Datainspektionens tidning nr 4/2012 Nu börjar polisen spana på Facebook Europa går samman i kritik mot Google Försäkringsbolag vill övervaka körstil Den svarta lådan för bilar håller koll på din hastighet Med korsord till julen!
omvärlden Integritet i fokus produceras av Data inspektionen Box 8114, 104 20 Stockholm Tfn 08-657 61 00 (växel) www.datainspektionen.se Ansvarig utgivare Göran Gräslund Redaktör Per Lövgren Formgivning Fredrik Karlsson Tryck Tryckt hos Ineko AB i Årsta på Arctic Volume White papper. Miljömärkt trycksak 341142. ISSN 2000-5857. Kontakta redaktionen Har du synpunkter, tips på artiklar eller frågor om tidningen? Mejla till redaktionen@datainspektionen.se. Gratis prenumeration En prenumeration på Integritet i fokus är gratis. Lättast anmäler du dig på vår webbplats. Integritet i fokus kan även laddas ner i pdf-format från vår webbplats. Tidningen kommer ut fyra gånger per år. Besök www.datainspektionen.se På vår webbplats kan du läsa mer om integritetsfrågor. Passa även på att prenumerera på vårt nyhetsbrev så får du pressmeddelanden och annat aktuellt från Datainspektionen. Rätt svar i korsordet på sidan 14 är data i molnet och god jul. Facebook stänger av ansiktsigenkännning Efter kritik från dataskyddsmyndigheterna i EU har Facebook bestämt sig för att stänga av sin kontroversiella funktion för ansiktsigenkänning i EU. Funktionen använder sig av information från redan taggade foton och föreslår sedan taggar på ansikten den känner igen i nya bilder som laddas upp till Facebook. Den irländska motsvarigheten till Datainspektionen granskade i slutet av förra året Facebook och uppmanade då bland annat att funktionen för ansiktsigenkänning skulle stängas av. I september i år meddelade den irländska myndigheten att Facebook åtgärdat det mesta av kritiken från förra årets granskning. Fortfarande kvarstår viss kritik som att Facebook måste ta fram en funktion för att fullständigt och oåterkalleligt radera ett användarkonto inom 40 dagar från att användaren begärt det. Kommissionen vill använda asylsökandes fingeravtryck Den europeiska datatillsynsmannen (EDPS) riktar kritik mot ett nytt förslag för hur den så kallade Eurodac-databasen ska få användas. Eurodac är en databas över fingeravtryck från alla personer över 14 år som sökt asyl i någon av EU:s medlemsstater, Island, Norge eller Schweiz. Databasen ska förhindra så kallad asylshopping, vilket innebär att en asylsökande tar sig in i EU via ett land men sedan söker asyl i ett annat land. EU-kommissionen har nu lagt fram ett förslag att brottsutredande myndigheter ska få leta efter fingeravtryck i databasen. Den europeiska datatillsynsmannen menar att databasen förvisso skulle kunna vara ett användbart verktyg för att bekämpa brott men att förslaget innebär ett allvarligt intrång i rättigheterna för en utsatt grupp människor som är i behov av skydd. EDPS vill att kommissionen lägger fram bevis och pålitlig statistik som visar på behovet av att förslaget genomförs. Unik europeisk kritik mot Google Tisdagen den 16 oktober skickade CNIL, den franska motsvarigheten till Datainspektionen, ett brev till Google. Brevet riktade kritik mot Googles sätt att hantera personuppgifter och var underskrivet av cheferna för samtliga dataskyddsmyndigheter i EU:s 27 medlemsstater. Det är första gången som dataskyddsmyndigheterna i Europa går samman på det här sättet. Kritiken mot Google består bland annat av att företaget inte tillräckligt informerar alla som använder företagets tjänster om hur deras personuppgifter kan komma att användas. Företaget ger heller inte användarna kontroll över hur deras personuppgifter från olika Googletjänster samkörs. Dessutom vill företaget inte vill tala om hur länge insamlade personuppgifter kommer att sparas. Här hittar du fler nyheter Vill du veta mer om vad som händer med skyddet av den personliga integriteten och andra digitala medborgerliga rättigheter? Anmäl dig till nyhetsbrevet från organisationen European Digital Rights. Nyhetsbrevet kommer varannan vecka. www.edri.org 2 Integritet i fokus nr 4-2012 Datainspektionen
sverige Jurist gjorde olaglig dataslagning En kommunjurist bröt mot lagen när hon i privat syfte kollade en ung kvinnas inkomst, rapporterar Helsingborgs Dagblad. Orsaken till slagningen ska vara att juristen var involverad i en tvist med sin exmake, som är den unga kvinnans pappa. Juristen har fått ett strafföreläggande på 50 dagsböter à 230 kronor, sammanlagt 11 500 kronor. Juristen har godkänt böterna vilket innebär att hon slipper rättegång. Skadestånd för felskickad deklaration En kvinnas inkomstdeklaration har av misstag följt med en annans persons deklaration och därmed skickats till fel mottagare. Kvinnan har begärt skadestånd av staten då hon anser att hennes personliga integritet har kränkts eftersom andra personer har haft möjlighet att ta del av hennes inkomst- och personuppgifter. Justitiekanslern anser att hanteringen av kvinnans personuppgifter skett i strid med personuppgiftslagen och har beslutat att kvinnan ska få 3 000 kronor i ersättning, skriver Dagens Juridik. Kameran som ska spela in hela ditt liv Det svenska företaget Memoto söker pengar för att utveckla en helt ny typ av kamera. Memoto-kameran är en pytteliten kamera med inbyggd GPS som du alltid ska bära med dig. Så fort du snäpper fast den på skjortan eller jackan, börjar den att ta bilder, två per minut. För varje bild registreras när och var den togs. Kameran och den tillhörande mobilappen ska ge dig bilder av varje ögonblick av ditt liv. För tekniknörden kan sägas att kameran har fem megapixels upplösning och att kamerans minne rymmer 4 000 bilder eller två dagars livsdokumentation. Om och i så fall när kameran blir verklighet återstår att se. Över 800 anmälda fall av stalkning Nu har lagen om olaga förföljelse, i dagligt tal kallat stalkning, funnits i ett år. Brottet kan ge upp till fyra års fängelse och hittills har över 800 anmälningar gjorts, rapporterar polisen i ett pressmeddelande. Samtidigt som lagen om olaga förföljelse trädde i kraft blev det också möjligt för åklagare att besluta om särskilt utvidgat kontaktförbud med elektronisk fotboja. I oktober meddelande polisen att man inom kort skulle skriva avtal med en leverantör av elektronisk fotboja och att förhoppningen är att den ska vara i drift vid årsskiftet. Syftet med fotbojan är framförallt att förebygga brott. Om gärningsmannen bryter kontaktförbudet larmas polisen som då kan rycka ut. Det ökar också möjligheterna att lagföra personen eftersom det finns teknisk bevisning, säger polisen. Butik la upp film med tjuvar på Facebook Efter att ha fått datorer för nästan 50 000 kronor stulna, lade ett gotländskt företag ut en film från sin övervakningskamera på Facebook. På filmen ser man de tre misstänkta datortjuvarna tillsammans med texten Är du orolig för att bli övervakad på nätet? 31% Ja, jag gör allt för att skydda mig Ja, men jag gör inget åt det Nej 40% 29% Antal röstande: 6 425 Fråga på DN.se i samband med en artikel om att många organisationer lämnar ut information om webbesök till Google genom att använda företagets tjänst för besöksstatistik, Google Analytics. Känner någon igen dessa tre herrar? De misstänkta tjuvarna greps samma kväll av polisen. Enligt Gotlands Allehanda förekommer även andra kunder på filmen. Företaget i fråga tog bort filmen från sin Facebook-sida efter att männen gripits. Företagets chef berättar för tidningen att det var lång telefonkö till polisen och att han därför la upp filmen på Facebook för att se om det fick någon effekt. Diskuterade ni om det var lagligt att lägga ut bilder från övervakningskameran på nätet, frågar tidningens journalist företagets chef. Vi hade en diskussion om det i efterhand. Men syftet med kameran är att förhindra stöld, och det var i precis det syftet vi visade bilderna. Integritet i fokus nr 4-2012 Datainspektionen 3
Försäkringsbolag vill övervaka hur du kör Vi mäter något av det mest integritetskänsliga för en bilist, hur fort man kör, säger Maria Krafft, forskningschef på Folksam. Folksam vill införa en bilförsäkring där storleken på premien bestäms av hur bra den försäkrade bilen körs. För att det ska vara möjligt måste speciell utrustning installeras i bilen som registrerar hur bilen körs och rapporterar detta till försäkringsbolaget. Är detta framtiden? Och hur övervakade känner sig bilisterna? Är du man, i 20-årsåldern och bor i en storstad? I så fall spelar det i princip ingen roll hur bra och försiktigt du kör din bil. Du kommer ändå att få betala högsta möjliga premie för din bilförsäkring. Storleken på premien ska spegla din risk som förare. I dag beräknar vi premien utifrån statistik och hur mycket du betalar avgörs i princip av tre faktorer: kön, ålder och var du bor. Det är ett trubbigt sätt att beskriva försäkringsrisken, säger Maria Krafft. Maria Krafft är forskningschef för områdena trafik och miljö på försäkringsbolaget Folksam. Hon berättar att utvecklingen under de senaste 15 åren till stor del handlat om att bygga säkrare bilar och få kunderna att välja dessa bilar. Ett annat forskningsområde har varit att skapa säkrare vägar, bland annat genom utvecklingen av vajerräcken som minskar antalet olyckor med svåra personskador. Sänkt fart leder till färre olyckor Det vi tittar på nu är frågan: hur kan vi påverka förarna att köra mer säkert och grönt? Och hur kan vi koppla förarens beteende i trafiken till försäkringspremien? Krafft berättar att forskning visar att om man kan sänka medelhastigheten på svenska vägar med bara 2 3 kilometer i timmen, så kommer det att leda till 50 60 färre olyckor med dödlig utgång per år. Folksam har tillsammans med Salus Ansvar, Motorförarnas Helnykterhetsförbund och Trafikverket dragit igång ett projekt för att undersöka om en ny sorts bilförsäkring skulle kunna stimulera till en säkrare körstil och sänkta hastigheter. Testades på privatbilister I mars 2011 inleddes ett försök med 250 frivilliga privatbilister. I deras bilar monterades en speciell utrustning som består av en GPS och mobiltelefon. GPS-mottagaren mäter kontinuerligt var bilen befinner sig. Bilens position jämförs med en vägdatabas som innehåller uppgifter om vilken hastighetsbegränsning som gäller på Sveriges vägar. Bilens hastighet jämförs med den gällande hastighetsbegränsningen. Via mobiltelefonen i utrustningen rapporteras uppgifterna till Folksam. I testet delades bilisterna in i två grupper: en testgrupp och en kontrollgrupp. För förarna i testgruppen installerades mätutrustning i bilens motorrum. Dessutom installerades en display vid instrumentbrädan. På displayen visas hur föraren kör och vilken hastighetsbegränsningen är. Håller man hastigheten visas en grön symbol, kör man för fort visas en röd symbol och befinner man sig på gränsen visas en gul symbol. När man kört klart visas ett sammanfattande diagram över hur stor del av körsträckan som varit röd, gul och grön. För bilisterna i kontrollgruppen installerades enbart mätutrustningen i motorrummet och alltså ingen display vid förarplatsen. Våra tester visar att den omedelbara 4 Integritet i fokus nr 4-2012 Datainspektionen
återkopplingen som displayen ger var helt avgörande för hur bilisterna körde. För testgruppen med display halverades antalet fortkörningar. I de fall man körde för fort så körde man inte lika mycket för fort som bilisterna i kontrollgruppen. Om alla bilister i Sverige använde den här typen av utrustning så skulle över 40 liv kunna räddas varje år och 300 svåra personskador undvikas, menar Maria Krafft. Lägre bränslekostnader Utrustningen skulle även kunna ge andra fördelar. För testpersonerna ledde en bättre körstil till 2 000 kronor lägre bränslekostnader och 950 kronor i sänkta försäkringspremier. Testerna visade att bilisterna i testgruppen kom fram i snitt en minut senare per körtimme än kontrollgruppen. Färre dödliga olyckor, färre svåra olyckor, sänkta kostnader, minskad miljöpåverkan. Ja, fördelarna tycks vara många med att installera utrustning i bilen som registrerar hur bilen körs och som varnar när man kör för fort. Men vad ligger i den andra vågskålen? Maria Krafft berättar att ungefär en av tio av testpiloterna uppgav att utrustningen gjorde att de inte kände sig lika fria som tidigare. Vi mäter ju något av det mest integritetskänsliga för en bilist, hur fort man kör. Hon fortsätter: När vi berättar om den här tänkta försäkringen och om utrustningen som installeras i bilen är reaktionen ofta: Oh nej, bilen är den sista utposten där jag kan känna mig riktigt fri. Sedan börjar man tänka efter och ser fördelar, som att tekniken gör det möjligt att betala en mer rättvis premie som bygger på hur man faktiskt kör och inte hur gammal man är eller var man bor. Den gröna symbolen indikerar att man håller gällande hastighet, i det här fallet 50 kilometer i timmen. Bilen upplevs som den sista utposten där man kan känna sig riktigt fri Integritet i fokus nr 4-2012 Datainspektionen 5
Frivilligheten var avgörande I oktober beviljade Datainspektionen Folksams ansökan att få registrera personuppgifter som kan röra brott (i det här fallet fortkörningar). Avgörande faktorer i vår bedömning är att det är frivilligt att använda det här försäkringsupplägget och att bolaget inte får använda uppgifterna till något annat än att beräkna försäkringspremien, säger Martin Brinnen, jurist på Datainspektionen. Martin Brinnen. I testprojektet registrerar utrustningen i bilen var och när bilen körs. Den informationen raderas dock innan försäkringsbolaget kan ta del av uppgifterna. I princip är det bolaget kan se mängden grön, gul och röd körtid som fordonet haft och körd sträcka. Vanligt i andra länder Enligt Maria Krafft används den här typen av försäkring/ utrustning redan i bland annat USA, England och i länder i södra Europa. Utomlands finns det två olika typer av försäkringslösning: Pay-As- You-Drive där premien bestäms av hur långt man kör, och Pay-As-You-Speed som prissätts utifrån hur ofta/mycket försäkringstagaren kör för fort. Det absolut vanligaste ska enligt Krafft vara att premien är länkad till körd sträcka. I flera länder använder man information som samlats in via utrustningen för att utreda stölder och bedrägerier. Vår lösning i Sverige kommer enbart att användas för att mäta om föraren följer gällande hastighetsbegränsningar och kommer inte att användas för andra försäkringsärenden. Som redan nämnts kände var tionde testperson att friheten blev inskränkt på grund av mätutrustningen. Av de som deltog i studien var 75 procent positiva till en hastighetskopplad försäkring. Runt tio procent av deltagarna lyckades inte ändra sin körstil tillräckligt för att sänka sin premie. Maria Krafft berättar att Folksam har som mål att ta fram en färdig försäkringsprodukt till 2014. Redan vid årsskiftet 2012/2013 blir dagens trubbiga verktyg ännu trubbigare eftersom försäkringsbolagen då inte längre får sätta premier utifrån försäkringstagarens kön. Dyr utrustning Det återstår en hel del arbete innan den nya försäkringen är på plats. Den svenska vägdatabas som innehåller uppgifter om gällande hastigheter har visat sig vara för ojämn. Dessutom är den utrustning som använts vid testet för dyr för att använda i stor skala. Nu undersöker vi olika alternativ, som att leasa utrustning själva, att samarbeta med tillverkarna av den GPS-utrustning som numera sitter i nya bilar eller att utveckla en app för smarta mobiler. Krafft tror att den här typen av försäkringar kan intressera privatbilister som är pris- och/ eller miljömedvetna men även företagsflottor där man vill sänka försäkringskostnaderna. Även de som inte väljer en försäkring med det här upplägget kan komma att dra nytta av den. Förändrar vissa bilister sitt körbeteende så kommer även övriga bilister att påverkas eftersom trafikflödet som alla bilister anpassar sig till förändras. 6 Integritet i fokus nr 4-2012 Datainspektionen
Ta ansvar för de molntjänster ni använder Har Datainspektionen verkligen gett Microsofts molntjänst grönt ljus? ITsäkerhetsspecialist Adolf Slama reder ut begreppen. Datainspektionen ger Azure grönt ljus. Godkännandet av Azure som molntjänst är det första i sitt slag i Sverige. Oron har stillats. Det här är tre exempel på rubriker som man kunnat läsa i teknikpressen under hösten. Men stämmer det? Har Microsofts molntjänst fått ok från Datainspektionen? Vi frågade Adolf Slama, IT-säkerhetsspecialist på myndigheten. Det är tyvärr en lite skev bild som vuxit fram i massmedia, och som bottnar i vår granskning av hur ett företag använder Microsofts molntjänst. Det vi godkände var hur just det företaget använder molntjänsten och vilka åtgärder just det företaget vidtagit för att det ska uppfylla kraven i personuppgiftslagen. Vad gjorde att Datainspektionen godkände företagets användning av Microsofts tjänst? Efter vår första granskning krävde vi att företaget måste kunna få ta del av loggarna från Microsofts molntjänst. Detta för att kunna utreda vilka som kommer åt företagets uppgifter och kunna upptäcka obehörig åtkomst. Dessutom måste företaget få veta vilka underleverantörer som Microsoft i sin tur använder sig av för att kunna leverera sin tjänst. Det granskade företaget lyckades tillsammans med Microsoft att uppfylla de här kraven. Används på olika sätt Men kan inte andra företag ha nytta av vad vi kom fram till i den här granskningen? Nja, problemet är att det är mycket svårt att uttrycka sig generellt eftersom alla organisationer registrerar olika känsliga personuppgifter, olika mängder personuppgifter och använder uppgifterna på olika sätt. Varje organisation som överväger att använda molntjänster måste göra en bedömning av om det tänkta sättet att använda molntjänsten är lagligt eller inte. Den bedömningen grundar sig bland annat på om avtalet med leverantören av molntjänsten är utformat så att det finns risk för att personuppgifter kan komma att behandlas för andra ändamål än det som kunden tänkt. Kunden måste också göra en riskoch sårbarhetsanalys som bedömer vilka säkerhetsåtgärder som måste vidtas för att skydda personuppgifterna som ska lagras i molnet, och om molntjänstleverantören kan tillhandahålla den nivå av säkerhet som krävs. Dessutom måste det finnas ett så kallat personuppgiftsbiträdesavtal med molnleverantören. Granskar den som är ansvarig Är det inte bättre om Data inspek tionen i stället granskar Microsoft och får fram en bedömning som kan användas av alla organisationer som vill använda företagets molntjänst? Det är det företag, kommun, landsting, vårdgivare, skola eller annan organisation som samlar in personuppgifter och bestämmer hur dessa uppgifter ska användas, som i lagens mening också är ansvarig för den hanteringen. När vi kontrollerar att personuppgiftslagen följs så granskar vi alltid den så kallade personuppgiftsansvarige. I fallet med molntjänster så är Microsoft, Google och andra molnleverantörer inte personuppgiftsansvariga, utan enbart biträden. Man kan se Datainspektionens uppdrag litet som en trafikpolis. Vår roll är inte att granska biltillverkaren. Det är först när någon kör bilen som vi kan bedöma om den körs på ett lagligt sätt eller inte. I media har det vuxit fram en skev bild av vad Datainspektionen egentligen har granskat. Den som använder molntjänster måste ta ansvar för det och följa våra riktlinjer, säger Adolf Slama, ITsäkerhetsspecialist på Datainspektionen. Integritet i fokus nr 4-2012 Datainspektionen 7
Nu tar polisen spaningsarbe Att folk spanar på varandra på Facebook är ingen nyhet, menar den kanadensiska forskaren Dan Trottier. Mindre känt är att vanlig polis och underrättelsetjänst spanar på vad som sker på de sociala nätverk som du själv använder. Hur bedriver polis och säkerhetspolis spaning på sociala nätverk som Facebook? Och vad tycker dataskyddsmyndigheter som Datainspektionen om denna spaning? Det är frågor som ställs av den kanadensiska forskaren Dan Trottier i det nya EU-finansierade projektet Respect. Respect står i det här fallet för Rules, Expectations & Security through Privacy- Enhanced Convenient Technologies vilket fritt översatt blir regler, förväntningar och säkerhet med integritetsskyddande tekniker. Projektet ska bland annat ta reda på hur olika övervakningssystem används för att förebygga och minska brottslighet, säkra bevis och förbättra möjligheten till åtal för brott och terrorism. Det ska undersöka om övervakningssystemen som finns i Europa är effektiva, vad Europas invånare tycker om övervakningssystem och ge vägledning om hur man kan balansera rätten till privatliv med behovet av övervakning. Bland övervakningssystemen som ska undersökas finns smart CCTV (övervakningskameror som automatiskt kan känna igen och identifiera personer som filmas) och automatiska system för avläsning av nummerskyltar på bilar. 8 Integritet i fokus nr 4-2012 Datainspektionen
Efter kravallerna i London förra året analyserades Twitter-meddelanden för att återskapa händelseförloppet som satte igång kravallerna. tet till sociala media Ett av delprojekten är att undersöka hur polis och underrättelsetjänst använder information från sociala nätverk som Facebook och Twitter för sin kriminalunderrättelseverksamhet, förklarar Dan Trottier. Dan Trottier är kanadensare men bor sedan februari i Uppsala där han arbetar som forskare i Respect-projektet. Dan menar att det faktiskt finns en medvetenhet hos de som använder Facebook om att de är övervakade på olika sätt. Jag doktorerade 2006 och undersökte i min doktorsavhandling hur olika kategorier av människor använde Facebook. Redan då förekom olika former av övervakning. På den tiden var det mest den akademiska världen som använde Facebook. Det förekom cyberstalking då studenter stalkade andra studenter. Personal på institutioner kunde spionera på studenter och det började dyka upp företag som marknadsförde varor och tjänster via olika former av övervakning av vad som skedde på det sociala nätverket. Började på gräsrotsnivå Det som hänt sedan dess är att polis och underrättelsetjänster börjat intressera sig för att bedriva spaning på sociala nätverk som Facebook och Twitter. Trottier menar att det började på gräsrotsnivå med enskilda poliser som själva använde Facebook för att hålla kontakten med vänner och som kom på idén att göra samma sak för att hålla kontakten med brottslingar. Men numera finns det verktyg som gör denna typ av spaning fast i betydligt större Integritet i fokus nr 4-2012 Datainspektionen 9
Det man skriver på Facebook påverkar inte bara en själv, utan även andra personer som man skrivit om, gillat, kommenterat eller taggat i bilder, säger forskaren Dan Trottier. foto: salomeh fanaei skala. I grund och botten är den här typen av spaning möjlig på grund av att folk inte vet hur pass publika deras egna uppgifter är. Dan Trottier listar en rad olika typer av verktyg som används för nätspaning. Händelserekonstruering är ett av dessa verktyg. Det användes bland annat efter upploppen i London förra året. Meddelanden från Twitter samlades in och analyserades. Med hjälp av avancerad mjukvara kunde man använda meddelandena för att återskapa händelseförloppet som satte igång kravallerna. Efter ett upplopp i Vancouver i samband med en hockeymatch samlade polisen in bilder som lagts upp på bland annat Facebook och använde ansiktsigenkänningsprogram för att identifiera förövare på bilderna. Trottier berättar också om sentiment analysis eller känsloanalys. Från början användes den typen av mjukvaruanalys för att ta reda på om kunder var nöjda eller missnöjda med en viss produkt. Numera kan det användas för att analysera hur en persons åsikter i form av statusuppdateringar på Facebook förändras över tiden för att upptäcka exempelvis en blivande terrorist. Han talar också om open source intelligence vilket fritt kan översättas till öppet spioneri. Det är verktyg som automatiskt samlar in all publik information från exempelvis Facebook. I förra numret av tidningen kunde du läsa om webbplatsen WeKnowWhatYoureDoing.com som är ett utmärkt exempel på öppet spioneri. Hur polis och underrättelsetjänster spanar på sociala nätverk är ett delprojekt i det större Respect-projektet. Delprojektet leds från institutionen för informatik och media vid Uppsala universitet. Dan Trottiers uppgift är att kartlägga läget i Sverige. Forskare vid universitet i bland annat England, Holland, Tyskland och Slovenien kommer att göra samma sak i sina respektive länder. Hela Respect-projektet ska vara slutfört 2015 medan delprojektet om sociala nätverk ska vara färdigt i mitten av nästa år. Delprojektet ska mynna ut i en rapport med en inventering av de olika övervakningstekniker som finns för sociala nätverk, en bedömning av kostnaden för en viss övervakningsmetod i relation till hur effektiv den är och en bedömning av hur skyddet av privatlivet påverkas av dessa övervakningsmetoder. Främst i totalitära regimer Dan Trottier menar att övervakning av sociala medier främst används i totalitära regimer men påpekar också att företagen som utvecklar verktygen för övervakningen ofta finns i Europa eller USA. Jag tror också att vi kommer att få se en glidning i var man övervakar sociala nätverk. 10 Integritet i fokus nr 4-2012 Datainspektionen
Kan inte bara köra med trålen över havet När Dan Trottier besökte Datainspektionen träffade han juristen Nicklas Hjertonsson man samlar in information om personer som den av information finns det alltid en risk att som ansvarar för myndighetens granskning är helt irrelevanta för utredningen. Det går av bland annat polis och säkerhetspolis. alltså inte bara att köra med trålen över havet Vad krävs för att polisen ska få samla in information på exempelvis Facebook? suga på den informationen. och samla in information och sedan sitta och - Det måste finnas stöd i lagen för all information som polisen samlar in, oavsett hur på sidan 15. Du kan läsa mer om Nicklas Hjertonsson den samlas in. Då man kartlägger stora flö- Nicklas Hjertonsson fakta Se bara på användningen av förarlösa drönarplan. Till en början användes de enbart på platser som Afghanistan. Numera används de i bland annat Kalifornien för att övervaka folksamlingar och i England för att övervaka konserter. Information som rostar Det utvecklas verktyg för att övervaka sociala nätverk men sker det någon utveckling åt andra hållet, för att motverka övervakning? Trottier listar ett par tänkbara tekniker. I dag måste man själv säga till om man inte vill bli kartlagd av exempelvis de företag som visar annonser på nätet. I stället skulle man kunna vända på steken så att ingen kan kartläggas av annonsföretagen om de inte själva går med på det. Ett annat alternativ är att bygga in integritetsskydd i de sociala nätverken som gör att information rostar och försvinner efter en viss, bestämd tid. Dan Trottier använder själv Facebook. Kanske borde jag inte göra det, men samtidigt, om jag forskar om det så måste jag också ha en närvaro där. Det finns mycket positivt med Facebook men samtidigt är det dessa positiva saker som är en risk sett ur övervakningssynpunkt. Han fortsätter: Vi tänker inte på hur vi beter oss på Facebook. Jag gör en statusuppdatering på min vägg och så glömmer jag den. Det vi inte tänker på är att det nu finns verktyg som gör det lätt att sammanställa dessa meddelanden och komma ihåg dem. Skulle man göra en känsloanalys över de statusuppdateringar jag skrivit under de sex år jag varit med i Facebook så vet jag inte alls om jag skulle gilla resultatet. Dan påpekar också att det man skriver på Facebook inte bara påverkar en själv, utan även kan påverka andra personer som man skrivit om, gillat, kommenterat eller taggat i bilder. Tänker på employability Redan 2006, då jag presenterade min doktorsavhandling, kunde jag se att studenter som använde Facebook började ändra sitt beteende med hänsyn till employability, alltså med tanke på hur blivande arbetsgivare skulle kunna uppfatta dem på det sociala nätverket. Dan Trottier berättar om en person som gjort en statusuppdatering på Facebook och då fått en uppmuntrande kommentar från sin mamma. Personen ringde upp sin mamma och undrade hur i all sin dar hon kunde se och kommentera vad hon skriver på Facebook. Men, du accepterade ju min vänförfrågan för länge sen, svarade mamman. Jag tycker det säger mycket om de risker man tar på sociala nätverk. Vilka är det egentligen som hör det man säger där? Läs mer om projektet här: respectproject.eu Integritet i fokus nr 4-2012 Datainspektionen 11
nytt från datainspektionen Barnklinik spelar in alla samtal På barnkliniken vid Ystads lasarett spelas alla inkommande samtal in. Även vissa utgående samtal spelas in. Inspelningarna sparas i minst tre år. Syftet är att i efterhand kunna ta reda på vilken information som patienterna fått av personalen. Dessutom vill man minska mängden hot och otrevligheter som riktas mot de som arbetar i telefonrådgivningen. Hittills har kliniken inte behövt granska något sparat telefonsamtal. Inspelning av telefonsamtal innebär ett integritetsintrång för såväl patienter som anhöriga och anställda. För att det ska vara lagligt måste det finnas ett påtagligt behov av systematisk kvalitetssäkring som inte kan lösas på något annat, mindre integritetskänsligt sätt. Kliniken har inte visat att det finns ett sådant behov som motiverar att alla samtal spelas in, säger Katarina Högquist, jurist på Datainspektionen. Sjukhus åtgärdar brister efter tillsyn I april i år riktade Datainspektionen kritik mot brister i Akademiska sjukhusets IT-system som gjorde det omöjligt att kontrollera om läkare missbrukar sin möjlighet att läsa patientjournaler. Landstinget i Uppsala har sedan dess återkommit med en plan på åtgärder som ska rätta till bristerna. Landstinget genomför en behovsoch riskanalys av den kritiserade journalfunktionen. Sättet som man delar ut behörighet att komma åt journalsystemet håller på att ses över. Läkarstuderande får inte längre se vyn läkaranteckningar i journalsystemet. Leverantören av journalsystemet har ändrat det så att loggningen av vem som öppnat en viss anteckning verkligen fungerar. Folkpartiet måste skydda uppgifter bättre Datainspektionen har undersökt hur samtliga åtta riksdagspartier hanterar personuppgifter om medlemmar och andra personer som tagit kontakt med dem. Uppgifter som avslöjar politiska åsikter är enligt personuppgiftslagen känsliga och extra skyddsvärda. I somras redovisades resultatet från sju av granskningarna och nu är myndigheten även klar med kontrollen av Folkpartiet. Myndigheten konstaterar att Folkpartiet inte lever upp till de krav som ställs på säkerheten när känsliga personuppgifter hanteras. Idag kan användare via Internet komma åt personuppgifter i partiets centrala medlemsregister genom att enbart ange användarnamn och lösenord. Men när den här typen av känsliga uppgifter hanteras i öppna nät som Internet så krävs säkrare sätt att identifiera användarna. Därför förelägger vi nu Folkpartiet att införa så kallad stark autentisering som bygger på exempelvis engångslösenord eller e-legitimation, säger Datainspektionens IT-säkerhetsspecialist Adolf Slama. Samma brist upptäcktes även hos flertalet av de övriga granskade riksdagspartierna. Nej till CSN:s hälsostatistik över studenter Enligt ett förslag ska CSN kunna sammanställa statistik över studenters hälsa. Datainspektionen är kritisk till förslaget och anser att det är så knapphändigt formulerat att det är svårt att utläsa varför hälsostatistik måste föras på individnivå. Datainspektionen riktar även kritik mot att förslaget innebär att personuppgifter om enskildas hälsotillstånd får behandlas för det vitt formulerade ändamålet att framställa statistik över studiestöd. Inspektionen saknar dessutom en närmare bedömning av hur de som finns registrerade hos CSN ska informeras om att deras känsliga uppgifter kommer att användas för att framställa statistik. Företag får inte ha central klotterdatabas Ett företag har vänt sig till Datainspektionen och begärt undantag från den regel i personuppgiftslagen som säger att det normalt endast är myndigheter som får hantera uppgifter om brott och misstänkta brott. Företaget registrerar idag klotter åt flera olika uppdragsgivare för att polisanmäla skadegörelsen. Bland företagets kunder finns kommuner, landsting och myndigheter inom transportområdet. Företaget vill nu registrera fler uppgifter och skapa en central klotterdatabas som omfattar alla de uppgifter som företaget samlar in för sina olika kunders räkning, detta för att bättre ta 12 Integritet i fokus nr 4-2012 Datainspektionen
tillvara kundernas skadeståndsanspråk och underlätta polisens utredning. Datainspektionen konstaterar i sitt svar på företagets ansökan att företaget på så sätt skulle bygga upp ett register med en omfattande mängd personuppgifter om brott och misstänkta brott. När personuppgiftslagen inrättades var lagstiftarens tanke att andra än myndigheter endast i undantagsfall ska få hantera sådana uppgifter. Därför har Datainspektionen en restriktiv hållning till att dela ut den här typen av undantag. Det gör att vi säger nej i det här fallet, säger myndighetens generaldirektör Göran Gräslund. Bankernas appar måste bli säkrare Datainspektionen har granskat ett par olika bankers appar. Myndigheten anser att sättet som bankerna använder för att identifiera kunden (personnummer plus pinkod) är för osäkert och vill att bankerna inför säkrare sätt för kunderna att logga in. Via bankernas appar går det att se lån, betalningar och andra transaktioner som genomförts på en kunds konton. Det gör det möjligt att kartlägga personens förehavanden i detalj, säger Adolf Slama som är IT-säkerhetsspecialist på Datainspektionen. Datainspektionen vill att bankerna redovisar hur de ska införa säkrare inloggningar i sina appar. De tre banker som undersökts är Nordea, Handelsbanken och Danske bank. Besluten för dessa banker är vägledande även för övriga banker. Vår förhoppning är att resultatet från vår granskning kommer att mynna ut i en form av branschstandard som höjer säkerheten i samtliga bankers appar, säger Adolf Slama. Gå på kurs hos Datainspektionen Oavsett om du arbetar inom offentlig, privat eller ideell verksamhet har Grundkurs i personuppgiftslagen du nytta av kunskaper om personuppgiftslagen. Anmäl dig till en av Ett måste för alla som behöver kunskap om personuppgiftslagen. Datainspektionens kurser så får du utbildning av experterna inom området. 19 mars samt 14 maj i Stockholm Kurs för personuppgiftsombud Fokus på informationssäkerhet En tvådagars grundkurs där du får Lär dig mer om kraven på säkerhetsåtgärder som personuppgifts- personuppgiftsombud. lära dig vad det innebär att vara lagen ställer på IT-system. 19 20 mars samt 11 april i Stockholm 14 15 maj i Stockholm Anmäl dig på www.datainspektionen.se/utbildning Arbetslivet Konferens! Hur får man behandla personuppgifter i arbetslivet? En konferens för dig som är jurist, förhandlare, ombudsman eller motsvarande på en arbetsgivarorganisation, branschorganisation eller fackförbund. 12 februari i Stockholm Integritet i fokus nr 4-2012 Datainspektionen 13
Trevlig helg och gott nytt år önskar redaktionen! Rätt svar på korsordet hittar du på sidan 2.
hallå där... Hallå där, Nicklas Hjertonsson......jurist på Datainspektionen med ansvar för granskningen av polisen. Hur ska lilla Datainspektionen kunna granska stora Polisen? Ett av Datainspektionens uppdrag är att granska hur myndigheter som Polisen, Försvarsmakten, Säkerhetspolisen och Försvarets Radioanstalt hanterar personuppgifter. Enbart polisen har drygt 28 000 anställda och har förmodligen hundratals register med personuppgifter. Den minsta polismyndigheten, Gotland, har 150 anställda. Datainspektionen har drygt 40 anställda. Hur kan en eller ett par handläggare på Datainspektionen åstadkomma en effektiv granskning av polisen? Det är onekligen ett stort område för bara ett par personer. Det enkla svaret är att vi får arbeta med de resurser vi har till förfogande. Totalt genomför vi varje år 4 5 inspektioner av polisen. Vi börjar med att begära in uppgifter om all hantering av personuppgifter som förekommer hos polismyndigheten, från inpasseringssystem till underrättelsesystem. Därefter väljer vi att särskilt granska de register där vi bedömer att riskerna är störst för intrång i den personliga integriteten. På senare tid har vi fokuserat på de register som används för polisens kriminalunderrättelseverksamhet. Att vi tittar extra noga på den typen av register beror på att de ofta innehåller mycket integritetskänsliga personuppgifter. Datainspektionen sitter även med i en samverkansgrupp tillsammans med Rikspolisstyrelsen och Säkerhets- och integritetsskyddsnämnden. Vi träffas ett par gånger per år och går igenom aktuella frågor som rör polisens register. Förutom de stora granskningarna utför vi flera mindre kontroller, till exempel på grund av att vi tagit emot ett klagomål från någon som anser sig ha blivit kränkt av uppgifter som står i polisens register eller någon händelse som uppmärksammats i massmedia. Kan du ge något exempel på sådan händelse? Via massmedia blev vi uppmärksammade på att en polisman vid Rikskriminalpolisen i samband med en utredning hade lagrat barnpornografi på ett privat usb-minne. Av misstag råkade han glömma kvar usb-minnet i tvättstugan där en granne hittade det. Det hela slutade med att Rikskriminalpolisen tog fram nya riktlinjer för hur polisen får använda usb-minnen. Varför är det viktigt att Datainspektionen granskar polisen? Polisen har fått ett särskilt förtroende att hantera och registrera väldigt integritetskänslig information om många personer. Därför är det viktigt att det sker en kontroll av att uppgifterna hanteras inom de ramar som lagen tillåter och inte på några andra sätt. Du arbetar även med internationella polisfrågor. Kan du ge något exempel? Jag är ansvarig för granskningen av hur svensk polis för över personuppgifter till Europols stora databas i Haag. I Europol Information System lagras uppgifter som rör vissa typer av brott, som påverkar två eller fler medlemsstater och där man bedömer att medlemsstaterna behöver arbeta tillsammans. Jag sitter även med i Europol Joint Supervisory Body som granskar Europols egen hantering av personuppgifter. I gruppen finns representanter från På senare tid har vi fokuserat på de register som används för polisens kriminalunderrättelseverksamhet, säger Nicklas Hjertonsson. samtliga EU:s dataskyddsmyndigheter. Vi sammanträder fyra gånger per år i Bryssel. Du har ett förflutet som fallskärmsjägare, underrättelseofficer, förhörsledare och åklagare. Har du nytta av det i ditt jobb på Datainspektionen? Nytta av att ha varit fallskärmsjägare har jag nog bara i form av god kondition när jag är sen och behöver springa till tåget på morgonen. Men visst har jag lärt mig saker som förhörsledare och åklagare som jag har nytta av i min nuvarande befattning. fakta Nicklas Hjertonsson Yrke: Jurist och handläggare På myndigheten: sedan 2009 Familj: fru och tre barn Bor: hus i Mariefred Senast lästa bok: Torka aldrig tårar utan handskar av Jonas Gardell Favoritmat: skaldjur! Integritet i fokus nr 4-2012 Datainspektionen 15
sista ordet... Är Datainspektionen tandlös på nätet? Datainspektionens pressekreterare och tillika redaktör för denna tidning kom in till mig häromdagen. Vi har haft medieträning och konsulten ställde kniviga frågor till deltagarna. Jag vill gärna att du också svarar på dem. Här kommer frågorna och mina svar. Tycker du att ni gör ett bra jobb när det gäller att minska antalet kränkningar på nätet? Det finns två svar: På frågan om jag är nöjd med våra insatser, så svarar jag ja med tanke på de förutsättningar vi fått. Vi gör nytta i de fall man vill göra rätt. Däremot gör vi en begränsad nytta i de fall man inte vill göra rätt. Vi har inga egentliga maktmedel att ta till om någon verkligen bestämt sig för att kränka andra på nätet. Men jag vill ändå tro att vårt arbete bidrar till en ökad insikt om att det här är ett stort problem som behöver angripas på politisk nivå, även om det är svårt. Det kan vara okey att kränka en annan person om det finns ett journalistiskt ändamål med det man skriver, vilket ni avgör. Är ni därmed en censurmyndighet? Absolut inte. Vi tolkar personuppgiftslagen. I de fall vi bedömer att en publicering innebär ett brott mot lagen tar vi inte bort publiceringen som väl en censurmyndighet skulle göra. I stället tilkännager vi vår tolkning, eventuellt följt av en polisanmälan. Förhoppningen är förstås att kränkningen därmed ska upphöra. Vår tolkning kan dessutom överklagas till domstol. Är Datainspektionen tandlös när det gäller nätkränkningar? Svaret är dessvärre ja i de fall man inte vill göra rätt. Om någon bestämt sig för att kränka en medmänniska, är det inte mycket vi kan göra annat än att konstatera kränkningen och därefter polisanmäla. Det här är ett av skälen till att vi skrivit till regeringen och bett om en översyn av myndighetens roll och uppdrag. En tanke är att vi som myndighet ska kunna utdöma böter, det kan dataskyddsmyndigheter i flera andra länder i Europa. En annan tanke är att vi kan få en ombudsmannaroll och företräda den som blivit kränkt i domstol och begära skadestånd å den kränktes vägnar. En tanke är att vi som myndighet ska kunna utdöma böter, det kan andra dataskyddsmyndigheter. Göran Gräslund Generaldirektör Datainspektionen PS. Redaktören för denna tidning har lovat en ordentlig grillning av mig till nästa nummer. Tanken är att jag då ska stå till svars för mina nio år på jobbet. Har jag åstadkommit det jag ville under dessa år? Ja, det är en fråga jag själv får fundera på fram till nästa nummer av tidningen. Datainspektionen, Box 8114, 104 20 Stockholm Nästa nummer kommer i mars