Skip to content

"Dataskyddet åsidosätts i ny ID-kortslag - lämnar medborgarna maktlösa inför myndigheterna"

DEBATT - av Amelia Andersdotter, ordförande för Dataskydd.net

 

Regeringens nya förslag om integritetsskydd i vissa delar av Skatteverkets verksamhet gör det juridiskt omöjligt att bygga tekniskt säkra system. Förslaget lämnar, likt andra förslag på området, privatpersoner maktlösa inför myndighetsväsendet. Man borde istället ta efter EU:s dataskyddsförslag från 2012, och satsa på dataminimering, ansvarsutkrävande och transparens.

Justitiedepartementets pågående projekt att uppdatera Sveriges specialregisterlagar borde vara en källa till glädje. Istället är det med blandad skräck och förvåning man läser förslagen som läggs till riksdagen under hösten 2015. Nu senast Proposition 2015/16:28 om behandling av personuppgifter och regleringen av id-kortsverksamheten hos Skatteverket. 

Inte bara i förslagen om ny domstolsdatalag och ändringar i vägtrafikregisterlagen, utan också i det senaste förslaget, ignorerar Justitiedepartementet invändningarna från Datainspektionen. Konsekvensen är, precis som i de tidigare förslagen, att integritetsskyddet för privatpersoner blir sämre, men också att förutsättningarna för IT-säkerhet försämras.

Specialregisterlagar styr processer i myndigheterna som normalt är dolda för privatpersoner. Att de flesta privatpersoner inte dagligen har anledning att intressera sig för myndigheternas IT-system innebär inte att de bör lämnas maktlösa inför dem.

Justitiedepartementets förslag innebär dock fullkomligt utlämnande: hemlig och omfattande delning av information mellan myndigheter, utan andra garantier för rättssäkerhet än att lagen säger att myndigheterna ska bete sig snällt. Det är inget bra recept för varken transparens eller ansvarsutkrävande. Faktum är att transparens och öppenhet är alternativet till det man idag företar sig.

Efter att danska myndigheter utsattes för grovt dataintrång 2013 (liknande det som även tre stora svenska myndigheter erfor 2009) utförde danska Datatilsynet en genomgång av tekniska och organisatoriska säkerhetsåtgärder i myndigheternas IT-system. Man fann att omfattande delning av "IT-systemmässiga resurser" mellan "åtskilliga personuppgiftsansvariga" var en av de huvudsakliga orsakerna till att dataintrånget över huvud taget kunde få så allvarliga konsekvenser eller ens vara möjligt.

Den omfattande - och för den normala privatpersonen hemliga - datadelningen som sker mellan myndigheterna utgör alltså en teknisk och organisatorisk risk för privatpersonen. Det här är ett känt tekniskt problem.

Justitiedepartementet hade kunnat identifiera det genom att lyssna på Datainspektionen eller genom att inkludera teknisk expertis i sina utredningskommittéer, men har valt att inte göra något av dem.

Det saknas utredningar om effekterna på myndigheter av tekniskt och organisatoriskt dålig IT-infrastruktur, men man kan anta att dålighet påverkar även dem negativt.

Vi saknar indikationer på att mer invecklad IT-infrastruktur och datadelning mellan myndigheter effektiviserar deras arbete, samtidigt som effektivisering anförs som den enda anledningen att byta bort privatpersoners rättigheter och säkerhet. Men Statskontoret konstaterade 2014 att statliga myndigheter anställer fler personer att göra mer jobb idag än för tio år sedan.

Justitiedepartementet bör hejda sig, och fundera över om det verkligen är mer av samma ineffektiviserande, datadelande medicin som behövs. Särskilt då medicinen utsätter privatpersoner, och samhället i övrigt, för större säkerhets- och dataskyddsrisker.

Inte heller förslagen om detaljbestämmelser för sökbegrepp och uppgiftskategorier är ändamålsenliga. Även om man menar att vara snäll, är allt som sker i myndigheternas datorer hokuspokus för allmänheten så länge de inte själva kan utvärdera vad som händer, eller utkräva ansvar ifall något går fel.

Det man bör satsa på är dataminimering (insamling av så lite data som möjligt, och tillgång till så lite data som möjligt), individcentrisk incident- och sårbarhetsrapportering, och tydlig inkludering av privatpersonen även i automatiserade beslut, till exempel genom att ställa krav på samtycke inför datadelning mellan myndigheter.

Dataskydd.net har utvecklat sin syn på detta i ett remissyttranden på SOU 2015:73 om personuppgiftsbehandling på utlännings- och medborgarskapsområdet samt SOU 2015:23 om en svensk informationssäkerhetsstrategi.

Justitiedepartementets förslag landar i olika delar av riksdagen. Vägtrafikregistret hamnade hos trafikutskottet. Domstolsdatalagen i justitieutskottet. Den nya lagen om ID-kortsregister hos skatteutskottet.

Bristerna i förslagen är konsekventa, men våra folkvalda har inte getts förutsättningar att hitta felen. Alla ledamöter kan inte tillägna sig den kunskap om IT-säkerhet och danska utredningar som krävs för att genomskåda Justitiedepartementets kompetensbrist.

Tyvärr indikerar väl också den strida strömmen av propositioner med IT-säkerhetsmässigt och dataskyddsmässigt undermåliga förslag att riksdagsbehandlingen mest är en rubber stamp-process.

 

 

Tipsa via e-post

Ange flera adresser på olika rader eller separera dem med kommatecken.

Vill du verkligen anmäla denna kommentar som olämplig?

Anmäl Avbryt

10 comments

Mycket bra, Amelia! Myndigheternas omättliga datatörst måste stoppas.

Som datanörd (jobbat med dessa maskiner sedan 1975) så kan jag - enkelt - konstatera att det som du skriver om systemet - det är att systemet är otroligt sårbart.
Har MSB fått säga vad det tycker, förutom DI?
Hur stämmer det med domen där man menade på att Europakommissionen bröt mot EKMR i och datadirektivet. Domstolen menade på att det var intrång i privatlivet och upphävde ministerbeslutet. Samt också i förlängningen även Svensk lag.

Efter WW II så hade både Holland som Belgien förbud i lag att använda personnummer eller liknande generellt identifieringssystem. Varför då - Judeförföljelsen. Med tanke på att sådant "kanske" är på väg att upprepas. Var femte svensk (20%) är övertygad om att människor kan delas upp i raser. Att vi alla kommer från samma ställe (Östafrika) har undgått dessa individer, som i US kallas för "redneck". I Sverige skulle vi kunna kalla dessa för "essde".

En annan aspekt är rättsväsendets tilltro till det en dator lämnar på ett papper. Utskriften med information - där det inte går med säkerhet att säga varifrån det kommer eller hur det samlats in, har tyngre värdering än vad en människa säger. Konstigt, för i lagstiftningen finns inget att dator kan vara part...
Under mina år har jag bara träffat en (1) myndighetsperson som sagt som det var, en skattehandläggare: "- Det datorn säger, det kan man inte lita på för datorn är bara ett arbetsredskap." Hon kan inte fått vara kvar på Skatteverket så länge till med sådan åsikter...

"har jag bara träffat en (1) myndighetsperson som sagt som det var, en skattehandläggare: "- Det datorn säger, det kan man inte lita på för datorn är bara ett arbetsredskap."" => Det där är väldigt roligt. När jag sökte en peng från FK för pappa-ledighet fick jag höra att handläggaren bara följer vad datorn säger åt henne. "Vem har gjort programmet då?" frågade jag i hopp om att kunna eskalera. "Alltså, det kommer ovanifrån" svarade enhetschefen då. "Ovanifrån? Är du säker på att det inte kommer nerifrån?" frågade jag med en udd av illa dold otålighet. Längre än så kom jag inte.

Myndigheten för samhällsskydd och beredskap hanterar kriser och förebyggande av kriser i statens byråkratiska maskineri så som det ser ut. MSB har inte till uppgift att vara med och styra vilka värderingar samhället ska bygga in i sina infrastrukturer, utan att de värderingar som faktiskt byggts in fungerar så pass förutsägbart som möjligt.

Datainspektionen har ett bredare mandat, för de kan lägga rekommendationer och påpekanden om hur infrastrukturen kan konstrueras som är extra lämpligt för individers säkerhet.

Med det sagt så kan säkert MSB invända om de vill. Det är värt att notera att MSB (men även t ex Säpo och FRA, som ju också konkurrerar om att vara säkerhetsexperter i myndighetsvärlden) verkar i statens intresse, inte individens. Uppdragsformuleringen för dessa myndigheter är inte skriven så privatpersoners intressen av säkerhet, dataskydd, osv kan sättas i centrum för deras verksamhet. "Säkerhet" är väldigt beroende av vem man skyddar mot vad och varför.

Datainspektionen är ur den aspekten den enda myndigheten som kan (och faktiskt också försöker) ge goda råd för hur man skyddar individer i IT-system. Så vitt jag förstår finns formella förhinder för andra myndigheter att fylla samma roll.