Ansiktsigenkänningsteknik ska upprätthålla slöjtvång i Iran
The Guardian rapporterar att den iranska regeringen med stöd av en ny lag planerar att använda ansiktsigenkänningsteknik på trygghetskameror i offentliga platser och kollektivtrafiken för att identifiera och lagföra kvinnor som inte bär hijab. Detta är en följd av de senaste protesterna mot “Hijab- och kyskhetsdagen”, där kvinnor lade ut videor av sig själva utan huvudduk på sociala medier. Regeringen har svarat med arresteringar, frihetsberövanden och tvångsbekännelser i tv.
Azadeh Akbari, forskare vid Högskolan i Twente, i Nederländerna, berättar för the Guardian att den iranska regeringen länge har lekt med tanken på att använda ansiktsigenkänning för att identifiera personer som bryter mot lagen. Akbari sade att regimen kombinerar våldsamma “gammaldags” former av totalitär kontroll förklädda i ny teknik.
Enligt artikeln i Guardian har några kvinnor arresterats för att de inte burit hijab på rätt sätt, däribland Sepideh Rashno. Rashno, 28 år, arresterades efter att en video på Internet hade publicerats där hon blev utskälld av en medpassagerare på en buss för att hon var ”olämpligt klädd”. I artikeln uppges att en människorättsgrupp påstår att Rashno blev misshandlad efter att hon greps och att hon sedan tvingades be om ursäkt i tv till den passagerare som hade trakasserat henne.
Vidare rapporterar Guardian att den iranska regeringen sedan 2015 har fasat in biometriska identitetskort, som innehåller ett chip som lagrar uppgifter som irisskanning, fingeravtryck och ansiktsbilder. Nu lagras även en stor del av Irans befolkning i en nationell biometrisk databas, eftersom många offentliga tjänster förlitar sig på dessa biometriska ID-kort. Akbari säger att regeringen har tillgång till alla ansikten i databasen och lätt kan identifiera människor. Forskare är därför oroliga för att denna information nu kommer att användas med ansiktsigenkänningsteknik för att identifiera människor på gatan och på nätet om de bryter mot regeringens klädkoder.
EU hittar sin väg för att reglera AI
Det är viktigt att studera hur andra länder använder eller reglerar AI. Särskilt nu när EU överväger hur Europa ska reglera denna teknik. Den 22 april 2021 lade Europeiska kommissionen fram ett förslag till Europaparlamentet och rådet om att reglera AI. Förslaget genomgår för närvarande sin första behandling i rådet.
Förslaget till AI-förordning kommenterades under Nordic Privacy Arena 2021. En av de inbjudna talarna, Leonardo Cervera Navas, förklarade att European Data Protection Supervisor, EDPS är mycket oroliga för att myndigheterna i grunden kommer att förändra sitt förhållande till medborgarna när de börjar använda biometriska kännetecken och beteendeigenkänning på offentliga platser. Han varnade för att detta kan leda till ett orwellianskt samhälle och att det inte kommer att vara möjligt att rulla tillbaka användningen av sådan teknik. Han uppmanade experter på personlig integritet att göra politiker och beslutsfattare medvetna om dessa risker.
Den 12 november 2021 rapporterade också Forum för Dataskydd att Europaparlamentet hade inrättat ett särskilt utskott för artificiell intelligens i den digitala tidsåldern (AIDA). Det utskottets arbete är nu klart. Med utgångspunkt i AIDA-rapporten har Europaparlamentet nu antagit de slutliga rekommendationerna om artificiell intelligens, som belyser potentialen för massövervakning och annan olaglig inskränkning av de grundläggande rättigheterna.
Europaparlamentarikerna varnar för att auktoritära regimer kan använda AI-system för att kontrollera och klassificera medborgare, samtidigt som dominerande tekniska plattformar använder AI för att få fram mer personlig information. EU bör därför prioritera internationellt samarbeten med likasinnade stater (liberala demokratier) för att skydda grundläggande rättigheter enligt parlamentet.
Läs mer:
Artikel i The Guardian från 5 september 2022 om Irans användning av ansiktsigenkänning
EU-kommissionens förslag till AI-förordning
Forum för Dataskydds artikel från Nordic Privacy Arena 2021
Forum för Dataskydds artikel 12 november 2022 om att EU bildat AIDA utskottet
Instagram offentliggjorde barns kontaktuppgifter – får stor sanktionsavgift
Författare: Kave Noori
Den 5 september 2022 rapporterade The Guardian att den irländska dataskyddsmyndigheten, Data Protection Commision (DPC) gett Instagram en sanktionsavgift på 4,3 miljarder kronor (405 miljoner euro) för att ha brutit mot GDPR. Sanktionsavgiften delades ut efter att DPC upptäckt att Instagram publicerat barns kontaktuppgifter.
Problemet var att Instagram lät användare mellan 13 och 17 år driva företagskonton på plattformen, vilket offentliggjorde deras telefonnummer och e-postadresser. DPC konstaterade också att Instagrams registreringsprocess var förinställd på att göra 13 till 17 åriga användares konton offentliga.
Orsaken till att många 13–17 åringar har velat starta företagskonton behöver inte alltid ha berott på ett ekonomiskt intresse. Med ett företagskonto får man förvisso tillgång till ett antal funktioner som kan vara användbara för att sälja produkter eller tjäna pengar på sitt innehåll. Men det är inte allt – företagskonton får också tillgång till analyser, möjligheten att schemalägga inlägg och dela länkar. Alla dessa funktioner kan vara till hjälp för att öka antalet följare på Instagram och kan göra ett konto mer framgångsrikt.
Den irländska dataskyddsmyndigheten DPC beslutade om sanktionen efter att ha avgjort en tvist med andra europeiska dataskyddsmyndigheter om sanktionen enligt artikel 65 i GDPR. Enligt GDPR-handboken Visma Draftit blir artikel 65 i GDPR aktuell när den ansvariga tillsynsmyndigheten (oftast dataskyddsmyndigheten i det land där den personuppgiftsansvariga har sitt säte reds. anm.) och andra berörda tillsynsmyndigheter inte kan nå samförstånd. Artikel 65 i GDPR kan således aktiveras när det finns en tvist mellan medlemsstaters dataskyddsmyndigheter som måste lösas av European Data Protection Board (EDPB). Det händer vanligtvis i gränsöverskridande tillsynsärenden eller när en berörd tillsynsmyndighet har gjort en relevant och motiverad invändning mot hur den ansvariga tillsynsmyndigheten vill agera.
Enligt The Guardian är detta det näst högsta sanktionsbeloppet någonsin under GDPR, efter sanktionen på 746 miljoner euro mot Amazon, och det är den tredje sanktionen mot ett META-ägt företag. En talesperson för dataskyddsmyndigheten DPC bekräftade för The Guardian att Instagram har belagts med 405 miljoner euro i sanktionsavgifter på grund av appens integritetsinställningar för barn.
Vidare sade Caroline Carruthers, ägare till ett brittiskt datakonsultföretag, till The Guardian att Instagram inte har tänkt igenom sitt integritetsansvar när de lät tonåringar skapa företagskonton och visade en “uppenbar brist på omsorg” för användarnas sekretessinställningar.
Slutligen rapporterar The Guardian också att Meta förra året stoppade utvecklingen av en specialversion av Instagram för barn efter avslöjanden om appens inverkan på tonåringars psykiska hälsa. Instagram har sagt att man före september 2019 offentliggjorde användarnas kontaktuppgifter för företagskonton och informerade användarna om det under registreringsprocessen. För barn under 18 år sätts kontot nu automatiskt till privat när man registrerar sig på plattformen.
Enligt artikeln i The Guardian kommer DPCs beslut att bli offentligt nästa vecka.
Läs mer:
Artikel i The Guardian 5 September 2022
Blogginlägg på socialmediatoday.com från 22 mars 2018 om varför man ska göra om konton till
Personlig integritet ställs mot tillgänglighet för personer med funktionsnedsättning?
Författare: Kave Noori
Forum för Dataskydd har genom en serie artiklar rapporterat om hur skyddet för den personliga integriteten utmanas på flera fronter. För det första har EU-kommissionen föreslagit att man ska bekämpa spridningen av material om sexuella övergrepp mot barn genom generell scanning med artificiell intelligens (AI) av alla elektroniska meddelanden och filer som laddas upp till molntjänster (Läs mer i artikel 1 och 2).
För det andra har Region Dalarna beslutat att använda smarta insulinpumpar som gör patientuppgifter tillgängliga för personal i USA. För det tredje visar en granskning av webbplatser att 54 procent av Sveriges regioner och kommuner använder molnbaserade hjälpmedel för personer med funktionsnedsättning som potentiellt exponerar personuppgifter till USA.
Det finns en mängd olika hjälpmedel för personer med funktionsnedsättning som inte sällan är molnbaserade. Förra veckans artikel fokuserade på smarta hjälpmedel för diabetiker. Den här veckans artikel tar upp text till tal (skärmläsare). Samma juridiska bekymmer uppstår dock även med tal-till-text-teknik som ibland kan användas för att automatiskt texta ett möte för personer med hörselnedsättning (när en tolk inte är tillgänglig).
Webperf.se är ett hobbyprojekt av Marcus Österberg, webbutvecklare och analytiker. I hobbyprojektet studerar han hur webbplatser fungerar, särskilt inom den offentliga sektorn. Denna sommar har projektet granskat hur kommuner och regioner använder skärmläsare. Skärmläsare är ett viktigt verktyg för att göra webbplatser tillgängliga, exempelvis för personer med synnedsättning eller dyslexi. I en detaljerad bloggrapport på Webperf.se påstår Österberg att 54 procent av alla svenska regioner och kommuner använder antingen Readspeaker eller Talandewebb. Österberg drar slutsatsen att det inte kan uteslutas att personuppgifter överförs utanför EU när dessa två verktyg används.
Rätten till privatliv och inkludering av personer med funktionsnedsättning är grundläggande rättigheter
Rätten till dataskydd är en mänsklig rättighet som fastställs i artikel 8 i Europeiska unionens stadga om de grundläggande rättigheterna. Andra rättigheter som kan vara relevanta i detta sammanhang är artikel 21 om icke-diskriminering, artikel 26 om inkludering av personer med funktionsnedsättning samt artikel 35 om hälsoskydd (vård). En viktig fråga är dock om dessa rättigheter kan anses stå i konflikt med varandra, med tanke på att de flesta leverantörer av hjälpmedel som varit föremål för den senaste tidens debatt är beroende av att personuppgifter görs tillgängliga för någon i USA. Det korta svaret är nej. Dessa rättigheter skulle i teorin kunna stå i konflikt med varandra om EU:s dataskyddsregler generellt förbjöd användningen av dessa hjälpmedel. Dataskyddsreglerna begränsar dock endast överföringen av personuppgifter till länder där nivån på dataskyddet inte är tillfredsställande. Förenta staterna är ett land som ligger kulturellt, ekonomiskt, politiskt och militärt nära Europa. Varför finns det då ett problem enligt EU-domstolen? Låt oss ta reda på det tillsammans.
Varför kolliderar EU-rätten och USA:s lagar?
Både EU och USA har lagar som skyddar rätten till privatliv. I EU garanteras denna rätt i artikel 8 i EU:s stadga om de grundläggande rättigheterna. Enligt artikel 52 i stadgan får denna rättighet begränsas endast om det är proportionerligt och nödvändigt för att skydda ett allmänt intresse eller för att skydda andras rättigheter. Rätten till privatliv kan aldrig reduceras till 0 % ens för de bästa anledningarna i världen. Enligt EU-rätten är dessa rättigheter universella, dvs. de gäller för alla, oavsett medborgarskap.
Proportionalitetsprincipen
Proportionalitetsprincipen är central för att förstå EU-rätten. Enligt denna princip får en myndighet inte vidta mer kraftfulla åtgärder än vad som är nödvändigt för det aktuella syftet. Om Anders kastar godispapper i en park har han begått ett brott som kallas nedskräpning. Om polisen gör en husrannsakan, spränger ytterdörren och riktar en pistol mot hans huvud, skulle agerandet vara oproportionerligt och utgöra överdriven våldsanvändning mot en medborgare.
Ett annat exempel som kan förklara proportionalitetsprincipen är följande: Om Anders hugger någon med en kniv och denne dör har han begått ett mord. Polisen genomsöker hans hus och spränger dörren för att arrestera honom. Polisens beslut är proportionerligt, även om de skadar hans lägenhet eller oavsiktligt skadar hans hund. Åtgärden och risken för skador är sannolikt godtagbar med tanke på det hot Anders utgör mot andra människor.
Proportionalitetsprincipen, som finns inskriven i Europakonventionen om de mänskliga rättigheterna, EU:s stadga om de grundläggande rättigheterna och i svensk lag, gäller för polisens användning av fysiskt våld samt för skyddet av privatlivet och villkoren för att bedriva elektronisk övervakning. Detta innebär att polisen inte kan avlyssna någon bara för att denne har skräpat ner, men de kan göra det vid allvarligare brott.
Det fjärde tillägget till USA:s konstitution skyddar de amerikanska medborgarna från att regeringen gör oskäliga intrång i deras privatliv. Skyddet är dock inte absolut, och amerikanska myndigheter kan rättfärdiga en husrannsakan eller ett beslag om det finns goda skäl till det.
Presentationen nedan av amerikansk lag avser inte att täcka alla relevanta lagar eller aspekter av elektronisk övervakning i USA. Vi studerar bara en utvald bestämmelse för att illustrera lagkonflikten.
Det fjärde tillägget till USA:s konstitution har följande lydelse:
“The right of the people to be secure in their persons, houses, papers, and effects, against unreasonable searches and seizures, shall not be violated, and no Warrants shall issue, but upon probable cause, supported by Oath or affirmation, and particularly describing the place to be searched, and the persons or things to be seized.”
Gäller det fjärde tillägget för européer?
En viktig fråga är om européer som inte bor i USA skyddas av det fjärde tillägget. Svaret är nej. Detta konstateras som bakgrundsfakta i Schrems II-målet (se punkt 65). Vi kan också hitta denna information genom att ta del av amerikansk rättspraxis.
UNITED STATES v. VERDUGO-URQUIDEZ
Den 28 februari 1990 meddelade Högsta domstolen i USA sin dom i målet UNITED STATES v. VERDUGO-URQUIDEZ. Högsta domstolen uttalade sig om den extraterritoriella tillämpningen av det fjärde tillägget.Bakgrund: År 1989 reste den amerikanska narkotikapolisen, Drug Enforcement Agency (DEA) till Mexiko för att fånga en misstänkt knarkkung och föra honom tillbaka till USA för åtal. Den misstänkte var mexikansk medborgare och DEA fick hjälp av mexikanska polismyndigheter. Den misstänkte klagade över att gripandet var olagligt eftersom DEA hade gripit honom utan en husrannsakningsorder och fört honom ut ur Mexiko, vilket kränkte hans rättigheter enligt fjärde tillägget.
Resultat: USA:s högsta domstol ansåg att det fjärde tillägget inte är tillämpligt på husrannsakan och beslag av egendom som tillhör utlänningar som inte är bosatta i USA. Domstolen resonerade att ett sådant skydd för utlänningar utomlands skulle hindra regeringen från att reagera effektivt på hot mot amerikanska intressen och inte bara skulle hindra polisen utan även militärens effektivitet. Domstolen betonade att tillägget till konstitutionen endast gäller “folket”, vilket avser en “klass av personer som ingår i den nationella gemenskapen eller som på annat sätt har utvecklat en tillräcklig koppling till Förenta staterna”.
En särskild lag som skyddar icke amerikaners integritet behövs
I avsaknad av skydd för utlänningar enligt fjärde tillägget är det sannolikt endast kongressen som genom lag kan besluta att de ska få ett skydd som liknar det fjärde tillägget. De nuvarande amerikanska lagarna anses dock oförenliga med europeisk lagstiftning. I Schrems II slog EU-domstolen (se punkterna 178-185 i Schrems II) fast att USA:s underrättelsedomstol (Foreign Intelligence Surveillance Court, FISC) inte har befogenhet att godkänna enskilda övervakningsåtgärder, utan endast kan godkänna övervakningsprogram på årlig basis. EU-domstolen drog slutsatsen att USA kan genomföra övervakningsprogram utan skyddsåtgärder för icke-amerikanska personer, vilket är oförenligt med det skydd för enskilda personer som garanteras i EU-stadgan.
EU-domstolen konstaterade därför att de amerikanska underrättelsetjänsternas massinsamling av personuppgifter inom ramen för program enligt Foreign Intelligence Surveillance Act (FISA) eller Executive Order 12333, i kombination med Presidential Policy Directive 28, inte är förenlig med Europeiska unionens proportionalitetsprincip. Detta innebär att USA:s datainsamling enligt EU-rätten inte kan anses vara begränsad till vad som är absolut nödvändigt i en demokrati.
Problemet kan sammanfattas på följande sätt: I EU-lag betraktas rätten till privatliv som en universell och individuell mänsklig rättighet som gäller för alla, oavsett medborgarskap eller bosättningsland. I EU-rätten är privatlivet en relativ rättighet, där ibland statens intresse av övervakning tillåts väga tyngre än intrånget i medborgarens privatliv, så länge staten respekterar proportionalitetsprincipen. I USA:s lagstiftning definieras också skyddet för privatlivet som en individuell mänsklig rättighet som är relativ, och ett intrång i privatlivet måste vara proportionerligt när det riktas mot amerikanska personer.
Rätt till ett effektivt rättsligt skydd (effektiva rättsmedel)
Artikel 47 i EU-stadgan om de grundläggande rättigheterna handlar om rätten till effektiva rättsmedel. Denna rätt kan också kallas ”rätten till ett effektivt skydd för de mänskliga rättigheterna”. Tillgången till effektiva rättsmedel är en hörnsten i det juridiska skyddet. Det räcker inte om lagen innehåller fina formuleringar om att du har rätt att inte bli diskriminerad eller att din yttrandefrihet är skyddad. Om någon av dina mänskliga rättigheter kränks måste du ha tillgång till ett effektivt rättsmedel, vilket innebär att du måste kunna ta ditt fall till domstol och få det prövat. Domstolen måste också ha mandat att rätta till orättvisor. Detta är ett viktigt skydd mot kränkningar av de mänskliga rättigheterna.
EU-domstolen har slagit fast (se punkterna 185-197 i Schrems II) att en utländsk lagstiftning som förvägrar en registrerad tillgång till juridiska verktyg för att utöva sina rättigheter, inte respekterar kärnan i den grundläggande rätten till effektiva rättsmedel. För att uppfylla villkoren i artikel 47 i stadgan anser domstolen att det tredjelandet måste säkerställa en effektiv oberoende tillsyn av de som behandlar personuppgifter, effektiva och verkställbara rättigheter för de registrerade samt ett effektivt administrativt och rättsligt förfarande. EU-domstolen har slagit fast att de registrerade inte har rätt till ett effektivt rättsmedel mot amerikanska myndigheter på det sätt som krävs enligt artikel 47 i EU-stadgan.
Analys
Även nära allierade länder kan ha olika åsikter om vad som bör vara straffbart. I Sverige och större delen av Europa är vi till exempel övertygade om att kvinnor har rätt till kroppslig autonomi. I augusti avslöjades dock att Facebook hade delat privata chattar mellan en mor och hennes dotter med brottsbekämpande myndigheter i Nebraska, USA. Dessa uppgifter användes för att åtala tonåringen för att ha gjort en olaglig abort och mamman för medhjälp. I det här fallet hade polisen inte informerat Facebook om att de utredde en olaglig abort. Fallet visar att även nära allierade länder kan ha en syn på vad som utgör ett brott som skiljer sig från den i Sverige. Det visar också att insamlingen av information som inte anses vara ett problem i dag kan bli ett problem i framtiden.
Problemet är inte att amerikanska myndigheter vill ha tillgång till information för att utreda brott eller hot. Svensk lag och GDPR innehåller redan bestämmelser som gör det möjligt för amerikanska myndigheter att be svenska myndigheter om information. Problemet är snarare att interna amerikanska lagar kräver att USA-baserade företag ska tillhandahålla information var som helst i världen uteslutande på basis av intern amerikansk rätt. Detta kan leda till att uppgifter delas med amerikanska myndigheter trots att det skulle strida mot det andra landets lagar att dela informationen med amerikanska myndigheter. Det kan beskrivas som en situation där Sveriges eller EU:s suveränitet och våra demokratiska processer för att stifta våra egna lagar inte respekteras.
Det finns tre tänkbara sätt att komma vidare från denna låsta situation. Det första är att EU mjukar upp sina integritetsregler, det andra är att USA ändrar sina övervakningslagar och det tredje är att molnleverantörerna isolerar sin infrastruktur i Europa.
Om någon vill ändra skyddet av personuppgifter i EU skulle det sannolikt kräva ändringar av EU-fördragen. Det skulle också troligen kräva att kriterierna för att avgöra om ett land ger ett adekvat skydd ändras. Enligt artikel 45 i GDPR ska Europeiska kommissionen under gällande regler bedöma om ett tredjelands dataskyddsregler är adekvata på grundval av faktorer som rättsstatsprincipen, respekten för de mänskliga rättigheterna, relevant lagstiftning, förekomsten av oberoende tillsynsmyndigheter och landets engagemang för internationell rätt eller internationella konventioner.
Det är väl känt att Förenta staterna är ett land där rättsstatsprincipen och respekten för de mänskliga rättigheterna gäller. Du måste dock vara amerikansk medborgare eller lagligt bosatt i USA för att omfattas av dessa rättigheter. Som det nederländska nationella centret för cybersäkerhet rapporterar är USA inte det enda landet vars lagar sträcker sig utanför dess gränser. Andra länder med liknande lagar är Australien, Sydafrika, Indien och Kina. En viktig fråga att besvara är därför hur kriterierna ska ändras (om det är en önskad lösning) för att göra det möjligt för USA att uppfylla dessa kriterier utan att öppna dörren för ett fritt flöde av uppgifter till länder som Kina och Ryssland.
Integritetsskyddsmyndigheten (IMY) har publicerat ett blogginlägg som betonar att rätten till personlig integritet skyddas av GDPR, EU-stadgan, Europakonventionen om mänskliga rättigheter och den svenska grundlagen. I blogginlägget betonas vikten av att vårdinrättningar följer hälso- och sjukvårdslagarna för att upprätthålla patienternas förtroende och för att säkerställa att informationen inte missbrukas av underrättelsetjänster eller för identitetskapning.
Slutligen kan det nämnas att även den mellanstatliga organisationen Europarådet som övervakar efterlevnaden av Europakonventionen, påpekat att dataskyddet är en hörnsten i en ny tidsålder med artificiell intelligens.
Läs mer
Forum för Dataskydds artikel 1 om EU-kommissionens förslag mot barnporr (5 augusti 2022)
Forum för Dataskydds artikel 2 om EU-kommissionens förslag mot barnporr (12 augusti 2022)
Fjärde tillägget till USAs konstitution
Library of congress: UNITED STATES v. VERDUGO-URQUIDEZ
Ljudupptagning av domstolsförhandlingen i målet UNITED STATES v. VERDUGO-URQUIDEZ
Det nederländska nationella centret för cybersäkerhets blogginlägg om Cloud Act (16 augusti 2022)
Skyddet för den personliga integriteten ställs mot diabetesvård
Författare: Kave Noori
Den senaste tekniken med smarta insulinpumpar och sensorer är inte tillgänglig för diabetespatienter i Sverige. Läkartidningen (12 aug 2022) skriver att Region Dalarna skyller detta på EU:s dataskyddsförordning GDPR. I Region Dalarna används systemet Libreview, ett system där diabetessjuksköterskor och läkare kan övervaka patienternas blodsockernivåer i realtid via appar och sensorer. Libreview lagrar data i EU men gör patientuppgifterna tillgängliga för personal i USA.
Region Dalarna har beslutat att fortsätta använda tekniken trots att de bryter mot bestämmelserna. Regionen anger att den anser att patienternas behov ska komma i första hand. Ulf Berg, regionstyrelsens ordförande i Dalarna, säger att en lag som hindrar modern sjukvård är “vansinne” och att han därför ställer sig på patienternas sida. Han vill att lagstiftningen förtydligas så att man slipper långa juridiska överväganden.
Nytt avtal om uppgiftsdelning med USA håller på att förhandlas
Den 14 april 2022 rapporterade Forum för Dataskydd att EU och USA hade nått en politisk överenskommelse om huvudprinciperna för ett nytt avtal om datadelning. Den politiska överenskommelsen välkomnades av näringslivet, men föreningar var mer skeptiska.
Organisationen Noyb (None of Your Business) uppgav i ett öppet brev den 23 maj 2022 att de är redo att rättsligt pröva alla framtida beslut om adekvat skyddsnivå som inte rättar till bristerna som EU-domstolen fann i Schrems I och II. Organisationen är särskilt orolig för att EU-kommissionen medvetet kan komma att fatta ett olagligt beslut om adekvat skyddsnivå för att vinna tid, vilket kommer att leda till ändlösa pingpongmatcher mellan lagstiftarna i Bryssel och EU-domstolen i Luxemburg. De anser att ett sådant beslut skulle bygga på politiska förhoppningar snarare än den juridiska verkligheten och att det skulle skada förtroendet för rättsstatsprincipen på EU-nivå.
En kort bakgrund till problemet
I två rättsfall, Schrems I och Schrems II, ogiltigförklarade EU-domstolen avtal om uppgiftsutbyte mellan EU och USA. Max Schrems är en jurist och försvarare av personlig integritet från Österrike. Han är grundare av noyb, en europeisk ideell organisation som värnar om rätten till personlig integritet och dataskydd. Schrems är mest känd för sin roll när det gäller att ifrågasätta om avtalen om datadelning mellan EU och USA är lagliga. År 2015 ogiltigförklarade EU-domstolen i målet Schrems I datadelningsavtalet Safe Harbour mellan EU och USA. Kort därefter kom EU och USA överens om ett efterföljande avtal kallat Privacy Shield, som ogiltigförklarades igen 2020 i ett beslut kallat Schrems II.
I båda fallen ogiltigförklarade EU-domstolen avtalen eftersom interna amerikanska lagar tillåter den amerikanska säkerhetstjänsten NSA och FBI att spionera på européer på ett sätt som går utöver vad som enligt EU:s lagstiftning kan tolereras i en demokrati (bristande proportionalitet). Enligt EU-domstolen kränker dessa lagar européernas konstitutionellt skyddade mänskliga rätt till privatliv och deras rätt att vända sig till en oberoende domstol för att klaga.
Cloud Act
Förutom den amerikanska Foreign Intelligence Surveillance Act finns det en annan amerikansk lag med extraterritoriell verkan som personuppgiftsansvariga behöver ta hänsyn till. Det nederländska nationella centret för cybersäkerhet lät en advokatbyrå utreda CLOUD Act för att lära sig mer om riskerna och potentiella åtgärder för att minska dem. I ett blogginlägg skriver centret att extraterritoriella lagar gör det svårare att säkerställa efterlevnaden av EU:s och enskilda länders lagar på området informationssäkerhet och dataskydd.
Enligt blogginlägget inför allt fler länder datalagstiftning med extraterritoriell verkan. Det innebär att lagar inte bara gäller för uppgifter inom ett landsgränser utan även för uppgifter som lagras eller behandlas utanför landet. Kina är ett av dessa länder och dess datasäkerhetslag är ett svar på CLOUD Act. Lagen reglerar behandlingen av uppgifter i Kina och uppgifter eller information utanför Kina som är “relevant för Kinas nationella säkerhet eller andra sociala intressen”.
Enligt blogginlägget visar analysen att det är svårt för personuppgiftsansvariga att avgöra om en tjänst eller tjänsteleverantör träffas av utomeuropeisk lagstiftning med extraterritoriell räckvidd. Detta kompliceras av olika faktorer, inklusive leveranskedjan och vilka företag som ingår i den. I takt med att användningen av extraterritoriell lagstiftning ökar kommer det att bli allt svårare.
Företag och organisationer är skyldiga att ta hänsyn till vilka möjligheter främmande statsmakter har för att ta del av information, när de väljer leverantörer. Enligt blogginlägget medför det ökade antalet extraterritoriella lagar att personuppgiftsansvariga får sämre möjligheter att garantera eller se till att den information som de behandlar är tillräckligt skyddad mot insyn från utländska, icke-europeiska, statsmakter.
Läs mer:
Debatt artikel i Dagens medicin ” ”Ska vi acceptera att diabetesvården styrs av industrin?”
Forum för Dataskydd, 14 april 2022 om politisk överenskommelse om nytt datadelningsavtal med USA.
Nederländska nationella centret för cybersä¨kerhet – blogginlägg om Cloud Act
Almedalen 2022: Analys och kompetensutveckling krävs för att överleva i den datadrivna tidsåldern
Författare: Kave Noori
När jag besökte Almedalsveckan på Gotland i egenskap av sakkunnig på Sveriges Dövas Riksförbund, hade jag turen och nöjet att stöta på ordföranden och vice ordföranden i Forum för Dataskydd – flera gånger! Jag bestämde mig för att intervjua dem och fråga dem varför de var här och vad de hade lärt sig.
Varför är ni här? Vem eller vad representerar ni här i Almedalen?
Caroline Olstedt Carlström, ordförande i Forum för Dataskydd och advokat på Cirio Advokatbyrå, förklarar att de var i Almedalen av två skäl. För det första för att få en inblick i nya idéer och affärsmodeller från företag och organisationer, och för det andra för att lyfta fram dataskyddsfrågor i olika sammanhang. Hon framhåller att Forumet också letar efter intressanta talare att bjuda in till Nordic Privacy Arena.
Jag frågar Caroline om i vilken roll hon medverkade i den paneldiskussion som Google anordnade. Caroline säger att hon alltid klargör för publiken att hon har två hattar på sig – en som advokat och expert på dataskydd och en som ordförande för Forum för Dataskydd.
Caroline fortsätter med att berätta att hon anser att det är viktigt att driva frågor genom Forumet eftersom det är en oberoende plattform som också kan få större genomslagskraft. Forumet har medlemmar från både den offentliga och den privata sektorn, Forumet kan uppmärksamma frågor med ett visst mått av oberoende. Caroline nämner att man annars som advokat ibland riskerar att mötas med misstänksamhet, när man uttalar sig i en viss fråga. En del människor kan tro att man som advokat intar en politisk ståndpunkt på grund av ekonomiska intressen för någon klient.
När jag ställer samma fråga till Karl-Fredrik ”Kalle” Björklund svarar han att han deltar i Almedalsveckan i samma egenskap som Caroline, dels som advokat och expert på dataskydd dels som företrädare för Forum för Dataskydd, men att han inte medverkat som talare vid några seminarier i år. Kalle är dataskyddsexpert på Hellström Advokatbyrå och vice ordförande i Forum för Dataskydd.
Vilka seminarier har ni besökt?
Kalle redogör för att han och Caroline under tisdagen besökte tre olika seminarier, utöver de separata kontakterna och spontana möten som också är en stor del av Almedalsveckan.
Det första var ett seminarium av Dagens Industri (DI) med titeln “Hur kan vi skydda svenska data samtidigt som vi accelererar digitaliseringen?”. Det handlade om hur man kan använda molntjänster lagligt och kommersiellt med anledning av Schrems II-domen. På seminariet diskuterades det också hur man ska hantera överföringar till tredjeland (USA, Indien etc.). Kalle säger att de viktigaste poängerna han tar med sig, är att många organisationer bryter mot lagen, och tyvärr anser sig vara tvungna att göra det.
Det andra seminariet, “Digitalisering på den politiska agendan”, hölls på tisdagen och fokuserade på användningen av data i skolor och inom hälso- och sjukvården. Panelen bestod av en representant från varje riksdagsparti. Seminariet var mycket informativt och Caroline och Kalle tar med sig många viktiga synpunkter även från detta seminarium.
För det första noterar de att många politiker anser att det behövs en samlad IT-strategi (i motsats till avgränsade och/eller sektorsspecifika insatser) för att öka digitaliseringen. För det andra betonade politikerna på seminariet, vikten av att bygga ut tillgången till bredband i landsbygdsområden för att alla ska kunna delta i den digitala ekonomin. Caroline och Kalle anser dock också att det finns viktiga perspektiv som saknades på seminariet. De saknade till exempel en diskussion om dataskyddet och dess betydelse för att skydda de grundläggande rättigheterna för individerna, något som borgar för en trygg och effektiv digitalisering.
I en paneldiskussion om “Digitalisering – lösningen på välfärdsutmaningen”, som också hölls på tisdagen, sade digitaliseringsminister Khashayar Farmanbar: “Vi måste undanröja de rättsliga hindren för digitalisering.” Farmanbar talade också om riskerna med att omfamna digitaliseringen utan att förstå eller utbilda sig ordentligt och om behovet av att förbättra kompetensen på varje arbetsplats. “Organisationer som är alltför effektiva klarar inte av digitaliseringen. Digitaliseringen kräver luft i organisationen för att få tid att tänka och innovera”, sade Farmanbar bland annat.
Caroline reagerar positivt på minister Farmanbars kommentarer: “Vi håller med om det. Forumet har försökt ta upp detta i olika sammanhang. Ett strukturerat och fullgott dataskyddsarbete kräver god förändringsledning och affärsutveckling, den kan inte föregå i ett vacuum” tillägger Caroline.
Caroline deltog i en panel om hur vi maximerar potentialen i den datadrivna tidsåldern
Caroline berättar att hon deltog i en paneldiskussion, som organiserades av Google. Diskussionen hade titeln “Vilka är hindren för att maximera kraften i data?”. Caroline säger att det var en informerad och bra diskussion. Diskussionen kretsade kring vilka politiska beslut som kan fattas på svensk och EU-nivå.
Caroline understryker särskilt vad en av de andra paneldeltagarna sa. Hon klargör att det inte är någon hemlighet att det digitala området är starkt reglerat, med en uppsjö av lagar och förordningar som kommer från både EU och nationella lagstiftare. Caroline berättar att paneldeltagaren liknade digitaliseringslagarna vid en lasagne, med “lager på lager”. Detta kan vara en stor utmaning för alla verksamheter som måste se till att alla tillämpliga bestämmelser uppfylls förklarar Caroline. Hon förklarar att det är centralt att organisationer skaffar sig en god förståelse och identifierar den påverkan som kan finnas på den egna verksamheten.
Caroline säger att en annan insikt hon tar med sig från seminariet är fokuset på utbildning. Efterlevnaden av lagar kräver ofta en betydande investering i utbildning, eftersom de anställda måste hålla sig uppdaterade om olika organisationer och deras respektive regelverk. Det här är också en viktig förutsättning för ett fullt fungerande dataskyddsprogram menar hon. Caroline fortsätter med att säga att det på seminariet också framfördes önskemål om mer vägledning och information från dataskyddsmyndigheterna, särskilt när det gäller godkända certifieringar.
Vidare uppmärksammades det i diskussionen att t ex Spotify får ett mycket stort antal ansökningar för sina utannonserade tjänster, medan exempelvis Riksarkivet – som också har ett viktigt uppdrag – inte får några ansökningar. Bristen på kompetens och för få erfarna sökande är idag ett mycket stort bekymmer i de allra flesta organisationer framhåller Caroline. Det behövs därför ett stort fokus de närmaste åren på att vidareutbilda personal som kan hantera de så viktiga dataskyddsuppdragen, säger hon.
Ett annat orosmoment gäller utmaningarna på området informationssäkerhet. I paneldiskussionen framhölls det enligt Caroline också att otillräcklig kunskap om informationssäkerhet och cyberhot hos chefer och även tekniskt ansvariga på myndigheter hindrar myndigheterna från att snabbt agera exempelvis utifrån olika sårbarheter som rapporteras av CERT-SE. Med ökad kunskap och utbildning skulle vi också bli ännu bättre på att skydda informationen i samhället och kunna bädda ytterligare för digitaliseringen, avslutar Caroline.
Personlig integritet ställs mot effektiv bekämpning av barnporr
Författare: Kave Noori
I förra veckans artikel rapporterade vi att EU-kommissionen föreslagit en ny lag för att bekämpa spridningen av material om sexuella övergrepp mot barn på Internet.
EU-kommissionen föreslår obligatorisk scanning av privata kommunikationer med hjälp av AI-teknik. Om AI:n misstänker att en bild eller video kan utgöra barnporr ska den skickas till en myndighet som avgör om den ska delas med polisen. Även privata konversationer ska scannas för att identifiera groomingförsök, när en vuxen söker kontakt med ett barn i sexuella syften, funktionen kallas Chat Control.
Förslaget har kritiserats av European Data Protection Board (EDPB) och European Data Protection Supervisor (EDPS). Båda dessa dataskyddsmyndigheter anser att förslaget är ogenomförbart och har begärt att det ska ändras. I den här artikeln fördjupar vi oss i kritiken mot förslaget och hur EU-kommissionen motiverar sitt förslag.
EU-kommissionen: Vi har misslyckats med att skydda barnen
EU-kommissionen konstaterar i sin promemoria att minst ett av fem barn faller offer för sexuellt våld under sin barndom. I en global studie från 2021 konstaterades att mer än var tredje respondent hade blivit ombedd att göra något sexuellt explicit på nätet under sin barndom, och över hälften hade varit med om någon form av sexuellt övergrepp mot barn på nätet. Barn med funktionsnedsättning löper ännu större risk att utsättas för sexuellt våld, och upp till 68 procent av flickorna och 30 procent av pojkarna med intellektuell funktionsnedsättning har utsatts för sexuella övergrepp före sin 18-årsdag. Trots att sexuella övergrepp mot barn är kriminaliserade i hela EU skriver kommissionen att det är uppenbart att EU fortfarande misslyckas med att skydda barn från denna form av övergrepp.
EU-kommissionen framhåller att förslagen om obligatoriska krav på att upptäcka nytt material om sexuella övergrepp mot barn och “grooming” skulle ha en positiv inverkan på de potentiella offrens grundläggande rättigheter genom att bidra till att förebygga övergrepp. Om myndigheterna kan reagera tillräckligt snabbt på nytt material om sexuella övergrepp mot barn och groomingförsök tror EU-kommissionen att det till och med kan vara möjligt att skydda ett barn innan det skadas. Kommissionen är dock medveten om att en sådan form av övervakning generellt utgör ett mycket stort ingrepp i den privata sfären för alla användare, eftersom den förutsätter automatisk bevakning av kommunikationen mellan enskilda personer.
EDPB och EDPS remissvar
EDPB och EDPS stöder starkt EU-kommissionens ambition att bekämpa material om sexuella övergrepp mot barn. De anser dock att förslagets nuvarande utformning kan leda till en orimligt långtgående massövervakning av elektronisk kommunikation.
EDPB:s vice ordförande Ventsislav Karadjov säger att det nuvarande förslaget innehåller allvarliga brister och faktiskt kan skada de barn som lagen försöker skydda. EDPB och EDPS konstaterar att förslaget saknar rättslig förutsebarhet på flera punkter, och att användningen av teknik som artificiell intelligens för att skanna användarnas kommunikation sannolikt inte kommer att vara träffsäker och generera felaktiga svar, samtidigt som metoden är mycket integritetskränkande för alla.
EDPB och EDPS slår fast att de verktyg som ska användas enligt EU-kommissionen inte är tillräckligt träffsäkra för att specifikt kunna urskilja material om sexuella övergrepp mot barn. I deras resonemang väger det väldigt tungt att en så stor andel legitim privat elektronisk kommunikation också riskerar att fångas upp av myndigheterna. Eftersom övervakningsåtgärderna inte är tillräckligt effektiva och träffsäkra för problemet som EU försöker lösa, anser EDPB och EDPS att statens intresse av att övervaka inte ska få företräde framför medborgarnas rätt att inte bli övervakade.
Båda EU-institutionerna anser att förslaget innebär större risker för alla medborgares privatliv än den risk det innebär för brottslingarna. De rekommenderar bland annat att villkoren för att tvinga en tjänsteleverantör att införa teknik för att upptäcka material om sexuella övergrepp mot barn förtydligas.
Användningen av AI i kampen mot nytt material och groomingförsök (chat control)
EDPS och EDPB konstaterar att EU-kommissionen bygger sitt förslag på en föreställning om att det redan existerar tillförlitliga AI-system som både kan identifiera nytt material om sexuella övergrepp mot barn och förhindra groomingförsök. Eftersom det finns så lite information om hur vanligt det är att dessa tekniker används eller hur effektiva de är uppmanar EDPB och EDPS lagstiftaren till att ha en mer försiktig hållning till införandet av denna teknik.
Vidare konstaterar EDPB och EDPS att de indikatorer för att mäta effektiviteten av tekniker som upptäcker material om sexuella övergrepp mot barn som nämns i den konsekvensbedömningsrapport som bifogats till förslaget ger ytterst lite information om hur effektiva dessa tekniker är. (EU-kommissionens beskrivning av tekniken är 5 sidor lång, se sidorna 281-285 i denna PDF, redaktionens anmärkning)
EDPB och EDPS skriver vidare att det är oklart om indikatorerna som mäter effektiviteten som använts i EU-kommissionens tester ens återspeglar hur väl tekniken fungerar i verkligheten.
EDPB och EDPS betonar att mätindikatorerna bör ge en detaljerad bild av hur detektionsverktygen fungerar. EDPB och EDPS remissvar påminner om att det är allmänt känt att användningen av AI-algoritmer på bilder eller text kan leda till partiska, fördomsfulla eller diskriminerande utfall eftersom alla befolkningsgrupper ofta inte är tillräckligt representerade i de dataset som används för att träna upp algoritmen. För att detektionssystemen ska vara till nytta för samhället poängterar de att dessa skevheter bör identifieras, bedömas och åtgärdas för att säkerställa att AI-systemen löser sina arbetsuppgifter på ett korrekt sätt.
Avlyssning av pågående röstsamtal
EDPB och EDPS anser att förslaget genom sin ordalydelse inte utesluter att en AI sätts in för att avlyssna pågående röstsamtal i realtid för att identifiera pågående groomingförsök. De anser emellertid att denna åtgärd är särskilt påträngande eftersom den medför att medborgarnas kommunikation bevakas konstant och i realtid. De anser att konsekvenserna av att införa detta måste analyseras närmare innan förslaget tas vidare. EDPB och EDPS anser därför att avlyssning av samtal i realtid explicit bör undantas från den föreslagna förordningens tillämpningsområde.
Kampen om krypteringen
Kryptering används för att skydda information eller kommunikation från obehörig åtkomst. Kryptering omvandlar informationen till en hemlig kod som endast kan avkodas av tillåtna användare. End-to-end-kryptering är en typ av kryptering som säkerställer att endast avsändaren och den avsedda mottagaren av ett meddelande tar del av dess innehåll.
EU-kommissionen anser att den föreslagna EU-förordningen är teknikneutral och därför varken främjar eller hindrar användningen av en viss teknik. Enligt EU-kommissionen kräver förordningen endast att den teknik som leverantörerna väljer att använda ska uppfylla vissa krav.
EU-kommissionen uppger att ett sådant krav är att apparna ska använda end-to-end-kryptering tillsammans med funktioner för upptäckt av material om sexuella övergrepp mot barn. EU-kommissionen förklarar att detta är särskilt viktigt för att garantera säkerheten och sekretessen i all kommunikation mellan användare, inklusive barn.
EDPB och EDPS bestrider bestämt EU-kommissionens påstående om att det ens skulle vara tekniskt möjligt att kombinera de föreslagna skanningskraven med end-to-end-kryptering. För att följa lagen påpekar EDPB och EDPS att leverantörerna i praktiken kommer att behöva bryta krypteringen och aktivt övervaka samtal i realtid.
Även om den föreslagna lagen i teorin låter enskilda leverantörer välja teknik för att uppfylla lagens målsättningar, drar EDPB och EDPS slutsatsen att den teknik som krävs för att uppfylla lagkraven är inkompatibel med end-to-end-kryptering (E2EE). De påpekar att hela poängen med E2EE är att säkerställa att avsändare och mottagare kan kommunicera konfidentiellt utan att tjänsteleverantören har kännedom om innehållet i kommunikationen.
Om lagen antas i sin nuvarande form varnar EDPB och EDPS för att många tjänsteleverantörer kan komma att sluta använda E2EE eftersom det är omöjligt att söka efter material om sexuella övergrepp mot barn i meddelanden utan att knäcka krypteringen och avlyssna kommunikationen.
Fortsättningsvis påpekar EDPS och EDPB att lagens hårda sanktioner generellt sett leder till negativa konsekvenser för användarnas integritet och säkerhet. Detta skulle kunna ha en nedslående effekt på yttrandefriheten och laglig, privat användning av elektroniska kommunikationstjänster menar dem.
EDPB och EDPS påpekar att scanning efter material om sexuella övergrepp mot barn på klientsidan innebär att programmen kommer att köras okrypterade på slutanvändarnas enheter. Detta innebär en betydande försämring av konfidentialiteten. EDPB och EDPS varnar för att detta skulle vara särskilt skadligt för barnen, eftersom det gör barnens enheter mer sårbara för övervakning och avlyssning av deras kommunikation.
En annan metod som EU-kommissionen har övervägt, nämligen skanning på serversidan, är också oförenlig med E2EE enligt EDPB och EDPS. De skriver att denna lösning skulle kräva att man knäcker den krypterade kommunikationskanalen, vilket leder till massbehandling av personuppgifter på leverantörernas servrar.
EDPS och EDPB påminner om att end-to-end-kryptering är ett viktigt verktyg för att säkerställa sekretessen för elektronisk kommunikation. Den skapar ett starkt skydd mot att någon annan än avsändaren och mottagaren, inklusive tjänsteleverantörer, får tillgång till innehållet i kommunikationen. Att motverka eller avskräcka användandet av end-to-end-kryptering skulle försvaga krypteringens roll i allmänhet och undergräva de europeiska medborgarnas grundläggande rättigheter menar EDPB och EDPS.
Wojciech Wiewiórowski, European Data Protection Supervisor, konstaterar också att åtgärder som på en allmän basis ger offentliga myndigheter tillgång till innehållet i privat kommunikation kränker rätten till privatliv. Han understryker att även om den teknik som används är begränsad till indikatorer, är de negativa konsekvenserna av att övervaka individuell text- och talkommunikation på allmän basis särskilt allvarliga och omöjliga att rättfärdiga enligt EU:s stadga om de grundläggande rättigheterna (EU:s grundlagsskydd för mänskliga rättigheter, reds. anm.)
Reaktioner från civilsamhället
Eurochild och ett 60-tal andra barnrättsorganisationer har undertecknat ett öppet brev där de välkomnar EU-kommissionens förslag. De skriver att mer än 62 procent av allt material om sexuella övergrepp mot barn på nätet finns på servrar i EU, men att de flesta av dessa bilder förblir dolda och, framför allt, inte rapporteras. De ser förslaget som ett viktigt steg för att se till att barn fritt kan vara nyfikna och utforska nätet på ett säkert sätt.
På den motsatta sidan i debatten menar man istället att om man bryter krypteringen för ett gott syfte, så öppnas bakdörrar i systemen som också kan utnyttjas för mer tveksamma syften. European Digital Rights (EDRi) anser att EU-kommissionens förslag skulle kunna tvinga företag att förvandla våra digitala enheter till potentiella spioneringsverktyg, vilket skulle öppna dörren för ett brett spektrum av auktoritära övervakningstaktiker. EDRi konstaterar att de största riskerna med förslaget kvarstår trots att det gjorts flera försök att förmildra de negativa konsekvenserna. EDRi anser att detta äventyrar journalister, visselblåsare, medborgarrättsförsvarare, advokater, läkare och andra som behöver skydda sekretessen för sin kommunikation.
EDRi skriver vidare att även om det finns vissa positiva aspekter i lagförslaget finns det flera bestämmelser som skulle göra det mycket svårt för privata företag att följa lagen. Tjänsteleverantörer och plattformsleverantörer måste till exempel vidta åtgärder för att minska risken för missbruk via sin plattform. Dessa kan emellertid tvingas att vidta ytterligare åtgärder om de inte i sin riskbedömning har visat att det inte längre finns någon risk för missbruk alls. Enligt EDRi är detta en omöjlig standard att uppfylla, vilket innebär att lagen sannolikt kommer att tvinga leverantörerna att genomföra så många ” förebyggande åtgärder” som möjligt på eget initiativ.
EU-kommisionens svar på kritiken
Den 7 augusti 2022 svarade EU-kommissionär Ylva Johansson på EDPB:s och EDPS kritik. Hon sade att det är angeläget att regelverket införs eftersom det har skett en chockerande ökning av sexuella övergrepp mot barn online och offline sedan Covid-pandemin. Hon anförde att EU-kommissionens förslag är väl genomtänkt, juridiskt välgrundat och absolut nödvändigt för att bekämpa det plågeri som sexuella övergrepp mot barn på Internet utgör.
EU-kommissionär Ylva Johansson sade att den nya lagen innehåller åtgärder för att förhindra ytterligare spridning av bilder och videoklipp av övergrepp. Hon betonade att detta kommer att skydda barn från ytterligare skada och göra det möjligt för tjänsteleverantörer att undvika krav på att införa spårningstekinik om de har en tillräckligt stark infrastruktur.
Ylva Johansson påpekade även att de brittiska myndigheterna GCHQ och National Cyber Security Center i juli 2022 publicerade ett dokument som förklarar hur material om sexuella övergrepp mot barn kan spåras på krypterade tjänster samtidigt som användarnas integritet skyddas.
Slutligen tillade Johansson att den föreslagna lagen syftar till att förhindra nya övergrepp, inte att bara upptäcka begångna brott. Lagens grundläggande syfte framhöll Johansson är att skydda barn från ytterligare spridning av bilder och videor och för att skydda barn från att hamna i händerna på förövare.
Sammanfattning
Spridningen av material om sexuella övergrepp mot barn har mycket skadliga konsekvenser. Samtidigt menar EDPB och EDPS i egenskap av expertmyndigheter att det finns en konflikt mellan att bekämpa spridningen av material om sexuella övergrepp mot barn på det sätt som EU-kommissionen föreslår och samtidigt skydda end-to-end-krypteringen och att hindra EU från att införa allmän övervakning av medborgarna.
Läs mer:
Forum för Dataskydds artikel den 5 augusti 2022 där vi sammanfattade lagförslaget
EU-kommissionens förslag den 11 maj 2022
EDPB och EDPS pressrelease om sitt gemensamma remissvar den 29 juli 2022
EDPB och EDPS gemensamma yttrandeden 29 juli 2022
Artikel på barnrättsorganisationen Eurochilds hemsida om ett öppet brev
European Digital Rights (EDRi)s inlägg den 11 maj 2022 på sin hemsida
EU-kommissionär Ylva Johanssons blogginlägg den 7 augusti 2022
Extra material för den som vill fördjupa sig:
Artikel i Euronews 11 maj 2022
Artikel i Ny teknik från den 22 april 2022
Blogginlägg på Antivirusföretaget Malwarebytes om scanning av barnporr på klientsidan:
EDPB och EDPS: Lagförslag mot barnpornografi är ogenomförbart och måste revideras
Författare: Kave Noori
European Data Protection Board (EDPB) och European Data Protection Supervisor (EDPS) har i ett gemensamt remissvar uttryckt sin oro över ett lagförslag för att förebygga och bekämpa material om sexuella övergrepp mot barn på nätet. De håller med om att det krävs åtgärder för att stoppa sådant material, men varnar för att generell automatisk scanning av privata meddelanden med AI är ineffektivt, otillförlitligt och i praktiken leder till massövervakning.
EDPS och EDPB varnar också för att en konsekvens av lagens genomförande kommer att bli att tjänsteleverantörer bryter end-to-end-kryptering, vilket skulle vara skadligt för onlinesäkerheten för de barn som lagen försöker skydda. Därför rekommenderar EDPB och EDPS att förslaget revideras.
Förslaget i korthet
Den 11 maj 2022 publicerade Europeiska kommissionen sitt förslag till EU-förordning om förebyggande och bekämpning av sexuella övergrepp mot barn. Förslaget innebär att en ny EU-myndighet inrättas, EU:s centrum för sexuella övergrepp mot barn, EU Centre on Child Sexual Abuse (EUCSA), som kommer att ha ett nära samarbete med polismyndigheten Europol. EU-centret kommer att ta emot uppgifter från tjänsteleverantörer, säkerställa att det faktiskt utgör misstänkt barnporr och vidarebefordra dem till Europol och nationella brottsbekämpande myndigheter.
EU-centret kommer att stöttas av samordnande myndigheter i varje medlemsstat. Samordningsmyndigheterna kommer att utgöra kontaktpunkten för offer och vara den instans som begär att en domstol i medlemsstaten ska förelägga en tjänsteleverantör att installera en viss teknik som upptäcker barnpornografi. Den samordnande myndigheten ska också kunna be en domstol att förelägga en internetleverantör att blockera tillgången till en viss webbadress.
En tjänsteleverantör kommer vara skyldig att göra egna riskbedömningar för att identifiera sannolikheten för att dess tjänster används för spridning av material om sexuella övergrepp mot barn. Leverantörer av hosting-tjänster (t.ex. webbhotell, Dropbox) och leverantörer av meddelandetjänster (t.ex. traditionella telefonsamtal, e-post, WhatsApp, chattar eller kommunikation i spel samt plattformar för delning av videor och bilder) kommer vara skyldiga att vidta åtgärder för att motverka att deras tjänster används för att sprida material som rör sexuella övergrepp mot barn.
Tjänsteleverantörer blir skyldiga att skanna innehållet i meddelanden och uppladdat material (bilder och videor), även om appen använder sig av end-to-end-kryptering. Användarnas kommunikation måste granskas i jakten på tre olika typer av olaglig information
- ”Känt material”, det vill säga bilder / videos som polisen redan stött på tidigare och vet att de cirkulerar på nätet.
- ”Nytt material” det vill säga bilder / videos som polisen inte har sett / identifierat tidigare
- Grooming-försök (När vuxna tar kontakt med barn i sexuellt syfte)
Det föreslagna EU-centret kommer att kostnadsfritt tillhandahålla den nödvändiga tekniken. Tjänsteleverantörerna kommer dock ha friheten att införa andra tekniska lösningar som gör samma saker, så länge den egna lösningen är effektiv.
Den föreslagna lagen inför också skyldigheter för så kallade app-butiker (till exempel Google Play och Appstore). App-butiker förväntas i ”rimlig” omfattning vidta åtgärder för att värdera risken för att specifika appar, kan komma att missbrukas av pedofiler som vill kontakta barn. Om app-butiken kommer fram till att en sådan risk existerar kommer den enligt förslagen att vara skyldig att genom tekniska åtgärder begränsa ett barns möjlighet att ladda ned appen. Det innebär också att app-butiken kan vara skyldig att införa extra åtgärder för att verifiera eller på annat sätt klassificera en specifik användares ålder, för att utröna om denne är ett barn.
Exempel
Anna chattar med en vän och skickar en bild via Whatsapp. Whatsapp har en skyldighet att skanna innehållet i filen. Annas bild måste först jämföras med en förteckning (t.ex. genom jämförelse av hashvärden*) över bilder eller videor som de brottsbekämpande myndigheterna redan har kännedom om att de utgör material som rör sexuella övergrepp mot barn.
För det andra måste Whatsapp också skanna bilden med en AI som avgör om bilden kan vara nytt material om sexuella övergrepp mot barn som ännu inte har kommit till myndigheternas kännedom. Om AI:n misstänker att bilden sannolikt utgör nytt material måste Whatsapp skicka en kopia av bilden till EU-centret, som granskar den och avgör om den potentiellt utgör material om sexuella övergrepp mot ett barn som måste rapporteras till polisen.
För det tredje kommer Whatsapp att vara skyldiga att analysera vad Anna och hennes vän pratar om för att motverka grooming-försök. Appen ska analysera om mönster i deras konversation följer mönstren för när en vuxen försöker kontakta ett barn i ett sexuellt syfte. Om AI:n anser att samtalet utgör ett potentiellt groomingförsök måste delar av samtalet också skickas till EU-centret för närmare granskning och bedömning. EDPS och EDPB:s gemensamma yttrande påpekar att ordalydelsen i den föreslagna lagen inte bara skulle innebära att skriftlig kommunikation skannas, utan att även röstsamtal i realtid kan övervakas enligt den föreslagna lagen.
Rättigheter för offer och sanktionsavgifter
Genom den föreslagna lagen kommer också barn som utsatts för sexuella övergrepp att ha vissa rättigheter. De kommer ha rätt att få information från EU-centret om ifall de förekommer i material som myndigheten har påträffat. Offren kommer också ha rätt att vända sig till tjänsteleverantörer för att få assistans med att få material om sig själva borttaget eller blockerat. Barn med funktionsnedsättning kommer också ha rätt att begära och få all information om dessa stöd på ett sätt som passar dem.
Reglerna för sanktioner på grund av överträdelser kommer fastställas av medlemsstaterna, sanktionsavgiften för ett enskilt regelbrott får inte överstiga 6 % av leverantörens årsinkomst eller totala omsättning från föregående år.
Avslutning
I den här artikeln har vi försökt ge en översikt över vad förslaget kommer innebära. De föreslagna metoderna för att bekämpa material om sexuella övergrepp mot barn är kraftfulla och ingripande. EDPB och EDPS anser dock att det finns allvarliga brister i förslaget som gör mer skada än nytta. I nästa veckas artikel redogör vi för hur EU-kommissionen motiverar sitt förslag och vad EDPB och EDPS invändningar går ut på och vad de menar måste revideras för att lagen ska vara genomförbar.
Förklaring av begrepp:
* Hashvärde – Hashing är en process varigenom en bild omvandlas till en serie bokstäver/siffror eller andra tecken som fungerar som ett “fingeravtryck” för bilden. Genom att jämföra hash-värdena för två bilder kan man avgöra om bilderna är identiska eller om de har ändrats på något sätt. Detta verktyg kan användas för att bekämpa spridningen av material om sexuella övergrepp mot barn eftersom den kan hjälpa till att identifiera och spåra bilder som har delats på nätet och kartlägga var bilderna delats.
Läs mer:
EDPB och EDPS pressmeddelande, 29 juli 2022 om deras gemensamma remissvar
Ramsomware-attacker utförs även för politiska syften
Författare: Kave Noori
I förra veckans artikel rapporterade Forum för Dataskydd att ransomware-attackerna mot hälso- och sjukvården samt utbildningsinstitutioner ökat massivt. Många drabbade organisationer frågar sig om de ska betala lösensummor för att få tillbaka sin data. I dagens uppföljande artikel tittar vi närmare på konsekvenserna av att betala lösensummor.
Vad är ransomware?
Ransomware är en typ av skadlig kod som hindrar eller begränsar användarna från att komma åt sitt system, antingen genom att låsa systemets skärm eller genom att kryptera systemets filer. En lösensumma krävs sedan för att användaren ska få tillgång till sitt system igen. Den vanligaste betalningsmetoden som angripare kräver är kryptovaluta, men andra metoder kan också användas, till exempel presentkort eller banköverföringar.
Därför ska du inte betala lösensummor
Det finns flera skäl till varför du inte bör betala för ransomware. För det första gör du det mer lönsamt för angriparna att fortsätta sina attacker. För det andra finns det inte några garantier för att du får tillbaka din data. Genom att betala lösensumman riskerar du för det tredje att göra det lättare för kriminella att fortlöpa med sin verksamhet.
Det finns också ett bättre sätt att få tillbaka sin data: No More Ransom är ett offentlig-privat initiativ som tillhandahåller gratis dekrypteringsverktyg och information om hur man undviker att bli infekterad av ransomware. Initiativet hade denna vecka enligt Europols pressmeddelande (26 juli 2022) sitt sexårsjubileum och har sedan starten hjälpt över 1.5 miljoner människor att framgångsrikt dekryptera sina enheter utan att betala brottslingar. Portalen finns tillgänglig på 37 språk.
Chainalysis rapport om brottsliga kryptotransaktioner
Chainalysis är ett företag som jobbar med digital forensisk analys av blockkedjetransaktioner. Företaget har utvecklat ett antal verktyg och tjänster för att hjälpa brottsbekämpande myndigheter, finansinstitut och företag att utreda och förebygga brott som involverar kryptovalutor.
Chainalysis har släppt sin rapport om kryptobrottslighet för 2022, som beskriver trenderna inom kryptorelaterad brottslighet. Enligt rapporten föredrar cyberbrottslingar att använda kryptovalutor för sina ransomware-attacker.
Brottslighet baserad på kryptovalutor nådde enligt rapporten en ny rekordnivå under 2021, med 14 miljarder dollar i olagliga transaktioner. Men den totala användningen av kryptovalutor ökade mycket snabbare än den kriminella verksamheten, mellan 2020 och 2021 ökade den totala transaktionsvolymen med 567 %. Detta innebär enligt rapporten att olaglig verksamhet nu utgör en mindre andel av den totala användningen av kryptovalutor än någonsin tidigare.
Trots att det ekonomiska värdet av olagliga transaktioner nådde sin högsta nivå någonsin, utgjorde transaktioner med plånboksadresser som förknippats med olaglig verksamhet endast 0,15 % av den totala transaktionsvolymen för kryptovalutorna år 2021. Samtidigt framhåller rapporten att de årliga trenderna tyder på att brottsligheten blir en allt mindre del av ekosystemet för kryptovalutor, med undantag för 2019. De brottsbekämpande myndigheternas förmåga att slåss mot kryptovalutabaserad brottslighet är också under ständig utveckling.
Ransomware-attacker med politiska motiv
De flesta attacker med ransomware är enligt rapporten finansiellt motiverade. Vissa attacker verkar dock enligt rapporten vara motiverade av geopolitiska mål och utförs av aktörer med nära koppling till främmande makt. Ransomware-attacker med geopolitiska motiv är mer inriktade på bedrägeri, spionage, sabotage, ryktesspridning och att störa en motståndares verksamhet.
Chainalysis-rapporten innehåller ett stapeldiagram över antalet varianter av ransomware med misstänkta kopplingar till specifika länder. Iran (21), Ryssland (16) och Kina (4) är de tre länder som har flest varianter, medan Nordkorea (2) har minst antal sådana. Många av de attacker med ransomware som tillskrivs Iran är enligt rapporten i själva verket motiverade av geopolitiska skäl. Dessa attacker används ofta för att störa verksamheter eller dölja spionage.
I Chainalysis-rapporten konstateras vidare att ransomware kan vara ett användbart verktyg för fientliga stater eftersom de är relativt billiga att utföra och ger angriparen möjligheten att på ett trovärdigt sätt förneka sin inblandning. Även attacker med ransomware som utförs helt utan ekonomiska motiv lämnar dock ett spår i blockkedjan, vilket enligt rapporten kan användas för att identifiera de personer som är inblandade i attackerna, vilka verktyg de använder och hur de tvättar eventuella intäkter.
Nordkoreas cyberarmé stjäl för att finansiera militär och kärnvapen
I förra veckans artikel stod det att sjukhus i USA har varit måltavlor för en aggressiv ransomware-kampanj från Nordkorea sedan 2021. Nordkorea storsatsar på att utbilda cybersolater som utför attacker för att öka inkomsterna till staten. På detta sätt har Nordkorea som litet land jämnat ut oddsen mot länder med större ekonomiska och militära muskler.
Det enda som krävs för att bli en cybermilitär stormakt är att man har tillgång till individer som är mycket duktiga på att hantera datorer. Hackerattacker har blivit ett sätt för Nordkorea att generera inkomster till statskassan. Landet använder cyberattacker för att kringgå internationella sanktioner och använder sedan intäkterna för att finansiera sin militär.
Enligt en grävande artikel i The New Yorker är Nordkoreas verksamhet för cyberbrott omfattande. Taktikerna sträcker sig från att stjäla från banker till användning av ransomware och stöld av kryptovalutor från digitala marknadsplatser.
Enligt artikeln har Nordkorea historiskt sett tjänat pengar på statssponsrad kriminell verksamhet genom smuggling, förfalskning, handel med utrotningshotade arter och tillverkning av olagliga droger. På senare år har landet flyttat sitt fokus till internet.
Staten investerar i högpresterande unga som kan bli duktiga programmerare
I de flesta länder utvecklar hackare sina färdigheter genom att experimentera med datorer hemma i tonåren. Så funkar det dock inte i ett land som Nordkorea med stark internetcensur där få familjer har en dator hemma. Hackare i Nordkorea tränas enligt artikeln på ett sätt som liknar hur olympiska idrottare tränades i det forna Sovjetblocket. De mest lovande eleverna uppmuntras att använda datorer i skolan, och de som utmärker sig i matematik skickas till specialiserade gymnasieskolor. Detta verkar vara en del av statens strategi för att utveckla sin kapacitet inom cyberbrottslighet.
Två lärosäten i Pyongyang, Kim Chaek University of Technology och Kim Il Sung University, fångar upp de mest begåvade tonåringarna från specialiserade gymnasieskolor för matematik och datorer. Dessa institutioner lär ut avancerade programmeringsfärdigheter och deras studenter överträffar ofta studenter från amerikanska och kinesiska högskolor i International Collegiate Programming Contest.
Nordkoreas ledare har enligt artikeln länge varit medvetna om potentialen hos cyberattacker. År 2005 sade Kim Jong Il att “om Internet är som en pistol, är cyberattacker som atombomber”. Hans son Kim Jong Un kom till makten 2012 och såg hur tekniken kan utnyttjas för ekonomisk vinning och konstaterade att hans cyberarmé skulle kunna “tränga igenom alla sanktioner”. Kim Jong Un har också uttalat att landets cyberförmåga, är ett “allsidigt svärd som garanterar det nordkoreanska folkets väpnade styrkor hänsynslös slagkraft, tillsammans med kärnvapen och missiler”. Det var först när Nordkoreas cyberstyrkor genomförde tre omfattande cyberattacker mellan år 2014 – 2017 som västvärlden började ta cyberhotet från Nordkorea på allvar.
Det är enligt artikeln svårt att bedöma hur framgångsrika de nordkoreanska hackarna varit. Nordkoreas regering förnekar sin inblandning i cyberattacker som experter tillskriver nordkoreanska hackare och ingen annan tar heller åt sig äran. FN:s expertpanel för sanktioner mot Nordkorea uppskattade dock år 2019 att landet hade kommit över 2 miljarder dollar genom sin cyberbrottslighet. En stor del av intäkterna från den nordkoreanska statens cyberbrottslighet används för att finansiera landets militära program, inklusive utvecklingen av kärnvapenmissiler. Det finns enligt artikeln gott om bevis för att de nordkoreanska hackarna både blivit mer uppfinningsrika och höjt tempot.
Slutsats
Ransomware-attacker blir allt vanligare och mer destruktiva, och ibland finns det alternativ till att betala lösensumman. Att betala lösensumman kan också orsaka skada. Ransomware-attacker kan även bero på vissa nationers politiska mål. USA har precis höjt belöningen för den som lämnar tips om medlemmar i nordkoreanskt sponsrade grupper av hackergrupper till 10 miljoner dollar.
Läs mer:
Europols pressmeddelande 26 juli 2022
Chainalysis 2022 Crypto Crime Report
Tips för vidare fördjupning
ZDNet publicerade en artikel den 5 juli 2022 om varför ransomware fortfarande är ett stort problem
Dataläcka hos Folkhälsomyndigheten – cyberattackerna mot vård och utbildning ökar
Författare: Kave Noori
Den 14 juli offentliggjorde Folkhälsomyndigheten (FHM) att de anmält misstänkt dataintrång till polisen och Integritetsskyddsmyndigheten. Myndigheten fick veta att uppgifter om 800 barn under 12 år som vaccinerats mot Covid-19 hade lagts upp på nätet. Folkhälsomyndigheten samarbetar med andra myndigheter och hanterar detta skyndsamt.
En DN-artikel daterad den 15 juli 2022 visar att det är oklart vem som äger webbplatsen, men att domänen registrerades i januari 2022. Alla artiklar på webbplatsen publicerades i juli och innehåller kritik mot covid19-vaccin. Nationellt IT-brottscentrum på Polisens Nationella operativa avdelning utreder den eventuella dataläckan. Chefen för Nationellt IT-brottscentrum, Patrick Cordner, säger till DN att läckan är mycket allvarlig. Han tilläger dock att polisen inte har någon juridisk möjlighet att blockera webbplatser som sprider personuppgifter, men att de kan be webbplatsoperatörer att ta bort dem från nätet.
I en uppföljande artikel den 16 juli 2022 skriver Dagens Nyheter att Folkhälsomyndigheten drabbades av en annan dataläcka för bara ett år sedan. DN intervjuar Anne-Marie Eklund Löwinder, IT-säkerhetsexpert, som anser att myndighetens information om det senaste dataintrånget är för otydligt och kortfattat. Hon menar att myndigheter har en skyldighet att vara mer transparenta om vad som hänt och vad som görs för att lösa problemet.
Den 19 juli 2022 tog DN återigen upp ämnet i en ledare och en nyhetsartikel. Enligt nyhetsartikeln misstänker Folkhälsomyndigheten att uppgifterna på webbplatsen i fråga har erhållits genom ett dataintrång i det nationella vaccinationsregistret. Polisen har fått namnet på en man som är kopplad till webbplatsen och utredningen pågår. Enligt artikeln har webbplatsägaren skrivit att vaccinationsinformationen hämtats från darknet. Sajten uppges endast vara tillgänglig för inbjudna. Personen eller gruppen bakom hävdar att den inte har hackat något system, utan att en “visselblåsare” på Folkhälsomyndigheten har lagt ut informationen på en rysk darknet-sajt.
Ledaren från DN-redaktionen har rubriken ”Vaccinläckan måste bli en varningsklocka”. DN-redaktionen anser att bristande informationssäkerhet inte är ett problem som är isolerat till enskilda myndigheter. I ledaren framförs det att problemet är utbrett i svensk offentlig sektor, såväl inom staten som kommunsektorn. Enligt ledaren kommer det bli dyrt att satsa på ökad säkerhet, men att kostnaden för potentiella läckor är större. I ledaren framförs även en uppmaning till politikerna:
”Nästa regering måste sätta it-säkerhetsfrågor högt på dagordningen. Risken för cyberattacker kommer inte att minska framöver – både kriminella och främmande makter som Ryssland och Kina kommer att fortsätta använda det som ett sätt att tjäna pengar, använda känsliga uppgifter för utpressning och främja sina politiska agendor.”
Ransomware är det största hotet – explosiv ökning av attacker mot vård och utbildning
Dataläckor är oroväckande, särskilt inom hälso- och sjukvården, men de utgör inte det största cyberhotet. Enligt Europeiska unionens byrå för cybersäkerhet (Enisa)s årliga rapport om hotlandskapet 2020–2021, är ransomware det största hotet. Den brittiska tidningen The Guardian rapporterar att sjukhus i USA har varit måltavlor för en aggressiv ransomware-kampanj från Nordkorea sedan 2021. Dataintrång i form av ransomware kan vara särskilt förödande inom hälso- och sjukvården, då även några minuters stopp i systemen kan få dödliga konsekvenser. I artikeln kan man läsa att antalet ransomware-attacker mot sjukvårdsorganisationer både ökat i antal och blivit mer sofistikerade. Mellan 2021 och 2022 ökade antalet ransomware attacker med 94 %, enligt en rapport från cybersäkerhetsföretaget Sophos.
Detta har enligt the Guardian lett till betydande störningar för vården, inklusive att ambulanser omdirigeras och att vårdbehandlingar behövt senareläggas. Artikeln nämner också att en ransomware attack fick mycket allvarliga konsekvenser i ett sjukdomsfall med en baby. Hackare har enligt artikeln riktat in sig på vården eftersom de tror att det finns en hög betalningsvilja i denna sektor.
Computer Sweden rapporterar samtidigt att vården blivit något bättre på att återhämta sig från cyberattacker. 78 % av de tillfrågade organisationerna ska ha någon form av cyberförsäkring för att hantera sådana attacker. I 97 % av fallen ska det finnas försäkringar som täcker en del av de kostnader som uppstår till följd av en ransomware-attack.
Samtidigt rapporterar ZDNet att även utbildningssektorn är hårt drabbad av ransomware-attacker. Utbildningsanordnare har ofta svag cybersäkerhet och de blir därför enkla måltavlor. I många fall slutar det med att offren betalar en lösensumma, i genomsnitt uppgår lösensumman till 19,7 miljoner kronor (1,97 miljoner dollar). När data krypteras har utbildningsanordnare svårt att undervisa eller bedriva forskning. Om man vägrar att betala riskerar man också att de cyberkriminella offentliggör de stulna uppgifterna. Trots varningar om att betalning av lösensumman bara uppmuntrar till fler attacker är det många offer som betalar. Enligt artikeln brukar den som betalar lösensumman i de flesta fall få tillbaka 61 % av all stulen data.
Avslutning
I DN:s ledare nämns att känsliga uppgifter kan användas för utpressning och för att främja politiska agendor. När uppgifter om en politiker eller en högt uppsatt tjänsteman läcker ut kan det skapa sårbarheter som kan utnyttjas av främmande makt. Om exempelvis privat korrespondens, hälsouppgifter eller ekonomisk information läcker ut kan det användas för att utpressa personen. Den här typen av dataläckage kan få allvarliga konsekvenser för den nationella säkerheten, eftersom den kan ge en utländsk aktör en hållhake på viktiga beslutsfattare. År 2020 omfattade en dataläcka från en finsk samtalsterapi-app, exempelvis även en parlamentsledamot.
Ett annat exempel som illustrerar sprängkraften i känsliga uppgifter är ett avslöjande från 2013. Enligt en artikel i Huffpost har USAs signalspaningsmyndighet NSA intresserat sig för och kartlagt potentiellt radikaliserade muslimers porrsurfande. Syftet har varit att kunna läcka information som allvarligt skadar deras trovärdighet om de skulle utgöra ett hot mot USA.
Läs mer:
Folkhälsomyndighetens pressmeddelande, 14 juli 2022
Europeiska unionens byrå för cybersäkerhet (Enisa)s rapport om hotlandskapet 2021
Artikel i The Guardian, 14 juli 2022 om att ransomware-attackerna mot sjukvården ökar
Artikel i Computer Sweden 5 juni 2022 om ökade ramsomware attackare mot sjukvården
Artikel i ZDNet 12 juli 2022 om att ransomware-attackerna mot utbildningssektorn ökar
SVT nyhet 28 oktober 2020 om finländska samtalsterapi-appen
Artikel i Huffpost 26 november 2013 om NSAs intresse för radikaliserade personers porrsurfande
Nederländsk underrättelsetjänst tvingas radera enorma mängder olaglig data
Författare: Kave Noori
Den nederländska kommissionen för tillsyn av underrättelse- och säkerhetstjänsterna, Commissie van Toezicht op de Inlichtingen- en Veiligheidsdiensten (CTIVD), har fattat ett med svenska mått sällsynt beslut. Ett klagomål från den ideella organisationen Bits of Freedom ledde till att tillsynsmyndigheten CTIVD beordrade underrättelsemyndigheterna AIVD och MIVD att radera enorma samlingar underrättelseinformation som inhämtats. Beslutet om klagomålet offentliggjordes den 15 juni 2022.
Vad är AIVD och MIVD?
Den nederländska Allmänna underrättelse- och säkerhetstjänsten, Algemene Inlichtingen- en Veiligheidsdienst (AIVD), fokuserar på att motverka terrorism, spionage, extremism och spridning av massförstörelsevapen. AIVD ger också råd till den nederländska migrationsmyndigheten om utländska personer som anses utgöra en risk för den nationella säkerheten. AIVDs ansvarsområden påminner om den svenska Säkerhetspolisens (SÄPOs) uppdrag, men AIVD är ingen polismyndighet, myndighetens personal får inte gripa personer eller använda våld.
Den nederländska militära underrättelse- och säkerhetstjänsten, Militaire Inlichtingen- en Veiligheidsdienst (MIVD), har enligt en animerad informationsvideo (nederländska) på sin webbplats, i uppdrag att tillhandahålla underrättelseinformation till militära och politiska ledare i Nederländerna. Myndigheten är verksam både i Nederländerna och utomlands i konfliktområden och beskriver sig själva som de nederländska beslutfattarnas “ögon och öron” i en kaotisk och komplex värld.
AIVD och MIVD har befogenhet att hacka sig in i datorer och andra digitala enheter för att samla in information till sina utredningar. Enligt AIVDs hemsida (nederländska) kan detta inbegripa att de skaffar sig tillgång till servrar eller enheter som tillhör någon annan än den myndigheten egentligen intresserar sig för. De får också avlyssna samtal eller observera människor genom att aktivera en digital enhets mikrofon och/eller kamera, men behöver separat tillstånd för det.
Om myndigheterna upptäcker okända sårbarheter i sitt sökande efter en ingång till en dator eller server kan de välja att inte rapportera säkerhetshålet till Nederländernas nationella cybersäkerhetscenter om det anses nödvändigt för den nationella säkerheten.
AIVD och MIVD får sina rättsliga befogenheter från lagen om underrättelse- och säkerhetstjänster från 2017 (Wet op de inlichtingen- en veiligheidsdiensten 2017). CTIVD har befogenhet att utreda om underrättelsemyndigheternas agerande är lagligt. CTIVD har två avdelningar: en som granskar deras åtgärder på eget initiativ (tillsynsavdelningen) och en som behandlar klagomål (klagomålsavdelningen). Tillsynsavdelningen kan endast lämna rekommendationer till ministern, medan besluten från avdelningen för klagomålshantering är bindande.
Klagomålet
Den 7 juli 2021 lämnade Bits of Freedom (BoF) in ett klagomål till CTIVD:s avdelning för klagomålshantering, där de hävdade att AIVD och MIVD överskred tidsperioden som de lagligen fick behålla fem gigantiska uppgiftsamlingar (dataset) med underrättelseinformation. Klagomålet gällde fem dataset som identifierades i en rapport från CTIVD 2020.
År 2020 publicerade CTIVD:s tillsynsavdelning rapport nr 70 (engelsk version). I denna rapport rådde tillsynsorganet AIVD och MIVD att radera vissa gigantiska dataset som samlats in med hjälp av myndigheternas hackningsbefogenhet. Tillsynsavdelningen medger dock i sitt beslut att det kan finnas användbara uppgifter för att utföra AIVD:s och MIVD:s uppdrag bland dessa gigantiska dataset. CTIVD:s tillsynsavdelning kan endast lämna rådgivande rekommendationer till ministrarna. Ministrarna beslutade i slutändan att inte följa tillsynsavdelningens råd i rapport 70.
BoF ansåg i sitt klagomål att bevarandet av de fem gigantiska dataseten utgör ett stort intrång i många personers privatliv, och enligt nederländsk lag måste dessa uppgifter förstöras efter högst ett och ett halvt år. BoF ville att myndigheterna skulle följa lagen och radera dessa uppgifter. BoF klagade också över det sätt på vilket BoF antog att AIVD och MIVD delade dessa uppgifter med utländska underrättelsetjänster.
CTIVD konstaterar att den nederländska underrättelselagen inte specificerar hur man ska bedöma insamlade uppgifters relevans, men inrikesministern och försvarsministern ansåg att det var möjligt att betrakta ett gigtantiskt dataset i sin helhet som relevant att behålla. CTIVD:s tillsynsavdelning klargör att lagen inte ger utrymme att klassa ett helt dataset som “relevant”. Detta beror på att ett gigantiskt dataset utan gallring också innehåller information som inte är viktig för underrättelsetjänsternas arbete.
Den nederländska regeringen antog en tidsbegränsad förordning som trädde i kraft den 6 november 2020. Enligt förordningen får AIVD och MIVD lagra och använda uppgifter längre än ett och ett halvt år som lagen föreskriver. Förordningen gäller för alla gigantiska dataset, inklusive de fem dataset som BOFs klagomål gäller.
CTIVD’s beslut
Avdelningen för klagomålshantering beslutade att
- De fem dataseten inte i sin helhet kan klassas som “relevanta” för fortsatt lagring utan gallring. Detta beror på att dataseten innehåller enorma mängder uppgifter rörande personer som inte är och aldrig kommer att bli relevanta för AIVD:s och MIVD:s utredningar. Den maximala tidsfristen på ett och ett halvt år i lagen har enligt CTIVD överskridits, så AIVD och MIVD får inte längre lagra dessa fem stora dataset utan att rensa bort irrelevanta uppgifter.
- AIVD och MIVD har tillämpat den tillfälliga förordningen på ett sätt som inte var förenligt med lagen. I sina överväganden har AIVD och MIVD inte tillräckligt väl beskrivit varför de insamlade dataseten fortfarande är viktiga för deras arbete. Avdelningen för klagomålshantering uppger samtidigt i sitt beslut att den förstår att de fem stora dataseten är viktiga för att skydda Nederländerna, men att ett och ett halvt år är den maximala tidsfrist som anges i lagen och som måste följas. CTVID noterar i sammanhanget att ministrarna inte bad parlamentet om en förlängning av denna tidsfrist, trots att CTIVD:s tillsynsavdelning tidigare fastställt att det är olagligt att klassa ett gigantiskt dataset i sin helhet som “relevant” att bevara.
- Att de fem stora dataseten måste förstöras, eftersom de har bevarats längre än den maximalt tillåtna tiden på ett och ett halvt år. Besluten från avdelningen för klagomålshantering är bindande, så inrikes- och försvarsministrarna måste förstöra dataseten och informera avdelningen om hur och när de gjorde det.
- AIVD och MIVD har inte delat omfattande dataset med utländska underrättelsetjänster sedan offentliggörandet av tillsynsavdelningens rapport nr 70. Därför avstår avdelningen för klagomålshantering från att fatta beslut om denna del av klagomålet.
Avslutning
Artikelförfattaren känner inte till att några liknande eller motsvarande beslut ska ha fattats i Sverige.
I Sverige kontrollerar Integritetsskyddsmyndigheten (IMY) behandlingen av uppgifter vid Försvarets radioanstalt (FRA) och Säkerhetspolisen (SÄPO). FRA behöver också tillstånd från Försvarsunderrättelsedomstolen för att bedriva signalspaning, och de har Statens inspektion för försvarsunderrättelseverksamheten (SIUN) som ytterligare tillsynsmyndighet.
En sökning på IMY:s webbplats visade inte på några fall där IMY beordrat FRA eller SÄPO att radera stora datamängder. Försvarsunderrättelsedomstolen eller SIUN verkar inte publicera enskilda beslut på sina hemsidor.
Läs mer:
CTIVDs engelskspråkiga nyhet med länk till en engelsk sammanfattning av beslutet
Den nederländska lagen om underrättelse- och säkerhetstjänsterna som antogs år 2017 (nederländska)
Beskrivning av CTIVDs klagomålsprocedur (engelska)
Bits of Freedom välkomnar CTIVDs beslut i ett uttalande (engelska)
