http://ameliaandersdotter.eu/category/libe?language=en en http://ameliaandersdotter.eu/2013/05/02/vad-tycker-svenska-ledamoter-om-dataskyddsforordningen-moderaterna?language=en <div class="form-item form-type-item"> <label>Language </label> Swedish </div> <div class="field-item even" property="content:encoded"> <p>Håkan Ogelid på IDG frågade sig i tisdags vad <a href="https://www.idg.se/2.1085/1.505278/usa-bolag-urvattnar-datalagen?ref=anp" rel="noreferrer">svenska ledamöter tycker om dataskyddsförordningen</a>. Enkelt uttryckt tycker Moderaterna att stora amerikanska bolag har många bra poänger, om man får tro Anna-Maria Corazza Bildts ändringsyrkanden. Det här är den första bloggposten av tre där jag går igenom vad svenska ledamöter tycker om Dataskyddsförordningen.</p> <p><strong>Den stora skillnaden mellan USA och Europa rättsmässigt är att privatliv och integritet är en mänsklig rättighet i Europa enligt EKMR art 8. I USA är privatliv och integritet istället en konsumenträttighet som privatpersoner kan förvärva avtalsrättsligt </strong>i relationer med privat aktörer på marknaden. Sverige är bundet av Europeiska konventionen för mänskliga rättigheter sedan 1950-talet, och jag förutsätter att svenska politiker därför utgår ifrån att privatliv är en mänsklig rättighet som vi alla har för att vi är människor, snarare än någonting som uppstår när vi interagerar med en viss tjänstetillhandahållare (varesig denna är statsmakten själv eller en privat tjänstetillhandahållare).</p> <p>Anna Maria Corazza Bildts:s <a href="http://parltrack.euwiki.org/mep/Anna%20Maria%20CORAZZA%20BILDT#am-396-PE-504.340" rel="noreferrer">ändringsyrkande 396</a>, underskrivet med 6 av hennes EPP-kollegor, kommer direkt från amerikansk lobby. Europeisk IT-industri har inte stött att pseudonymiserad data ska undantas från förordningens/personuppgiftslagens förpliktelser. Enligt amerikanska konsumentgrupper och säkerhetsforskare (t ex <a href="http://us.cnn.com/2013/03/16/opinion/schneier-internet-surveillance/index.html" rel="noreferrer">Bruce Schneier</a>, se emellertid också <a href="https://papers.ssrn.com/sol3/papers.cfm?abstract_id=1450006" rel="noreferrer">Paul Ohm</a> som också gör upp med <a href="http://www.foi.se/rapport?rNo=FOI-R--3633--SE" rel="noreferrer">FOI:s rapport 3633</a>) lär pseudonymiserad data heller inte hjälpa oss att skydda vårt privatliv eller integritet på något särskilt sätt, så därför är det uppenbart inte en tanke grundad i MR-tänk, utan snarare ett sätt att konsumenträttsligt minska konsumenters rättigheter mot företag (vilket är rimligt att göra, om man upplever privatliv som konsumenträttslig fråga). Samma feltänk återfinns i Corazza Bildt:s <a href="http://parltrack.euwiki.org/mep/Anna%20Maria%20CORAZZA%20BILDT#am-730-PE-506.145" rel="noreferrer">ändringsyrkande 730</a>, <a href="http://parltrack.euwiki.org/mep/Anna%20Maria%20CORAZZA%20BILDT#am-734-PE-506.145" rel="noreferrer">734</a> och <a href="http://parltrack.euwiki.org/mep/Anna%20Maria%20CORAZZA%20BILDT#am-922-PE-506.146" rel="noreferrer">922</a>, där särskilt #922 utgör ett väldigt stort avsteg från MR-tanken och egentligen gör det omöjligt att på något bra sätt utöva konsumenträttigheter heller. Pseudonymiseringsdiskussionen har uppstått via Yahoo!, eBay, Amazon, Google och Facebook (amerikanska företag), och de har haft väldigt stort inflytande vilket man kan se på bland annat <a href="http://lobbyplag.eu" rel="noreferrer">lobbyplag.eu</a>. Man kan också kontrollera de lobbydokument som kommit in till mig och Christian Engström <a href="http://dataskydd.net/lobbydokument-i-parlamentet-om-dataskydd/" rel="noreferrer">här</a>.</p> <p>Den europeiska organisationen <a href="http://www.cepis.org/" rel="noreferrer">CEPIS</a> som organiserar IT-tekniker har försökt lobba mot förslaget att urvattna definitionen på personuppgift på det ovan förslagna sättet. På <a href="http://www.dataprotectioneu.eu/" rel="noreferrer">dataprotectioneu.eu</a> har en sammanslagning av mer än 100 europeiska akademiker också försökt protestera mot amerikansk industris urvattningsförsök.</p> <p>I det vidare har Corazza Bildt också skrivit under <a href="http://parltrack.euwiki.org/mep/Anna%20Maria%20CORAZZA%20BILDT#am-1357-PE-506.147" rel="noreferrer">ändringsyrkande 1357</a> tillsammans med 8 kollegor. Detta ändringsyrkande till artikel 15 i dataskyddsförordningen lägger privatliv och integritet från EKMR:s artikel 8 på en lägre prioritetsordning än företagshemligheter och immaterialrätter, i en lagstiftning som bara rör privatliv, personuppgiftsskydd och integritet(!). Här rör det sig inte om huruvida fildelning hotar integritet eller anonymitet eftersom ju det är en avvägning domstolar gör i varje specifikt fall, utan om man ska i lagstiftning sätta prioriteringsordningen på detta sätt, vilket då skulle tvinga domstolar att <i>alltid</i> göra avvägningen på ett särskilt sätt. Det härrör från European Banking Federation och en del andra finansiella industrier (se <a href="http://dataskydd.net" rel="noreferrer">dataskydd.net</a> och lobbyplag.eu).</p> <p><a href="http://parltrack.euwiki.org/mep/Anna%20Maria%20CORAZZA%20BILDT#am-414-PE-504.340" rel="noreferrer">Ändringsyrkandena 414</a> och <a href="http://parltrack.euwiki.org/mep/Anna%20Maria%20CORAZZA%20BILDT#am-1537-PE-506.164" rel="noreferrer">1537</a> är underskrivna av Corazza Bildt och 7 kollegor från EPP-gruppen. De är lite lurigare eftersom de undergräver en rättighet vi medborgare <em>redan har</em> enligt <a href="http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32002L0058:sv:HTML" rel="noreferrer">direktivet 2002/58/EC</a> och i Sverige <a href="http://www.notisum.se/rnp/sls/lag/20030389.HTM" rel="noreferrer">18§ LEK</a>, nämligen rätten att få säga ja om vi vill bli spårade (alltså opt-in resp. opt-out). Trots att formuleringen i #1537 alltså inte "ser farlig ut" är det alltså så att den är onödig om man tycker att detta <em>är</em> en rättighet, eftersom <em>rättigheten redan är etablerad</em>. Enda syftet med att kodifiera den <em>igen</em> om med andra ord är att göra rättigheten svagare. Detta förslag har drivits av IAB (reklamföretag), Google, och andra amerikanska företag och sätter, återigen, privatliv och integritet som konsumenträttighet snarare än mänsklig rättighet.</p> <p>Det filosofiska problem jag har lite svårt med vad gäller Corazza Bildt och Moderaterna här är huruvida de anser att privatliv och integritet är en mänsklig rättighet eller en konsumenträttighet. Jag tycker personligen att det är en mänsklig rättighet och att EKMR har gjort en bra avvägning som inkluderar det i den europeiska rättighetskatalogen. Man behöver inte hålla med om det alls, och det kanske Moderaterna (t ex) inte gör, men i sådana fall tycker inte jag att man ska börja med att skriva om "sekundär lagstiftning" utan kanske istället ta en nationell debatt om huruvida vi fortfarande vill vara med i EKMR eller om vi ska begära en omförhandling av EKMR:s text. Så länge alla uppfattar det som bra att vi har den rättighetskatalog vi har i EKMR finns ingen anledning att i annan lagstiftning agera annorlunda (tycker jag).<br /><strong>Är det då inte lugnt så länge vi frivilligt delar med oss av data och personuppgifter?</strong> Vad Anna-Maria Corazza Bildt åstadkommer med sina ändringsyrkanden är att vi inte ges möjligheten att uttrycka någon frivillighet. Vi får helt enkelt inte veta, och vi får ingen möjlighet att säga ja eller nej. Det är det som är problemet med Anna-Maria Corazza Bildts ändringsyrkanden - de tar bort rättigheter, valfriheter och självbestämmande från europeiska medborgare.</p> <p>Kollegor som Anna-Maria Corazza Bildt har affilierat sig med: Sean Kelly, irländsk konservativ ledamot tillika föredragande för yttrandet om dataskyddsförordningen i industriutskottet. Fick mycket hård kritik av olika civilsamhällesaktörer och undergräver totalt allt personuppgiftsskydd i EU (se <a href="http://www.theregister.co.uk/2013/02/22/european_parliament_industry_committee_data_protection_amendements/" rel="noreferrer">http://www.theregister.co.uk/2013/02/22/european_parliament_industry_committee_data_protection_amendements/</a> ); samt Lara Comi, en italiensk konservativ ledamot tillika föredragande i utskottet för konsumenträttsfrågor vars yttrande om förordningen fick ännu hårdare kritik (se t ex <a href="http://www.techweekeurope.co.uk/news/eu-committee-votes-to-water-down-data-protection-regulation-105326" rel="noreferrer">http://www.techweekeurope.co.uk/news/eu-committee-votes-to-water-down-data-protection-regulation-105326</a> ). Se också mer information om vart och ett av utskotten och deras arbete på <a href="http://protectmydata.eu" rel="noreferrer">http://protectmydata.eu</a>.</p> </div><ul class="inline-list category-list"> <li><a href="/category/exile6e?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">#exile6e</a></li> <li><a href="/category/anonymitet?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Anonymitet</a></li> <li><a href="/category/europeisk-politik?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Europeisk politik</a></li> <li><a href="/category/fri-och-rattigheter?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Fri- och rättigheter</a></li> <li><a href="/category/lag-ratt?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Lag &amp; rätt</a></li> <li><a href="/category/libe?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">LIBE</a></li> <li><a href="/category/svensk-politik?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Svensk politik</a></li> </ul> Thu, 02 May 2013 15:39:59 +0000 Amelia Andersdotter 1537 at http://ameliaandersdotter.eu http://ameliaandersdotter.eu/2013/05/02/vad-tycker-svenska-ledamoter-om-dataskyddsforordningen-moderaterna?language=en#comments http://ameliaandersdotter.eu/2013/02/14/when-american-lobbyist-and-eu-representatives-are-too-good-friends?language=en <div class="form-item form-type-item"> <label>Language </label> English </div> <div class="field-item even" property="content:encoded"> <p align="JUSTIFY">The relation between some EU representatives and American lobbyists looks to me like the one between a nice kid and the bully of the classroom that has to retake his classes. The nice one might be encouraged to do naughty things; his marks will probably be negatively affected and his parents are for sure worried about the friendship. The idea of hanging around with the bad boy of the class might sound very cool, but the risks of a bad ending to the story are high.</p> <p align="JUSTIFY">British press (<span style="color: #000080;"><span style="text-decoration: underline;"><a href="http://www.telegraph.co.uk/technology/9865977/Tory-MEPs-copy-and-paste-Amazon-and-Google-lobbyist-text.html#disqus_thread" rel="noreferrer">The Telegraph</a></span></span> &amp; <span style="color: #000080;"><span style="text-decoration: underline;"><a href="http://www.independent.co.uk/news/world/europe/lobbyists-demands-were-copied-into-law-by-meps-8493933.html?origin=internalSearch" rel="noreferrer">The Independent</a></span></span>) is reporting on research which shows that almost every fourth amendment to the data protection regulation of some British MEPs is an exact copy of one appearing in American lobbyists papers. Moreover, as you can see in <span style="color: #000080;"><span style="text-decoration: underline;"><a href="http://www.lobbyplag.eu/" rel="noreferrer">this website</a></span></span>, this issue does not stay just within the borders of the British islands, but many MEPs from other countries are doing the same.</p> <p align="JUSTIFY">There is no problem in listening to the advice of experts and different groups of society but keeping too much attention to private interests that are coming from outside the EU, and particularly from a country where the protection of personal data is not recognized as a Fundamental Right like it is in Europe, might be a little dangerous. Moreover, I find it difficult to imagine an American congressman or congresswoman following so precisely European companies' suggestions. To be honest, that situation wouldn't even make too much sense to me. How can the EU be innovative if we try so hard to repeat the same mistakes made in other parts of the world? How can we aspire to be a global leader if one quarter of the modifications we make to our laws are 'inspired' by foreign companies?</p> <p align="JUSTIFY">If you want to remind to your representatives that it was you who voted for them and not foreign firms, you can find how to do so in this website: <span style="color: #000080;"><span style="text-decoration: underline;"><a href="http://www.privacycampaign.eu/" rel="noreferrer">http://www.privacycampaign.eu/</a></span></span></p> </div><ul class="inline-list category-list"> <li><a href="/category/english?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">English</a></li> <li><a href="/category/europeisk-politik?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Europeisk politik</a></li> <li><a href="/category/itre?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">ITRE</a></li> <li><a href="/category/libe?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">LIBE</a></li> </ul> Thu, 14 Feb 2013 16:33:00 +0000 Felipe Gonzalez Santos 1469 at http://ameliaandersdotter.eu http://ameliaandersdotter.eu/2013/02/14/when-american-lobbyist-and-eu-representatives-are-too-good-friends?language=en#comments http://ameliaandersdotter.eu/2012/06/12/forvirring-kring-telekominfrastruktur-i-parlamentet?language=en <div class="form-item form-type-item"> <label>Language </label> Swedish </div> <div class="field-item even" property="content:encoded"> <p>Tidigare idag röstade parlamentet om ett så kallat initiativbetänkande om skyddsåtgärder för kritisk informationsinfrastruktur. Arbetet är tänkt att bereda parlamentets ställningstagande inför de vidare diskussionerna om kritisk informationsinfrastruktur som vi förväntar oss när kommissionen meddelar sitt förslag på förändringar i <a href="http://www.notisum.se/rnp/eu/lag/308L0114.htm" rel="noreferrer">rådets direktiv 2008/114/EG</a> om identifiering av, och klassificering som, europeisk kritisk infrastruktur och bedömning av behovet att stärka skyddet av denna. På min uppmaningen röstade Greens/EFA emot betänkandet, och här försöker jag lite mer genomgående förklara varför jag har rekommenderat min grupp att rösta så:</p> <div style="width: 410px;"><img alt="Infrastruktur" src="http://static.guim.co.uk/sys-images/Guardian/About/General/2012/5/7/1336402890196/broadband-fibre-optic-cab-008.jpg" title="Infrastruktur" width="150" /><p>Infrastruktur</p> </div> <p>Olyckligtvis är betänkandet behäftat med en rad problem. Parlamentet, och mitt utskott (se <a href="https://ameliaandersdotter.eu/2012/05/08/industriutskottet-och-sakerhet-i-den-digitala-infrastrukturen/" rel="noreferrer">min text om behandlingen av betänkandet i ITRE</a>), har blandat ihop olika säkerhetsbegrepp inom informationsteknologi. Där direktivet man hade som utgångspunkt är tydligt fokuserat på den väldigt viktiga fysiska infrastrukturen, har det här betänkandet försökt dra upp riktlinjer för allt från kablar och basstationer till mejlklienter och webbläsare. Det är en olycklig sammanblandning eftersom de åtgärder som krävs för att komma till rätta med problemen i dessa tekniskt, och funktionellt, väldigt olika områden är annorlunda. Samma vecka som vi röstade i utskottet drabbades Vodafone av fyra timmars nätverksstörningar eftersom de hade haft bränder i basstationerna - de delar av mobiltelefonnätverket som tar emot och skickar vidare signaler mellan användarnas mobiltelefoner. En <a href="http://ripe64.ripe.net/presentations/172-Mobile_Broadband_Measuresments.pdf" rel="noreferrer">undersökning från Norge</a> visar tydligt att många av de största problemen med robusthet och pålitlighet i nätverken behöver åtgärdas med bättre roaming mellan operatörernas infrastruktur - den typen av säkerhet har helt åsidosatts i betänkandet.</p> <div style="width: 410px;"><img alt="Inte infrastruktur." src="http://www.securitycurve.com/wordpress/wp-content/uploads/2010/12/Anonymous110.jpg" title="Inte infrastruktur." width="180" /><p>Inte infrastruktur.</p> </div> <p>Samtidigt har man fokuserat väldigt mycket på brottslighet utförd på nätet med hjälp av mjukvara. Det är i bästa fall kopplat till någon form av nätverkssäkerhet, men mycket vanligare är att det helt enkelt inte alls är kopplat till någon säkerhetsfråga alls utan har att göra med andra fenomen: en vilja att lura folk på pengar (uppstår också utanför nätet), en vilja att lyssna på musik (uppstår också utanför nätet). Jag förstår att vissa av mina kollegor upplever att det finns ett stort behov att diskutera förekomsten av dessa, till cybersäkerhet orelaterade, fenomen. Diskussionen har dock redan har utförts i LIBE-utskottets <a href="http://blog.deepsec.net/?p=871" rel="noreferrer">betänkande om cyberbrottslighet</a>, som fokuserar på de tillfällen då individer skaffar sig tillgång till data utan tillåtelse. Vill man åtgärda immaterialrättsliga problem och upphovsrättsfrågan, som jag vet ligger många av mina kollegor nära, är det också helt okej att vilja föra en sådan diskussion - <em>inom ramen för diskussioner om upprätthållande av immaterialrätter!</em> Att immaterialrätterna och tillhörande problem just inte ska diskuteras i säkerhetssammanhang, eftersom det effektivt minskar vår beredskap att hantera svåra säkerhetskriser med avseende på infrastruktur och allmänna säkerhetsstrategier, har parlamentet dessutom fastställe i <a href="http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+TA+P7-TA-2012-0207+0+DOC+XML+V0//EN" rel="noreferrer">EU:s interna säkerhetsstrategi</a> så sent som förra plenarsessionen i maj. Där uppmanar parlamentet uttryckligen kommissionen att inte inkludera immaterialrätter i sin säkerhetsagenda, eftersom det trots allt är en ekonomiskt, kanske en folkrättslig, fråga, snarare än en något som ska stå i vägen för pålitlig, robust infrastruktur.</p> <p>Det är väldigt olyckligt att informationsteknologiska frågor ses som ett paket, där alla saker med nödvändighet behöver regleras samtidigt och på samma plats. Informationsteknologin är numera så integrerad i vårt samhälle att det är mycket svårt att se hur vi kan hantera de utstående frågorna som berör teknologierna på annat sätt än genom att behandla dem var för sig, inom det område där det bäst lämpar sig att diskutera dem. Som lagstiftare behöver vi fråga oss om det verkligen är rimligt att tro att starkare upphovsrättsskydd kan skydda oss från effekterna av bränder i Vodafones basstationer, eller om en telefonkabel som fallit till marken på grund av tung snö eller som skadats vid grävarbete kan åtgärdas genom att häkta en ddos:are.</p> <p>Med det sagt innehåller initiativbetänkandet också några bra punkter. Politiskt går det dock utmärkt, till och med bättre, att extrapolera sådana klokheter från det tidigare direktivet och utskottets tidigare ansträngningar med att utforma ett framtida uppdrag för EU:s nätverkssäkerhetsagentur ENISA. Betänkandet som mot mina och min politiska grupps rekommendationer antogs idag bidrar olyckligtvis mest till en förvirring som förhoppningsvis hinner lägga sig innan kommissionens lagstiftande förslag anländer till hösten.</p> </div><ul class="inline-list category-list"> <li><a href="/category/itre?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">ITRE</a></li> <li><a href="/category/libe?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">LIBE</a></li> <li><a href="/category/plenum?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Plenum</a></li> </ul> Tue, 12 Jun 2012 14:58:23 +0000 Amelia Andersdotter 1226 at http://ameliaandersdotter.eu http://ameliaandersdotter.eu/2012/06/12/forvirring-kring-telekominfrastruktur-i-parlamentet?language=en#comments http://ameliaandersdotter.eu/2012/05/31/amelias-yttrande-over-acta-gick-igenom?language=en <div class="form-item form-type-item"> <label>Language </label> Swedish </div> <div class="field-item even" property="content:encoded"> <p>Idag har Industriutskottet (ITRE), där Amelia är ledamot, röstat om ACTA. Amelia var föredragande för punkten, och <a href="http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//NONSGML+COMPARL+PE-483.518+01+DOC+PDF+V0//EN&amp;language=EN" target="_blank" rel="noreferrer">hade föreslagit utskottet att rösta mot ACTA</a>.</p> <p>Industriutskottet valde att gå på Amelias linje, och röstade i förmiddags mot ACTA-avtalet.</p> <p>Mer information, och uttalande från Amelia, finns i <a href="http://www.mynewsdesk.com/se/pressroom/piratpartiet/pressrelease/view/tvaa-tunga-utskott-i-europaparlamentet-roestar-nej-till-acta-767506" target="_blank" rel="noreferrer">pressmedddelandet här</a>.</p> <p>Ytterligare ett utskott har röstat idag, utskottet för rättsliga frågor (JURI), som också röstade mot ACTA.</p> <p>I eftermiddag röstar utskottet för medborgerliga fri- och rättigheter (LIBE) om ACTA-avtalet. Uppdatering: Nu har även LIBE röstat mot ACTA, således tre utskott på en dag som stakat ut samma riktning.</p> <p>Inget är dock klart, förrän plenarsessionen där hela parlamentet röstar. Yttrandena från utskotten är endast rekommendationer till parlamentet. ACTA-omröstningen i parlamentet är planerad till början av juli.</p> <p>Andra om detta:</p> <p><a href="http://falkvinge.net/2012/05/31/three-strikes-against-acta-in-european-parliament-today/" target="_blank" rel="noreferrer">Falkvinge: Three strikes against ACTA in European Parliament Today</a></p> <p><a href="http://www.dn.se/ekonomi/acta-avtalet-rostades-ner" target="_blank" rel="noreferrer">DN: Acta-avtalet röstades ner</a></p> <p><a href="http://www.europaportalen.se/2012/05/eu-parlamentet-acta-avtalet-foll-i-utskott" target="_blank" rel="noreferrer">Europaportalen: Acta-avtalet föll i två utskott</a></p> <p><a href="http://christianengstrom.wordpress.com/2012/05/31/two-eu-parliament-committees-narrowly-recommend-rejecting-acta/" target="_blank" rel="noreferrer">Christian Engström: Two EU Parliament committees narrowly recommend rejecting ACTA</a></p> </div><ul class="inline-list category-list"> <li><a href="/category/acta?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">ACTA</a></li> <li><a href="/category/europeisk-politik?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Europeisk politik</a></li> <li><a href="/category/itre?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">ITRE</a></li> <li><a href="/category/lag-ratt?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Lag &amp; rätt</a></li> <li><a href="/category/libe?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">LIBE</a></li> </ul> Thu, 31 May 2012 09:04:20 +0000 Maria Noleryd 1216 at http://ameliaandersdotter.eu http://ameliaandersdotter.eu/2012/05/31/amelias-yttrande-over-acta-gick-igenom?language=en#comments http://ameliaandersdotter.eu/2012/05/30/workshop-on-data-protection-regulation?language=en <div class="form-item form-type-item"> <label>Language </label> Swedish </div> <div class="field-item even" property="content:encoded"> <p>On Tuesday, May 29, LIBE rapporteur <a href="http://www.europarl.europa.eu/meps/en/96736/Jan%20Philipp_ALBRECHT.html" rel="noreferrer">Jan Philipp Albrecht</a>, MEP of the Greens/EFA group, hosted a debate on the proposed Data Protection Regulation (<a href="http://www.europarl.europa.eu/committees/en/libe/events.html?id=workshops" rel="noreferrer">downloadable here</a>). Stakeholders from business to civil society and representatives of the EU institutions gathered in the vast Brussels plenary chamber of the EP to exchange their views and concerns on the future of data protection in the EU. The three panels treated in turn the scope and principles of the proposal, the data subject rights and the roles of Data Protection Authorities (DPAs) and Data Controllers. This report highlights some of the many issues brought forward by panelists and attending stakeholders alike.</p> <p><strong>Data Protection as a Fundamental Right</strong></p> <p>The first panel, consisting of Peter Hustinx, European Data Protection Supervisor, Peter Drunkenmöller, representative of the loyalty card system <em>Payback</em> and Joe McNamee of European Digital Rights organization <a href="http://edri.org/" rel="noreferrer">EDRi</a>, showed remarkable agreement that a regulation is indeed the best tool for addressing data protection on a European level. While Drunkenmöller emphasized the positive impact of a harmonized EU data protection regime for the expansion of businesses, McNamee welcomed the improvement of data protection implementation through the regulation. As he pointed out, data protection's inclusion in the <a href="http://en.wikisource.org/wiki/Charter_of_Fundamental_Rights_of_the_European_Union#CHAPTER_II._FREEDOMS" rel="noreferrer">Charter of Fundamental Rights</a> constitutes a binding promise of the EU to its citizens to not just pay lip service to this right, but to effectively implement it in all member states.</p> <p>Repeated attempts from business representatives in the audience to frame data protection as a consumer right rather than a fundamental right (as a Privacy International attendee correctly pointed out, consumer rights <em>are</em> fundamental rights) and to argue that fundamental rights were only supposed to protect the individual from the state and not require the state to regulate business were rightly shot down by the panel. Hastings pointed towards horizontal relations in fundamental rights, i.e. the obligation of the state to actively guarantee those rights.</p> <p><strong>Strengthening the Implementation of Data Protection</strong></p> <p>In order to further improve the implementation of the right to data protection, EDRi identified potential loopholes in the draft: The exemption of law enforcement from the scope of the regulation, which could be interpreted as including private security contractors, would give foreign governments the opportunity to access EU citizens' data through private companies. As McNamee pointed out, no foreign government should be able to circumvent EU law.</p> <p>Another point of criticism was the vague nature of the legitimate interest clause that allows companies to process data without explicit consent. One national high court had ruled that even an ISP's snooping for copyright infringements by its customers was a legitimate interest. McNamee suggested to strengthen the clause to make sure that the need for consent to data processing could not be overridden by an ISP's contract with a customer.</p> <p><strong>Effects of the Data Protection Regulation on Media</strong></p> <p>Several media associations weighed in on the debate with differing concerns regarding the draft. A representative of the European Newspaper Association criticised that the exemption for journalists from parts of the data protection regime was left to the member states to implement. She suggested that the aim of balancing data protection with freedom of expression would be better served by making the exemption directly legally binding within the regulation.</p> <p>A member of the Newspaper Publishers Association pointed towards the importance of the legitimate interest clause for newspapers' business models, defending the practice of sending addressed letters to households without consent, in order to acquire new customers. Hastings assured that the inclusion of a legitimate interest clause in the regulation was necessary due to a ruling of the European Court of Justice, but strong safeguards like the right to objection were necessary to protect citizens' rights.</p> <p><strong>Right to be Forgotten</strong></p> <p>The second panel on data subject rights featured some criticism of the newly introduced right to be forgotten. Marisa Jimenez of Google argued that in the digital environment, an individual user is not always just the data subject, but also often the data processor. Google proposed not to enforce the right to be forgotten against individuals, introducing a household exception to the text. In a similar vein, Nuria Rodriguez of the European Consumers' Organization (BEUC) argued that while the concept was to be welcomed in principle, the enforcement against individuals could collide with their freedom of expression, or could be grounds for companies to filter content. Leila Schilthuis, formerly associated with the International Centre for Missing and Exploited Children (ICMEC), warned that the enforcement of the right to be forgotten against individuals (e.g. teenagers sharing group photos) would be very difficult. In her opinion, the regulation should focus on effectively enforceable provisions in order not to mislead individuals, and to support awareness programs for children and their parents when dealing with personal data on the internet. To further protect minors from being targeted by online marketing, the regulation should include safeguards against the use of meta-data produced by minors.</p> <p><strong>Transparency</strong></p> <p>Rodrigez of BEUC drew attention to the importance of transparency to individuals in matters of data protection. She welcomed that the regulation asks for easily understandable information on the processing of data, but wanted to extend the principle of transparency and readability by making standard forms for privacy policies a requirement. The information a data controller has to provide to a data subject should also be extended to include the type of personal data collected.</p> <p><strong>Strengthening Data Protection Authorities</strong></p> <p>The last panel mainly focused on the role of Data Protection Authorities. Laetita Kroener of the Article 29 working party asked that the role of the European Data Protection Authority be strengthened vis-à-vis the Commission. Philip Schütz, a researcher at the Fraunhofer Institute for Systems and Innovation who is working on the comparative analysis of DPAs, identified two major factors in the efficiency of DPAs: independence and funding. As data protection must be followed by private companies as well as government institutions, DPAs, that are closer to government than to industry, must be organisationally and financially independent of the institutions they may be scrutinising.</p> <p>As DPAs have to fulfill a wide variety of obligations, from complaint handling to education and advice, they require adequate resources, as outlined in the regulation. Schütz criticised that the term "adequate resources" may be open to interpretation by member states. Along with Kroener, he cautioned for stronger independence of the DPAs from the Commission.</p> <p>A large number of diverse interests were voiced during the well-attended workshop, covering all of which would certainly exceed the reader's attention. Further information can be gathered from the <a href="http://www.europarl.europa.eu/committees/en/libe/events.html?id=workshops" rel="noreferrer">opinions</a> on the data protection reform issued by various parties.</p> </div><ul class="inline-list category-list"> <li><a href="/category/anonymitet?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Anonymitet</a></li> <li><a href="/category/english?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">English</a></li> <li><a href="/category/europeisk-politik?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Europeisk politik</a></li> <li><a href="/category/libe?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">LIBE</a></li> </ul> Wed, 30 May 2012 16:11:55 +0000 Julia Reda 1215 at http://ameliaandersdotter.eu http://ameliaandersdotter.eu/2012/05/30/workshop-on-data-protection-regulation?language=en#comments http://ameliaandersdotter.eu/2012/04/26/green-group-briefing-on-data-protection?language=en <div class="form-item form-type-item"> <label>Language </label> Swedish </div> <div class="field-item even" property="content:encoded"> <p>One of the main perks of being part of a political group within the European Parliament is the access to a group of informed policy advisers that keeps tracks on all the dossiers that float around in the system. Below I would like to share some parts from a briefing document on Data Protection that was sent to the Green group some days ago.</p> <table border="1" cellspacing="0" cellpadding="0"><tbody><tr><td valign="top" width="657"> <p align="left"><strong>Background</strong></p> </td> </tr><tr><td valign="top" width="657">In accordance with article 8 of the EU Charter the <strong>Right to personal data protection</strong>: <p>1. Everyone has the <strong>right to the protection of personal data</strong> concerning him or her.</p> <p>2. Such data must be <strong>processed fairly</strong> for <strong>specified purposes</strong> and on the basis of the <strong>consent </strong>of the person concerned <strong>or</strong> some other <strong>legitimate basis</strong> <strong>laid down by law</strong>. Everyone has the right of <strong>access</strong> to data which has been collected concerning him or her, and the right to have it <strong>rectified</strong></p> <p>3. Compliance with these rules shall be subject to control by an <strong>independent authority</strong>.</p> <p>Since the adoption of <strong>Directive 95/46 on the protection of individuals with regard to the processing of personal data and on the free movement of such data</strong> a lot has changed in the area of data protection, notably <strong>technological developments,</strong> increased<strong> collection and processing of personal data for law enforcement purposes with a patchwork of applicable data protection rules</strong> and <strong>globalization of markets and cooperation</strong>. Furthermore the <strong>directive has failed to achieve a proper harmonisation</strong> due to the different implementation of its provisions in the Member States. In this context it has become <strong>increasingly difficult for individuals (‘data subjects’) to exercise their right to data protection</strong>. This problem is particularly visible as regards <strong>social networking</strong> sites like <strong>Facebook</strong> and <strong>surveillance</strong> measures like the use of telecommunication data (<strong>Data retention</strong>) and <strong>Passenger Name Records </strong>for law enforcement purposes. Furthermore it <strong>has hampered the development of the Single Market with companies </strong>(controlling or processing personal data<strong>, ‘data controllers’</strong>)<strong> and consumers facing differences in data protection requirements</strong>. There is also a concern regarding the protection in <strong>particular sectors,</strong> <strong>such as employment</strong></p> <p>Since the entry into force of the <strong>Lisbon Treaty</strong> the Union has an <strong>explicit legal basis for data protection covering processing of personal data in the public and private sector but also in the context of law enforcement</strong> (resulting from the collapse of the pre Lisbon “pillar structure”). The Commission has now used this legal (article <strong>16 (2) TFEU)</strong> to present proposals for a revision of the Union's data protection framework. It proposes a <strong>Regulation</strong> (COM (2012)11) that will <strong>replace </strong>Directive 95/46 and amend Directive 2002/58/EC on E-privacy and<strong> a Directive</strong> (COM(2012)10) that will <strong>replace Framework decision 2008/977/JHA</strong> on the protection of personal data processed for the purpose of <strong>prevention, detection, investigation or prosecution of criminal offences.</strong></p> <div> <p><strong>Contents</strong></p> </div> <p>The fact that the Commission chose to replace Directive 95/46 with a (directly applicable) <strong>Regulation should</strong> <strong>reduce the fragmented approach</strong> to data protection among Member States. It did however choose to <strong>leave quite some room for Member States to maintain or adopt specific rules </strong>(<strong>e.g. regarding the public interest </strong>(article 21),<strong> freedom of expression, professional secrecy, health and employment </strong>(articles 80-85) and for the <strong>Commission to adopt</strong> <strong>delegated and implementing acts</strong>, such as on the threshold for a <strong>data breach notification</strong>.</p> <p>Furthermore the Commission <strong>failed to deliver a comprehensive system</strong> of data protection as Parliament called for in the Resolution 2011/0323 adopted on 6 July 2011. The Regulation <strong>does not cover law enforcement cooperation</strong> (on which the separate Directive is proposed). Furthermore data protection rules for <strong>EU institutions and bodies</strong> based on <strong>Regulation 45/2001</strong> are excluded from its scope. <strong>Processing </strong>by <strong>Europol</strong> and<strong> Eurojust</strong> and data processing within the context of <strong>Common Foreign and Security Policy </strong>are <strong>also excluded</strong>.</p> <p>This leaves <strong>legal uncertainty as regards rights and obligation in borderline issues, </strong>for instance where<strong> commercial data is used for law enforcement purposes</strong> and<strong> transfers between authorities that are responsible for law enforcement and those that are not. </strong>Further clarification, for instance in <strong>article 21</strong>, is needed.</p> <p>The proposed regulation will be <strong>applicable to EU and non-EU companies</strong>. It  will therefore have an extra-territorial effect, meaning that it will apply to controllers that are not established in the EU but are active in the market of the EU by offering goods or services to data subjects residing in the EU or by monitoring their behaviour.</p> <p>The <strong>Regulation clarifies and strengthens a number of data protection rights and principles </strong>in the light of technological changes and globalization.</p> <p>The inclusion of a <strong>transparency requirement</strong> (articles 11, 14)<strong> </strong>leads to <strong>stricter obligations to inform data subjects</strong>. It is also specified that accordance with the principle of <strong>data minimization</strong> the <strong>collection of and processing personal data should be limited to a minimum</strong>. Furthermore the <strong>data controller has to demonstrate</strong> <strong>compliance</strong> with the Regulation. The principle that <strong>data should be limited for a specific purpose and must not be further processed in a way incompatible with the purposes for which they have been collected.</strong></p> <p>The requirements for obtaining<strong> consent </strong>of the data subject for data collection and processing are clarified (article 7). Consent has to be given<strong> explicitly (‘opt-in’)</strong>.  For <strong>children under the age of 13</strong> the<strong> parent’s consent </strong>is explicitly required before data collection and storage is allowed.</p> <p>The right of <strong>access</strong> is strengthened by imposing deadlines and the duty to motivate a refusal to grant access. Furthermore the <strong>right to erasure has been strengthened into a ‘right to be forgotten’</strong> (article 17). Data subjects will be able to demand that the data controllers take <strong>all reasonable steps to ensure deletion of their data </strong>if there are no legitimate grounds for retaining them and especially where those data have been published and republished online. There has been <strong>some controversy around this provision, particularly as regards its enforceability, the relationships with the freedom of expression and burdens on business</strong>.</p> <p>In addition a <strong>right to data portability</strong> is introduced (article 18). This right is designed to facilitate an individual's access to personal data and ensure that people will be able to <strong>transfer personal data from one service provider to another</strong> more easily.</p> <p>There is a fear that the rules on<strong> profiling</strong> will be difficult to understand and apply in practice. The regulation only imposes <strong>limits on automated processing of personal data</strong> (article 20), which results in decisions adversely affecting the person or are based on sensitive data. This ensures that <strong>human intervention remains necessary</strong>. It does however not prohibit the sorting of people based on profiles as such.</p> <p>An important element of the proposal is <strong>a shift from notification requirements to the data protection authorities to practical compliance and individual empowerment</strong> (article 22). The regulation furthermore introduces the obligation to <strong>keep documentation of all processing operations </strong>(article 28), to <strong>notify security breaches </strong>(articles 31,32) and to perform a <strong>data protection impact assessment </strong>(article 33).</p> <p>The proposed Regulation sets out obligations of the controller arising from the <strong>principles of privacy by design and by default</strong> (article 23 (1) and (2) respectively)<strong>. </strong>“Privacy by design” means that data protection safeguards should be built into products and services from the earliest stage of development. “Privacy by default” means that the default setting should be those that provide the most privacy.</p> <p>The article on data protection by design and default is important to <strong>ensure that for instance the privacy settings of social networking platform allow the data subject the choice to opt for more intrusive use of its personal data then strictly necessary for the simple use of it</strong>.</p> <p>The <strong>security breach notification</strong> builds on article 4(3) of the <strong>E-privacy directive</strong>. If <strong>data is accidentally or unlawfully destroyed, lost, altered, accessed by or disclosed to unauthorised persons</strong>, organisations will have to <strong>notify both individuals and the relevant supervisory authority</strong>, where feasible <strong>within 24 hours</strong>. It <strong>will have to be debated how realistic the 24 hour threshold is</strong>.</p> <p>In accordance with article 35 of the proposal data <strong>controllers or processors with more than 250 employees or whose core business it is to process personal data</strong> will have to appoint a <strong>data protection officer</strong> to <strong>monitor internal compliance</strong> with the regulation. The <strong>benchmark of 250 employees has been criticised</strong> for being either to high (effectiveness) or too low (costs). It is unclear whether the number of employees is the right standard to be applied.</p> <p>The provisions relating to the <strong>third country data transfers</strong> are modified compared to the existing rules. As an example, the <strong>current prohibition of any transfer to countries that are not deemed adequate is replaced by a general principle that transfers can take place only if the conditions for transfers set fourth in the proposal are met</strong>. As hitherto, the Commission’s power to adopt decisions recognising the adequacy or the non-adequacy of a third country, will be maintained, but <strong>will now also involve international organisations and sectors</strong>. In the absence of an adequacy decision, the controller or processor should take appropriate safeguards measures such as binding corporate rules, standard data protection clauses adopted by the Commission or by a supervisory authority.</p> <p>The proposed Regulation implements a <strong>“one-stop-shop” approach</strong> to data protection compliance in the EU (article 51). The new competence as <strong>lead authority</strong> in case that a controller or processor is established in several Member States will ensure unity of application. The one-stop-shop will apply to organisations as well as to data subjects. Organisations will only have to deal with a single national data protection authority in the EU country where they have their main establishment. <strong>A data subject will be able to refer to the data protection authority in their country, even when their data is processed outside their home country</strong>.</p> <p>The <strong>independence and the powers of supervisory authorities will be strengthened as regards investigative powers and sanctions</strong>. They will be able to impose <strong>fines of up to 1 Million Euro or 2% of global annual turnover of a company for violation of data protection rules</strong>. They will furthermore receive <strong>enhanced funding</strong>.</p> <p align="left">Cooperation between DPAs will also be strengthened in the context of a <strong>European Data Protection Board </strong>(which is to replace the current "article 29 Working Party"). The Board will consist of a head of a supervisory authority of each Member State and of the European Data Protection Supervisor.</p> </td> </tr></tbody></table></div><ul class="inline-list category-list"> <li><a href="/category/libe?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">LIBE</a></li> </ul> Thu, 26 Apr 2012 10:55:28 +0000 Mattias Bjärnemalm 1196 at http://ameliaandersdotter.eu http://ameliaandersdotter.eu/2012/04/26/green-group-briefing-on-data-protection?language=en#comments http://ameliaandersdotter.eu/2012/04/23/datasakerhet-som-lagstiftningsobjekt?language=en <div class="form-item form-type-item"> <label>Language </label> Swedish </div> <div class="field-item even" property="content:encoded"> <p>Jag skickade nyss ut <a href="http://www.mynewsdesk.com/se/pressroom/piratpartiet/pressrelease/view/nytt-direktiv-om-hacking-oroar-datasaekerhetsexperter-752831?utm_source=rss&amp;utm_medium=rss&amp;utm_campaign=Subscription&amp;utm_content=pressrelease" rel="noreferrer">ett pressmeddelande</a> där jag försöker kortfattat förklara bakgrunden till ett förslag som rönt viss uppmärksamhet bland datasäkerhetsexperter de senaste veckorna.</p> <p>Vissa frågor jag har fått från andra medlemsländer (Frankrike och Tjeckien) verkar indikera att många tror att förslaget parlamentets utskott för mänskliga rättigheter och inre säkerhet (LIBE) <a href="http://www.europarl.europa.eu/news/en/pressroom/content/20120326IPR41843/html/Hacking-IT-systems-to-become-a-criminal-offence" rel="noreferrer">röstade igenom för två veckor sedan</a> är någonting nytt. Så är det egentligen inte. Direktivsförslaget (på EU-språk: <em>meddelande från kommissionen</em>, alt. på engelska <em>communication from the commission</em>) <a href="http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&amp;reference=2010/0273%28COD%29" rel="noreferrer">2010/0273(COD)</a> är egentligen en omarbetning av ett gammalt rambeslut från kommissionen och rådet, <a href="http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:32005F0222:EN:NOT" rel="noreferrer">2005/222/JHA</a> (<em>Rådets rambeslut 2005/222/RIF av den 24 februari 2005 om angrepp mot informationssystem</em>). Det behandlades av parlamentet <a href="http://www.europarl.europa.eu/oeil/popups/ficheprocedure.do?lang=en&amp;reference=2002/0086%28CNS%29" rel="noreferrer">redan 2002</a>, och kommissionens förslag på omarbetning till direktiv som publicerades 2010 var snarlikt den gamla förordningen. På Europaparlamentets <a href="http://www.europarl.europa.eu/oeil/home/home.do" rel="noreferrer">webbplats för uppföljning av lagstiftningen</a> finns ännu ingen länk publicerad till det förslag LIBE-utskottet faktiskt antagit så det är svårt att säga hur det egentligen har förändrats.</p> <p>Det som är väldigt tydligt i de debatter som förs om datasäkerhet i parlamentet - till exempel ITRE-utskottets debatter tidigare i år <a href="https://ameliaandersdotter.eu/2012/02/07/what-is-the-purpose-of-our-network-security-agency/" rel="noreferrer">om ENISA</a> - och även de rapporter som kommer från datasäkerhetsdebatter på kommissionen är dock att man, precis som jag nämner i pressreleasen, lägger ett onödigt fokus på <em>distributed denial of service</em>-attacker. Det är nog som <a href="http://www.schneier.com/blog/archives/2011/07/is_there_a_hack.html" rel="noreferrer">Bruce Schneier nämner</a> "en funktion av mediarapportering snarare än någon faktiskt hackingepidemi". Visst visar det sig också att majoriteten av just DDoS-attacker <a href="http://www.theregister.co.uk/2012/02/08/ddos_attack_trends/" rel="noreferrer">verkar vara politiska</a> snarare än utslag för ökad kriminalitet eller osäkerhet i våra datasystem. </p> <p>Ett EU-land där man stundtals kommit längre i politiska säkerhetsdebatter än andra länder är Nederländerna. Där lyckades underkammaren ("<em>Tweede kamer</em>", motsvarande svenska riksdagen) nyligen ställa frågan till landets regering om landets <a href="http://tweakers.net/reviews/2465/scada-beveiliging-een-structureel-probleem.html" rel="noreferrer">SCADA-system</a> egentligen var väl säkrade. SCADA-system är sådana datasystem som ofta hanterar väldigt specialiserade uppgifter. De består av hårdvara och mjukvara och kan förekomma i till exempel vattenreningsverk, kärnkraftverk eller andra platser där man förväntar sig någon form av datorkontroll men inte nödvändigtvis en dator i form av persondator (alltså, sådan dator vi vanligtvis hittar i hemet eller på kontoret). Det svarade regeringen att <a href="http://webwereld.nl/nieuws/109813/minister--scada-systemen-van-het-rijk-zijn-veilig.html" rel="noreferrer">de visst var</a> och lade till att de i de flesta fall inte var uppkopplade mot internet alls, eller hade egna nätverk. Men ja, kommer man i närheten av ett sådant system med t ex en USB-sticka, eller tar sig till ett av nätverkspunkterna för systemens interna nätverk, kan man nog <a href="http://tweakers.net/nieuws/79475/exploits-voor-industriele-systemen-toegevoegd-aan-metasploit.html" rel="noreferrer">åstadkomma en del ändå</a>.</p> <p>Ett vanligt exempel att ta upp på när just överbelastningsattacker (DDoS) varit stora problem i Europaunionen är den attack som skedde mot Estland 2007. Det är allmänt vedertaget att den attacken inte var organiserad och berodde på Estlands <a href="http://www.computer.org/portal/web/csdl/abs/html/mags/ds/2007/08/mds2007080003.htm" rel="noreferrer">dåförtiden dåliga infrastruktur</a>. Man löste sedermera problemet genom att ge Estland fler kopplingar än en till omvärlden, informationsinfrastrukturellt sett. I många fall där överbelastningsattacker varit aktuella ser man också väldigt tydligt att det är just aktörer som har centraliserad infrastruktur som drabbas. VISA och Mastercard, men däremot inte Amazon som hade servrar i flertalet medlemsländer vid tiden för de uppmärksammade attackerna till stöd för Wikileaks. </p> <p><strong>Nu är det förvisso into politikers uppgift att se till varken SCADA-system, <em>internet exchanges</em> eller serverhallar är säkra från yttre hot. Däremot kan det ligga inom en politikers uppgift att se till att den industri som tillhandahåller de här systemen inte kommer undan med att lämna säkerhetsläckor i tekniken.</strong></p> <p>Det är politiker oftast väldigt usla på att göra. </p> <p>Eftersom vi som yrkesgrupp är rätt mediakänsliga, agerar vi ofta på vad Schneier refererar till som "funktioner av mediarapportering" snarare än faktiska behov. </p> <p>Dessutom tycker jag mig märka en oro inför att industrin, i det här fallet säkerhetsindustrin eller till och med hårdvaruindustrin, skulle kunna bli överreglerad. <strong>När man oroar sig för att industrin ska överregleras är det naturligtvis lättare att stifta en lag sådan att ansvaret för att någonting gått fel läggs på offentliga institutioner, i det här fallet domstolsväsendet och landets fängelser</strong> (eftersom man har kriminaliserat olika typer av dataintrång). </p> <p>Den här skiftningen av ansvar från de aktörer som egentligen har makten att verka förebyggande, till offentliga institutioner som egentligen bara kan verka efter att någonting egentligen har hänt (såvida de inte tar över vissa delar av också den kommersiella produktionen, vilket man naturligtvis kan tänka sig att de bör eller kan göra) sker inte bara i säkerhetsindustrin. Överlag är det, precis som <a href="https://ameliaandersdotter.eu/2012/04/20/voting-on-pnr/" rel="noreferrer">jag skrev om PNR</a> här om dagen, ganska lätt för vilken industri att helt enkelt skjuta upp vidtagande av adekvata åtgärder tills dess att offentliga institutioner känner sig nödgade att ta över det som i slutändan alltid är ett ekonomiskt ansvar för att se till att rätt åtgärder faktiskt hamnar på plats.</p> </div><ul class="inline-list category-list"> <li><a href="/category/informationssamhallet?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Informationssamhället</a></li> <li><a href="/category/inre-hot?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Inre hot</a></li> <li><a href="/category/itre?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">ITRE</a></li> <li><a href="/category/libe?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">LIBE</a></li> </ul> Mon, 23 Apr 2012 04:10:17 +0000 Amelia Andersdotter 1190 at http://ameliaandersdotter.eu http://ameliaandersdotter.eu/2012/04/23/datasakerhet-som-lagstiftningsobjekt?language=en#comments http://ameliaandersdotter.eu/2012/04/20/voting-on-pnr?language=en <div class="form-item form-type-item"> <label>Language </label> Swedish </div> <div class="field-item even" property="content:encoded"> <p>Yesterday the European Parliament voted on an agreement between the EU and the United States <em>Passenger Name Records</em>, PNR (<a href="http://www.europarl.europa.eu/sed/doc/votingResult/P7_PV(2012)04-19(RCV)_en.pdf" rel="noreferrer">results here</a>). There is a quite good summary of the agreement and the process leading up to it <a href="http://euobserver.com/22/115947" rel="noreferrer">on EUObserver</a>. The rapporteur, Sophie in't Veld from Dutch centre-left liberal party D66, requested to be disassociated from the report upon its approval (voting for the report, was voting for the agreement, and to vote against the agreement we had to vote against the report). Sophie in't Veld has been one of the strong advocates for privacy in the Liberal Group of the European Parliament for a number of years and bore the main responsibility for the report on the PNR agreement. The disassociation basically means her committee, and the parliament, is acting against what she feels is the best interest of the European Union citizens and that she does not want to be associated with the agreement passing into effect.</p> <p>I, along with the Pirate Party delegation, participated in a <a href="http://www.facebook.com/amelia.andersdotter/posts/335973523122766" rel="noreferrer">political protest against the agreement</a> with a number of other political parties. We voted against.</p> <p>One of the Swedish members who voted for the agreement <a href="https://ameliaandersdotter.eu/www.svd.se/nyheter/utrikes/eu-ja-till-att-usa-far-data-om-flygresenarer_7070945.svd" rel="noreferrer">argued in Swedish daily news paper</a> that the data is already transfered and that the agreement simply creates rules for transfer that is already occurring. There are certain merits to this statement.</p> <p>An expert invited for a seminar by the Green Group last year, <a href="http://www.hasbrouck.org/" rel="noreferrer">Edward Hasbrouck</a>, suggested that the flight industry already transfers passenger name records in the way that we, as privacy advocates, want to stop since the 1980s. He also believes that transfer of passenger name records from flights inside of Europe cannot be said to be transferred to the US as part of a "<em>legitimate business interest</em>", which means that the PNR transfers are actually already illegal from the perspective of European Union <a href="http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML" rel="noreferrer">directive on data protection</a> from 1995. One of the problems for the airlines industry, which was already a problem in 1995, is of course that their data systems are made in such a way that this transfer occurs anyway, and that the only way they can stop these transfers is by upgrading their data systems.</p> <p>One could argue, of course, that it's in the interest of the industry to upgrade their data systems if the presently active ones are from the 1980s. But the flight industry is very important for society - this is, for instance, how the European Parliament is able to convene every week in a geographical location different from the one where most of its members live - and thus is probably just waiting for some kind of public subsidy to step in and take over the costs of the upgrade. Eventually it will be so beneficial to society for the upgrade to get made, that the public institutions can't escape stepping in. What the members of parliament that voted for the agreement yesterday expressed, was actually just that <em>this time has not yet arrived</em>.</p> <p>Of course, in making this statement they are making Europe weak. Europe wants to have a high privacy protection for data subjects located on European soil. This much is clear from the European Convention of Human Rights, the Data Protection Direction Directive from 1995 and the recently proposed Data Protection Regulation and Directive <a href="http://ec.europa.eu/justice/data-protection/index_en.htm" rel="noreferrer">of the European Commission</a> in January 2012. Now that the Parliament is expressing a contradictive strategy with respect to passenger name records, one could argue that internationally we will look weak. Because actually the European public institutions and our democratically elected representatives are unwilling to accept the consequences of making Europe a world leader in privacy technologies, privacy protection and the new information landscape defined as a space for users and citizens.</p> <p>There are many financial interests at the back of the debate on PNR, and sooner or later we will have to move the privacy debate to those financial interests and how to deal with them. In the case of PNR, rather than signing a distressingly compromised agreement with the United States, Commissioner Malmström could be working on how to deal with European entities in Europe and how they deal with European data. Why she and her predecessors at the Commission did not start doing this already in 1995 is beyond me, but maybe it is not too late to start.</p> </div><ul class="inline-list category-list"> <li><a href="/category/europeisk-politik?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Europeisk politik</a></li> <li><a href="/category/libe?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">LIBE</a></li> <li><a href="/category/plenum?language=en" typeof="skos:Concept" property="rdfs:label skos:prefLabel" datatype="">Plenum</a></li> </ul> Fri, 20 Apr 2012 08:54:38 +0000 Amelia Andersdotter 1189 at http://ameliaandersdotter.eu http://ameliaandersdotter.eu/2012/04/20/voting-on-pnr?language=en#comments