”Omöjligt se efter sina rättigheter – juridisk snårighet och hemlig teknik i nya domstolsdatalagen”

DEBATT – av Amelia Andersdotter, ordförande för Dataskydd.net

Regeringen tjyvstartar omskrivningen av registerlagar. Innan remisstiden för årets stora utredning om myndighetsdatalagar (SOU 2015:39) ens löpt ut, springer regeringen iväg med en proposition om registrering av personuppgifter i domstolsväsendet (prop. 2014/15:148).

Datainspektionens och domstolarnas invändningar avfärdas i strid mot all tillgänglig kunskap från forskning och näringsliv om design och säkerhet i datasystem. Regeringen menar att varje domstol på egen hand utmärkt kommer att ta ansvar för Domstolsverkets stordatorer.

Man föreslår ett antal detaljerade regler om sökbegrepp och uppgiftskategorier som det inte finns någon möjlighet för varken registrerade privatpersoner eller allmänheten att granska. Tekniska åtgärder föreslås hållas hemliga för allmänheten.

Datainspektionen kan så klart fortsatt göra tillsyn och har vi otur föreslår regeringen detta som enda möjlighet till utvärdering av lagens efterlevnad – precis för att regeringen har stenkoll på vad som hänt när Datainspektionen gjort tillsyn mot polismyndigheter (hint: ingenting).

Domstolsdatalagen kommer, om man får tro SOU 2015:39, att bli en av otaliga specialregisterlagar. Det är förvisso sant att de nog blir färre än de varit tidigare – men för en normal privatperson är till och med 50 specialregisterlagar för mycket.

Den  juridiska snårigheten, i kombination med att tekniska åtgärder hålls hemliga för allmänheten, gör att privatpersoner inte har några praktiska möjligheter att förstå – eller se efter – sina rättigheter överhuvudtaget.

Det kan inte vara i linje med den positiva skyldighet Sverige har enligt Europakonventionen att skapa ett effektivt dataskydd.

Vad som behövs är enkla, tydliga principer, som är allmängiltiga. Lite grann som de enkla principer EU-kommissionen föreslog 2012: privatpersoner ska ha en rätt att veta, en rätt att samtycka – man ska inte samla in mer personuppgifter än absolut nödvändigt och vill man inte sätta privatpersonen själv i centrum för dataskyddet då ska man få ett kännbart straff för det.

Nä, den nya domstolsdatalagen är då inte hjälpsam för privatpersoner…

Inte heller är den särskilt uppiggande för domstolarna: ett IT-system blir osäkert och oregerligt just när man lägger ansvaret för hur det fungerar på någon som bara använder systemet. I det här fallet kommer användarna att vara domstolarna och de kommer vara utelämnade åt hur systemets konstruktör och förvaltare, Domstolsverket, beter sig.

Privatpersoner kommer vara ännu mer utelämnade: de ska med klagomål kunna vända sig till ”första bästa”. Men vad är ett klagomål värt om den som tar emot klagomålet inte kan agera på det? Vi kan inte förutsätta att medborgare i  Sverige vill initiera meningslösa kontakter med sina lokala domstolar bara för att vi har beslutat att hemlighålla för privatpersonerna vem som egentligen är systemansvarig.

Domstolsdatalagen är ett ogenomtänkt förslag som ställer individen långt bort från fokus i datahanteringen. Det är för jävligt! Det finns också flera enkla åtgärder som skulle göra förslaget så mycket bättre, och enklare, för privatpersoner att hantera:

• Som i personuppgiftslagen bör direktåtkomst göras avhängigt individens föregående samtycke. Då får privatpersoner möjlighet att lättare utvärdera vad IT-systemet och dess utformning faktiskt innebär. Det sammanfaller också med  ”samtyckesprincipen”.

• Inte bara tillgång, utan även insamling, av personuppgifter bör begränsas till det absoluta minimum som krävs för att domstolarna och nämnderna ska kunna utföra handläggning. Detta är  ”dataminimeringsprincipen”.

• Individer bör ha ges en rätt att informeras om alla fel, eller risker för fel, som uppstår i ett IT-system där deras personuppgifter behandlas. Att behöva stå till svars för när man gjort ett designfel, eller misslyckats med att hålla personuppgifter är säkra, är ett starkt och tydligt incitament att göra sitt bästa för att designa rätt, och säkra så bra som möjligt. Detta är ”kunskapsprincipen”.

• Dokumentation av behandlingar av personuppgifter måste utformas på ett sådant sätt att de hjälper privatpersoner ställa myndigheter till svars när myndigheterna eller deras underleverantörer agerar fel. För vad är en lag, som inte går att  upprätthålla?

Domstolsverket bör ges en skyldighet att interagera med privatpersoner som registreras i system som Domstolsverket förvaltar (exempelvis via individ-centrisk incident- och sårbarhetsrapportering och inhämtande av föregående samtycke vid direktåtkomst). Det finns ingen risk att individer inte förstår sådana åtgärder, eftersom Domstolsverket då hör av sig direkt till dem.

I stället för att detaljreglera sökbegrepp och undantag behövs bättre transparensåtgärder gentemot privatpersoner så att effektivt ansvarsutkrävande kan uppnås.

Domstolsverket bör bara ges möjlighet att  vägra förklara säkerhetsåtgärder och säkerhetsproblem efter särskild dispens från Datainspektionen, och då bara i upp till en begränsad tidsperiod.

När propositionen redan är lagd ser det förstås mörkt ut. Departementet har traskat runt i dessa okloka, nonchalanta tankebanor sedan före valet. Men riksdagen kan ändra förslaget, så att individer hamnar i centrum för betänkligheter även i IT-system.

Motionstiden går ut 30 september – till kamp, riksdagsledamöter! Försvaren edert folk!

Dataskydd.net är en svensk ideell förening som arbetar för bättre dataskydd i teknik och juridik.