Amelia Andersdotter - Dataskydd

Amelia debatterar integritet med Sara Skyttedal (KD)

Anders Jensen-Urstad — Tue, 06 May 2014 13:41:49 +0000

Språk Svenska

I går deltog Amelia i en debatt om integritet med Sara Skyttedal (KD) i P3 Nyheter med Karlsten. Lyssna nedan!

Vi felrubricerar problemen med sexbilder på nätet

Amelia Andersdotter — Tue, 22 Oct 2013 18:17:47 +0000

Språk Svenska

Det har utbrytit kort men intensiv debatt om en dom från Göta hovrätt som rör spridning av en privat sexfilm på nätet. Hovrätten minskar straffet för den pojke som spridit filmen av sin före detta flickvän väldigt möjligt.

Dels har @netlawswe (Daniel Westman ~~Westlund~~ ) på twitter kommenterat att förtal inte skyddar mot spridning av rent privata uppgifter: förtalslagstiftningen skyddar mot spridning av uppgifter som gör att personen ringaktas. Men också t ex @martenschultz (Mårten Schultz) har kommenterat domen på sin blogg som "nästan stötande" eftersom den verkar feluppskatta vad som är socialt accepterat. Precis som Mårten Schultz skriver finns det en hel del rättsfall som rör spridning av kränkande, ofta sexuella, bilder på nätet. Det här är inte det enda mål som fått mediauppmärksamhet.

För inte så länge sedan dömdes vårdnadshavarna till två unga människor i Göteborg till böter för att deras barn hade vidarebefodrat upprörande bilder på sajten Instagram. Bilderna ledde till upplopp och stor oro på ett gymnasium i Göteborg. Göteborgsposten har en längre artikelserie om målet samlad här.

Gemensamt för de flesta sådana här fall är att de visar att det är svårt att dra bra gränser för privatliv och integritet. Hur ska vi komma överens? Mänskligheten har brottats länge med frågan om hur vi hanterar vår samexistens och just internet lägger emfas på många problem i processen att komma överens. Det är därför omröstningarna i Europaparlamentet från gårdagen om dataskyddsförordningen är väldigt viktiga.

I Sverige verkar vi konsekvent röra oss i dåliga lagrum för att hantera de här nya konflikterna. I fallet med spridning av sexfilmer - en uppenbar fråga om intrång i någons privata sfär, och en människas oförmåga att uppskatta en annans människas privatliv, har vi vänt oss till förtalslagstiftningen. Domstolen har då dragit slutsatsen att spridning av korrekt, men privat, information inte i sig behöver orsaka ringaktning. Men man behöver inte vara ringaktad av sin omgivning för att känna att ens integritet och privata sfär inkräktats på.

I Instagrammålet har man också använt sig av förtalslagstiftningen. Det är mycket tveksamt om det är rätt område att lägga olämplig delning av bilder på Instagram, även om delningen ledde till stor oro. Den straffrättsliga processen är tung, förbudsinriktad och oerhört skambeläggande. Straffen blir också svåra och traumatiska. Det är svårt att respektera andra människors privatliv - vi har egentligen bara en bra relation till vårt eget privatliv - och därför är det rimligt att människor på internet ("förövarna") kan antas göra felbedömningar som de sedan egentligen helst vill åtgärda även själva. Men vi har inte rätt juridiska verktyg för detta, än.

Dataskyddsförordningen försöker hitta en mänsklig balans mellan privatliv, internet, integritet och varje människas rätt till sin egen identitet. Den har fördelen att den tar ansats i ett verkligt problem: vårt mänskliga behov av en privat sfär, och de flesta människors oförmåga att relatera till människor andra än dem självas behov av en privat sfär.

Men svenska regeringen går fel i dataskyddsförordningen. Vår genomgång av svenska regeringens kommentarer på dataskyddsförordningen från juni i år visar t ex att svenska regeringen inte vill att bilder ska klassas som känsliga uppgifter. Det gör att t ex den innevarande domen från Göta hovrätt inte täcks av den rimliga och relevanta konfliktlösningen som finns att tillgå i dataskyddsförordningen, och istället lämnas både offer och förövare till betydligt otympligare och sämre anpassad lagstiftning för syftet att skydda integritet och den privata sfären.

Det är inte heller uppenbart att Europaparlamentet har tänkt igenom de här verkliga och fattbara problemen för privatpersoner på nätet när de skrivit om artikel 4 och artikel 9 i förordningen. De har tagit bort kravet på att man ska redovisa varifrån man har hämtat en viss uppgift, om det visar sig att någon har hämtat en uppgift som är kränkande mot en persons privata sfär i artikel 15 (se originalformuleringen här i artikel 15(1)(g)). Rätten att få veta i alla fall hur kränkande uppgifter har spridits har sedan inte återinförts i artikel 13a. Det blir svårt att spåra privatlivskränkande uppgifter som automatiskt sprids över olika delade plattformar, och privatlivskränkningar blir svårare att åtgärda för både offer och förövare - trots att båda egentligen kan vara lika ångerfyllda inför en felbedömning om vad de trodde var accepterat.

På något sätt har vi i Sverige också undvikit att se personuppgiftslagstiftning, som sätter människans rätt till en privat sfär och till sin egen identitet och integritet i centrum, som ett bra lagrum att lösa konflikter relaterade till den privata sfären. Ett av de mest uppmärksammade fallen är "Bodilfallet" som går att läsa här. För mig känns det som en smidig och enkel konfliktlösning: Bodil fick veta att vissa uppgifter hon publicerat på internet lett till att människor tagit illa vid, och tog bort uppgifterna i den mån hon kunde. Jämför detta förhållandevis enkla förfarande som ledde till gott resultat med de straffrättsliga processer vi har i Instagrammålet och målet om sexfilmerna ovan.

Jag är osäker på om förtalslagstiftningen ens leder till rätt politiska diskussion i samhället: handlar de här sexmålen egentligen om vår rädsla för att bli positivt eller negativt mottagna av människor med olika uppfattningar om sexualitet? Jag tror inte det - personligen hade jag blivit lika stött av ett positivt mottagande av spridning på privatlivskränkande bilder av mig, som ett negativt. Det handlar nämligen inte om vilken typ av uppskattning människor gör, utan min relation med mig själv och min relation till mig själv gentemot andra.

Och för den typen av frågor är det dataskyddsförordningen som borde utgöra rätt diskussionsplattform även i Sverige.

Anförande på Bokmässan i Göteborg 2013

Amelia Andersdotter — Sun, 06 Oct 2013 22:56:05 +0000

Språk Svenska

Detta året hade jag nöjet att återigen vara med på Bok och bibliotek tillsammans med Piratpartiet. Jag hade också, för andra året i rad, möjligheten att göra ett trettio minuters anförande om mina goda politiska gärningar i EU-institutionernas monter. Informationspolitik framstår ofta som oundviklig och ogenomträngbar, men det är inte sant. Det är inte heller sant att det inte går att förändra saker och att riktningen på hela övervakningsapparaten är oundviklig. Det finns däremot många politiska frågor om teknologi som inte tas i beaktande och där det krävs att man är lite smart - smarta teknologier löser inga problem på egen hand, utan det krävs också tydliga visioner för samhället. Piratpartiet menar framför allt att samhälle, teknologi och innovation går hand i hand. Vi motsätter sig uppfattningen att politiskt ledarskap på något sätt står emot till exempel marknadsutveckling och menar istället att en tydlig riktning för både samhälle och marknad leder till bättre innovationer och förutsättningar för alla.

Anförandet på Bokmässan är nära baserat på det anförande jag hade hållit dagen innan på BruCon i Gent, men antog ett bredare perspektiv på dataskydd och nätverks- och informationssäkerhet. Anförandet är från minnet, och en mer exakt beskrivning av e-legitimationen finns i BruCon-posten. För dataskyddsfrågorna hänvisar jag till https://dataskydd.net och om nätverks- och informationssäkerhetsdirektivet har jag inte skrivit särskilt mycket. Texten är fortfarande under utredning men industriutskottet har gjort två studier som man nog med fördel kan beta sig igenom om man är väldigt intresserad.

Den här presentationen kommer att handla mycket om mitt arbete i Bryssel. Jag är piratpartist och jobbar mest med teknologifrågor. Det senaste året har jag haft nöjet att grotta ned mig i saker som EU:s nya personuppgiftslag, men kanske framför allt e-legitimationsförordningen som ju också är en fråga som mina utskott faktiskt har behandlat i Bryssel.

Så vad är e-legitimation? Det är någonting man använder om man till exempel behöver besöka en offentlig myndighet. I Sverige skulle det kunna vara Skatteverket på nätet, eller Mina vårdkontakter eller kanske en skola eller något annat sådant. Då behöver staten veta att du har rätt att besöka tjänsten. Här på bilden är belgiska skatteverkets webbinterface. Där kan man logga in med sitt "eID" eller sin "e-legitimation". I Sverige pratar vi sällan om identifikation, eftersom legitimationen legitimerar medborgare som "rätt" i förhållande till tjänster. Staten har inget utbyte av att veta hur du identifierar dig idag, utan vill legitimera att du är rätt mottagare av en viss tjänst. Det är en språklig skillnad som inte finns på alla europeiska språk, och framför allt engelskan utmärker sig som mindre nyanserad.

Bland annat därför, kanske var det förslag som vi fick till vårt utskott ganska dåligt formulerat. Det hade ingen skillnad mellan legitimation och identifikation. Vi har haft väldigt svåra politiska debatter i Bryssel just för att EU-kommissionen inte hade formulerat ett särskilt bra förslag, och undvikit de flesta stora och svåra frågorna med legitimation på nätet.

Identitet är över huvud taget ett ganska svårt ämne. Det är många stora filosofer som gått bet på frågan vem de är. Kommissionen har också gått bet på frågan om vem medborgaren är eller bör vara i förhållande till till exempel staten. Det tekniska systemet man använder för legitimation på nätet spelar stor roll för hur relationerna mellan medborgare och stat utvecklas. Vi kan heller inte i regel välja att inte ha kontakt med staten, och hur vi har kontakt med offentliga tjänster som skola, vård, omsorg, osv påverkar mycket vad eller hur vi uppfattas av oss själva och vår omvärld. Vården är ett väldigt tydligt exempel på det. Mot denna snåriga bakgrund hade man hoppats på ett bättre diskussionsunderlag för parlamentet när vi hanterar denna svåra fråga. Sådan finns också att tillgå i EU, för vi har extremt mycket bra forskning på området som kommissionen sponsrat under tiotals år.

Projektet Future Identities in the Information Society (FIDIS) var ett flaggskeppsprogram i EU som ämnade undersöka hur våra relationer till samhället och varandra påverkas av nya teknologier, och hur man kan bygga bättre institutionella ramverk i ett teknologiserat samhälle. Deltagare från hela Europa var med, och företag, och forskare, och studenter och ett antal politiska institutioner - däribland kommissionen. FIDIS-projektet blev så småningom uppföljt av ab4trust - eller attribution-based credentials, som handlar om hur man kan hantera sina spår och legitimeringsmöjligheter just på internet. Det hade varit lämpligare för kommissionen att rikta sitt förslag mot resultatet av dessa forskningsprogram. Vi har studerat hur man kan bevara ungefär samma institutionella ramverk i informationssamhället som tidigare - hur upprätthåller man rätt maktbalans mellan individ/medborgare och stat? Hur ser man till att individer får så mycket inflytande över sin egen identitetsbildning som möjligt? Kanske man till och med kan stärka individens friheter och identitetsbildning gentemot staten med nya teknologier? Kommissionens förslag lämnade inte öppet för dessa diskussioner och det har varit en väldigt svår kamp att få upp frågorna på agendan i Bryssel, och ha en gedigen politisk diskussion. Området är politiskt omoget, och det är lätt att diskussionerna blir för tekniska, vilket ger ytterligare politiska utmaningar.

Från svenska statens håll har tyvärr intresset för sådana här forskningsprojekt varit så gott som obefintligt. Där har man istället gjort någonting helt annat och eget, som tydligen är i framkant.

Historien om den svenska e-legitimationsfederationen roar mig stundtals genuint, men förmodligen av fel anledningar. Svenska staten har använt sig av BankID, en banklösning för att legitimera bankkunder gentemot Internetbanken. Eftersom man gjorde bedömningen att det kanske inte var så bra att förlita sig på banker, och dessutom göra det svårare för människor att byta bank eftersom man blir så beroende också av banken för att ha en personlighet gentemot statliga tjänster ville man ha ett nytt system. Lyckligtvis fanns det då en tekniker på ett universitetsnätverk som underhöll ett system på sitt universitet som fungerade väldigt bra för honom - lärare och studenter kunde samlas på rätt platser, får rätt mejl-inkorg, och så vidare. Besöka kurshemsidor och så vidare. På något sätt fick denna tekniker kontakt med Näringsdepartementet som inledde en rad långa utredningar om framtidens fantastiska legitimationssystem, givetvis helt bortkopplat från samtidigt pågående europeiska diskussioner (som hade svenska universitetssamarbetspartners men på ett annat universitet). Teknikern insåg att hans system var bra, och att han kunde det väldigt bra och att det kanske också vore lämpligt för hela den offentliga sektorn. Att universitetet är en väldigt annorlunda institution än den offentliga sektorn slog inte honom - vilket är helt naturligt, för han är inte samhällsvetare. Men det slog ingen på Näringsdepartementet heller!

Sättet detta funkar är nämligen så att den som tillhandahåller legitimationen, på bilden här ovan "identity providern", får en databas över alla tillfällen man legitimerat sig någonstans. Så om man varit på Mina vårdkontakter först, och sen på Skatteverket, och sen på Mina vårdkontakter igen, och sedan kanske på skolan, då kommer identity providern veta det. Medan detta kan vara ett bra och praktiskt system, eventuellt, i en universitetsmiljö är det ingenting man vill ha i den offentliga sektorn. Det har också kommit klagomål mot systemet från till exempel Sveriges kommuner och landsting, som inte upplever att det här systemet - där all kunskap och kontroll över hur medborgarna interagerar med offentlig sektor hamnar hos en tredje-part - hjälper dem att bygga pålitliga tjänster. De känner inte att de kan säga till medborgaren: här är en tjänst som vi underhåller och som vi har förtroende för.

Att man som teknisk underhållare definierar sig som pålitlig är förstås helt naturligt. Om man kan underhålla sitt system bra så är man naturligtvis övertygad om att man är pålitlig vad gäller det tekniska underhållet. Att information om medborgarens påtvingade myndighetsliv också är en typ av maktutövande över individen, som kan kräva ett separat förtroende utöver ens tekniska kunskap, behöver inte enkelt förstås. Det borde naturligtvis ha förståtts av Näringsdepartementet, men så kan det gå.

Jag hade en del av min bekantskapskrets som illustrerar ett ytterligare intressant problem med e-legitimationsfederationen. De ville bli en del av federationen för att de var oroliga för att det skulle komma in privata företag och andra mindre moraliskt lagda aktörer och samla på sig mycket information om medborgares interaktioner med myndigheter som sedan kunde säljas till reklamföretag eller användas på andra mindre nyttiga sätt som medborgare inte gillar. Tänk till exempel att du beställer ett klamydiatest, eller att din tonårsdotter gör det, och så plötsligt får en lärare på skolan information om läromedel för att ta upp könssjukdomar med alla elever i klassen: kanske inte är jätteroligt om sådana saker sammanfaller, och framför allt inte om man behöver misstänka ett i stort sett påtvingat system för att vara orsaken till denna konstiga påverkansstrategi. Dessutom vet vi redan att offentliga myndigheter i Sverige gärna säljer personuppgifter för många miljoner till reklamföretag så det finns anledning att känna oro.

De ville bli en godare spårare och kartläggare av medborgarnas interaktioner med staten, för de kände att de kan lita på sig själva i den rollen. Egentligen var de inte så förtjusta i spårningen och kartläggningen som sådan. Men de var oroliga för att en ondare aktör skulle komma in och utföra spårningen om inte de själva gjorde det på ett gott sätt. Problemet är förstås att det kan finnas en anledning att göra motstånd mot att man spårar medborgare på det här sättet på det hela taget. Det är ett klassiskt dilemma i beslutsfattande: etik eller kompromiss, där etiken representeras av att man gör det som är rätt och motsätter sig ett system som kan undergräva medborgares förtroende för det offentliga, och kompromissen är att man gör det dåliga på ett så bra sätt som möjligt.

Jag har tillägnat många långa kvällar grubblande över etik mot kompromiss. Jag tror att man i regel kan säga att jag lutar mer åt etik än kompromiss.

Förtroende och spårning är förstås någonting som också satts på sin spets under sommaren. Jag minns en morgon i maj då jag vaknade och förstod att någon sagt att den svenska e-legitimationsfederationen satts upp för att militären tyckte att den specifika tekniska standard som valts var en bra idé. Jag satte mig upp i sängen och tänkte "varför tycker militären det är bra med en teknisk lösning som spårar allas interaktioner med myndigheter Av alla myndigheter i Sverige, varför dom?"

Vi har sett många kommentarer i Sverige, framför allt i tekniska medier, om hur det är allt för frestande för all världens underrättelsetjänster, som svenska FRA, att avlyssna allt möjligt och samla på sig data om allt mellan himmel och jord. En särskilt insiktsfull kommentar jag hörde i Bryssel för inte så länge sedan gjorde gällande att det är för att spioner spionerar - det är deras jobb. De är också svåra att nå med konventionell lagstiftning, för deras verksamhet är till sin natur oreglerad. Underrättelsetjänster och deras gelikar existerar i en form av undantagstillstånd som inte nås av den vanliga rättsstaten.

Undantagstillstånd är det som händer när andra lagar inte gäller, till exempel i krig. I normala fall förväntar du dig att polisen hjälper dig om du får inbrott - eller kanske inte i Sverige idag, men i allmänhet - men om det är krig kanske du har överseende med att polisen gör en annan prioritering.

Det är ett oerhört stort problem för samhället att det råder i stort sett undantagstillstånd på nätet - vi har nästan inga begränsningar för vad polis och säkerhetstjänster och andra kan göra alls. Samtidigt har vi lagt över hela vår offentliga sektor på det här mediet: vård, utbildning, politisk diskurs, samhällsutveckling, ekonomi, företag, upphandling, allt. Det vi sett under sommaren är att till exempel säkerhetstjänsten aktivt arbetar för att göra den här miljön osäker och opålitlig, och svenska underrättelsetjänsten hjälper till med det.

När vi besöker Mina vårdkontakter förväntar vi oss inte ett militärsjukhus utan ett vanligt civil sjukhus för folk med nageltrång och andra normala problem. Därför är det viktigt att vi på något sätt kan ta bort osäkerhetsmomentet på internet och föra den här infrastrukturen ut ur undantagstillståndet. Där finns det lyckligtvis ett antal europeiska initiativ som kan vara väldigt behjälpliga.

Dataskyddsförordningen är den nya personuppgiftslagen som diskuteras på europeisk nivå. Den sätter upp skyldigheter för de som behandlar personuppgifter och samlar in personuppgifter. Den har ett starkt fäste i europeiska konventionen för mänskliga rättigheter och utmålar ett väldigt tydligt ledarskap för samhällsutvecklingen både industriellt och i den offentliga sektorn. Det är viktigt, för samhällsutvecklingen styrs lika mycket av marknaden och vilka typer av tjänster vi skapar förutsättningar för på marknaden, som den styrs av hur offentlig verksamhet strukturerar sin verksamhet. Tjänsteutvecklingen påverkar också vilka produkter som kan lanseras och användas i offentlig sektor, så det är enormt viktigt med ett starkt ledarskap här.

Olyckligtvis är det enormt svårt att få en bra dataskyddsförordningen. Lobbytrycket har varit enormt starkt i Bryssel och det är framför allt amerikanska aktörer som är mycket argsinta över dataskyddsförordningen. Det är också viktigt att förstå att amerikanska regeringen har en delvis annan industripolitik, som de också genomför bättre än Europa genomför sin. E-legitimationsförordningen är ett typexempel på hur de europeiska institutionerna och medlemsländerna är oförmögna att ta sina egna forskningsresultat i beaktande när de driver vidare politik - istället för att konsekvent dra åt ett tydligt håll, drar man först åt ena hållet för att istället fara iväg åt andra hållet.

När vi gick igenom svenska regeringens kommentarer på dataskyddsförordningen från i somras verkar det också som att svenska regeringen, som är väldigt aktiv i den här frågan i förhandlingarna i Bryssel, inte godkänner förordningens grundprincip. Man misslyckas på i stort sett varenda punkt att ta tillvara på den mänskliga rättigheten att ha makt och kontroll över sina egna uppgifter och sin egen identitetsbildning som ligger till grund för hela förordningens utformning. Det som roade mig mest av svenska regeringens kommentarer var deras inställning till extra starkt skydd för barn. Man upplever inte att barn ska ha rätten att godkänna behandling av personuppgifter, men samtidigt godkänner man inte att i stort sett någon annan ska ha möjlighet att godkänna behandling av personuppgifter. Det säger sig självt att barn inte kan få bättre rätt att ha kontroll än alla andra, så där finns ett tydligt filosofiskt problem.

Man kan följa vårt arbete med dataskyddsförordningen på någon av de två ovanstående hemsidorna. Vi försöker att regelbundet uppdatera med saker från Bryssel, parlamentet och när det finns tillgängligt också kommentarer från ministerrådet. Men från rådets och svenska regeringens diskussioner är vi beroende av läckor så det är inte säkert att det uppdateras särskilt regelbundet i det avseendet.

Ett annat initiativ på EU-nivå som hade kunnat vara mycket bättre än det blev är nätverks- och informationssäkerhetsdirektiv. Det är grundat på artikel 114 i ramfördragen som beskriver alla europeiska medborgares rätt att bedriva handel med varandra i stort sett. Vi får föreslå lagar om det hjälper europeer att bedriva mer handel. Fördelen med just den filosofin bakom nätverks- och informationssäkerhet är att den mesta aktiviteten i det området är kommersiell: svenska företag ger tjänster till grekiska företag, och spanska konsumenter köper tyska produkter. I medlemsstaterna har nätverks- och informationssäkerhet gradvis militariserats, men det är i stort sett ingen som ser sig själv som en militär entitet för att de t ex skaffar ny elmätare eller får en e-legitimation eller skickar ett mejl till en kompis eller köper ett nytt operativsystem. Så det hade varit bra med ett genomtänkt direktiv som verkligen kodifierar att den verksamhet som normalt sett inte borde vara militär - vilket är i stort sett allt från infrastruktur till offentliga tjänster till hela marknaden - inte heller ska vara det, utan att internet ska vara en civil plats för civil handel mellan alla medborgare och företag i EU.

Det finns lite fnurror på den här tråden dock. Kommissionen har skrivit ett väldigt dåligt förslag som stött på i stort sett unisont motstånd från medlemsstater och industrin. Parlamentet har inte resurser att göra rätt när kommissionen gör fel - vi får kanske ett år på oss att behandla stora och viktiga frågor samtidigt som vi gör en massa annat, medan kommissionen är tänkt att fungera utredande och förberedande under flera år innan de lägger ett förslag. Det är verkligen en besvikelse att kommissionen inte lyckas sätta upp en tydligare riktning, för det är uppenbart att den underliggande tanken är god.

Riksdagen skickade något förvånande direktivet till försvarsutskottet, som ju inte alls är rätt plats att hantera marknadsfrågor. Det är väldigt underligt att riksdagen gör den prioriteringen för ett i stort sett civilt område, och som har så tydliga marknadsimplikationer, men jag drog slutsatsen av detta att militariseringen av internet gått för långt i Sverige. Det finns inga bra sätt att föra ut internet från undantagstillståndet på Sverigenivå längre, utan det är EU - som saknar militära organ och underrättelseorgan - som verkligen behöver göra rätt i frågan.

Vi har över huvud taget svårt att måla upp riktningar i EU och i Sverige när det gäller informationspolitik. Dataskyddsförordningen från kommissionen var rätt fegt tilltagen, ändå är medlemsstaterna i uppror. Dataskydd handlar i slutändan om individers makt över sig själva och staten har ingen lust att ge upp sin makt över individer.

Journalistkåren har inte heller haft någon bra bevakning av de här frågorna. När det gäller sommarens övervakningsskandaler har de istället för mig framstått som förhållandevis uppgivna. Man ser riktningen som ofrånkomlig och som oföränderlig.

Det politiska ledarskapet saknas på nästan alla nivåer. Det finns ingen omfattande verksamhet att ställa ansvariga beslutsfattare till svars för vad de gör och inte gör, och det är väldigt synd för...

Egentligen är det inte så svårt! Det finns ingen anledning att inte ha hopp, och de politiska riktningar som hittills varit fel kan bli rätt i framtiden. Vi behöver börja med en bra dataskyddsförordning och att fundera ut hur vi kan låta EU göra ett nätverks- och informationssäkerhetsdirektiv som plockar bort makt från medlemsstaternas militärer och underrättelsetjänster över vår allmänna och offentliga infrastruktur, samt vårt primära handelsmedel.

Frågor som kom upp:

- Har det hänt någonting med medborgarinitiativet?

Nej, det kan man inte säga.

BRUCON Keynote on e-ID

Amelia Andersdotter — Sat, 05 Oct 2013 21:37:35 +0000

Språk Engelska

I had the big privilege of getting to attend the BruCon Conference in Gent on September 26 2013. It's an annual security conference which is attended by professionals, students and academics in the field. I had chosen to speak about the first eight articles of the electronic identification and trust services regulation at the conference. They cover electronic identification, and I am particularly critical of some of the Commission's policy choices in the file. As it turns out, there is also much that can be said about the articles regulating trust services (or "certification authorities" as they are more commonly known in other circles). In addition there were some questions raised by the audience that I will try to cover below. If I forget a particular question it's not out of malice. The address is as I have written it, not necessarily as I spoke it.

Address:

I'm very happy to be here and to be able to speak to you all today. I have opted for talking today about the electronic identification regulation which was proposed by the European Commission last year in July[1]. I've been working with this in the parliament for the past year and it's in many ways a good illustration of many big questions that are facing society about the internet, identity, surveillance, privacy, security and how these things relate to individuals and their socities.

So, first of all, what does the regulation aim to do? The regulation aims to give people in different member states a way of accessing eGovernment services in other European countries. When a specific eGovernment service in member state A requires authentication, the regulation means to make it possible for a citizen of member state B to access this service with the their member state B issued electronic identification. The problem is that member states have chosen many different ways of issuing electronic identification. Another problem is that there is a general perception that electronic identification has not been very successfully implemented or adopted by citizens or consumers. Rather than using government issued identification on the internet, citizens feel more comfortable relying on their Facebook-login or, in many cases, creating different logins for every site.

There's been some pushes towards stuff like OpenID on the internet, but OpenID often doesn't fulfill the requirements that a government would have on its own services. Tax declarations online, for instance, you want to be able to ensure that they are actually made by the person who should be making them. Same with some health care things.

But electronic identification is also something that we expect to apply on companies. The European Union is moving towards eProcurement[2], which is when companies have to participate in procurement on the internet, and so we need verifiable ways of ensuring that the public authority which is procuring is in contact with the right entrepreneur.

The solutions often rely somehow on certificates, and therefore the Commission has also aimed to regulate what they call ”trusted service providers”. These trusted service providers would be more known in common technical language as ”certificate authorities”. Many member states rely on what they call ”qualified certificate authorities”. In practise, the qualification in this case just means that the member state recognises the qualified certificate as secure and reliable in a given transaction with the government. The rules for how to qualify certificates are derived from a European law from 1999, and was never really used in all member states – for instance in my country, Sweden.

Qualified TSPs have also suffered a number of problems which are undesirable from the point of view of good governance. The DigiNotar failure[3] in the Netherlands was clearly unconvenient from the perspective of the government.

And so we had this proposal that tried to create interoperability between different member states solutions for electronic identification, and fix the problem of vulnerable CAs.

The regulation was proposed in two different parts: the first part of the regulation covered electronic identification, and the second part covered more or less CAs, or trusted service providers[4]. Then there were about 20 articles – which for referens is many – covering various forms of qualified things that the Commission envisaged would be necessary in the future, digitally boosted Europe[5].

Electronic identification is a touchy subject in many member states. In some member states, like Ireland and Great Britain, government issued ID-cards are completely rejected by citizens and people in those countries every time they're proposed[6]. In other member states, like Germany and many central European countries they have constitutions which require different parts of the government not to cross-run databases of citizens: effectively, every citizen or resident will have a health care persona, a social service persona, an educational system persona, and so forth, because the idea is that if the government can collect too much information about every citizen in the same place this could lead to very negative consequences for the citizen if the government starts acting arbitrarily or against the interests of the citizens[7]. In other member states, like Sweden, Estonia or Finland, we have personal registration numbers that are unique and for every individual and that helps the government cross-run databases when necessary. In at least Sweden this used to not be too easy to do, but with information technologies being deployed very quickly in all parts of society it should be a relatively trivial exercise to completely map any citizen in Sweden with respect to their interactions with any public service or authority.

The European Commission's proposal evaded most of these difficulties and was largely a roadmap to how one makes different types of electronic stamps, signatures and identification procedures that public authorities later have to consider ”truthful”. Basically a set of technical criteria for what is to be considered authentic and genuine in different member states.

This led to much confusion in the European Parliament. We are not a technical institution, but a political institution and we cannot consider ourselves being the best agents to make technical decisions for what is true and genuine and what is not true or genuine. It is even a fact that the different member states use different systems for establishing what is true or genuine, so with the many different backgrounds of members of the european parliament we had problems seeing what the purpose was of this file or why it was politically interesting.

But it turned out that the European Union has sponsored a lot of research into why there is a potentially large political impact of this file.

So the first thing is that identity in general is a highly philosophical concept – who am I? What are we? What is Europe? Many people spend entire life-times pondering these issues, and most of us never reach any satisfactory answers.

So after we understand that we don't have any good answers to the question on who we are, comes the second question – what is my identity in relation to the government. This is where the different member states have adopted very different approaches, and so different cultural backgrounds give many different answers.

It's a question that the Commission had hoped to avoid by introducing an interoperability framework for all the various Member State solutions, so that everyone could keep their own solution while at the same time allowing their citizens to interact with the public services of other member states. However, the European Commission has also sponsored a rather large body of reserach in this field in the past years, and so when I met representatives from the Future Identities in the Information Society (FIDIS)[8] and Attribution-Based Credentials For Trust (ABC4Trust)[9] projects I was given to understand that the Commission had actually rather cautiously decided to discard most of the big investments they had themselves made in figuring out how to make authentication of citizens work online in a secure and primarily privacy-friendly way.

The problem with governments is that we are forced to interact with them in a number of circumstances. We can't help providing lots of information about ourselves, our families, our wage situation, housing, et c to the tax office. The tax office could be said to legitimately need this information, but so it's a lot of information about us as persons which if it is arbitrarily spread could lead to negative consequences for us in our working life, with our friends, family or other things. We generally expect confidentiality of some sort from our tax authorities. Similarly health or dental care services – we more or less have to interact with these public services, at least until we're legally adult. Schools, social services, the job centre.

The government will normally run all these public services, and the general privacy friendly idea is that because it is now so easy to cross-run and cross-reference databases, the interactions need to be unlinkable. It should not be possible to find out that you, the citizen, in the same day ordered a chlamydia test on a public health service website and then filled in your tax returns or requested a building permit for a veranda extension on your summer house.

The idea of unlinkability is particularly strong in the German constitution. In Germany it is mandated by constitution that public authorities don't cross-run or profile their own citizens based on the totality of their interactions with public authorities. And so – if you had an encounter with a law enforcement officer, but you also had to go to the hospital, neither the hospital nor police will or should normally be allowed to find out that you visited the other. Unlinkability in this case means that you stop one party which is very powerful from getting too much information and therefore much more power about another party which is very weak.

In Sweden we have many specialised laws for government registers where we restrict the ability of a public authority to cross-run their databases with those of another public authority or service. However, the unique identifiers of all citizens makes it both convenient and easy to do such a mash-up should one want to. So the idea of unlinkability exists, in the law, but the databases over citizens' interactions with the government are not technically constructed in a way which is suitable for living up to the spirit of the law, as it were. Also because public authorities apparently frequently sell data about citizens to private companies[10], it is always possible to aggregate or mash-up the data through a third-party private actor.

But EU research projects had made another insight: in order to reduce the size of databases, and therefore reduce the harm of security breaches or data leaks, and protect the privacy of the users and the confidentiality of the interactions, one could use something called ”anonymous authentication” or ”attribution-based credentials”. This is when you would provide only the information necessary for a specific purpose to identify yourself. If it was needed for me to demonstrate that I am legally allowed to buy tobacco products, I would demonstrate that I am in fact not born in 1995 or after, rather than demonstrating that I am born on August 30th 1987. The resulting data trail from me would be information about ”someone born before 1995 used this service” rather than ”Amelia Andersdotter, 1987-08-30 used this service”. While in the first case, it's relatively difficult even after a data leak to link the use of the service back to me as a person. In the second case, it is of course inevitable that such a link arises.

To me, at that time, and this was October or November 2012, it seemed counterintuitive that the Commission had disregarded its own research programs, and that we further were not considering the institutional effects of the law proposal we had before us. Also, I am very privacy minded, and I believe that preservation of privacy is an essential aspect of maintaining a good power balance between individuals, groups, governments and companies. Individuals and groups of individuals need privacy in themselves, and for themselves.

So I wanted, politically, to advance the idea of unlinkability and attribution-based credentials. The problem is I had this messy and seemingly very technical file that made little sense.

For those of you who are unfamiliar with the parliaments' work, we are allowed to make any and however large changes in a text proposed by the European Commission that we wanted. But it requires us to know the nature of the changes we want to do. Often work in the European Parliament rather becomes a changing of some semantic things in the proposal, rather than an overhaul of political and technical direction.

At the same time that I was working on this in the European Parliament, I was looking a lot for information about different systems in member states. An Austrian colleague helped me find more info about the Austrian eID – it's not seen as a succees because only 10% of all Austrians use it, there's no real service market around it, it's based on smartcards, I guess. In Sweden they had worked really hard for several years to put up a SAML2 federation [with SAML being just a generic standard for authenticating users in a system], which could replace other forms of e-authentication online. A friend of mine was upset with that because SAML2 systems keep track of who the user interacts, and so rather than the unlinkability I described above you have perfect linkability.

I also am upset – I think the decision to use this particular standard in Sweden is derived from complete idiocy and lack of attention. It is obvious that most citizens will not like for there to be an IT-guy running a database over all of their interactions with the government. Swedish municipalities and regions were also not so happy with the government for pushing that kind of tracking of public interactions – municipalities and regions deal with citizens in their day to day affairs, so they have to have a system they trust and that citizens trust and that makes citizens trust them.

Sweden had investigated this topic for 3 or 4 years before they made the decision[11]. Nowhere in 4 years and thousands of pages of text do they envisage that HOW the authentication works may affect how it is perceived. Apparently the reason for this decision is two-fold: first some tech guy runs a system at a Swedish university which is SAML2. It works for him to manage I guess students, teachers, et c, and so he assumes it will also run a nation state well. But a state and all of its public services at every level of governance is a very different place from a university. While I can relate to why, as a technical guy, you wouldn't think about things like that, it is completely mind-boggling to me why no one in the government thought about this either! That is really extremely worrying.

The universal identifier in Sweden, which I mentioned and that makes linkability very easy between databases in Sweden, has been controversial for many years. A lot of people want it gone. So these tech guys have requested to have the universal identifier out of the government e-authentication system and succeeded. And then when I asked them ”how could you mistake a government for a university?” they said actually they make it more difficult with tracking because the unique identifier isn't there. I woke up a few months later, early in the morning, and thought, well they've actually just replaced the universal identifier with themselves. Either you have a number which allows you to connect databases easily with each other, or you have an IT guy who keeps track of all your databases.

In general the Swedish system has given me some big pains: another time that I woke up early in the morning because of this system was when I realized someone had told me we were setting up this nifty SAML-thing because the military liked it. It dawned on me suddenly, three months after, that there are good reason to question why the military, out of all institutions you normally find in a state, would want to have an easy way of tracing and making a database of all citizen interactions with all public institutions all the time.

Some people I knew wanted to become part of this new tracking federation because they were upset with the tracking and wanted to find a way to hack the system and make it useless so that it would go away. In that particular case I had a minor existential crisis: the nature of decision making has been studied for a long time, and this group of people had made a classical trade-off between compromise and ethics as described by Max Weber, a German political scientist from sometime way back[12]. Compromise versus ethics means the process of reaching a decision: you have to reach a decision, but you have to do it with others, so you may have to compromise to get a decision. How much do you water down your ethics to reach the decision you have to make?

This group didn't want a bad tracker. So they wanted to become a good tracker. But what is a good tracker? Someone who can be trusted not to use all the highly personal information about how citizens do or have to interact with governments for unpleasant things, that don't sell this information, and so forth. Also generally if you have a big database normally the government will have access to it whenever they want. So choosing to be a ”good tracker” will always mean that you are participating in the tracking – it's a compromise you make with your anti-tracking ethics to ensure that there is an option which is less bad than other options that may exist. But then again, if it's a bad system to run a government on, maybe one shouldn't compromise in that way. The ethical thing to do is to not participate in a tracking and tracing system, because ultimately it's the tracking and tracing in themselves that are problematic, not which particular entity is doing it.

The other thing is that some parliamentarians in national parliament in Sweden had been very clear with wanting ”the same” system online and offline[13]. And so I thought, what does ”the same” mean in this case? I have a national ID card from Sweden and most people I show it to will remember that my picture is very bad – it really is spectacularly bad – but not exactly how (many people have asked me to show it twice, for instance), or they extract the information they require and then they forget. This is because my ID card is normally read by humans. For all commercial transactions, when I buy tobacco for instance, actually no information about me as such is stored. If you ask the shop attendants 2 hours later, chances are they will have already forgotten even that someone authenticated themselves for a tobacco purchase in their very shop. So there's not really that much tracing of the use of an ID card by a central authority. Electronically it's much more difficult to ensure that there's no central agent tracing all the times authentication happens. Humans also learn to recognise each other after some time – I can go to my dentist and they recognise me by face. A computer might learn this if it is located in the same room as me, but if it's a server on which the government service for health care and which is not in the same city as me, chances are more slim.

So the systems online and offline would by definition not be ”the same” but then which sameness does one want: the same in that the privacy of the individual is somehow protected and the general institutional power balance that has been carefully deviced over many hundreds of years is protected, or the same in that access should be possible under whatever conditions? I don't think the Swedish national parliamentarians had really thought very deeply about what they requested, but it's strange because it's a very political issue how you balance power and information in a society. This is exactly the type of thing that normally we would expect politicians to think about very carefully. What should society be like? Who should have what power over whom and when? How can that power be exercised? How do we ensure that abuses of power can be resolved – so that is, how do we solve the conflicts that arise when someone with power abuses it with respect to someone without power?

The Swedish example is a beautiful story of how technology for public infrastructures was seen as some magically thingie-maging that could not be anything other than positive. It's a story of technical naivite with respect to politics, and political naivite with respect to technology. Nowhere in the entire process did anyone consider that a citizen's relationship with their public services and authorities is quite fundamental to the machinations of the society we find ourselves in but they really should have. Especially political people need to think about these things.

But going back the the European level, I had decided to at least try and remedy these technical and political mistakes from Sweden at least partially. We can technically make whatever changes we want in a political file, but it's rare that the Parliament makes big changes. I was considering ways in which I accomplish ethically and politically that which I wanted to do without changing too much but actually the Commission's text was so far from doing anything at all, that I ended up tabling 141 amendments, on a file with only 42 articles and 51 recitals. That's quite a lot, but because most of us in the parliament recognise a bad proposal when we see it, even if we may not immediately or even ever know how to fix a bad proposal, I have been tolerated.

The thing is it's quite obvious why we don't want a random tech maintenance person somewhere to be able to casually look up when or why we've been in contact with health care, for instance. Or why we don't want all of the information about what and how we do at school to be sold to advertisers so that they can more easily target people at our universities. But the devil is in the details. Because we didn't actually vote on this yet (but we're voting soon) I'm somehow in this constant state of concern that by now we have well understood the problems, politically, ethically and systemically, but we will not be able to write the legal text in a technically correct way. If you make a given set of moral and political choices, liability, risk, duties and obligations need to be allocated to different parts of the system in specific ways and this is.. Difficult. It's not obvious at all how one would do this.

But it's something that we, the legislators, will definitely have to do if we're going to put public services and all these systems online. That is why I say we have to regulate the internet. It's an old discussion of course. Already in the late 1990s there was an argument that the architecture needs to be regulated, because the architecture decides ultimately what we can or cannot do, or what we must and mustn't do[14]. Some people back then, and even now, argued that technology changes too quickly to be regulated so it makes no sense to regulate. I think this latter argument is a bit daft – copyright law can be said to have regulated the internet since the internet emerged. It took some time to get the caselaw and court cases, but the regulation was always there. The same thing with banking – a bank does not become unregulated only because it has operations online. It has strict regulations on liabilities and risks in its activities regardless of how it providers its services. We didn't see a lot of technical architecture regulation yet – the regulation we have in place now describes the duties that fall on human agents behind the architecture or that operate the architecture, but as we've seen over this last summer these human agents don't always act very predictably or in a trustworthy way.

And so finally, Europe is going through a big ordeal at this time. The legislation that I have just described is important for the reason that it could implement a privacy-by-design obligation on some technical systems, also describing what such a privacy-by-design obligation could be: unlinkable transactions based on anonymous authentication, or attribution-based credentials.

But we have also the large discussions on the general data protection regulation[15]. That regulation is very fundamental for how we, as a continent, will make our future. It sets the frameworks for market operators, companies, governments, everyone, on how we deal with data protection and privacy. What we've seen in those discussions is very heavy lobbying, especially American lobbying, and especially against a strong privacy protection. But we also see governments that are very unwilling to set a direction towards strong privacy-protecting legal frameworks[16]. It's worthwhile to look up more information on the general data protection regulation, because optimally we want it to influence many things in a direction of more secure and more privacy-friendly technologies[17, 18].

How to deal with privacy and data protection technically I understand is not always a trivial problem, but mostly very interesting ones. I hope that many of you here today go out to become innovators and entrepreneurs that have the legal framework that you need to make the most of such innovation and markets. I want to thank you for your attention, and I hope that this was at least somehow helpful in understanding also a political view of challenges around regulating and legislating on the boundary between politics and technology.

[1] http://ec.europa.eu/dgs/connect/en/content/electronic-identification-fol...

[2] http://ec.europa.eu/internal_market/publicprocurement/e-procurement/inde...

[3] See for instance http://www.esecurityplanet.com/browser-security/diginotar-when-trust-goe... or do an internet search. It was really given much attention when it happened.

[4] Shameless self-promotion but it's anyway good for overview: https://ameliaandersdotter.eu/dossiers/eid

[5] I liked "Burdens of Proof" by Jean-Francois Blanchette. A perfectly sarcastic yet very informative overview of how technical policy and technical technologies fail.

[6] http://www.no2id.net/ for instance. Proposals to create national IDs have been stopped many times in both jurisdictions. Many essays have been written on this topic.

[7] A decent amount of German language information: https://www.datenschutzzentrum.de

[8] http://fidis.net/

[9] https://abc4trust.eu/

[10] See for instance this article: http://www.kristdemokraterna.se/Media/Nyhetsarkiv/Kristdemokrater-vill-g... But there are longer texts that to my knowledge aren't published online that connect it back to Avgiftsförordning 1992 with earlier legislation and the Swedish principle of transparency.

[11] http://www.government.se/sb/d/12840/a/158256

[12] Wikipedia summary sufficient to understand context, I thought: https://en.wikipedia.org/wiki/Politics_as_a_Vocation

[13] http://www.riksdagen.se/sv/Dokument-Lagar/Forslag/Motioner/E-legitimatio...

[14] Lawrence Lessig, Code v2: http://www.codev2.cc/

[15] http://ec.europa.eu/justice/data-protection/document/review2012/com_2012...

[16] See, in Swedish: https://dataskydd.net/sammanfattningar-regeringen/

[17] https://dataskydd.net

[18] http://www.respect-my-privacy.eu

Questions

- What about privacy and security problems with smart meters? Are they addressed?

Not really. Smart meters are a solution looking for a problem in the vast majority of member states and they seem to create more problems than they solve wherever they go. There are however no easy remedies to this problem. The infiltration of standardisation bodies for electric grids seems to have begun more than 20 years ago and it is by now a consolidated view that smart meters, despite their flaws, solve some problem: for instance that of teenagers wanting to find out, in retrospect, which electrical appliances have been used in a household. In for instance Sweden, the security agency now has access to communications to and from smart meters to ensure that there is sufficient information to investigate any attacks against the grid over the internet after they've happened. That is wasn't a good idea to put electricity networks on the internet in a first place is striking nobody. The original problem, which was that of creating variable demand in a world where the grid is filled with renewable energies, is not solved - smart meters haven't accomplished any changes to that effect and what we're left with is a very messy technology than can fail in so many ways from both privacy and security perspectives that it's doubtful if this was a really talented path to travel down in the first place. It is especially clear with this fundamentally important infrastructure that smart technologies require smart policies. Electricity is vital to our economy and our socities and it's stupid to gamble with it in this way.

- Is it really necessary to regulate the architecture though? What about innovation?

There are plenty of big and unresolved issues inside every possible type of architectural regulation. One mistake commonly made in Europe is to assume that all architectural choices are unregulated in the United States: on the contrary they appear to be having a very deliberate industrial agenda that they also follow up over time. The electronic identification regulation is an extremely sad example of how Europe isn't doing that at all. Similar for the data protection regulation: we have steered our research, education and industry down a data protection friendly path for many years, and then suddenly we've decided in loads of legislation that actually we don't want that type of industrial development after all. This is really harmful to human rights and to industry.

Tågbiljetter i Sverige: diskriminerad av SJ på grund av min webbläsare?

Amelia Andersdotter — Sat, 05 Oct 2013 16:12:03 +0000

Språk Svenska

När jag åkte hem från Bokmässan i Göteborg den 28 september 2013 blev jag och min syster sittandes utanför Södertälje i ungefär 45 minuter på grund av fel i signalsystemet. Innan dess hade vi haft problem att köpa tågbiljetter åt min syster eftersom SJ:s mobiltelefonapp inte fungerade. Mer specifikt fungerade inte betalningen via app - det gick alltså utmärkt att göra reservationen och söka resorna fram tills dess att betalningen skulle genomföras. SJ:s prissystem är väldigt lurigt, och när vi i slutändan köpte vi biljetten på min dator fick vi den obehagliga överraskningen att priset blev 120 kronor högre av att köpa via min dator än via min syster. Det har föranlett nedanstående fråga till SJ:s kundtjänst, och jag kommer naturligtvis posta svar när det kommer:

Vi som konsumenter och medborgare vet oftast inte om när vi utsätts för diskriminering baserat på maskinbehandling. Det yttrar sig i orättvis prissättning i tågtrafiken (kanske), flygtrafik och på andra platser på nätet där priserna varierar, som hotelltjänster. Det yttrar sig i hur vi mottar reklam och information om samtidshändelser baserat på hur våra anhöriga agerar.

Det drabbar våra anhöriga: i detta fall är det min syster som ska åka, inte jag, och eventuellt är den hon som fått betala för att någon spårningstjänst någonstans tagit reda på att jag har bättre betalningsförmåga än hon.

Egentligen finns det redan lagstiftning mot den här sortens okända, oöverskådliga spårning. Vi har också en rätt, som användare, att få veta när och hur vi diskrimineras baseras på sån här spårning och om det riskerar att drabba oss eller andra negativt. Den lagstiftningen upprätthålls inte av de myndigheter som är ansvariga. De som utvecklar IT- och webbtjänster för bland annat reseföretag bryr sig inte nämnvärt om en lag utan straff.

Men en annan olycklig omständighet med just SJ är att de inte lyckas särskilt bra med den tekniska implementation som ligger till grund för deras kärnverksamhet: transport. Anledningen till att vi betalar höga priser må vara höljd i dimmor, men att de inte lyckas fixa spår och signalsystem är faktiskt bara en felinvestering. Det vore bra om någon av de duktiga matematiker och programmerar som hanterar SJ:s biljettprissättning istället kunde förmås snickra ihop ett bättre signalsystem.

Vi behöver ett bättre politiskt ledarskap för informationssamhället. Vi behöver lagstiftning som upprätthålls och lagstiftare som är motiverade att ta tillvara på privatpersoners intressen när de interagerar med internetjänster, varesig de är privata eller offentliga.

Vårt nuvarande politiska ledarskap, eller snarare bristen på detsamma, misslyckas på alla punkter med detta. Det är Piratpartiet som gör skillnad.

Patientjournaler på nätet. Min hemstad i dumhet.

Amelia Andersdotter — Wed, 28 Aug 2013 15:48:33 +0000

Språk Svenska

Uppsala län har valt att lägga ut alla patientjournaler på nätet. Personligen bad jag i juni i år att få alla mina patientjournaler i Uppsala län förstörda. Enligt tjänstekvinnan, Anna Hellgren-Westerlund, ska detta beslut dröja upp till två år. Det finns alltså ett problem med att jag utsätts för FRA, diverse systemadministratörer, databasunderhållare från Indien och polisen i min kontakter med läkare. Jag har litet eller inget förtroende för dessa aktörer, och då är jag ändå, enligt många, en väldigt naiv och glad person.

Jag har inte haft något val i den här processen. Det är ingen som kontaktat mig och frågat om jag tycker detta är en bra idé för just mina journaler, eller om jag samtycker till att delta i denna Uppsala läns köpfrossa i fina databassystem. De som vill ha sina journaler utlagda på det här sättet bör naturligtvis få ha det, men jag är mycket bestört över att ingen i Uppsala funderat på om makten över individen nog inte borde utgå ifrån individen själv, snarare än tjänstemännens shoppingbehov.

Det enda enkelt identifierbara problemet här är att tjänstemännen och politikerna i Uppsala verkar definiera sig själva som mjukvarukonsumenter snarare än makthavare. De förstår inte att deras beslut egentligen berör min relation och mitt förtroende för dem. De har köpt en ny och fin produkt, som de har fått presenterad för sig medelst powerpoint på någon mässa vars programblad hade guldkant. Kanske har de också druckit champagne. Det de sålt är mitt förtroende för landstinget, och egentligen också mina möjligheter att ha min historia privat. Ännu värre är det för mig i dagsläget, eftersom jag är en offentlig person och själv makthavare. Den med dåligt omdöme som vill skada mig har mycket bättre förutsättningar att göra detta nu.

Uppsaliensiska läkare menade redan förra året att det här projektet strider mot EU:s dataskyddslagstiftning och regler om användning av personuppgifter i forskning. De ska ha heder för att de försökt försvara min rätt att inte bli utelämnad, och att de inte velat skada mitt förtroende för dem. Det är synd att de som verkar ha någorlunda gott omdöme tvingas in i ett system där deras patienter måste misstro dem.

Det här är någonting som medborgare bör ta sig en allvarlig funderare över: vi vill inte att våra politiker ska börja bete sig med stora beslut om viktiga samhällsinstitutioner som om de handlar frukt på matbutiken. Om våra politiker beter sig så måste de bort - vi måste rösta bort dem, och välja andra alternativ. Det är inte samma sak att köpa in ett nätbaserat journalsystem som att välja skor, även om båda produkterna ser nya och fräscha ut. Vi behöver sätt att utkräva ansvar från både tjänstemän och politiker, och det ska inte gå att undvika. Det behöver finnas bra sanktioner mot när medborgare kränks av sådana här ofrivilliga åtgärder, och bättre skydd mot att medborgare utsätts för den här typen av tvångsåtgärder. Jag vill dela film och musik på nätet, inte min journal! De som vill dela sin journal på nätet ska naturligtvis få göra det, men efter ett informerat samtycke. Inte med tvång.

Politiker ska ägna sig åt hur samhället ska funka, och hur man gör tydliga regler för hur medborgare och samhällets tjänster ska fungera med varandra. Politiker definierar relationer: jag har rätten att ha konfidentialitet i min kontakt med läkare. Jag har rätt till patientsekretess. Jag har det för att det är bra för samhället att jag söker vård när jag är sjuk istället för att dra mig för att söka vård av misstro för vårdapparaten. I många fall, till exempel när man är under 18, är det inte ens frivilligt att låta bli. Allmän IT-arbetare i Indien som underhåller mjukvarutjänster i Sverige på kontrakt har inte rätt till mina läkarkontakter, och får inte läsa min korrespondens med läkare eller min journal. Inte heller svenska IT-administratörer, eller polisen eller säkerhetstjänsten får under normala omständigheter göra detta. Bara när politiker och tjänstemän har köpfrossa utan att tänka på vad de gör, rubbar man de ovan beskrivna enkla reglerna för kontakter mellan sjukvård och privatpersoner utan att ge vare sig läkarna eller patienterna valmöjligheter.

De regler som Uppsalas tjänstemän och deras databasförsäljare glatt tummar på kommer dock skärpas i och med dataskyddsförordningen. Med dagens regelverk är mina förutsättningar att utkräva någon form av ansvar för att det här övergreppet har begåtts mot mig, min identitet och min historia är mycket ringa om det alls finns några. Jag kan hoppas att de nya reglerna kommer att förbättra mina möjligheter, men olyckligtvis har journaldatabaslobbyn redan växt sig PR-mässigt stark.

Swedish Christian Democrat challenge to make data protection better

Amelia Andersdotter — Tue, 27 Aug 2013 07:37:41 +0000

Språk Engelska

Few people have evaded the Christian democrat proposal to reform the present Swedish institutional framework in such a way that public authorities should no longer be able to make large-scale trading of personal data they have collected from Swedish citizens, without having a choice for Swedish citizens to abstain from the collection. Nils Agnesson writes at dataskydd.net that the EU proposal for a data protection regulation in fact already handles most of the problems the Christian Democrats describe. So it sounds and hopeful for the future that one of the Swedish government parties actually does support reforms that are in line with fundamental human rights and the privacy of Swedish citizens?

But what is the government position?

Well, the Swedish government has been lobbying very hard to get a special exception in the data protection regulation which would permit exactly the kind of personal data trading by public authorities that is now harshly criticized by the Christian Democrats. The result is a new bit of added text, an article 80(a), which effectively removes all protection from all European citizens in every European country against this type of abuse of power, which is seen by most citizens as something inherently unfair and bad for the public sector to do.

The Swedish registry .SE identify quickly that this issue is connected to the data protection regulation and urge the Christian Democrats to look towards Brussels, rather than turning introvert. It's clearly not one day too soon. The Swedish government is currently making many less wise conclusions in Brussels during their negotiations in the Council of Ministers with the other member states. These negotiations could end already in this year, and the Parliament will consolidate its own positions in September 2013 if all goes as planned.

Afterwards, there will be compromises between the Parliament and the Council. Many people aspire to have it done already before the elections, but as we understand, a compromise between two institutions will never be stronger than the respective position adopted beforehand by each of those institutions. So the negotiations inside of the Parliament and inside of the Council of Ministers matter a lot(!)

But the Christian Democrat debate proposal has also received lots of strange reactions. Local Uppsala newspaper UNT and Anna Troberg are criticizing the Christian Democrats because of the FRA law - the law which consolidated a very strong position of power for the Swedish national security agency. They are a problem, but a separate problem from the issue of Swedish public authorities trading in citizens the way normal people trade in chewing gums (at a low price and in bulk). The Swedish public authority abuse of citizen confidence and trust has more to do with the Swedish transparency principle. Because a public authority has to give up information, they have devised a system where they charge for copies (this is related to the birth of the Xerox in the 1970s I'm told) and this has turned into trivial charging even for things that don't require photocopying, and primarily, it's turned into a citizen trading post. This issue has already been addressed in Sweden, in april. At that time, the Swedish government promised that they would fight with all they had to worsen the privacy rights of Swedish citizens in Brussels, to save transparency. The Swedish government in this issue was the brave knight in shining armour, which reserved the right to decide that the Transport Agency, Company Registry, Tax Authority and others should be allowed to violate trusts - while profiting - and that any threat of privacy and institutional trust emerging from the south would be boldly defeated.

After we have had a larger discussion on the sales of personal data by the tax authority, I heard a very strange idea from a politician in Stockholm that had been speaking to a, for me, unknown source, who claimed that the Tax Authority would be forced to by an EU directive to sell their population registry. Nothing could be more wrong. Most member states would not accept, by law, that their public authorities act thusly. This might be a sign of ordinary ignorance in the Swedish political classes, of course, but it also connects to a very real and eminent Swedish problem. We are unable to carry responsibility for our own institutional fuck-ups and rather victimize ourselves with respect to the EU.

Also leading pundits like Hanne Kjöller at DN write replies. Instead of a strong and effective EU law on data protection, she suggests a minister of privacy who can solve problems later, some other time, perhaps in the next Swedish legislature, rather than having the current Minister of Justice doing a good job with the legislation that is actually being discussed at this time. Hanne Kjöller also writes that we may need weaker privacy protection in some cases, but as a regular correspondent on police issues it's strange that she misses the point that national security agencies and police authorities in all countries of the world give themselves access to any database which exists. So if we value patient-doctor secrecy and confidentiality we may want to actually think twice about stuff. We don't take these things lightly for a reason.

Pundit Sanna Rayman at SvD says that she's just out of hope. She doesn't know what to ask the government to do. She doesn't understand what they can do. I tried to send her an e-mail this spring with notifications on the data protection regulation - and she could ask the government to do a good job with it, but that doesn't happen. Also the Christian Democrats should be doing this. It's very important that the data protection regulation becomes the legislation we want.

More or less every government in Europe, many large and badly informed industries that I have written about a large number of times, want to weaken and undermine our right to privacy through changing the data protection regulation as was proposed by the European Commission. They have pulled a lot of parliament members with them in this downward spiral. But we can be very useful in the Swedish debate at this time through addressing this problem. We're not just going for the same privacy rights we already had - 20 years experience tells us it's not enough. We need to move on, and have a strong, enforceable law which gives to citizens the rights that they expect and need.

Svenska

Vem har ansvar för datalagringsdirektivet?

Amelia Andersdotter — Mon, 29 Jul 2013 09:24:00 +0000

Språk Svenska

Jag hittade en intressant ledare från DN via en partikamrat (Calandrella) som behandlar det pågående målet mot datalagringsdirektivet i Europeiska unionens domstol i Luxembourg. Domarna från EU har varit mycket kritiska mot direktivets och dess illa avvägda inskränkningar av rätten till privatliv. Direktivet är nämligen klubbat som en regel som harmoniserar den inre marknaden (nuvarande artikel 114 TFEU) snarare än som rättslig och polisiär åtgärd, och då menade kommissionen inför domstolen att man på inre marknadsregler inte genomför samma typ av bedömningar som under ett rättsligt samarbete. Man kan läsa referat från rättegången här , där man för övrigt också kan se att medlemsländerna hoppas att domstolen inte ska begära att de förändrar nationella lagar.

Men DN skriver också detta "Efter att ha förhalat frågan både länge och väl tvingades den borgerliga regeringen slutligen, under hot om böter, foga sig. Det var bland andra den nitiske tidigare socialdemokratiske justitieministern Thomas Bodström som i Bryssel drev på för denna form av övervakning," som om att detta vore ett starkt faktum.

Eftersom jag grubblar på mycket varför jag fattar beslut som jag gör, grubblar jag också över andras beslut. Jag har hört att det var Storbritannien, Belgien och Danmark som började med datalagringsfasoner och att Bodström för den europeiska processen var förhållandevis oviktig. Att Bodström är ansvarig för datalagringsdirektivet i EU, som sagts i Sverige, är en feluppfattning som spreds av Timbro 2005-2006. RIP Act i Storbritannien (för övrigt roligt namn) har funnits sedan 2000, t ex.

Runt 2004-2006 när datalagringen gick igenom var maktbalansen en annan: telekomindustrins jättar hade inte återhämtat sig från de två decennier av avreglering som ägde rum mellan 1980-2000. TeliaSonera höll på att bilda Skanova i en åtgärd som kallas funktionell separation, och som är ganska politiskt traumatisk. Andra telekomoperatörer, Bahnhof eller Bredbandsbolaget, fanns visserligen, men lär ha lagt sin uppmärksamhet mer på marknadsåtgärder än polisverksamhet vid tillfället. Någon IT-industri att tala om, lobbymässigt, fanns inte, och den som hade kunnat finnas hade gått under 3-4 år tidigare i dotcom-kraschen. De enda som var riktigt starka och välorganiserade lobbyisterna vid tillfället var Rikspolisstyrelsen och Åklagarmyndigheten, två gamla institutioner som inte genomgått någon större turbulens de senaste 30 åren än att de yrkesgrupper de representerar fått mer makt.

Det betyder att den betydelsefulla aktör i samhället, Timbro, som hade ett intresse av att skydda telekomindustrins intressen (de är emot datalagringsdirektivet eftersom det är dyrt och svårt för dem att implementera, samt gör att deras kunder misstror dem), gav beslutsfattare felaktig information i beslutsprocessen. Beslutsfattare är inte dummare än att de förstår när de blir felinformerade, och som demonstrerat i ovan stående stycke saknades det andra (ekonomiskt eller intellektuellt) starka aktörer som kunde kompensera för den mindre precisa information som kom från Timbro. Med det menar jag inte att avsikten att verka emot sådan lagstiftning inte fanns, bara att den relativa styrkan, kontaktnäten och politiska strategin ännu inte utarbetats.

Min poäng är att man ska se den borgerliga regeringens ageranden som antingen symbolpolitiska (möjligheten att hacka på socialdemokraterna) eller en konsekvens av att vissa ekonomiska aktörer som var för lobbyistiskt oklipska 2004-2006 fått bättre organisation sedan dess. Förmodligen är det snarare det senare än det tidigare som gör att regeringen försökt verka emot direktivets implementering. Maktbalansen i den grupp människor som informellt påverkar våra beslutsfattare (och mig, t ex) är helt enkelt annorlunda idag än för 10 år sedan. Det betyder emellertid inte att lagstiftning kommer att bli mindre katastrofalt usel i framtiden: den maktbalans som jag tycker mig se uppstår i Sverige är ledd av felaktiga, tidiga kompromisser på medborgarnas bekostnad (försiktighet). Det är också tydligt att förändringen av maktbalans på intet sätt går snabbt och det är också farligt att sätta sitt hopp till framför allt marknadsaktörer som ju i slutändan kan genomföra också konsumentfientliga åtgärder så länge de inte själva behöver ta den etiska smällen (det vill säga - det finns inget principiellt incitament på dessa nya informella makthavare att göra rätt så länge de inte behöver bära skulden för att det blir fel). Rådande institutioner/myndigheter med makt har och kommer fortsätta ha mycket informell makt. Det finns andra institutioner och myndigheter som skulle kunna skapa sig ett större utrymme i diskussionerna men jag finner det föga sannolikt (se här, t ex).

I Bryssel var läget annorlunda: Europaparlamentet var mycket kritiska till datalagringsdirektivet, enligt min spekulation på grund av att andra telekomindustrier än den svenska var bättre organiserade lobbykrafter. I slutändan godkände parlamentet direktivet för att medlemsstaterna hotade med att annars inte ge parlamentet mer beslutanderätt under Lissabonfördraget. Maktbalansen mellan EU:s institutioner är en annan fråga man också kan skriva mycket om - personligen sätter jag högre tillit till parlamentet än medlemsländernas regeringar (även den svenska) eftersom jag tror på etiska beslutsförfaranden.

Glad måndag allihop.

Exclusively Online: EU Data Sovereignty and Privacy in the Cloud

Petr Kopač — Wed, 05 Jun 2013 15:45:05 +0000

Språk Engelska

As I have already mentioned in my previous article, I met Caspar Bowden, who had some really interesting points at the last Open Forum Europe event. The topic is the privacy protection related to the rapidly growing market of cloud services in the context of the law in the US and the upcoming regulation in the EU - EU Data Sovereignty and Privacy in the Cloud - as says the title. I am happy to put his presentation here for you to study it as it seems to be a really interesting summary of what we are dealing with nowadays. It contains not only analysis of the threats, but also recommendations for cloud providers and customers.

eu_data_sovereignty_and_privacy_in_the_cloud_-_ofa_version_22.5.13_based_on_26.9.2012.pdf

(Permission to publish granted by the author of the presentation.)

Är vår data säker i molnet?

Gäst — Tue, 28 May 2013 00:05:36 +0000

Språk Svenska

Många har försökt besvara den här från, men kanske är vi lite närmare svaret efter gårdagens debatt "Kan vi bestämma och begränsa vart vår data befinner sig i molnet, och när behöver vi göra det?" som anordnades av Open Forum Europe .

Diskussionen rörde i första hand personuppgiftsskydd hos tjänsteleverantörer som är baserade i USA. På forumet presenterade följande studie som hävdar att den europeiska oron om Patriot Act och Foreign Intelligence Surveillance Act (FISA) är överdrivna.

Ptja, jag skulle inte vara så säker på det, för å andra sidan finns det gott om oberoende privatlivsförespråkare, till exempel Caspar Bowden, som varnar för att de flesta säkerhetsmekanismer som finns i lagarna bara gäller för amerikanska medborgare, på sådant sätt att europeiska medborgare egentligen inte åtnjuter något skydd.

Förmodligen är det därför många europeiska företag tvekar inför att använda molntjänster baserade utanför deras eget hemland. Kommer vi att se några positiva förändringar i lagstiftningen snart som kan ge större förtroende för nya teknologier?

English