DEBATT – av Amelia Andersdotter, ordförande Dataskydd.net och gästforskare vid Centre for Internet and Society
Ny europeisk lagstiftning, nya tillsynsområden och ett utredningsväsende som i febril takt kommer spotta ur sig nya lagförslag de närmaste månaderna. Det är ingen liten uppgift som väntar den nya generaldirektör för Datainspektionen som ska utses under våren eller sommaren.
Vem regeringen utser att efterträda Kristina Svahn-Starrsjö, som ska bli justitieråd, kommer att prägla den svenska tolkningen och tillsynen av EU:s allmänna dataskyddsförordning. Vilka ledaregenskaper man söker efter är skillnaden mellan en teknikorienterad, framtidsinspirerad inspektion och en inspektion som ser sitt uppdrag som att ropa nej i efterhand.
Att Datainspektionens resurser är begränsade är ett problem. Under 2017 har Datainspektionen i Sverige ungefär hälften så många anställda per capita som sin norska motsvarighet.
Den svenska budgeten för år 2017 är bara en tredjedel så stor per capita som den irländska. Datainspektionen har till skillnad från många europeiska motsvarigheter inget eget tekniskt labb där de själva kan utveckla förståelse för teknikutvecklingen[1].
Men det är inte bara dåliga resurser som plågar inspektionen, utan också hur de väljer att utföra sitt jobb. Det är en formalistisk myndighet.
Det vanligaste klagomålet jag hör mot inspektionen är att de istället för att ge svar på vad lagtexten betyder i praktiken, säger ”det beror på”. Ett formellt tillfredsställande, men ohjälpsamt svar.
Som jämförelse kan nämnas Post- och telestyrelsens (PTS) hjälpsamma riktlinjer för hur man skyddar sig mot att någon annan stjäl ens webbsidas identitet[2](rimligen egentligen Myndigheten för samhällsskydd och beredskaps (MSB) ansvarsområde) eller hur man skyddar personuppgifter vid inloggningar[3] (rimligen egentligen Datainspektionens ansvarsområde).
Det är inte Datainspektionen, utan MSB, som tillhandahåller dinsakerhet.se trots att inspektionen ansvarar för privatpersoners informationssäkerhet. Inte heller är det Datainspektionen, utan PTS, som anordnar Integritetsforum[4] – en plats där konsumenter, företag, medborgare och myndigheter kan mötas för att prata om aktuella dagsfrågor.
Fungerande samarbeten ser inspektionen inte ut att ha med vare sig med Konsumentverket, PTS eller MSB. Inte ens samarbetet med Säkerhets- och integritetsnämnden uppges av Riksrevisionen fungera optimalt, trots överlappande tillsynsområden.[5] Datainspektionen håller sig långt borta från händelsernas centrum. Men det borde de inte göra!
Inspektionen behöver ett nytt ledarskap. Regeringen bör vid tillsättandet av ny generaldirektör tänka utanför lådan. Dataskydd och informationssäkerhet är en teknisk möjlighet, inte ett juridiskt sänke.
Det är inget man ska skämmas för. För att utnyttja kraften i nästa stora teknikvåg krävs en ledare för inspektionen som är problemlösare, kanske en ingenjör, någon med erfarenheter från verksamheter utanför statsapparaten.
Det finns många processer som Datainspektionen kan dra nytta av: en explosion av forskning inom ”usable security”, tillämpning av inspektionens egna riktlinjer för inbyggt integritetsskydd från 2012, riktlinjer för privacy i protokoll och tekniska specifikationer och webbstandardisering[6].
Vi har en växande korpus av ekonomivetenskaplig forskning om hur öppenhet kring säkerhetsfrågor gynnar både företag och konsumenter. Det framtida ledarskapet på Datainspektionen bör utses med det i åtanke att inspektionen borde låta både sig själv och andra inspireras av den här utvecklingen.
Bollen ligger i regeringens händer. Ett mindre inspirerat val av efterträdare kommer sannolikt flytta det numera gemensamma europeiska handlingsimperativet på dataskyddsområdet till någon annan, fiffigare datainspektion. Det vore synd, för Sverige har länge varit driftiga på teknikområdet.
