Dataskydd.NET 2.4

Dataskydd.NET

Vol. 2, nr. 4, 25 februari 2015

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. Nygammal EU-rapport tycks fastslå att utlämningar av bankdata till USA är olagligt

2. Skolor, moln och EU:s dataskyddspaket

3. Privatliv i sjukvården: stämning kring elektroniskt skvaller om hälsa till bank

4. Nya NIX hjälper knappt konsumenter, och inte heller dataskydd

5. Mer undantag än regler i dataskyddsdiskussioner i EU:s ministerråd

6. Nordeas Svarta bok? Ge Datainspektionen fler resurser!

7. Citatet

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. Nygammal EU-rapport tycks fastslå att utlämningar av bankdata till USA är olagligt

En juridisk expertgrupp i EU:s ministerråd har ställt sig frågande till om SWIFT-avtalet med USA, om utlämning av bankuppgifter, är lagligt. Detta enligt ett dokument som nyligen offentliggjorts i Bryssel. Utredningen gjordes 2009 efter att ett avtal om överlämning av passagerardata (PNR) förklarats ogiltigt av EU-domstolen 2006. Konflikter med EU:s dataskydd och EU:s stadga gör att EU-kommissionen inte, enligt domstolen, får förhandla sådana avtal med tredje makt.

Trots expertgruppens kritiska utlåtande godkände EU:s medlemsländer att SWIFT-avtalet förhandlades fram av Sveriges kommissionär Cecilia Malmström. Efter en lång politisk kamp, där EU-parlamentet första gången sade nej till avtalet, godkändes SWIFT-avtalet i juni 2010.

Skillnaden mellan passagerardata och bankdata är att EU redan har mycket gemensam lagstiftning om pengatvätt, finansiering av terrorism och finansiella institutioner. Detsamma gäller inte PNR-uppgifter. Det skulle kunna innebära att EU:s kompetens att inskränka de rättigheter som är fastställda i dataskyddsdirektivet från 1995 är större för bankdata än för passageraruppgifter, men utredningen från 2009 finner inte skäl att dra den slutsatsen.

Att det är en politisk fråga hur mycket man vill utmana de grundläggande rättigheternas gränser är uppenbart. Att den här rapporten nu offentliggjorts lämnar dock utrymme för att ifrågasätta processerna runt politiska försök att kringgå mänskliga rättigheter.

Läs mer:

"USA accepterar inte ett nej till Swift", Europaportalen (30.03.2010):

http://www.europaportalen.se/2010/02/usa-accepterar-inte-ett-nej-till-sw...

Ministerrådets juridiska expertgrupps utlåtande om lagligheten i SWIFT-avtalet från 2009 (09.07.2009):

http://data.consilium.europa.eu/doc/document/ST-11897-2009-DCL-1/en/pdf

Sighs of relief as EU parliament approves 'Swift' deal, EUObserver (08.07.2010):

https://euobserver.com/foreign/30447

MEPs call for suspension of EU-US bank data deal in response to NSA snooping, EU Parliament Press Service (23.10.2013):

http://www.europarl.europa.eu/news/en/news-room/content/20131021IPR22725...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Skolor, moln och EU:s dataskyddspaket

Dataskydd.NET har tidigare verkat för att ge kommunpolitiker en bättre bild av hur EU:s dataskyddspaket - om väl förhandlat - kan innebära mindre byråkrati och färre avtalsrättsliga besvär för kommuner och landsting. Därför vill vi fortsätta förespråka aktiv inblandning från kommuner i Justitiedepartementets förhandlingsstrategi i Bryssel. Här är några hållpunkter om vad som faktiskt har föreslagits, och hur Sveriges regering oftast varit emot det som är bra.

- EU-kommissionens målsättning har varit att skapa ett gemensamt regelverk för alla verksamheter. Det tillåter företag att från början designa produkter som är tillämpliga i offentlig sektor.

Tydligare regelverk och bättre möjligheter för standardisering av IT-infrastruktur är kartlagt på ett föredömligt sätt i Näringsdepartementets utredning SOU 2007:47. Frågan har dock diskuterats sedan 1970-talet, men på något sätt konsekvent. På grund av de stora fördelarna med tydliga, gemensamma regler är det synd att svenska regeringen verkar för att undanta offentlig verksamhet från de gemensamma EU-reglerna. Splittrade regelverk ger sämre standardisering av privatlivsskyddande åtgärder och mer avtalsrättsligt meckande.

- EU-kommissionen har också förslagit att de som tillhandahåller infrastruktur för databehandling ska ges samma förpliktelser i lagen som de som behöver databehandlingen.

Det här har två fördelar för kommunerna: all hänsyn som skolor och andra verksamheter måste ta gentemot medborgare, måste tas också av företag som deltar i kommunala upphandlingar. Ansvarsfrågorna blir aldrig otydliga, och det blir inte en fråga om avtalsrättslig nagelfarning för att garantera grundläggande rättigheter, utan en fråga om lämplig infrastruktur.

- I dataskyddspaketet föreslås att Datainspektionen ska ges bättre möjligheter att direkt ingripa mot företag. Idag har Datainspektionen - till skillnad från till exempel Konkurrensverket - väldigt få möjligheter att granska företag och företags användning av personuppgifter. Bristen på tydliga regler, och Datainspektionens brist på handlingsmöjligheter, gör att man ofta jagar enstaka klausuler och policydokument istället för att ta sig an det riktiga problemet som är att IT-infrastruktur ofta inte håller måttet.

Fler tjänstemän och politiker i kommunerna skulle behöva påtala för regeringen att de delar av reformen som gäller lika lagstiftning, bättre fördelat ansvar och bättre befogenheter till Datainspektionen vore bra.

Läs mer:

Dataskydd.NET:s sammanfattning av dataskyddsförordningen:

https://dataskydd.net/information-om-dataskyddsforordningen

Svenska regeringen förhandlingar om dataskyddsförordningen (08.12.2014):

https://dataskydd.net/nyheter/2014/12/08/eus-medlemslander-forhandlar-la...

Julkort till kommunpolitiker om kommuner, dataskydd och upphandlingar (16.12.2014):

https://dataskydd.net/nyheter/2014/12/16/julkort-till-kommunpolitiker-om...

Computer Sweden om skolor och molnsatsningar (19.02.2015):

http://computersweden.idg.se/2.2683/1.609462/skolorna-satsar-stenhart-pa...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Privatliv i sjukvården: stämning kring elektroniskt skvaller om hälsa till bank

Centrum för rättvisa hjälper en man i Västerbotten stämma landstinget för skvaller om vårdbesök mellan landsting och bank via vårdens kortbetalningssystem.

Att olika datasystem behöver prata med varandra för att fungera är inte konstigt. Samtidigt skapar det en olustig känsla av skvallrande företag, när det inte längre blir möjligt att avgöra vem som har vilken sorts information om den egna personen och ens egna aktiviteter.

Landstinget i Västerbotten ska ha förändrat sina rutiner sen händelsen. De stora frågetecknena rör dock inte rutiner och avtal, utan hur den tekniska infrastrukturen ser ut. I de allra flesta vardagliga aktiviteter som privatpersoner förväntas ägna sig åt - prata med Skatteverket, läkare, socialtjänsten, bygglovsförvaltningen, politiker, företag eller vänner - finns inga sätt för privatpersonen att överblicka vem som får veta vad om vilken interaktion. Systemen är allt som oftast byggda i syfte att det ska bli så lätt som möjligt för särskilda tredjeparter att ta del av information om vad man gjort och när.

Det här leder förhoppningsvis till kvantifiering i pengar av skadan som uppstår vid oförväntade intrång i den privata sfären.

Läs mer:

Landsting läckte uppgifter om vårdbesök till bank, Centrum för rättvisa (16.02.2015):

http://www.mynewsdesk.com/se/centrumforrattvisa/news/landsting-laeckte-u...

Landstinget läckte konfidentiell patientinformation, Västerbottens-Kuriren (15.02.2015):

http://www.vk.se/1384696/landstinget-lackte-konfidentiell-patientinforma...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Nya NIX hjälper knappt konsumenter, och inte heller dataskydd

Förra veckan antog reklambranschen ett nytt regelverk för NIX-registret. Man skriver in sig i NIX om man inte vill bli uppringd av telefonförsäljare, men det gamla systemet har inte fungerat något bra. Många har blivit ringda av telefonförsäljare trots att de "nixat" sig. De nya reglerna får kritik från Jan Bertoft, generalsekreterare för Sveriges konsumenter:

"Personuppgifter är numera handelsvara. Genom att klicka i 'Jag godkänner' när du handlar på nätet förlorar ofta Nix sin funktion, eftersom du därmed ger klartecken till att en mängd företag som du aldrig har handlat av får ringa upp dig eller kontakta dig på annat sätt. Så gör till exempel Ticnet", skriver han på sin blogg.

Den dataskyddsförordning som föreslogs av EU-kommissionen i januari 2012 kan hjälpa privatpersoner att skydda sig mot trakasserier från telefonförsäljare. Idag får bolagen bakom försäljningen ofta ut personuppgifter till både småföretagare och privatpersoner genom att köpa myndighetsregister. Ett starkt, harmoniserat skydd som gäller lika för företag och myndigheter skulle förhindra sådan utlämning av personuppgifter annat än när privatpersonen själv har godkänt det. Som i många andra dataskyddsrelaterade frågor, har dock Sveriges regering konsekvent arbetat mot de europeiska förslag som stärker sådana rättigheter för privatpersoner.

Regeringens ovilja att förespråka ett starkt individuellt skydd och ett starkt skydd för privatpersoner har också andra konsekvenser. Den politiska oförmågan att hantera skvaller om personuppgifter mellan företag och myndigheter på ett överskådligt sätt leder bland annat till större problem med identitetsstöld.

En tydligare lagstiftning som ger mer makt åt individer över sina egna personuppgifter ökar möjligheten för varje privatperson att själv skydda sin identitet och sin egen privata sfär. Idag verkar svenska regeringen föredra att lämna över viktiga uppgifter om självbestämmande för var person till polisen, senast genom att införa brottet "identitetsstöld" - trots att myndigheterna själva alltså är största orsaken till att detta är ett problem.

Läs mer:

Nya NIX räcker inte, Bertoft (16.02.2015):

http://bertoft.se/2015/02/nya-nix-racker-inte/

Starkare skydd mot reklam i telefonen, SVT (23.02.2015):

http://www.svt.se/nyheter/starkare-skydd-mot-reklam-i-telefonen

Regeringen vill kriminalisera identitetsstöld (12.07.2014):

http://www.regeringen.se/sb/d/18769/a/243789

Europarådets handledning om kriminalisering av identitetsstöld (05.06.2013):

http://www.coe.int/t/dghl/cooperation/economiccrime/Source/Cybercrime/TC...(2013)8REV_GN4_id_theft_V10adopted.pdf

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Mer undantag än regler i dataskyddsdiskussioner i EU:s ministerråd

Förhandlingarna om dataskydd pågår fortlöpande mellan EU:s regeringar i Bryssel. Under januari månad har den tyska delegationen lagt förslag som på ett oroväckande sätt urholkar privatpersoners möjligheter att förstå och ha kontroll över hur deras uppgifter behandlas.

De nya förslagen rör "pseudonymisering". I linje med den "riskbaserade modellen" som bland andra Sverige, USA och Storbritannien förespråkat vill man att pseudonymiserade personuppgifter ska gå att återanvända utan att den berörda privatpersonen får veta det. Förslaget motiveras med att det ska bli lättare att göra undersökningar och kartläggningar av stora mängder privatpersoner ("Big Data") eller enskilda, utan att nödvändigtvis sätta personnamn på dem.

Om den riskbaserade modellen tål beprövad kritik att upprepas. Riskbedömningar är en utmärkt metod för att konstruera tekniska lösningar, men knappast en bra modell för lagstiftarna att använda när de vill skydda grundläggande rättigheter. Ett regelverk som är begripligt för alla - både privatpersoner och företag - borde vara målsättningen för svenska regeringar och andra under de fortsatta förhandlingarna i Bryssel.

Det är Dataskydd.NET:s mening att en förordning om dataskydd inte kan vara grundad i allmänna undantag och avgränsade principer, utan snarare behöver allmänna principer och avgränsade undantag. Om målsättningen är att privatpersoner ska ges bättre möjligheter att överblicka och förstå vad som händer med deras relationer och identiteter, är det fel väg framåt att beröva privatpersonerna dessa rättigheter bara för att ett företag eller en myndighet hittat på en ny, alternativ identitet för privatpersonen som denna inte känner till. Det nya förslaget om pseudonymisering slår också hårt mot dataminimeringsprincipen - principen om att mer personuppgifter inte ska samlas in för en uppgift än vad som är absolut nödvändigt.

Läs mer:

Dokument från tyska delegationen till Working Party on Information Exchange and Data Protection (15.02.2015):

http://www.statewatch.org/news/2015/jan/eu-council-dp-reg-pseudonymisati...

Hogan-Lovells dataskyddsenhet om Isabelle Falque-Pierrotins tal (2.12.2014):

http://www.hldataprotection.com/2014/12/articles/international-eu-privac...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. IToTelekomföretagen: är det företag som främst ska skydda användares integritet?

IT och Telekomföretagens blogg har ett tänkvärt blogginlägg om rimligheten i att företag kommer i kläm mellan statens vilja att övervaka och granska folket, och människors önskan efter och rättighet till privatliv.

Skriver Pär Nygårds: "Staten verkar onekligen ha lagt mest krut på att skaffa sig tillgång till information om digitala tjänsteleverantörers kunder. Samtidigt som företagens möjligheter att skapa värden för användarna ska begränsas av samma stat. /.../ [V]em säger ifrån? Frågan är om det räcker, eller ens är lämpligt, att det huvudsakligen är ICT-branschen självt som för kampen [om privatliv] för sina kunders räkning?"

Problembeskrivningen liknar den som Europarådets parlamentariska utskott (PACE) lyfte nyligen i en rapport om underrättelsetjänsternas massövervakning.

"I flera länder har ett enormt "industrikomplex för övervakning" utvecklats i samma anda av hemlighetsmakeri som statlig övervakningsverksamhet. De tekniska lösningarna, de samtidigt allvarliga påstådda hoten och behovet av specifika motåtgärder, samt kostnader och vinningar är svåra att överblicka för politiska och finanspolitiska beslutsfattare utan att förlita sig på särintressenas egen expertis," skriver PACE i sitt utkast, som kommer att behandlas vidare i april.

Politiker har mycket mer makt över teknologin än vad många vill erkänna. En seglivad myt är att "teknik slår politik". Tvärtom strukturerar politiken upp marknaden inom vilken tekniken utvecklas, och just nu efterfrågor politiken övervakningsmarknader. IT och Telekomföretagen har all rätt att vara bekymrade över att både konsumenter och lagstiftare vill beröva dem inkomstkällor från uppgifter de ändå tvingas samla in. Vi har ett politiskt problem, som är att bra teknik helt enkelt inte får möjlighet att omsättas på marknaden.

Även när politiker upprättat myndigheter och system för att säkerställa grundläggande rättigheter, är det politiska problemet idag så stort att politikerna motarbetar sina egna kontrollorgan. En välskriven artikel i The Guardian av Julia Powles och Enrique Chaparro sätter Googles agerande efter EU-domstolens dom om rätten att bli bortglömd i perspektiv. Trots högljudda protester från Google, föregick Google alla former av myndighetsgranskning kring beslutet. De upprättade ett eget råd som fick konkurrera med de europeiska myndigheterna, och som för lite mer än en månad sedan släppte en egen rapport som strider mot den rapport som europeiska dataskyddsmyndigheter utarbetat. Det politiska stödet - i Sverige men också i andra länder - har framför allt vilat hos Google, inte hos de myndigheter politikerna själva upprättat för att bedöma hur lagstiftningen politikerna skrivit ska tillämpas för att skydda medborgare.

Samtidigt som det är beklämmande att vi inte har starkare politiskt ledarskap än att makthavare kan vara konsekventa i sitt skydd av grundläggande rättigheter både för sig själva, och för andra, är det dock ingen önskvärd utveckling att vi lägger svagare krav på företag. Dataskydd.NET har just nu kampanjen StoppaSpionerna.EU för att göra det enklare för vanliga privatpersoner att hjälpa sina företag fatta beslutet att lobba makthavare mot övervakning.

Läs mer:

Vem står upp för individens integritet i det digitala samhället? (24.02.2014):

http://blogg.itotelekomforetagen.se/2015/02/24/vem-star-upp-for-individe...

Mass surveillance is counter-productive and ‘endangers human rights’ (26.01.2015):

http://assembly.coe.int/nw/xml/News/News-View-EN.asp?newsid=5387&lang=2&...

How Google determined our right to be forgotten, Julia Powles och Enrique Chaparro, The Guardian (18.02.2015):

http://www.theguardian.com/technology/2015/feb/18/the-right-be-forgotten...

Stoppa Spionerna!

https://www.stoppaspionerna.eu

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Citatet

"Var och en har rätt att få tillgång till insamlade uppgifter som rör honom eller henne och att få rättelse av dem."

- Europeiska unionens stadga om de grundläggande rättigheterna, artikel 8(2)

Läs mer:

http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:C:2010:083:0389...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!