IT-attacker största hotet mot Sverige. Facebook nytt bevis i domstolarna. DNA-databas används olagligt. Exklusiv intervju med FRA:s generaldirektör

Transkript

1 Datainspektionens tidning nr 3/2012 Facebook nytt bevis i domstolarna DNA-databas används olagligt IT-attacker största hotet mot Sverige Exklusiv intervju med FRA:s generaldirektör

2 omvärlden Integritet i fokus produceras av Data inspektionen Box 8114, Stockholm Tfn (växel) Ansvarig utgivare Göran Gräslund Redaktör Per Lövgren Formgivning Fredrik Karlsson Omslag Ingvar Åkesson. Foto: Örjan Björkdahl/Scanpix. Tryck Tryckt hos Ineko AB i Årsta på Arctic Volume White papper. Miljömärkt trycksak ISSN Kontakta redaktionen Har du synpunkter, tips på artiklar eller frågor om tidningen? Mejla till redaktionen@datainspektionen.se. Gratis prenumeration En prenumeration på Integritet i fokus är gratis. Lättast anmäler du dig på vår webbplats. Integritet i fokus kan även laddas ner i pdf-format från vår webbplats. Tidningen kommer ut fyra gånger per år. Besök På vår webbplats kan du läsa mer om integritetsfrågor. Passa även på att prenumerera på vårt nyhetsbrev så får du pressmeddelanden och annat aktuellt från Datainspektionen. Norsk polis vill DNA-testa 400 män Polisen i Oslo har uppmanat 400 män i åldrarna år att frivilligt lämna DNA-test. Samtliga personer som har fått brev från polisen bor eller har bott i ett område där en ung kvinna blev våldtagen i oktober förra året, rapporterar Sveriges Radios Ekot. Datatilsynet, den norska motsvarigheten till Datainspektionen, vill att norska Justitiedepartementet ska se över frågan om storskaliga DNA-tester. Den norska lagen tillåter frivilliga DNA-tester på enskilda personer, men frågan är var gränsen går och om det ska vara möjligt att kalla in alla män i en stad eller stadsdel. Kvinna namngav sexförövare på Twitter En ung kvinna i USA riskerar fängelse efter att på Twitter ha namngett de två pojkar som förgripit sig på henne sexuellt och spridit bilder från händelsen. De två pojkarna har erkänt brott, men i väntan på att domstol ska döma i målet får de inblandade inte prata om händelsen eftersom parterna är minderåriga. Pojkarnas advokat har begärt att den 17-åriga kvinnan som twittrat namnen ska åtalas för domstolstrots. Hon riskerar då att dömas till fängelse i upp till 180 dagar eller böter på 500 dollar. Advokaten har dock senare dragit tillbaka sin begäran. Microsoft kräver att bild på nyfödd tas bort Norrmannen Morten Tobiassen kopierade en bild på sitt nyfödda barn till Microsofts molntjänst Sky Drive. Det skulle han inte ha gjort. Kort därefter får han ett mejl från Microsofts kundtjänst där han uppmanas att inom 48 timmar ta bort bilden, annars kommer hans konto att stängas av och tas bort. Orsaken är att bilden föreställer ett naket barn, vilket strider mot Microsofts användarvillkor. Det är ju bara en bild på min tre timmar gamla dotter, som jag dessutom bara delar med mig av till mina närmaste. Vad hade hänt om jag varit bortrest och inte kunnat läsa mejlet? Jag har många viktiga jobbdokument och presentationer på mitt mejlkonto som då hade tagits bort. Sajt dammsuger Facebook i jakt på dina misstag Problemet är helt enkelt att folk inte inser riskerna med att dela med sig av allt. Så skriver upphovsmannen till sajten WeKnowWhatYoureDoing.com. På sajten publiceras information som hämtas från Facebook. Under rubriken Vem vill få sparken? publiceras Facebook-inlägg som är helt publika och som innehåller orden hate my boss. Övriga kategorier är Vem är bakfull?, Vem tar droger? och Vem har ett nytt telefonnummer?. Sajten uppmanar alla Facebookanvändare att se över sina sekretessinställningar så att standardinställningen inte är Offentlig. Det gör du genom att gå till adressen: com/settings/?tab=privacy. 2 Integritet i fokus nr Datainspektionen

3 sverige Skadestånd för att ha publicerat dom En juristbyrå har dömts att betala skadestånd för brott mot personuppgiftslagen efter att ha publicerat en dom på sin hemsida, rapporterar Dagens Juridik. Det var efter en tvist i tingsrätten som juristbyrån, som företrätt en av parterna, lade ut domen på sin webbplats. Motparten, vars namn och adress fanns i domen, har därefter stämt byrån och yrkat på skadestånd enligt personuppgiftslagen. I tingsrätten dömdes juristbyrån att betala kronor i skadestånd. Tingsrätten ansåg inte att juristbyråns intresse av att informera om det gällande rättsläget vägde tyngre än skyddet mot kränkning av den personliga integriteten, skriver Dagens Juridik. Domen överklagades till hovrätten som sänkte skadeståndet till kronor. Fel av bank registrera uppgifter om bankrånare En person som 2008 dömdes för rån mot Swedbank försökte tre år senare nappa på ett speciellt studenterbjudande från banken. Han nekades att teckna erbjudandet och fick beskedet: Du har rånat mina kollegor i Sundbyberg Kort därefter avslutades mannens befintliga konto i banken. Det fick personen att undra vad banken hade för uppgifter registrerade om honom. Han anmälde banken till Datainspektionen som konstaterar att banken gjort fel som registrerat uppgifter som rör brott i sina kundnoteringar. Enligt personuppgiftslagen är det som huvudregel förbjudet för andra än myndigheter att hantera personuppgifter om lagöverträdelser som brott och domar i brottmål. Polisen vädjade om tips på Facebook I somras efterlyste Södermalmspolisen i Stockholm tips från allmänheten på sin Facebook-sida och länkade till polisens webbplats, där stillbilder och en videofilm från övervakningskameror publicerats. Bilderna visade några yngre män som misstänks vara inblandade i en grov misshandel. Enligt Dagens Nyheter lämnade många besökare synpunkter i kommentarsfältet till polisens efterlysning på Facebook. Flera av kommentarerna rörde männens hudfärg och eventuella ursprung. Det är en otroligt stor risk att de här personerna pekas ut oskyldigt, säger Advokatsamfundets Anne Ramberg till Dagens Nyheter lämnade Datainspektionen ett yttrande till Rikspolisstyrelsen där myndigheten ansåg att polisens Internetpublicering av bilder på okända gärningsmän endast är tillåten i undantagsfall, till exempel om det rör sig om särskilt allvarlig brottslighet. Ny privat sajt samlar biverkningar Nu under sommaren startade biverkningar.se, en ny svensk webbplats. På sajten ska besökarna kunna se och rapportera in oönskade bieffekter av behandlingar, mediciner eller liknande. Enligt personen bakom sajten är syftet att försöka bidra till en bättre folkhälsa. Sajten varnar dock för att uppgifterna inte kan användas för att dra direkta slutsatser om ett visst läkemedel har orsakat en specifik biverkning eller orsakat ett dödsfall, och att den rapporterade reaktionen kan ha uppstått av andra orsaker än läkemedlet ifråga. Den som vill rapportera in biverkningar uppmanas att inte skriva personuppgifter som namn, telefonnummer och liknande. Sjuksköterska dömd för dataintrång En sjuksköterska har av Alingsås tingsrätt dömts till kronor i böter för dataintrång. Enligt Göteborgs- Posten var upprinnelsen till dataintrånget att kvinnans styvdotter tagit en kreditupplysning på kvinnan och sett att sjuksköterskan hade stora skulder. Sjuksköterskan ska därefter vid tio olika tillfällen läst sin styvdotters elektroniska patientjournal och hotat att avslöja uppgifter från journalen. Det gjorde att styvdottern kontaktade polisen. Förutom dagsböter ska sjuksköterskan betala kronor till styvdottern för den kränkning hon anses ha blivit utsatt för. Register över vårdpersonal läggs ut på nätet En utredning föreslår att Socialstyrelsens register över legitimerad hälso- och sjukvårdspersonal (HOSP-registret) ska bli tillgängligt på Internet. Registret är redan idag offentligt på så sätt att det går att mejla Socialstyrelsen och begära uppgifter om en enskild persons behörighet. Enligt förslaget ska allmänheten i framtiden kunna söka uppgifter själv via Internet och få reda på uppgifter om legitimerade personers namn, födelseår, yrke, specialitet samt datum för utfärdande av legitimation eller bevis om specialistkompetens. Förslaget föreslås träda i kraft den 1 januari Integritet i fokus nr Datainspektionen 3

4 Generaldirektör Ingvar Åkesson: Nej, FRA jagar inte fildel 2009 beslutade riksdagen om ny lagstiftning som gör det möjligt för Försvarets radioanstalt, FRA, att signalspana även i kabelburen trafik vilket tidigare inte varit tillåtet. Beslutet föregicks av heta debatter i media och bloggar och på den politiska arenan. Här berättar FRA:s generaldirektör om missuppfattningarna kring vad myndigheten egentligen arbetar med och frustrationen över att inte kunna berätta för omvärlden när information som myndigheten samlat in har använts för att avvärja hot mot Sverige myntades ett nytt ord i Sverige: bloggbävning. Upprinnelsen till det nya ordets tillkomst var den då stundande omröstningen i riksdagen om en ny teknikneutral lagstiftning som skulle ge FRA möjlighet att signalspana även i kabelburen trafik, vilket tidigare inte varit tillåtet. På bloggar och i massmedia skrevs att FRA nu skulle kunna avlyssna våra telefonsamtal, sms och mejl. Det var en tuff tid för både FRA och framför allt, för myndighetens generaldirektör Ingvar Åkesson. Visst kändes det, när vi på bloggar och även i media blev beskyllda för att göra saker som vi inte gör och för att i princip syssla med brottslig verksamhet. Något som över huvud taget aldrig kom fram då var att vi innan lagändringarna trädde i kraft 2009 faktiskt hade väldigt få regler att rätta oss efter. Nu omgärdas vår verksamhet av en rad strikta regler som vi inte haft förut. Vad tror du att mannen på gatan tror att FRA sysslar med? Det faktum att det är omöjligt för oss att berätta särskilt mycket om vad vi arbetar med, gör att det finns gott om feluppfattningar om vår verksamhet. För två år sedan genomförde vi en undersökning för att ta reda på folks uppfattning om FRA. Tyvärr visade det sig att en del tror att vi bland annat arbetar med att jaga fildelare. Vilken bild skulle du själv vilja att det svenska folket har av FRA? Att vi är en myndighet som arbetar med att förse regeringen med information som utgör ett bra underlag för Sveriges utrikes-, försvars- och säkerhetspolitik. Och att vi är en garant för att Sverige kan bedriva en självständig säkerhetspolitik eftersom information inhämtas av en svensk myndighet. Våra uppdragsgivare behöver inte förlita sig på utländska källor. Föremål för granskningar Vad skulle du säga till den som är oroad över skyddet av den personliga integriteten när det gäller FRA:s möjligheter till signalspaning? Om jag själv hade trott det som stod på bloggar och i massmedia under 2008 skulle nog även jag vara oroad, eftersom mycket av det som då skrevs inte alls stämde med verkligheten. Sedan lagändringarna trädde i kraft 2009 har vi blivit föremål för flera granskningar av Signalspaningskommittén, Statens inspektion för försvarsunderrättelseverksamheten och Datainspektionen. De här externa granskningarna har förhoppningsvis gett ökad förståelse för att vi arbetar strikt efter de regler vi har att följa. Är inte dessa regler och externa kontroller en hämsko för FRA:s möjlighet till signalspaning? foto: FRA 4 Integritet i fokus nr Datainspektionen

5 are Ingvar Åkesson fakta Generaldirektör på FRA sedan nio år Civilstånd: gift och en son Bor: i hus på Ekerö Senast lästa bok: The Mitrokhin Archive, som handlar om en avhoppad KGB-arkivarie. En oerhört intressant bok. Senast sedda film: Bond-filmen Dr No som gick på TV nyligen. Men jag somnade i den första reklampausen. Om sitt chefsjobb: Att vara högsta chef för FRA är nog den roligaste och mest stimulerande generaldirektörsposten av alla. Integritet i fokus nr Datainspektionen 5

6 Visst kan det vara väldigt frustrerande att inte kunna tala om för allmänheten när vi verkligen lyckats bra med ett uppdrag, berättar Ingvar Åkesson. I mångas ögon är det inte trovärdigt om vi själva berättar om vår verksamhet, därför är det viktigt för vår legitimitet att bejaka insyn och kontroll. Det nya regelverket har lett till stora omställningar internt och en viktig uppgift för mig har varit att få alla medarbetare att förstå och tillämpa de nya reglerna. Min uppfattning är att det nya regelverket och de externa kontrollerna inte har lett till några nämnvärda negativa effekter på vår effektivitet. FRA:s signalspaning får uteslutande vara inriktad på utrikes förhållanden. I vilka situationer kan det omfatta svensk Internettrafik? Inhämtning av rent svensk trafik, det foto: FRA vill säga trafik där både avsändare och mottagare befinner sig i Sverige, är förbjuden enligt lagen. I mycket sällsynta fall kan det förekomma trafik där en av parterna befinner sig i Sverige. I princip finns det tre lägen då detta kan uppstå, och det är vid misstanke om att utländska spioner agerar i Sverige, att det finns en terrorgrupp med förgreningar i Sverige eller att det pågår försök att skaffa delar till massförstörelsevapen i Sverige. Frustrerande att inte kunna berätta Hur hanterar du konflikten att vara högste chef för en myndighet som allmänheten vill ha insyn i och veta vad den gör, men som på grund av sitt uppdrag inte kan berätta särskilt mycket om sin verksamhet? Visst kan det var väldigt frustrerande att inte kunna tala om för allmänheten eller vänner och bekanta när vi verkligen lyckats bra med ett uppdrag. Men det är spelreglerna och något vi lärt oss att leva med. Det är egentligen först nu som vi kan berätta mer om vad FRA gjorde under andra världskriget. I något enstaka fall kan vi nämna saker som inträffade under 80- och 90-talen. Kanske kan FRA om några decennier berätta om uppdrag vi utfört under Orsaken till hemlighetsmakeriet är att vi inte kan avslöja vilka mål och vilken förmåga vi har med vår signalspaning. Jag får själv positiv feedback från våra uppdragsgivare, som regeringen, regerings- Organisationerna som granskar hur FRA arbetar fakta Signalspaningskommittén Parlamentarisk kommitté med uppdrag att följa signalspaningen vid FRA ur ett integritetsskyddsperspektiv, med fokus på hur den nya lagstiftningen tillämpas. Redovisade sitt uppdrag i februari Statens inspektion för försvarsunderrättelseverksamheten (Siun) Myndighet som har till uppgift att kontrollera att den försvarsunderrättelseverksamhet som bedrivs av bland annat FRA sker i enlighet med fastställda regelverk. Datainspektionen Granskar behandlingen av personuppgifter inom FRA. Under 2010 hade myndigheten ett särskilt uppdrag att granska FRA ur ett integritetsskyddsperspektiv. 6 Integritet i fokus nr Datainspektionen

7 Skulle Stuxnet slå ut iranskt kärnkraftverk? Stuxnet är en datamask (trojansk häst) som upptäcktes i juli Masken anfaller ett system som skapats av Siemens för övervakning och styrning av industriprocesser. Enligt Siemens hade masken fram till mitten av september 2010 infiltrerat 14 industrianläggningar. Senare i september 2010 meddelade den iranska kommunikationsministern att masken fanns på datorer i landet, däribland datorer i kärnkraftverket Bushehr. På grund av datamaskens komplexitet tror experter att masken är skapad av en statlig organisation, då privatpersoner saknar de resurser som krävs. Källa: Wikipedia kansliet och försvarsmakten, men även i dessa organisationer är det få personer som har insikt i exakt vilka uppdrag FRA utför. En svårighet för mig är dessutom att föra beröm vidare ut i organisationen eftersom vi måste hålla våra verksamheter åtskilda internt för att förhindra att information om vår spaningsförmåga läcker ut. Samtidigt är det viktigt att alla medarbetare känner att de gör skillnad. En av mina uppgifter är att hos personalen skapa en vetskap om att det vi gör är viktigt och betydelsefullt. Mer öppenhet Under de nio år som jag arbetat på FRA har myndigheten blivit mer öppen. Vi har en informationsavdelning med fem anställda vilket FRA aldrig tidigare haft. Hur ser en vanlig arbetsdag ut för dig? Ska jag sammanfatta det i ett ord så är det: möten. Många av mötena rör den interna arbetsledningen, men jag har även många möten med våra uppdragsgivare. En tredje kategori möten är med utländska samarbetspartners, som antingen kommer på besök hos FRA eller som jag själv besöker. Den personliga relationen är mycket viktigt i våra kontakter med utländska partners. Det här är en förtroendebransch där mycket handlar om att lära känna och respektera varandra. Hoten är teknologiska Vilket anser du är det största utländska hotet mot Sverige? Det största hotet är inte längre militärt, som under det kalla kriget, utan teknologiskt i form av IT-incidenter då utländska aktörer kommer åt känslig och värdefull information från svenska företag och myndigheter. Det vanligaste är att man försöker ta sig in i ITsystem och stjäla information utan att upptäckas, men det förekommer även IT-attacker där man försöker sabotera verksamheter, som Stuxnet-masken. Har Sverige haft nytta av den möjlighet som FRA nu har att signalspana i kabel? Ja, jag anser att vi redan haft god nytta av den möjligheten, framför allt när det gäller att förse regeringen med beslutsunderlag för hur vår utrikespolitik ska bedrivas. Integritet i fokus nr Datainspektionen 7

8 Sverige är ett mo Svenska Datainspektionen använder hellre moroten än piskan för att få organisationer att följa reglerna i personuppgiftslagen. Det menar i alla fall forskaren Philip Schütz som nu genomför en studie av hur olika europeiska dataskyddsmyndigheter arbetar. På vilket sätt är Datainspektionen en oberoende myndighet? Vilken är Datainspektionens viktigaste uppgift? Hur till sätts (och avsätts) myndighetens högsta chef? Det är några av de frågor som den tyske forskaren Philip Schütz ställde när han helt nyligen besökte svenska Datainspektionen och intervjuade bland annat myndighetens generaldirektör och chefsjurist. Intervjuerna utgör grunden i Philip Schütz doktorsavhandling i statsvetenskap som fokuserar på en jämförelse mellan olika europeiska dataskyddsmyndigheter. Målet är att jämföra dataskyddsmyndigheterna i Storbritannien, Sverige, Polen, Tyskland och Spanien. Philip berättar att han nu är inne i den empiriska fasen av sitt avhandlingsarbete. På onsdagen träffade han först Datainspektionen och därefter representanter för Säkerhetsoch integritetsskyddsnämnden. På torsdagen blir han själv intervjuad (denna intervju) och gör sedan en egen intervju med personal från Justitiedepartementet. På söndag åker han till Polen för att göra motsvarande intervjuer där. Målet är att avhandlingen ska vara klar om ett och ett halvt år. Vill öka effektiviteten Syftet med avhandlingen är att svara på frågan hur man kan få dataskyddsmyndigheterna i Europa att arbeta mer effektivt. För att göra det vill Philip Schütz ta reda på hur dataskyddsmyndigheterna i de olika länderna är uppbyggda, hur de löser sina uppgifter och vilka metoder de anser effektiva och ineffektiva. Målet är att samla in de olika dataskyddsmyndigheternas lärdomar och från dessa få fram rekommendationer för hur sådana myndigheter bör vara utformade. En av frågorna som Schütz söker svar på är hur oberoende dataskyddsmyndigheterna är. I Sverige är det Justitiedepartementet som utnämner ny generaldirektör och som bestämmer dennes lön. I Storbritannien måste Justitiedepartementet godkänna DNA nästa stora utmaning för dataskyddsmyndigheterna En av de allra mest värdefulla personuppgifterna är DNA som också är nästa stora kare på tyska Fraunhofer Institute for Sys- doktorsavhandling och halvtid som fors- utmaning för dataskyddsmyndigheterna. tems and Innovation Research. Där deltar Det menar Philip Schütz. han i de EU-finansierade forskningsprojekten Prescient (Privacy and emerging Medan vanliga personuppgifter som namn och adress kan knytas till en enda sciences and technologies) och Sapient person, kan en persons DNA knytas även (Supporting fundamental rights, privacy till andra personer, som föräldrar, barn and ethics in surveillance technologies). och barnbarn. Schütz berättar att läkemedelsföretag Philip Schütz arbetar halvtid med sin nu forskar kring personlig medicin, det vill säga medicin som är speciellt anpassad efter den enskilda patientens genetiska förutsättningar. Men vad sker med det DNA som samlas in? Vem äger uppgifterna och hur får de användas? Och vad vet vi egentligen om vad DNA kan avslöja i framtiden? Det här kommer att bli en stor utmaning för både lagstiftare och dataskyddsmyndigheter. 8 Integritet i fokus nr Datainspektionen

9 rotsland! alla (!) anställningar hos the Information Commissioner s Office (ICO), medan det i Tyskland är inrikesministeriet som gör samma sak. Så ska det göras i teorin men jag undersöker även hur det fungerar i praktiken. Gör verkligen det tyska inrikesministeriet en bedömning av alla som anställts på den tyska dataskyddsmyndigheten eller är det i själva verket så att de per automatik godkänner alla anställningar som föreslås? Avgifter bestämmer budget Finansiell autonomi är ett annat ämne som granskas. Hur pass självständigt kan myndigheten fördela sin budget på olika verksamheter? Schütz berättar att i Storbritannien måste alla organisationer som hanterar personuppgifter betala en avgift till ICO. Hur stor den avgiften är bestäms inte av ICO utan av regeringen. Avgiftens storlek bestämmer sedan hur stor budget ICO får för sitt dataskyddsarbete. (I Sverige behövde man fram till 1998 en avgiftsbelagd licens för att få hantera personuppgifter.) Här i Sverige har Datainspektionens budget uppenbarligen varit i stort sett oförändrad sedan före Internet slog igenom men nu äskar myndigheten mer pengar på grund av att dess uppdrag blivit bredare och mer omfattande. Piskan eller moroten? En viktig fråga gäller vilka verktyg och arbetssätt som myndigheten använder för att se till att personuppgifter hanteras på ett lagligt sätt. Schütz pratar om moroten eller piskan. Sverige är ett morotsland! Här satsar ni på att informera om hur personuppgifter bör hanteras, snarare än att slå ner på dem som gör fel. Ni arbetar mycket med massmedia för att nå ut med ert budskap. foto: salomeh fanaei Han fortsätter: Men min åsikt är att alla dataskyddsmyndigheter behöver kunna ta till sanktioner som exempelvis böter. Så även om moroten är det som i första hand används i Sverige så vill ni även kunna ta fram piskan vid behov. Philip Schütz ifrågasätter om det går att förena det europeiska dataskyddsdirektivets mål med målen för företag som Google och Facebook som handlar i en ny sorts valuta: personuppgifter. Enligt dataskyddsdirektivet ska man aldrig samla in fler personuppgifter än nödvändigt, medan målen för Google och Facebook är att samla in så mycket personuppgifter som möjligt. I EU-kommissionens förslag till ny europeisk dataskyddslagstiftning föreslås att det ska bli möjligt att kunna utdöma mycket höga böter som bygger på en procentsats av företagets omsättning. Det kanske skulle kunna bli ett viktigt verktyg för Europas dataskyddsmyndigheter. Statsvetaren Philip Schütz arbetar med en jämförelse mellan olika europeiska dataskyddsmyndigheter. Integritet i fokus nr Datainspektionen 9

10 Gotlands tingsrätt publicerar på sin webbplats så kallade uppropslistor som innehåller namn på parter i mål och ärenden. Datainspektionen konstaterar att det är kränkande i personuppgiftslagens mening. Eftersom uppgifter på Internet kan få en så stor och snabb spridning krävs det en särskild försiktighet när personuppgifter publiceras på Internet. I detta fall har bland annat uppgifter på personer som är brottsmisstänkta men inte dömda publicerats. Det är uppennytt från datainspektionen Kriminaltekniker använder DNA-databas olagligt Statens kriminaltekniska laboratorium, SKL, har byggt upp en så kalllad elimineringsdatabas med DNAprover. Syftet med databasen är att se om DNA-prover från brottsplatser har kontaminerats med DNA-spår från exempelvis brottsplatstekniker eller anställda på SKL. Elimineringsdatabasen innehåller DNA-prover som lämnats frivilligt från SKL:s personal och besökare vid SKL. Databasen innehåller även DNA-profiler från poliser, servicetekniker, hantverkare och annan personal. SKL jämför dagligen alla nya DNAprofiler från undersökta brottsplatsspår med elimineringsdatabasen. Om en DNA-profil i spårregistret överensstämmer med en DNA-profil i elimineringsdatabasen sker en utredning. Enligt polisdatalagen får polisen ha tre DNA-register: utredningsregistret (DNA-profiler från misstänkta personer), DNA-registret (DNA-profiler från dömda personer) och spårregistret (DNA-profiler som inte kan hänföras till en viss person). Men i polisdatalagen finns inget stöd för att jämföra DNAprofiler i spårregistret med de DNA-profiler som finns i SKL:s elimineringsdatabas. Därför förelägger vi nu SKL att sluta jämföra DNA-profiler i elimineringsdatabasen med DNA-profiler i spårregistret, säger Nicklas Hjertonsson som lett Datainspektionens granskning. Han fortsätter: Vi har förståelse för att SKL vill minska risken för kontamination av DNA-prover, men faktum är att lagen inte tillåter sättet som SKL använder spårregistret på idag. I praktiken blir SKL:s elimineringsdatabas ett fjärde DNA-register som kan användas av polisen för att identifiera personer i brottsutredningar, helt utan stöd i lagen. Skarp kritik mot ny forskningsförordning Ett förslag till förordning har lagts fram av regeringen för att göra omfattande befolkningsbaserad forskning som exempelvis LifeGene möjlig. Datainspektionen har granskat förslaget och riktar i ett yttrande skarp kritik mot det, bland annat för att det är en förordning, som kan beslutas av regeringen, och inte ett lagförslag, som måste beslutas i riksdagen. Det är riksdagens uttalade ambition att myndighetsregister med ett stort antal registrerade och ett särskilt känsligt innehåll ska regleras i lag. Därför bör det tillsättas en statlig utredning som tar fram ett noga genomtänkt och övervägt förslag om hur denna typ av befolkningsbaserad forskning ska få stöd i lagen, säger Datainspektionens chefsjurist Hans-Olof Lindblom. En möjlig förebild skulle enligt Datainspektionen kunna vara det regelverk som finns för hälsodataregister. För sådana register finns den övergripande lagen om hälsodataregister. Med stöd av den lagen har regeringen sedan meddelat föreskrifter om särskilda register. I dessa föreskrifter anges villkor och ändamål för personuppgiftsbehandlingen i varje register. Registrering av dementa ska granskas I september förra året konstaterade Datainspektionen att det bryter mot lagen att registrera uppgifter om dementa och andra som varaktigt saknar beslutsförmåga i så kallade kvalitetsregister. För att få registrera sådana uppgifter krävs det att den demente har en legal ställföreträdare som inte motsätter sig registreringen. Myndigheten har via bland annat klagomål fått uppgifter om att dementa trots det fortsätter att registreras. Under hösten ska Datainspektionen därför granska hur Uppsala, Umeå och Älvsbyns kommun registrerar uppgifter om dementa i kvalitetsregister. Tingsrätt måste sluta med webbpublicering av namn 10 Integritet i fokus nr Datainspektionen

11 bart att det kan orsaka de berörda stort obehag att sådana uppgifter sprids, säger Datainspektionens generaldirektör Göran Gräslund. Vårdgivare respekterar inte patienternas rättigheter Trots att det har gått fyra år sedan patientdatalagen trädde i kraft så lever svenska vårdgivare inte upp till kraven i lagen. Det visar den stora granskning som Datainspektionen gjort av landstingen samt fem privata vårdgivare. Enligt patientdatalagen har patienten rätt att spärra uppgifter från att lämnas ut, dels mellan olika vårdenheter inom samma vårdgivare, dels mellan olika vårdgivare som använder sammanhållen journalföring. Datainspektionen har under flera år tagit emot klagomål från patienter som anser att det brister i hanteringen av dessa spärrar. Nästan varje dag är det patienter som hör av sig till Datainspektionen och berättar att de inte kan få sin önskan om spärr tillgodosedd av sin vårdgivare, säger Maria Bergdahl, jurist på Datainspektionen. Myndighetens granskning ger en dyster bild av hur patientdatalagen efterlevs. Ingen av de granskade vårdgivarna uppfyller sina skyldigheter gentemot patienterna fullt ut när det gäller möjligheten att spärra uppgifter. Eftersom lagen funnits i snart fyra år kan man inte längre skylla på omställningsproblem, säger Datainspektionens generaldirektör Göran Gräslund. Bristande kunskaper om lagen hos politiska partier I slutet av förra året inledde Datainspektionen en granskning av hur samtliga åtta riksdagspartier hanterar personuppgifter om medlemmar och andra personer som tagit kontakt med dem. Uppgifter som avslöjar politiska åsikter är enligt personuppgiftslagen känsliga och extra skyddsvärda. Granskningen visar att det hos samtliga partier har funnits bristande kunskaper om personuppgiftslagen och vilka regler som gäller när man hanterar känsliga personuppgifter. Men, glädjande nog, har det även funnits en stor vilja hos partierna att åtgärda bristerna, säger Gunilla Öberg som är jurist på Datainspektionen. Bland felen som upptäckts under granskningen finns: bristande information till medlemmar och andra som tar kontakt med partierna om hur deras personuppgifter kommer att hanteras och bristande IT-säkerhet för att skydda personuppgifterna. Bevakningsföretag får registrera klottrare Datainspektionen har tagit emot klagomål om att ett bevakningsföretag registrerar uppgifter om personer som gripits för skadegörelse. Enligt personuppgiftslagen är det normalt endast myndigheter som får registrera uppgifter om brott. Datainspektionens granskning visar att Storstockholms Lokaltrafik (SL) anlitar företaget för egendomsbevakning och att företaget rapporterar in skadegörelse till SL:s klotterdatabas, som Datainspektionen gav klartecken till Bevakningsföretaget har även ett eget rapportsystem för så kallade griprapporter som bland annat innehåller uppgifter om skadegörelsen och signalement på misstänkta gärningsmän. Namn eller personnummer anges dock inte. Informationen i rapportsystemet är inte strukturerad för att underlätta sökning av personuppgifter. Sökmöjligheterna är dessutom begränsade till datum. Datainspektionens bedömning är därför att bolagets interna rapporteringssystem inte är olagligt. Nja till förslag till huliganregister Förra året tillsatte regeringen en nationell samordnare med uppdrag att lämna förslag till hur brottslighet i samband med idrottsarrangemang kan motverkas. Nu har utredaren lämnat över betänkandet Mindre våld för pengarna till regeringen. I betänkandet föreslås att Riksidrottsförbundet tillåts upprätta ett centralt register över personer som fått tillträdesförbud av åklagare eller som blivit avstängda av en idrottsarrangör. Datainspektionen anser att det är bra att man lagstiftar om ett register men anser att förslaget innehåller ett antal brister och oklarheter som måste åtgärdas innan registret kan bli verklighet. Datainspektionen påpekar i sitt yttrande att många av de frågor som behandlas i betänkandet innebär intrång i människors personliga integritet. I vissa delar drabbar dessa intrång de personer som anses vara risksupportrar medan andra delar, som intensifierad kameraövervakning och personliga biljetter, påverkar även övriga besökare på ett idrottsevenemang. Därför är det viktigt att man noggrant analyserar behovet, syftet och effekterna av åtgärderna för att kunna bedöma om de eventuella vinsterna står i proportion till det integritetsintrång som åtgärderna innebär, säger Datainspektionens generaldirektör Göran Gräslund. Integritet i fokus nr Datainspektionen 11

12 Bevis från Facebook väger a För ett par år sedan var bevisning som hämtats från personers statusuppdateringar och bilder på Facebook något helt okänt för juristen Linda Bohlin. Idag förekommer det i hälften av de vårdnadstvister hon arbetar med och vissa fall utgör texter och bilder från sociala medier själva huvudbevisningen. När Linda Bohlin under 2009 höll på att slutföra sina juridikstudier och skrev sin uppsats om bevisföring hade hon aldrig hört talas om att texter och bilder från Facebook skulle kunna användas som bevis i svenska domstolar. Förra året anförde hon själv bevis från Facebook i en vårdnadstvist och helt nyligen avgjorde domstolen ett fall där tyngdpunkten i hennes egen bevisning kom från olika sociala medier. I Sverige har vi fri bevisning vilket innebär att man får presentera vilka bevis som helst i domstolen, som sedan får avgöra hur pass relevanta bevisen är. Men det är först under de senaste två åren som jurister vågat åberopa blogginlägg och meddelanden på Facebook eller Twitter som bevis, berättar Linda Bohlin. Linda är jurist på företaget Juristpunkten där ett 25-tal jurister arbetar med att hjälpa sina klienter med familjerättsliga frågor som samboavtal, bodelning, testamente och vårdnadstvister. Vanligare bland unga Det är just när det gäller vårdnadstvister som det blivit allt vanligare att använda bevis som hämtas från Internet. Linda Bohlin uppskattar att när det gäller vårdnadstvister som rör par i årsåldern så förekommer bevis från Facebook och liknande i 90 procent av de fall som hon själv arbetar med. Bevisen från sociala medier kan vara statusuppdateringar, gästboksinlägg, bilder eller incheckningar från Facebook, blogginlägg, 12 Integritet i fokus nr Datainspektionen

13 llt tyngre i vårdnadstvister meddelanden på Twitter, mejl och liknande. Det kan vara svårt att garantera äktheten i den typen av bevis. Jag brukar be min klient att själv gå in på Facebook, leta upp beviset och ta en skärmbild, ett foto kan man säga, av det. Den utskriften visar jag sedan upp i rätten. Vårdnadsutredningar väger tyngre I en vårdnadstvist väger olika bevis olika tungt. En vårdnadsutredning, då socialnämnden utreder vem av föräldrarna som är mest lämplig att ha hand om barnet, väger betydligt tyngre än en statusuppdatering på Facebook. Bevisning från Facebook används som pusselbitar för att bilda orsakssamband, där de olika bitarna sammantaget visar en bild av att motparten är olämplig som förälder. Det räcker inte med bara en statusuppdatering på Facebook där någon säger sig ha varit full dagen innan. Det första beviset som Linda själv använde från sociala medier var en bild på motpartens Facebook-sida där han sitter på en krog med en vodkaflaska i handen. Bilden är uppladdad klockan 03:41 samma natt som hans dotter, enligt hans egen utsago, ska ha sovit i hans knä i soffan. När motparten förnekade tidpunkten då bilden togs, kallades ett vittne in som kunde bekräfta att tiden stämde. I sin bevisning hade Linda dessutom flera andra liknande bevis då motparten checkat in på Bevisning från Facebook används som pusselbitar för att bilda orsakssamband Facebook från krogar vid tidpunkter då han skulle haft hand om sin dotter. Genom att påvisa att han gjort så systematiskt, vid upprepade tillfällen, fick motparten betydligt mindre umgängesrätt med sin Integritet i fokus nr Datainspektionen 13

14 För att ge en av parterna ensam vårdnad krävs tungt vägande bevisning. Idag räcker det inte med enbart bevis från Facebook, berättar Linda Bohlin. dotter än vad han begärt. Linda berättar att det i vårdnadstvister är vanligt med ful- och rackarspel mellan parterna och att barnets bästa ofta sätts i sista hand. I ett fall hade pappan fotograferat barnet och lagt ut bilden på sin Facebook-sida med kommentaren Titta vilka kläder hon köper åt min son. Ska han verkligen behöva ha så fula kläder? Både män och kvinnor letar skit Tre av fyra av Linda Bohlins klienter är kvinnor men hon menar ändå att det är förvånansvärt lika mellan män och kvinnor när det gäller att leta skit om motparten på Facebook. Helt nyligen avgjorde domstolen ett fall där huvudparten av Linda Bohlins bevisning var hämtad från Facebook och sms som motparten skickat. Bevisningen räckte inte för att Lindas klient skulle få ensam vårdnad, men däremot till en kraftigt inskränkt umgängesrätt för motparten. För att pröva värdet av bevisningen överklagade Linda till hovrätten som dock har meddelat att den inte tänker pröva målet. För att ge en av parterna ensam vårdnad krävs tungt vägande bevisning. Idag räcker det inte med enbart bevis från Facebook och bloggar men det tror jag kan förändras i framtiden. Orsaken till det, tror Linda, är både att människor blivit mer utlämnande på Internet då de tror att de är på säker mark och att domstolen blivit mer liberal i sin värdering av bevisning från sociala medier. Hade man i början av 2000-talet hänvisat till bevis hämtat från Lunarstorm, som var stort då, hade domstolen förmodligen bara skrattat. I och med Facebooks genomslagskraft har läget blivit ett annat och bevis från sociala medier kommer i framtiden att väga allt tyngre. Använder du själv Facebook? Javisst, och jag tycker att det är ett bra sätt att hålla kontakten med nära och inte så nära vänner och bekanta. Har du själv ändrat ditt sätt att uppträda på Facebook sedan du börjat använda material från sociala medier som bevisning i dina mål? I början ändrade jag inte alls mitt beteende på Facebook, utan det är något jag gjort först på senare tid. Jag har ändrat mina sekretessinställningar, så att jag verkligen har kontroll på vilka i min umgängeskrets som får se exempelvis bilder. Det är för övrigt något jag rekommenderar att alla som använder Facebook gör. Jag har även en blogg som tidigare var öppen för alla att läsa, men numera krävs det lösenord för att läsa den och jag är restriktiv med vilka som får tillgång till lösenordet. Tänk efter före Har du några råd till dem som använder Facebook förutom att ändra sekretessinställningarna? Ja, tänk efter före. Är det du tänkt skriva verkligen något som du kan stå för om fem år? Om inte, så låt bli. I amerikanska polisserier på TV säger man ofta att allt du säger kan komma att användas emot dig. När det gäller Facebook ligger det onekligen något i det. 14 Integritet i fokus nr Datainspektionen

15 hallå där... Hallå där, Anna Hörnlund......jurist på Datainspektionen. Vad är egentligen en kompromissverkstad? Haha, ja, så kan man beskriva det arbete som jag och mina europeiska kollegor bedriver i diverse arbetsgrupper. Jag är med i ett par sådana grupper med deltagare från ett 20-tal länder. Personer med olika viljor som representerar olika nationella intressen. Trots det går det ändå alltid att driva arbetet framåt. Men visst handlar det ofta om kompromisser. Din roll på Datainspektionen skiljer sig litet från övriga handläggares. Hur? De flesta handläggare på myndigheten arbetar med att utreda ärenden, som att granska organisationer som hanterar personuppgifter, eller med att yttra sig om lagförslag. Det gör jag med, men jag deltar även i en rad olika arbetsgrupper, både nationellt och i EU. På EU-nivå deltar jag i två undergrupper till den så kallade Artikel 29-gruppen som består av cheferna för respektive EU-lands dataskyddsmyndighet. Den ena undergruppen kallas för Technology Subgroup eller TS-gruppen och den andra för E-government and Biometrics. I dessa grupper arbetar vi med att ta fram så kallade opinions eller yttranden för hur det europeiska dataskyddsdirektivet ska tolkas, som 29-gruppen sedan antar. Vilka arbetsgrupper deltar du i på nationell nivå? Jag sitter bland annat med i E-delegationens expertgrupp för rättsliga frågor som exempelvis har tagit fram vägledningar för hur myndigheter kan använda sociala medier och hur uppgifter från offentliga databaser kan återanvändas i andra sammanhang. Grup- pen träffas en gång i månaden och består av en intressant blandning personer, däribland en professor, en advokat, en chefsjurist och en representant från Justitiedepartementet. Jag sitter även med i en referensgrupp och en juridisk grupp som deltar i E-legitimationsnämndens arbete med att ta fram en ny svensk modell för e-legitimation. Flera av de arbetsgrupper du deltar i handlar om e-förvaltning, som också är ett prioriterat område för Datainspektionen. Varför? E-förvaltning är något som berör i stort sett alla och som ofta involverar känsliga personuppgifter. Många gånger leder e-förvaltning till att hanteringen av personuppgifter centraliseras och till ett ökat informationsutbyte mellan myndigheter. Är det viktigt att Datainspektionen är representerad i alla dessa grupper? Ja, det är det verkligen. Genom att vara aktiva i de här arbetsgrupperna har vi en jättechans att få med integritetsaspekterna redan från början i arbetet med nya IT-system och ny lagstiftning, och då är mycket vunnet. Du sitter i många möten. Har du några tips för hur man ska hantera långa och/eller tråkiga möten? Det är faktiskt inte så många tråkiga möten, jag lovar. Det som inte är direkt jätteroligt är möten då vi går igenom något långt dokument ord för ord. Det är en nödvändig kvalitetssäkring men inte en särskilt rolig sådan. Vad är roligast i ditt jobb? Variationen. Och att det känns som om Det är roligt att kunna påverka utvecklingen av viktiga samhällstjänster, säger Anna Hörnlund om sitt jobb. man har chans att vara med och påverka utvecklingen av viktiga samhällstjänster. Det är stimulerande att arbeta med frågor som spelar roll och engagerar. Och tråkigast? Det är när man tragglar igenom texten till ett beslut för sjuttioelfte gången. Har man läst en sak tillräckligt många gånger är det inte roligt längre, särskilt inte när det gäller ens egna beslut. fakta Anna Hörnlund Yrke: Jurist och handläggare På myndigheten: sedan 2008 Familj: man och tre barn Bor: lägenhet i centrala Stockholm Senast lästa bok: Det bästa av allt av Rona Jaffe. En bok om 50-talet där mycket ändå känns aktuellt idag. Favoritmat: jag är allätare, men om jag måste svara så säger jag en riktigt god köttbit. Integritet i fokus nr Datainspektionen 15

16 sista ordet... Står Datainspektionen på bråkmakarnas sida? Helt nyligen blev en av juristerna här på Datainspektionen intervjuad i radio. Anledningen var att vi yttrat oss om förslaget att Riksidrottsförbundet ska få upprätta ett centralt register över huliganer så att dessa kan stängas ute från matcherna. Vi ställde oss positiva till att man lagstiftar om ett sådant register men ansåg också att det förslag som lagts fram innehöll ett antal brister och oklarheter som måste åtgärdas innan registret kan bli verklighet. Intervjun gick bra, trots att journalisten grillade juristen med svåra frågor. Kan man inte tumma litet på skyddet av den personliga integriteten när syftet är att stänga ute bråkmakare? Vilka tycker egentligen Datainspektionen det är viktigt att skydda: bråkmakarna eller den vanliga publiken? Det här är inte första gången vi konfronteras med dessa svårbesvarade frågor och alldeles säkert inte den sista. Visst kan det ibland verka som om Datainspektionen är en paragrafryttare som sätter sig på tvären och bromsar exempelvis kameraövervakning och huliganregister som skulle kunna skydda vanligt hederligt folk. Själv brukar jag tänka ska man göra det, så ska man göra det rätt och det resonemanget gäller inte minst detta föreslagna huliganregister. Ett sådant register kan innehålla personuppgifter som rör brott, det vill säga uppgifter som är extra känsliga och skyddsvärda. Det finns också en risk att personer felaktigt pekas ut som huliganer och att uppgifter från registret läcker ut till obehöriga. Därför är det viktigt att man redan från början har tänkt igenom ett sådant här register mycket noggrant och att lagstiftningen som omger registret inte innehåller några oklarheter som kan feltolkas i framtiden. Så Datainspektionen sysslar inte med att skydda bråkmakare och huliganer, utan fungerar som en kvalitetskontroll som säkerställer att man gjort en noggrann vägning av för- och nackdelar och bedömt att detta register verkligen behövs och att syftet med registret uppnås med ett så litet intrång i den personliga integriteten som möjligt. Petigt eller inte, det är vårt uppdrag. Visst kan det ibland verka som om Datainspektionen är en paragrafryttare som sätter sig på tvären Göran Gräslund Generaldirektör Datainspektionen Datainspektionen, Box 8114, Stockholm Nästa nummer kommer i december