Dataläcka hos Folkhälsomyndigheten – cyberattackerna mot vård och utbildning ökar

Författare: Kave Noori

Den 14 juli offentliggjorde Folkhälsomyndigheten (FHM) att de anmält misstänkt dataintrång till polisen och Integritetsskyddsmyndigheten. Myndigheten fick veta att uppgifter om 800 barn under 12 år som vaccinerats mot Covid-19 hade lagts upp på nätet. Folkhälsomyndigheten samarbetar med andra myndigheter och hanterar detta skyndsamt.

En DN-artikel daterad den 15 juli 2022 visar att det är oklart vem som äger webbplatsen, men att domänen registrerades i januari 2022. Alla artiklar på webbplatsen publicerades i juli och innehåller kritik mot covid19-vaccin. Nationellt IT-brottscentrum på Polisens Nationella operativa avdelning utreder den eventuella dataläckan. Chefen för Nationellt IT-brottscentrum, Patrick Cordner, säger till DN att läckan är mycket allvarlig. Han tilläger dock att polisen inte har någon juridisk möjlighet att blockera webbplatser som sprider personuppgifter, men att de kan be webbplatsoperatörer att ta bort dem från nätet.

I en uppföljande artikel den 16 juli 2022 skriver Dagens Nyheter att Folkhälsomyndigheten drabbades av en annan dataläcka för bara ett år sedan. DN intervjuar Anne-Marie Eklund Löwinder, IT-säkerhetsexpert, som anser att myndighetens information om det senaste dataintrånget är för otydligt och kortfattat. Hon menar att myndigheter har en skyldighet att vara mer transparenta om vad som hänt och vad som görs för att lösa problemet.

Den 19 juli 2022 tog DN återigen upp ämnet i en ledare och en nyhetsartikel. Enligt nyhetsartikeln misstänker Folkhälsomyndigheten att uppgifterna på webbplatsen i fråga har erhållits genom ett dataintrång i det nationella vaccinationsregistret. Polisen har fått namnet på en man som är kopplad till webbplatsen och utredningen pågår. Enligt artikeln har webbplatsägaren skrivit att vaccinationsinformationen hämtats från darknet. Sajten uppges endast vara tillgänglig för inbjudna. Personen eller gruppen bakom hävdar att den inte har hackat något system, utan att en “visselblåsare” på Folkhälsomyndigheten har lagt ut informationen på en rysk darknet-sajt.

Ledaren från DN-redaktionen har rubriken ”Vaccinläckan måste bli en varningsklocka”. DN-redaktionen anser att bristande informationssäkerhet inte är ett problem som är isolerat till enskilda myndigheter. I ledaren framförs det att problemet är utbrett i svensk offentlig sektor, såväl inom staten som kommunsektorn. Enligt ledaren kommer det bli dyrt att satsa på ökad säkerhet, men att kostnaden för potentiella läckor är större. I ledaren framförs även en uppmaning till politikerna:

”Nästa regering måste sätta it-säkerhetsfrågor högt på dagordningen. Risken för cyberattacker kommer inte att minska framöver – både kriminella och främmande makter som Ryssland och Kina kommer att fortsätta använda det som ett sätt att tjäna pengar, använda känsliga uppgifter för utpressning och främja sina politiska agendor.”

Ransomware är det största hotet – explosiv ökning av attacker mot vård och utbildning 
Dataläckor är oroväckande, särskilt inom hälso- och sjukvården, men de utgör inte det största cyberhotet. Enligt Europeiska unionens byrå för cybersäkerhet (Enisa)s årliga rapport om hotlandskapet 2020–2021, är ransomware det största hotet. Den brittiska tidningen The Guardian rapporterar att sjukhus i USA har varit måltavlor för en aggressiv ransomware-kampanj från Nordkorea sedan 2021. Dataintrång i form av ransomware kan vara särskilt förödande inom hälso- och sjukvården, då även några minuters stopp i systemen kan få dödliga konsekvenser. I artikeln kan man läsa att antalet ransomware-attacker mot sjukvårdsorganisationer både ökat i antal och blivit mer sofistikerade. Mellan 2021 och 2022 ökade antalet ransomware attacker med 94 %, enligt en rapport från cybersäkerhetsföretaget Sophos.

Detta har enligt the Guardian lett till betydande störningar för vården, inklusive att ambulanser omdirigeras och att vårdbehandlingar behövt senareläggas. Artikeln nämner också att en ransomware attack fick mycket allvarliga konsekvenser i ett sjukdomsfall med en baby. Hackare har enligt artikeln riktat in sig på vården eftersom de tror att det finns en hög betalningsvilja i denna sektor. 

Computer Sweden rapporterar samtidigt att vården blivit något bättre på att återhämta sig från cyberattacker. 78 % av de tillfrågade organisationerna ska ha någon form av cyberförsäkring för att hantera sådana attacker. I 97 % av fallen ska det finnas försäkringar som täcker en del av de kostnader som uppstår till följd av en ransomware-attack.

Samtidigt rapporterar ZDNet att även utbildningssektorn är hårt drabbad av ransomware-attacker. Utbildningsanordnare har ofta svag cybersäkerhet och de blir därför enkla måltavlor. I många fall slutar det med att offren betalar en lösensumma, i genomsnitt uppgår lösensumman till 19,7 miljoner kronor (1,97 miljoner dollar). När data krypteras har utbildningsanordnare svårt att undervisa eller bedriva forskning. Om man vägrar att betala riskerar man också att de cyberkriminella offentliggör de stulna uppgifterna. Trots varningar om att betalning av lösensumman bara uppmuntrar till fler attacker är det många offer som betalar. Enligt artikeln brukar den som betalar lösensumman i de flesta fall få tillbaka 61 % av all stulen data. 

Avslutning
I DN:s ledare nämns att känsliga uppgifter kan användas för utpressning och för att främja politiska agendor. När uppgifter om en politiker eller en högt uppsatt tjänsteman läcker ut kan det skapa sårbarheter som kan utnyttjas av främmande makt. Om exempelvis privat korrespondens, hälsouppgifter eller ekonomisk information läcker ut kan det användas för att utpressa personen. Den här typen av dataläckage kan få allvarliga konsekvenser för den nationella säkerheten, eftersom den kan ge en utländsk aktör en hållhake på viktiga beslutsfattare. År 2020 omfattade en dataläcka från en finsk samtalsterapi-app, exempelvis även en parlamentsledamot.

Ett annat exempel som illustrerar sprängkraften i känsliga uppgifter är ett avslöjande från 2013. Enligt en artikel i Huffpost har USAs signalspaningsmyndighet NSA intresserat sig för och kartlagt potentiellt radikaliserade muslimers porrsurfande. Syftet har varit att kunna läcka information som allvarligt skadar deras trovärdighet om de skulle utgöra ett hot mot USA. 

Läs mer:

Folkhälsomyndighetens pressmeddelande, 14 juli 2022

Artikel i DN, 15 juli 2022

Artikel i DN, 16 juli 2022

Artikel i DN, 19 juli 2022

Ledare i DN, 19 juli 2022

Europeiska unionens byrå för cybersäkerhet (Enisa)s rapport om hotlandskapet 2021

Artikel i The Guardian, 14 juli 2022 om att ransomware-attackerna mot sjukvården ökar

Artikel i Computer Sweden 5 juni 2022 om ökade ramsomware attackare mot sjukvården

Artikel i ZDNet 12 juli 2022 om att ransomware-attackerna mot utbildningssektorn ökar

SVT nyhet 28 oktober 2020 om finländska samtalsterapi-appen

Artikel i Huffpost 26 november 2013 om NSAs intresse för radikaliserade personers porrsurfande

Nederländsk underrättelsetjänst tvingas radera enorma mängder olaglig data

Författare: Kave Noori

Den nederländska kommissionen för tillsyn av underrättelse- och säkerhetstjänsterna, Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), har fattat ett med svenska mått sällsynt beslut. Ett klagomål från den ideella organisationen Bits of Freedom ledde till att tillsynsmyndigheten CTIVD beordrade underrättelsemyndigheterna AIVD och MIVD att radera enorma samlingar underrättelseinformation som inhämtats. Beslutet om klagomålet offentliggjordes den 15 juni 2022.

Vad är AIVD och MIVD?
Den nederländska Allmänna underrättelse- och säkerhetstjänsten, Algemene Inlichtingen- en Veiligheidsdienst (AIVD), fokuserar på att motverka terrorism, spionage, extremism och spridning av massförstörelsevapen. AIVD ger också råd till den nederländska migrationsmyndigheten om utländska personer som anses utgöra en risk för den nationella säkerheten. AIVDs ansvarsområden påminner om den svenska Säkerhetspolisens (SÄPOs) uppdrag, men AIVD är ingen polismyndighet, myndighetens personal får inte gripa personer eller använda våld.

Den nederländska militära underrättelse- och säkerhetstjänsten, Militaire Inlichtingen- en Veiligheidsdienst (MIVD), har enligt en animerad informationsvideo (nederländska) på sin webbplats, i uppdrag att tillhandahålla underrättelseinformation till militära och politiska ledare i Nederländerna. Myndigheten är verksam både i Nederländerna och utomlands i konfliktområden och beskriver sig själva som de nederländska beslutfattarnas “ögon och öron” i en kaotisk och komplex värld.

AIVD och MIVD har befogenhet att hacka sig in i datorer och andra digitala enheter för att samla in information till sina utredningar. Enligt AIVDs hemsida (nederländska) kan detta inbegripa att de skaffar sig tillgång till servrar eller enheter som tillhör någon annan än den myndigheten egentligen intresserar sig för. De får också avlyssna samtal eller observera människor genom att aktivera en digital enhets mikrofon och/eller kamera, men behöver separat tillstånd för det.

Om myndigheterna upptäcker okända sårbarheter i sitt sökande efter en ingång till en dator eller server kan de välja att inte rapportera säkerhetshålet till Nederländernas nationella cybersäkerhetscenter om det anses nödvändigt för  den nationella säkerheten.

AIVD och MIVD får sina rättsliga befogenheter från lagen om underrättelse- och säkerhetstjänster från 2017 (Wet op de inlichtingen- en veiligheidsdiensten 2017). CTIVD har befogenhet att utreda om underrättelsemyndigheternas agerande är lagligt. CTIVD har två avdelningar: en som granskar deras åtgärder på eget initiativ (tillsynsavdelningen) och en som behandlar klagomål (klagomålsavdelningen). Tillsynsavdelningen kan endast lämna rekommendationer till ministern, medan besluten från avdelningen för klagomålshantering är bindande.

Klagomålet
Den 7 juli 2021 lämnade Bits of Freedom (BoF) in ett klagomål till CTIVD:s avdelning för klagomålshantering, där de hävdade att AIVD och MIVD överskred tidsperioden som de lagligen fick behålla fem gigantiska uppgiftsamlingar (dataset) med underrättelseinformation. Klagomålet gällde fem dataset som identifierades i en rapport från CTIVD 2020.

År 2020 publicerade CTIVD:s tillsynsavdelning rapport nr 70 (engelsk version). I denna rapport rådde tillsynsorganet AIVD och MIVD att radera vissa gigantiska dataset som samlats in med hjälp av myndigheternas  hackningsbefogenhet. Tillsynsavdelningen medger dock i sitt beslut att det kan finnas användbara uppgifter för att utföra AIVD:s och MIVD:s uppdrag bland dessa gigantiska dataset. CTIVD:s tillsynsavdelning kan endast lämna rådgivande rekommendationer till ministrarna. Ministrarna beslutade i slutändan att inte följa tillsynsavdelningens råd i rapport 70.

BoF ansåg i sitt klagomål att bevarandet av de fem gigantiska dataseten utgör ett stort intrång i många personers privatliv, och enligt nederländsk lag måste dessa uppgifter förstöras efter högst ett och ett halvt år. BoF ville att myndigheterna skulle följa lagen och radera dessa uppgifter. BoF klagade också över det sätt på vilket BoF antog att AIVD och MIVD delade dessa uppgifter med utländska underrättelsetjänster.

CTIVD konstaterar att den nederländska underrättelselagen inte specificerar hur man ska bedöma insamlade uppgifters relevans, men inrikesministern och försvarsministern ansåg att det var möjligt att betrakta ett gigtantiskt dataset i sin helhet som relevant att behålla. CTIVD:s tillsynsavdelning klargör att lagen inte ger utrymme  att klassa ett helt dataset som “relevant”. Detta beror på att ett gigantiskt dataset utan gallring också innehåller information som inte är viktig för underrättelsetjänsternas arbete.

Den nederländska regeringen antog en tidsbegränsad förordning som trädde i kraft den 6 november 2020. Enligt förordningen får AIVD och MIVD lagra och använda uppgifter längre än ett och ett halvt år som lagen föreskriver. Förordningen gäller för alla gigantiska dataset, inklusive de fem dataset som BOFs klagomål gäller.

CTIVD’s beslut

Avdelningen för klagomålshantering beslutade att

  1. De fem dataseten inte i sin helhet kan klassas som “relevanta” för fortsatt lagring utan gallring. Detta beror på att dataseten innehåller enorma mängder uppgifter rörande personer som inte är och aldrig kommer att bli relevanta för AIVD:s och MIVD:s utredningar. Den maximala tidsfristen på ett och ett halvt år i lagen har enligt CTIVD överskridits, så AIVD och MIVD får inte längre lagra dessa fem stora dataset utan att rensa bort irrelevanta uppgifter.
  2. AIVD och MIVD har tillämpat den tillfälliga förordningen på ett sätt som inte var förenligt med lagen. I sina överväganden har AIVD och MIVD inte tillräckligt väl beskrivit varför de insamlade dataseten fortfarande är viktiga för deras arbete. Avdelningen för klagomålshantering uppger samtidigt i sitt beslut att den förstår att de fem stora dataseten är viktiga för att skydda Nederländerna, men att ett och ett halvt år är den maximala tidsfrist som anges i lagen och som måste följas. CTVID noterar i sammanhanget att ministrarna inte bad parlamentet om en förlängning av denna tidsfrist, trots att CTIVD:s tillsynsavdelning tidigare fastställt att det är olagligt att klassa ett gigantiskt dataset i sin helhet som “relevant” att bevara.
  3. Att de fem stora dataseten måste förstöras, eftersom de har bevarats längre än den maximalt tillåtna tiden på ett och ett halvt år. Besluten från avdelningen för klagomålshantering är bindande, så inrikes- och försvarsministrarna måste förstöra dataseten och informera avdelningen om hur och när de gjorde det.
  4. AIVD och MIVD har inte delat omfattande dataset med utländska underrättelsetjänster sedan offentliggörandet av tillsynsavdelningens rapport nr 70. Därför avstår avdelningen för klagomålshantering från att fatta beslut om denna del av klagomålet.

Avslutning
Artikelförfattaren känner inte till att några liknande eller motsvarande beslut ska ha fattats i Sverige.

I Sverige kontrollerar Integritetsskyddsmyndigheten (IMY) behandlingen av uppgifter vid Försvarets radioanstalt (FRA) och Säkerhetspolisen (SÄPO). FRA behöver också tillstånd från Försvarsunderrättelsedomstolen för att bedriva signalspaning, och de har Statens inspektion för försvarsunderrättelseverksamheten (SIUN) som ytterligare tillsynsmyndighet.

En sökning på IMY:s webbplats visade inte på några fall där IMY beordrat FRA eller SÄPO att radera stora datamängder. Försvarsunderrättelsedomstolen eller SIUN verkar inte publicera enskilda beslut på sina hemsidor.

Läs mer:

CTIVDs engelskspråkiga nyhet med länk till en engelsk sammanfattning av beslutet

Nederländska allmänna underrättelse och säkerhetstjänsten, AIVDs hemsida där deras uppdrag förklaras (på nederländska)

Säkerhetspolisens uppdrag

Nederländska militära underrättelse och säkerhetstjänsten, MIVDs, hemsida med informationsvideon om dess uppdrag (nederländska)

Den nederländska lagen om underrättelse- och säkerhetstjänsterna som antogs år 2017 (nederländska)

Beskrivning av CTIVDs klagomålsprocedur (engelska)

Bits of Freedom välkomnar CTIVDs beslut i ett uttalande (engelska)

Europarådet: Dataskyddet är en hörnsten för en ny tidsålder med artificiell intelligens

Författare: Kave Noori

Detta är del 2 av vår intervju med Jan Kleijssen där han berättar vad Europarådets kommande konvention om artificiell intelligens kommer att innehålla. Kleijssen förklarar att konventionen kommer att fastställa de etiska och rättsliga principer som bör styra utvecklingen och användningen av artificiell intelligens. Den kommer också att fastställa en mekanism för att övervaka efterlevnaden av dessa principer.

AI-konventionen blir extra relevant för Sverige på grund av en nyligen genomförd ändring av kommunallagen. Lagen tillåter sedan 1 juli 2022 att kommuner och regioner med vissa begränsningar fattar beslut på automatiserad väg (Se kommunallagen kapitel 6, 38-39 §§).

Enligt Jan anser Europarådet att regeringar bör vara skyldiga att informera medborgarna när de i sin kontakt med en myndighet interagerar med ett AI-system. I fallet med det Nederländska skatteverkets diskriminerande databehandling (se del 1 av intervjun)  anser Jan att skattemyndigheten borde varit skyldiga att informera de drabbade om att de var föremål för ett beslut som fattats av en algoritm. Han förklarar att det också bör finnas ett sätt att upptäcka partiskhet i algoritmer och uppmärksamma de myndigheter som använder dem på detta.

Jan säger att vi måste se till att algoritmerna aldrig fungerar som ”svarta lådor” och att människor informeras om hur artificiell intelligens fungerar. De flesta människor skulle inte kunna förstå enskilda algoritmer, så att ge alla full tillgång till dem skulle inte vara till någon hjälp. De bör dock vara tillgängliga för vissa personer, till exempel särskilda organ som kan göra kompetenta bedömningar av dem.

Jag ställer en fråga till Jan om en rapport från Europarådet som skrevs av den nederländska juridikprofessorn Zuiderveen Borgesius 2018. I rapporten nämns möjligheten att ge tillgång till konsumentorganisationer eller forskare för att testköra algoritmer i en skyddad miljö. Jan håller med om att det är en bra idé och säger att detta redan görs i Europarådet inom området medicin. Han tillägger att detta även aktualiserar upphovsrättsliga frågor, men att när det gäller myndigheters AI- användning bör vara ett behörigt organ som har tillgång för att bedöma om det finns problem med algoritmen.

Europarådet kommer inte att behandla dödliga autonoma vapensystem som en del av sitt mandat om artificiell intelligens. Enligt Jan beror detta på att nationellt försvar är specifikt undantaget i rådets stadgar. Rådet kommer dock att ta upp andra aspekter av artificiell intelligens, såsom ansiktsigenkänning och produkter med dubbla användningsområden. Han tillägger att nationell säkerhet, såsom statlig övervakning, ingår i Europarådets mandat, men inte saker som tjänar rent militära syften, såsom mördardrönare.

På frågan om det kommer att finnas en överlappning mellan EU:s och Europarådets insatser för att reglera artificiell intelligens svarar Jan att Europarådets konvention om artificiell intelligens kommer att komplettera EU:s förordning om artificiell intelligens. Han säger att de kommer att ta upp olika aspekter av AI, där Europarådet fokuserar mer på rättssäkerhetsgarantier och regeringarnas användning av AI, och EU fokuserar mer på den digitala inre marknaden och ekonomiska aspekter, och där mänskliga rättigheter berörs genom bestämmelserna om dataskydd.

Jan diskuterar utmaningen med att reglera AI med dubbla användningsområden, som kan användas för både bra och dåliga syften. Vissa finansministerier är motståndare till för mycket reglering eftersom de är rädda för att det kommer att hämma innovationen, men det är en uppfattning som företräds av en minoritet. Han framhåller att det samtidigt finns många företag som förespråkar mer reglering eftersom det medför att företagen får likvärdiga konkurrensvillkor och att konsumenterna kan lita på deras produkter.

Jan fortsätter med att säga att ett flertal företag har vidtagit åtgärder för att se till att deras design av AI tar hänsyn till de mänskliga rättigheterna. Han nämner att en annan frågeställning är debatten om vilka röda linjer som inte får överskridas med AI. Som exempel är det kanske inte problematiskt om Spotify känner av användarnas humör baserat på samtycke och föreslår lämplig musik. Det kan vara mer problematiskt om politiska partier har tillgång till denna information och riktar sig till användarna med nano-reklam, eller om brottsbekämpande myndigheter har tillgång till dessa uppgifter.

På frågan om konventionen kommer att skapa regler som endast gäller för offentliga enheter svarar Jan att den kommer att gälla för båda. Jan förklarar att det kommer att finnas skillnader i hur privat och offentlig användning av artificiell intelligens kommer att behandlas, där den senare kommer att regleras strängare. Han påpekar också att regeringen har ett ansvar för att se till att privata företag inte gör någon skada genom AI. Vidare säger Jan att personer som kan riskera att diskrimineras av AI är bland annat barn, personer med funktionsnedsättning och äldre. Han påpekar att dessa grupper kan ha särskilda behov som systemet inte tar hänsyn till, och att detta kan leda till problem om systemet används för saker som påverkar grundläggande rättigheter, som beskattning eller val. Han anser att regeringarna bör införa bestämmelser i det nya fördraget om artificiell intelligens för att skydda dessa utsatta grupper.

På frågan om vilka kommittémedlemmarna är svarar Jan att kommittémedlemmarna är en blandning av personer från olika ministerier och att detta kan förändras från möte till möte beroende på vilka frågor som ska behandlas.

“Data är AI:s bränsle” – varför dataskydd är viktigt
Jan nämner också att dataskydd och konvention 108 är relaterade till AI-konventionen, eftersom data är bränslet för AI. Därför är datahantering och integritetsfrågor viktiga utgångspunkter när man utvecklar AI-standarder.

Jan berättar att Europarådets konvention 108 om dataskydd från 1981, också är känd som “GDPR:s mormor” och anses utgöra en global standard på grund av de 56 stater som undertecknade den. Arbetet med att modernisera konvention 108 inleddes med en rapport som undersökte hur konventionen behöver uppdateras för att möta moderna utmaningar. Det sista steget genomfördes av ministerkommittén. Ministerkommittén granskade sedan förslagen och antog ett ändringsprotokoll 2018. Den uppdaterade versionen kallas konvention 108+.

När jag frågar Jan om 108+:s status säger han att det bästa sättet att få 108+ att träda i kraft är att driva på det så gott vi kan, men han erkänner att det inte går särskilt snabbt. Han säger att pandemin har orsakat förseningar i de statliga förvaltningarna, vilket har gjort det svårt för 108+ att träda i kraft.

Han förklarar vidare att konvention 108+ inte kommer att träda i kraft förrän ett visst antal stater har ratificerat den. 38 stater behöver ratificera den, men Jan upplyser att endast 17 stater hittills ratificerat den (Sverige har inte ratificerat konventionen den 7 juli 2022, redaktionens anmärkning). Jan tillägger att konvention 108+ innehåller nya formuleringar och kommer att anpassas till den allmänna dataskyddsförordningen. Den inför också ett övervakningssystem.

Jan förklarar att tanken bakom övervakningssystemet för konvention 108+ är att staterna ska hjälpa varandra att följa och efterleva, snarare än att utdela sanktioner. Övervakningssystemet är utformat för att hjälpa till att identifiera områden där förbättringar behövs, och Europarådet står redo att ge stöd. Om ett land medvetet ignorerar alla rekommendationer kan övervakningsmekanismen vidta åtgärder. Eftersom regeringarna frivilligt har ratificerat konventionen hoppas Europarådet att de kommer att vara villiga att acceptera varandras råd.

AI-standarder och ungas inflytande
På frågan om vilken roll frivillig standardisering kan spela hävdar Jan att AI-standardisering inte kan skydda mänskliga rättigheter. Han anser att det behövs lagstiftning för att skapa bindande krav som företagen måste följa. Han pekar på Cambridge Analytica-skandalen för att illustrera hur företag kan kränka användarnas rättigheter även om de har interna etiska standarder. Jan hävdar att det krävs ett statligt ingripande för att rätta till när saker och ting går fel. Han tillägger att saker självklart kan gå fel även med de bästa AI-systemen.

Jag frågar Jan varför Europarådets ungdomsavdelning fokuserar på AI. Då förklarar han att den kommande generationen uppenbarligen kommer att vara den generation som under sin livstid mest kommer att konfronteras med en mängd AI-tillämpningar både inom den privata sektorn och som används av regeringar och att det därför är mycket viktigt att få med dem på ett mycket tidigt stadium. Ungdomar är naturligtvis också bland de mest tekniskt kunniga tillägger han.

När Jan avslutningsvis  tillfrågas om han har något att tillägga nämner han vikten av att genomföra konsekvensbedömningar av mänskliga rättigheter innan AI-system används av myndigheter. Han understryker att konsekvensbedömningar av mänskliga rättigheter kan bli en del av konventionen, kanske i form av en bilaga. Europarådet anser att det också är viktigt att beakta AI:s hållbarhetseffekter innan den rullas ut. “Tekniken är ett fantastiskt verktyg, men den är inte svaret på alla problem i världen”, säger Jan Kleijssen.

Le rôle de la police – Jan Kleijssen, Directeur, Direction de la Société de l’information et de la lutte contre la criminalité

Jan Kleijssen är direktör för informationssamhället och åtgärder mot brottslighet vid Europarådet och är en stark förespråkare för ett Europa utan splittring. Han har över 39 års erfarenhet av Europarådet inom olika sektorer, bland annat inom rättsväsendet, parlamentet och mellanstatligt. Jan Kleijssens direktorat har 200 anställda och ansvarar för ett brett spektrum av verksamheter, bland annat yttrandefrihet, dataskydd, artificiell intelligens, förvaltning av Internet, cyberbrottslighet, terrorism, straffrätt, kriminalvård, fängelseförvaltning, bekämpning av korruption och penningtvätt.

Jan har en mastersexamen i internationell rätt och internationella frågor och fullgjorde militärtjänstgöring som officer i den kungliga nederländska flottan. Jan talar flytande nederländska, engelska, franska, tyska och italienska.

Läs mer:

Konstitutionsutskottets betänkande (2021/22: KU36) om ändringen av kommunallagen för att möjliggöra automatiserat beslutfattande i kommuner

Lista över länder som undertecknat / ratificerat Konvention 108+

Frederik Zuiderveen Borgesius rapport 2018

Europarådets särskilda hemsida om AI 

Samling av dokument om AI hos Europarådet

Information om Jan Kleijssens avdelning

Europarådet utarbetar internationell konvention om artificiell intelligens

Författare: Kave Noori

Forum för Dataskydd har gjort en intervju med Jan Kleijssen, chef för avdelningen för informationssamhället och brottsförebyggande arbete vid Europarådet.  Följ med oss på en spännande resa som ger en inblick i hur europeiska toppdiplomater just nu förhandlar fram den första bindande internationella konventionen om artificiell intelligens (AI).

Europarådet är en viktig internationell organisation. Sverige är medlemsland i Europarådet tillsammans med 45 andra länder. Europarådets mål är att främja och försvara mänskliga rättigheter, demokrati samt rättsstatsprincipen. Europadomstolen för mänskliga rättigheter som skyddar de mänskliga rättigheterna för alla i Europa, är ett organ inom Europarådet. Många tror att Europarådet är en del av Europeiska unionen, men det stämmer inte.  

Europarådet har en lång historia av att reglera teknik
När jag frågar Jan varför Europarådet vill reglera artificiell intelligens (AI) förklarar han att Europarådet har en lång tradition av att hantera teknik och mänskliga rättigheter. Jan upplyser om att Europarådet för 41 år sedan antog konvention 108, världens första internationella fördrag om dataskydd. För 21 år sedan antogs den första konventionen mot cyberbrottslighet, Budapestkonventionen. Jan förklarar att Budapestkonventionen är undertecknad av 66 stater och att konventionen tillämpas i 130 länder i hela världen. Han nämner också att USA har undertecknat och ratificerat konventionen. Den nuvarande kommittén för artificiell intelligens inrättades för att fortsätta arbetet med reglering av teknik och mänskliga rättigheter.

Europarådet har enligt Jan varit engagerat i Internetförvaltning (Internet governance) i många år. Europarådet har avtal med många privata företag, inklusive alla stora amerikanska företag förutom Twitter. De har också avtal med mindre europeiska företag, telekommunikationsföretag och aktörer som IEEE och ISO. Dessa avtal säkerställer att elektronisk utrustning följer specifika standarder.

Europarådets färd mot att reglera artificiell intelligens
För fyra år sedan stod det klart att artificiell intelligens användes allt mer av regeringar och att detta potentiellt skulle kunna leda till konsekvenser för de mänskliga rättigheterna, säger Jan. En så kallad ad hoc-kommitté inrättades. Den kallades för Ad hoc-kommittén för artificiell intelligens (CAHAI). Han förklarar att ad hoc-kommittéer är tillfälliga och endast behandlar specifika frågor. Uppgiften var att undersöka om det behövdes ny lagstiftning för att hantera användningen av artificiell intelligens. Om svaret var “ja” skulle nästa steg bli att ta reda på vilka typer av frågor som skulle behandlas i ett nytt fördrag.

Jan delar med sig av att CAHAI enhälligt beslutade att det behövs nya regler för artificiell intelligens. Kommittén bestod av företrädare för 47 regeringar samt fem observatörer Förenta staterna, Kanada, Mexiko, Japan och Heliga stolen (Vatikanstaten) samt Israels regering. Kommittén drog slutsatsen att befintliga fördrag (Konvention 108+, Budapestkonventionen och Europakonventionen om mänskliga rättigheter) täcker vissa områden av AI, men att det fortfarande finns stora luckor. Kommittén lade fram en rapport i slutet av 2021 med förslag på vad en AI-konvention bör innehålla.

Europarådets ministerkommitté, som är Europarådets beslutande organ, har ersatt CAHAI med en ny permanent kommitté, Committe on Artificial Intelligence (CAI). Den nya kommittén höll sitt första möte den 4-6 april 2022 och förväntas behandla AI-frågor på en permanent basis.

Den 20 maj 2022 enades ministerkommittén om att Europarådet bör införa ett nytt rättsligt bindande instrument, ett generellt fördrag (i motsats till ett sektorspecifikt fördrag, reds. anm.) om artificiell intelligens.

Jan berättar att Ministerkommittén beslutade att det kommande fördraget om artificiell intelligens bör vara öppet för ratificering av icke-medlemsstater, vara inriktat på allmänna principer och främja innovation. Ministrarna har gett sina ständiga representanter (som träffas en gång i veckan och har full befogenhet att besluta på ministerkommitténs vägnar i alla frågor som ministerkommittén kan besluta om, reds. anm.) i uppdrag att påskynda processen att utarbeta ett fördrag om artificiell intelligens, med hänsyn till andra befintliga och planerade internationella rättsliga regelverk för artificiell intelligens.

Enligt Jan kommer CAI huvudsakligen att förhandla fram den juridiska text som ska utgöra det bindande fördraget om artificiell intelligens. Med ett sådant fördrag kan man säkerställa att regeringarnas användning av artificiell intelligens sker på ett ansvarsfullt sätt och med respekt för medborgarnas mänskliga rättigheter.

Varför Europa är i akut behov av ett fördrag om artificiell intelligens
Jan börjar med att klargöra att just denna konvention inte kommer fokusera på att reglera artificiell intelligens som teknisk lösning. Konventionen ska främst reglera myndigheternas användning av artificiell intelligens. Vidare säger han att det pågår en diskussion om huruvida vissa användningsområden för AI, såsom identifiering av en persons känsloläge eller social poängsättning, bör förbjudas helt och hållet. Vissa medlemsstater vill ha mycket strikta regler för ansiktsigenkänning, medan andra vill förbjuda det helt och hållet. Jan förespråkar att AI-fördragets rättssäkerhetsgarantier bör likna det rättsliga förfarandet med krav på domstolstillstånd för att avlyssna telefoner.

Jan tar själv upp att den stora skandalen i Europa i år är den nederländska skattemyndighetens användning av en algoritm som ledde myndigheten till att fatta väldigt många diskriminerande beslut. Forum för Dataskydd rapporterade i december 2021 att det nederländska Skatteverket krävde tillbaka pengar från människor som algoritmen felaktigt klassat som bidragsfuskare.

Jan förklarar att nederländska Skatteverkets agerande påverkade tusentals människor. Detta resulterade i stora svårigheter, vissa människor begick självmord och 1 600 barn togs ifrån sina familjer. Regeringen föll till slut till följd av skandalen. Allt är fortfarande inte löst. Barnen är fortfarande inte tillbaka och många drabbade driver fortfarande rättsprocesser mot den nederländska regeringen.

Jan hänvisar också till en rapport från Venedigkommissionen. Han förklarar att Venedigkommissionen är ett organ inom Europarådet som består av konstitutionella experter som ger regeringar råd i grundläggande frågor som rör rättsstaten. Det nederländska parlamentet bad kommissionen om ett yttrande om skandalen med barnomsorgsbidraget. I december 2021 antog Venedigkommissionen en rapport om skandalen med barnomsorgsbidrag i Nederländerna. I rapporten konstaterades bristen på AI-styrning i Nederländerna, i rapporten konstaterades dessutom att det som gick fel i Nederländerna lätt kan hända i andra länder.

Jan anser att det bör finnas ett system för AI-styrning (AI-governance), med rättsliga garantier från regeringarna för att säkerställa att användningen av AI-system blir korrekt. Om något går fel bör det finnas mekanismer för att se till att det finns möjligheter till rättslig prövning. Jan anser att enskilda personer bör ha tillgång till rättslig prövning och att det även bör finnas oberoende myndigheter som övervakar AI-systemet. Jan säger att tidsfristen för att färdigställa det nya AI-fördraget är november 2023. Då bör fördraget vara färdigställt och vara redo att ratificeras av de nationella parlamenten. Om medlemsländerna vill göra ändringar har de ett och ett halvt år på sig att ta upp detta i CAI-förhandlingarna. Jan medger att detta är en mycket ambitiös tidsplan.

Fortsättningsvis beskriver Jan att det är bråttom att få till stånd ett AI-fördrag eftersom regeringar redan har infört AI på olika områden. Han tar upp den tidigare nämnda skandalen i Nederländerna och en utbildningsskandal i Storbritannien som exempel på varför åtgärder behövs.

Jan berättar att Storbritannien försökte använda ett AI-system för att beräkna avgångsbetyg från gymnasiet (som skulle användas för att fördela utbildningsplatser på högskola och universitet reds. anm.), men det blev en fullständig katastrof. Systemet var partiskt och tog även hänsyn till efternamn och adresser, vilket orsakade en hel del problem. Sveriges Radio har också rapporterat om händelsen i Storbritannien.

Det föreslagna fördraget kommer enligt Jan inte att täcka alla detaljer, men det kommer att ge regeringarna en ram att följa.

Sammanfattningsvis har Europarådet en lång historia av reglering av artificiell intelligens och arbetar för närvarande med en uppsättning regler för att förhindra negativa konsekvenser som kan uppstå vid storskaliga tillämpningar av artificiell intelligens. I nästa veckas artikel kommer vi att höra vad Europarådet planerar att inkludera i konventionen.

Le rôle de la police – Jan Kleijssen, Directeur, Direction de la Société de l’information et de la lutte contre la criminalité

Jan Kleijssen är direktör för informationssamhället och åtgärder mot brottslighet vid Europarådet och är en stark förespråkare för ett Europa utan splittring. Han har över 39 års erfarenhet av Europarådet inom olika sektorer, bland annat inom rättsväsendet, parlamentet och mellanstatliga relationer. Jan Kleijssens direktorat har 200 anställda och ansvarar för ett brett spektrum av verksamheter, bland annat yttrandefrihet, dataskydd, artificiell intelligens, förvaltning av Internet, cyberbrottslighet, terrorism, straffrätt, kriminalvård, fängelseförvaltning, bekämpning av korruption och penningtvätt.

Jan har en masterexamen i internationell rätt och internationella frågor och fullgjorde militärtjänstgöring som officer i den kungliga nederländska flottan. Jan talar flytande nederländska, engelska, franska, tyska och italienska.

Läs mer:

Hemsida för CAI (Committe on Aritifical Intelligence)

Hemsida för CAHAI (första kommittén om AI)

Venedigkommisionens rapport

Om Ministerkommittén

Kommittén som utgör ministrarnas ständiga representanter 

CAHAIs rekommendationer om vad en AI-konvention skulle kunna innehålla

Nyhetsartiklar om Betygsfiaskot i Storbritannien

Storbritanniens regering tvingas backa om skolbetyg

The UK exam debacle reminds us that algorithms can´t fix broken systems

Who won and who lost: when A-levels meet the algorithm

Why did the A-level algorithm say no?

UK ditches exam results generated by biased algorithm after student protests

Exams fiasco: Ofqual chief claims Gavin Williamson ignored its advice

Kamp mot desinformation, Deep fakes, manipulation: Europas privata sektor uppdaterar uppförandekod

Den privata sektorn i Europa har uppdaterat sin uppförandekod mot desinformation. Koden har även stöd från Europeiska kommissionen. Koden har främst uppdaterats på grund av ökad oro för det ökade missbruket av deep fakes och Rysslands tilltagande spridning av desinformation efter invasionen av Ukraina.

Nyckelaktörer samverkar för ett tryggt internet
I ett pressmeddelande publicerat den 16 juni välkomnade Europeiska kommissionen offentliggörandet av förbättringar i uppförandekoden om desinformation. Koden, som först publicerades 2018, innehåller omfattande och specifika åtaganden från plattformar och internetföretag där de åtar sig att bekämpa desinformation. Detta är ytterligare ett viktigt steg mot en mer öppen, säker och pålitlig onlinemiljö.

Deep fakes är videor eller bilder som har manipulerats med AI-verktyg. De kan missbrukas av någon som vill utge sig för att vara en annan person. Man kan till exempel ta en offentligt tillgänglig video av en kändis och ersätta kändisens ansikte med någon annans och säga kontroversiella saker. Det verkar som om vi ännu inte nått en punkt där vem som helst kan skapa deep fakes som är omöjliga att skilja från autentiska videos. När tekniken blir tillräckligt bra och om den då även blir brett tillgänglig, kan samhället stå inför ett stort problem. Människor kan komma att bli misstänksamma mot all form av digital information.

Privata företag och föreningar utformar sina egna spelregler
Uppförandekoden skrevs av privata sektorn, av teknikföretag, organisationer i det civila samhället och företag som arbetar med digital reklam. Det är frivilligt att underteckna överenskommelsen, men om man skriver under kommer man bli juridiskt bunden att följa den. Detta beror på rättsakten om digitala tjänster (Digital Service Act, DSA), som säger att företag som har undertecknat koden måste följa den.

Europeiska kommissionen säger att de organisationer som undertecknat 2018 års uppförandekod om desinformation har följt kommissionens vägledning som offentliggjordes i maj 2021 och har gjort förbättringar för att motverka spridningen av desinformation på nätet. De har också lärt sig av COVID19-krisen och Rysslands attack mot Ukraina. Den uppdaterade uppförandekoden är utformad för att minska desinformationens negativa inverkan på samhället, enligt Europeiska kommissionen.

Organisationerna som undertecknat överenskommelsen gav tre aktörer i uppdrag att leda arbetet med att se över och förhandla revideringen av uppförandekoden. Revideringen har letts av  konsultbolaget Valdani, Vicari and Associates (VVA) en oberoende konsult och Oreste Pollicino, professor i konstitutionell rätt vid Bocconi University, som haft rollen som opartisk medlare.

EU-kommissionen ger sitt aktiva stöd
Den nya koden mot desinformation kommer att göra det lättare för forskare att få tillgång till plattformsdata och göra att innehållskapare får mindre reklamintäkter om de delar falsk information. Vára Jourová, Europeiska kommissionens vice ordförande med ansvar för värderingar och öppenhet, sade att överenskommelsen kommer att bidra till att minska spridningen av desinformation från Ryssland och att minska andra attacker mot demokratin.

Thierry Breton, EU-kommissionär med ansvar för den inre marknaden, sade att desinformation är en form av invasion av nätet. Han efterlyser hårdare tag från plattformarna i denna fråga, eftersom det inte är acceptabelt att någon tjänar pengar på att sprida desinformation. Den nya uppförandekoden, som understöds av DSA, innehåller hårda sanktioner för plattformar som bryter mot den. EU-kommissionär Breton har varnat för att mycket stora plattformar som inte vidtar lämpliga åtgärder för att stoppa spridningen av ”desinformation” kan få straffavgifter motsvarande upp till 6 procent av sin globala omsättning.

I pressmeddelandet diskuterar EU-kommissionen hur koden, tillsammans med den nya rättsakten om digitala tjänster (DSA) och kommande lagstiftning om öppenhet och inriktning av politisk reklam, kommer att bidra till att bekämpa spridningen av desinformation i EU. Bland de 34 undertecknarna finns stora onlineplattformar, annonsteknikföretag, faktagranskare och organisationer i det civila samhället.

Uppförandekoden ska bland annat motverka spridandet av desinformation
Den förbättrade uppförandekoden om desinformation syftar till att avhjälpa bristerna i den tidigare koden, med starkare och mer detaljerade åtaganden och åtgärder.

Den nya uppförandekoden mot desinformation innehåller skyldigheter för undertecknarna att

 1) Bredda deltagandet.

 2) Minska de ekonomiska incitamenten för spridning av desinformation. Detta omfattar även att  förhindra att de som sprider desinformation får ta del av reklamintäkter.

3) Ta itu med nya manipulativa beteenden, såsom att skapa falska konton, robotar eller skadliga ”deep fakes” som sprider desinformation.

4) Ge användarna bättre verktyg för att identifiera, förstå och rapportera desinformation.

5) Utöka faktagranskningen i alla länder och på alla språk, samtidigt som man ser till att faktagranskarna får rättvis ersättning för sitt arbete.

6) Säkerställa öppenhet gällande politisk reklam genom att göra det enkelt för användarna att  identifiera politiska annonser genom förbättrad märkning och information om sponsorer, utgifter och annonsens varaktighet.

7) Stödja forskare genom att ge dem bättre tillgång till data.

8) Utvärdera sin egen inverkan genom ett starkt ramverk för övervakning.

9) Inrätta ett centrum för transparensfrågor och en arbetsgrupp för att övervaka genomförandet av koden.

De som undertecknat den reviderade uppförandekoden om desinformation har nu sex månader på sig att genomföra den. Kommissionen kommer regelbundet att utvärdera de framsteg som gjorts i genomförandet av koden baserat på rapporter från undertecknarna. Arbetsgruppen som inrättats kommer att sammanträda var sjätte månad för att övervaka och anpassa skyldigheterna med hänsyn till den tekniska, samhälleliga, marknadsmässiga och juridiska utvecklingen.

Läs mer :

Europeiska kommissionens pressmeddelande den 16 juni 2022 på svenska:

Europeiska kommissionens pressmeddelande den 16 juni 2022 på engelska:

Utpressningstrojanerna och demokratin

I del 2 av vår serie om cybersäkerhet tar vi en titt på det ökande hotet från ransomeware-attacker. Dessa attacker har riktats mot hela nationalstater och har till och med kallats ett hot mot demokratin. Så hur ska vi hantera ransomware? Ska man betala begärda lösensummor?

Trendspaning: Costa Ricas regering drabbas av en aggressiv utpressningsgrupp
Den 24 maj rapporterade irländska Silicon Republic att Costa Ricas regering angripits av utpressningsgruppen Conti sedan mitten av april och utlyste nationellt nödläge den 8 maj. Utpressningsgruppen har påverkat landets utrikeshandel genom att störa landets tull- och skattessystem. President Rodrigo Chaves sade den 16 maj att Costa Rica är “i krig” med Conti-gruppen.

Cyberattacken mot Costa Ricas regering hade då påverkat 27 myndigheter, varav nio i betydande omfattning. Regeringen varnade statsanställda för att de inte skulle få sin lön utbetalad i tid. Angriparna krävde först 10 miljoner dollar, men höjde senare sitt krav till en lösensumma på 20 miljoner dollar för att avbryta attackerna.

I artikeln står det att ransomware-gruppen Conti hotar med att offentliggöra privat information om medborgare och störta Costa Ricas regering om inte lösensumman betalas. Gruppen hade redan lagt ut 600 GB myndighetsdata på nätet och bad medborgarna att uppmana sin regering att betala lösensumman. Conti hotade med att radera ransomeware-virusets dekrypteringsnycklar om lösensumman inte betalas.

Enligt artikeln har Conti kunnat göra stor skada i Costa Rica. En intervjuad expert, som är vd för cybersäkerhetsplattformen Defense.com, säger att gruppen kunde attackera allt från sjukvård till utrikeshandel. Enligt artikeln bör attacken ses som en påminnelse om hur stor skada en cyberattack kan orsaka.

En annan expert som intervjuades i artikeln som är teknikchef för ett nystartat cybersäkerhetsföretag, sa att gruppens hot om att störta regeringen höjer riskerna med utpressningstrojaner till nya nivåer. Han sade att ransomware-aktörer nu hotar staters suveränitet och åsidosätter den fria viljan hos dessa länders medborgare.

Vissa experter anser att det bästa sättet att hantera cyberattacker som den i Costa Rica är genom en identitetsbaserad strategi. Enligt en ytterligare expert som intervjuades i artikeln är en kombination av identitetsprinciper med säkerhet för dataåtkomst med minsta privilegier nyckeln till att mildra hoten genom att se till att användare eller botar som inte uppfyller de rätta parametrarna blockeras och rapporteras omedelbart.

En ny våg av attacker, denna gång mot Costa Ricas sjukvård
Wired rapporterade den 12 juni 2022 att Costa Ricas socialförsäkringsfond (CCSS) den 31 maj 2022 attackerades av ett nytt ransomware-virus som orsakade stora störningar. Sjukvårdssystem gick offline, skrivare började spotta ur sig rappakalja och patienter drabbades av förseningar i vården. CCSS varnade föräldrar för att de kunde få problem med att hitta sina barn som genomgått en operation. Sjukvården var också tvungen att börja använda föråldrade pappersformulär som inte längre användes. Attacken har tillskrivits ransomware-gruppen Hive som enligt artikeln anses ha vissa kopplingar till Conti. 

Den 3 juni deklarerade CCSS ett “institutionellt nödläge” enligt artikeln, 759 av 1 500 servrar och 10 400 datorer var drabbade samt 34 677 vårdmöten som sköts upp. CCSS uppgav att sjukhus- och akutmottagningar fungerade normalt, men att vissa tjänster som medicinsk röntgen, apotek, testlaboratorier och operationssalar drabbades av störningar.

Enligt artikeln i Wired finns det tvivel om huruvida de två senaste angreppen av utpressningstrojaner mot Costa Rica är kopplade till varandra. Artikeln antyder dock att ryskkopplade gäng har ändrat sin taktik under de senaste veckorna för att undvika amerikanska sanktioner. Artikeln i Wired tar också upp Contis ransomware-attacker mot Costa Ricas regering där angriparen krävde 20 miljoner dollar som lösensumma, och när ingen betalning gjordes började angriparen ladda upp 672 GB filer till Contis webbplats. Angriparen uppträdde dock mer oförutsägbart och oroväckande än vanligt i och med att angriparen gjorde politiska uttalanden och hotade att störta Costa Ricas regering.

Sergey Shykevich, gruppchef med ansvar för underrättelser om hot på säkerhetsföretaget Check Point, uppger till Wired att han aldrig tidigare hade sett en sådan retorik från cyberkriminella mot någon regering. Han noterade också att Conti hade riktat in sig på Perus finansministerium och underrättelsetjänst ungefär samtidigt som attackerna mot Costa Rica.

Enligt Sergey Shykevich, är den aggressiva tonen mot en regering ett avsteg från normen för cyberkriminella, som vanligtvis drar sig för sådana offentliga framträdanden. Shykevich sade också att Contis beteende har kritiserats i ryskspråkiga hackerforum eftersom inblandning i politiken anses dra onödig uppmärksamhet till cyberkriminella.

I artikeln i Wired kan man vidare läsa att Contis senaste attack mot Costa Rica kan ha varit en skenmanöver. Det amerikanska cybersäkerhetsföretaget AdvIntel har förklarat Contis verksamhet som död och säger att gruppen har börjat avveckla sitt varumärke och sin infrastruktur. Conti har uttryckt sitt stöd för Vladimir Putins krig i Ukraina och har haft svårt att tjäna pengar till följd av detta. Många företag som har att göra med ransomware-gäng vägrar att samarbeta med dem eftersom det skulle bryta mot amerikanska sanktioner. Dessutom vill vissa företag inte förknippas med terrorism.

Flera veckor efter Conti-attacken mot Costa Rica säger AdVIntels vd Vitali Kremez att Conti’s  tjänster fortfarande är otillgängliga, rapporterar Wired. Conti-attacken var bara en täckmantel för att få ett nytt namn och använda andra typer av utpressningstrojaner, men Check Points Sergey Shykevich säger att dess senaste offentliga framträdande har efterlämnat ett bestående arv – det har visat andra cyberkriminella att det faktiskt går att bedriva utpressning gentemot nationalstater.

Borde man betala lösensumman?
Threatpost skrev den 8 juni 2022 att en ny rapport från Cybereason visar att offer för utpressningstrojaner som betalar lösensumman ofta attackeras igen, ibland till och med av samma angripare. Av de tillfrågade uppgav 68 procent att de drabbades en andra gång inom samma månad som den första attacken. Dessutom rapporterade 48 procent av dem som betalade en lösensumma att de blivit hackade två gånger av samma angripare. Än värre är att angriparna vid en andra attack ofta krävde ett ännu högre belopp för lösensumman.

Enligt artikeln i Threatpost avråder de amerikanska myndigheterna FBI och Cybersecurity and Infrastructure Security Agency (CISA) från att betala lösensummor till kriminella aktörer. Men det händer ändå, Cybereason har upptäckt att även när lösensumman betalas kan saker och ting ändå gå fel. Till exempel kanske angriparna inte håller sitt löfte om att dekryptera och återställa data, data kan bli skadade under dekrypteringsprocessen eller så kan det vara brottsligt att betala lösensumman. Att betala lösensumman uppmuntrar dessutom angriparna att rikta in sig på samma offer igen.

Försvarsmakten och Integritetsskyddsmyndigheten påtalar behovet av ökad säkerhet
Den 17 mars 2022 gjorde Försvarsmakten ett uttalande om att cyberattacker nu är det största hotet.  Försvarsmakten uppmanar alla organisationer och företag att se över sitt säkerhetsskydd mot cyberattacker som blir allt vanligare. Detta gäller alla organisationer, inte bara de med verksamhetskritiska funktioner.

– Cyberhotet påverkar hela samhället. Även privatpersoner bör se över sitt skydd. Här kan alla vara med och bidra på sitt sätt. Säger kommendör Jan Kinnander, chef för säkerhetskontoret vid Militära underrättelsetjänsten (Must).

Integritetsskyddsmyndigheten (IMY) har också i ett pressmeddelande uppmanat organisationer att se över sina rutiner för cyber- och informationssäkerhet på grund av den förändrade säkerhetsmiljön. Detta följer på ett ökat fokus på olika typer av cyberattacker. IMY påminner företagen om deras ansvar för att garantera säkerheten för deras databehandlingar. Enligt IMY är informationssäkerheten avgörande för att skydda personuppgifter och organisationer måste vidta åtgärder för att på bästa sätt uppfylla kraven i GDPR.

Varför privatpersoner ska bry sig om sin cybersäkerhet
De flesta använder förmodligen datorn för allt från internetbankärenden till att hålla kontakten med vänner och familj på sociala medier. Men visste du att din dator eller enhet utan din vetskap kan användas för att sprida desinformation eller attackera samhällsviktiga IT-system?

Det beror på att din enhet kan vara en del av ett botnät. Ett botnät är en armé av infekterade datorer eller enheter som kontrolleras av en cyberkriminell. När en enhet ingår i ett botnät kan angriparen använda den för att inleda attacker mot andra IT-system, sprida skadlig kod eller skicka skräppost. Vilka skador ett botnät kan orsaka beror på angriparens avsikt.

Har du någonsin funderat på varifrån hackare får resurser för att genomföra omfattande it-angrepp?Det är inte precis så att 10 miljoner individuella ondskefulla hackare från hela världen med varsin dator bokat in en gemensam dag och tid för ett samordnat plundrarparty över Zoom. Hackarna använder sig av botnät – eller arméer av enheter (som ditt uppkopplade kylskåp eller företagets övervakningskamera) som har infekterats med ett skadligt program som kan fjärrstyras utan att ägarna vet om det. Illasinnade aktörer använder sig av miljontals datorer och enheter runt om i världen. Deras tentakler når ut till alla hörn av Internet så att de med kraft kan genomföra sina attacker.

Du kanske inte inser att din dator är en del av ett botnät förrän dina vänner klagar på att du skickat skräppost eller skadlig e-post till dem, eller när din dator eller internetuppkoppling blir långsammare.

ZDNET rapporterade den 19 maj 2022 att ett ryskt botnät som tidigare var känt för att användas för DDoS-attacker efter ytterligare analys också visade sig vara ett propagandainstrument. I artikeln rapporterades att cybersäkerhetsföretaget Nisos publicerade en rapport där det hävdades att en underleverantör till den ryska underrättelsetjänsten har ett botnät som kan manipulera sociala medier i stor skala.

I artikeln kan man läsa att Nisos konstaterade att det verkliga syftet med Fronton-botnätet kan vara desinformation och snabb, automatiserad spridning av propaganda. Med SANA, en webbaserad instrumentpanel som levereras med programvaran, kan du hantera din armé av fejkade konton i sociala medier och skapa beteendemodeller för botarna så att de kan uppträda som mänskliga användare. Du kan definiera responsmodeller för att instruera robotarna om hur de ska reagera på meddelanden och innehåll, det är också möjligt att övervaka trender.

SANA är ett kraftfullt verktyg som låter användaren skapa falska konton på sociala medier och distribuera innehåll på sociala medier, forum, bloggar med mera. Med SANA kan du enkelt skapa trovärdiga falska personer och rikta ditt budskap till specifika målgrupper. Med verktyget kan du skapa robotar som gillar, kommenterar och svarar på inlägg. Du kan även använda verktyget för att schemalägga inlägg och svar och bestämma hur många ”vänner” ett falskt konto ska ha.

Avslutning
På Nordic Privacy Arena 2021 diskuterade en panel med säkerhetsexperter det nya hotlandskapet. Bland annat diskuterades det om alla organisationer nu måste vara sina ha egna cybersoldater, vilket ansågs vara väldigt ineffektivt. Nu verkar det dock som att panelens önskan om mer stöd från regeringen till privat sektor kommer att uppfyllas.

Regeringen har enligt Computer Sweden beslutat att Försvarets radioanstalt (FRA) från och med den 1 juli kan erbjuda hjälp med informationssäkerhet och cyberhot till privata företag, föreningar och stiftelser. Detta är en förändring jämfört med tidigare då FRA endast kunde stödja myndigheter och statliga företag.

Läs mer :

Artikel i Irländska mediet Silicon Republic, 24 maj 2022:

Artikel i Wired 12 juni 2022

Threatpost artikel 8 juni 2022

Försvarsmaktens uttalande den 17 mars 2022

Integritetsskyddsmyndigheten nyhetsartikel den 29 mars 2022

Artikel 19e maj 2022 i ZDNET om botnätet Froton

Computer Swedens artikel den 3 juni 2022 om FRAs utökade uppdrag att stötta privat sektor

IMY granskar tre apotek för delning av personuppgifter med Facebook

Integritetsskyddsmyndigheten (IMY) inleder en utredning av tre apoteksaktörer (Apoteket AB, Apotea och Apohem) för att de delat detaljerade personuppgifter om kundernas köp på nätet med Facebook.

Personuppgiftsansvariga måste ha tillräcklig kontroll
I ett pressmeddelande från 1 juni 2022 på IMYs hemsida står det att de tre apoteksaktörerna anmält sig själva till myndigheten. IMY har ställt frågor till dessa företag om vilken typ av personuppgifter som överförs till Facebook, varför dessa uppgifter överförs, den rättsliga grunden för överföringen och hur företagen har utvärderat riskerna med att dela personuppgifter från sina webbutiker med Facebook.

– I alla verksamheter är det viktigt att ha ordentlig kontroll över de personuppgifter som hanteras i organisationen och hur dessa personuppgifter förs vidare till eventuella andra parter. Nu inleder vi en tillsyn av dessa apotekskedjor för att ta reda på hur företagen resonerat kring delningen av personuppgifter med Facebook, säger Disa Rehn, juristen som kommer att leda utredningen vid IMY.

Även receptfria läkemedel kan vara känsliga personuppgifter
Disa Rehn uttalar sig också i facktidningen Svensk Farmaci den 1 juni 2022. Hon konstaterar att det kan strida mot GDPR och patientsäkerhetslagen att dela detaljerade personuppgifter om apotekskunders hälsa med Facebook. Hon förklarar att detta kan leda till psykologiska skador, integritetskränkningar och skada på en persons rykte.

Apoteksföretagen hävdade att de endast delade personuppgifter om kundernas köp av receptfria produkter. Disa Rehn svarar att information om att någon köpt klamydia- och graviditetstester som är receptfria varor också kan utgöra känsliga personuppgifter.

Apoteken använde en kakbaserad spårningsteknik från Facebook
Apoteken använde ett analysverktyg för webbplatsägare känd som Facebook Pixeln, numera kallas den dock Meta-pixeln. Det beror på att företaget som driver tjänsten Facebook har bytt namn till Meta. I korthet är pixeln ett verktyg som hjälper webbplatsägare att förstå hur människor interagerar med deras webbplats. Google har ett liknande verktyg som heter Google Analytics. Forum för Dataskydd rapporterade den 4 februari 2022 om beslut från andra EU-länder där tillsynsmyndigheter ifrågasatt om Google Analytics och liknande tjänster är förenligt med GDPR när uppgifter överförs till USA. 

För nästan två år sedan, i juli 2020, meddelade EU-domstolen sin dom i Schrems II-målet. Denna dom fick betydande konsekvenser för hur företag kan överföra uppgifter till USA och ogiltigförklarade Privacy Shield-programmet. Detta innebär att webbplatsägare måste se till att de har en annan rättslig grund för överföringen till tredjeländer.

Spårning kräver samtycke
Webbplatser som använder Meta-pixeln måste vara utformade så att spårningstekniken inte aktiveras automatiskt. Detta beror på att pixeln placerar en kaka på besökarens enhet, och svensk lag kräver informerat samtycke innan en sådan kaka kan lagras eller hämtas. 

Med hjälp av pixeln kan Facebook se vad du gör på andra webbplatser och visa dig relevanta annonser. Om du till exempel besöker en webbplats med pixeln och lägger en produkt i kundvagnen men inte köper den, kan du senare se en Facebook-annons för samma produkt.

Facebook visar dig vilka uppgifter som samlas in från andra appar och webbplatser. Du kan klicka här och sedan välja “Aktiviteter utanför Facebook”. Därifrån kan du se din historik och radera den om du vill. Du kan också be Facebook att avstå från att koppla ihop dina aktiviteter utanför Facebook med din Facebook profil.

Hur du kan skydda dig
Det finns några sätt att hindra onlinespårare från att lära sig dina vanor. Ett sätt är att använda en integritetsskapande webbläsare som Tor. 

Ett annat sätt är att använda ett webbläsartillägg som Privacy Badger eller uBlock Origin. Dessa tillägg motverkar att spårare på nätet får reda på vad du gör på nätet. Slutligen föredrar vissa personer att använda en VPN-tjänst som de litar på för att kryptera sin internettrafik och göra det svårare för spårare att koppla ihop vad du gör på nätet med din identitet.

Kakor är inte det enda sättet för företag att spåra användare på nätet. En annan metod, digitala fingeravtryck identifierar användare utifrån deras unika enhet och webbläsarinställningar. Denna information kan användas för att skapa en profil av användaren och spåra dennes online aktivitet. Fingeravtryck är en mer sofistikerad spårningsmetod än cookies och det är svårare för användarna att skydda sig mot den.

Du kan läsa mer om digitala fingeravtryck i denna artikel av PCMag och detta pressmeddelande från Lunds universitet. Vill du utforska fler möjligheter att skydda din integritet kan även Whonix och Tails vara intressanta projekt att titta närmare på. 

Läs mer:

IMYs pressmeddelande 1 juni 2022

Artikel i Svensk Farmaci 1 juni 2022

Forum för Dataskydds artikel om Google Analytics 4 feb 2022

Pressmeddelande om forskning kring Digitala fingeravtryck och integritet

PCMags artikel om digitala fingeravtryck

Whonixprojektet

Operativsystemet Tails

EU skärper IT-säkerhetskraven för samhällsviktiga tjänster

Samtidigt som EU skärper de obligatoriska cybersäkerhetskraven för viktiga samhällstjänster vill regeringen att svenska företag, organisationer och privatpersoner skyddar sig bättre. Ett högdigitaliserat land som Sverige är mycket sårbart för cyberangrepp. Detta är del 1 av 2 i vår fördjupande artikel som belyser hur samhället förbereder sig för att möta den ökade risken för cyberangrepp från Ryssland.

Uppdaterade IT-säkerhetsregler för samhällsviktig infrastruktur genom NIS 2
Europaparlamentet och rådet nådde den 13 maj 2022 en preliminär överenskommelse om ett nytt NIS-direktiv. Enligt ett pressmeddelande från rådet syftar det nya EU-direktivet som man enats om till att stärka cybersäkerheten och motståndskraften i hela unionen. Det nya direktivet, som kallas NIS2, kommer att ersätta det nuvarande direktivet om nät- och informationssäkerhet (NIS).

Enligt Myndigheten för samhällsskydd och beredskap (MSB) är NIS en engelsk förkortning på directive on security of Network and Information Systems. Nuvarande NIS är ett juridiskt regelverk för offentliga och privata aktörer som levererar utpekade samhällsviktiga tjänster. Regelverket omfattar bland annat banker, energibolag och vården.

NIS2-direktivet är avsett att undanröja nationella olikheter genom att införa enhetliga krav på cybersäkerhet i medlemsstaterna för samhällsviktig infrastruktur. De uppdaterade reglerna ska också göra det lättare för myndigheter i medlemsstaterna att samarbeta med varandra. Direktivet uppdaterar också förteckningen över sektorer och verksamheter som omfattas av NIS-reglerna och innehåller bestämmelser om hur reglerna ska tillämpas.

Enligt det nuvarande NIS-direktivet ansvarar medlemsstaterna för att avgöra vilka aktörer som uppfyller kriterierna för att klassificeras som tillhandahållare av samhällsviktiga tjänster. Genom det nya NIS2-direktivet avgörs fler sådana detaljer på EU-nivå och det införs en storleksgräns, vilket innebär att alla medelstora och stora företag som driver eller tillhandahåller tjänster inom de sektorer som täcks av direktivet kommer att omfattas av dess tillämpningsområde.

Enligt pressmeddelandet kommer NIS2 inte att tillämpas på aktörer som bedriver verksamhet inom områden som försvar eller nationell säkerhet, allmän säkerhet, brottsbekämpning och rättsväsende. NIS2 kommer att gälla för offentliga administrativa organ på central och regional nivå. Det kommer att vara upp till medlemsstaterna att besluta om NIS2-direktivet även ska gälla för lokala organ.

Det provisoriska avtal som ingicks den 13 maj 2022 måste nu godkännas av rådet och Europaparlamentet. När direktivet väl har godkänts och trätt i kraft har medlemsstaterna 21 månader på sig att införliva bestämmelserna i sin nationella lagstiftning.

Regeringen vill att svenska organisationer och privatpersoner stärker sin IT-säkerhet
Samtidigt som EU skärper de obligatoriska kraven på samhällsviktiga tjänster, riktar den svenska regeringen en uppmaning till landets företag och privatpersoner. Regeringen har gett MSB och Polisen i uppdrag att genomföra en bred informationskampanj riktad till allmänheten och näringslivet om informations- och cybersäkerhet. Regeringen har avsatt 40 miljoner kronor för detta.

  • ”Jag vill uppmana alla företag, alla myndigheter och privatpersoner att se över sin egen IT-säkerhet” sade inrikes- och justitieminister Morgan Johansson under en presskonferens den 2 mars 2022 där regeringsuppdraget om informationskampanjen lanserades.

Morgan Johansson höll presskonferensen tillsammans med Charlotte Petri Gornitzka, generaldirektör för Myndigheten för samhällsskydd och beredskap (MSB), och Charlotte von Essen, chef för SÄPO.

Morgan Johansson sade att svenska myndigheter är medvetna om de högre riskerna med cyberattacker, men att det nu är dags att även utbilda allmänheten för att göra dem medvetna om riskerna och öka deras beredskap.

Charlotte von Essen sade att kriget i Ukraina har orsakat en förändring av freds- och säkerhetssituationen i Europa och har ökat det långsiktiga hotet om cyberattacker. SÄPO är medveten om att utländska statliga aktörer genomför cyberattacker både i fredstid och under pågående konflikter. Hon sade att det är viktigt att ha ett fullständigt skydd mot dessa hot, som kan komma i form av DDoS-attacker, bedrägliga webbplatser, phishing och spridning av skadlig kod.

SÄPO och MSB uppmanar enligt Charlotte von Essen säkerhetsansvariga och säkerhetsexperter att vara mer vaksamma i ljuset av den senaste tidens händelser. Det är viktigt att myndigheter och företag har en tydlig förståelse för vad som behöver skyddas och att prioritera därefter. Samhället som helhet måste vara bättre informerat för att öka sin motståndskraft mot säkerhetshot.

Charlotte Petri Gornitzka förklarade att MSB arbetar via CERT-SE (Computer Emergency Response Team) för att hantera hot mot cybersäkerheten. Hon fortsatte med att säga att samhället bör vara extra vaksamt, välkända tidigare IT-incidenter kan användas som exempel för att beskriva de tänkbara konsekvenserna av otillräcklig cybersäkerhet. Just nu har cyberattackerna inte ökat, men tidpunkten och världssituationen är speciell menade hon.

Vidare talade Charlotte Petri Gornitzka om vikten av att organisationer använder Infosäkkollen för att öka sin motståndskraft mot attacker och vara bättre förberedda på incidenter. Hon rådde också organisationer att vara mycket uppmärksamma på eventuella avvikelser i IT-miljön och att rapportera misstänkta brott till polisen.

Slutligen så framhöll Charlotte Petri Gornitzka att alla, även privatpersoner kan hjälpa till med att höja samhällets beredskap. Hon sa att man som privatperson kan bidra genom att alltid uppdatera sin mobil, dator, iPad, säkerhetsprogram, lösenord och skydda sin E-legitimation. De som behöver hjälp med tekniken kan i första hand kontakta sin internetleverantör. Hon uppmanade också allmänheten att vara källkritisk och att inte sprida felaktig information om den rådande situationen. Vidare sade hon att alla kan drabbas av utpressningstrojaner (ransomeware), såväl kommuner som privata organisationer.

Följ MSB:s rekommendationer, skyll inte på användarna och rapportera överträdelser
CERT-SE vid Myndigheten för samhällsskydd och beredskap (MSB) ser ett behov av att påminna organisationer om vad de kan göra för att säkerställa sin cyberhygien, det gäller både offentliga och privata organisationer, stora som små. Dessa rekommendationer bör man regelbundet göra en översyn utifrån för att se till att kritiska IT-system inte drabbas av cyberattacker.

En forskare uppmanar organisationer att noga tänka igenom hur de utformar instruktionerna till de som ska använda ett IT-system. Det påstås ofta att det är användaren som gör fel och som är den svaga länken. Joakim Kävrestad vid Högskolan i Skövde som forskar och undervisar i cybersäkerhet med fokus på användarbeteende, håller inte med. Enligt honom är problemet att experternas råd är för komplexa och lägger ett orimligt stort ansvar på den enskilda användaren, som förväntas göra precis som experterna säger. Kävrestad påstår att det är säkerhetsexperterna som blir den svaga länken när vi flyttar ansvaret till användare i stället för att ta det själva.

Om vi ska kunna skydda oss mot framtida cyberhot måste säkerhetsbranschen enligt Kävrestad göra användaransvaret till en rimlig börda och erkänna att inte bara användare är naiva. Naivitet finns på individ-, organisations- och nationsnivå. Han menar att säkerhetsbranschen måste sluta lägga skulden på användarna för att de inte uppfyller våra höga krav och i stället hjälpa dem genom att göra våra krav mer användarvänliga. Vi bör inte tvinga på användarna komplexa lösenord och regelbundna lösenordsbyten. Vi måste möjliggöra flerfaktorsautentisering och utbilda användarna med skräddarsydd utbildning om risksituationer som förekommer i deras normala arbetssituation säger han.

En annan viktig del i att möta cyberhoten är att rapportera incidenter till myndigheter. Under en paneldiskussion som anordnades av CNBC vid World Economic Forum i Davos måndagen den 23 maj uppmanade Jurgen Stock, Interpols generalsekreterare, företagsledare att öka samarbetet med regeringar och brottsbekämpande myndigheter för att säkerställa en effektivare kamp mot cyberbrottslighet. Han sade att ett “enormt antal” cyberattacker inte rapporteras och att de brottsbekämpande myndigheterna behöver hjälp av den privata sektorn för att fylla denna informationslucka. Han tillade att Interpol är “blinda” utan rapporter från den privata sektorn.

Stock sade dessutom att han är orolig för att statligt utvecklade cybervapen för militärt bruk om “några år” kommer att finnas tillgängliga på darknet. Stock sade att detta är ett stort bekymmer eftersom dessa vapen skulle kunna hamna i händerna på den organiserade brottsligheten.

Vad är darknet?
Darknet är ett nätverk av datorer som inte är anslutna på samma sätt som andra nätverk. De arbetar tillsammans utan en central server. Darknet är inte en enda plats utan snarare en samling webbplatser och andra resurser som inte indexeras av traditionella sökmotorer. För att få tillgång till darknet måste användarna installera särskild programvara, t.ex. webbläsaren Tor. När användarna väl är inne på darknet kan de surfa på webbplatser, chatta med andra och till och med köpa olagliga varor och tjänster. Darknet kan användas för kriminell verksamhet, men det används också för helt legitima saker av journalister, visselblåsare och andra som behöver kommunicera anonymt. Exempelvis uppmanar CIA ryska medborgare som vill lämna underrättelser att kommunicera med dem över Tor. Tor används också av privatpersoner som inte vill att kommersiella företag ska kunna spåra varenda grej de gör på internet.

Sammanfattning
Sammanfattningsvis kommer NIS2-direktivet införa nya krav som säkerställer att kritisk infrastruktur skyddas bättre mot cyberhot. Alla kan drabbas av utpressningstrojaner (ransomware), så det är viktigt att ha en plan för när det händer. Säkerhetsbranschen bör sluta skylla på användarna för att de inte uppfyller höga krav och i stället hjälpa dem genom att göra kraven mer användarvänliga. Regeringen vill att även företag och privatpersoner stärker sin IT-säkerhet. Interpols generalsekreterare varnar också att cybervapen utvecklade för militären kan hamna i händerna på den organiserade brottsligheten inom några år, vilket är ett stort bekymmer.

Nästa vecka tar vi en närmare titt på den senaste utvecklingen inom utpressningstrojaner. Blir ransomware-grupper mer aggressiva? Har de blivit ett hot mot demokratin? Hur kan vi slå tillbaka mot dem? Ett säkerhetsföretag har upptäckt att ett ryskt botnät har förmågan att manipulera sociala medier i stor skala. Det verkliga syftet med botnätet verkar vara att sprida desinformation och propaganda snabbt och automatiskt. Vad kan du som privatperson göra för att skydda dig själv och andra mot detta växande problem? Håll ögonen öppna för vår kommande artikel för att få reda på det!

Läs mer här:

MSBs informationssida om NIS1:

Rådets pressrelease den 13 maj 2022

Regeringens presskonferens den 2 mars 2022 om informationskampanjen till allmänheten för ökad IT-säkerhet

CERT-SEs uppmaning till organisationer att höja sin cyberhygien

Högskolan i Skövdes nyhet den 6 april 2022 där forskaren Joakim Kävrestad uttalar sig användaransvar

Nyhet den 23 maj 2022: Interpols generalsekreterare säger att militära cybervapen om några år kan hamna i händerna på kriminella

IMY publicerar riktlinjer om hur personuppgifter får användas i politiska kampanjer

Integritetsskyddsmyndigheten (IMY) har utfärdat riktlinjer för politiska aktörer och skickat ett exemplar var till alla åtta riksdagspartier. Inför kommun-, region- och riksdagsvalen i september vill politiska partier och intresseorganisationer kommunicera och föra en dialog med väljarna.

Ett viktigt påpekande är att riktlinjerna riktar sig till politiska aktörer. Riktlinjerna gäller lika mycket för ett politiskt parti som ställer upp i ett kommunval som för en opinionsbildande förening som vill legalisera jakt på ekorrar.

Många kampanjaktiviteter förutsätter behandling av personuppgifter
Politiska organisationer vill skapa opinion för sina hjärtefrågor, och väljarna vill veta vad de politiska partierna vill åstadkomma och hur. Politiska kampanjer måste bedrivas på ett etiskt sätt och respektera allas rätt till privatliv. Det är viktigt att betona att rätten till personlig integritet inte bara handlar om att individer ska ha kontroll över vad andra vet om dem. Personlig integritet handlar i lika hög grad om att ha rätt att veta hur andra använder ens personuppgifter. Även den som är mycket öppen med att hen är en konservativ kristen, har rätt att veta hur en politisk aktör eller ett socialt medieföretag har använt den offentliga informationen om hen för att visa en riktad annons.

Politiska aktörer kan komma att samla in väljarnas kontaktuppgifter från offentliga register för att skicka information per post eller ringa telefonsamtal. De kan också använda sociala medieplattformar och tjänster för riktad reklam på nätet för att skicka skräddarsydda politiska budskap till enskilda personer baserat på egenskaper som intresse, geografiskt läge, ålder eller till och med politiska åsikter. Många aktiviteter som har med politisk kampanjverksamhet att göra kommer att omfattas av GDPR:s fulla räckvidd. Ibland kan en aktivitet också omfattas av ett undantag där GDPR inte alls är tillämplig eller där endast delar av den gäller.

All personuppgiftsbehandling måste ha en rättslig grund
Riktlinjerna innehåller 26 exempel för att illustrera reglerna i deras enklaste form. När det gäller politiska kampanjer är samtycke och berättigat intresse mer relevanta än alla andra rättsliga grunder. Berättigat intresse ska användas när organisationen inte kan be väljaren om lov innan den utför behandlingen – en organisation kan bara förlita sig på berättigat intresse för legitima aktiviteter.

Riktlinjerna ger exempel på berättigade intressen och ett otillåtet intresse: Om ett politiskt parti riktar in sig på väljare som tillhör en etnisk minoritet som vanligtvis inte röstar på partiet, i syfte att diskriminera dem för att avskräcka dessa väljare från att gå till valurnorna. Enligt IMY kan en sådan handling aldrig betraktas som ett legitimt intresse och är därför olaglig.

Offentliga personer har inte lika starkt skydd för den personliga integriteten som vanliga medborgare
Ett annat intressant exempel från IMY illustrerar hur offentliga personer har en svagare rätt till privatliv och att privat information kan publiceras om det är motiverat av ett samhällsintresse. Undantagsregeln gäller politiker och andra offentliga personer som har valt att delta i det offentliga livet.

Om Anna Ankdotter, ledare för parti A, på sin Facebooksida publicerar att Benny Bobbysson, ledare för parti B, inte har betalat räkningarna för sitt nyrenoverade sommarhus och att räkningarna har gått till kronofogden kan det vara lagligt att publicera denna information. Anna kan försvara spridningen av informationen genom att hävda att hon publicerade denna privata information för att hon ville inleda en debatt om hur omoraliska hennes politiska motståndare är och att Bennys bristande omdöme gör honom olämplig att inneha offentliga ämbeten. IMY resonerar att ett sådant offentliggörande kan falla in under GDPR-undantaget för journalistiska ändamål.

Begreppet “journalistiska ändamål” har en bredare betydelse som juridisk term i GDPR än i dagligt tal. Det innefattar rätten att uttrycka åsikter, synpunkter, information och idéer även sådana som kan betraktas som chockerande eller stötande. Trots namnet kan detta undantag åberopas av vem som helst, oavsett om man är professionell journalist eller inte. Det är syftet som spelar roll, inte vem författaren är. Undantaget gäller även för politiska partiers verksamhet.

Känsliga personuppgifter
När det gäller information om en individs politiska åsikter är det viktigt att notera att det rör sig om känsliga personuppgifter. Känsliga uppgifter är kategorier av uppgifter som är strikt reglerade eftersom de kan missbrukas för att kränka en persons grundläggande mänskliga rättigheter, t.ex. tanke-, samvets-, religions- eller yttrandefrihet, eller missbrukas för diskriminerande ändamål. Politiska åsikter erkänns inte som en skyddad egenskap i den svenska diskrimineringslagen. Det är dock en skyddad egenskap enligt artikel 9 i GDPR.

Även när man kombinerar eller använder information som verkar harmlös, såsom ålder, kön, intressen och bostadsort eller till och med besökta webbsidor för att gissa någons politiska politiska ståndpunkt, definieras detta i GDPR som personuppgifter som avslöjar någons politiska åsikter. Uppgifternas riktighet spelar inte heller någon roll, om den politiska aktören tror att någon är socialdemokrat fastän den är kristdemokrat, behandlar den fortfarande personuppgifter om politiska åsikter.

Delat personuppgiftsansvar och den registrerades rättigheter
Om en politisk aktör använder ett socialt medium för att rikta sig till väljare är det enligt IMY oftast fråga om ett delat personuppgiftsansvar. Den politiska aktören och sociala medieföretaget måste ingå en offentlig överenskommelse som förklarar för de registrerade vilken personuppgiftsansvarig som är ansvarig för vilken del av databehandlingen. I riktlinjerna nämns också att politiska aktörer måste ha rutiner för att se till att de registrerade kan utöva sina rättigheter på ett smidigt sätt. De registrerade har rätt att invända mot databehandlingen när en organisation skickar ett meddelande för att uppmuntra någon att rösta på dem, gå med i organisationen eller donera pengar.

Personuppgiftsansvariga måste också vara medvetna om reglerna för överföringar till tredje land samt kraven på att tillhandahålla adekvat säkerhet. Politiska partier måste också hantera sina medlemmars och sympatisörers personuppgifter med respekt och försiktighet. Partierna bör inte göra något som deras väljare inte rimligen kan förvänta sig. Ett exempel är att en person som besöker ett möte med ett politiskt parti knappast kan antas vara villig att få sin bild publicerad på sociala medier.

Politiska partier förväntas ha ett högre dataskydd
När det gäller säkerhet finns det också ett intressant fall från Nederländerna. En provinsiell avdelning av ett nederländskt politiskt parti fick 7500 euro i sanktionsavgift för en personuppgiftsincident. När partiet skickade en inbjudan till ett valmöte för sina sympatisörer via e-post, offentliggjorde partiet av misstag en lista med 101 mottagare för alla som fick e-postmeddelandet. Partiet straffades av dataskyddsmydigheten både för att ha underlåtit att rapportera personuppgiftsincidenten i tid och för att ha avslöjat känsliga personuppgifter.

Partiet hävdade att det faktum att någon fanns med på listan inte utgjorde känsliga personuppgifter som avslöjade en politisk åsikt. Den nederländska dataskyddsmyndigheten höll dock inte med. Myndigheten analyserade e-postmeddelandets innehåll och målgrupp, det faktum att det var en inbjudan till ett valmöte för ett politiskt parti och vad som skulle hända vid evenemanget vägde tungt. Genom en samlad bedömning drog myndigheten slutsatsen att det var mycket troligt att åtminstone en del av dessa 101 e-postadresser tillhörde personer som anmält sig för att de sympatiserar med partiets idéer och att listan därför utgjorde känsliga uppgifter.

Dataskyddsmyndigheten konstaterade också att personuppgiftsincidenten innebar en hög risk för enskilda personers rättigheter och friheter. Dataskyddsmyndigheten klargjorde att när det gäller känsliga personuppgifter som avslöjar en politisk åsikt måste man hypotetiskt anta att den registrerade sannolikt kommer att lida skada som kan vara materiell, ryktesmässig eller diskriminerande till sin natur. Den nederländska dataskyddsmyndigheten konstaterade att politiska partier behandlar känsliga personuppgifter, vilket innebär en större risk för en person vars rätt till dataskydd kränks. Därför klargjorde den nederländska dataskyddsmyndigheten att ett politiskt parti har ett mer omfattande ansvar för att upprätthålla en hög nivå av dataskydd.

Slutligen är det värt att nämna att EU-kommissionen i november 2021 föreslog en ny EU-lag om politisk reklam. Enligt pressmeddelandet var tanken att politiska aktörer inte skulle vara tillåtna att använda känsliga personuppgifter för riktad reklam. I pressmeddelandet angavs också att den föreslagna lagen skulle bygga på och komplettera GDPR och Digital Services Act.

Läs mer här:

IMYs pressrelease från 18Maj 2022

Pressrelease om Nederländska datasskyddsmyndighetens tillsynsbeslut mot ett regionalt politiskt parti 2021 (Nederländska)

Press release från EU-kommissionen 25 November 2021

Digital Services Act

EU-kommissionen lanserar ett säkert nätverk för delning av patientdata

Föreställ dig att du åker på semester till Tyskland. Du blir sjuk och behöver besöka en läkare. Din tillfälliga tyska läkare kommer att kunna se din svenska sjukdomshistoria. Din tyska läkare kan därmed undvika att skriva ut läkemedel som du är allergisk mot.

Enligt EU-kommissionen kommer ovanstående scenario bli möjligt tack vare ett nytt lagförslag som offentliggjordes 3 maj 2022. Lagförslaget innehåller regler som upprättar ett europeiskt ekosystem (datornätverk) för hälsodata. Ekosystemet ska kallas för det europeiska hälsodataområdet, European Health Data Space (EHDS).

Enligt EU-kommissionen kommer EU-tjänsterna EHDS och Min hälsa@EU se till att EU-ländernas system för elektroniska patientjournaler kan “prata” med varandra. Journalsystemen ska kunna kommunicera på ett gemensamt språk och utbyta patientuppgifter på ett säkert sätt.

Bakgrunden till förslaget är att utbrottet av COVID-19 enligt EU-kommissionen visat att korrekta hälsodata är nyckeln till välgrundade folkhälsoåtgärder och krishantering. Samtidigt är hälsouppgifter  mycket känsliga och omfattas av strikta sekretess- och dataskyddsregler. Patienterna vill ha kontroll över hur deras uppgifter används. EU-kommissionen föreslår denna lag så att samhället kan dra största möjliga nytta av hälsouppgifterna samtidigt som sekretessen värnas.

Regelverket öppnar dörren för nya möjligheter att använda hälsodata som en ny digital resurs. Hälsodata ska kunna användas för att förbättra hälso- och sjukvården, främja forskning och innovation samt möjliggöra faktabaserade politiska beslut.

EHDS kommer att upprätta en rättslig ram som

  1. Fastställer reglerna för hantering av data för primära syften. Primär användning refererar till situationer där hälsodata används för samma ändamål som de samlades in för. Det vill säga situationer där personuppgifterna används för att ge vård till patienten. I relation till data som används för att utföra tjänsten sjukvård, ger EHDS patienterna bland annat rätt till ökad digital tillgång och kontroll över sina elektroniska personliga hälsouppgifter, nationellt och mellan EU-länder.
  2. Fastställer regler för sekundär användning av uppgifter: Sekundär användning refererar till situationer då personuppgifter som samlades in för ändamålet att bedriva vård, används för ett nytt syfte. EHDS kommer enligt kommissionens förslag tillåta sekundär användning av hälsouppgifter för forskning, innovation, politiskt beslutsfattande och tillsyn. Varje medlemsstat måste ha en digital hälsomyndighet. Forskare, företag och institutioner kan ansöka hos myndigheten om  tillgång till hälsodata för sekundär användning i en skyddad miljö där patienternas identitet inte röjs.   

Vad innebär förslaget för olika aktörer?
EU-kommissionen säger att patienterna kommer att kunna få tillgång till och dela sina hälsouppgifter med vårdpersonal. De kommer också att kunna lägga till information, korrigera fel och besluta att vissa kategorier av hälsouppgifter ska lämnas ut till en vårdgivare i ett europeiskt format för elektroniskt utbyte av hälsouppgifter.

Vidare kommer det europeiska hälsodataområdet göra det möjligt för medborgare i hela EU att fullt ut utöva sina rättigheter rörande sina hälsouppgifter. Människor kommer lättare kunna få tillgång till och dela med sig av dessa uppgifter, samtidigt som de kommer att ha större kontroll över dem.

Samtidigt påpekar EU-kommissionen att hälso- och sjukvårdspersonalens arbete kommer att bli enklare och effektivare. Tack vare förbättrad kompatibilitet mellan journalsystem kommer vårdpersonalen att kunna få tillgång till patientens medicinska historia över gränserna (som i exemplet ovan), vilket kommer att förbättra informationsunderlaget för beslut om vård och diagnossättning. Vårdgivare i olika länder kan därmed undvika dubbelt testande, vilket kommer att ha en positiv inverkan på patienternas vård och vårdkostnaderna.

Forskare kommer att dra nytta av mer direkt tillgång till data i en betrodd och säker miljö. Forskarna kommer att få tillgång till större mängder data av hög kvalitet. De kommer att kunna få tillgång till uppgifterna på ett effektivare och mer kostnadseffektivt sätt genom att en myndighet tar ställning till en begäran om dataåtkomst. Denna lösning  garanterar enligt EU-kommissionen patienternas integritet.

Enligt EU-kommissionen kommer tillsynsmyndigheter och politiska organ också att lättare få tillgång till hälsodata för att fatta politiska beslut och förbättra hälso- och sjukvårdssystemens funktion. Detta kommer att leda till bättre tillgång till vård, lägre kostnader, större effektivitet, mer motståndskraftiga hälso- och sjukvårdssystem, ny forskning och innovation samt möjliggöra ett mer evidensbaserat beslutsfattande.

Slutligen konstaterar EU-kommissionen att företagen kommer att gynnas av en gemensam EU-marknad för elektroniska patientjournalsystem med gemensamma standarder och specifikationer. Den större tillgången till elektroniska hälsodata kommer att förbättra människors hälsa och underlätta utvecklandet av innovativa läkemedel och utrustning som möjliggör bättre och mer personlig vård. Företagen kommer också att kunna utveckla nya apparater som utnyttjar artificiell intelligens.

Tillit är nyckeln till innovation
För att skapa tillit kommer ekosystemet EHDS att fastställa säkerhetskriterier för interoperabilitet och säkerhet för elektroniska patientjournalsystem. EHDS kommer också möjliggöra användning av hälsouppgifter för diagnos, behandling, forskning och statistik, men endast om uppgifterna inte är identifierbara och behandlas i en säker miljö. Det kommer vara förbjudet för användaren att återidentifiera de registrerade personerna, och forskaren, företaget eller den offentliga enheten kan endast få tillgång till icke-identifierbara uppgifter (som ger information om sjukdom, symtom och medicinering utan att avslöja individens identitet).

På Nordic Privacy Arena 2021 diskuterades vid ett av seminarierna hur hälso- och sjukvårdssektorn kan säkra patienternas förtroende och samtidigt införa avancerad teknik. Följande exempel illustrerar hur EHDS kan ses som en lösning på detta problem:

Ett företag utvecklar ett nytt AI-baserat medicinskt beslutsstöd. Detta verktyg kommer att hjälpa läkare att fatta beslut om diagnos och behandling efter att ha granskat patienternas laboratoriebilder. Företaget kan använda EHDS för att få tillgång till många medicinska bilder för att träna AI-algoritmen och säkerställa att den är träffsäker innan det ansöker om ett godkännande för att släppa ut produkten på marknaden.

Företagen kommer endast att kunna få tillgång till hälsouppgifter genom den digitala hälsomyndigheten. De måste få tillstånd för att få tillgång till uppgifter. EU-kommissionen klargör att de endast kommer att få tillgång till de uppgifter som är nödvändiga för den aktuella forskningen, utan att avslöja individens identitet, och att de endast kommer att vara tillgängliga under projektets löptid i en säker databehandlingsmiljö.

Slutligen säger EU-kommissionen att EHDS bygger på den europeiska dataskyddsförordningen (GDPR), den föreslagna Data Governance Act, utkastet till Data Act och NIS-direktivet.

Det förslag som lagts fram av EU-kommissionen kommer nu att diskuteras av rådet och Europaparlamentet.

Läs mer här:

EU-kommissionens pressmeddelande om EHDS (svenska):

EU-kommissionens pressmeddelande om EHDS (engelska):

Informationssida om EHDS (engelska):

EU-kommisionens FAQ om EHDS (Engelska):

Min hälsa:

NPA 2021: Hur patienternas tillit till vården säkras och hur vården kan använda ny teknik

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart