Statlig kommitté finner många och allvarliga risker för den personliga integriteten

Integritetskommittén har lämnat ett betänkande till justitieministern. Det rymmer allt från hanteringen av personuppgifter inom elevhälsan och vår användning av sociala media till massövervakningen.

Jag har bara hunnit skumma rapporten, men här är några nedslag på områden som jag är extra intresserad av.

"När det gäller den generella skyldigheten för teleoperatörer att lagra vissa trafikuppgifter gör kommittén bedömningen att denna företeelse utgör ett väsentligt avsteg från den väl etablerade principen att personuppgiftsansvariga bara får lagra personuppgifter som de själva har ett behov av."

Kommitén konstaterar lakoniskt att polisens användning av tvångsmedel, spaningsverksamhet, spaning på nätet, bristfälliga registerhantering, registrering av data om våra flygresor, internationella informationsutbyte samt det faktum att ordningsmakten inte uppfyller de krav som ställs och de regler som gäller är förknippade med vissa, påtagliga eller allvarliga risker för den personliga integriteten.

"Det finns visserligen en skyldighet för FRA att lämna underrättelser till enskild när det använts sökbegrepp som är direkt hänförliga till en viss fysisk person. Med hänsyn till den sekretess som personuppgifter i försvarsunderrättelseverksamheten och den militära säkerhetstjänsten normalt sett omfattas av, måste dock denna skyldighet anses sakna en praktisk funktion som skydd för enskildas integritet."

"Vid signalspaning överförs all gränsöverskridande trafik i kabel till vissa samverkanspunkter, men det lagras inga uppgifter vid dessa punkter och endast en begränsad trafikmängd förs vidare till FRA via s.k. signalbärare. Trots detta innebär den verksamhet som bedrivs vid FRA att det i stor utsträckning inhämtas och bearbetas personuppgifter som kan vara av mycket privat och känslig natur. Mot bakgrund av att uppgifterna hämtas in och behandlas av myndigheter som omgärdas av stark sekretess och stora befogenheter skulle kunna göras gällande att riskerna för den personliga integriteten i samband med signalspaning ska bedömas som allvarliga. Intrånget i den personliga integriteten är tveklöst mycket omfattande för de enskilda personer som faktiskt blir föremål för granskning. Mot bakgrund av att det finns tydliga regler om på vilket sätt denna spaning får bedrivas, att kontrollfunktionerna förefaller att fungera och att endast en ytterst liten del av den totala informationen blir granskad, gör kommittén ändå den sammanvägda bedömningen att riskerna inom det här området ska betraktas som påtagliga."

"Det finns anledning att anta att teknikutvecklingen även har inneburit att kameraövervakningen i samhället har ökat väsentligt. I dagsläget är det dock ingen myndighet som har en samlad bild över hur omfattande kameraövervakningen är. Det finns inte ens någon samlad statistik avseende sådan kameraövervakning som kräver tillstånd eller anmälan. Denna avsaknad av statistik är en brist som gör det svårt att upptäcka förändringar när det gäller användningen av kameraövervakning. Avsaknaden gör det också svårt att bedöma hur omfattande kameraövervakningen faktiskt är."

"Om olika kamerasystem kopplas samman med varandra eller om inspelade bilder kopplas samman med information i stora databaser och biometriska funktioner som t.ex. ansiktsigenkänning, möjliggörs en omfattande kartläggning och intrånget i den personliga integriteten kan bli mycket stort."

"Vid lagring av omfattande material ökar också risken för s.k. ändamålsglidning, dvs. för att materialet kommer till annan användning än den för vilken inspelningen ursprungligen gjordes. Lagring, bildanalys och annan vidareanvändning av bilder och film ökar alltså riskerna som är förknippade med kameraövervakning. Kommittén bedömer därför att lagring och vidarebearbetning av sådana uppgifter är förknippade med allvarliga risker för den personliga integriteten."

"En risk är att biometriska uppgifter behandlas för nya ändamål som är oförenliga med de ändamål för vilka uppgifterna ursprungligen samlades in. Exempelvis kan biometriska uppgifter om gångstil och ansikte användas inte bara för att identifiera enskilda, utan också för att hitta oönskade beteenden eller särskilda behov hos enskilda. En annan risk är att fler biometriska uppgifter hanteras än vad som behövs för ändamålet, t.ex. att hela fingeravtryck samlas in och lagras när det i själva verket hade varit tillräckligt att bara hantera vissa mätpunkter från fingeravtrycket. Detsamma kan inträffa när uppgifter om DNA inte bara möjliggör identifiering, utan även avslöjar något om den registrerades hälsotillstånd, sjukdomsbenägenhet eller etniska ursprung. (...) Sammantaget anser kommittén att användningen av tekniker som involverar många och detaljerade biometriska uppgifter, innebär en påtaglig risk för den personliga integriteten."

Allt detta bara ur den inledande, allmänna översikten. Nu är det dags att gräva ner sig i detaljerna i det 800-sidiga dokumentet. Hjälp gärna till att gräva – PDF:en hittar du här. »

Trots att det ovanstående måsta anses som viktiga och allvarliga saker drunknar de delar av betänkandet som handlar om statens övervakning av medborgarna i kommitténs mycket omfattande och breda  överblick av integritetsfrågorna. Risken är att de kommer bort bland alla resonemang om Facebook, konsumentfrågor, patientjournaler, försäkringsfrågor, arbetsplatsfrågor, näthat och annat.

Då frågor som rör statens övervakning av medborgarna är av en speciell natur – som ofta sker under tvingande former och som har en demokratisk dimension – kan man tycka att de bör förtjäna en separat granskning.

(För övrigt kan noteras att FRA:s nära samarbete med amerikanska NSA och brittiska GCHQ inte berörs i betänkandet. Detta trots att Sverige anses vara det land som har tätast samarbete med NSA utanför det så kallade Five Eyes-samarbetet – och trots att FRA till exempel har tillgång till NSA:s övervakningsdatabas XKeyscore.)

Med detta betänkande har Integritetskommittén identifierat ett stort antal områden som är är förknippade med vissa, påtagliga eller allvarliga risker för den personliga integriteten. Det är förvisso en bra början – men frågan är vad som händer nu.

Länkar:
• Pressmeddelande: Kartläggning identifierar allvarliga risker för den personliga integriteten »
• SOU 2016:41 Hur står det till med den personliga integriteten? – en kartläggning av Integritetskommittén (PDF) »

Stöd denna blogg »

Vad vill egentligen Moderaterna när det gäller kryptering?

Anna Kinberg Batra och Beatrice Ask presenterade i fredags Moderatenas åtgärdspaket mot radikalisering, våldsbejakande extremism och terrorism. Det är ömsom vin, ömsom vatten.

Vissa saker bär tydligt f.d. justiteminister Asks signatur...

"Säkerhetspolisen bör ges möjlighet till hemlig dataavläsning, vilket innebär möjligheter att läsa krypterad datatrafik för att kunna säkra bevisning mot personer som gör sig skyldiga till terrorismrelaterad brottslighet."

Det är lite oklart vad som menas med detta. (Frågan är om Ask vet själv.) Hemlig dataavläsning handlade från början om att kompromettera folks datorer med spionprogram. Men skrivningen om att "läsa krypterad datatrafik" antyder något annat.

Min gissning är att Moderaterna närmar sig den amerikanska och den brittiska regeringens ståndpunkt vad gäller kryptering. Det vill säga att kräva "bakdörrar" till olika former av krypterad datatrafik. (Läs mer här »)

Vilket är en befängd idé – och i princip omöjlig att genomföra på ett praktiskt rimligt och säkert sätt. (Kunde de, då skulle de förmodligen kräva ett förbud mot kryptering helt och hållet. Men det skulle göra internet osäkert och oanvändbart.)

Sedan är det ju så att tvångsmedel sällan införs mot en viss typ av brott, utan riktas snarare mot brott som har ett visst minsta straffvärde. Vilket innebär att vad det nu är Ask vill införa, så kommer det att kunna drabba alla.

Det vore mycket uppskattat om Moderaterna talade ur skägget – och gav klara besked om vad de egentligen vill göra när det gäller krypterad datatrafik.

• Moderaterna presenterar samlade åtgärder mot radikalisering och terrorism »
• Moderaterna: Skriv in reseförbud i terrormisstänktas pass »

• A first sign of an EU ban on encryption? »
• Vad är det SÄPO egentligen vill göra? »

Och så en äldre artikel, som ger ett större perspektiv på övervakningen:
• Rent mjöl i fel påse »

Nu vill staten ha tillgång till innehållet i våra elektroniska kommunikationer och aktiviteter

Med teledatalagringen spar man data om alla svenskars alla telefonsamtal, mobilsamtal, SMS, e-postmeddelanden, internetuppkopplingar och mobilpositioner.

Nu går man vidare. Nu skall även själva innehållet kunna sparas av staten. I vart fall när det gäller sådant som sker på internet.

Det är utredningen om dataintrång som föreslår nya tvångsmedel. Utredaren, Nils Rekke, anser att det inte bara räcker med att spara IP-nummer, namn och tidpunkt. Han vill även kunna spara innehållet i människors elektroniska kommunikationer och aktiviteter.

Visst, att övervaka och avlyssna misstänkta är en sak. Men stannar det där?

Vi vet sedan tidigare att när polisen får rätt att övervaka – då övervakar den även människor som egentligen inte har med pågående utredningar att göra. Människor som över huvud taget inte är misstänkta för brott.

Och kom ihåg att det inte är du som bestämmer hur rent mjöl du har i påsen. Snart sagt var enda människa gör varje dag saker på internet som kan missuppfattas, vantolkas eller vridas till.

För att citera den hemliga polisens anfader, Kardinal Richelieu... "Ge mig sex rader skrivna av den hederligaste man som finns – och jag ska hitta en förevändning i dem att hänga honom."

SR Ekot rapporterar vidare "Man ska också kunna tvinga till exempel systemadministratörer att samarbeta att leta fram uppgifter för att hjälpa polisen i sin brottsutredning. Det gäller även de som levererar krypteringstjänster och som har det som affärsidé, enligt Nils Rekke."

Läs mer: Skärpt straff för dataintrång föreslås »

Ytterligare en dystopi

Är på blixtbesök i London över dagen. (Det känns fortfarande väldigt häftigt att kunna nå centrala London på under två timmar med tåg.)

Under tiden vill jag rekommendera lite läsning..

Veckans kanske viktigaste bloggpost finns hos Mark Klamberg. På juristens lite torra och sakliga sätt klär han effektivt av Storebror.

I denna bloggpost ger han oss en föraning om hur de lagändringar som föreslås i Polismetodutredningen kan komma att slå igenom.

Snabbversionen: Åsiktsregistrering & tvångsmedel för att jaga fildelare.

Allt håller fan på att gå över styr.

Tvångsmedel för småbrott

På fredag presenterar den så kallade polismetodutredningen sitt delbetänkande – vars instruktion är att föreslå vissa tvångsmedel även för småbrott.

Tidigare har principen varit att mindre brott – till exempel sådana som bara ger böter – inte skall motivera integritetskränkande tvångsmedel. Man har menat att det är att jaga mygg med luftvärnskanon. Men nu skall det alltså bli ändring på den saken.

Det innebär till exempel att polisen får rätt att begära ut identiteten på internetanvändare som bara ägnar sig åt bagatellartad fildelning.

Myntets andra sida är att polisen inte längre själv skall kunna begära ut elektroniska trafikdata, utan måste gå via domstol.

Vad man gör är alltså att ta bort spärren för vilken grad av brottslighet som skall krävas för att polisen skall kunna kontrollera människors elektroniska kommunikationer – samtidigt som man höjer upp beslutet från polis och åklagare till en domstol, för att göra processen mer rättssäker.

Med andra ord håller man på att kratta manegen inför den kommande teledatalagringen.

Läs mer i SvD»

Och i USA tar man ett steg till i sin övervakningsiver, avlyssning utan fullmakt. Länk»

From bad to worse...

Britterna tänker som bekant sätta upp ett jätteregister som skall lagra varje e-postmeddelande, telefonsamtal, SMS och internetaktivitet i Storbritannien. Det handlar inte bara om trafikdata, utan även om innehåll. [Edit: Det råder lite oklarhet om det handlar om allt innehåll eller "bara" trafikdata. Skall kolla närmare.]

Utöver den gigantiska integritetskränkning som detta medför, så är kostnaden enorm. Runt tolv miljarder brittiska pund.

Så nu funderar man på sätt att hålla kostnaden nere (utan att för den sakens skull minska på sina ambitioner vad gäller övervakningen). Därför överväger den brittiska regeringen att lägga ut hela registret på ett privat företag. Länk 1» Länk 2»

Inget ont om privat verksamhet. Sådan är ofta både billigare och mer effektiv än offentlig. Men det är inte vad det här handlar om.

Statliga tvångsmedel skall administreras av statliga myndigheter, inte av privata företag.

Om sådana här register alls skall finnas (vilket jag inte tycker) då måste den demokratiska kontrollen vara tydlig. Och ansvar måste direkt kunna utkrävas av politiker och tjänstemän om systemen läcker eller missbrukas. Sådant blir betydligt svårare att hantera om verksamheten läggs ut externt.

Dessutom är det korporativism på syra att låta statligt ordningsväsende och statlig underrättelseverksamhet växa samman med vissa enskilda privata företag.

Det finns anledning att vara orolig å britternas vägnar. Dessutom tenderar allt sådant här att även sprida sig till Sverige så småningom...

(Tipstack: Peder)

När du trodde att det inte kunde bli värre... Igen.

"The Home Office has quietly adopted a new plan to allow police across Britain routinely to hack into people’s personal computers without a warrant.

The move, which follows a decision by the European Union’s council of ministers in Brussels, has angered civil liberties groups and opposition MPs. They described it as a sinister extension of the surveillance state which drives “a coach and horses” through privacy laws.

The hacking is known as “remote searching”. It allows police or MI5 officers who may be hundreds of miles away to examine covertly the hard drive of someone’s PC at his home, office or hotel room.

Material gathered in this way includes the content of all e-mails, web-browsing habits and instant messaging."

Från brittiska The Times.»

Notera speciellt EU-referensen. Tidningen skriver vidare "Under the Brussels edict, police across the EU have been given the green light to expand the implementation of a rarely used power involving warrantless intrusive surveillance of private property."

Samma sak är på gång här i Sverige. Utredningen är klar. Regeringen funderar just nu på hur propositionen skall skrivas. Och sossarna är för. De har, precis som när det gäller teledatalagringen, varit pådrivande.

(I den svenska utredningen talas för övrigt öppet om att man ser människors lösenord, kryptonycklar och användandet av anonymiseringstjänster som ett problem som man måste komma till rätta med.)

Och ur mörkret hördes en röst som sade
le och var glad, ty det kunde ha varit värre.
Så jag log och var glad.
Och se. Det blev värre.

(Tipstack: Christian)

EU vill installera trojaner i folks datorer

EU:s ministerråd tycker att det vore en bra idé om polisen kan få använda trojaner (spionprogram) för brottsbekämpning.

Det handlar alltså om att i hemlighet lägga in program på folks datorer som registrerar allt de gör.

I Sverige finns redan en utredning om detta. (SOU 2005:38) Och en proposition kan komma att läggas fram för riksdagen redan under denna mandatperiod.

Bland de tänkbara brott som ministerrådet nämner finns spam. Visst, spam är ett irriterande problem. Men är spammande verkligen ett så allvarligt brott att det motiverar så här kraftiga tvångsmedel?

Man kan också anta att personer som misstänks för att ägna sig åt fildelning kan drabbas av myndigheternas spionprogram. Och för skatteförvaltningen är detta naturligtvis en våt dröm. Det kan även vara ett sätt att hålla koll på folk som misstänks hysa åsikter som är olagliga i EU, till exempel de som förnekar förintelsen. Detta för att nu bara ta några exempel.

Och som all spaning kommer den inte bara att drabba skyldiga, utan även de som bara är misstänkta. Vilket gör att det är den som är oskyldig som verkligen har något att frukta.

För myndigheternas spionprogram kommer att avslöja allt om dig. Det är inte bara ditt surfande, dina lösenord och din mail som kommer att kartläggas. Din ekonomi kommer att blottläggas. Dina sexuella preferenser kommer att noteras. Dina politiska åsikter likaså. Liksom allt som kan ha med din eventuella religiösa uppfattning att göra. Ditt sociala nätverk kommer att exponeras för Storebror. Och så vidare. Allt som finns på din dator eller som du använder den för att göra blir tillgängligt för staten.

Länk»

(Tipstack: Johan)