Kristoffer Qvists blogg om allt möjligt

Kategori: Lagar och direktiv

1984 – ”äntligen” i Sverige

Jag har tidigare skrivit om lagförslaget som regeringen Löfven tog fram. Lagförslaget innebär kortfattat att polisen ges möjligheten att installera trojaner på bland annat mobiler och datorer. Lagförslaget har fastslagits, och kommer att bli lag från och med den 1 april i år. Det innebär att Sverige får ett övervakningssamhälle mer likt det som beskrivs i Orwells roman ”1984”. Vill man läsa mer i lagförslaget, så kan man besöka Riksdagens webbplats om ”Hemlig dataavläsning”.

David Massi, advokat och känd från bland annat YouTube-kanalen Advokatsnack, tog upp denna lag i sin kanal. Vad problemet med lagen är, är att polisen på mycket godtycklig basis kan genomföra så kallad ”hemlig dataavläsning”. Personer som både är ”skäligen misstänkta”, och även eventuella kontakter till dessa ”skäligen misstänkta”.

David förklarar på ett mycket pedagogiskt sätt att ”skäligen misstänkt” är den lägsta graden av misstanke som en person kan ha. Att även personer, som kanske kan ta kontakt med dessa skäligen misstänkta, kan bli föremål för ”hemlig dataavläsning” är mycket skrämmande. För en enskild person är det ett mycket stort integritetsintrång att bli föremål för det.

Att installera trojaner, virus och genomföra s.k. ”zero-day”-attacker hör enligt mig inte till brottsbekämpande myndigheters uppgifter. Andra frågor som jag kan se är om myndigheter har de kunskaper som krävs att använda sådana verktyg som lagen ger rum till. Istället bör man lägga fokus på samarbete mellan myndigheter, både nationellt men även internationellt.

Dessutom anser jag att brottsförebyggande och -bekämpande myndigheter i större utsträckning behöver arbeta mer proaktivt mot att personer blir kriminella. Som jag nämnde i mitt tidigare inlägg om just lagförslaget, som det var då så kommer det inte spela någon roll om man själv anser sig ha ”rent mjöl i påsen” eller inte. Det är trots allt inte man själv som bestämmer vad som är det – utan någon annan.

Även om du som läser har ”rent mjöl i påsen” kanske har en bekant som inte har det? Råkar den personen vara skäligen misstänkt för brott så finns det en stor risk att polisen då har rätt att genomföra ”hemlig dataavläsning” på dig.

EU och upphovsrättsdirektivet som gick igenom

Ja, vad ska man säga nu efter att förslaget om upphovsrättsdirektivet gått igenom i EU? Jag är något skeptisk gentemot att det skulle vara bättre än innan även om IDG skriver att man har slipat detta direktiv.

Bakgrunden är ju egentligen två läger – om man förenklar detta – i sammanhanget; upphovsrättsinnehavare och plattformsinnehavare. Jag kan förstå båda parter; även om jag själv är partisk i frågan. Jag förstår att skapare av verk vill tjäna pengar på det som skaparna har gjort. Däremot är jag kritisk gentemot att det lagförslag som har lagts fram skulle vara det bästa i nuläget. Samtidigt är de tekniska förutsättningarna som skulle försäkra att internetplattformar skulle vara förenlig med lagen vara väldigt svåra att implementera. Detta bland annat på grund av olika rådande upphovsrättslagstiftning i olika länder.

Vad är faran med denna lagstiftning?

Lagstiftningen kan innebära att stora plattformar, såsom YouTube, kommer att behöva ha väldigt bra automatiska system med bland annat innehållsfilter. Vad jag anser rimmar illa är eventuell innehållsfiltrering av material som parodierar andra verk. Jag har i mitt tidigare inlägg skrivit varför jag är emot detta.

Jag får hålla med Gunnar Hökmark (M), som citeras i IDG:s artikel som jag länkade till tidigare. Han skrev, enligt IDG, ”en modern upphovsrättslagstiftning behöver klara av att göra bådadera, det vill säga värna upphovsrättsinnehavarnas rättigheter och samtidigt främja innovation och nya sätt att ta del av kultur. Vi anser att det liggande förslaget inte når den balansen, utan lägger en oproportionerligt stor börda på plattformarna, vilket spiller över på såväl kulturfrämjandet som Europas möjligheter att vara ett centrum för innovation och teknikutveckling”.

Ännu kan det förstås vara lite tidigt att säga hur lagen kommer att arta sig. Men jag är hellre vaksam och berättar om eventuella faror än sitter lugnt med i båten.

Datahanteringen av Facebook och övriga nätjättar

Facebook och övriga nätjättar har en otroligt stor datahantering av personliga data. Ibland kan de hantera mycket mer än vi känner till. Som de flesta känner till har dessa otroligt många användare i deras databaser. Nätjättarna förser användarna med diverse tjänster, däribland tillgång till sökresultat, mikrobloggande och sociala nätverk. Tjänsterna i sig kostar monetärt inget att använda – däremot betalar samtliga användare genom den data man delger både medvetet och omedvetet.

Med tanke på all publicerad information av nätjättarnas ”data mining”, kommer vi att sluta använda deras tjänster? Nedan skriver jag mer information om både bakgrund och mina egna tankar kring det hela.

Bakgrund och Cambridge Analytica

I efterdyningarna av Cambridge Analytica-skandalen som Facebook har skakats av, så har det tillkommit ytterligare information. Kort nämnt, för den som inte känner till skandalen, är att Cambridge Analytica under år 2014 skapade ett personlighetstest som ungefär 270 000 användare gjorde via deras Facebook-konto. När de godkände villkoren att genomföra testet, tog Cambridge Analytica dels deras användarinformation, men också testtagarnas vänners publicerade Facebook-information. Sammanlagt fick Cambridge Analytica data om ungefär 50 miljoner Facebook-användare. Mer information om skandalen, inklusive ytterligare källor.

Det har varit ett känt faktum att ”gratistjänster” använder den information som deras användare delger dem tack vare rätt långa användaravtal, som godtyckligt ändras. Jag har skrivit mer ingående om Facebook-skandalen i denna blogg. Jag har även skrivit om mina misstankar efter skandalen.

Nyare avslöjanden om datahantering

Facebook har delat med sig av information i väldigt stor utsträckning skrev NY Times i december. I deras artikel skriver tidningen hur Facebook har gett övriga företag rätt långtgående rättigheter att komma åt användarnas data. Exempel på sådant är följande:

  • Microsofts söktjänst Bing har fått ta del av Facebookanvändares vänner, utan användarnas tillstånd
  • Netflix och Spotify har fått ta del av användarnas privata meddelanden
  • Amazon har fått ta del av användares kontaktinformation via deras vänner
  • Låtit Yahoo! se inlägg av användare som stängt av deras publika delning

Något som definitivt bör vara oroväckande för användare på plattformen är just möjligheten för andra parter att läsa privata meddelanden. Den länkade tidningsartikeln beskriver också hur Spotify, Netflix och The Royal Bank of Canada kunnat gå in och se vilka användare som har privata chattar med varandra, samt läsa, skriva och radera dessa meddelanden.

Förfalskade konton – vanligt bland de stora plattformarna

Om det finns något som de stora plattformarna har problem med, så är det förfalskade konton. New York Times har också skrivit om detta fenomen, bland annat där de beskriver hur det ser ut på Twitter. De flesta av kontona är bottar som skapar innehåll på olika sätt.

Nu behöver inte en Twitter-bot per automatik vara ett förfalskat konto – det finns exempel där Twitter-bottar hämtar myndighetsinformation automatiskt för att informera allmänheten om aktuella händelser. Ett sådant exempel är SFQuakeBot, som hämtar information om jordbävningar i San Francisco-området och återpublicerar dem. Detta exempel gör det dock tydligt att det är en bot som (åter)publicerar informationen.

Däremot finns det andra exempel där bottar istället verkar vara verkliga personer, åtminstone vid en första anblick. Dock kan dessa vid en mer noggrann inspektion avslöjas, särskilt om man undersöker dem i grupp. Jag rekommenderar den som är intresserad att läsa artikeln, då NY Times har gjort mer långtgående undersökningar om detta.

Delar dina appar information med Facebook automatiskt?

Till skillnad mot många delar av världen så åtnjuter vi användare ett väldigt starkt skydd i EU gällande vår datahantering, i teorin. Detta eftersom GDPR kräver ökad transparens av organisationer som erbjuder tjänster där personuppgifter hanteras. Dessutom ska vi ha större granulär kontroll av hur vår data får användas.

Det har gjorts undersökningar av hur appar delar information med Facebook. Det skrämmande med exemplen är när de delar data med Facebook utan att ge användaren information först – eller ljuger användaren upp i ansiktet att de inte delar någon data. Privacy International har här gjort ett väldigt stort arbete i frågan. Undersökningen är gjord i Storbritannien, där GDPR är gällande lag. Detta betyder alltså att trots gällande lag kan det alltså ändå inträffa såpass stora snedsteg.

Privacy international skrev också att vissa ändringar har gjorts sedan publikationen av deras rapport. Det återstår dock att se huruvida utvecklare i tid har hunnit att uppgradera deras verktyg – om än detta har skett något för sent.

Kan jag göra något mer än att gå ur tjänsterna?

Förmodligen lär det vara svårt att gå ur flertalet av tjänsterna som nätjättarna erbjuder. Men om man vill göra mer för att ”sopa bort spåren” mot ljuset av den datahantering som finns, så kan man göra det. En systemadministratör skrev ett script för att modifiera samtliga av hans inlägg. Dock kommer det inte ändra den data övriga företag har ”kammat hem” av Facebooks användare, däremot kan det försvåra för framtida företag som hämtar information om Facebooks användare. Definitivt en kul grej, men troligtvis kommer den inte vara av större nytta för varken gemene man eller den mer tekniske personen. Detta med tanke på den datahantering som ligger bakom.

Kommer detta att ha någon inverkan i framtiden?

Jag skulle tro både ja och nej; samtliga plattformar som har otroligt många användare lär nog fortfarande vara kvar om fem år. Iallafall om användarbasen är lika stor, om inte större, än idag. Jag misstänker att nätjättarna kan få en ekonomisk smäll på fingrarna om de inte tar det försiktigt med EU-medborgares data. Jag förmodar också att det kan finnas vissa ekonomiska intressenter som drar sig ur tjänsteleverantörerna genom att sälja sina aktier.

Användarbasen kommer förmodligen inte att påverkas såpass mycket. Det har under tidigare år varit vanligt med skandaler, men trots detta så har användarantalet inte ändrats alltför mycket. Jag tror att det främst handlar om bekvämlighet och tillgänglighet. Facebook erbjuder nämligen en tjänst där många är anslutna, förmodligen flertalet av vännerna av denna inläggs läsare. Jag känner inte till några sociala nätverk som erbjuder samma tjänster som Facebook gör till den skalan användare som de har.

Det enda som jag misstänker eventuellt skulle kunna knäcka Facebook är en större systemkollaps. Antingen om de skulle få tillräckligt många ekonomiskt kännbara följder, som GDPR kan tillåta dataskyddsmyndigheter ge, eller större mjuk/hårdvarufel på jättens sida.

Med tanke på Facebooks storlek, lär det vara svårt att känna till samtliga delar med deras datahantering. GDPR har tvingat företaget att jobba ingående med ökad transparens, så att Facebook inte behöver få alltför stora ekonomiska repressalier. Men min misstanke är att det kommer vara ”business as usual” trots de skandaler som företaget tampats med.

GDPR och kryptering: Behövs egentligen det?

Bild som representerar GDPR och kryptering.

Regulation”. Bild av TheDigitalArtist. Licens: CC0.

Jag har stött på påståendet redan i några bloggar. Påståendet är ungefär GDPR kräver att du krypterar all personlig data. I verkligheten nämns kryptering fyra gånger i dataskyddsförordningen. I samtliga sammanhang nämns det inte som ett krav, utan snarare som en möjlighet. Vad är då kravet som man som organisation måste uppfylla? Jag stötte nyss på ett inlägg på Linkedin, vilket gjorde mig sugen att skriva detta inlägg…

Inlägget handlar om GDPR då man hanterar personuppgifter i en organisation. Det handlar alltså inte om privatpersoners egna privata kommunikation sinsemellan (skäl 18 och artikel 2 c i GDPR), eller då man utövar sin yttrandefrihet (tryckfrihetsförordningen samt yttrandefrihetsgrundlagen). Jag har själv också skrivit mer allmänt om detta i ett tidigare inlägg.

GDPR och kryptering: när kan det behövas?

Det hela beror på sitt sammanhang. För att ta ett exempel: när du loggar in på en hemsida, visas då en bild av ett hänglås i adressfältet? Förhoppningsvis finns det där, och det brukar betyda att anslutningen till sidan är krypterad. För den mindre tekniske personen betyder detta att ingen utomstående person kan tjuvlyssna på ditt lösenord. I alla fall inte vad gäller trafiken mellan din enhet och just den webbsidan. Då är det, enligt mig och flera andra, berättigat att använda kryptering. Google rekommenderar visserligen att alla sidor bör använda HTTPS. Den som utvecklar hemsidor bör känna till att Google belönar sidor som använder HTTPS i deras sök… Dessutom behöver det inte kosta någonting då Let’s Encrypt ger gratis certifikat som fungerar på de flesta nyare webbläsare.

Är kryptering överdrivet då?

Återigen, beror på sitt sammanhang. Hanterar man exempelvis känsliga personuppgifter lutar det med största sannolikhet åt det hållet. E-post är en kanal som man definitivt inte vill hantera personuppgifter oskyddat. Man kan nämligen likna e-post vid vykort. All e-post som skickas är nämligen skrivet i vanligt textformat. Men man kan förstås använda kryptering, genom ett webbläsartillägg såsom mailvelope. Använder man Thunderbird, och är något mer teknisk, kanske man vill använda Enigmail.

Jag har läst inlägg om att kryptera loggfiler vad gäller webbservrar. För: Det skapar ytterligare ett skydd mot att obehöriga skall kunna läsa loggfilerna. Emot: Krångligt att implementera.

Vad jag menar dataskyddsförordningen säger

Dataskyddsförordningen kräver inte explicit att man använder kryptering. Ordet kryptering nämns enbart fyra (4) gånger i dataskyddsförordningen. I nedan utdragningar har jag själv markerat ordet kryptering med fet text, så att det snabbare kan noteras av ögat:

För att upprätthålla säkerheten och förhindra behandling som bryter mot denna förordning bör personuppgiftsansvariga eller personuppgiftsbiträden utvärdera riskerna med behandlingen och vidta åtgärder, såsom kryptering, för att minska dem. Åtgärderna bör säkerställa en lämplig säkerhetsnivå, inbegripet konfidentialitet, med beaktande av den senaste utvecklingen […] i förhållande till riskerna och vilken typ av personuppgifter som ska skyddas. […]

Utdrag ur skäl 83 av dataskyddsförordningen. Första nämnandet av ”kryptering”.

4.   Om en behandling för andra ändamål än det ändamål för vilket personuppgifterna samlades in inte grundar sig på den registrerades samtycke eller på unionsrätten eller medlemsstaternas nationella rätt som utgör en nödvändig och proportionell åtgärd […], ska den personuppgiftsansvarige […] bland annat beakta följande:

[…]

e)

Förekomsten av lämpliga skyddsåtgärder, vilket kan inbegripa kryptering eller pseudonymisering.

Utdrag ur artikel 6 av dataskyddsförordningen. Notera orden ”kan inbegripa”.

Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art […] ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

a)

pseudonymisering och kryptering av personuppgifter,

Utdrag ur artikel 32, punkt 1.

Information till den registrerade i enlighet med punkt 1 krävs inte om något av följande villkor är uppfyllt:

a)

Den personuppgiftsansvarige har genomfört lämpliga tekniska och organisatoriska skyddsåtgärder och dessa åtgärder tillämpats på de personuppgifter som påverkades av personuppgiftsincidenten, i synnerhet sådana som ska göra uppgifterna oläsbara för alla personer som inte är behöriga att få tillgång till personuppgifterna, såsom kryptering.

Utdrag ur artikel 34, punkt 3. Artikeln handlar om vilka åtgärder man måste ta vid en personuppgiftincident, d.v.s. då data kan ha kommit i orätta händer.

I ovan nämnda fall nämns inte kryptering som ett krav, utan som ett medel. Dessutom nämns inte vilken slags kryptering som bör användas i samtliga fall. För att göra en extrem jämförelse, så är ett caesarchiffer väldigt enkelt i jämförelse med AES-256.

Slutsats av GDPR och kryptering

GDPR är i större mån intresserad av integritet och transparens än av kryptering. Med detta menar jag att förordningen hellre ser att man sparar så få personuppgifter som möjligt, så kort tid som möjligt och att de berörda får ta del av hur man som samlar in personuppgifter hanterar dem.

Såvitt som jag förstår kan man enligt skäl 49 behandla personuppgifter om det är absolut nödvändigt (och är proportionerligt) att göra sina system säkra. Detta genom att förhindra obehörigt tillträde, motverka delning av skadlig kod och även motverka DDoS samt övriga skador på IT-system.

Alltså: dokumentera mer och var transparent.

GDPR – vad innebär det?

Dataskyddsreglering”. Bild av mohammed_hassan. Licens: CC0.

GDPR; eller General Data Protection Regulation är den nya dataskyddsförordningen som träder ikraft den 25 maj 2018. Syftet med förordningen är att stärka skyddet för individers personuppgifter. GDPR medför även att organisationer får bättre dokumentation över sin datahantering.

Nedan kommer jag att gå igenom vad förordningen innebär, både för privatpersoner och de som hanterar personuppgifter.

GDPR – för mig som privatperson

Skyddet för samtliga personuppgifter blir mycket starkare. Dessutom utökas rättigheterna för att dels ta del utav data som organisationer har sparat om dig som privatperson. Man ges också rätt att rätt långväga bli bortglömd, i den mån som det går, från organisationers register. De fall då man inte kan bli helt bortglömd är då andra lagar kräver att uppgiften är sparad. Ett exempel är just verifikationer i bokföring, såsom kvitton.

Ibland kan inte heller alla uppgifter lämnas ut, såsom specificeras i den nya lagen. I artikel 12 punkt 5 att läsa följande:

Information som tillhandahållits enligt artiklarna 13 och 14, all kommunikation och samtliga åtgärder som vidtas enligt artiklarna 15–22 och 34 ska tillhandahållas kostnadsfritt. Om begäranden från en registrerad är uppenbart ogrundade eller orimliga, särskilt på grund av deras repetitiva art, får den personuppgiftsansvarige antingen

a)

ta ut en rimlig avgift som täcker de administrativa kostnaderna för att tillhandahålla den information eller vidta den åtgärd som begärts, eller

b)

vägra att tillmötesgå begäran.

Det åligger den personuppgiftsansvarige att visa att begäran är uppenbart ogrundad eller orimlig.

Enligt Dataskyddsinspektionen [och från januari 2021, Integritetsmyndigheten, imy] gäller inte dataskyddsreformen då man som privatperson hanterar personuppgifter i sin egna privata behandling, eller då man utövar sin yttrande- och informationsfrihet.

GDPR – för mig som hanterar personuppgifter

Begreppet personuppgift breddas, så att allt som kan kopplas till en privatperson blir en personuppgift. Man gör ingen skillnad på strukturerad (sådant som exempelvis sparas i en databas) och ostrukturerad data (exempelvis e-post). Dataskyddsförordningen innebär framför allt att den som hanterar personuppgifter måste göra en grundlig genomgång i sin organisation. Två viktiga som måste ställas är ”hur samlas personuppgifter in idag”, och ”varför hanteras dessa”?

När får jag samla in personuppgifter?

Enligt GDPR måste man som organisation ha en rättslig grund för att samla in personuppgifter. Det kan antingen vara att man har tagit emot ett samtycke, eller för att uppfylla bokföringsskyldigheten enligt bokföringslagen. Som organisation kan man även ha skrivit avtal, och får då enbart använda sig av personuppgifterna i enlighet med det avtalet. Dessa finns att läsa i artikel 6 av GDPR.

Det som är viktigt vid insamlande av den personliga datan är att man skall samla in så lite som möjligt, om man behöver samla in personuppgifter. Dessa bör också sparas i så kort tid som möjligt, det vill säga att man inte kan spara dem bara för att de är ”bra att ha”.

Man har möjlighet att samla in personuppgifter för, såsom Datainspektionen skriver:

arkivändamål av allmänt intresse, vetenskapliga eller historiska forskningsändamål eller statistiska ändamål utan att det anses oförenligt med de ursprungliga ändamålen om det finns lämpliga skyddsåtgärder för de registrerades rättigheter.

Det betyder alltså att om data anonymiseras på sådant vis, att den enskilde individen inte längre kan identifieras, kan uppgifter samlas in för exempelvis statistiska ändamål.

När GDPR införs måste också avtalstexten vara begriplig för ”medelsvensson”. Den som får sina personliga data insamlade måste få veta till vilket syfte dennes personliga uppgifter samlas in för.

Läsvärt på nätet

Binero har några, väldigt läsvärda blogginlägg inom ämnet. Verksamt.se har även tagit fram en guide för småföretagare gällande GDPR. Dataskyddsförordningen finns att läsa hos EU. Dessutom finns det en väldigt trevlig guide [PDF] som Datainspektionen har tagit fram, vilken är enkelt hållen och mycket pedagogisk.

Jag är inte en utbildad jurist, och ber dig därför att överväga att gå igenom din organisation med en sådan. Jag ger enbart inblick i sådant som man bör vara medveten om, särskilt då man hanterar personuppgifter.

© 2022 qvi.st

Tema av Anders NorenUpp ↑