EU experimenterar med decentraliserade sociala medier

Förra veckan rapporterade Forum för Dataskydd att EU-politikerna den 23 april 2022 hade nått en preliminär överenskommelse för en ny lag. Digital Services Act förväntas rubba maktbalansen på Internet och reglera sociala medieplattformar.

En vecka senare, den 28 april 2022, lanserade EU två egna sociala medieplattformar, EU Voice och EU Video, som drivs av European Data Protection Supervisor (EDPS). EDPS är en EU-myndighet som övervakar hur EU:s institutioner följer EU:s dataskyddsregler och ger råd till EU:s politiker om hur de bör utforma tekniklagar. Plattformarna EU Voice och EU Video befinner sig för närvarande i en pilotfas.

Tidpunkten för lanseringen har en symbolisk betydelse. EU har lanserat de två nya digitala tjänsterna i ett försök att främja en ökad digital suveränitet och ett minskat beroende av stora leverantörer av digitala tjänster utanför EU. De valda tekniska lösningarna ligger även i linje med Europeiska kommissionens strategi för programvara med öppen källkod 2020–2023.

“Med lanseringen av pilotprojektet EU Voice och EU Video vill vi erbjuda alternativa plattformar för sociala medier som sätter individerna och deras rätt till integritet och dataskydd i första rummet. Konkret innebär detta till exempel att EU Voice och EU Video inte är beroende av överföringar av personuppgifter till länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet, att det inte finns några annonser på plattformarna och att det inte förekommer någon profilering av personer som kan komma att använda plattformarna. Dessa åtgärder ger bland annat enskilda personer möjlighet att styra och kontrollera hur deras personuppgifter används.” säger Wojciech Wiewiórowski, European Data Protection Supervisor (vår översättning av citatet till svenska).

EDPS har lanserat de nya plattformarna EU Voice och EU Video som alternativ till de centraliserade sociala medierna Twitter och YouTube. Plattformarna bygger på lösningar med öppen källkod som kallas Mastodon och PeerTube. På dessa plattformar har EU:s institutioner egna konton där de kan göra statusuppdateringar och ladda upp videoklipp. Allmänheten kan också interagera med dessa statusuppdateringar och videor genom att använda motsvarande funktioner för att retweeta, gilla och kommentera.

Endast företrädare för EU-institutionerna kan registrera ett konto på de två EU-servrarna. Även om du inte har ett konto på deras servrar kan du ändå interagera med EU-institutionerna. Mastodon och PeerTube är decentraliserade sociala medier som gör det möjligt för användare att kommunicera med varandra även när deras konton bor på olika servrar. Det är som e-post: En person med ett Gmail-konto kan fritt skicka meddelanden till någon som har Telia som e-postleverantör.

Föreställ dig att du bara behöver ett användarkonto för alla dina sociala medier. Du finns på Twitter, men du kan fortfarande umgås med dina vänner på andra plattformar, oavsett om de finns på YouTube, LinkedIn, Facebook eller Instagram. Du skulle kunna följa, gilla och kommentera deras YouTube-videor utan att ha ett YouTube-konto. Plattformar kan bara interagera med varandra på detta sätt om alla servrar “talar samma språk”, om de använder ett gemensamt protokoll. Faktum är att Mastodon och PeerTube gör just detta.

Mastodon och PeerTube är en del av Fediversum, som är en kombination av orden Federation och Universum. Mastodon och PeerTube servrar ingår i ett ekosystem av decentraliserade sociala medieservrar som pratar samma språk.

Det möjliggör kommunikation mellan servrar och även tvärs över appar. Det gemensamma språket heter ActivityPub. År 2018 blev ActivityPub en officiell webbstandard som rekommenderas av World Wide Web Consortium (W3C).

Några av de EU-institutioner som har en Mastodon-kanal är: Europeiska kommissionen, EU-domstolen, European Data Protection Supervisor och Europeiska unionens byrå för grundläggande rättigheter.

EDPS vill genom pilotprojektet samla in feedback från användarna. Vidare ser EDPS pilotprojektet som ett symboliskt startskott som markerar övergången till mer integritetsvänliga plattformar för sociala medier.

Läs mer här:

EU Voice:

EU Video:

Pressmeddelande från EDPS 28 april 2022

Wikipedia artikel om Fediversum

Om du vill skaffa dig ett Mastodon-konto

Maktbalansen på internet ändras med ny EU-lag

EU:s politiker har enats om en banbrytande lag för onlinetjänster och plattformar. Enligt Europeiska kommissionen syftar lagen om digitala tjänster, Digital Services Act (DSA) till att nollställa maktbalansen mellan onlinetjänster, användare och offentliga myndigheter.

Efter ett maraton av 16 timmars förhandlingar nådde parlamentet och rådet, EU:s två lagstiftande organ, en överenskommelse på lördagsmorgonen den 23 april 2022. Överenskommelsen slöts vid ett informellt förhandlingsmöte (trialog), där Europeiska kommissionen agerar som medlare. Nu ska de sista detaljerna utarbetas, sedan ska de båda lagstiftande organen formellt anta rättsakten.

– ”I och med DSA är det slut med stora onlineplattformar som beter sig som om de är “för stora för att bry sig”. DSA lägger fast tydliga, harmoniserade skyldigheter för plattformar – i proportion till storlek, inverkan och risk. Kommissionen får i uppdrag att övervaka mycket stora plattformar, inklusive möjligheten att införa effektiva och avskräckande sanktioner på upp till 6 % av den globala omsättningen eller till och med ett förbud mot att bedriva verksamhet på EU:s inre marknad vid upprepade allvarliga överträdelser. EU-institutionerna har arbetat hand i hand på rekordtid, med beslutsamhet och ambition för att skydda våra medborgare på nätet” säger Thierry Breton, EU-kommissionär med ansvar för den inre marknaden, i ett pressmeddelande.

Klassificering avgör omfattningen av en tjänsteleverantörs skyldigheter
Leverantörer av digitala tjänster delas in i fyra kategorier. Kategoriseringen säkerställer att de rättsliga skyldigheterna motsvarar leverantörens roll, storlek och inflytande i ekosystemet på nätet.

Förmedlingstjänster som Internetleverantörer har de minsta skyldigheterna, ett krav är att deras användarvillkor måste respektera de grundläggande rättigheterna. Hostingtjänster, t.ex. molnleverantörer, måste följa samma skyldigheter och är därutöver också skyldiga att bland annat rapportera brott. Onlineplattformar som app-butiker och sociala medier har ännu fler skyldigheter, bland annat måste de tillhandahålla användaren en möjlighet att lämna klagomål och överklaga. Mycket stora plattformar med mer än 45 miljoner användare i EU har ännu fler skyldigheter och måste bland annat ge forskare tillgång till viktiga data så att de kan förstå hur online-risker utvecklas.

Precis som med GDPR kommer efterlevnaden av DSA att kontrolleras av tillsynsmyndigheter i medlemsstaterna. De nationella tillsynsmyndigheterna bildar också en styrelse ”European Board for Digital Services” som kommer ha en rådgivande funktion. Det finns dock en skillnad mot GDPR vad gäller tillsynen. Jättestora sökmotorer och onlineplattformar med mer än 45 miljoner EU-användare kommer ha två tillsynsmyndigheter att förhålla sig till. EU-Kommisionen kommer kontrollera efterlevnaden av de strängare delarna av regelverket som exklusivt gäller jättestora aktörer, genom utökad tillsyn.

Ett paradigmskifte i nätregleringen
Enligt nuvarande regler kan plattformar för sociala medier, i egenskap av privata aktörer, fritt censurera innehåll och stänga av användare som inte bryter mot lagar. Lagen om digitala tjänster innebär ett paradigmskifte. EU har dragit slutsatsen att dessa halvoffentliga forum är viktiga för det offentliga samtalet. EU tänker att plattformarna behöver regleras för att skydda grundläggande rättigheter på nätet som yttrandefriheten.

I den förklarande promemorian anger Europeiska kommissionen att de är oroliga för att fördomsfulla algoritmer i automatiserade verktyg för innehållsmoderering skulle kunna drabba utsatta eller missgynnade grupper oproportionerligt mycket, baserat på egenskaper som kön, etnisk tillhörighet, religion, funktionsnedsättning, ålder eller sexuell läggning.

För att motverka dessa risker framhäver Europeiska kommissionen att DSA endast kommer kräva att olagligt innehåll tas bort. Genom DSA införs också obligatoriska skyddsåtgärder för att minimera risken för felaktiga eller omotiverade ingrepp i nätanvändarnas yttrandefrihet. När information som skapats av en användare tas bort måste den sociala medieplattformen ge en förklaring. Användaren måste också ges tillgång till en mekanism för klagomål och en extern tvistlösning utanför domstol (Se sidan 12 i promemorian).

DSA innehåller flera element av konsumentskydd. Enligt ett pressmeddelande från Europaparlamentet kommer riktad reklam baserad på känsliga personuppgifter som sexuell läggning och religion att förbjudas, vilseledande design av användargränssnitt (mörka mönster) kommer inte att tillåtas och nätvåld som hämndporr kommer omedelbart att behöva tas bort.

EU menar allvar
Europeiska unionen har långtgående planer för att se till att unionens tekniklagstiftning får ett effektivt genomslag. Ars Technica rapporterar att EU-kommissionären Thierry Breton den 26 april 2022 utfärdade en varning till Elon Musk, bara en dag efter att han offentligt meddelade att han hade ingått ett avtal om att förvärva Twitter. Artikeln nämner att Elon Musk offentligt har beskrivit sig själv som en “yttrandefrihetsabsolutist” som vill lätta på Twitters regler för moderering.

Som svar på detta sade EU-kommissionären Thierry Breton att han ville ge Elon Musk en ”reality check”. Enligt artikeln framhöll Breton att om Twitter vill bedriva verksamhet i Europa måste företaget helt och hållet följa reglerna i lagen om digitala tjänster. Det gäller bland annat regler om moderering, öppenhet om algoritmer, transparens när det gäller yttrandefrihet samt bekämpning av näthat, hämndporr och trakasserier.

Den 27 april 2022 rapporterade Omni att Europeiska kommissionen planerar att öppna ett kontor i San Francisco i Kalifornien. Inrättandet av detta kontor skulle göra det lättare för kommissionen att föra en dialog med nätjättar och övervaka hur de följer EU-lagar som GDPR eller DSA.

Läs mer här:

Europaparlamentets pressmeddelande 23 april 2022:

Rådets pressmeddelande 23 april 2022:

EU-kommisionens pressmeddelande 23 april 2022:

Kommisionens sida informationssida om DSA

Artikel i Ars Technica 26:e april 2022:

Artikel i Omni 27 april 2022:

Den italienska tillsynsmyndigheten Garante beordrar GEDI Gruppo Editorial att med omedelbar verkan begränsa all spridning av personuppgifter efter en känslig artikel

Den italienska tillsynsmyndigheten Garante har i ett nytt beslut beordrat mediegruppen GEDI Gruppo Editorial att med omedelbar verkan begränsa all spridning av personuppgifter. Detta efter att tidningen La Repubblica som publiceras av GEDI Gruppo Editorial offentliggjorde en artikel om en påstådd relation mellan en elev och en rektor på en gymnasieskola. Artikeln innehöll bland annat de inblandades namn, foton och utskrifter av meddelanden av privat karaktär.

Lagrum som aktualiserades  
I sitt beslut refererade tillsynsmyndigheten bland annat till art. 4, 9, och 85 i dataskyddsförordningen. Artikel 85 i dataskyddsförordningen handlar om att hitta en balans mellan rätten till integritet och yttrande- och informationsfriheten. Andra lagrum som aktualiserades var art. 137.3 i den italienska Data Protection Code som reglerar hur GDPR ska införlivas i nationell rätt. Garante framhöll bland annat att art. 137.3 i den italienska Data Protection Code belyser att pressfriheten måste förenas med de berörda personernas värdighet och grundläggande friheter. Vidare uppgav Garante att det är viktigt att beakta om informationen som publiceras är av väsentligt intresse för det allmänna. Garante framhöll även att sådana principer och grundläggande rättigheter måste ges en särskild vikt när det gäller information som kan kopplas till de registrerades privatliv.

Detaljerna i artikeln var inte nödvändiga enligt Garante
Garante påpekar att de detaljerna som nämns i artikeln inte var nödvändiga för att belysa frågan, speciellt eftersom de behöriga myndigheterna har inlett en utredning av ärendet. Garante ansåg därför att det i det här ärendet var av särskild vikt att garantera konfidentialitet och värdighet för de inblandade och att ärendet därför krävde brådskande åtgärder.

Garantes beslut i ärendet
Garante beslutade sammanfattningsvis att GEDI Gruppo Editoriale inom tre dagar ska kommunicera vilka åtgärder som har vidtagits för att följa Garantes order samt inkomma med dokument som förklarar det inträffade. Garante förbehöll sig dock rätten att ändra sitt beslut efter att förundersökningen i fallet har avslutats.

Läs mer här:

Italy: Garante publishes order against GEDI Gruppo Editoriale following publication of private messages in newspaper

Nytt datadelningsavtal med USA välkomnas av näringslivet men föreningar är skeptiska

EU-kommissionen och USAs regering är överens om huvudprinciperna för en efterföljare till Privacy Shield. I ett gemensamt pressmeddelande från 25 mars 2022 skriver parterna att överenskommelsen är resultatet av mer än ett års intensiva förhandlingar.

Detaljerna kring det nya ramverket som kallas ”Trans-Atlantic Data Privacy Framework” har inte offentliggjorts än. Det framgår i pressmeddelandet att det handlar om en politisk överenskommelse som ska lägga grunden för ett juridiskt dokument som både EU och USA ska skriva färdigt och godkänna. 

I det gemensamma pressmeddelandet framgår det också att USA:s regering har ambitionen att införa vissa ändringar. USA:s regering avser att införa nya bestämmelser som ska se till så att amerikanska myndigheters övervakningsåtgärder är nödvändiga och proportionella. Européer ska också ges rätt till någon form av rättslig prövning av deras klagomål rörande amerikanska myndigheters övervakning. 

Dataskyddsmyndigheter välkomnar överenskommelsen
Den svenska Integritetsskyddsmyndigheten (IMY) redogör i ett pressmeddelande från 7 april 2022 för hur IMY och European Data Protection Board (EDPB) ser på överenskommelsen. IMY skriver i pressmeddelandet att EDPB välkomnar överenskommelsen. EU-ländernas dataskyddsmyndigheter har länge påpekat att ett nytt transatlantiskt avtal måste uppfylla de krav EU-domstolen ställde i Schrems II-domen. IMY framhäver samtidigt att personuppgiftsansvariga och biträden inte kan börja överföra uppgifter till USA genom att hänvisa till den politiska överenskommelsen.

– Det är dock viktigt att känna till att principöverenskommelsen endast är ett första steg i processen att ta fram ett beslut om adekvat skyddsnivå som kan ligga till grund för överföring av personuppgifter till USA, säger IMY:s rättschef David Törngren. 

En process i flera steg
Ett beslut om adekvat skyddsnivå är en EU-rättslig form av verkställighetslag som kallas genomförandeakt, Till att börja med måste EU-kommissionen och den amerikanska regeringen färdigställa det juridiska dokumentet. Först då kan EU-kommissionen anta en genomförandeakt, vilket utgör det första formella steget i EU:s lagstiftningsprocess för beslut om adekvat skyddsnivå. 

I ett andra steg måste kommissionen begära in ett yttrande från EDPB över genomförandeakten. I det tredje steget måste en genomförandekommitté bestående av företrädare för medlemsstaterna godkänna genomförandeakten. 

Kommersiella aktörer välkomnar förslaget
Microsoft välkomnade i ett blogginlägg den 25 mars 2022, den nya överenskommelsen och kallade den för en viktig milstolpe. 

Vidare har 35 branschföreningar och företag undertecknat ett gemensamt uttalande som redogör för näringslivets syn. Näringslivsföreträdarna välkomnar avtalet och efterlyser ett snabbt genomförande. I uttalandet betonas det att europeiska företag av alla storlekar är beroende av fungerande transatlantiska dataflöden. I en bilaga till uttalandet finns även uppskattningar och resultat från enkätundersökningar och annat underlag som näringslivsföreträdarna inkluderat för att ge en bild av hur näringslivet påverkas. Bland annat kan man läsa att EU uppskattas gå miste om 116 miljarder euro per år i förlorade exportintäkter utan en fungerande lösning för tredjelandsöverföringen. 

Förening som företräder konsumenter är skeptisk
Max Schrems, ordförande för den ideella organisationen Noyb (None of your business), gjorde också ett uttalande den 25 mars 2022. Schrems beklagar att överenskommelsen inte förbjuder EU och USA som ”likasinnade demokratier” från att spionera på varandra. Noyb kommer  noga analysera det nya ramverket så fort det blir offentligt. Om det nya ramverket inte uppfyller EU-domstolens krav i Schrems II-domen, är det sannolikt att Noyb ganska snabbt kommer vilja få det nya ramverket prövat i domstol en tredje gång. Schrems menar att det är konsumenterna och företagen som drabbas mest av ytterligare år med rättslig osäkerhet. 

En amerikansk dom påstås komplicera läget
Den 21 mars 2022, några dagar innan den politiska överenskommelsen tillkännagavs, skrev två ledande jurister som jobbar för American Civil Liberties Union (ACLU) en debattartikel i The Hill. ACLU är en ideell organisation som försvarar medborgerliga rättigheter genom att driva juridiska processer och genom opinionsbildning i USA. 

I debattartikeln hävdar ACLU-juristerna att en relativt färsk dom från USAs högsta domstol kommer att göra det svårare att få till ett transatlantiskt avtal som uppfyller Schrems II-domens krav. De två ACLU-juristerna var rättegångsombud för klagandena i ett mål som fått benämningen FBI v. Fazaga

Klagandena i FBI v. Fazaga beskyllde FBI för att bland annat ha kränkt deras religionsfrihet. Mellan åren 2006–2007 skickade FBI en avlönad informatör för att infiltrera en moské. Klagandena menade att informatören registrerade personuppgifter, inklusive politiska och religiösa åsikter, rörande hundratals praktiserande muslimer. Informatören spelade också in nästan alla samtal denne hade med församlingens medlemmar. Enligt klagandena började informatören på uppdrag från FBI initiera diskussioner om våld och Jihad med moskéns medlemmar. Det var då som medlemmar i moskén reagerade och anmälde informatören till polisen. Enligt klagandena var det i samband med detta som övervakningsoperationen avbröts. Senare uppdagades det att denne var informant för FBI, varpå klagandena valde att stämma FBI (Se sidorna 7-8 i PDF-versionen av domen och Högsta domstolens blogg

Högsta domstolen i USA hade att ta ställning till en principfråga som var avgörande för om den som anser sig drabbad av olaglig övervakning kan få sin sak prövad. För att en domstol ska kunna ta ställning till om en påstådd övervakning varit för långtgående, måste domstolen ta del av information om hur övervakningen skett. Om domstolen tvingar USAs regering att avslöja detaljer om sina övervakningsmetoder finns dock en risk för att hemlig information röjs. 

Principfrågan som USA:s högsta domstol hade att ta ställning till var om en rättegångsregel i Foreign Intelligence Surveillance Act (FISA), som föreskriver att övervakningens laglighet kan prövas av en domstol bakom stängda dörrar (in camera) och utan insyn för den klagande (ex parte), ska tillämpas före en oskriven rättsprincip. 

Den oskrivna rättsprincipen kallas för ”statshemlighetsprivilegiet”. Det är en bevisregel som har utvecklats genom domstolarnas praxis. Principen innebär att den amerikanska regeringen överhuvudtaget inte behöver redovisa detaljer om sin övervakning för en domstol, om USAs justitieminister intygar att det skulle äventyra nationella säkerhetsintressen. I dessa fall prövar domstolen inte om övervakningen var laglig.  

Högsta domstolen i USA slog fast att FISA-regeln inte trumfar statshemlighetsprivilegiet. Högsta domstolen klargjorde att båda dessa två regler samexisterar parallellt i fall som gäller statlig övervakning. När en individ klagar på statlig övervakning kan USAs regering därmed åberopa statshemlighetsprivilegiet för att få domstolsärendet avskrivet utan prövning. 

Läs mer här:

EU-kommisionens pressmeddelande den 25 mars 2022

IMYs pressmeddelande 7 april 2022

EU-kommissionens informationssida om genomförandeakter

Microsofts blogginlägg 25 mars 2022

Näringslivsföreträdarnas uttalande

Max Schrems och Noybs uttalande den 25 Mars 2022

ACLU-juristernas debattartikel

Inlägg på USAs högsta domstols blogg. Inlägget är skrivet av en oberoende reporter

USAs högsta domstols dom av 4 mars 2022 i målet FBI v. Fazaga

Advokatsamfundet i delstaten Pennsylvanias guide för reportrar, förklarar begreppen ”in camera” och ”ex parte”

Klarna Bank AB får betala 7,5 miljoner kronor i sanktionsavgift efter ett nytt beslut från Integritetsskyddsmyndigheten, IMY

Efter en tillsyn av Klarna Bank AB som inleddes i mars 2019 konstaterar IMY att informationen om bolagets personuppgiftshantering under perioden 17 mars 2020 fram till 26 juni 2020 strider mot dataskyddsförordningen på flera sätt. De artiklar som aktualiseras i beslutet är bland annat 5.1 a, 5.2, 12.1 och 13.1 c, 13.1 e, 13.1 f och 13.2 a i dataskyddsförordningen.

IMY:s grunder för beslutet
För det första slår IMY fast att det inte fanns tydlig information om ändamål samt relevant rättslig grund för personuppgiftsbehandling avseende personuppgifter i tjänsten ”Min ekonomi”. För det andra fanns otydligheter kring vilka svenska och utländska kreditupplysningsföretag som fick tillgång till olika kategorier av personuppgifter.

För det tredje ansåg IMY att information om tredjelandsöverföringar samt skyddsåtgärderna kopplat till dessa var bristfällig. Vidare menar IMY att informationen om de registrerades rättigheter var ofullständig och att principen om öppenhet utifrån detta inte uppfylldes. Bland sådana rättigheter nämns exempelvis rätten att få sina personuppgifter raderade och rätten till dataportabilitet.

Val av påföljd och sanktionsavgiftens storlek
Eftersom överträdelserna är sådana som avses i art. 83.5 dataskyddsförordningen konstaterade IMY att sanktionsavgiftens värde kunde uppgå till 20 miljoner euro eller till 4 % av den totala globala omsättningen under föregående budgetår, beroende på vilket av dessa värden som är högst. Enligt IMY:s beräkningar, som baserades på moderbolaget Klarna Holding AB:s årsredovisning år 2020 var det maximala beloppet som kunde dömas ut 404 miljoner kronor dvs. ca 40,4 miljoner euro.

I sin bedömning tog IMY hänsyn till att Klarna hanterar stora mängder personuppgifter eftersom 90 miljoner konsumenter använder sig av deras betalningslösningar. En försvårande omständighet i fallet var att överträdelserna gällde grundläggande och centrala bestämmelser i dataskyddsförordningen såsom bestämmelser om de registrerades rättigheter. En förmildrande omständighet är å andra sidan att Klarna under tiden som granskningen har pågått kontinuerligt förbättrat informationen. Klarna anser att dessa förbättringar och deras omfattning gör IMY:s beslut irrelevant.

Klarna anser att beslutet är otydligt och avser att överklaga
I sitt svar till IMY kritiserar Klarna beslutet för att vara otydligt och uttrycker ett missnöje med IMY:s förklaringar. Vidare önskar Klarna mer vägledning från IMY för att säkerställa att de lever upp till IMY:s krav och undviker framtida överträdelser. Klarna uppger även att de tänker överklaga beslutet.

Läs mer här:

Sanktionsavgift mot Klarna efter granskning

Beslut efter tillsyn enligt dataskyddsförordningen – Klarna Bank AB

Klarna straffas med mångmiljonbelopp

EDPB publicerar riktlinjer om hur man upptäcker sociala medieplattformars vilseledande insamling av personuppgifter

European Data Protection Board (EDPB) har publicerat ett utkast till sina riktlinjer 3/2022 om mörka mönster i gränssnitt för plattformar för sociala medier. Med mörka mönster avses oetisk utformning av en webbplats eller en app som lockar användaren att göra något som hen inte vill göra.

EDPB definierar mörka mönster som metoder där plattformar för sociala medier lockar sina användare att fatta oavsiktliga, oönskade och potentiellt skadliga beslut om behandlingen av deras personuppgifter. Ett exempel på ett mörkt mönster är när användaren överbelastas med information eller presenteras med för många alternativ att ta ställning till. Syftet är att påverka användaren att gå med på att dela för mycket personuppgifter om sig själv. Eller så kan syftet vara att få användaren att godkänna att dennes personuppgifter behandlas på ett sätt som hen egentligen inte kan förvänta sig.

EDPB anser att mörka mönster syftar till att påverka användarnas beteende och kan hindra dem från att effektivt skydda sina personuppgifter och göra välgrundade val. Användningen av mörka mönster strider inte bara mot GDPR utan kan också strida mot konsumentskyddslagar. EDPB presenterar en icke uttömmande förteckning över kategorier av mörka mönster. Vägledningen ger också 60 exempel, förslag på bästa praxis och inkluderar en checklista.

Ett av de mörka mönstren kallas emotionell styrning. I detta mönster används övertalande språk eller bilder som framkallar positiva känslor för att få användaren att känna sig nöjd eller trygg, eller som framkallar starka negativa känslor som rädsla eller skuld. EDPB illustrerar att när en användare registrerar sig på plattformen får hen följande uppmaning: “Berätta för oss om ditt fantastiska jag! Vi kan inte vänta, så kom in nu och berätta för oss!”. Denna form av handlingsdirigerande språkbruk antyder att användaren måste dela fler personuppgifter än vad som är nödvändigt för att tjänsten ska fungera. EDPB anser att detta strider mot principen om dataminimering, och det kan ifrågasättas om användaren verkligen har lämnat dessa uppgifter av egen fri vilja.

Ett annat mörkt mönster är enligt EDPB när användaren blir “lämnad i mörkret”. Det är när en plattform för sociala medier inte ger tydlig information eller använder ett tekniskt eller juridiskt språk som användaren inte förstår. EDPB ger följande exempel: En personuppgiftsincident leder till att obehöriga användare får tillgång till vissa hälsouppgifter. När den sociala medieplattformen informerar användarna om detta berättar plattformen bara att “särskilda kategorier av personuppgifter” av misstag blev offentliga. I detta fall bryter den sociala medieplattformen mot artikel 34 och artikel 12.1 i dataskyddsförordningen. EDPB konstaterar att denna information inte varnar användaren för att hens hälsouppgifter har offentliggjorts. Ordet “särskild” har en helt annan innebörd i vardagligt språk än i det juridiska GDPR-språket. De flesta människor vet inte att “särskilda” enligt definitionen i artikel 9 i GDPR syftar på det som i dagligt tal ibland kallas känsliga personuppgifter. EDPB anser därför att en sådan formulering är vilseledande eftersom den genomsnittliga användaren underskattar allvaret i personuppgiftsincidenten.  

EDPB betraktar mörka mönster som ett sätt att utforma och presentera innehåll som påtagligt bryter mot dataskyddsprinciperna om laglighet, rättvisa, öppenhet, ändamålsbegränsning och dataminimering, men som ändå låtsas vara formellt förenliga med dem. EDPB hoppas att riktlinjerna sannolikt ska öka användarnas medvetenhet om sina rättigheter och de potentiella riskerna med överdriven eller okontrollerad delning av deras personuppgifter.

Utkastet till riktlinjer är öppet för offentligt samråd. Vem som helst kan skicka sina synpunkter till EDPB fram till den 2 maj 2022.

Läs mer här:

EDPB:s riktlinjer 3/2022 om mörka mönster i användargränssnitt för sociala medieplattformar: Hur man känner igen och undviker dem (Engelska)

Tullverket får betala 300 000 kr i sanktionsavgift på grund av två tjänstemäns otillåtna användning av Google Foto

Aktuella lagrum och krav på en lagenlig personuppgiftsbehandling
Integritetsskyddsmyndigheten, IMY, inledde en granskning av Tullverket efter en anmälan om en personuppgiftsincident som inkom den 8 november 2019. IMY konstaterade i ett beslut att Tullverkets personuppgiftsbehandling stred mot 3 kap. 2 och 8 §§ brottsdatalagen (2018:1177), BDL. Av 3 kap. 2 § BDL framgår att personuppgifter endast får behandlas för särskilda, uttryckligt angivna och berättigade ändamål. I 3 kap. 8 § BDL framgår vidare att det finns krav på adekvans och relevans vid personuppgiftsbehandling samt nödvändighets- och ändamålsprincipen.

Personuppgiftsincidenten i fråga
Enligt IMY:s beslut bestod den otillåtna personuppgiftsbehandlingen i att två tjänstemän vid Tullverket använde den amerikanska molntjänsten Google Foto på sina tjänstemobiler. Konsekvenserna av detta blev att foton och filmer som hade kopplingar till brottsutredande verksamhet hamnade på molntjänsten. Detta eftersom alla bilder och filmer som togs på tjänstetelefonerna i fråga automatiskt laddades upp på Google Foto. Tullverket uppger att användningen av molntjänsten var otillåten, men det påverkar inte IMY:s bedömning om att Tullverket ska ta ansvar för och betala sanktionsavgifter för incidenten.

IMY:s rekommendationer till Tullverket
IMY kommenterar vidare att det finns ett behov av att utbilda tjänstemän vid Tullverket om personuppgiftsbehandling och att myndigheten bör ta fram tydliga rutiner som specificerar hur tjänstemobilerna får användas. De kompletterar även detta med att begränsningar om vilka applikationer som ska kunna installeras på tjänstemobiler bör finnas. Den 20 november 2019 togs möjligheten att ladda ner Google Fotos bort på Tullverkets tjänstetelefoner och andra begränsningar infördes. Tullverket har även skapat tydligare rutiner för användning av tjänstemobiler efter den aktuella personuppgiftsincidenten.

Försvårande och förmildrande omständigheter
En försvårande omständighet i ärendet består i att uppgifterna med stor sannolikhet handlade om brott eller misstanke om brott och därmed utgör integritetskänsliga uppgifter. Att Tullverket har förtydligat sina rutiner och att det endast var två medarbetare som använde molntjänsten utgör å andra sidan förmildrande omständigheter. Tjänstemännen hade dessutom ingen avsikt att bilderna och filmerna som de tog i tjänsten skulle hamna på Google Foto och raderade dessa så fort det upptäcktes. Detta förklarar den någorlunda milda sanktionsavgiften, som utan de förmildrande omständigheterna skulle ha varit avsevärt större.

Omöjligt att fastställa personuppgiftsincidentens omfattning
Eftersom bilderna och filmerna raderades så fort det blev känt att de hamnade på Google Foto går det inte att konstatera personuppgiftsincidentens omfattning och hur många personer som påverkades.

Läs mer här:

Sanktionsavgift mot tullverket för bristande rutiner

Beslut efter tillsyn enligt brottsdatalagen- Tullverkets personuppgiftsbehandling på tjänstemobiler

Belgiens dataskyddsmyndighet hotas av politiskt detaljstyre

Artikel 52 GDPR ska säkerställa att dataskyddsmyndigheter garanteras en oberoendeställning att självständigt och objektiv tolka och tillämpa dataskyddsbestämmelser när de utför uppgifter som de tilldelats genom GDPR. Dataskyddsmyndigheterna skyddas från påverkan från politiken, andra delar av staten och privata intressen.

Nu har den belgiska dataskyddsmyndigheten yttrat sig om ett utkast till lag som regeringen lagt fram. Den belgiska regeringen vill reformera en inhemsk lag som inrättar den belgiska dataskyddsmyndigheten och reglerar dess interna struktur och mandat.

Den belgiska dataskyddsmyndigheten stöder huvudprinciperna i utkastet till lag, som syftar till att stärka dataskyddsmyndigheten. Samtidigt varnar dataskyddsmyndigheten för att lagförslaget innehåller problematiska inslag som allvarligt hotar dess oberoende och förmåga att arbeta effektivt. Dataskyddsmyndigheten understryker att dess oberoende garanteras av EU-rätten enligt fördragen och av EU-domstolens rättspraxis. Den belgiska dataskyddsmyndigheten betonar också vikten av en stark och oberoende dataskyddsmyndighet när digitaliseringen accelererar.  

Förtida entledigande av befattningshavare strider mot EU-rätten
Dataskyddsmyndigheten kritiserar för det första att lagförslaget kommer att leda till att utnämnda befattningshavare till följd av en juridisk omstrukturering entledigas (befrias från sina uppdrag) innan deras förordnande gått ut.

Den belgiska dataskyddsmyndigheten anser att detta strider mot EU-rätten och hänvisar till mål C-288/12, där EU-domstolen slog fast att Ungern hade brutit mot EU-fördragen (Brott mot EU-fördragen kan likställas med ett grundlagsbrott i en statsbildning, redaktionens anmärkning). I september 2008 utnämnde det ungerska parlamentet András Jóri till ungersk dataskyddskommissionär för en period på sex år, fram till september 2014. Det ungerska parlamentet reformerade dock dataskyddskommissionärens ämbete och ersatte det med en ny myndighet Nemzeti Adatvédelmi és Információszabadság Hatóság (den nationella myndigheten för uppgiftsskydd och informationsfrihet), från och med januari 2012 utsågs Attila Péterfalvi till chef för den nya myndigheten. EU-domstolen slog fast att Ungern bröt mot EU-rätten. Ungern hade brutit mot bestämmelsen som skyddar dataskyddsmyndigheternas oberoende genom att hindra Jóri från att tjänstgöra som chef för den nya myndigheten fram till slutet av sin mandatperiod.

Dataskyddsmyndigheten anser att politisk detaljstyrning strider mot EU-rätten
För det andra kritiserar den belgiska dataskyddsmyndigheten att lagförslaget innebär att den politiska styrningen går längre än vad EU-rätten tillåter. Enligt lagförslaget krävs att det belgiska representanthuset har utvärderat ledamoten positivt för att han eller hon ska kunna väljas om för en ny mandatperiod. Den belgiska dataskyddsmyndigheten varnar för att det både är problematiskt att utvärderingen görs av representanthuset och att de objektiva kriterierna för utvärderingen inte anges i en lag. Detta anses öka risken för att befattningshavare utsätts för påtryckningar som påverkar hur de utövar sitt uppdrag.

Dessutom är dataskyddsmyndigheten kritisk till det faktum att lagförslaget kraftigt ökar parlamentets detaljstyrning av myndighetens interna organisation och prioriteringar. Enligt lagförslaget måste dataskyddsmyndigheten få sin strategiska plan godkänd av representanthuset, myndighetens interna arbetsordning kommer bestämmas av representanthuset och dataskyddsmyndigheten blir skyldig att lämna över en lista på alla experter som biträder den. Slutligen föreskriver lagförslaget hur myndigheten ska fördela sin personal mellan sina olika avdelningar.

Belgiska dataskyddsmyndigheten hänvisar till fallet C-518/07, där Europeiska kommissionen drog Tyskland inför EU-domstolen för brott mot EU-fördragen. Skälet var att tysk federal och delstatlig lagstiftning satte de tyska dataskyddsmyndigheternas tillsynsbeslut under lupp. EU-domstolen slog fast att det är olagligt enligt EU-rätten att medlemsstaterna granskar hur dataskyddsmyndigheterna tolkar och tillämpar EU-rätt. EU-domstolen slog fast att sådana metoder hindrar dataskyddsmyndigheter från att vara helt oberoende.

EU-domstolen betonade att oberoendet inte står i motsättning till att dataskyddsmyndigheterna har demokratisk legitimitet. Dataskyddsmyndigheter är enligt domstolen väktare av rätten till privatliv som mänsklig rättighet skyddad av EU-rätten. Domstolen påpekar att andra delar av staten kan vara partiska och ha ett egenintresse och en vilja att begränsa en dataskyddsmyndighets handlingsförmåga. En stat kan exempelvis ha en tendens att främja ekonomiska intressen hos vissa bolag som är betydelsefulla för dess ekonomi. Eller så kan staten själv ha ett starkt egenintresse av att få tillgång till speciella register med personuppgifter för att driva in skatt resonerade EU-domstolen. Slutligen konstaterade EU-domstolen att blotta risken för att dataskyddsmyndigheterna kan utsättas för formella eller informella politiska påtryckningar är tillräckligt för att bryta mot EU-rätten.

Läs mer:

Belgiska dataskyddsmyndighetens pressmeddelande med länk till yttrandet på Engelska

EU-domstolens dom i mål C‑288/12, Europeiska kommissionen mot Ungern

EU-domstolens dom i mål C-518/07, Europeiska kommissionen mot Tyskland

Ny vägledning om uppförandekoder som metod för tredjelandsöverföring

European Data Protection Board (EDPB) har nu publicerat en slutlig version av sina riktlinjer 04/2021 om uppförandekoder som ett verktyg för överföring av personuppgifter till tredjeland.

Vad är uppförandekoder?
Uppförandekoder är en uppsättning regler som kan skrivas av organisationer eller organ som representerar en viss sektor och som godkänns av en dataskyddsmyndighet. Det skulle till exempel vara möjligt för alla välgörenhetsorganisationer i Sverige att skriva en egen uppförandekod. Det är helt frivilligt för en organisation att ansluta sig till en uppförandekod, men när organisationen väl anslutit sig blir koden rättsligt bindande. En uppförandekod kan omfatta en viss typ av behandling, t.ex. överföringar till tredjeland, eller omfatta flera typer av behandlingar.

EU:s dataskyddsförordning, GDPR är en komplicerad lag med breda och abstrakta principer. En anledning till detta är att bestämmelserna måste kunna tillämpas på ett stort antal organisationer, från kebabrestauranger till sjukhus, statliga myndigheter och kärnkraftverk. Ett annat skäl är att dataskyddsförordningen måste vara teknikneutral för att reglerna ska förbli relevanta trots den snabba tekniska utvecklingen.

Särskilt små företag och ideella organisationer kan ha svårt att tyda dataskyddsförordningen då GDPR kräver att varje organisation gör en egen analys av de rättsliga kraven i relation till sin databehandling. Normalt kan organisation A inte förlita sig på en rättslig analys som gjorts av organisation B.

Uppförandekoder kan dock erbjuda ett formellt godkänt sätt för organisationer att samla sina resurser och göra en djupare gemensam analys som är relevant för deras typ av organisation och behandlingar. Exempelvis skulle alla idrottsföreningar kunna gå ihop och översätta de abstrakta kraven i GDPR till en uppsättning regler med rättsligt bindande krav och riktlinjer som är anpassade till deras sektor och skrivna på ett språk som är naturligt för deras bransch.

Uppförandekoder som överföringsverktyg
När ett tredjeland inte har erkänts av Europeiska kommissionen som ett land som har en tillräcklig nivå av dataskydd erbjuder artikel 46 i GDPR sex alternativa överföringsmekanismer. Dessa överföringsmekanismer syftar till att kompensera för bristerna i utländska dataskyddslagar. Standardavtalsklausuler är den överlägset vanligaste alternativa mekanismen. EDPB påpekar dock att godkända uppförandekoder är ytterligare ett verktyg som står till förfogande för personuppgiftsansvariga och personuppgiftsbiträden.

En viktig detalj i sammanhanget är att Norge, Island och Lichtenstein likställs med EU-länder när det kommer till tredjelandsöverföring. Dessa länder har ett avtal med EU genom avtalet om Europeiska ekonomiska samarbetsområdet (EES). EES-länderna måste skriva in EU-lagar, inklusive GDPR i sin nationella rätt.

EDPB noterar när det gäller överföringar till tredjeländer att uppförandekoder endast kan vara rättsligt bindande för dataimportörer, dvs. personuppgiftsansvariga och biträden som är etablerade i tredjeländer där GDPR inte gäller.

Dataexportörer, det vill säga personuppgiftsansvariga och personuppgiftsbiträden i EU/EES som för personuppgifter ut ur EU/EES, kan dock fortfarande vara medlemmar i den organisation som utarbetat uppförandekoden. Dessutom kan dataexportörer i EU/EES visa att de uppfyller de rättsliga kraven i artikel 46 genom att hänvisa till dataimportörens efterlevnad av den godkända uppförandekoden.

För alla typer av uppförandekoder under GDPR måste ett övervakningsorgan utses för att övervaka efterlevnaden av uppförandekoden. Övervakningsorganet för en uppförandekod för tredjelandsöverföring måste ha sitt huvudkontor inom EU/EES, så att de slutliga besluten om övervakningsåtgärder fattas inom EU/EES.

För att följa Schrems II-domen listar EDPB, 17 element som en uppförandekod för tredjelandsöverföring måste innehålla. Bland annat måste uppförandekoden skapa rättigheter för de registrerade som tredje part. Detta innebär att de registrerade, i egenskap av tredje part som inte har undertecknat avtalet mellan importören och exportören, ändå måste ha rättigheter enligt avtalet. De registrerade måste kunna stämma importören för avtalsbrott om någon av deras GDPR-rättigheter kränkts.

Ett annat krav som ställs är att dataimportören måste lämna en rättslig garanti. Dataimportören måste intyga att den inte har någon anledning att tro att lagarna i dataimportörens land hindrar denne från att kunna fullgöra sina skyldigheter enligt uppförandekoden.

Läs mer:

EDPBs vägledning 04/2021 om Uppförandekoder som överföringsverktyg

Integritetsskyddsmyndighetens hemsida om uppförandekoder och certifieringar

FN rapportör: Unika utmaningar med AI måste uppmärksammas omgående

Enligt en ny FN-rapport råder det ingen tvekan om att artificiell intelligens, om den används på ett korrekt och ansvarsfullt sätt, kan främja målet om jämlikhet för alla. Rapporten hävdar att detta inkluderar personer med funktionsnedsättning, som med vissa lösningar kan leva ett betydligt mer självständigt liv. Samtidigt konstaterar rapporten att bristfälliga AI-lösningar också kan ha en betydligt mer negativ inverkan på denna grupp än på personer utan funktionsnedsättning.

I december 2021 publicerade FN:s särskilda rapportör om rättigheter för personer med funktionsnedsättning, Gerard Quinn, nämnda rapport om hur artificiell intelligens påverkar rättigheterna för denna grupp. Quinn är professor i juridik vid Universitetet i Leeds, Storbritannien och har även kopplingar till Lunds universitet. Rapporten kommer snart att diskuteras vid FN:s råd för mänskliga rättigheter i Genève, Schweiz. Rådet för mänskliga rättigheter är för närvarande inne på sin 49:e sittning, som inleddes den 28 februari 2022 och kommer att pågå till den 1 april 2022.

Problemet med fördomsfulla och diskriminerande algoritmer har redan fått mycket uppmärksamhet, det har dock ofta relaterats till diskrimineringsgrunderna kön och etnicitet. Hanteringen av risker och möjligheter med AI-teknik var också ett flitigt diskuterat ämne under bland annat under Nordic Privacy Arena 2017.

Drabbas jättehårt om samhället inte hanterar gruppens unika problem

Nu varnar Gerard Quinn, i FN-rapporten för att de mänskliga rättigheterna för personer med funktionsnedsättning är i fara. Orsaken är att för lite uppmärksamhet har ägnats åt hur AI-teknologier specifikt påverkar denna grupp.

Rapporten påvisar att användningen av AI-teknik påverkar många mänskliga rättigheter, såsom rätten till likabehandling, arbete, studier med mera. Rätten till privatliv och dataskydd nämns som särskilt viktiga för att upprätthålla principen om mänsklig värdighet. I AI-sammanhang betyder det att personer med funktionsnedsättning har rätt att förstå och utöva kontroll över hur deras uppgifter behandlas.

FN-rapporten klargör också att vissa AI-risker är unika för personer med funktionsnedsättning. Det finns även risker som personer med funktionsnedsättning delar med andra grupper. Men även bland de risker som de delar med andra grupper är förhållandet mellan risker och möjligheter olika eller till och med oproportionerligt annorlunda för personer med funktionsnedsättning. Därför uppmanas FN:s medlemsstater i rapporten att skyndsamt lägga särskilt fokus på hur AI påverkar rättigheterna för den miljard människor som har en funktionsnedsättning.

Enligt en annan rapport, om diskriminering och AI som juridikprofessor Fredrik Zuiderveen Borgesius skrev för Europarådet år 2018, är dataskyddslagar och diskrimineringslagar de viktigaste rättsliga verktygen i Europa för att bekämpa AI-diskriminering (se sidan 31 i rapporten). Vidare har de brittiska datavetenskapsforskarna Reuben Binns och Reuben Kirkham undersökt hur diskrimineringslagstiftning och dataskyddslagstiftning kan användas tillsammans för att bekämpa AI-diskriminering av personer med funktionsnedsättning.

Personer med funktionsnedsättning är en mycket heterogen grupp

Binns och Kirkham konstaterar att det finns betydande skillnader i hur lagen hanterar AI i förhållande till personer med funktionsnedsättning jämfört med andra diskrimineringsgrunder. Binns och Kirkham förklarar att diskriminering av personer med olika funktionsnedsättningar inte kan elimineras med en och samma lösning. För det första erkänns ett stort antal fysiska, medicinska och psykiska tillstånd av lagen som funktionsnedsättningar. Detta kräver olika strategier för olika typer av funktionsnedsättningar. Dessutom finns ett kompletterande rättsligt skydd som inte gäller för andra diskrimineringsgrunder. Detta ytterligare rättsliga skydd består av skyldigheten att göra skäliga anpassningar, vilket bland annat kan kräva individuellt anpassade lösningar. För det andra, så förbjuder diskrimineringslagstiftningen inte en organisation från att behandla personer med funktionsnedsättning bättre än personer utan funktionsnedsättning. Den sistnämnda principen gäller dock inte andra diskrimineringsgrunder.

Binns och Kirkham identifierar sex situationer där dataskyddslagar och diskrimineringslagar samverkar. Om personer med funktionsnedsättningar missgynnas kan en organisation exempelvis vara skyldig att erbjuda alternativ till en AI-lösning. Enligt diskrimineringslagstiftningen kan detta falla under skyldigheten att tillhandahålla skäliga anpassningsåtgärder. Enligt dataskyddslagstiftningen kan rätten att inte bli föremål för automatiserat beslutsfattande också gälla (se till exempel artikel 22 i GDPR). I den här situationen erbjuder alltså båda lagarna olika perspektiv och sätt att skydda personer med funktionsnedsättning, påpekar Binns och Kirkham.

År 2019 publicerade en grupp forskare från Carnegie Mellonuniversitetet och Microsoft en färdplan för forskning om rättvis AI. I den artikeln gjorde de en bedömning av nuvarande teknik och dess risker för personer med funktionsnedsättning. Ansiktsteknologier riskerar enligt dem att fungera dåligt för personer med Downs syndrom, personer med synnedsättning och de som har en annan ögonanatomi eller personer som inte tittar på kameran från den förväntade vinkeln. Programvaran kan också misstolka känslorna hos personer med autism eller personer som har fått en stroke som påverkar ansiktsmusklerna. Teknik för taligenkänning kan också vara dålig på att uppfatta talet hos personer med talsvårigheter och hörselskadade med annorlunda uttal.

Regeringar uppmanas agera, annars får personer med funktionsnedsättning sämre livsvillkor under lång tid

I FN-rapporten betonas att personer med funktionsnedsättning är den grupp i samhället som oftast hamnar sist. Om samhällets mål är att personer med funktionsnedsättning ska kunna leva på lika villkor och inte diskrimineras måste tekniken nyttjas på rätt sätt. Annars kommer denna grupp enligt rapporten inte bara att hamna på efterkälken, den kommer inte heller att kunna komma ikapp senare. Rapporten ansluter sig till uppfattningen hos FN:s högnivåpanel för digitalt samarbete som rekommenderar att AI-tekniken ska användas för att uppnå FN:s mål för hållbar utveckling.

FN-rapporten konstaterar att FN:s konvention om rättigheter för personer med funktionsnedsättning, Convention on the Rights of Persons with Disabilities (CRPD) medför att regeringar har vissa skyldigheter i fråga om utvecklandet av AI-teknik. I rapporten slås det fast att regeringar enligt CRPD till och med har ansvar för att påverka den privata sektorn med både piska och morot (lagstiftning och incitament).

Enligt rapporten är regeringarna ansvariga för att både undanröja diskriminering och främja utveckling och användning av tekniska hjälpmedel för personer med funktionsnedsättning. Detta ska ske i ett tidigt skede när det gäller produktdesign, utveckling, produktion och distribution av sådana hjälpmedel. Genom att göra detta bör regeringarna sträva efter att göra hjälpmedlen allmänt tillgängliga till lägsta möjliga kostnad enligt CRPD, står det i rapporten.

Gerard Quinn ger också en rad rekommendationer till FN:s medlemsländer. Här kommer ett urval:

1) Gör den nationella debatten om artificiell intelligens bredare, djupare och fokuserad på CRPD.

2) Förbjud diskriminerande användning av artificiell intelligens.

3) Det rättsliga skyddet för mänskliga rättigheter behöver vara heltäckande och uttryckligen beakta hur artificiell intelligens påverkar personer med funktionsnedsättning.

4) Överväg ett moratorium för AI-teknik som riskerar att diskriminera, såsom teknik som analyserar ansikten och känslor.

5) Tillämpa standarder som är anpassade till personer med funktionsnedsättning vid upphandling.

6) Stöd organisationer för personer med funktionsnedsättning att bygga kapacitet att hantera AI-frågor. De behöver kunna övervaka hur utvecklingen av AI påverkar personer med funktionsnedsättning och samarbeta med organisationer inom den privata sektorn för att uppmärksamma skadliga och diskriminerande tillämpningar av AI-teknik.

Fördjupningstips

Frågan om hur AI-användning påverkar rättigheter för personer med funktionsnedsättning har onekligen många beröringspunkter med dataskyddsfrågorna. Allt från hur hjälpmedel hanterar personuppgifter till att organisationer måste säkerställa att diskriminerande databehandlingar inte förekommer. Personuppgifter kan även finnas i dataset som en AI tränas på och ibland vara en del av själva algoritmen.

Den som vill utforska frågan från ett mer praktiskt perspektiv skulle exempelvis kunna titta på denna YouTube-video av The Zero Project. I videon visas positiva exempel på AI-lösningar för personer med funktionsnedsättning samtidigt som det reflekteras över hur viktiga värden som dataskydd och självbestämmande värnas.

Även denna artikel om teckenspråksvantar kan vara av intresse. Flera forskare och studenter har sedan 80-talet oberoende av varandra uppfunnit teckenspråksvantar. Det är en vante med sensorer som sätts på handen och registrerar handform och handens position. Tanken är att den ska omvandla det som tecknas till tal eller text. Flera av uppfinnarna har också fått innovationspriser och utmärkelser för teckenspråksvantar som enligt döva själva inte alls är ett användbart hjälpmedel. Forskarna hade nämligen inte räknat med att en övervägande del av ett teckenspråks grammatik och kommunikation sker genom en medveten styrning av ansiktsuttryck och kroppshållning.

Exempelvis tecknas frågan ”Är du hungrig?” och påståendet ”du är hungrig” på exakt samma sätt med händerna i svenskt teckenspråk. Det är hur man rör ögonbrynen och lutar överkroppen som indikerar huruvida man frågar eller påstår något. Artikeln belyser och reflekterar över vikten av att uppfinnare redan på idéstadiet, konsulterar personer med funktionsnedsättning. Om man bygger produkten baserat på sina egna antaganden om gruppen, riskerar man lägga mycket värdefull tid och pengar på att ta fram en produkt som inte hjälper dem man vill hjälpa. Man riskerar också att förolämpa gruppen man vill hjälpa, om produkten trots sådana brister presenteras som en lovande lösning på gruppens problem.  

Läs mer:

Gerard Quinns FN-rapport om AI:s påverkan på rättigheter för personer med funktionsnedsättning

Fredrik Zuiderveen Borgesius rapport till Europarådet 2018 om AI och diskriminering

Datavetenskapsforskarna Binns och Kirkhams genomgång om hur dataskyddsregler och diskrimineringslagstiftning kan samverka för att göra AI mer rättvis för personer med funktionsnedsättning

Färdplanen för AI-rättvisa för personer med funktionsnedsättning. Framtagen 2019 av forskare vid Carnegie Mellonuniversitetet och Microsoft

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

    Forum för Dataskydd bidrar till ett tryggt informationssamhälle och värnar om integritetsskydd idag och i morgon. Vi förstärker, förenklar och ökar medvetenheten kring integritetsskydd i Europa genom att skapa ett tongivande forum för samverkan och informationsspridning. Stärk ditt dataskyddsarbete med kompetens från drygt 800 medlemmar på våra seminarier och nätverksträffar. Medlemmar går gratis på våra seminarier och nätverksträffar samt till rabatterat pris på Nordic Privacy Arena.

    Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.


    Det är viktigt att meddela oss om du byter arbetsplats, faktureringsadress, telefonnummer, mailadress eller annan viktig information. När du byter arbetsplats eller annan ovannämnd information mailar du oss och meddelar detta på info@dpforum.se så att vi kan säkerställa kontinuitet i ditt medlemskap.


    Ordinarie medlemskap: 1645 kr per år.
    Student: Gratis första året, sedan 200 kr per år (är du anställd på ett företag gäller ordinarie pris).















    Genom att fylla i formuläret, godkänner jag att Forum för Dataskydd lagrar mina personuppgifter i sin databas som kommer användas för att förse mig med relevant information om Forum för Dataskydds tjänster och erbjudanden.

    This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
    Go to cart