Ej verbatimt återgivet vid tillfället, och med live-presentation från webbuppkopplad dator snarare än slides.
Dataskyddsåret som gått, ja.
Det har varit en blandning av avgörande förväntningar och förväntade avgöranden, vissa av dem hade jag tänkt nämna här. Men framför allt är det för många av oss en resa in på ett relativt okänt territorium - dataskyddsområdet. Fram tills för bara ett par år sedan var tyska begrepp som informationellt självbestämmande oss okända - fastställt för första gången av Bundesverfassungsgericht 1982, och nu dikterar de inte bara hur vi planerar våra IT-system utan kanske även vår affärsverksamhet.
I dataskyddet konvergerar samhället, juridiken och tekniken. Det har blivit en del av hållbarheten, något vi inte bara ägnar en tanke åt utan också lever oss in i.
En enkel tankebild jag själv vänt mig till ofta de senaste femton åren rör det svenska integritetsbegreppet. Egentligen kan man säga att jag vill gå i polemik mot det senaste halvseklets svenska samhällsdiskussion om vad dataskyddet ska innebära - för vad betyder egentligen integritet?
Ett företag eller en person med integritet är orubbad, och kan agera rättrådigt - förutsägbart, bestämt och robust. Integritetsbegreppet för tankarna till denna förutsägbara orubblighet på ett sätt som dataskyddet inte lånar sig till.
Jag vill föreslå att vi i stället tänker på dataskyddet som en rätt till identitet - att få forma oss själva inte bara idag, utan även att få förändra oss själva imorgon. Vår identitet är ett dynamiskt skyddsobjekt som ständigt ändrar sig - och dataskyddet är en lagstiftning som avser just att skydda denna föränderlighet.
Att detta kan vara en del av dataskyddets mål ses inte minst i diskussionerna kring fejkade nyheter och falsk information på nätet. Men vi kan bli mer grundläggande än så: redan utifrån de svenska partiernas kartläggning av väljares demografiska egenskaper utifrån postnummer i valkampanjer vet vi ju att persondata kan hjälpa kampanjare att rikta information, granulärt, till de målgrupper som antas vara mest mottagliga.
Dataskyddet kräver då att privatpersoner ska få reda på hur de påverkas, av vem de påverkas, och åt vilket håll de påverkas. Men om bara en enkel folkbokföringsdatabas kan skapa bryderier, vad händer inte då med hela internet?
----
Jag vill från dataskyddsåret 2019 lyfta fram två till ämnet relaterade domstolsavgöranden från EU och fem riktlinjer som rör kartläggning av användarbeteenden på webben. Dessutom hade jag tänkt nämna Webbkoll, ett verktyg föreningen Dataskydd.net - som jag grundade 2015 - har utvecklat och som ger tips om hur man enkelt och billigt kan tekniskt dataskyddsanpassa en webbplats.
Bägge EU-domarna härrör från tyska mål som initierats av den tyska konsumentföreningen Verbraucherzentrale - det handlar så klart om FashionID och Planet49-målen, och riktlinjerna är från våra tyska, franska, spanska och brittiska vänner på Datainspektionerna, samt de riktlinjer som tidigare fanns att tillgå för webbanalys på myndigheterna PTS och DIGG:s webbplats webbriktlinjer.se
----
En webbkaka är alltså en liten textfil som stoppas in i ett särskilt register i en privatpersons webbläsare. Den möjliggör i många fall unik återidentifiering av privatpersonen vid ett senare tillfälle.
När webbkakorna uppfanns i början av 1990-talet var tanken att de skulle användas för att komma ihåg ifall någon lagt en vara i en elektronisk varukorg, gjort en språkinställning eller loggat in - med insikten fanns där bland ingenjörerna att tekniken också kunde användas för att spåra andra saker än inloggningar och varukorgar. Den tekniska utmaningen utgörs av att en privatperson lägger något i en elektronisk varukorg och sedan laddar om sidan - så vitt servern vet där den elektroniska varukorgens webbplats är belägen är ju privatpersonen då en helt ny användare! Webbkakan hjälper servern komma ihåg att det fortfarande är samma privatperson som shoppar.
Men redan i webbens barndom sågs spårningen av människors beteende som ett hot mot människors privatliv och informationella självbestämmande. I de tidigare diskussionerna om webbkakor i standardiseringsorgan kan man exempelvis läsa om att webbkakor kunde missbrukas för att kartlägga människors beteende.
Det har också kommit att bli webbkakors nästan huvudsakliga användningsområde idag - särskilt i reklam- och webbanalysindustrin. Inte bara webbkakor utan även mer raffinerade metoder att återidentifiera webbesökare används: flashcookies, profilering, beacons, insticksprogram och gilla-knappar.
Våra samhällen använder reklam och webbanalys för att få människor att köpa saker, eller anpassa tjänster åt människor, utan att de själva aktivt ska behöva fatta beslutet - en sorts subtil manipulation av människors identitet. Det är alltså inte egentligen konstigt att det länge funnits tveksamheter kring dessa teknologiers förenlighet med det informationella självbestämmandet och rätten till identitet.
Så kontroversiellt har detta spårande varit att det redan 2002 blev obligatoriskt opt-out i hela EU, genom dåvarande, andra eDataskyddsdirektivet. När man reviderade eDataskyddsdirektivet 2009 blev det opt-in - alltså ett krav på att varje människa ska behöva godkänna att bli således människor på förhand. Under diskussionerna om eDataskyddsförordningen som just kapsejsade i Bryssel har webbanalys varit en av fokusfrågorna: har europeiska medborgare en skyldighet att bli webbpublikmätta?
Men det är mot bakgrund av denna tekniska, politiska och juridiska utveckling som man behöver se FashionID och Planet49-målen.
----
EU är alltså egentligen ett väldigt lurigt rättsområde: saker som är uppenbart befästa under många år, kan bli bekräftade av domstol och ändå mötas som om att de vore fullständiga överraskningar.
FashionID säger att en webbplatsutvecklare är ansvarig för hur besökare på webbplatsen behandlas av tredjeparter webbplatsutvecklare ställer webbesökaren i kontakt med. Det är en helt naturlig princip: webbesökaren har ingen kontroll över hur en webbplats utformas, och kan heller inte bedöma hur en webbplats utformats innan besökaren faktiskt besökt webbplatsen.
Det har varit en avgörande förväntan att de ofta dolda värdekedjorna i IT-miljöer på något sätt ska sätta sunt förnuft ur spel, men det förväntade avgörandet i FashionID-målet visar att det inte är så: man är ansvarig för hur man behandlar folk, helt enkelt.
Planet49 borde ha varit likaledes förväntat: vi har ju ändå diskuterat webbkakor och webbspårning i nästan 30 år. Avgörandet innebär, i korthet, att en webbesökare inte kan godkänna att bli kartlagd i reklamsyfte med en för-ikryssad ruta. Dessutom måste webbesökare delges information om hur, varför och åt vem kartläggningen sker.
I dataskyddssammanhang presenteras dessa saker ofta utifrån näringsidkarens perspektiv: måste man inhämta samtycke? Måste man delge information? Men jag vill återigen, utifrån principerna om informationellt självbestämmande och rätten till identitet, försöka vända på begreppen:
- Har människor en skyldighet att bli kartlagda? Och i sådana fall av vem?
----
Dataskydd blir som mest begripligt när det betraktas ur en enskilds perspektiv. Skyldigheter mot myndigheter och företag i lagstiftning är bara en kodifiering av de rätt naturliga svaren vi normalt skulle ge på frågor som ställs ur en enskilds perspektiv. För det är svårt att tänka sig en juridisk förpliktelse mot människor att bli kartlagda på webben.
I webbanalyssammanhang, men även i information som delges enskilda om webbspårning, påstås ofta att information måste samlas in för att förbättra och optimera tjänster. Men låt oss vända på steken: har människor en skyldighet att hjälpa webbutvecklare bli bättre på sitt jobb?
Både FashionID och Planet49 är högst begripliga ur perspektivet att det inte rimligen kan vara så att det finns en skyldighet för webbesökare, vanliga människor, att hjälpa webbutvecklare i vare sig offentlig eller privat sektor att göra något särskilt.
-----
Så frågan är vad som i sådana fall kan hjälpa webbutvecklare - och kanske dataskyddsombud? Vi hoppas att det är riktlinjer från datainspektioner och tillsynsmyndigheter, som är tillräckligt tydliga, precisa och juridiskt giltiga. Just nu finns fyra sådana riktlinjer i EU: från Frankrike, Tyskland, Storbritannien och Spanien.
Som en kort reflektion är det ovant för datainspektionerna att stå i centrum för viktiga frågor, och kunna fatta beslut - svenska datainspektionen hade fram tills i augusti i år inte utfärdat en enda böter under sina 40 år som myndighet (undantaget ett vite, som grundades i kreditupplysningslagen snarare än i dataskyddslagstiftningen). Datainspektioner har oftast ägnat sig åt riktlinjer eller råd, inte föreskrifter - det är en ny situation att de har och måste använda sitt mandat att bötfälla.
Förmodligen är det i alla fall delvis sådan ovana som leder till att riktlinjerna om webbkakor, trots sina likheter, ändå är olika. Reklam- och mediaindustrin är olika viktig i olika EU-länder, och olika EU-länder har satsat olika mycket på teknisk kompetens, eller balanserat annorlunda mellan tillsyn av privat och offentlig sektor, i sina datainspektioner.
I den svenska propositionen om eDataskyddsdirektivet-2009, direktivet som gjorde webbkakor i princip opt-in, står exempelvis att läsa att inga bestämmelser om webbkakor får tolkas så att mediaindustrins begränsas i sin innovation [se länkat dokument, s. 136!]. Regeringen lämnar öppet för att Post- och telestyrelsen kan tolka lagstiftningen, men markerar tydligt att sådan tolkning förvisso kan komma att skapa politiskt missnöje om den går vissa industrisegment emot.
Samtycket ska vara explicit, och informationen fullständig, är alla myndigheterna överens om. Men de divergerar i tankarna kring hur man praktiskt går till väga för att inhämta samtycke och delge information. Får man ha kakväggar? Hur ska inställningar göras? Datainspektionerna vrider och vänder på begreppen men värjer sig för själva grundfrågan i affärsmodellerna: om det saknas en skyldighet att bli kartlagd, och det även saknas en skyldighet att hjälpa webbutvecklare, kan vi inte gå direkt på rekommendationen att se över affärsmodellen?
----
Dataskydd.net kampanjade tillsammans med Föreningen för digitala fri- och rättigheter i fem år för att få Post- och telestyrelsen att utfärda föreskrifter om webbkakor, på bas av lagen om elektronisk kommunikation. Och vi lyckades. I alla fall ett tag.
Jag vill påstå att det på webbriktlinjer.se tidigare fanns några av de bästa och enklaste riktlinjerna för webbspårning i praktiken, med tydlig uppdelning mellan funktionell spårning - som krävs för någon funktion så som inställningar, inloggning eller elektronisk varukorg - och icke-funktionell spårning - som motiveras av externa kommersiella betänkligheter, till exempel önskan om en enklare vardag för webbutvecklare eller reklam. Där fanns även en rekommendation om att man kunde överväga att helt sluta använda webbkakor.
Riktlinjerna togs ned tidigare i år med hänvisning till kompetenskonflikter mellan Post- och telestyrelsen och Myndigheten för digitalisering.
Lyckligtvis finns grunddragen fortfarande kvar i ett dokument på Dataskydd.net:s webbplats - vill man veta mer om hur man kan tänka funktionellt på webbkakor får man gärna läsa hos oss.
---
Och det för mig till min sista punkt ikväll - ett verktyg som redan blivit populärt i Tyskland och Storbritannien, har använts i svenska kommuner och verksamheter och åstadkommit praktiska förändringar på marken: Webbkoll, en granskningstjänst från Dataskydd.net. [se länk ovan]
Jag utvecklade Webbkoll tillsammans med en kollega, Anders, 2015 och 2016. Den är tänkt att göra en grundläggande kontroll av tekniska dataskyddsfunktioner på en webbplats, och ger rekommendationer om hur man enkelt, snabbt och billigt åtgärdar fel. Tipsen och kontrollerna är optimerade mot att vara enkla att lösa: saker som är svåra att lösa, exempelvis hanteringen av kunduppgifter, täcks inte.
Jag har lite screenshots här - varje teknisk funktion kopplas till bestämmelser i dataskyddsförordningen, och beskrivs utifrån vad den gör och hur den kan användas för att skydda uppgifter. Vill man tillämpa funktionen på sin egen webbplats finns en implementationsguide - vissa av dessa dataskyddande funktioner är så löjligt enkla att implementera att det är svårt att se hur de saknar spridning.
Vi tror också att man kan minimera krånglig juridik genom att investera i bra teknik - har man ett bra tekniskt dataskydd på sin webbplats behöver man inte krångla med vare sig kakväggar eller bekymra sig för webbläsarinställningar. Det handlar om att bygga bra affärsmodeller och tillhörande bra tekniska lösningar.
Dataskyddsåret 2019 har visat att bra och hållbara affärsmodeller med tillhörande bra tekniska lösningar inte bara är en avgörande förväntan, utan också följer av förväntade avgöranden. Och när vi går in i dataskyddsåret 2020 är det bara att hoppas att tillsynsmyndigheterna hakar på.
Tack.