Jag har läst Anders Nymans skrift om bluffakturor efter att vi engagerat i samtal på Twitter, med anledning av signaturen @svenerikalhem:s frustration över polisens tillkortakommanden. En del av mina invändningar var att det inte nödvändigtvis är polisens eller åklagarens fel att svenska företag drabbas av bluffakturor i den utsträckning som sker, utan att systemfel i hur myndigheter och andra hanterar personuppgifter helt enkelt utgör en bra grogrund för den typen av bedrägeri. Anders Nyman har engagerat sig i frågan länge och menar att det visst är i det direkta svaret på bluffakturor, snarare än i underliggande system, som de flesta problem uppstår.

Skriften är helt okej. Intrycket är en mindre syrlig variant av Ross Andersons utläggning i boken Security Engineering kapitel 2, om hur användarpsykologi negativt påverkar säkerheten i IT-system. Där jag menar att bättre dataskyddslagstiftning avhjälper vissa, om än inte alla, problem med bluffakturor är alltså att systemet som sådant blir svårare att manipulera på psykologiska grunder. Den effektivitetsförhöjning man eventuellt skulle uppnå då, är naturligtvis att både åklagare och poliser får mer resurser att ägna sig åt problem som kvarstår efter att systemet slutat uppmuntra vissa typer av problem. På förekommen anledning har jag alltså kort noterat de problem Nyman kartlägger, och hur dataskyddsförordningen avhjälper dessa. Min ansats är framför allt systematisk: jag vill komma åt hur man förebygger problem i största möjliga utsträckning, inte hur man nödvändigtvis bäst skapar rättvisa i sådana situationer där problem redan har uppstått på grund av ett bristande system.

Direkt i inledningen på sidan 11 tar Nyman upp ID- och företagskapningar. Här har polisens avdelning för identitetsstöld själva gått ut med att just försäljning av personuppgifter är ett bidragande problem. I den utsträckning dataskyddsförordningen, EU:s nya dataskyddslag, åtgärdar myndighetsförsäljning av personuppgifter torde det alltså vara otvetydigt att bättre dataskyddslagstiftning avhjälper problemen. Det ska påminnas i detta fall att just svenska regeringen har motarbetat de formuleringar i kommissionens dataskyddsförslag som gör det svårare med personuppgiftsförsäljning från myndigheter. Därför kan EU:s nya dataskyddsförordningen inte ses som en garanti för förbättring, om inte Sveriges justitiedepartement skärper sig.

På sidan 15 framgår att det finns oseriösa aktörer som bevakar Bolagsverkets register. Här får man naturligtvis vara vaksam: en juridisk person är inte samma sak som en fysisk person, och dataskyddslagstiftningen skyddar fysiska personer, inte juridiska. Undantaget i EU har hittills varit Österrike, där juridiska personer kan åtnjuta samma skydd som fysiska under uppgiftslagstiftning. Eftersom Österrike är det enda landet i EU där man brukar den principen är det osannolikt att det överlever i dataskyddsförordningen. Man kan dock notera att signaturen Anders på bloggen Bedrägeritips verkar antyda att Österrike i mindre utsträckning än andra drabbas av bluffakturor (en alternativ tolkning är att det är svårare att leta fram oseriösa företag i Österrike).

Sidorna 21, 24 och 27 handlar specifikt om register som köper och säljer personuppgifter och registreringstjänster av desamma. Återigen är det skillnad mellan privatpersoner och företag, och dataskyddsförordningen skulle bara skydda privatpersoner. Kraven i dataskyddsförordningen är dock att korrigering av uppgifter ska vara gratis, tillgängligt och enkelt, samt att uppgifter inte ska spridas, säljas och sammanställas utan individens föregående godkännande. Eftersom detta inte är fallet idag i Sverige tränar vi alla medborgare, inklusive de som driver företag, i att register är någonting som är svårt att ta sig ifrån, dyrt att fixa för var och en, samt omöjligt att kontrollera. Den klokaste slutsatsen från Ross Andersons kapitel två är att det är dumt och kontraproduktivt att träna användare i hur man beter sig på fel sätt - det svenska myndighetssystemet för personuppgifter tränar alla, inklusive nuvarande och framtida företagare, i att bete sig på helt fel sätt vilket också skapar problem för företag. Dataskyddsförordningen etablerar en bättre norm för de som etablerar och underhåller personregister samt de som ingår i registren, vilket ger användare bättre möjlighet att kontrollera vad som händer. Den lärdom sprider sig sedan in i företagslivet, och man får en indirekt nytta för företagandet.

Sidorna 28 och 30-32 handlar om olika sorters identitetsstölder och bristande säkerhet i IT-system. Dataskyddsförordningen är även här en normerande lagstiftning som innebär skyldighet att hålla uppdaterade system samt informera om brister i systemen. Att etablera en norm för vissa databaser, och viss myndighetshantering av uppgifter, kommer att hjälpa även andra databaser och annan myndighetshantering av personuppgifter. Man ska i detta heller inte underskatta vikten av att etablera normer gentemot medborgare - om vi tränar människor i att bete sig på konstiga sätt på nätet när de agerar som privatpersoner det sannolikt att de kommer göra det även när de agerar som företagare. För många typer av identitetsstölder handlar det också om så enkla saker som bevisbörda: särskilt i elektroniska system är det ofta användarna själva som har bevisbördan för att tekniken har brustit, trots att användaren oftast är utelämnad till någon annans teknik på någon annans villkor (se särskilt avhandlingen Banker och internet av Lennart Johansson). Detta gäller oavsett användarens status som fysisk eller juridisk person. Dataskyddsförordningen lägger tillbaka bevisbördan för specifikt personregister på den som hanterar registret (passivt eller aktivt), men det är klart att när det gäller bevisbörda för felfungerande IT-system är det otillräckligt med bara dataskyddsförordningen.

Sidan 33 och dess avhandling om företagskapningar är slående: genom att Bolagsverket började be om tillåtelse för att ändra registeruppgifter blev problemet ovanligt. Att upplysa de som ingår i ett register om saker som händer med registret, vilket är precis vad dataskyddsförordningen etablerar för alla personregister, verkar alltså ha hjälp. Av detta måste man givetvis inte dra någon lärdom, men man skulle kunna göra det.

Sidan 36-37 avhandlar Datainspektionens roll i inkassoverksamhet. De starkare skrivelserna kring både teknisk och juridisk kompetens, samt dataskyddsmyndighetens oavhängighet, som förordas i dataskyddsförordningen vara behjälplig här. Dataskyddsförordningen gerbättre verktyg för Datainspektionen att göra utredningar, bland annat genom att etablera "professional secrecy" motsvarande den konkurrensmyndigheter har. Detta har svenska regeringen motsatt sig, tillsammans med brittiska regeringen,  då man upplever att offentlighetsprincipen (av alla principer) inte tillåter att Datainspektionen gör utredningar som annars skulle överklagas av det berörda företaget på företagshemlighetsgrunder (jämför åter konkurrensrätt: myndigheten får tystnadsplikt specifikt för att kunna utreda företag som annars på enkla grunder skulle kunna motsätta sig en utredning).

Det är alltså få problem i Nymans skrift som inte skulle bli mindre i omfattning av en tydligare, striktare dataskyddslagstiftning. Att man avhjälper eller förbättrar betyder så klart inte att man löser problemet till fullo. I den utsträckning åklagarnas och polisens resurser redan är otillräckliga kan man dock tänka sig att en mer systematisk ansats till problemet hjälper båda myndigheterna spendera tillgängliga resurser på ett klokare sätt. DN:s ledarredaktionen gjorde ett klokt påpekande om detta i april 2014: brottsförebyggande arbete, som kan löna sig, har lika mycket att göra med systemåtgärder som de har med polisens egen verksamhet att göra. Det är inte uppenbart att polisen är den myndighet som bäst förebygger brott, och då måste vi också vidga vår syn på vad det är som kan orsaka problem med, till exempel, bluffakturor.

Och med det sagt vill jag återigen understryka att svenska regeringen har varit alldeles särdeles ohjälpsam i detta avseende under förhandlingarna om dataskyddsförordningen i ministerrådet i Bryssel. Denna oegentlighet lär överleva in i varje ny svensk regering, och dataskyddsförordningen kommer bara bli slutligen hjälpsam i den utsträckning Tyskland och Österrike använder sina politiska styrkor för att åtgärda systemproblem vi är drabbade av här.