”Dataskyddet åsidosätts i ny ID-kortslag – lämnar medborgarna maktlösa inför myndigheterna”

DEBATT – av Amelia Andersdotter, ordförande för Dataskydd.net

Regeringens nya förslag om integritetsskydd i vissa delar av Skatteverkets verksamhet gör det juridiskt omöjligt att bygga tekniskt säkra system. Förslaget lämnar, likt andra förslag på området, privatpersoner maktlösa inför myndighetsväsendet. Man borde istället ta efter EU:s dataskyddsförslag från 2012, och satsa på dataminimering, ansvarsutkrävande och transparens.

Justitiedepartementets pågående projekt att uppdatera Sveriges specialregisterlagar borde vara en källa till glädje. Istället är det med blandad skräck och förvåning man läser förslagen som läggs till riksdagen under hösten 2015. Nu senast Proposition 2015/16:28 om behandling av personuppgifter och regleringen av id-kortsverksamheten hos Skatteverket. 

Inte bara i förslagen om ny domstolsdatalag och ändringar i vägtrafikregisterlagen, utan också i det senaste förslaget, ignorerar Justitiedepartementet invändningarna från Datainspektionen. Konsekvensen är, precis som i de tidigare förslagen, att integritetsskyddet för privatpersoner blir sämre, men också att förutsättningarna för IT-säkerhet försämras.

Specialregisterlagar styr processer i myndigheterna som normalt är dolda för privatpersoner. Att de flesta privatpersoner inte dagligen har anledning att intressera sig för myndigheternas IT-system innebär inte att de bör lämnas maktlösa inför dem.

Justitiedepartementets förslag innebär dock fullkomligt utlämnande: hemlig och omfattande delning av information mellan myndigheter, utan andra garantier för rättssäkerhet än att lagen säger att myndigheterna ska bete sig snällt. Det är inget bra recept för varken transparens eller ansvarsutkrävande. Faktum är att transparens och öppenhet är alternativet till det man idag företar sig.

Efter att danska myndigheter utsattes för grovt dataintrång 2013 (liknande det som även tre stora svenska myndigheter erfor 2009) utförde danska Datatilsynet en genomgång av tekniska och organisatoriska säkerhetsåtgärder i myndigheternas IT-system. Man fann att omfattande delning av ”IT-systemmässiga resurser” mellan ”åtskilliga personuppgiftsansvariga” var en av de huvudsakliga orsakerna till att dataintrånget över huvud taget kunde få så allvarliga konsekvenser eller ens vara möjligt.

Den omfattande – och för den normala privatpersonen hemliga – datadelningen som sker mellan myndigheterna utgör alltså en teknisk och organisatorisk risk för privatpersonen. Det här är ett känt tekniskt problem.

Justitiedepartementet hade kunnat identifiera det genom att lyssna på Datainspektionen eller genom att inkludera teknisk expertis i sina utredningskommittéer, men har valt att inte göra något av dem.

Det saknas utredningar om effekterna på myndigheter av tekniskt och organisatoriskt dålig IT-infrastruktur, men man kan anta att dålighet påverkar även dem negativt.

Vi saknar indikationer på att mer invecklad IT-infrastruktur och datadelning mellan myndigheter effektiviserar deras arbete, samtidigt som effektivisering anförs som den enda anledningen att byta bort privatpersoners rättigheter och säkerhet. Men Statskontoret konstaterade 2014 att statliga myndigheter anställer fler personer att göra mer jobb idag än för tio år sedan.

Justitiedepartementet bör hejda sig, och fundera över om det verkligen är mer av samma ineffektiviserande, datadelande medicin som behövs. Särskilt då medicinen utsätter privatpersoner, och samhället i övrigt, för större säkerhets- och dataskyddsrisker.

Inte heller förslagen om detaljbestämmelser för sökbegrepp och uppgiftskategorier är ändamålsenliga. Även om man menar att vara snäll, är allt som sker i myndigheternas datorer hokuspokus för allmänheten så länge de inte själva kan utvärdera vad som händer, eller utkräva ansvar ifall något går fel.

Det man bör satsa på är dataminimering (insamling av så lite data som möjligt, och tillgång till så lite data som möjligt), individcentrisk incident- och sårbarhetsrapportering, och tydlig inkludering av privatpersonen även i automatiserade beslut, till exempel genom att ställa krav på samtycke inför datadelning mellan myndigheter.

Dataskydd.net har utvecklat sin syn på detta i ett remissyttranden på SOU 2015:73 om personuppgiftsbehandling på utlännings- och medborgarskapsområdet samt SOU 2015:23 om en svensk informationssäkerhetsstrategi.

Justitiedepartementets förslag landar i olika delar av riksdagen. Vägtrafikregistret hamnade hos trafikutskottet. Domstolsdatalagen i justitieutskottet. Den nya lagen om ID-kortsregister hos skatteutskottet.

Bristerna i förslagen är konsekventa, men våra folkvalda har inte getts förutsättningar att hitta felen. Alla ledamöter kan inte tillägna sig den kunskap om IT-säkerhet och danska utredningar som krävs för att genomskåda Justitiedepartementets kompetensbrist.

Tyvärr indikerar väl också den strida strömmen av propositioner med IT-säkerhetsmässigt och dataskyddsmässigt undermåliga förslag att riksdagsbehandlingen mest är en rubber stamp-process.