Dataskydd.NET 2.16

Dataskydd.NET

Vol. 2, nr. 16, 23 september 2015

https://dataskydd.net - info@dataskydd.net

Information om EU:s dataskyddspaket och skydd av den personliga integriteten, både juridiskt och tekniskt, i den digitala världen.

Detta nyhetsbrev finns även på [node:url]

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

I detta nummer:

1. #SafeHarbor: EU-domstolen föreslår att riva upp avtalen

2. Italienskt rätten-att-bli-bortglömd-fall i EU-domstolen kan påverka svensk offentlighetsprincip

3. Stockholms stads anonyma rådgivning spårar användarna

4. Europeiska dataskyddsombudsmannen om en ny digital etik

5. Dataskydd.net kommenterar till riksdagen om Prop. 2014/15:148 om ny domstolsdatalag

6. Dataskydd.net svarar på informationssäkerhetsutredningen SOU 2015:23

7. Dataskydd.net svarar på säkerhetsskyddsutredningen SOU 2015:25

8. Kommande

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

1. #SafeHarbor: EU-domstolen föreslår att riva upp avtalen

I förra Dataskydd.net skrev vi om att EU-domstolen skulle ta ställning till om avtalen om dataöverlämning mellan EU och USA var förenliga med EU:s stadga om grundläggande rättigheter. Österrikaren Max Schrems menade att Facebooks irländska dotterbolag har brutit mot europeisk rätt genom att lämna hans personuppgifter sårbara för NSA, USA:s underrättelsetjänst.

EU-domstolen har idag på morgonen lämnat förhandsavgörandet att Safe Harbor-avtalen bör rivas upp. Irländska dataskyddsmyndigheten bör dessutom ges en skyldighet att utreda överträdelser av europeiska medborgares rättigheter visavi utlämnande av personuppgifter till amerikanska myndigheter utan rättvis föregående prövning.

Ett förhandsavgörande är inte slutgiltigt, och ett domslut kommer fortfarande att dröja ett tag. EU-kommissionen fortsätter under tiden sina förhandlingar om nya "Safe Harbor"-principer med sina amerikanska motparter.

Men avgörandet kommer samtidigt som EU-parlamentet påbörjat sin behandling av EU-kommissionens och amerikanska justitiedepartementets paraplyavtal för dataöverföringar inom polisiär verksamhet. Knäckfrågan är om europeiska medborgare kan, och ska, ges samma skydd från maktmissbruk från myndigheter som amerikanska medborgare har. Före detta vice-ordföranden i EU-kommissionen Viviane Reding har vägt in i frågan, och menar att det är långt ifrån självklart att parlamentet kommer att ställa sig positivt till ett avtal som inte råder bot på att amerikanska myndigheter hävdar global jurisdiktion över servrar som tillhör amerikanska företag. Amerikanska kongressens justitieutskott har dock antagit ett lagförslag som ger europeiska medborgare en rätt att utmana övertramp från amerikanska myndigheter i domstol.

Den stora frågan är hur EU-domstolens nej till Safe Harbor påverkar europeisk industri och europeiska myndigheter.

Det är inte klart att paraplyavtalet åtgärdar situationen att amerikanska myndigheter givit sig själva rätten att begära ut data från amerikanska företag, oavsett var dessa har sina servrar. Nu verkar dessutom Safe Harbor-principerna i övrigt vara hotade, vilket gör att företag inte längre självklart kan självcertifiera sig att överföra data till USA.

Det här är ett juridiskt problem för alla myndigheter som hanterar sekretessbelagda uppgifter i amerikanska molntjänster, och det är också ett problem för företag som gjort sin verksamhet avhängig amerikansk IT-infrastruktur. En möjlig lösning är att, som regeringen föreslog i SOU 2015:39, göra ett "paraplyundantag" där myndigheter får överföra uppgifter i strid mot dataskyddslagstiftningen så länge myndigheten finner det lämpligt. En annan, bättre lösning, är att myndigheter och företag investerar i IT-infrastruktur som uppfyller även de mänskliga rättigheternas krav. Det kan nämligen inte ses som önskvärt att svenska myndigheter med undantagshantering använder en infrastruktur som inte respekterar svenska medborgares rättigheter, bara för att de amerikanska myndigheterna inte vill respektera svenska medborgares rättigheter.

Läs mer:

EU-domstolen. Generaladvokat Bots förhandsutlåtande om Safe Harbor och Schrems C-362/14 (23.09.2015):

http://curia.europa.eu/jcms/jcms/P_174297/

Europe vs Facebook, första svaret på Generaladvokat Bots förhandsutlåtande (23.09.2015):

http://www.europe-v-facebook.org/GA_en.pdf

Project Syndicate, Viviane Reding: Bridging the Transatlantic Digital Divide (21.09.2015):

https://www.project-syndicate.org/commentary/translatlantic-data-protect...

The Hill, House panel approves bill to extend privacy rights to Europe (17.09.2015):

http://thehill.com/policy/cybersecurity/254029-house-panel-approves-bill...

Dataskydd.net, 23 september nytt datum för Safe Harbor-bedömning i EU-domstolen (08.09.2015):

https://dataskydd.net/nyheter/2015/09/08/23-september-nytt-datum-safe-ha...

Dataskydd.net, #SafeHarbor: EU-domstolen försenad, Sveriges regering panikslagen (01.07.2015):

https://dataskydd.net/nyheter/2015/07/01/safeharbor-eu-domstolen-forsena...

Dataskydd.net, #SafeHarbour-avtalen i EU-domstolen denna vecka! (26.03.2015):

https://dataskydd.net/nyheter/2015/03/26/safeharbour-avtalen-i-eu-domsto...

Dataskydd.net, Dags att slopa Safe Harbor agreement? (31.10.2013):

https://dataskydd.net/nyheter/2013/10/31/dags-att-slopa-safe-harbor-agre...

Dataskydd.net, informationssida: https://dataskydd.net/safe-harbour-avtalen

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

2. Italienskt rätten-att-bli-bortglömd-fall i EU-domstolen kan påverka svensk offentlighetsprincip

En italiensk domstol har framställt frågan till EU-domstolen om offentliga register kan behöva dölja information om registrerade privatpersoner efter en viss tid, då informationen inte längre är relevant för omvärlden och spridande av informationen kan antas få negativa konsekvenser för den registrerade. Bakgrunden är en italiensk man, vars företag gick i konkurs 1992, som nu oroar sig för att fortfarande drabbas av negativa konsekvenser till följd av synligheten till följd av konkursen.

Om EU-domstolen dömer att det finns en skyldighet för registerförare att direkt hjälpa registrerade uppnå en sorts "bortglömdhet" efter en viss period, efter vilken informationen kan bedömas irrelevant för omvärlden givet omständigheterna, kan det ha stor inverkan på hur den svenska offentlighetsprincipen fungerar.

De stora privata databaserna som idag byggts upp kring domslut kan till exempel bli skyldiga att ta bort information om dömda som redan avtjänat sitt straff.

Ännu finns ingen information om hur lång tid domstolen kan tänkas ta att komma fram till ett beslut, men detta kommer att bli ett av många intressanta fall att bevaka i EU-juridiken.

Läs mer:

Jef Ausloos, CJEU is asked to rule on the ‘Right to be Forgotten’ again (18.09.2015):

https://jefausloos.wordpress.com/2015/09/18/cjeu-is-asked-to-rule-on-the...

Curia, Manni Case C-398/15:

http://curia.europa.eu/juris/fiche.jsf?id=C%3B398%3B15%3BRP%3B1%3BP%3B1%...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

3. Stockholm stads anonyma rådgivning spårar användarna

Tillsammans med forskaren Erik Lakomaa från Handelshögskolan skriver Dataskydd.net:s ordförande Amelia Andersdotter om hur Stockholm stads anonyma socialrådgivning på nätet i själva verket spårar besökarna med flera vanliga spårningsverktyg.

Stockholm stad har under en längre tid - i över ett år - använt tunnelbanan som marknadsföringsplats för den anonyma socialrådgivningen som i själva verket delger information till åtminstone ett amerikanskt företag, och dessutom säkerställer att kommunen själv kan identifiera alla individer som tar kontakt med dem direkt.

En tjänst som inte kräver att man vid tillfället personligen uppger sitt namn och sin identitet är inte anonym på det sätt en vanlig privatperson skulle förstå begreppet. Tyvärr finns få möjligheter att begränsa Stockholm stads oegentliga marknadsföring: samhällsinformation täcks av yttrandefriheten och behöver inte vara sakligt korrekt.

Dataskydd.net utreder om det går att ta frågan vidare. Stockholms stad använder begreppet "anonymitet" enbart för att marknadsföra en tjänst, utan att tjänsten faktiskt lever upp till de föreställningar en vanlig person kan tänkas ha om en tjänst som tillmäts den egenskapen. Frågan visar också att man behöver gå mycket längre än att ta bort AddThis från kommunala hemsidor innan svenska privatpersoner kan normalisera sina relationer med myndigheter på internet.

Läs mer:

Dagens samhälle, Stockholm lovar anonymitet - övervakar hjälpsökande (14.09.2015):

http://www.dagenssamhalle.se/debatt/stockholm-lovar-anonymitet-oevervaka...

DN, Efter DN:s granskning – kommuner sluta spåra dig på nätet (22.09.2015):

http://www.dn.se/ekonomi/efter-dns-granskning-kommuner-sluta-spara-dig-p...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

4. Europeiska dataskyddsombudsmannen om en ny digital etik

Europeiska dataskyddsombudsmannen (EDPS) har släppt ett strategipapper om behovet av en ny digital etik för EU. Strategin tar ett samlat grepp om individens värde och värdighet i flera samtida teknologiska sammanhang, och utvecklar också kring den etiska vikten med individ-centriska lösningar som bevarar och stärker de mänskliga rättigheterna. Dataskydd.net rekommenderar alla att läsa. Dokumentet är också föredömligt kort och principiellt hållet.

Läs mer:

EDPS, Towards a new digital ethics: Data, Dignity and Technology (11.09.2015):

https://secure.edps.europa.eu/EDPSWEB/webdav/site/mySite/shared/Document...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

5. Dataskydd.net kommenterar till riksdagen om Prop. 2014/15:148 om ny domstolsdatalag

Den 15 september har Dataskydd.net framfört sina kommentarer och rekommendationer till riksdagsledamöterna i Justitieutskottet och Konstitutionsutskottet angående regeringens proposition 2014/15:148 om en ny domstolsdatalag.

Dataskydd.net är mycket kritiska, och har även utvecklat kritiken i en debattartikel i Dagens Juridik.

Regeringen har avfärdat samtliga invändningar från Datainspektionen, även i viktiga frågor om informationssäkerhet och privatpersoners möjlighet till insyn.

Datainspektionen lyfter att bara den som bygger, underhåller eller uppdaterar själva IT-systemet kan tillhandahålla garantier för att systemet fungerar som det ska och skyddar uppgifter på det sätt det är tänkt. Detta synsätt har stöd i all forskning om IT-säkerhet, men avfärdas av regeringen. Dataskydd.net har skrivit om frågan i sina remissyttranden till SOU 2015:231 om en strategi för svensk informationssäkerhet och SOU 2015:252 om en ny säkerhetsskyddslag. Regeringens brist på förståelse för hur ansvar och risk behöver fördelas i IT-systemen är ett allvarligt problem som hotar individers möjligheter att se efter sina egna mänskliga rättigheter, men också hotar statens möjligheter att garantera vissa nivåer av säkerhet i sina datasystem.

De huvudsakliga problemen kan sammanfattas:

Transparensåtgärderna (t.ex. registerförteckningar) är riktade mot Datainspektionen, inte mot privatpersoner.

Myndigheterna ges stort utrymme att själva bestämma över direktåtkomst vilket skapar otydlighet för privatpersoner kring vem som har vilka uppgifter, vad det innebär och de tekniska och organisatoriska risker detta innebär för privatpersoners integritetsskydd.

Det saknas möjligheter för privatpersoner att ens på begäran få tag på sådan information som skulle hjälpa dem utkräva ansvar av en domstol som inte följer lagen.

Dataskydd.net föreslår följande åtgärder för att förbättra förslaget:

Som i personuppgiftslagen bör direktåtkomst göras avhängigt individens föregående samtycke.

Inte bara tillgång, utan även insamling, av personuppgifter bör begränsas till det absoluta minimum som krävs för att domstolarna och nämnderna ska kunna utföra handläggning ("dataminimering").

Individer bör ges en rätt att informeras om alla fel, eller risker för fel, som uppstår i ett IT-system där deras personuppgifter behandlas.

Dokumentation av behandlingar av personuppgifter måste utformas på ett sådant sätt att de hjälper privatpersoner ställa myndigheter till svars när myndigheterna eller deras underleverantörer agerar fel.

I stället för att detaljreglera sökbegrepp och undantag behövs bättre transparensåtgärder gentemot privatpersoner så att effektivt ansvarsutkrävande kan uppnås. Domstolsverket bör bara ges möjlighet att vägra förklara säkerhetsåtgärder och säkerhetsproblem efter särskild dispens från Datainspektionen, och då bara i upp till en begränsad tidsperiod.

Läs mer:

Dagens Juridik, Dataskydd.net: "Omöjligt se efter sina rättigheter - juridisk snårighet och hemlig teknik i nya domstolsdatalagen" (22.09.2015):

http://www.dagensjuridik.se/2015/09/omojligt-se-efter-sina-rattigheter2

Regeringens proposition 2014/15:148 om en ny domstolsdatalag:

http://www.riksdagen.se/sv/Dokument-Lagar/Forslag/Propositioner-och-skri...

Datainspektionens remissvar till Ds 2013:10 om en ny domstolsdatalag:

http://www.datainspektionen.se/Documents/remissvar/2013-05-31-domstolsda...

Dataskydd.net, kommentarer till Justitieutskottet om domstolsdatalag:

https://dataskydd.net/sites/default/files/domstolsdatalagen_kommentarer_...

Dataskydd.net, remissyttrande över SOU 2015:25 - En ny säkerhetsskyddslag:

https://dataskydd.net/sites/default/files/sou201525_remissyttrande_datas...

Dataskydd.net, remissyttrande över SOU 2015:23 – Informations- och cybersäkerhet i Sverige. Strategi och åtgärder för säker information i staten:

https://dataskydd.net/sites/default/files/sou201523_remissyttrande_datas...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

6. Dataskydd.net svarar på informationssäkerhetssutredningen SOU 2015:23

Den 11 september har Dataskydd.net lämnat in sitt remissyttrande till Justitiedepartementet om SOU 2015:23 om informationssäkerhet.

Huvuddragen i remissyttrandet är att utredningen misslyckas att kartlägga och utvärdera tidigare svenska strategier för IT-säkerhet, inte tar i beaktan de konsumenter och den marknad utredningen hävdar är grunden för den digitala miljön samt avfärdar i stort sett samtliga forskningsrön om IT-säkerhet som finns.

Dataskydd.net föreslår ett individ-centriskt incidentrapporteringssystem som stärker konsumenters och privatpersoners makt och inflytande över sina egna relationer i digitala miljöer. Tidigare erfarenheter av individ-centriska system indikerar att de fungerar väl.

Dataskydd.net riktar stark kritik mot att utredningen blandar ihop "kriser" och "allvarliga incidenter" med "normala händelser i en IT-miljö" så som säkerhetsbrister och serveruppgraderingar.

Läs mer:

Dataskydd.net:s remissyttrande:

https://dataskydd.net/sites/default/files/sou201523_remissyttrande_datas...

SOU 2015:23 om informations- och cybersäkerhetsstrategi för Sverige:

http://www.sou.gov.se/wp-content/uploads/2015/03/SOU-2015_23_webb.pdf

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

7. Dataskydd.net svarar på säkerhetsskyddsutredningen SOU 2015:25

Den 14 september har Dataskydd.net lämnat in sitt remissyttrande till Justitiedepartementet om SOU 2015:25 om ny säkerhetsskyddslag.

Huvuddragen i remissyttrandet är att utredningen, och regeringen, förvärrar en pågående kompetensstrid mellan flera myndigheter under Justitiedepartementet om ansvar för informationssäkerhet, samtidigt som kunskap och erfarenhet på området för informationssäkerhet indikerar att man bör utveckla näringspolitiska och konsument- eller medborgarrättsliga verktyg för att uppnå bättre säkerhet.

Dataskydd.net föreslår ett individ-centriskt incidentrapporteringssystem, en IT-haverikommission, och riktar stark kritik mot att utredningen blandar ihop "kriser" och "allvarliga incidenter" med "normala händelser i en IT-miljö.

Vidare är Dataskydd.net oroliga för att utredningen försöker motverka den nödvändiga, och bevisligen fungerande, metoden att på ett transparent sätt diskutera, blottlägga och åtgärda säkerhetsproblem i datorsystem, genom att i värsta fall ge Säkerhetspolisen möjlighet att munkavla diskussioner om problem även i datorsystem som påverkar framför allt enskilda. Medborgarnas "tillit och förtroende" för elektroniska system får inte tillåtas översättas till "ignorance is bliss".

Läs mer:

Dataskydd.net:s remissyttrande:

https://dataskydd.net/sites/default/files/sou201525_remissyttrande_datas...

SOU 2015:25 om en ny säkerhetsskyddslag:

http://www.regeringen.se/rattsdokument/statens-offentliga-utredningar/20...

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

8. Kommande

Dataskydd.net kommer under hösten att finnas på:

FSCONS, 7-8 november: https://fscons.org/2015/

Kommande remissmöjligheter:

Energimarknadsinspektionen har skrivit en ny rapport om smarta elmätare. Deadline: 28 september 2015.

http://www.regeringen.se/remisser/2015/06/remiss-rapport-funktionskrav-p...

EU:s direktiv om standardisering av radioutrustning ska implementeras i Sverige. Deadline: 15 oktober 2015.

http://www.regeringen.se/remisser/2015/07/remiss-promemoria-genomforande...

SOU 2015:39 om en ny myndighetsdatalag. Deadline: 24 november 2015.

http://www.sou.gov.se/wp-content/uploads/2015/04/NY-SOU_2015_39_webb.pdf

* ** *** **** ***** ****** ******* ****** ***** **** *** ** *

Saknas det något dataskyddsrelaterat vi borde ha med? Kontakta oss på info@dataskydd.net!