EU stärker sin cyberförsvarsförmåga och stöttar europeiska cybersäkerhetsföretag

Författare: Kave Noori

EU har presenterat en ny politik och handlingsplan för cyberförsvaret som ska förbättra EU:s förmåga att skydda sina medborgare och sin infrastruktur mot cyberhot. Detta är en följd av Rysslands aggression mot Ukraina och syftar till att göra EU bättre rustat för att hantera sådana hot. 

Cyberattacker har på senare tid visat vilka risker de utgör för civila och militära mål, något som kräver fler åtgärder för att skydda samhället. EU kommer med sin nya cyberförsvarspolitik att öka samarbetet och investeringarna i cyberförsvaret för att bättre skydda, upptäcka, avskräcka och försvara sig mot det ökande antalet cyberattacker.

EU är fast beslutet att förbättra sin cyberförsvarsförmåga och bättre samordna sina insatser mellan det civila cyberförsvaret och det militära cyberförsvaret. I denna plan ingår också att minska EU:s beroende av kritisk teknik och att förbättra utbildningen och samarbetet mellan aktörer på området.

EU:s politik för cyberförsvar ska bygga på fyra pelare: 

1. Gemensamma åtgärder för att stärka EU:s cyberförsvar. 

2. Skydd av EU:s försvarsekosystem. 

3. Investeringar i cyberförsvarskapacitet.

4. Partnerskap för att hantera gemensamma utmaningar.

Gemensamma åtgärder för att stärka EU:s cyberförsvar 
EU kommer att stärka sina samordnade insatser mellan nationella aktörer och EU-aktörer på cyberförsvarsområdet för att stärka informationsutbytet och samarbetet. Detta omfattar bland annat inrättandet av ett samordningscentrum för cyberförsvar inom EU (EUCDCC), skapandet av ett operativt nätverk för milCERTs (Military Computer Emergency Response Teams) samt utvecklingen och stärkandet av EU:s cyberbefälhavarkonferens.

Skydd av EU:s försvarsekosystem EU kommer att ta initiativ till att säkra försvarsekosystemet genom att ta fram rekommendationer för standardisering och certifiering av cybersäkerhet, skapa riskscenarier för kritisk infrastruktur och främja samarbete mellan civila och militära standardiseringsorgan.

Investering i cyberförsvarskapacitet
EU kommer att vidta flera åtgärder för att ta itu med de militära utmaningarna inom cyberförsvaret. Bland annat ska prioriteringarna för kapacitetsutveckling ses över, en färdplan för EU: s cyberteknik utarbetas och en EU-akademi för cyberkompetens inrättas.

Partnerskap för att hantera gemensamma utmaningar 
Europeiska unionen kommer att försöka bygga skräddarsydda cyberförsvarspartnerskap för att möta gemensamma utmaningar. Detta inkluderar att stärka samarbetet mellan EU och Nato i fråga om cyberförsvarsträning, övningar, utbildning, lägesuppfattning, standardisering och certifiering samt att hjälpa partnerna att bygga upp sin cyberförsvarskapacitet.

Europeiska investeringsbanken håller cyberförsvarsindustrin under sina vingar
Parallellt med ansträngningarna för att stärka cyberförsvaret försöker EU även stärka den digitala suveräniteten. Enligt Computer Sweden står Europa inför ett allvarligt hot mot cybersäkerheten eftersom mycket av den bästa säkerhetstekniken har sålts till andra länder. EU vidtar nu åtgärder för att behålla dessa företag i regionen. Enligt artikeln ska Europeiska investeringsbanken stödja en ny plattform som ska göra det möjligt för unga cybersäkerhetsföretag att få kontakt med investerare och offentliga finansiärer så att de kan hitta den finansiering som behövs för deras tillväxt. 

Enligt Computer Sweden är cybersäkerheten viktigare än någonsin. EU ligger förvisso i framkant när det gäller forskning och innovation inom cybersäkerhet, men har halkat efter länder som USA och Israel när det gäller att utveckla och behålla högpresterande cybersäkerhetsföretag. Detta har blivit en oroväckande trend i det rådande säkerhetsläget, i artikeln kan man läsa att många unga, banbrytande företag flyttar till USA och att denna trend måste vändas.

Läs mer
Pressmeddelande den 10 november 2022 från EU-kommissionen och EU:s höge representant (EU:s ”utrikesminister”, reds anmn.) om att EU stärker sitt cyberförsvar

Gemensamt uttalande den 10 november 2022 från EU-kommissionen och EU:s höge representant till Europaparlamentet och Rådet om en ny cyberförsvarspolitik

Frågor och svar om den nya cyberförsvarspolitiken

Computer Swedens artikel den 15 november 2022 om att Europa dräneras på sin egen cybersäkerhet

Integritetsskyddsmyndighetens budget förstärks så digitaliseringståget kan tuffa vidare 

Författare: Kave Noori

Den 8 november 2022 lade den nya regeringen fram ett förslag till 2023 års statsbudget till riksdagen. I förslaget ingår en kraftig ökning av den årliga budgeten för Integritetsskyddsmyndigheten (IMY). 

IMY:s budget har ökat för att möta det växande antalet klagomål, kraven på en enhetlig tolkning och tillämpning av GDPR i hela EU samt den ökade användningen av övervakningskameror och artificiell intelligens.

De faktiska siffrorna
IMY:s budget för 2022 har varit cirka knappt 125 miljoner svenska kronor. Under de två kommande åren kommer IMY:s budget enligt förslaget att växa med sammanlagt 44,8 % (56 miljoner kronor). År 2023 kommer IMY:s totala budget att öka med 48 miljoner kronor till totalt nästan 178 miljoner kronor. År 2024 kommer den att öka med ytterligare 8 miljoner kronor för att landa på totalt 181 miljoner kronor.

Varför behövs denna ökning?
I sitt budgetförslag hänvisar regeringen till behovet av ett starkare integritetsskydd genom ökad tillsyn och vägledning i digitaliseringens tidsålder för att skydda andra grundläggande rättigheter och för att säkerställa att integritetsskyddet inte blir ett hinder för innovation. Dessutom har behovet av kameraövervakning ökat och myndigheten behöver ytterligare resurser för att effektivt kunna utföra sin tillsynsroll och besluta om tillstånd för kameraövervakning (se sidorna 64–65 i regeringens budgetproposition 2023, utgiftsområde 1).

Regeringens budgetförslag grundar sig på IMY:s eget budgetunderlag för 2023–2025 (som lämnades in till regeringen i mars 2022). I detta dokument förklarar myndigheten varför den bett regeringen om mer pengar.

Ny lagstiftning, fler klagomål och mer komplexa ärenden
I budgetunderlaget skriver IMY att efterfrågan på råd och stöd har ökat kraftigt, från 8 000 fall år 2017 till 25 000 fall år 2018 (året då dataskyddsförordningen trädde i kraft). Dessutom har myndigheten vuxit från 50 till över 85 anställda under samma period. Dessa förändringar har varit så omfattande att IMY beskriver sig själva som en helt ny myndighet från och med 2018.

Vidare skriver IMY att man, trots den ökade finansieringen, uppskattar att det primära uppdraget med dataskydd och kameraövervakning har varit underfinansierat med nästan 20 miljoner kronor årligen från 2018 fram till nu. Bristen på finansiering har påverkat myndighetens förmåga att fullgöra sitt uppdrag negativt, under 2021 tvingades IMY ge mindre service till enskilda individer om hur de tar vara på sina rättigheter. 

Fortsättningsvis skriver myndigheten att komplexiteten i uppdraget har ökat i takt med att IMY och andra dataskyddsmyndigheter i EU/EES har vuxit in i sina roller som övervakare av dataskyddsförordningen. Bakgrunden till detta är att dataskyddsförordningen i detalj fastställer tillsynsmyndigheternas uppgifter och skyldigheter och kräver en konsekvent och enhetlig tillämpning och tolkning i hela EU. Det här medför att IMY inte längre har fullständig kontroll över sina prioriteringar, arbetssätt och beslut. 

Kameraövervakning
Enligt IMY har kameraövervakningen blivit mycket enklare för många verksamheter fyra år efter att lagen om kameraövervakning trädde i kraft. Kravet på tillstånd innan man får sätta upp kameror har försvunnit för många företag, och IMY har kunnat förkorta handläggningstiden för verksamheter som måste ha tillstånd genom ökade resurser och ett intensivt utvecklings- och effektiviseringsarbete.

Samtidigt konstaterar IMY att det finns stora brister i skyddet av privatlivet när det gäller kameraövervakning. Detta beror på att det är många människor som inte känner till de rättsliga kraven, vilket leder till att många verksamheter använder kameraövervakning på ett sätt som inkräktar på den personliga integriteten. IMY konstaterar att det saknats resurser för en effektiv tillsynsfunktion som kan förhindra detta.

Övergången till klagomålsbaserad tillsyn
IMY skriver också att diskussionen om hur klagomål ska hanteras i EU har intensifierats i och med att samarbetet inom EDPB (European Data Protection Board) fördjupats så att fler gränsöverskridande ärenden hanteras inom EDPB.

Framför allt har EU-kommissionen, enligt IMY i sin utvärdering av GDPR som görs vartannat år lyft fram behovet av att harmonisera och stärka arbetet med klagomål och den klagomålsbaserade tillsynen. Europaparlamentet har konstaterat att alltför få beslut har fattats med hjälp av de kraftfulla verktygen i dataskyddsförordningen i förhållande till antalet klagomål i EU, och har uttryckt sin oro över bristen på tillsyn av förordningen skriver IMY.

EU-domstolen uttryckte i den så kallade Schrems II domen en tydlig förväntan på att individers rättigheter skulle skyddas genom att förordningen efterlevs, genom att tillsynsmyndigheterna granskar klagomålen och vidtar kraftfulla åtgärder i motiverade fall. I början av 2021 antogs interna riktlinjer inom EDPB som anger att alla klagomål från enskilda personer ska utredas.

IMY beskriver också hur dess roll som tillsynsmyndighet har förändrats. Tidigare använde myndigheten klagomål för att utveckla ett strategiskt och riskbaserat upplägg för sina tillsynsinsatser och för att fatta beslut om huruvida tillsyn ska inledas eller inte. Till följd av den ökade komplexiteten i hanteringen av klagomål har myndigheten också behövt dra ned på den tillsyn som inleds på myndighetens egna initiativ. Istället är det den klagomålsbaserade tillsynen som ökat. 

IMY skriver att det också finns starka intresseorganisationer som värnar personlig integritet och dataskydd som arbetar hårt för att påskynda implementeringen av dataskyddsreglerna, bland annat genom att lämna in ett stort antal klagomål till de olika nationella tillsynsmyndigheterna. IMY menar att dessa organisationer genom sina klagomål starkt påverkar dataskyddsmyndigheternas prioriteringar.

Mer juridisk vägledning som förutsättning för innovativ digitalisering
IMY skriver att den svenska regeringen strävar efter att bli bäst i världen på att använda digitaliseringen för att lösa samhällsproblem. Tillgången till stora datamängder och artificiell intelligens ses som nyckeln till att revolutionera områden som hälso- och sjukvård, välfärdssystem, brottsbekämpning och klimatförändringar.

IMY påpekar att vi befinner oss i början av en samhällsomvandling som är lika genomgripande som industrialiseringen. Denna omvandling bygger på att vi utvecklar förmågan att skapa, använda och dela data. Precis som tillgången till arbetskraft var avgörande under industrialiseringen är tillgången till data nu avgörande för en fortsatt digitaliserad samhällsutveckling.

IMY beskriver vidare att målen för regeringens digitaliseringsstrategi är ambitiösa och konstaterar att mycket datadelning måste underlättas för att öka användningen av data för exempelvis artificiell intelligens. IMY fortsätter med att konstatera att GDPR är ett av de regelverk som ofta beskrivs som en utmaning och ett hinder för innovation. Många organisationer säger att de vill göra rätt, men att det ställer stora krav på dem och att de har ett stort behov av stöd från IMY.

Fortsättningsvis konstaterar IMY att tillgången till stora datamängder också innebär risker ur ett integritetsperspektiv. Kraftfull teknik ger enligt IMY en mängd aktörer tillgång till en mer eller mindre fullständig bild av våra liv, våra intressen, våra kontakter, vår hälsa och våra rörelsemönster, vanor och beteenden. 

IMY konstaterar också att rätten till personlig integritet förutom att vara en egen grundläggande mänsklig rättighet, är en grundbult i en fungerande demokrati. Detta eftersom det är svårt att utöva andra grundläggande rättigheter, såsom åsikts-, yttrande- och organisationsfrihet, om vi inte vet om vi övervakas och av vem. 

Som svar mot denna problembild menar IMY att Sverige bör ta ledningen för att skydda människors data och säkerställa en hållbar digital utveckling. IMY:s slutsats är att en offensiv digitalisering måste byggas på två lika starka ben, där digitalisering och integritet inte ses som motstridiga intressen utan som kompletterande element som tillsammans skapar förutsättningar för en hållbar och robust digital utveckling.

Läs mer här:

Regeringens budgetproposition för 2023, utgiftsområde 1

Integritetsskyddsmyndighetens pressmeddelande 8 november 2022, om budgetförstärkningen i 2023 års statsbudget

Integritetsskyddsmyndighetens budgetunderlag för 2023

Förvaltningsrätten i Stockholm: förvaltningslagen krockar med dataskyddet i EU

Författare: Kave Noori

I januari 2019 lämnade en privatperson (den registrerade) ett klagomål till den österrikiska dataskyddsmyndigheten om hur ett företag hanterade hens begäran om tillgång enligt artikel 15 i dataskyddsförordningen, GDPR. I juni 2019 inledde Integritetsskyddsmyndigheten (IMY) en granskning av företagets allmänna rutiner för när en registrerad privatperson begär att få tillgång till sina personuppgifter. I november 2020 utökade IMY sin tillsyn till att omfatta tre individuella klagomål, vilket inkluderade klagomålet som det här målet handlade om.

Den 31 maj 2022 avslog IMY den registrerades begäran om att IMY ska fatta ett slutligt beslut inom fyra veckor, i enlighet med 12§ i förvaltningslagen. Enligt denna bestämmelse kan en part som inlett ett ärende hos en myndighet, om ärendet inte avgjorts inom 6 månader, kräva att myndigheten fattar ett beslut inom 4 veckor. 

IMY avslog begäran eftersom myndigheten ansåg att den registrerade inte hade status som berörd part i ärendet och grundade sitt rättsliga ställningstagande på förarbetena till förvaltningslagen.

Den registrerade överklagade till Förvaltningsrätten i Stockholm. Den 31 oktober 2022 biföll domstolen överklagandet och beslutade att upphäva beslutet och återförvisa det till IMY för fortsatt handläggning. Målet har ärendenummer 13308-22.

Domstolens resonemang
Förvaltningsrätten slog fast att GDPR ger de registrerade vissa individuella rättigheter, inklusive rätten att få sina klagomål rörande behandlingen av deras personuppgifter prövade av den ansvariga tillsynsmyndigheten.

Om ett klagomål avslås måste den registrerade få ett motiverat beslut och tillgång till ett effektivt rättsmedel (en juridisk väg att få sin sak prövad, till exempel genom att kunna överklaga). Detta grundar sig på artiklarna 57(1)(f), 77 och 78 i GDPR. Enligt förvaltningsrätten ska nämnda bestämmelser tolkas i ljuset av skäl 141 och 143 i GDPR tillsammans med artikel 8 i EU:s stadga om de grundläggande rättigheterna.

Förvaltningsrätten slog fast att den behöriga tillsynsmyndigheten, i den mån det är lämpligt, är skyldig att undersöka alla klagomål som lämnas in av en registrerad person i samband med behandlingen av dennes personuppgifter. Om den registrerade inte når framgång med sitt klagomål slog förvaltningsrätten fast att den registrerade måste ges tillgång till ett effektivt rättsmedel. 

Vidare konstaterade Förvaltningsrätten att IMY kan och måste inleda tillsynsärenden på eget initiativ och att de registrerade i allmänhet inte har en rätt att vara part i ett mål bara för att deras personuppgifter behandlas i ett tillsynsärende. 

Samtidigt ansåg förvaltningsrätten att det skulle vara oförenligt med EU-rätten om enskilda personer som har lämnat in klagomål på behandlingen av deras personuppgifter utesluts från att vara part i tillsynsärenden. Domstolen resonerade att det skulle leda till att de registrerade skulle få en sämre rättslig ställning i fråga om deras rättigheter enligt GDPR, än vad de annars skulle ha haft. 

Läs mer här:

Förvaltningsrätten i Stockholm Dom Mål Nr : 13308-22

NPA 2022: A case study of Vastaamo, the hacked psychotherapy app

Author: Kave Noori

The 7th edition of the Nordic Privacy Arena (NPA) was held on September 26-27, 2022. The conference included 23 agenda items on data protection. This is article 3 of 3 highlighting lectures and discussions. Today we will focus on a presentation given on the Vastaamo case in Finland. This case involves an online psychotherapy app that was hacked, leading to the exposure of patient data.

Kian Rozi, board member of the Swedish Data Protection Forum, welcomes Erka Koivunen and Kim Parviainen to the stage to talk about the Vastaamo case. The first speaker Erka is an expert in security and risk assessment and has testified as an expert witness for the EU Parliament, the Finnish Parliament and the UK Parliament. He is currently Chief Security Officer at WithSecure. Erka begins to tell how the Finnish psychotherapy service provider Vastaamo was attacked, with all patient data stolen and eventually leaked to the public. 

Erka explains that an internally developed patient data system often broke down and system administrators opened remote access to the system in 2017. The reason was that the administrators were tired of being constantly woken up in the middle of the night and also being called out on weekends to fix the system. However, this allowed 7 billion people to access the system. In 2018, the system was broken into at least twice and data from therapy sessions was accessed and exposed.

Erka Koivunen believes that the data breach could have been prevented if the company had been more transparent about its previous security breaches. The company’s CEO was approached by the attacker and confronted with a ransom demand, but refused to pay. The attacker then decided to take the game to the extreme by approaching the media and threatening to release the patient data if the CEO did not pay. When this did not work, the hacker began to blackmail the patients themselves.

“It requires a certain type of a damaged person to start extorting people who have gone to psychotherapy in the worst times of their lives and threatening to expose those transcript notes in exchange for money. And yet that person did” says Erka Koivunen.

Erka argues that a competent privacy officer or security auditor would have noticed that something was wrong with the way remote management practices and systems were handled. He says that making database servers directly accessible on the Internet, which can be found through a simple search, deviates from best practices in the industry. In Finland and other Nordic countries, it is easy to find out information about people. Many authorities are happy to share information they have about a person with anyone who asks.

Erka Koivunen then turns the floor over to the second speaker, Kim Parviainen. Kim Parviainen is a Partner at Castrén & Snellman, a law firm in Finland. He has experience in a variety of legal areas, including corporate law, Intellectual Property law, and data protection law. 

Kim says that the leaked data of 33,000 people is a big human disaster. This is one of the worst civil disasters in Finland in the last decade. He goes on to say that the Finnish DPA and police are investigating the data leak and that this has changed legal practice in Finland, particularly in relation to mergers and acquisitions. Law firms are now doing more due diligence when buying and selling companies.

Kim Parviainen says that many large healthcare providers were considering buying the lost Vastaamo business but were afraid of liability and possible fines. He explains that under the GDPR, an “undertaking” can consist of multiple legal entities that are considered a single entity. In this sense, the GDPR relies on how terms are defined in EU competition law.

Kim Parviainen says that there is now a discussion among lawyers about whether a parent company that acquires a subsidiary that receives a GDPR penalty can inherit a liability to it, just as in EU competition law. He also discusses whether a lawyer can reasonably be expected to discover this type of technical misconduct as part of a normal due diligence process. In Kim’s conclusion, the answer is no. Kim finds it difficult to imagine that a lawyer’s client normally would be willing to pay for technical due diligence as well.

Update 28 October 2022:
On October 27, the Helsinki District Court issued an order for someone to be arrested and held in jail while awaiting trial. The charges are aggravated computer break-in, attempted aggravated extortion, and aggravated dissemination of information that violates privacy. This is in connection with the criminal investigation into the hacking incident targeting the Vastaamo psychotherapy app. A European arrest warrant has been issued for the suspect. He is a Finnish citizen aged around 25 and police suspect he is currently abroad.

The police have received 22,000 reports of the crime but have only received 6,400 electronic witness statements from them. The police estimates that another 10,000 victims have not contacted the police at all. They are urging all victims to report the crime and complete the electronic statement form, in order to remain parties to the criminal procedure and be able to present their claims in the matter.

Read more in the press statement of the Finnish Police

Finnish version

Swedish version

English version

EDPS: AI-konventionen måste skydda de grundläggande rättigheterna

Författare: Kave Noori

Den 14 oktober 2022 lämnade European Data Protection Supervisor (EDPS) ett yttrande om rekommendationen till rådets beslut om bemyndigande att inleda förhandlingar på Europeiska unionens vägnar om en Europarådskonvention om artificiell intelligens.

Det pågår för närvarande flera processer parallellt för att reglera användningen av artificiell intelligens. Forum för Dataskydd rapporterade genom två artiklar i somras (läs mer här och här) att Europarådet utarbetar en konvention om artificiell intelligens. Samtidigt förhandlar Europeiska unionen om en EU-förordning om artificiell intelligens. Dessutom föreslog EU-kommissionen förra månaden ett direktiv om skadeståndsansvar för AI-lösningar. Samtidigt har FN enligt Deutsche Welle sedan 2014 försökt att reglera användningen av autonoma dödliga vapen utan framgång, eftersom vissa militärmakter inte vill underteckna ett förbud.

EDPS skriver att myndigheten välkomnar Europarådets mål att skapa det första rättsligt bindande internationella regelverket om artificiell intelligens som bygger på Europarådets normer för mänskliga rättigheter, demokrati och rättsstatsprincipen. Därför stöder EDPS inledandet av förhandlingar på Europeiska unionens vägnar om konventionen och välkomnar unionens roll för att främja pålitlig artificiell intelligens som överensstämmer med unionens värderingar. 

Vidare skriver EDPS i sitt yttrande att förslaget till konvention ger en möjlighet att komplettera den föreslagna AI-förordningen genom att stärka skyddet av de grundläggande rättigheterna för alla individer som berörs av AI. EDPS rekommenderar särskilt att EU i förhandlingarna om Europarådets konvention om artificiell intelligens bör trycka på för att konventionen ska innehålla starkare skydd och rättigheter för individer som påverkas av AI-system. EDPS rekommenderar också att ett särskilt förhandlingsdirektiv uttryckligen bör hänvisa till efterlevnaden av EU:s dataskyddsregler och att konventionen bör främja införandet av Privacy by design och Privacy by default.

Reaktioner från det civila samhället
AlgorithmWatch och andra organisationer i det civila samhället med observatörsstatus i Europarådets kommitté för artificiell intelligens betonar vikten av en rättslig ram för artificiell intelligens som bygger på mänskliga rättigheter, demokrati och rättsstatsprincipen. De hävdar att EU:s egna förhandlingar om en AI-förordning inte bör försena denna process, eftersom de två ramverken har olika mål och bör komplettera varandra.

AlgorithmWatch skriver att AI är en teknik i snabb utveckling som berör varje aspekt av våra liv och som varje dag fattar beslut om vem som får anställning, vem som får offentliga förmåner, vem som antas till högskolan och vem som döms till fängelse. De konstaterar att ny teknik kan vara en kraft som främjar det goda och driver på sociala framsteg. Detta kräver dock att det införs demokratiska regler för att se till att vi människor kontrollerar användningen av denna teknik och inte tvärtom.

AlgortihmWatch anser slutligen att kommittén för artificiell intelligens bör gå vidare med sitt arbete med utkastet till AI-konvention och att varje försening av processen skulle vara kontraproduktiv. De betonar att om EU-kommissionen inte kan förhandla på EU:s vägnar innan trialogen (en del av EU:s interna beslutsprocess) är avslutad, skulle detta försena Europarådets process för att skydda grundläggande rättigheter, demokrati och rättsstatsprincipen i samband med användningen av AI-system. AlgortihmWatch betonar att nästan hälften av Europarådets medlemsstater inte är EU-länder och att detta på ett otillbörligt sätt skulle sätta stopp för de insatser som görs av många stater utanför EU som inte kommer att omfattas av EU:s AI-förordning.

Läs mer här:

EU-kommissionens förslag till förhandlingsdirektiv

EDPS pressrelease 14 okt 2022 

Forum för Dataskydds artikel om Europarådets AI-konvention del 1 (1 juli 2022)

Forum för Dataskydds artikel om Europarådets AI-konvention del 2 (7 juli 2022)

EU-kommissionens förslag till AI-förordning

EU-kommissionens förslag till direktiv om ansvar (skadestånd) för artificiell intelligens, 28 sept. 2022

Artikel av Deutsche Welle om FN:s försök att förbjuda ”Mördarrobotar”, 25 juli 2022

Uttalande av Algorithmwatch med flera, 18 okt 2022

Dataintrång i Göteborgs stad läroplattform röjde 47 000 grundskoleelevers personuppgifter

Författare: Kave Noori

Enligt ett pressmeddelande från Göteborgs stad den 8 oktober fick grundskoleförvaltningen reda på ett omfattande dataintrång kvällen innan. I pressmeddelandet står det att en enskild person hade laddat ner personuppgifter om 47 000 elever från lärplattformen “Vklass”. När Grundskoleförvaltningen fick kännedom om incidenten stängde de omedelbart av all tillgång till systemet. 

Enligt pressmeddelandet anmäldes händelsen till både polisen och Integritetsskyddsmyndigheten (IMY). Göteborgs stad utgår från att den utlämnade informationen varken är hemlig eller särskilt känslig. I pressmeddelandet anges att den information som kom att röjas var elevens namn, klass, timplan och årskurs. All denna information är offentlig och kan lämnas till vem som helst genom en begäran att ta del av allmänna handlingar

“Grundskoleförvaltningen ser ytterst allvarligt på det inträffade samt att säkerheten i lärplattformen inte kan garantera att personuppgifter är möjliga att komma åt och ladda ner. Särskilt allvarligt är det att elevers uppgifter inte har varit säkra. Vi kommer att göra allt som är möjligt för att säkerställa att vi minimerar skadan och att någonting liknande inte kan ske igen.” förklarar Kristian Johansson, säkerhetschef i Göteborgs grundskoleförvaltning.

När pressmeddelandet publicerades var Göteborgs stad inte medveten om hur intrånget kunde ha inträffat. I en artikel i Aftonbladet den 8 oktober berättar dock Kristian Johansson att elevernas personuppgifter erbjöds till försäljning på en “extern webbplats”. I Aftonbladets artikel uttrycker han att föräldrar inte behöver vara oroliga för att spridningen av enskilda elevers uppgifter i sig ska utgöra en fara. Det är mer på grund av omfattningen av personuppgiftsincidenten, det vill säga det stora antalet berörda elever som gör att grundskoleförvaltningen betraktar detta som ett allvarligt dataintrång, säger Kristian Johansson 

Regler om personuppgiftsincidenter
En personuppgiftsincident är en säkerhetsincident som resulterar i oavsiktlig eller olaglig förstörelse, förlust eller ändring av personuppgifter. Det kan också resultera i obehörigt utlämnande av eller tillgång till personuppgifter. I båda fallen rör det sig om personuppgiftsincidenter. Personuppgiftsincidenter kan inträffa på olika sätt, till exempel genom att en obehörig får tillgång till personuppgifter, att datorer med personuppgifter förloras eller stjäls, att någon ändrar personuppgifter utan tillstånd eller att personuppgifter inte längre är tillgängliga för den person som behöver dem. Du kan läsa mer på IMYs webbplats.

Läs mer här:

Grundskoleförvaltningen, pressmeddelande den 7 okt 2022

Aftonbladet artikel 8 oktober 2022

Integritetsskyddsmyndighetens hemsida om personuppgiftsincidenter

USA:s president undertecknar dekret som ska möjliggöra datadelning mellan EU och USA

Författare: Kave Noori

I mars 2022 offentliggjorde EU-kommissionens ordförande Ursula von der Leyen och President Joe Biden att EU och USA ingått en politisk överenskommelse om principerna för ett framtida ramverk för transatlantiska dataöverföringar. Forum för Dataskydd rapporterade om detta i april. 

Nu lite mer än 6 månader senare publicerade USA:s president Biden den 7 oktober ett presidentdekret som ska åtgärda de brister i amerikansk rätt som enligt EU-domstolen i målet C-311/18 (Schrems II) ledde till att Privacy Shield-regelverket ogiltigförklarades.

I ett pressmeddelande betonar Vita huset att möjligheten att överföra data mellan EU:s och USA:s marknader är väsentlig för att den stora exporthandel som sker mellan de båda marknaderna till ett värde av 7.1 biljoner dollar ska fungera.

I korthet innebär det nya presidentdekretet

  • Att den amerikanska signalspaningen ska beakta skyddet för privatliv och civila rättigheter för alla människor, oavsett personens nationalitet eller i vilket land denne bor. Vidare anger presidentdekretet att sådan signalspaning bara får ske i vissa situationer samt att det måste göras på ett sätt som står i proportion till syftet. 
  • Att uppgifter som samlas in genom signalspaningsverksamhet ska hanteras på ett visst sätt och ser till att de personer som ansvarar för att uppgifterna hanteras korrekt vidtar lämpliga åtgärder för att åtgärda eventuella överträdelser. 
  • Att de amerikanska underrättelsemyndigheternas riktlinjer och procedurer anpassas för att skydda människors privatliv och medborgerliga friheter.
  • Att det inrättas en rättslig process så att människor från vissa stater och regionala organisationer för ekonomisk integration (förmodligen syftas det på organisationer som Europeiska unionen, reds anm.) har möjlighet att begära en prövning och en lösning på ett klagomål om att deras personuppgifter har samlats in eller behandlats av Förenta staterna i strid med lagen samt det utökade skyddet för icke amerikaners privatliv som följer av dekretet. 
  • Att Civil Liberties Protection Officer (CLPO) vid Office of the Director of National Intelligence (DNI) utgör den första instansen för prövning och utredning av klagomålen för att avgöra om det utökade skyddet enligt dekretet har överträtts och i så fall vilka åtgärder som är lämpliga. I dekretet anges att CLPOs beslut är bindande för underrättelsemyndigheter och att det införs ett antal skyddsåtgärder för att säkerställa att CLPO kan utreda klagomål och fatta beslut utan påverkan utifrån. 
  • Att presidenten ger justitieministern i uppdrag att inrätta en ”dataskyddsöverdomstol” (Data Protection Review Court, DPRC) för att tillhandahålla en andra nivå av oberoende och bindande prövning av de beslut som fattas av den amerikanska regeringens Civil Liberties Protection Officer (CLPO). DPRC består av domare utanför regeringen som har relevant erfarenhet av integritetsskydd och nationell säkerhet. Domstolens beslut är bindande och den har befogenhet att utse en särskild advokat som ska företräda den klagandes intressen i varje enskilt fall. 
  • Att Privacy and Civil Liberties Oversight Board får i uppdrag att se över underrättelsemyndigheternas riktlinjer och förfaranden för att säkerställa att de överensstämmer med presidentdekretet. Privacy and Civil Liberties Oversight Board ska också genomföra en årlig översyn av processen för att utreda och hantera klagomål, inklusive huruvida underrättelsetjänsterna helt och hållet har följt CLPO:s och DPRC:s slutsatser.

EU-kommissionen ger ut en FAQ
I sin FAQ om det nya ramverket för dataskydd mellan EU och USA beskriver EU-kommissionen nästa steg i processen, som bland annat innebär att den lägger fram ett utkast till beslut om adekvat skyddsnivå och inleder ett förfarande för att anta beslutet. 

Processen för att anta ett beslut om adekvat skyddsnivå består av olika steg: det behövs ett yttrande från europeiska dataskyddsstyrelsen (EDPB) och grönt ljus från en kommitté bestående av företrädare för EU:s medlemsstater. Därutöver har Europaparlamentet rätt att granska besluten om adekvat skyddsnivå. Det är först efter att dessa instanser sagt sitt som EU-kommissionen kan anta det slutliga beslutet om adekvat skyddsnivå för USA.

Från det ögonblick som beslutet antas kommer personuppgifter att kunna flöda fritt och säkert mellan EU och amerikanska företag som certifierats av amerikanska handelsdepartementet enligt det nya regelverket. Amerikanska företag kommer att kunna ansluta sig till ramverket genom att åta sig att uppfylla en detaljerad uppsättning skyldigheter.

EU-kommissionen uppger vidare att den tror att den nya dataskyddsramen mellan EU och USA inte kommer att ogiltigförklaras av EU-domstolen. Det beror på att Förenta staternas president enligt EU-kommissionen har inkluderat skyddsåtgärder i presidentdekretet för att ta itu med de farhågor som EU-domstolen tog upp i Schrems II-domen. 

Reaktioner från organisation för digitala rättigheter
Noyb (None of your Business), som är en organisation för digitala rättigheter, har publicerat en reaktion på det amerikanska presidentdekretet. Noyb skriver att trots att USA har ändrat ordalydelsen i dekretet för att matcha ordvalen EU-lagstiftningen, så finns det inga tecken på att USA:s massövervakning faktiskt kommer att förändras i praktiken. 

Noyb anser att EU och USA har kommit överens om att kopiera orden “nödvändig” och “proportionerlig” i presidentdekretet. Det är dock enligt Noyb oklart om detta kommer medföra att USA kommer ändra sin övervakningspraxis så att dessa juridiska begrepp ges samma betydelse i amerikansk rätt som i EU-rätten.  

“EU och USA är nu överens om att använda ordet “proportionell”, men tycks vara oense om dess innebörd. I slutändan kommer EU-domstolens definition att segra – vilket sannolikt dödar alla EU-beslut igen. EU-kommissionen blundar återigen för amerikansk lag och tillåter fortsatt spionage mot européer.” säger Max Schrems, ordförande för Noyb (citatet har översatts till svenska)

Vidare anser Noyb att “Dataskyddsöverdomstolen” som ska inrättas enligt dekretet inte är en riktig domstol, och att den inte skulle ge individer tillgång till den form av rättslig prövning av sitt ärende som krävs enligt EU-stadgan om de grundläggande rättigheterna. Fortsättningsvis säger Max Schrems enligt uttalandet att EU-stadgan har ett tydligt krav på att man ska ha tillgång till rättsmedel och att det faktum att ett organ som hanterar klagomål och som organisatoriskt ligger under den verkställande makten kallas “domstol” inte gör organet till en riktig domstol. 

Slutligen skriver Noyb att det fjärde tillägget till den amerikanska konstitutionen skyddar amerikanernas rätt till integritet, men att EU ser integritet som en mänsklig rättighet som gäller för alla. Detta innebär att européer inte har någon rätt till privatliv i USA:s ögon. Max Schrems säger att detta är motsägelsefullt och att USA inte kan vara världens molnleverantör om européerna inte får samma rättigheter som amerikanerna. 

Läs mer här:

Vita Husets pressmeddelande den 7 oktober 2022 ”Faktablad: President Biden undertecknar ett dekret för att genomföra ramverket för dataskydd mellan EU och USA

EU- kommissionens FAQ, publicerad den 7 oktober 2022

Noybs uttalande den 7 oktober 2022

Nytt datadelningsavtal med USA välkomnas av näringslivet men föreningar är skeptiska

Forum för Dataskydds nyhet den 26 augusti om diabetesvård som ställs mot skyddet för den personliga integriteteten (artikeln behandlar fråga om ifall fjärde tillägget till USAs grundlag skyddar européers privatliv)

NPA 2022: Thoughtful design is more effective than AI-moderation against misinformation on social media

Author: Kave Noori

The 7th edition of the Nordic Privacy Arena (NPA) was held on September 26-27, 2022. The conference included 23 agenda items on data protection. This is article 2 of 3 highlighting lectures and discussions. Today we will cover a keynote speech given on the first day where the speaker argued how thoughtful design of social media platforms is better than AI-driven moderation to make platforms a safe space.

Rose-Mharie Åhlfeldt, board member of the Swedish Data Protection Forum, introduced the speaker, Frances Haugen. Haugen is a former Facebook employee turned whistle-blower. Åhlfeldt introduced Haugen as an advocate for accountability and transparency in social media.

Frances Haugen began by telling the audience that in the fall of 2021 she blew the whistle on Facebook by disclosing 22,000 pages of internal documents that showed Facebook’s algorithms were negatively impacting things such as how political parties chose what ideas to push, the mental health of children and ethnic violence. She has also provided testimony to the Congress of the United States.

She went on to talk about how the conflict between social media platforms and user safety and privacy is caused by the current social media business model. Frances said that Facebook’s chosen means of AI censorship to make the Internet a safe place is flawed. In her opinion, AI moderation is ineffective and distracts us from implementing more important strategies to keep us safe online. She explained that there is always a trade-off between accuracy and recall with AI systems, and that Facebook made a reasonable choice for what is realistic when using an AI-moderator, by opting for a lower rate of bad content removal (3-5%) rather than a higher rate that would also remove a lot of good content. She added that the most dangerous thing is that AI censorship only works well in certain countries like the US, Germany, and France, and it does not work for smaller languages like the Nordic languages.

Frances said that in countries like Ethiopia and Myanmar, Facebook is the Internet for many people. That’s because the company has subsidized the construction of Internet connections. As a result, most of the content available online is only accessible through Facebook. However, this has led to a situation where Facebook is trying to prevent competitors from providing people with alternative options, with disastrous consequences.

In Myanmar and Ethiopia, many people have died due to misinformation and ethnic violence fuelled by governments. Officials from these governments were sent to Russia and trained in information operations. These governments exploited vulnerabilities in the system, such as the lack of support for local languages by Facebook’s AI moderation algorithms. In both cases, the government exploited vulnerabilities in the system to cause chaos and violence. In Myanmar, 200,000 people died as a result of the Myanmar government-run intelligence and operations. In Ethiopia, hundreds of thousands of people died as a result of misinformation and ethnic violence.

According to Frances, Facebook has conducted studies that have shown that users who see more content from their friends and family members on the site are less likely to see violence, hate speech or nudity. The problem with Facebook, however, is that its business model is based on users consuming content. This means that the company has an incentive to push users to content that is not necessarily from their friends and family. This has led to problems where the algorithm often pushes users to extreme groups.

Frances Haugen said that in 2016, 65 % of people in Germany who joined neo-Nazi groups on Facebook did so because Facebook adjusted its algorithm to get them to join more groups. However, Facebook went beyond this by also counting group invitations that had not yet been accepted by the user as “joins.” This created a channel for misinformation, as people who engaged with content in the first 30 days were counted as “members” even if they had not actually joined the group.

Haugen also challenged the notion that Facebook needs to see everything to keep its virtual space safe. She pointed out that in many cases people do not feel safe because of the design of the space, but that this can be changed by designing it differently and thoughtfully. She drew an analogy to the design of offline spaces:

“When people go into a church, it’s loud, it echoes. As a result, it makes us feel small, it makes us feel quiet… Right? It’s a space for contemplation, because if you talk, you’ll hear the echo while if you go into a conference room, they’re designed to be intimate. They’re meant to foster a sense of safety. They’re meant to make people feel like they can talk as much as they want. They don’t have to shout because it’s quiet.”

Frances went on to say that if you put content moderation aside and focus on the design of the user interface, a different design of the Facebook interface could actually lead to less spread of misinformation. She said that simple things like adding a human in the loop, requiring someone to click on a link before sharing, or adding a moment of reflection before sharing could reduce the spread of misinformation by 10-15 %. She also suggested that the effectiveness of this countermeasure does not depend on what language the content is written in.

Frances Haugen imagined what would happen if Facebook was owned by its users, had voting rights, was a decentralized, autonomous organization, and was non-profit. She suggested that this would lead to a Facebook that looks more like it did in 2008, with a focus on family and friends.

Further, she said that end-to-end encryption, which would prevent the social media platform from seeing what users are communicating about, would be another measure that would make social media more secure by pushing the user to focus their communication to be with family and friends.

Francis said we know from conversations with law enforcement officers that social media is an open directory for predators to contact children. She argued that there are safety features that could be implemented to make social media safer for children, such as the app giving the child a warning when they interact with an “outlier”, but these measures would run counter to the business interests of social media companies who need more and more users to consume more and more content.

Francis said that car companies were reluctant to talk about safety in the 1960s because it would remind people that cars are dangerous. She argued that there are many safety features that could be implemented on social media platforms like Instagram and TikTok, but that it is now those platforms who do not want to remind users that their children could be in danger. Francis believes social media has the potential to be both safe and private. She urged that conversations need to happen now about how to design such safer and more personal social networks.

Read more about the speaker

Frances Haugen has a website https://www.franceshaugen.com/ with links to social media accounts on Twitter and Instagram.

Danske Bank får tillstånd att behandla personuppgifter i samband med lagöverträdelser

Den 30 september 2022 fick Danske Bank tillstånd att behandla personuppgifter i samband med  lagöverträdelser i syfte att motverka penningtvätt och finansiering av terrorism, efter ett beslut från Integritetsskyddsmyndigheten (IMY). Bankens begäran grundar sig i ett berättigat intresse att genom ett fritt informationsutbyte förhindra att den här typen av lagöverträdelser ska spridas inom koncernen. Danske Bank motiverar detta som nödvändigt för att kunna förhindra att en tidigare kund som har avslutat ett konto hos en filial inom koncernen ska kunna vända sig till en annan filial inom koncernen och på så vis kringgå de eventuella misstankar om brott som har väckts. IMY nämner i sitt beslut att tillståndet utgör ett legitimt syfte enligt GDPR men att beslutet kan komma att återkallas om det visar sig att banken trots detta behandlar personuppgifter på ett sätt som strider mot GDPR. 

23 maj höll Forum för Dataskydd tillsammans med Compliance Forum ett semidigitalt event där just penningtvätt diskuterades och IMY:s ställningstagande i frågan.

Läs mer här: https://www.imy.se/

Läs tillståndsbeslutet till banken

NPA 2022: EU data protection authorites demands adequate funding

Author: Kave Noori

The Nordic Privacy Arena (NPA) is an annual conference for people working in the field of data protection. The 7th edition of the NPA was held as a semi digital event on 26-27 September 2022. The conference featured no less than 23 agenda items on data protection and had more than 300 number of on-site participants at the Münchenbryggeriet in Stockholm. A few participants also attended online. This is the first of three articles highlighting some of the lectures and discussions that took place.

In her opening speech at the Nordic Privacy Arena, Caroline Olstedt Carlström, chair of the Swedish Data Protection Forum, said that the organization is celebrating its 10th anniversary this year. Seven of those years have been spent hosting the Nordic Privacy Arena. She went on to say that the Forum has over 800 members from all over Sweden and a distinguished board of eleven people who are specialists in information, security and privacy.

European Data Protection Board gets a pool of experts but needs more funding
Dr. Andrea Jelinek delivered the first keynote address, discussing the role of the European Data Protection Board (EDPB) in ensuring consistent interpretation of data protection law across the European Union (EU) and European Economic Area (EEA). In 2021 alone, the EDPB adopted 14 guidelines and recommendations on topics such as personal data breaches, codes of conduct as a tool for transfers, virtual voice assistants, and the storage of credit card data in the context of online transactions.

Dr. Jelinek went on to say that the EDPB is studying more than 80 cloud services used in the public sector and will report its findings by the end of the year. She also informed that a pool of experts has been established to assist national DPAs in areas such as IT, auditing, security, and data science. The EDPB is now focusing on enforcement and intends to prioritize this area in the future.

Furthermore Dr. Jelinek said that the EDPB and the European Data Protection Supervisor (EDPS) recently sent an open letter to the European Parliament, the European Council, and the European Commission asking for sufficient budgetary resources and staff for 2023. They argue that without adequate funding, the EDPB will not be able to meet its legal obligations and data subjects’ rights will suffer.

Panel discussion on international data transfers
The panel discussion on international transfers, was the second last agenda item on the first day. The panel consisted of

  • Peter Fleischer – global privacy counsel for Google.
  • Kim Parviainen – litigation attorney specializing in intellectual property and digital law.
  • Allan Frank – ICT security specialist and LLM at the Danish DPA.
  • Nikolaus Forgó – head of the Innovation and Digitalization in Law department at University of Vienna.
  • Eva Jarbekk, partner at Schjødt, Oslo and former chair of the Norwegian Court of Appeal for Data Protection, moderated the event.

Allan Frank began by saying that the Danish DPA has been investigating the issues raised by the Schrems II ruling. He pointed out that many controllers do not know what providers are doing with their data, and that this lack of knowledge can lead to compliance problems. The Danish DPA has issued guidance on transfers to help controllers address these issues. Allan Frank said data controllers should have control over data, not the other way around, as is the case now.

Kim Parviainen said that forcing European companies to develop local solutions may not lead to the development of European champions who can compete with American giants. He suggested that a more “balanced” approach may be needed to avoid “balkanizing” the Internet.

Peter Fleischer of Google believes that the European Union’s concern with data transfers is more about digital sovereignty than privacy. He noted that the invalidation of the Privacy Shield by the European Court of Justice was based on the theoretical possibility of U.S. government surveillance, not the actual likelihood of such surveillance taking place. Fleischer said it is easy to have a debate about theoretical risks, but that he advocates for a facts-based discussion. For example, he said there has never been a government request for Google Analytics data.

Fleischer went on to say that the U.S. and European governments are trying to negotiate the successor agreement to the Privacy Shield and that he believes they are on a good path to finish the task. However, he added that the parties are being cautious about the new data transfer framework because it will be challenged in court. Technology companies are limited in what they can provide to solve political problems, but Fleischer said Google is considering technical solutions to work around data transfers compliance issues, such as local data storage and on-device processing. He also mentioned the use of privacy enhancing technologies.

Eva Jarbekk (moderator) noted that it seems to be a good business idea to solve political problems with technical solutions and passed the floor to Nikolaus from Vienna.

Nikolaus Forgó said that there is an ongoing debate in Austria about whether the use of Google Fonts could be a violation of the rules on data transfer to third countries. The reason is a strange situation where one individual is suing or threatening to sue hundreds of data controllers for this possible breach. He said this is a good example of how people are trying to make money off the GDPR. Another panellist referred to this practice as ambulance chasing*. Nikolaus agreed and said that the Austrian DPA has published a guide on this topic, but unfortunately this guide has no impact on civil litigation. Nikolaus Forgó said that the GDPR was created before the iPhone was invented and that it may be outdated as cloud computing has changed a lot since then. He said that it might be necessary to review the GDPR.

Definitions:

* Ambulance chasing – Ambulance chasing is the term used to describe the unethical practice of lawyers seeking out clients who have recently been involved in accidents.

Read more:

Open letter on EDPB budget proposal for 2023, dated 12 September 2022

Swedish Privacy Forum news article, February 4, 2022, on the legality of Google Analytics and other tools for webmasters (Swedish)

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem


    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.

    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).












    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart