Detta året hade jag nöjet att återigen vara med på Bok och bibliotek tillsammans med Piratpartiet. Jag hade också, för andra året i rad, möjligheten att göra ett trettio minuters anförande om mina goda politiska gärningar i EU-institutionernas monter. Informationspolitik framstår ofta som oundviklig och ogenomträngbar, men det är inte sant. Det är inte heller sant att det inte går att förändra saker och att riktningen på hela övervakningsapparaten är oundviklig. Det finns däremot många politiska frågor om teknologi som inte tas i beaktande och där det krävs att man är lite smart - smarta teknologier löser inga problem på egen hand, utan det krävs också tydliga visioner för samhället. Piratpartiet menar framför allt att samhälle, teknologi och innovation går hand i hand. Vi motsätter sig uppfattningen att politiskt ledarskap på något sätt står emot till exempel marknadsutveckling och menar istället att en tydlig riktning för både samhälle och marknad leder till bättre innovationer och förutsättningar för alla.
Anförandet på Bokmässan är nära baserat på det anförande jag hade hållit dagen innan på BruCon i Gent, men antog ett bredare perspektiv på dataskydd och nätverks- och informationssäkerhet. Anförandet är från minnet, och en mer exakt beskrivning av e-legitimationen finns i BruCon-posten. För dataskyddsfrågorna hänvisar jag till https://dataskydd.net och om nätverks- och informationssäkerhetsdirektivet har jag inte skrivit särskilt mycket. Texten är fortfarande under utredning men industriutskottet har gjort två studier som man nog med fördel kan beta sig igenom om man är väldigt intresserad.
Den här presentationen kommer att handla mycket om mitt arbete i Bryssel. Jag är piratpartist och jobbar mest med teknologifrågor. Det senaste året har jag haft nöjet att grotta ned mig i saker som EU:s nya personuppgiftslag, men kanske framför allt e-legitimationsförordningen som ju också är en fråga som mina utskott faktiskt har behandlat i Bryssel.
Så vad är e-legitimation? Det är någonting man använder om man till exempel behöver besöka en offentlig myndighet. I Sverige skulle det kunna vara Skatteverket på nätet, eller Mina vårdkontakter eller kanske en skola eller något annat sådant. Då behöver staten veta att du har rätt att besöka tjänsten. Här på bilden är belgiska skatteverkets webbinterface. Där kan man logga in med sitt "eID" eller sin "e-legitimation". I Sverige pratar vi sällan om identifikation, eftersom legitimationen legitimerar medborgare som "rätt" i förhållande till tjänster. Staten har inget utbyte av att veta hur du identifierar dig idag, utan vill legitimera att du är rätt mottagare av en viss tjänst. Det är en språklig skillnad som inte finns på alla europeiska språk, och framför allt engelskan utmärker sig som mindre nyanserad.
Bland annat därför, kanske var det förslag som vi fick till vårt utskott ganska dåligt formulerat. Det hade ingen skillnad mellan legitimation och identifikation. Vi har haft väldigt svåra politiska debatter i Bryssel just för att EU-kommissionen inte hade formulerat ett särskilt bra förslag, och undvikit de flesta stora och svåra frågorna med legitimation på nätet.
Identitet är över huvud taget ett ganska svårt ämne. Det är många stora filosofer som gått bet på frågan vem de är. Kommissionen har också gått bet på frågan om vem medborgaren är eller bör vara i förhållande till till exempel staten. Det tekniska systemet man använder för legitimation på nätet spelar stor roll för hur relationerna mellan medborgare och stat utvecklas. Vi kan heller inte i regel välja att inte ha kontakt med staten, och hur vi har kontakt med offentliga tjänster som skola, vård, omsorg, osv påverkar mycket vad eller hur vi uppfattas av oss själva och vår omvärld. Vården är ett väldigt tydligt exempel på det. Mot denna snåriga bakgrund hade man hoppats på ett bättre diskussionsunderlag för parlamentet när vi hanterar denna svåra fråga. Sådan finns också att tillgå i EU, för vi har extremt mycket bra forskning på området som kommissionen sponsrat under tiotals år.
Projektet Future Identities in the Information Society (FIDIS) var ett flaggskeppsprogram i EU som ämnade undersöka hur våra relationer till samhället och varandra påverkas av nya teknologier, och hur man kan bygga bättre institutionella ramverk i ett teknologiserat samhälle. Deltagare från hela Europa var med, och företag, och forskare, och studenter och ett antal politiska institutioner - däribland kommissionen. FIDIS-projektet blev så småningom uppföljt av ab4trust - eller attribution-based credentials, som handlar om hur man kan hantera sina spår och legitimeringsmöjligheter just på internet. Det hade varit lämpligare för kommissionen att rikta sitt förslag mot resultatet av dessa forskningsprogram. Vi har studerat hur man kan bevara ungefär samma institutionella ramverk i informationssamhället som tidigare - hur upprätthåller man rätt maktbalans mellan individ/medborgare och stat? Hur ser man till att individer får så mycket inflytande över sin egen identitetsbildning som möjligt? Kanske man till och med kan stärka individens friheter och identitetsbildning gentemot staten med nya teknologier? Kommissionens förslag lämnade inte öppet för dessa diskussioner och det har varit en väldigt svår kamp att få upp frågorna på agendan i Bryssel, och ha en gedigen politisk diskussion. Området är politiskt omoget, och det är lätt att diskussionerna blir för tekniska, vilket ger ytterligare politiska utmaningar.
Från svenska statens håll har tyvärr intresset för sådana här forskningsprojekt varit så gott som obefintligt. Där har man istället gjort någonting helt annat och eget, som tydligen är i framkant.
Historien om den svenska e-legitimationsfederationen roar mig stundtals genuint, men förmodligen av fel anledningar. Svenska staten har använt sig av BankID, en banklösning för att legitimera bankkunder gentemot Internetbanken. Eftersom man gjorde bedömningen att det kanske inte var så bra att förlita sig på banker, och dessutom göra det svårare för människor att byta bank eftersom man blir så beroende också av banken för att ha en personlighet gentemot statliga tjänster ville man ha ett nytt system. Lyckligtvis fanns det då en tekniker på ett universitetsnätverk som underhöll ett system på sitt universitet som fungerade väldigt bra för honom - lärare och studenter kunde samlas på rätt platser, får rätt mejl-inkorg, och så vidare. Besöka kurshemsidor och så vidare. På något sätt fick denna tekniker kontakt med Näringsdepartementet som inledde en rad långa utredningar om framtidens fantastiska legitimationssystem, givetvis helt bortkopplat från samtidigt pågående europeiska diskussioner (som hade svenska universitetssamarbetspartners men på ett annat universitet). Teknikern insåg att hans system var bra, och att han kunde det väldigt bra och att det kanske också vore lämpligt för hela den offentliga sektorn. Att universitetet är en väldigt annorlunda institution än den offentliga sektorn slog inte honom - vilket är helt naturligt, för han är inte samhällsvetare. Men det slog ingen på Näringsdepartementet heller!
Sättet detta funkar är nämligen så att den som tillhandahåller legitimationen, på bilden här ovan "identity providern", får en databas över alla tillfällen man legitimerat sig någonstans. Så om man varit på Mina vårdkontakter först, och sen på Skatteverket, och sen på Mina vårdkontakter igen, och sedan kanske på skolan, då kommer identity providern veta det. Medan detta kan vara ett bra och praktiskt system, eventuellt, i en universitetsmiljö är det ingenting man vill ha i den offentliga sektorn. Det har också kommit klagomål mot systemet från till exempel Sveriges kommuner och landsting, som inte upplever att det här systemet - där all kunskap och kontroll över hur medborgarna interagerar med offentlig sektor hamnar hos en tredje-part - hjälper dem att bygga pålitliga tjänster. De känner inte att de kan säga till medborgaren: här är en tjänst som vi underhåller och som vi har förtroende för.
Att man som teknisk underhållare definierar sig som pålitlig är förstås helt naturligt. Om man kan underhålla sitt system bra så är man naturligtvis övertygad om att man är pålitlig vad gäller det tekniska underhållet. Att information om medborgarens påtvingade myndighetsliv också är en typ av maktutövande över individen, som kan kräva ett separat förtroende utöver ens tekniska kunskap, behöver inte enkelt förstås. Det borde naturligtvis ha förståtts av Näringsdepartementet, men så kan det gå.
Jag hade en del av min bekantskapskrets som illustrerar ett ytterligare intressant problem med e-legitimationsfederationen. De ville bli en del av federationen för att de var oroliga för att det skulle komma in privata företag och andra mindre moraliskt lagda aktörer och samla på sig mycket information om medborgares interaktioner med myndigheter som sedan kunde säljas till reklamföretag eller användas på andra mindre nyttiga sätt som medborgare inte gillar. Tänk till exempel att du beställer ett klamydiatest, eller att din tonårsdotter gör det, och så plötsligt får en lärare på skolan information om läromedel för att ta upp könssjukdomar med alla elever i klassen: kanske inte är jätteroligt om sådana saker sammanfaller, och framför allt inte om man behöver misstänka ett i stort sett påtvingat system för att vara orsaken till denna konstiga påverkansstrategi. Dessutom vet vi redan att offentliga myndigheter i Sverige gärna säljer personuppgifter för många miljoner till reklamföretag så det finns anledning att känna oro.
De ville bli en godare spårare och kartläggare av medborgarnas interaktioner med staten, för de kände att de kan lita på sig själva i den rollen. Egentligen var de inte så förtjusta i spårningen och kartläggningen som sådan. Men de var oroliga för att en ondare aktör skulle komma in och utföra spårningen om inte de själva gjorde det på ett gott sätt. Problemet är förstås att det kan finnas en anledning att göra motstånd mot att man spårar medborgare på det här sättet på det hela taget. Det är ett klassiskt dilemma i beslutsfattande: etik eller kompromiss, där etiken representeras av att man gör det som är rätt och motsätter sig ett system som kan undergräva medborgares förtroende för det offentliga, och kompromissen är att man gör det dåliga på ett så bra sätt som möjligt.
Jag har tillägnat många långa kvällar grubblande över etik mot kompromiss. Jag tror att man i regel kan säga att jag lutar mer åt etik än kompromiss.
Förtroende och spårning är förstås någonting som också satts på sin spets under sommaren. Jag minns en morgon i maj då jag vaknade och förstod att någon sagt att den svenska e-legitimationsfederationen satts upp för att militären tyckte att den specifika tekniska standard som valts var en bra idé. Jag satte mig upp i sängen och tänkte "varför tycker militären det är bra med en teknisk lösning som spårar allas interaktioner med myndigheter Av alla myndigheter i Sverige, varför dom?"
Vi har sett många kommentarer i Sverige, framför allt i tekniska medier, om hur det är allt för frestande för all världens underrättelsetjänster, som svenska FRA, att avlyssna allt möjligt och samla på sig data om allt mellan himmel och jord. En särskilt insiktsfull kommentar jag hörde i Bryssel för inte så länge sedan gjorde gällande att det är för att spioner spionerar - det är deras jobb. De är också svåra att nå med konventionell lagstiftning, för deras verksamhet är till sin natur oreglerad. Underrättelsetjänster och deras gelikar existerar i en form av undantagstillstånd som inte nås av den vanliga rättsstaten.
Undantagstillstånd är det som händer när andra lagar inte gäller, till exempel i krig. I normala fall förväntar du dig att polisen hjälper dig om du får inbrott - eller kanske inte i Sverige idag, men i allmänhet - men om det är krig kanske du har överseende med att polisen gör en annan prioritering.
Det är ett oerhört stort problem för samhället att det råder i stort sett undantagstillstånd på nätet - vi har nästan inga begränsningar för vad polis och säkerhetstjänster och andra kan göra alls. Samtidigt har vi lagt över hela vår offentliga sektor på det här mediet: vård, utbildning, politisk diskurs, samhällsutveckling, ekonomi, företag, upphandling, allt. Det vi sett under sommaren är att till exempel säkerhetstjänsten aktivt arbetar för att göra den här miljön osäker och opålitlig, och svenska underrättelsetjänsten hjälper till med det.
När vi besöker Mina vårdkontakter förväntar vi oss inte ett militärsjukhus utan ett vanligt civil sjukhus för folk med nageltrång och andra normala problem. Därför är det viktigt att vi på något sätt kan ta bort osäkerhetsmomentet på internet och föra den här infrastrukturen ut ur undantagstillståndet. Där finns det lyckligtvis ett antal europeiska initiativ som kan vara väldigt behjälpliga.
Dataskyddsförordningen är den nya personuppgiftslagen som diskuteras på europeisk nivå. Den sätter upp skyldigheter för de som behandlar personuppgifter och samlar in personuppgifter. Den har ett starkt fäste i europeiska konventionen för mänskliga rättigheter och utmålar ett väldigt tydligt ledarskap för samhällsutvecklingen både industriellt och i den offentliga sektorn. Det är viktigt, för samhällsutvecklingen styrs lika mycket av marknaden och vilka typer av tjänster vi skapar förutsättningar för på marknaden, som den styrs av hur offentlig verksamhet strukturerar sin verksamhet. Tjänsteutvecklingen påverkar också vilka produkter som kan lanseras och användas i offentlig sektor, så det är enormt viktigt med ett starkt ledarskap här.
Olyckligtvis är det enormt svårt att få en bra dataskyddsförordningen. Lobbytrycket har varit enormt starkt i Bryssel och det är framför allt amerikanska aktörer som är mycket argsinta över dataskyddsförordningen. Det är också viktigt att förstå att amerikanska regeringen har en delvis annan industripolitik, som de också genomför bättre än Europa genomför sin. E-legitimationsförordningen är ett typexempel på hur de europeiska institutionerna och medlemsländerna är oförmögna att ta sina egna forskningsresultat i beaktande när de driver vidare politik - istället för att konsekvent dra åt ett tydligt håll, drar man först åt ena hållet för att istället fara iväg åt andra hållet.
När vi gick igenom svenska regeringens kommentarer på dataskyddsförordningen från i somras verkar det också som att svenska regeringen, som är väldigt aktiv i den här frågan i förhandlingarna i Bryssel, inte godkänner förordningens grundprincip. Man misslyckas på i stort sett varenda punkt att ta tillvara på den mänskliga rättigheten att ha makt och kontroll över sina egna uppgifter och sin egen identitetsbildning som ligger till grund för hela förordningens utformning. Det som roade mig mest av svenska regeringens kommentarer var deras inställning till extra starkt skydd för barn. Man upplever inte att barn ska ha rätten att godkänna behandling av personuppgifter, men samtidigt godkänner man inte att i stort sett någon annan ska ha möjlighet att godkänna behandling av personuppgifter. Det säger sig självt att barn inte kan få bättre rätt att ha kontroll än alla andra, så där finns ett tydligt filosofiskt problem.
Man kan följa vårt arbete med dataskyddsförordningen på någon av de två ovanstående hemsidorna. Vi försöker att regelbundet uppdatera med saker från Bryssel, parlamentet och när det finns tillgängligt också kommentarer från ministerrådet. Men från rådets och svenska regeringens diskussioner är vi beroende av läckor så det är inte säkert att det uppdateras särskilt regelbundet i det avseendet.
Ett annat initiativ på EU-nivå som hade kunnat vara mycket bättre än det blev är nätverks- och informationssäkerhetsdirektiv. Det är grundat på artikel 114 i ramfördragen som beskriver alla europeiska medborgares rätt att bedriva handel med varandra i stort sett. Vi får föreslå lagar om det hjälper europeer att bedriva mer handel. Fördelen med just den filosofin bakom nätverks- och informationssäkerhet är att den mesta aktiviteten i det området är kommersiell: svenska företag ger tjänster till grekiska företag, och spanska konsumenter köper tyska produkter. I medlemsstaterna har nätverks- och informationssäkerhet gradvis militariserats, men det är i stort sett ingen som ser sig själv som en militär entitet för att de t ex skaffar ny elmätare eller får en e-legitimation eller skickar ett mejl till en kompis eller köper ett nytt operativsystem. Så det hade varit bra med ett genomtänkt direktiv som verkligen kodifierar att den verksamhet som normalt sett inte borde vara militär - vilket är i stort sett allt från infrastruktur till offentliga tjänster till hela marknaden - inte heller ska vara det, utan att internet ska vara en civil plats för civil handel mellan alla medborgare och företag i EU.
Det finns lite fnurror på den här tråden dock. Kommissionen har skrivit ett väldigt dåligt förslag som stött på i stort sett unisont motstånd från medlemsstater och industrin. Parlamentet har inte resurser att göra rätt när kommissionen gör fel - vi får kanske ett år på oss att behandla stora och viktiga frågor samtidigt som vi gör en massa annat, medan kommissionen är tänkt att fungera utredande och förberedande under flera år innan de lägger ett förslag. Det är verkligen en besvikelse att kommissionen inte lyckas sätta upp en tydligare riktning, för det är uppenbart att den underliggande tanken är god.
Riksdagen skickade något förvånande direktivet till försvarsutskottet, som ju inte alls är rätt plats att hantera marknadsfrågor. Det är väldigt underligt att riksdagen gör den prioriteringen för ett i stort sett civilt område, och som har så tydliga marknadsimplikationer, men jag drog slutsatsen av detta att militariseringen av internet gått för långt i Sverige. Det finns inga bra sätt att föra ut internet från undantagstillståndet på Sverigenivå längre, utan det är EU - som saknar militära organ och underrättelseorgan - som verkligen behöver göra rätt i frågan.
Vi har över huvud taget svårt att måla upp riktningar i EU och i Sverige när det gäller informationspolitik. Dataskyddsförordningen från kommissionen var rätt fegt tilltagen, ändå är medlemsstaterna i uppror. Dataskydd handlar i slutändan om individers makt över sig själva och staten har ingen lust att ge upp sin makt över individer.
Journalistkåren har inte heller haft någon bra bevakning av de här frågorna. När det gäller sommarens övervakningsskandaler har de istället för mig framstått som förhållandevis uppgivna. Man ser riktningen som ofrånkomlig och som oföränderlig.
Det politiska ledarskapet saknas på nästan alla nivåer. Det finns ingen omfattande verksamhet att ställa ansvariga beslutsfattare till svars för vad de gör och inte gör, och det är väldigt synd för...
Egentligen är det inte så svårt! Det finns ingen anledning att inte ha hopp, och de politiska riktningar som hittills varit fel kan bli rätt i framtiden. Vi behöver börja med en bra dataskyddsförordning och att fundera ut hur vi kan låta EU göra ett nätverks- och informationssäkerhetsdirektiv som plockar bort makt från medlemsstaternas militärer och underrättelsetjänster över vår allmänna och offentliga infrastruktur, samt vårt primära handelsmedel.
Frågor som kom upp:
- Har det hänt någonting med medborgarinitiativet?
Nej, det kan man inte säga.
Det här inlägget speglades till http://live.piratpartiet.se. Det är på tok för långt för det forumet och borde ha taggats så att det inte hamnade i live-strömmens RSS. I stället borde det ha lämnats en blänkare som länkade till inlägget.
Dessutom så är det något fel på RSS-feeded från den här bloggen, för av någon anledning så undertrycks vem inlägget kommer ifrån på live.piratpartiet.se.
Det hela ger ett amatörmässigt intryck från en av de 2 personer i partiet som har ekonomiska resurser avsatta för kommunikation med väljarna.
Vi på vårt kontor underhåller inte live.piratpartiet.se men jag ska se till att det här tas upp med rätt personer. Tack för påpekandet!
Lägg till ny kommentar