Europarådet utarbetar internationell konvention om artificiell intelligens
Författare: Kave Noori
Forum för Dataskydd har gjort en intervju med Jan Kleijssen, chef för avdelningen för informationssamhället och brottsförebyggande arbete vid Europarådet. Följ med oss på en spännande resa som ger en inblick i hur europeiska toppdiplomater just nu förhandlar fram den första bindande internationella konventionen om artificiell intelligens (AI).
Europarådet är en viktig internationell organisation. Sverige är medlemsland i Europarådet tillsammans med 45 andra länder. Europarådets mål är att främja och försvara mänskliga rättigheter, demokrati samt rättsstatsprincipen. Europadomstolen för mänskliga rättigheter som skyddar de mänskliga rättigheterna för alla i Europa, är ett organ inom Europarådet. Många tror att Europarådet är en del av Europeiska unionen, men det stämmer inte.
Europarådet har en lång historia av att reglera teknik
När jag frågar Jan varför Europarådet vill reglera artificiell intelligens (AI) förklarar han att Europarådet har en lång tradition av att hantera teknik och mänskliga rättigheter. Jan upplyser om att Europarådet för 41 år sedan antog konvention 108, världens första internationella fördrag om dataskydd. För 21 år sedan antogs den första konventionen mot cyberbrottslighet, Budapestkonventionen. Jan förklarar att Budapestkonventionen är undertecknad av 66 stater och att konventionen tillämpas i 130 länder i hela världen. Han nämner också att USA har undertecknat och ratificerat konventionen. Den nuvarande kommittén för artificiell intelligens inrättades för att fortsätta arbetet med reglering av teknik och mänskliga rättigheter.
Europarådet har enligt Jan varit engagerat i Internetförvaltning (Internet governance) i många år. Europarådet har avtal med många privata företag, inklusive alla stora amerikanska företag förutom Twitter. De har också avtal med mindre europeiska företag, telekommunikationsföretag och aktörer som IEEE och ISO. Dessa avtal säkerställer att elektronisk utrustning följer specifika standarder.
Europarådets färd mot att reglera artificiell intelligens
För fyra år sedan stod det klart att artificiell intelligens användes allt mer av regeringar och att detta potentiellt skulle kunna leda till konsekvenser för de mänskliga rättigheterna, säger Jan. En så kallad ad hoc-kommitté inrättades. Den kallades för Ad hoc-kommittén för artificiell intelligens (CAHAI). Han förklarar att ad hoc-kommittéer är tillfälliga och endast behandlar specifika frågor. Uppgiften var att undersöka om det behövdes ny lagstiftning för att hantera användningen av artificiell intelligens. Om svaret var “ja” skulle nästa steg bli att ta reda på vilka typer av frågor som skulle behandlas i ett nytt fördrag.
Jan delar med sig av att CAHAI enhälligt beslutade att det behövs nya regler för artificiell intelligens. Kommittén bestod av företrädare för 47 regeringar samt fem observatörer Förenta staterna, Kanada, Mexiko, Japan och Heliga stolen (Vatikanstaten) samt Israels regering. Kommittén drog slutsatsen att befintliga fördrag (Konvention 108+, Budapestkonventionen och Europakonventionen om mänskliga rättigheter) täcker vissa områden av AI, men att det fortfarande finns stora luckor. Kommittén lade fram en rapport i slutet av 2021 med förslag på vad en AI-konvention bör innehålla.
Europarådets ministerkommitté, som är Europarådets beslutande organ, har ersatt CAHAI med en ny permanent kommitté, Committe on Artificial Intelligence (CAI). Den nya kommittén höll sitt första möte den 4-6 april 2022 och förväntas behandla AI-frågor på en permanent basis.
Den 20 maj 2022 enades ministerkommittén om att Europarådet bör införa ett nytt rättsligt bindande instrument, ett generellt fördrag (i motsats till ett sektorspecifikt fördrag, reds. anm.) om artificiell intelligens.
Jan berättar att Ministerkommittén beslutade att det kommande fördraget om artificiell intelligens bör vara öppet för ratificering av icke-medlemsstater, vara inriktat på allmänna principer och främja innovation. Ministrarna har gett sina ständiga representanter (som träffas en gång i veckan och har full befogenhet att besluta på ministerkommitténs vägnar i alla frågor som ministerkommittén kan besluta om, reds. anm.) i uppdrag att påskynda processen att utarbeta ett fördrag om artificiell intelligens, med hänsyn till andra befintliga och planerade internationella rättsliga regelverk för artificiell intelligens.
Enligt Jan kommer CAI huvudsakligen att förhandla fram den juridiska text som ska utgöra det bindande fördraget om artificiell intelligens. Med ett sådant fördrag kan man säkerställa att regeringarnas användning av artificiell intelligens sker på ett ansvarsfullt sätt och med respekt för medborgarnas mänskliga rättigheter.
Varför Europa är i akut behov av ett fördrag om artificiell intelligens
Jan börjar med att klargöra att just denna konvention inte kommer fokusera på att reglera artificiell intelligens som teknisk lösning. Konventionen ska främst reglera myndigheternas användning av artificiell intelligens. Vidare säger han att det pågår en diskussion om huruvida vissa användningsområden för AI, såsom identifiering av en persons känsloläge eller social poängsättning, bör förbjudas helt och hållet. Vissa medlemsstater vill ha mycket strikta regler för ansiktsigenkänning, medan andra vill förbjuda det helt och hållet. Jan förespråkar att AI-fördragets rättssäkerhetsgarantier bör likna det rättsliga förfarandet med krav på domstolstillstånd för att avlyssna telefoner.
Jan tar själv upp att den stora skandalen i Europa i år är den nederländska skattemyndighetens användning av en algoritm som ledde myndigheten till att fatta väldigt många diskriminerande beslut. Forum för Dataskydd rapporterade i december 2021 att det nederländska Skatteverket krävde tillbaka pengar från människor som algoritmen felaktigt klassat som bidragsfuskare.
Jan förklarar att nederländska Skatteverkets agerande påverkade tusentals människor. Detta resulterade i stora svårigheter, vissa människor begick självmord och 1 600 barn togs ifrån sina familjer. Regeringen föll till slut till följd av skandalen. Allt är fortfarande inte löst. Barnen är fortfarande inte tillbaka och många drabbade driver fortfarande rättsprocesser mot den nederländska regeringen.
Jan hänvisar också till en rapport från Venedigkommissionen. Han förklarar att Venedigkommissionen är ett organ inom Europarådet som består av konstitutionella experter som ger regeringar råd i grundläggande frågor som rör rättsstaten. Det nederländska parlamentet bad kommissionen om ett yttrande om skandalen med barnomsorgsbidraget. I december 2021 antog Venedigkommissionen en rapport om skandalen med barnomsorgsbidrag i Nederländerna. I rapporten konstaterades bristen på AI-styrning i Nederländerna, i rapporten konstaterades dessutom att det som gick fel i Nederländerna lätt kan hända i andra länder.
Jan anser att det bör finnas ett system för AI-styrning (AI-governance), med rättsliga garantier från regeringarna för att säkerställa att användningen av AI-system blir korrekt. Om något går fel bör det finnas mekanismer för att se till att det finns möjligheter till rättslig prövning. Jan anser att enskilda personer bör ha tillgång till rättslig prövning och att det även bör finnas oberoende myndigheter som övervakar AI-systemet. Jan säger att tidsfristen för att färdigställa det nya AI-fördraget är november 2023. Då bör fördraget vara färdigställt och vara redo att ratificeras av de nationella parlamenten. Om medlemsländerna vill göra ändringar har de ett och ett halvt år på sig att ta upp detta i CAI-förhandlingarna. Jan medger att detta är en mycket ambitiös tidsplan.
Fortsättningsvis beskriver Jan att det är bråttom att få till stånd ett AI-fördrag eftersom regeringar redan har infört AI på olika områden. Han tar upp den tidigare nämnda skandalen i Nederländerna och en utbildningsskandal i Storbritannien som exempel på varför åtgärder behövs.
Jan berättar att Storbritannien försökte använda ett AI-system för att beräkna avgångsbetyg från gymnasiet (som skulle användas för att fördela utbildningsplatser på högskola och universitet reds. anm.), men det blev en fullständig katastrof. Systemet var partiskt och tog även hänsyn till efternamn och adresser, vilket orsakade en hel del problem. Sveriges Radio har också rapporterat om händelsen i Storbritannien.
Det föreslagna fördraget kommer enligt Jan inte att täcka alla detaljer, men det kommer att ge regeringarna en ram att följa.
Sammanfattningsvis har Europarådet en lång historia av reglering av artificiell intelligens och arbetar för närvarande med en uppsättning regler för att förhindra negativa konsekvenser som kan uppstå vid storskaliga tillämpningar av artificiell intelligens. I nästa veckas artikel kommer vi att höra vad Europarådet planerar att inkludera i konventionen.
Jan Kleijssen är direktör för informationssamhället och åtgärder mot brottslighet vid Europarådet och är en stark förespråkare för ett Europa utan splittring. Han har över 39 års erfarenhet av Europarådet inom olika sektorer, bland annat inom rättsväsendet, parlamentet och mellanstatliga relationer. Jan Kleijssens direktorat har 200 anställda och ansvarar för ett brett spektrum av verksamheter, bland annat yttrandefrihet, dataskydd, artificiell intelligens, förvaltning av Internet, cyberbrottslighet, terrorism, straffrätt, kriminalvård, fängelseförvaltning, bekämpning av korruption och penningtvätt.
Jan har en masterexamen i internationell rätt och internationella frågor och fullgjorde militärtjänstgöring som officer i den kungliga nederländska flottan. Jan talar flytande nederländska, engelska, franska, tyska och italienska.
Läs mer:
Hemsida för CAI (Committe on Aritifical Intelligence)
Hemsida för CAHAI (första kommittén om AI)
Kommittén som utgör ministrarnas ständiga representanter
CAHAIs rekommendationer om vad en AI-konvention skulle kunna innehålla
Nyhetsartiklar om Betygsfiaskot i Storbritannien
Storbritanniens regering tvingas backa om skolbetyg
The UK exam debacle reminds us that algorithms can´t fix broken systems
Who won and who lost: when A-levels meet the algorithm
Why did the A-level algorithm say no?
UK ditches exam results generated by biased algorithm after student protests
Exams fiasco: Ofqual chief claims Gavin Williamson ignored its advice
Kamp mot desinformation, Deep fakes, manipulation: Europas privata sektor uppdaterar uppförandekod
Den privata sektorn i Europa har uppdaterat sin uppförandekod mot desinformation. Koden har även stöd från Europeiska kommissionen. Koden har främst uppdaterats på grund av ökad oro för det ökade missbruket av deep fakes och Rysslands tilltagande spridning av desinformation efter invasionen av Ukraina.
Nyckelaktörer samverkar för ett tryggt internet
I ett pressmeddelande publicerat den 16 juni välkomnade Europeiska kommissionen offentliggörandet av förbättringar i uppförandekoden om desinformation. Koden, som först publicerades 2018, innehåller omfattande och specifika åtaganden från plattformar och internetföretag där de åtar sig att bekämpa desinformation. Detta är ytterligare ett viktigt steg mot en mer öppen, säker och pålitlig onlinemiljö.
Deep fakes är videor eller bilder som har manipulerats med AI-verktyg. De kan missbrukas av någon som vill utge sig för att vara en annan person. Man kan till exempel ta en offentligt tillgänglig video av en kändis och ersätta kändisens ansikte med någon annans och säga kontroversiella saker. Det verkar som om vi ännu inte nått en punkt där vem som helst kan skapa deep fakes som är omöjliga att skilja från autentiska videos. När tekniken blir tillräckligt bra och om den då även blir brett tillgänglig, kan samhället stå inför ett stort problem. Människor kan komma att bli misstänksamma mot all form av digital information.
Privata företag och föreningar utformar sina egna spelregler
Uppförandekoden skrevs av privata sektorn, av teknikföretag, organisationer i det civila samhället och företag som arbetar med digital reklam. Det är frivilligt att underteckna överenskommelsen, men om man skriver under kommer man bli juridiskt bunden att följa den. Detta beror på rättsakten om digitala tjänster (Digital Service Act, DSA), som säger att företag som har undertecknat koden måste följa den.
Europeiska kommissionen säger att de organisationer som undertecknat 2018 års uppförandekod om desinformation har följt kommissionens vägledning som offentliggjordes i maj 2021 och har gjort förbättringar för att motverka spridningen av desinformation på nätet. De har också lärt sig av COVID19-krisen och Rysslands attack mot Ukraina. Den uppdaterade uppförandekoden är utformad för att minska desinformationens negativa inverkan på samhället, enligt Europeiska kommissionen.
Organisationerna som undertecknat överenskommelsen gav tre aktörer i uppdrag att leda arbetet med att se över och förhandla revideringen av uppförandekoden. Revideringen har letts av konsultbolaget Valdani, Vicari and Associates (VVA) en oberoende konsult och Oreste Pollicino, professor i konstitutionell rätt vid Bocconi University, som haft rollen som opartisk medlare.
EU-kommissionen ger sitt aktiva stöd
Den nya koden mot desinformation kommer att göra det lättare för forskare att få tillgång till plattformsdata och göra att innehållskapare får mindre reklamintäkter om de delar falsk information. Vára Jourová, Europeiska kommissionens vice ordförande med ansvar för värderingar och öppenhet, sade att överenskommelsen kommer att bidra till att minska spridningen av desinformation från Ryssland och att minska andra attacker mot demokratin.
Thierry Breton, EU-kommissionär med ansvar för den inre marknaden, sade att desinformation är en form av invasion av nätet. Han efterlyser hårdare tag från plattformarna i denna fråga, eftersom det inte är acceptabelt att någon tjänar pengar på att sprida desinformation. Den nya uppförandekoden, som understöds av DSA, innehåller hårda sanktioner för plattformar som bryter mot den. EU-kommissionär Breton har varnat för att mycket stora plattformar som inte vidtar lämpliga åtgärder för att stoppa spridningen av ”desinformation” kan få straffavgifter motsvarande upp till 6 procent av sin globala omsättning.
I pressmeddelandet diskuterar EU-kommissionen hur koden, tillsammans med den nya rättsakten om digitala tjänster (DSA) och kommande lagstiftning om öppenhet och inriktning av politisk reklam, kommer att bidra till att bekämpa spridningen av desinformation i EU. Bland de 34 undertecknarna finns stora onlineplattformar, annonsteknikföretag, faktagranskare och organisationer i det civila samhället.
Uppförandekoden ska bland annat motverka spridandet av desinformation
Den förbättrade uppförandekoden om desinformation syftar till att avhjälpa bristerna i den tidigare koden, med starkare och mer detaljerade åtaganden och åtgärder.
Den nya uppförandekoden mot desinformation innehåller skyldigheter för undertecknarna att
1) Bredda deltagandet.
2) Minska de ekonomiska incitamenten för spridning av desinformation. Detta omfattar även att förhindra att de som sprider desinformation får ta del av reklamintäkter.
3) Ta itu med nya manipulativa beteenden, såsom att skapa falska konton, robotar eller skadliga ”deep fakes” som sprider desinformation.
4) Ge användarna bättre verktyg för att identifiera, förstå och rapportera desinformation.
5) Utöka faktagranskningen i alla länder och på alla språk, samtidigt som man ser till att faktagranskarna får rättvis ersättning för sitt arbete.
6) Säkerställa öppenhet gällande politisk reklam genom att göra det enkelt för användarna att identifiera politiska annonser genom förbättrad märkning och information om sponsorer, utgifter och annonsens varaktighet.
7) Stödja forskare genom att ge dem bättre tillgång till data.
8) Utvärdera sin egen inverkan genom ett starkt ramverk för övervakning.
9) Inrätta ett centrum för transparensfrågor och en arbetsgrupp för att övervaka genomförandet av koden.
De som undertecknat den reviderade uppförandekoden om desinformation har nu sex månader på sig att genomföra den. Kommissionen kommer regelbundet att utvärdera de framsteg som gjorts i genomförandet av koden baserat på rapporter från undertecknarna. Arbetsgruppen som inrättats kommer att sammanträda var sjätte månad för att övervaka och anpassa skyldigheterna med hänsyn till den tekniska, samhälleliga, marknadsmässiga och juridiska utvecklingen.
Läs mer :
Europeiska kommissionens pressmeddelande den 16 juni 2022 på svenska:
Europeiska kommissionens pressmeddelande den 16 juni 2022 på engelska:
Utpressningstrojanerna och demokratin
I del 2 av vår serie om cybersäkerhet tar vi en titt på det ökande hotet från ransomeware-attacker. Dessa attacker har riktats mot hela nationalstater och har till och med kallats ett hot mot demokratin. Så hur ska vi hantera ransomware? Ska man betala begärda lösensummor?
Trendspaning: Costa Ricas regering drabbas av en aggressiv utpressningsgrupp
Den 24 maj rapporterade irländska Silicon Republic att Costa Ricas regering angripits av utpressningsgruppen Conti sedan mitten av april och utlyste nationellt nödläge den 8 maj. Utpressningsgruppen har påverkat landets utrikeshandel genom att störa landets tull- och skattessystem. President Rodrigo Chaves sade den 16 maj att Costa Rica är “i krig” med Conti-gruppen.
Cyberattacken mot Costa Ricas regering hade då påverkat 27 myndigheter, varav nio i betydande omfattning. Regeringen varnade statsanställda för att de inte skulle få sin lön utbetalad i tid. Angriparna krävde först 10 miljoner dollar, men höjde senare sitt krav till en lösensumma på 20 miljoner dollar för att avbryta attackerna.
I artikeln står det att ransomware-gruppen Conti hotar med att offentliggöra privat information om medborgare och störta Costa Ricas regering om inte lösensumman betalas. Gruppen hade redan lagt ut 600 GB myndighetsdata på nätet och bad medborgarna att uppmana sin regering att betala lösensumman. Conti hotade med att radera ransomeware-virusets dekrypteringsnycklar om lösensumman inte betalas.
Enligt artikeln har Conti kunnat göra stor skada i Costa Rica. En intervjuad expert, som är vd för cybersäkerhetsplattformen Defense.com, säger att gruppen kunde attackera allt från sjukvård till utrikeshandel. Enligt artikeln bör attacken ses som en påminnelse om hur stor skada en cyberattack kan orsaka.
En annan expert som intervjuades i artikeln som är teknikchef för ett nystartat cybersäkerhetsföretag, sa att gruppens hot om att störta regeringen höjer riskerna med utpressningstrojaner till nya nivåer. Han sade att ransomware-aktörer nu hotar staters suveränitet och åsidosätter den fria viljan hos dessa länders medborgare.
Vissa experter anser att det bästa sättet att hantera cyberattacker som den i Costa Rica är genom en identitetsbaserad strategi. Enligt en ytterligare expert som intervjuades i artikeln är en kombination av identitetsprinciper med säkerhet för dataåtkomst med minsta privilegier nyckeln till att mildra hoten genom att se till att användare eller botar som inte uppfyller de rätta parametrarna blockeras och rapporteras omedelbart.
En ny våg av attacker, denna gång mot Costa Ricas sjukvård
Wired rapporterade den 12 juni 2022 att Costa Ricas socialförsäkringsfond (CCSS) den 31 maj 2022 attackerades av ett nytt ransomware-virus som orsakade stora störningar. Sjukvårdssystem gick offline, skrivare började spotta ur sig rappakalja och patienter drabbades av förseningar i vården. CCSS varnade föräldrar för att de kunde få problem med att hitta sina barn som genomgått en operation. Sjukvården var också tvungen att börja använda föråldrade pappersformulär som inte längre användes. Attacken har tillskrivits ransomware-gruppen Hive som enligt artikeln anses ha vissa kopplingar till Conti.
Den 3 juni deklarerade CCSS ett “institutionellt nödläge” enligt artikeln, 759 av 1 500 servrar och 10 400 datorer var drabbade samt 34 677 vårdmöten som sköts upp. CCSS uppgav att sjukhus- och akutmottagningar fungerade normalt, men att vissa tjänster som medicinsk röntgen, apotek, testlaboratorier och operationssalar drabbades av störningar.
Enligt artikeln i Wired finns det tvivel om huruvida de två senaste angreppen av utpressningstrojaner mot Costa Rica är kopplade till varandra. Artikeln antyder dock att ryskkopplade gäng har ändrat sin taktik under de senaste veckorna för att undvika amerikanska sanktioner. Artikeln i Wired tar också upp Contis ransomware-attacker mot Costa Ricas regering där angriparen krävde 20 miljoner dollar som lösensumma, och när ingen betalning gjordes började angriparen ladda upp 672 GB filer till Contis webbplats. Angriparen uppträdde dock mer oförutsägbart och oroväckande än vanligt i och med att angriparen gjorde politiska uttalanden och hotade att störta Costa Ricas regering.
Sergey Shykevich, gruppchef med ansvar för underrättelser om hot på säkerhetsföretaget Check Point, uppger till Wired att han aldrig tidigare hade sett en sådan retorik från cyberkriminella mot någon regering. Han noterade också att Conti hade riktat in sig på Perus finansministerium och underrättelsetjänst ungefär samtidigt som attackerna mot Costa Rica.
Enligt Sergey Shykevich, är den aggressiva tonen mot en regering ett avsteg från normen för cyberkriminella, som vanligtvis drar sig för sådana offentliga framträdanden. Shykevich sade också att Contis beteende har kritiserats i ryskspråkiga hackerforum eftersom inblandning i politiken anses dra onödig uppmärksamhet till cyberkriminella.
I artikeln i Wired kan man vidare läsa att Contis senaste attack mot Costa Rica kan ha varit en skenmanöver. Det amerikanska cybersäkerhetsföretaget AdvIntel har förklarat Contis verksamhet som död och säger att gruppen har börjat avveckla sitt varumärke och sin infrastruktur. Conti har uttryckt sitt stöd för Vladimir Putins krig i Ukraina och har haft svårt att tjäna pengar till följd av detta. Många företag som har att göra med ransomware-gäng vägrar att samarbeta med dem eftersom det skulle bryta mot amerikanska sanktioner. Dessutom vill vissa företag inte förknippas med terrorism.
Flera veckor efter Conti-attacken mot Costa Rica säger AdVIntels vd Vitali Kremez att Conti’s tjänster fortfarande är otillgängliga, rapporterar Wired. Conti-attacken var bara en täckmantel för att få ett nytt namn och använda andra typer av utpressningstrojaner, men Check Points Sergey Shykevich säger att dess senaste offentliga framträdande har efterlämnat ett bestående arv – det har visat andra cyberkriminella att det faktiskt går att bedriva utpressning gentemot nationalstater.
Borde man betala lösensumman?
Threatpost skrev den 8 juni 2022 att en ny rapport från Cybereason visar att offer för utpressningstrojaner som betalar lösensumman ofta attackeras igen, ibland till och med av samma angripare. Av de tillfrågade uppgav 68 procent att de drabbades en andra gång inom samma månad som den första attacken. Dessutom rapporterade 48 procent av dem som betalade en lösensumma att de blivit hackade två gånger av samma angripare. Än värre är att angriparna vid en andra attack ofta krävde ett ännu högre belopp för lösensumman.
Enligt artikeln i Threatpost avråder de amerikanska myndigheterna FBI och Cybersecurity and Infrastructure Security Agency (CISA) från att betala lösensummor till kriminella aktörer. Men det händer ändå, Cybereason har upptäckt att även när lösensumman betalas kan saker och ting ändå gå fel. Till exempel kanske angriparna inte håller sitt löfte om att dekryptera och återställa data, data kan bli skadade under dekrypteringsprocessen eller så kan det vara brottsligt att betala lösensumman. Att betala lösensumman uppmuntrar dessutom angriparna att rikta in sig på samma offer igen.
Försvarsmakten och Integritetsskyddsmyndigheten påtalar behovet av ökad säkerhet
Den 17 mars 2022 gjorde Försvarsmakten ett uttalande om att cyberattacker nu är det största hotet. Försvarsmakten uppmanar alla organisationer och företag att se över sitt säkerhetsskydd mot cyberattacker som blir allt vanligare. Detta gäller alla organisationer, inte bara de med verksamhetskritiska funktioner.
– Cyberhotet påverkar hela samhället. Även privatpersoner bör se över sitt skydd. Här kan alla vara med och bidra på sitt sätt. Säger kommendör Jan Kinnander, chef för säkerhetskontoret vid Militära underrättelsetjänsten (Must).
Integritetsskyddsmyndigheten (IMY) har också i ett pressmeddelande uppmanat organisationer att se över sina rutiner för cyber- och informationssäkerhet på grund av den förändrade säkerhetsmiljön. Detta följer på ett ökat fokus på olika typer av cyberattacker. IMY påminner företagen om deras ansvar för att garantera säkerheten för deras databehandlingar. Enligt IMY är informationssäkerheten avgörande för att skydda personuppgifter och organisationer måste vidta åtgärder för att på bästa sätt uppfylla kraven i GDPR.
Varför privatpersoner ska bry sig om sin cybersäkerhet
De flesta använder förmodligen datorn för allt från internetbankärenden till att hålla kontakten med vänner och familj på sociala medier. Men visste du att din dator eller enhet utan din vetskap kan användas för att sprida desinformation eller attackera samhällsviktiga IT-system?
Det beror på att din enhet kan vara en del av ett botnät. Ett botnät är en armé av infekterade datorer eller enheter som kontrolleras av en cyberkriminell. När en enhet ingår i ett botnät kan angriparen använda den för att inleda attacker mot andra IT-system, sprida skadlig kod eller skicka skräppost. Vilka skador ett botnät kan orsaka beror på angriparens avsikt.
Har du någonsin funderat på varifrån hackare får resurser för att genomföra omfattande it-angrepp?Det är inte precis så att 10 miljoner individuella ondskefulla hackare från hela världen med varsin dator bokat in en gemensam dag och tid för ett samordnat plundrarparty över Zoom. Hackarna använder sig av botnät – eller arméer av enheter (som ditt uppkopplade kylskåp eller företagets övervakningskamera) som har infekterats med ett skadligt program som kan fjärrstyras utan att ägarna vet om det. Illasinnade aktörer använder sig av miljontals datorer och enheter runt om i världen. Deras tentakler når ut till alla hörn av Internet så att de med kraft kan genomföra sina attacker.
Du kanske inte inser att din dator är en del av ett botnät förrän dina vänner klagar på att du skickat skräppost eller skadlig e-post till dem, eller när din dator eller internetuppkoppling blir långsammare.
ZDNET rapporterade den 19 maj 2022 att ett ryskt botnät som tidigare var känt för att användas för DDoS-attacker efter ytterligare analys också visade sig vara ett propagandainstrument. I artikeln rapporterades att cybersäkerhetsföretaget Nisos publicerade en rapport där det hävdades att en underleverantör till den ryska underrättelsetjänsten har ett botnät som kan manipulera sociala medier i stor skala.
I artikeln kan man läsa att Nisos konstaterade att det verkliga syftet med Fronton-botnätet kan vara desinformation och snabb, automatiserad spridning av propaganda. Med SANA, en webbaserad instrumentpanel som levereras med programvaran, kan du hantera din armé av fejkade konton i sociala medier och skapa beteendemodeller för botarna så att de kan uppträda som mänskliga användare. Du kan definiera responsmodeller för att instruera robotarna om hur de ska reagera på meddelanden och innehåll, det är också möjligt att övervaka trender.
SANA är ett kraftfullt verktyg som låter användaren skapa falska konton på sociala medier och distribuera innehåll på sociala medier, forum, bloggar med mera. Med SANA kan du enkelt skapa trovärdiga falska personer och rikta ditt budskap till specifika målgrupper. Med verktyget kan du skapa robotar som gillar, kommenterar och svarar på inlägg. Du kan även använda verktyget för att schemalägga inlägg och svar och bestämma hur många ”vänner” ett falskt konto ska ha.
Avslutning
På Nordic Privacy Arena 2021 diskuterade en panel med säkerhetsexperter det nya hotlandskapet. Bland annat diskuterades det om alla organisationer nu måste vara sina ha egna cybersoldater, vilket ansågs vara väldigt ineffektivt. Nu verkar det dock som att panelens önskan om mer stöd från regeringen till privat sektor kommer att uppfyllas.
Regeringen har enligt Computer Sweden beslutat att Försvarets radioanstalt (FRA) från och med den 1 juli kan erbjuda hjälp med informationssäkerhet och cyberhot till privata företag, föreningar och stiftelser. Detta är en förändring jämfört med tidigare då FRA endast kunde stödja myndigheter och statliga företag.
Läs mer :
Artikel i Irländska mediet Silicon Republic, 24 maj 2022:
Threatpost artikel 8 juni 2022
Försvarsmaktens uttalande den 17 mars 2022
Integritetsskyddsmyndigheten nyhetsartikel den 29 mars 2022
Artikel 19e maj 2022 i ZDNET om botnätet Froton
Computer Swedens artikel den 3 juni 2022 om FRAs utökade uppdrag att stötta privat sektor
IMY granskar tre apotek för delning av personuppgifter med Facebook
Integritetsskyddsmyndigheten (IMY) inleder en utredning av tre apoteksaktörer (Apoteket AB, Apotea och Apohem) för att de delat detaljerade personuppgifter om kundernas köp på nätet med Facebook.
Personuppgiftsansvariga måste ha tillräcklig kontroll
I ett pressmeddelande från 1 juni 2022 på IMYs hemsida står det att de tre apoteksaktörerna anmält sig själva till myndigheten. IMY har ställt frågor till dessa företag om vilken typ av personuppgifter som överförs till Facebook, varför dessa uppgifter överförs, den rättsliga grunden för överföringen och hur företagen har utvärderat riskerna med att dela personuppgifter från sina webbutiker med Facebook.
– I alla verksamheter är det viktigt att ha ordentlig kontroll över de personuppgifter som hanteras i organisationen och hur dessa personuppgifter förs vidare till eventuella andra parter. Nu inleder vi en tillsyn av dessa apotekskedjor för att ta reda på hur företagen resonerat kring delningen av personuppgifter med Facebook, säger Disa Rehn, juristen som kommer att leda utredningen vid IMY.
Även receptfria läkemedel kan vara känsliga personuppgifter
Disa Rehn uttalar sig också i facktidningen Svensk Farmaci den 1 juni 2022. Hon konstaterar att det kan strida mot GDPR och patientsäkerhetslagen att dela detaljerade personuppgifter om apotekskunders hälsa med Facebook. Hon förklarar att detta kan leda till psykologiska skador, integritetskränkningar och skada på en persons rykte.
Apoteksföretagen hävdade att de endast delade personuppgifter om kundernas köp av receptfria produkter. Disa Rehn svarar att information om att någon köpt klamydia- och graviditetstester som är receptfria varor också kan utgöra känsliga personuppgifter.
Apoteken använde en kakbaserad spårningsteknik från Facebook
Apoteken använde ett analysverktyg för webbplatsägare känd som Facebook Pixeln, numera kallas den dock Meta-pixeln. Det beror på att företaget som driver tjänsten Facebook har bytt namn till Meta. I korthet är pixeln ett verktyg som hjälper webbplatsägare att förstå hur människor interagerar med deras webbplats. Google har ett liknande verktyg som heter Google Analytics. Forum för Dataskydd rapporterade den 4 februari 2022 om beslut från andra EU-länder där tillsynsmyndigheter ifrågasatt om Google Analytics och liknande tjänster är förenligt med GDPR när uppgifter överförs till USA.
För nästan två år sedan, i juli 2020, meddelade EU-domstolen sin dom i Schrems II-målet. Denna dom fick betydande konsekvenser för hur företag kan överföra uppgifter till USA och ogiltigförklarade Privacy Shield-programmet. Detta innebär att webbplatsägare måste se till att de har en annan rättslig grund för överföringen till tredjeländer.
Spårning kräver samtycke
Webbplatser som använder Meta-pixeln måste vara utformade så att spårningstekniken inte aktiveras automatiskt. Detta beror på att pixeln placerar en kaka på besökarens enhet, och svensk lag kräver informerat samtycke innan en sådan kaka kan lagras eller hämtas.
Med hjälp av pixeln kan Facebook se vad du gör på andra webbplatser och visa dig relevanta annonser. Om du till exempel besöker en webbplats med pixeln och lägger en produkt i kundvagnen men inte köper den, kan du senare se en Facebook-annons för samma produkt.
Facebook visar dig vilka uppgifter som samlas in från andra appar och webbplatser. Du kan klicka här och sedan välja “Aktiviteter utanför Facebook”. Därifrån kan du se din historik och radera den om du vill. Du kan också be Facebook att avstå från att koppla ihop dina aktiviteter utanför Facebook med din Facebook profil.
Hur du kan skydda dig
Det finns några sätt att hindra onlinespårare från att lära sig dina vanor. Ett sätt är att använda en integritetsskapande webbläsare som Tor.
Ett annat sätt är att använda ett webbläsartillägg som Privacy Badger eller uBlock Origin. Dessa tillägg motverkar att spårare på nätet får reda på vad du gör på nätet. Slutligen föredrar vissa personer att använda en VPN-tjänst som de litar på för att kryptera sin internettrafik och göra det svårare för spårare att koppla ihop vad du gör på nätet med din identitet.
Kakor är inte det enda sättet för företag att spåra användare på nätet. En annan metod, digitala fingeravtryck identifierar användare utifrån deras unika enhet och webbläsarinställningar. Denna information kan användas för att skapa en profil av användaren och spåra dennes online aktivitet. Fingeravtryck är en mer sofistikerad spårningsmetod än cookies och det är svårare för användarna att skydda sig mot den.
Du kan läsa mer om digitala fingeravtryck i denna artikel av PCMag och detta pressmeddelande från Lunds universitet. Vill du utforska fler möjligheter att skydda din integritet kan även Whonix och Tails vara intressanta projekt att titta närmare på.
Läs mer:
IMYs pressmeddelande 1 juni 2022
Artikel i Svensk Farmaci 1 juni 2022
Forum för Dataskydds artikel om Google Analytics 4 feb 2022
Pressmeddelande om forskning kring Digitala fingeravtryck och integritet
EU skärper IT-säkerhetskraven för samhällsviktiga tjänster
Samtidigt som EU skärper de obligatoriska cybersäkerhetskraven för viktiga samhällstjänster vill regeringen att svenska företag, organisationer och privatpersoner skyddar sig bättre. Ett högdigitaliserat land som Sverige är mycket sårbart för cyberangrepp. Detta är del 1 av 2 i vår fördjupande artikel som belyser hur samhället förbereder sig för att möta den ökade risken för cyberangrepp från Ryssland.
Uppdaterade IT-säkerhetsregler för samhällsviktig infrastruktur genom NIS 2
Europaparlamentet och rådet nådde den 13 maj 2022 en preliminär överenskommelse om ett nytt NIS-direktiv. Enligt ett pressmeddelande från rådet syftar det nya EU-direktivet som man enats om till att stärka cybersäkerheten och motståndskraften i hela unionen. Det nya direktivet, som kallas NIS2, kommer att ersätta det nuvarande direktivet om nät- och informationssäkerhet (NIS).
Enligt Myndigheten för samhällsskydd och beredskap (MSB) är NIS en engelsk förkortning på directive on security of Network and Information Systems. Nuvarande NIS är ett juridiskt regelverk för offentliga och privata aktörer som levererar utpekade samhällsviktiga tjänster. Regelverket omfattar bland annat banker, energibolag och vården.
NIS2-direktivet är avsett att undanröja nationella olikheter genom att införa enhetliga krav på cybersäkerhet i medlemsstaterna för samhällsviktig infrastruktur. De uppdaterade reglerna ska också göra det lättare för myndigheter i medlemsstaterna att samarbeta med varandra. Direktivet uppdaterar också förteckningen över sektorer och verksamheter som omfattas av NIS-reglerna och innehåller bestämmelser om hur reglerna ska tillämpas.
Enligt det nuvarande NIS-direktivet ansvarar medlemsstaterna för att avgöra vilka aktörer som uppfyller kriterierna för att klassificeras som tillhandahållare av samhällsviktiga tjänster. Genom det nya NIS2-direktivet avgörs fler sådana detaljer på EU-nivå och det införs en storleksgräns, vilket innebär att alla medelstora och stora företag som driver eller tillhandahåller tjänster inom de sektorer som täcks av direktivet kommer att omfattas av dess tillämpningsområde.
Enligt pressmeddelandet kommer NIS2 inte att tillämpas på aktörer som bedriver verksamhet inom områden som försvar eller nationell säkerhet, allmän säkerhet, brottsbekämpning och rättsväsende. NIS2 kommer att gälla för offentliga administrativa organ på central och regional nivå. Det kommer att vara upp till medlemsstaterna att besluta om NIS2-direktivet även ska gälla för lokala organ.
Det provisoriska avtal som ingicks den 13 maj 2022 måste nu godkännas av rådet och Europaparlamentet. När direktivet väl har godkänts och trätt i kraft har medlemsstaterna 21 månader på sig att införliva bestämmelserna i sin nationella lagstiftning.
Regeringen vill att svenska organisationer och privatpersoner stärker sin IT-säkerhet
Samtidigt som EU skärper de obligatoriska kraven på samhällsviktiga tjänster, riktar den svenska regeringen en uppmaning till landets företag och privatpersoner. Regeringen har gett MSB och Polisen i uppdrag att genomföra en bred informationskampanj riktad till allmänheten och näringslivet om informations- och cybersäkerhet. Regeringen har avsatt 40 miljoner kronor för detta.
- ”Jag vill uppmana alla företag, alla myndigheter och privatpersoner att se över sin egen IT-säkerhet” sade inrikes- och justitieminister Morgan Johansson under en presskonferens den 2 mars 2022 där regeringsuppdraget om informationskampanjen lanserades.
Morgan Johansson höll presskonferensen tillsammans med Charlotte Petri Gornitzka, generaldirektör för Myndigheten för samhällsskydd och beredskap (MSB), och Charlotte von Essen, chef för SÄPO.
Morgan Johansson sade att svenska myndigheter är medvetna om de högre riskerna med cyberattacker, men att det nu är dags att även utbilda allmänheten för att göra dem medvetna om riskerna och öka deras beredskap.
Charlotte von Essen sade att kriget i Ukraina har orsakat en förändring av freds- och säkerhetssituationen i Europa och har ökat det långsiktiga hotet om cyberattacker. SÄPO är medveten om att utländska statliga aktörer genomför cyberattacker både i fredstid och under pågående konflikter. Hon sade att det är viktigt att ha ett fullständigt skydd mot dessa hot, som kan komma i form av DDoS-attacker, bedrägliga webbplatser, phishing och spridning av skadlig kod.
SÄPO och MSB uppmanar enligt Charlotte von Essen säkerhetsansvariga och säkerhetsexperter att vara mer vaksamma i ljuset av den senaste tidens händelser. Det är viktigt att myndigheter och företag har en tydlig förståelse för vad som behöver skyddas och att prioritera därefter. Samhället som helhet måste vara bättre informerat för att öka sin motståndskraft mot säkerhetshot.
Charlotte Petri Gornitzka förklarade att MSB arbetar via CERT-SE (Computer Emergency Response Team) för att hantera hot mot cybersäkerheten. Hon fortsatte med att säga att samhället bör vara extra vaksamt, välkända tidigare IT-incidenter kan användas som exempel för att beskriva de tänkbara konsekvenserna av otillräcklig cybersäkerhet. Just nu har cyberattackerna inte ökat, men tidpunkten och världssituationen är speciell menade hon.
Vidare talade Charlotte Petri Gornitzka om vikten av att organisationer använder Infosäkkollen för att öka sin motståndskraft mot attacker och vara bättre förberedda på incidenter. Hon rådde också organisationer att vara mycket uppmärksamma på eventuella avvikelser i IT-miljön och att rapportera misstänkta brott till polisen.
Slutligen så framhöll Charlotte Petri Gornitzka att alla, även privatpersoner kan hjälpa till med att höja samhällets beredskap. Hon sa att man som privatperson kan bidra genom att alltid uppdatera sin mobil, dator, iPad, säkerhetsprogram, lösenord och skydda sin E-legitimation. De som behöver hjälp med tekniken kan i första hand kontakta sin internetleverantör. Hon uppmanade också allmänheten att vara källkritisk och att inte sprida felaktig information om den rådande situationen. Vidare sade hon att alla kan drabbas av utpressningstrojaner (ransomeware), såväl kommuner som privata organisationer.
Följ MSB:s rekommendationer, skyll inte på användarna och rapportera överträdelser
CERT-SE vid Myndigheten för samhällsskydd och beredskap (MSB) ser ett behov av att påminna organisationer om vad de kan göra för att säkerställa sin cyberhygien, det gäller både offentliga och privata organisationer, stora som små. Dessa rekommendationer bör man regelbundet göra en översyn utifrån för att se till att kritiska IT-system inte drabbas av cyberattacker.
En forskare uppmanar organisationer att noga tänka igenom hur de utformar instruktionerna till de som ska använda ett IT-system. Det påstås ofta att det är användaren som gör fel och som är den svaga länken. Joakim Kävrestad vid Högskolan i Skövde som forskar och undervisar i cybersäkerhet med fokus på användarbeteende, håller inte med. Enligt honom är problemet att experternas råd är för komplexa och lägger ett orimligt stort ansvar på den enskilda användaren, som förväntas göra precis som experterna säger. Kävrestad påstår att det är säkerhetsexperterna som blir den svaga länken när vi flyttar ansvaret till användare i stället för att ta det själva.
Om vi ska kunna skydda oss mot framtida cyberhot måste säkerhetsbranschen enligt Kävrestad göra användaransvaret till en rimlig börda och erkänna att inte bara användare är naiva. Naivitet finns på individ-, organisations- och nationsnivå. Han menar att säkerhetsbranschen måste sluta lägga skulden på användarna för att de inte uppfyller våra höga krav och i stället hjälpa dem genom att göra våra krav mer användarvänliga. Vi bör inte tvinga på användarna komplexa lösenord och regelbundna lösenordsbyten. Vi måste möjliggöra flerfaktorsautentisering och utbilda användarna med skräddarsydd utbildning om risksituationer som förekommer i deras normala arbetssituation säger han.
En annan viktig del i att möta cyberhoten är att rapportera incidenter till myndigheter. Under en paneldiskussion som anordnades av CNBC vid World Economic Forum i Davos måndagen den 23 maj uppmanade Jurgen Stock, Interpols generalsekreterare, företagsledare att öka samarbetet med regeringar och brottsbekämpande myndigheter för att säkerställa en effektivare kamp mot cyberbrottslighet. Han sade att ett “enormt antal” cyberattacker inte rapporteras och att de brottsbekämpande myndigheterna behöver hjälp av den privata sektorn för att fylla denna informationslucka. Han tillade att Interpol är “blinda” utan rapporter från den privata sektorn.
Stock sade dessutom att han är orolig för att statligt utvecklade cybervapen för militärt bruk om “några år” kommer att finnas tillgängliga på darknet. Stock sade att detta är ett stort bekymmer eftersom dessa vapen skulle kunna hamna i händerna på den organiserade brottsligheten.
Vad är darknet?
Darknet är ett nätverk av datorer som inte är anslutna på samma sätt som andra nätverk. De arbetar tillsammans utan en central server. Darknet är inte en enda plats utan snarare en samling webbplatser och andra resurser som inte indexeras av traditionella sökmotorer. För att få tillgång till darknet måste användarna installera särskild programvara, t.ex. webbläsaren Tor. När användarna väl är inne på darknet kan de surfa på webbplatser, chatta med andra och till och med köpa olagliga varor och tjänster. Darknet kan användas för kriminell verksamhet, men det används också för helt legitima saker av journalister, visselblåsare och andra som behöver kommunicera anonymt. Exempelvis uppmanar CIA ryska medborgare som vill lämna underrättelser att kommunicera med dem över Tor. Tor används också av privatpersoner som inte vill att kommersiella företag ska kunna spåra varenda grej de gör på internet.
Sammanfattning
Sammanfattningsvis kommer NIS2-direktivet införa nya krav som säkerställer att kritisk infrastruktur skyddas bättre mot cyberhot. Alla kan drabbas av utpressningstrojaner (ransomware), så det är viktigt att ha en plan för när det händer. Säkerhetsbranschen bör sluta skylla på användarna för att de inte uppfyller höga krav och i stället hjälpa dem genom att göra kraven mer användarvänliga. Regeringen vill att även företag och privatpersoner stärker sin IT-säkerhet. Interpols generalsekreterare varnar också att cybervapen utvecklade för militären kan hamna i händerna på den organiserade brottsligheten inom några år, vilket är ett stort bekymmer.
Nästa vecka tar vi en närmare titt på den senaste utvecklingen inom utpressningstrojaner. Blir ransomware-grupper mer aggressiva? Har de blivit ett hot mot demokratin? Hur kan vi slå tillbaka mot dem? Ett säkerhetsföretag har upptäckt att ett ryskt botnät har förmågan att manipulera sociala medier i stor skala. Det verkliga syftet med botnätet verkar vara att sprida desinformation och propaganda snabbt och automatiskt. Vad kan du som privatperson göra för att skydda dig själv och andra mot detta växande problem? Håll ögonen öppna för vår kommande artikel för att få reda på det!
Läs mer här:
MSBs informationssida om NIS1:
Rådets pressrelease den 13 maj 2022
CERT-SEs uppmaning till organisationer att höja sin cyberhygien
Högskolan i Skövdes nyhet den 6 april 2022 där forskaren Joakim Kävrestad uttalar sig användaransvar
IMY publicerar riktlinjer om hur personuppgifter får användas i politiska kampanjer
Integritetsskyddsmyndigheten (IMY) har utfärdat riktlinjer för politiska aktörer och skickat ett exemplar var till alla åtta riksdagspartier. Inför kommun-, region- och riksdagsvalen i september vill politiska partier och intresseorganisationer kommunicera och föra en dialog med väljarna.
Ett viktigt påpekande är att riktlinjerna riktar sig till politiska aktörer. Riktlinjerna gäller lika mycket för ett politiskt parti som ställer upp i ett kommunval som för en opinionsbildande förening som vill legalisera jakt på ekorrar.
Många kampanjaktiviteter förutsätter behandling av personuppgifter
Politiska organisationer vill skapa opinion för sina hjärtefrågor, och väljarna vill veta vad de politiska partierna vill åstadkomma och hur. Politiska kampanjer måste bedrivas på ett etiskt sätt och respektera allas rätt till privatliv. Det är viktigt att betona att rätten till personlig integritet inte bara handlar om att individer ska ha kontroll över vad andra vet om dem. Personlig integritet handlar i lika hög grad om att ha rätt att veta hur andra använder ens personuppgifter. Även den som är mycket öppen med att hen är en konservativ kristen, har rätt att veta hur en politisk aktör eller ett socialt medieföretag har använt den offentliga informationen om hen för att visa en riktad annons.
Politiska aktörer kan komma att samla in väljarnas kontaktuppgifter från offentliga register för att skicka information per post eller ringa telefonsamtal. De kan också använda sociala medieplattformar och tjänster för riktad reklam på nätet för att skicka skräddarsydda politiska budskap till enskilda personer baserat på egenskaper som intresse, geografiskt läge, ålder eller till och med politiska åsikter. Många aktiviteter som har med politisk kampanjverksamhet att göra kommer att omfattas av GDPR:s fulla räckvidd. Ibland kan en aktivitet också omfattas av ett undantag där GDPR inte alls är tillämplig eller där endast delar av den gäller.
All personuppgiftsbehandling måste ha en rättslig grund
Riktlinjerna innehåller 26 exempel för att illustrera reglerna i deras enklaste form. När det gäller politiska kampanjer är samtycke och berättigat intresse mer relevanta än alla andra rättsliga grunder. Berättigat intresse ska användas när organisationen inte kan be väljaren om lov innan den utför behandlingen – en organisation kan bara förlita sig på berättigat intresse för legitima aktiviteter.
Riktlinjerna ger exempel på berättigade intressen och ett otillåtet intresse: Om ett politiskt parti riktar in sig på väljare som tillhör en etnisk minoritet som vanligtvis inte röstar på partiet, i syfte att diskriminera dem för att avskräcka dessa väljare från att gå till valurnorna. Enligt IMY kan en sådan handling aldrig betraktas som ett legitimt intresse och är därför olaglig.
Offentliga personer har inte lika starkt skydd för den personliga integriteten som vanliga medborgare
Ett annat intressant exempel från IMY illustrerar hur offentliga personer har en svagare rätt till privatliv och att privat information kan publiceras om det är motiverat av ett samhällsintresse. Undantagsregeln gäller politiker och andra offentliga personer som har valt att delta i det offentliga livet.
Om Anna Ankdotter, ledare för parti A, på sin Facebooksida publicerar att Benny Bobbysson, ledare för parti B, inte har betalat räkningarna för sitt nyrenoverade sommarhus och att räkningarna har gått till kronofogden kan det vara lagligt att publicera denna information. Anna kan försvara spridningen av informationen genom att hävda att hon publicerade denna privata information för att hon ville inleda en debatt om hur omoraliska hennes politiska motståndare är och att Bennys bristande omdöme gör honom olämplig att inneha offentliga ämbeten. IMY resonerar att ett sådant offentliggörande kan falla in under GDPR-undantaget för journalistiska ändamål.
Begreppet “journalistiska ändamål” har en bredare betydelse som juridisk term i GDPR än i dagligt tal. Det innefattar rätten att uttrycka åsikter, synpunkter, information och idéer även sådana som kan betraktas som chockerande eller stötande. Trots namnet kan detta undantag åberopas av vem som helst, oavsett om man är professionell journalist eller inte. Det är syftet som spelar roll, inte vem författaren är. Undantaget gäller även för politiska partiers verksamhet.
Känsliga personuppgifter
När det gäller information om en individs politiska åsikter är det viktigt att notera att det rör sig om känsliga personuppgifter. Känsliga uppgifter är kategorier av uppgifter som är strikt reglerade eftersom de kan missbrukas för att kränka en persons grundläggande mänskliga rättigheter, t.ex. tanke-, samvets-, religions- eller yttrandefrihet, eller missbrukas för diskriminerande ändamål. Politiska åsikter erkänns inte som en skyddad egenskap i den svenska diskrimineringslagen. Det är dock en skyddad egenskap enligt artikel 9 i GDPR.
Även när man kombinerar eller använder information som verkar harmlös, såsom ålder, kön, intressen och bostadsort eller till och med besökta webbsidor för att gissa någons politiska politiska ståndpunkt, definieras detta i GDPR som personuppgifter som avslöjar någons politiska åsikter. Uppgifternas riktighet spelar inte heller någon roll, om den politiska aktören tror att någon är socialdemokrat fastän den är kristdemokrat, behandlar den fortfarande personuppgifter om politiska åsikter.
Delat personuppgiftsansvar och den registrerades rättigheter
Om en politisk aktör använder ett socialt medium för att rikta sig till väljare är det enligt IMY oftast fråga om ett delat personuppgiftsansvar. Den politiska aktören och sociala medieföretaget måste ingå en offentlig överenskommelse som förklarar för de registrerade vilken personuppgiftsansvarig som är ansvarig för vilken del av databehandlingen. I riktlinjerna nämns också att politiska aktörer måste ha rutiner för att se till att de registrerade kan utöva sina rättigheter på ett smidigt sätt. De registrerade har rätt att invända mot databehandlingen när en organisation skickar ett meddelande för att uppmuntra någon att rösta på dem, gå med i organisationen eller donera pengar.
Personuppgiftsansvariga måste också vara medvetna om reglerna för överföringar till tredje land samt kraven på att tillhandahålla adekvat säkerhet. Politiska partier måste också hantera sina medlemmars och sympatisörers personuppgifter med respekt och försiktighet. Partierna bör inte göra något som deras väljare inte rimligen kan förvänta sig. Ett exempel är att en person som besöker ett möte med ett politiskt parti knappast kan antas vara villig att få sin bild publicerad på sociala medier.
Politiska partier förväntas ha ett högre dataskydd
När det gäller säkerhet finns det också ett intressant fall från Nederländerna. En provinsiell avdelning av ett nederländskt politiskt parti fick 7500 euro i sanktionsavgift för en personuppgiftsincident. När partiet skickade en inbjudan till ett valmöte för sina sympatisörer via e-post, offentliggjorde partiet av misstag en lista med 101 mottagare för alla som fick e-postmeddelandet. Partiet straffades av dataskyddsmydigheten både för att ha underlåtit att rapportera personuppgiftsincidenten i tid och för att ha avslöjat känsliga personuppgifter.
Partiet hävdade att det faktum att någon fanns med på listan inte utgjorde känsliga personuppgifter som avslöjade en politisk åsikt. Den nederländska dataskyddsmyndigheten höll dock inte med. Myndigheten analyserade e-postmeddelandets innehåll och målgrupp, det faktum att det var en inbjudan till ett valmöte för ett politiskt parti och vad som skulle hända vid evenemanget vägde tungt. Genom en samlad bedömning drog myndigheten slutsatsen att det var mycket troligt att åtminstone en del av dessa 101 e-postadresser tillhörde personer som anmält sig för att de sympatiserar med partiets idéer och att listan därför utgjorde känsliga uppgifter.
Dataskyddsmyndigheten konstaterade också att personuppgiftsincidenten innebar en hög risk för enskilda personers rättigheter och friheter. Dataskyddsmyndigheten klargjorde att när det gäller känsliga personuppgifter som avslöjar en politisk åsikt måste man hypotetiskt anta att den registrerade sannolikt kommer att lida skada som kan vara materiell, ryktesmässig eller diskriminerande till sin natur. Den nederländska dataskyddsmyndigheten konstaterade att politiska partier behandlar känsliga personuppgifter, vilket innebär en större risk för en person vars rätt till dataskydd kränks. Därför klargjorde den nederländska dataskyddsmyndigheten att ett politiskt parti har ett mer omfattande ansvar för att upprätthålla en hög nivå av dataskydd.
Slutligen är det värt att nämna att EU-kommissionen i november 2021 föreslog en ny EU-lag om politisk reklam. Enligt pressmeddelandet var tanken att politiska aktörer inte skulle vara tillåtna att använda känsliga personuppgifter för riktad reklam. I pressmeddelandet angavs också att den föreslagna lagen skulle bygga på och komplettera GDPR och Digital Services Act.
Läs mer här:
IMYs pressrelease från 18Maj 2022
EU-kommissionen lanserar ett säkert nätverk för delning av patientdata
Föreställ dig att du åker på semester till Tyskland. Du blir sjuk och behöver besöka en läkare. Din tillfälliga tyska läkare kommer att kunna se din svenska sjukdomshistoria. Din tyska läkare kan därmed undvika att skriva ut läkemedel som du är allergisk mot.
Enligt EU-kommissionen kommer ovanstående scenario bli möjligt tack vare ett nytt lagförslag som offentliggjordes 3 maj 2022. Lagförslaget innehåller regler som upprättar ett europeiskt ekosystem (datornätverk) för hälsodata. Ekosystemet ska kallas för det europeiska hälsodataområdet, European Health Data Space (EHDS).
Enligt EU-kommissionen kommer EU-tjänsterna EHDS och Min hälsa@EU se till att EU-ländernas system för elektroniska patientjournaler kan “prata” med varandra. Journalsystemen ska kunna kommunicera på ett gemensamt språk och utbyta patientuppgifter på ett säkert sätt.
Bakgrunden till förslaget är att utbrottet av COVID-19 enligt EU-kommissionen visat att korrekta hälsodata är nyckeln till välgrundade folkhälsoåtgärder och krishantering. Samtidigt är hälsouppgifter mycket känsliga och omfattas av strikta sekretess- och dataskyddsregler. Patienterna vill ha kontroll över hur deras uppgifter används. EU-kommissionen föreslår denna lag så att samhället kan dra största möjliga nytta av hälsouppgifterna samtidigt som sekretessen värnas.
Regelverket öppnar dörren för nya möjligheter att använda hälsodata som en ny digital resurs. Hälsodata ska kunna användas för att förbättra hälso- och sjukvården, främja forskning och innovation samt möjliggöra faktabaserade politiska beslut.
EHDS kommer att upprätta en rättslig ram som
- Fastställer reglerna för hantering av data för primära syften. Primär användning refererar till situationer där hälsodata används för samma ändamål som de samlades in för. Det vill säga situationer där personuppgifterna används för att ge vård till patienten. I relation till data som används för att utföra tjänsten sjukvård, ger EHDS patienterna bland annat rätt till ökad digital tillgång och kontroll över sina elektroniska personliga hälsouppgifter, nationellt och mellan EU-länder.
- Fastställer regler för sekundär användning av uppgifter: Sekundär användning refererar till situationer då personuppgifter som samlades in för ändamålet att bedriva vård, används för ett nytt syfte. EHDS kommer enligt kommissionens förslag tillåta sekundär användning av hälsouppgifter för forskning, innovation, politiskt beslutsfattande och tillsyn. Varje medlemsstat måste ha en digital hälsomyndighet. Forskare, företag och institutioner kan ansöka hos myndigheten om tillgång till hälsodata för sekundär användning i en skyddad miljö där patienternas identitet inte röjs.
Vad innebär förslaget för olika aktörer?
EU-kommissionen säger att patienterna kommer att kunna få tillgång till och dela sina hälsouppgifter med vårdpersonal. De kommer också att kunna lägga till information, korrigera fel och besluta att vissa kategorier av hälsouppgifter ska lämnas ut till en vårdgivare i ett europeiskt format för elektroniskt utbyte av hälsouppgifter.
Vidare kommer det europeiska hälsodataområdet göra det möjligt för medborgare i hela EU att fullt ut utöva sina rättigheter rörande sina hälsouppgifter. Människor kommer lättare kunna få tillgång till och dela med sig av dessa uppgifter, samtidigt som de kommer att ha större kontroll över dem.
Samtidigt påpekar EU-kommissionen att hälso- och sjukvårdspersonalens arbete kommer att bli enklare och effektivare. Tack vare förbättrad kompatibilitet mellan journalsystem kommer vårdpersonalen att kunna få tillgång till patientens medicinska historia över gränserna (som i exemplet ovan), vilket kommer att förbättra informationsunderlaget för beslut om vård och diagnossättning. Vårdgivare i olika länder kan därmed undvika dubbelt testande, vilket kommer att ha en positiv inverkan på patienternas vård och vårdkostnaderna.
Forskare kommer att dra nytta av mer direkt tillgång till data i en betrodd och säker miljö. Forskarna kommer att få tillgång till större mängder data av hög kvalitet. De kommer att kunna få tillgång till uppgifterna på ett effektivare och mer kostnadseffektivt sätt genom att en myndighet tar ställning till en begäran om dataåtkomst. Denna lösning garanterar enligt EU-kommissionen patienternas integritet.
Enligt EU-kommissionen kommer tillsynsmyndigheter och politiska organ också att lättare få tillgång till hälsodata för att fatta politiska beslut och förbättra hälso- och sjukvårdssystemens funktion. Detta kommer att leda till bättre tillgång till vård, lägre kostnader, större effektivitet, mer motståndskraftiga hälso- och sjukvårdssystem, ny forskning och innovation samt möjliggöra ett mer evidensbaserat beslutsfattande.
Slutligen konstaterar EU-kommissionen att företagen kommer att gynnas av en gemensam EU-marknad för elektroniska patientjournalsystem med gemensamma standarder och specifikationer. Den större tillgången till elektroniska hälsodata kommer att förbättra människors hälsa och underlätta utvecklandet av innovativa läkemedel och utrustning som möjliggör bättre och mer personlig vård. Företagen kommer också att kunna utveckla nya apparater som utnyttjar artificiell intelligens.
Tillit är nyckeln till innovation
För att skapa tillit kommer ekosystemet EHDS att fastställa säkerhetskriterier för interoperabilitet och säkerhet för elektroniska patientjournalsystem. EHDS kommer också möjliggöra användning av hälsouppgifter för diagnos, behandling, forskning och statistik, men endast om uppgifterna inte är identifierbara och behandlas i en säker miljö. Det kommer vara förbjudet för användaren att återidentifiera de registrerade personerna, och forskaren, företaget eller den offentliga enheten kan endast få tillgång till icke-identifierbara uppgifter (som ger information om sjukdom, symtom och medicinering utan att avslöja individens identitet).
På Nordic Privacy Arena 2021 diskuterades vid ett av seminarierna hur hälso- och sjukvårdssektorn kan säkra patienternas förtroende och samtidigt införa avancerad teknik. Följande exempel illustrerar hur EHDS kan ses som en lösning på detta problem:
Ett företag utvecklar ett nytt AI-baserat medicinskt beslutsstöd. Detta verktyg kommer att hjälpa läkare att fatta beslut om diagnos och behandling efter att ha granskat patienternas laboratoriebilder. Företaget kan använda EHDS för att få tillgång till många medicinska bilder för att träna AI-algoritmen och säkerställa att den är träffsäker innan det ansöker om ett godkännande för att släppa ut produkten på marknaden.
Företagen kommer endast att kunna få tillgång till hälsouppgifter genom den digitala hälsomyndigheten. De måste få tillstånd för att få tillgång till uppgifter. EU-kommissionen klargör att de endast kommer att få tillgång till de uppgifter som är nödvändiga för den aktuella forskningen, utan att avslöja individens identitet, och att de endast kommer att vara tillgängliga under projektets löptid i en säker databehandlingsmiljö.
Slutligen säger EU-kommissionen att EHDS bygger på den europeiska dataskyddsförordningen (GDPR), den föreslagna Data Governance Act, utkastet till Data Act och NIS-direktivet.
Det förslag som lagts fram av EU-kommissionen kommer nu att diskuteras av rådet och Europaparlamentet.
Läs mer här:
EU-kommissionens pressmeddelande om EHDS (svenska):
EU-kommissionens pressmeddelande om EHDS (engelska):
Informationssida om EHDS (engelska):
EU-kommisionens FAQ om EHDS (Engelska):
NPA 2021: Hur patienternas tillit till vården säkras och hur vården kan använda ny teknik
EU experimenterar med decentraliserade sociala medier
Förra veckan rapporterade Forum för Dataskydd att EU-politikerna den 23 april 2022 hade nått en preliminär överenskommelse för en ny lag. Digital Services Act förväntas rubba maktbalansen på Internet och reglera sociala medieplattformar.
En vecka senare, den 28 april 2022, lanserade EU två egna sociala medieplattformar, EU Voice och EU Video, som drivs av European Data Protection Supervisor (EDPS). EDPS är en EU-myndighet som övervakar hur EU:s institutioner följer EU:s dataskyddsregler och ger råd till EU:s politiker om hur de bör utforma tekniklagar. Plattformarna EU Voice och EU Video befinner sig för närvarande i en pilotfas.
Tidpunkten för lanseringen har en symbolisk betydelse. EU har lanserat de två nya digitala tjänsterna i ett försök att främja en ökad digital suveränitet och ett minskat beroende av stora leverantörer av digitala tjänster utanför EU. De valda tekniska lösningarna ligger även i linje med Europeiska kommissionens strategi för programvara med öppen källkod 2020–2023.
“Med lanseringen av pilotprojektet EU Voice och EU Video vill vi erbjuda alternativa plattformar för sociala medier som sätter individerna och deras rätt till integritet och dataskydd i första rummet. Konkret innebär detta till exempel att EU Voice och EU Video inte är beroende av överföringar av personuppgifter till länder utanför Europeiska unionen och Europeiska ekonomiska samarbetsområdet, att det inte finns några annonser på plattformarna och att det inte förekommer någon profilering av personer som kan komma att använda plattformarna. Dessa åtgärder ger bland annat enskilda personer möjlighet att styra och kontrollera hur deras personuppgifter används.” säger Wojciech Wiewiórowski, European Data Protection Supervisor (vår översättning av citatet till svenska).
EDPS har lanserat de nya plattformarna EU Voice och EU Video som alternativ till de centraliserade sociala medierna Twitter och YouTube. Plattformarna bygger på lösningar med öppen källkod som kallas Mastodon och PeerTube. På dessa plattformar har EU:s institutioner egna konton där de kan göra statusuppdateringar och ladda upp videoklipp. Allmänheten kan också interagera med dessa statusuppdateringar och videor genom att använda motsvarande funktioner för att retweeta, gilla och kommentera.
Endast företrädare för EU-institutionerna kan registrera ett konto på de två EU-servrarna. Även om du inte har ett konto på deras servrar kan du ändå interagera med EU-institutionerna. Mastodon och PeerTube är decentraliserade sociala medier som gör det möjligt för användare att kommunicera med varandra även när deras konton bor på olika servrar. Det är som e-post: En person med ett Gmail-konto kan fritt skicka meddelanden till någon som har Telia som e-postleverantör.
Föreställ dig att du bara behöver ett användarkonto för alla dina sociala medier. Du finns på Twitter, men du kan fortfarande umgås med dina vänner på andra plattformar, oavsett om de finns på YouTube, LinkedIn, Facebook eller Instagram. Du skulle kunna följa, gilla och kommentera deras YouTube-videor utan att ha ett YouTube-konto. Plattformar kan bara interagera med varandra på detta sätt om alla servrar “talar samma språk”, om de använder ett gemensamt protokoll. Faktum är att Mastodon och PeerTube gör just detta.
Mastodon och PeerTube är en del av Fediversum, som är en kombination av orden Federation och Universum. Mastodon och PeerTube servrar ingår i ett ekosystem av decentraliserade sociala medieservrar som pratar samma språk.
Det möjliggör kommunikation mellan servrar och även tvärs över appar. Det gemensamma språket heter ActivityPub. År 2018 blev ActivityPub en officiell webbstandard som rekommenderas av World Wide Web Consortium (W3C).
Några av de EU-institutioner som har en Mastodon-kanal är: Europeiska kommissionen, EU-domstolen, European Data Protection Supervisor och Europeiska unionens byrå för grundläggande rättigheter.
EDPS vill genom pilotprojektet samla in feedback från användarna. Vidare ser EDPS pilotprojektet som ett symboliskt startskott som markerar övergången till mer integritetsvänliga plattformar för sociala medier.
Läs mer här:
Pressmeddelande från EDPS 28 april 2022
Maktbalansen på internet ändras med ny EU-lag
EU:s politiker har enats om en banbrytande lag för onlinetjänster och plattformar. Enligt Europeiska kommissionen syftar lagen om digitala tjänster, Digital Services Act (DSA) till att nollställa maktbalansen mellan onlinetjänster, användare och offentliga myndigheter.
Efter ett maraton av 16 timmars förhandlingar nådde parlamentet och rådet, EU:s två lagstiftande organ, en överenskommelse på lördagsmorgonen den 23 april 2022. Överenskommelsen slöts vid ett informellt förhandlingsmöte (trialog), där Europeiska kommissionen agerar som medlare. Nu ska de sista detaljerna utarbetas, sedan ska de båda lagstiftande organen formellt anta rättsakten.
– ”I och med DSA är det slut med stora onlineplattformar som beter sig som om de är “för stora för att bry sig”. DSA lägger fast tydliga, harmoniserade skyldigheter för plattformar – i proportion till storlek, inverkan och risk. Kommissionen får i uppdrag att övervaka mycket stora plattformar, inklusive möjligheten att införa effektiva och avskräckande sanktioner på upp till 6 % av den globala omsättningen eller till och med ett förbud mot att bedriva verksamhet på EU:s inre marknad vid upprepade allvarliga överträdelser. EU-institutionerna har arbetat hand i hand på rekordtid, med beslutsamhet och ambition för att skydda våra medborgare på nätet” säger Thierry Breton, EU-kommissionär med ansvar för den inre marknaden, i ett pressmeddelande.
Klassificering avgör omfattningen av en tjänsteleverantörs skyldigheter
Leverantörer av digitala tjänster delas in i fyra kategorier. Kategoriseringen säkerställer att de rättsliga skyldigheterna motsvarar leverantörens roll, storlek och inflytande i ekosystemet på nätet.
Förmedlingstjänster som Internetleverantörer har de minsta skyldigheterna, ett krav är att deras användarvillkor måste respektera de grundläggande rättigheterna. Hostingtjänster, t.ex. molnleverantörer, måste följa samma skyldigheter och är därutöver också skyldiga att bland annat rapportera brott. Onlineplattformar som app-butiker och sociala medier har ännu fler skyldigheter, bland annat måste de tillhandahålla användaren en möjlighet att lämna klagomål och överklaga. Mycket stora plattformar med mer än 45 miljoner användare i EU har ännu fler skyldigheter och måste bland annat ge forskare tillgång till viktiga data så att de kan förstå hur online-risker utvecklas.
Precis som med GDPR kommer efterlevnaden av DSA att kontrolleras av tillsynsmyndigheter i medlemsstaterna. De nationella tillsynsmyndigheterna bildar också en styrelse ”European Board for Digital Services” som kommer ha en rådgivande funktion. Det finns dock en skillnad mot GDPR vad gäller tillsynen. Jättestora sökmotorer och onlineplattformar med mer än 45 miljoner EU-användare kommer ha två tillsynsmyndigheter att förhålla sig till. EU-Kommisionen kommer kontrollera efterlevnaden av de strängare delarna av regelverket som exklusivt gäller jättestora aktörer, genom utökad tillsyn.
Ett paradigmskifte i nätregleringen
Enligt nuvarande regler kan plattformar för sociala medier, i egenskap av privata aktörer, fritt censurera innehåll och stänga av användare som inte bryter mot lagar. Lagen om digitala tjänster innebär ett paradigmskifte. EU har dragit slutsatsen att dessa halvoffentliga forum är viktiga för det offentliga samtalet. EU tänker att plattformarna behöver regleras för att skydda grundläggande rättigheter på nätet som yttrandefriheten.
I den förklarande promemorian anger Europeiska kommissionen att de är oroliga för att fördomsfulla algoritmer i automatiserade verktyg för innehållsmoderering skulle kunna drabba utsatta eller missgynnade grupper oproportionerligt mycket, baserat på egenskaper som kön, etnisk tillhörighet, religion, funktionsnedsättning, ålder eller sexuell läggning.
För att motverka dessa risker framhäver Europeiska kommissionen att DSA endast kommer kräva att olagligt innehåll tas bort. Genom DSA införs också obligatoriska skyddsåtgärder för att minimera risken för felaktiga eller omotiverade ingrepp i nätanvändarnas yttrandefrihet. När information som skapats av en användare tas bort måste den sociala medieplattformen ge en förklaring. Användaren måste också ges tillgång till en mekanism för klagomål och en extern tvistlösning utanför domstol (Se sidan 12 i promemorian).
DSA innehåller flera element av konsumentskydd. Enligt ett pressmeddelande från Europaparlamentet kommer riktad reklam baserad på känsliga personuppgifter som sexuell läggning och religion att förbjudas, vilseledande design av användargränssnitt (mörka mönster) kommer inte att tillåtas och nätvåld som hämndporr kommer omedelbart att behöva tas bort.
EU menar allvar
Europeiska unionen har långtgående planer för att se till att unionens tekniklagstiftning får ett effektivt genomslag. Ars Technica rapporterar att EU-kommissionären Thierry Breton den 26 april 2022 utfärdade en varning till Elon Musk, bara en dag efter att han offentligt meddelade att han hade ingått ett avtal om att förvärva Twitter. Artikeln nämner att Elon Musk offentligt har beskrivit sig själv som en “yttrandefrihetsabsolutist” som vill lätta på Twitters regler för moderering.
Som svar på detta sade EU-kommissionären Thierry Breton att han ville ge Elon Musk en ”reality check”. Enligt artikeln framhöll Breton att om Twitter vill bedriva verksamhet i Europa måste företaget helt och hållet följa reglerna i lagen om digitala tjänster. Det gäller bland annat regler om moderering, öppenhet om algoritmer, transparens när det gäller yttrandefrihet samt bekämpning av näthat, hämndporr och trakasserier.
Den 27 april 2022 rapporterade Omni att Europeiska kommissionen planerar att öppna ett kontor i San Francisco i Kalifornien. Inrättandet av detta kontor skulle göra det lättare för kommissionen att föra en dialog med nätjättar och övervaka hur de följer EU-lagar som GDPR eller DSA.
Läs mer här:
Europaparlamentets pressmeddelande 23 april 2022:
Rådets pressmeddelande 23 april 2022:
EU-kommisionens pressmeddelande 23 april 2022:
Kommisionens sida informationssida om DSA
Den italienska tillsynsmyndigheten Garante beordrar GEDI Gruppo Editorial att med omedelbar verkan begränsa all spridning av personuppgifter efter en känslig artikel
Den italienska tillsynsmyndigheten Garante har i ett nytt beslut beordrat mediegruppen GEDI Gruppo Editorial att med omedelbar verkan begränsa all spridning av personuppgifter. Detta efter att tidningen La Repubblica som publiceras av GEDI Gruppo Editorial offentliggjorde en artikel om en påstådd relation mellan en elev och en rektor på en gymnasieskola. Artikeln innehöll bland annat de inblandades namn, foton och utskrifter av meddelanden av privat karaktär.
Lagrum som aktualiserades
I sitt beslut refererade tillsynsmyndigheten bland annat till art. 4, 9, och 85 i dataskyddsförordningen. Artikel 85 i dataskyddsförordningen handlar om att hitta en balans mellan rätten till integritet och yttrande- och informationsfriheten. Andra lagrum som aktualiserades var art. 137.3 i den italienska Data Protection Code som reglerar hur GDPR ska införlivas i nationell rätt. Garante framhöll bland annat att art. 137.3 i den italienska Data Protection Code belyser att pressfriheten måste förenas med de berörda personernas värdighet och grundläggande friheter. Vidare uppgav Garante att det är viktigt att beakta om informationen som publiceras är av väsentligt intresse för det allmänna. Garante framhöll även att sådana principer och grundläggande rättigheter måste ges en särskild vikt när det gäller information som kan kopplas till de registrerades privatliv.
Detaljerna i artikeln var inte nödvändiga enligt Garante
Garante påpekar att de detaljerna som nämns i artikeln inte var nödvändiga för att belysa frågan, speciellt eftersom de behöriga myndigheterna har inlett en utredning av ärendet. Garante ansåg därför att det i det här ärendet var av särskild vikt att garantera konfidentialitet och värdighet för de inblandade och att ärendet därför krävde brådskande åtgärder.
Garantes beslut i ärendet
Garante beslutade sammanfattningsvis att GEDI Gruppo Editoriale inom tre dagar ska kommunicera vilka åtgärder som har vidtagits för att följa Garantes order samt inkomma med dokument som förklarar det inträffade. Garante förbehöll sig dock rätten att ändra sitt beslut efter att förundersökningen i fallet har avslutats.
Läs mer här:
