på €400 000 efter en tillsyn av den nederländska dataskyddsmyndigheten, Dutch Data Protection Authority (DPA). Sanktionsavgiften utfärdades i samband med ett konstaterande om brister i företagets säkerhetssystem som har lett till att en hacker har kunnat ta sig in i systemen och fått åtkomst till information som lagrades. Hackern hade åtkomst till systemen från september till november 2019.

Tre huvudsakliga säkerhetsbrister

Hackern lyckades ta sig in i systemet genom att använda konton som tillhörde två medarbetare vid IT-avdelningen.

Det fanns tre huvudsakliga säkerhetsbrister:

  1. Det var lätt att gissa sig fram till lösenordet. Enligt uppgifter från Katja Mur, ledamot i DPAs styrelse var lösenorden som användes av samma typ som de som under de senaste åren har varit på topplistan av mest använda lösenord som exempelvis ”123456”, ”welcome” and ”password”.
  2. Det enda som krävdes för inloggning var ett lösenord. Det fanns alltså inget krav på flerstegsverifiering, exempelvis som att en bekräftelsekod skickas till mobiltelefonen för att autentisera inloggning. 
  3. När hackern lyckades logga in på de två konton fick han tillgång till ett flertal av Transavias system. På grund av brister i behörighetsbegränsningar hade dessa konton tillgång till fler system än de egentligen skulle ha behörighet för.

Personuppgifter som laddades ner

I samband med intrånget fick hackern tillgång till personuppgifter tillhörande 25 miljoner passagerare. Det var bland annat uppgifter om passagerarnas namn, födelsedatum, kön, mailadresser, telefonnummer och bokningsnummer. Personuppgifter tillhörande 83 000 passagerare har laddats ner. Dessutom laddade hackern ner medicinsk information om 367 personer som exempelvis begärde att ta med sig en rullstol eller efterfrågade extra hjälp på grund av nedsatt syn och hörsel.   

En drastisk ökning av datastölder

I sin rapport om dataintrång varnade DPA om att det har skett en dramatisk ökning av hackerattacker med syfte att stjäla personuppgifter. Antalet hackerattacker ökade med 30% år 2020 jämfört med 2019. Datastölder kan ofta undvikas genom förbättrade säkerhetsåtgärder.

Vad händer nu?

Beslutet från DPA är slutgiltigt och Transavia har inte överklagat beslutet.

Läs mer här och här

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart