Femte juli

Nätet till folket!

Datalagring

EU-domstolen har flera gånger sagt nej till urskiljningslös lagring av data om allas alla tele- och datakommunikationer utan misstanke om brott. Ändå har såväl Sverige som flera andra EU-länder datalagring som strider mot domstolens beslut. I Sverige utreds nu frågan nu en gång till och i EU funderar man på hur man bäst skall kunna kringgå domstolens beslut.

Europadomstolen: Totalsträckskryptering är en mänsklig rättighet

av

Europadomstolen försvarar rätten till totalsträckskrypterad kommunikation. Detta sätter käppar i hjulet för det svenska utredningsförslag som vill avskaffa den.

Europadomstolen för de mänskliga rättigheterna (ej att förväxla med EU-domstolen) har nu slagit fast att myndigheterna inte har rätt att kräva ut nätanvändares totalsträckskrypterade (E2EE) kommunikation i läsbar form.

Domstolen slår alltså fast rätten till säker totalsträckskrypterad kommunikation.

Europadomstolen delar även EU-domstolens uppfattning om att datalagring (lagring av metadata om allas telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.) strider mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Detta menar domstolen även gäller meddelandetjänster.

Domen är extra intressant för oss i Sverige. Här har en utredning nyligen föreslagit att:
i) datalagringen bör utökas till att även omfatta meddelandetjänster
ii) dessa på begäran skall tvingas lämna ut innehåll i elektronisk kommunikation till myndigheterna i läsbar form.

Båda dessa förslag säger alltså Europadomstolen nej till. Utöver deklarationen om de mänskliga rättigheterna hänvisas till flera principiella uttalanden av Europarådet (till vilket Europadomstolen är kopplad). Europarådet består av fler europeiska länder än EU och är organisationen bakom Europakonventionen om de mänskliga rättigheterna.

Vad gäller den andra punkten menar domstolen helt korrekt att en operatör inte kan bereda sig tillgång till en användares totalsträckskrypterade meddelanden utan att samtidigt undergräva möjligheten till säker E2E-kryptering för alla.

Detaljerna i fallet rör meddelande-appen Telegram. Även om dess default-läge bara är kryptering mellan användare och meddelandeserver kan användare slå på totalsträckskryptering, vilket här är fallet.

Målet är mellan användare och ryska staten. Även om Ryssland lämnat Europarådet strax efter invasionen av Ukraina påbörjades ärendet tidigare och rör perioden då landet fortfarande var med.

Ärendet är av principiell betydelse och domen gäller alla Europarådets medlemsstater. Den är sprängstoff med tanke på att EU just nu försöker finna nya former för datalagring och för att kringgå totalsträckskrypterad kommunikation.

Det skall även bli intressant att se hur detta kommer att påverka utformningen av ny svensk lagstiftning om datalagring. Sådan kommer att bli nödvändig, då den nuvarande svenska lagen (trots att den skrevs om) fortfarande bryter mot den princip som slagits fast av EU-domstolen:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Länkar:
• Europadomstolens dom »
• Inlaga i processen från European Information Society Insitute (EISi) »

Relaterat från denna blogg:
• Ny svensk datalagring och bakdörrar till krypterad kommunikation »
• Striden om ett nytt datalagringsdirektiv i EU »
• Going dark – EU:s krig mot krypterad kommunikation »

Striden om ett nytt datalagringsdirektiv i EU

av

EU vill lagra metadata om dina elektroniska kommunikationer. EU-domstolen säger nej. Kommer Europaparlamentet att kunna försvara vår rätt till privatliv och privat kommunikation?

Datalagring är idén om att man skall spara data om alla människors telekommunikationer. (Vilket inte skall förväxlas med Chat Control 2, som handlar om att granska innehållet i folks meddelanden.)

Datalagring kan till exempel omfatta uppgifter om vilka samtal du ringt och tagit emot, SMS, e-post, dina uppkopplingar och mobilpositioner.

Denna information skall sparas hos operatörerna för att sedan vid behov kunna begäras ut av myndigheterna. (Det finns alternativ – som inte drabbar alla alltid – t.ex. Quick Freeze vid misstanke om brott eller allvarlig fara.)

Det påstods att datalagring bara skulle användas mot mycket allvarlig brottslighet. I Sverige kom den främst att användas för att jaga fildelare och av skattemyndigheterna för att snoka i folks privatliv.

Egentligen är nationell säkerhet och ordning nationell kompetens. Den krystade förklaringen till att EU kunnat lägga sig i är att man valt att se datalagring som en inre marknadsfråga på den europeiska telemarknaden, så att det blir likadant överallt.

På så sätt kunde medlemsstaternas inrikes- och justiteministrar få igenom övervakning på europeisk nivå som de i många fall hade haft svårt att driva igenom på hemmaplan. I vart fall inte utan en massa protester.

Det verkliga skälet är övervakning, vilket man aldrig förnekat. Idén kom från den dåvarande svenske justitieministern Thomas Bodström (S) och direktivet trädde ikraft år 2006, efter en lång strid mellan EU:s ministerråd och parlament.

År 2014 upphävdes EU:s datalagringsdirektiv av EU-domstolen, som ansåg att det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Enkelt uttryckt är domstolens linje: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Vissa medlemsstater har slutat med datalagring. Andra har skrivit om sina lagar för att försöka kringgå EU-domstolens beslut. Och några trotsar domstolen och fortsätter som tidigare.

Gång på gång på gång har EU-domstolen underkänt de listigt omskrivna nationella lagarna och tagit länder som struntar i domstolens förbud mot svepande, urskiljningslös datalagring i örat.

I riksdagen stötte den svenska implementeringen på patrull och började gälla först år 2012. Efter att EU-domstolen upphävt datalagringsdirektivet 2014 lät regeringen snabbutreda frågan och kom fram till att den svenska datalagringen ändå kunde fortsätta.

2016 underkände EU-domstolen den svenska lagstiftningen som sedan skrevs om. Även dagens svenska datalagring strider mot grundprincipen i EU-domstolens dom från 2014, men har inte prövats på nytt.

Med anledning av det tillsatte regeringen en ny utredning, som presenterades i slutet av maj förra året. I den föreslås att datalagring skall kunna ske och omfatta alla under en begränsad tid – och/eller att riktad datalagring skall kunna ske på vissa platser. (Vilket EU-domstolen lämnat visst utrymme för.)

Vi rapporterade då:

»Vilket leder till att utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.«

Utredningen föreslår även datalagring för alla meddelande-appar och liknande former av elektronisk kommunikation. (Plus att myndigheterna skall kunna kräva ut innehåll i krypterad information i läsbar form, från operatörerna. Fast det är en annan fråga.)

Du kan läsa vårt kritiska remissyttrande över utredningen här. »

TL;DR:

»Stiftelsen konstaterar att utredningen inte håller sådan kvalitet att den kan ligga till grund för lagstiftning. Bland annat bygger delar av betänkandet på missuppfattningar om hur internet- och telekommunikationer fungerar. Vidare konstateras att förslaget är oproportionerligt, strider mot skyddet av privatliv och privata kommunikationer, och med stor sannolikhet strider mot unionsrätten.

Med hänvisning till ovanstående avstyrker Stiftelsen förslaget.«

Frågan är nu justitieminister Strömmers (M) problem. Men den är också på väg mot ett omtag i EU.

Såväl kommissionen som ministerrådet är angelägna om att få fram ett nytt datalagringsdirektiv på EU-nivå. Vilket kan komma att bli en stor fråga under EU:s nästa mandatperiod, 2024-29.

Saken är som sagt att man försökte införa denna typ av massövervakning i hela EU bakvägen, som en inre marknadsfråga då EU saknar beslutskompetens på säkerhetsområdet. Och när EU-domstolen sedan upphävde datalagringsdirektivet innebar det att inte ens medlemsstater på egen hand får bedriva urskiljningslös datalagring. Vilket de kanske hade kommit undan med, om de inte hade gjort den till en EU-fråga i ruta ett. Vilket nog får ses som något av ett självmål.

I sammanhanget bör nämnas att EU-kommissionen konsekvent vägrat tillrättavisa de medlemsstater som inte följer EU-domstolens beslut. Så mycket för dess roll som EU-fördragens väktare.

Ny datalagring diskuteras bland annat i den hemlighetsfulla »högnivå-grupp« som EU tillsatte under det senaste svenska ordförandeskapet (vars huvudsakliga syfte är att försöka komma åt krypterad kommunikation).

Det skall också noteras att Europols nyligen utökade mandat ger EU:s polismyndighet rätt att bereda sig direkt tillgång till data hos privata operatörer. Vilket möjligen kan vara att kratta manegen för ny datalagring. (2013 försökte svenska Säpo få sådan direktåtkomst till data från datalagringen hos svenska internetoperatörer.)

Vi vet ännu inte hur ett nytt förslag till datalagringsdirektiv kan komma att se ut. Men vi vet att det är en högt prioriterad fråga för kommissionen och ministerrådet.

Detta borde bli en fråga i sommarens EU-val.

I grunden kokar allt ner till artikel 7 i EU:s människorättsstadga, som är en del av EU:s fördrag:

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.«

Europakonventionen om de mänskliga rättigheterna säger i artikel 8:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Det finns alternativ till datalagring, som inte kräver svepande övervakning av alla och registrering av alla dina tele/nät-kommunikationer.

Principen är enkel: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Ny svensk datalagring och bakdörrar till krypterad kommunikation

av

Den förra regeringen tillsatte en utredning om datalagring och krypterad kommunikation. Dess förslag bygger på missuppfattningar om hur internet och telekommunikationer fungerar, är oproportionerliga, strider mot skyddet för privatliv och privata kommunikationer samt mot EU-rätten. Nu förväntas den nya regeringen göra utredningens förslag till lag.

Den 1 november gick remisstiden ut för SOU 2023:22 om »Datalagring och åtkomst till elektronisk information«.

Datalagringen har varit en surdeg i tio år, sedan EU-domstolen upphävde EU:s datalagringsdirektiv med hänvisning till de mänskliga rättigheterna.

Domstolens position kan enkelt beskrivas så här: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den dåvarande socialdemokratiska regeringen hoppades att den svenska lagen om datalagring skulle klara sig. Men 2016 fann EU-domstolen att även den var oförenlig med EU-rätten.

Vilket ledde till en ny svensk lag – som i princip har samma grundläggande fel som den förra. Enda skälet till att den finns kvar är att den (ännu) inte prövats i EU-domstolen.

Medveten om detta tillsatte justitieminister Morgan Johansson (S) en utredning, som under försommaren presenterades för den nya regeringen och justitieminister Gunnar Strömmer (M).

Som utredningens namn antyder handlar denna utredning inte bara om datalagring, utan även mer allmänt om myndigheternas »åtkomst till elektronisk information«.

Vilket i stycken leder till begreppsförvirring. Nu rör man ihop lagring av metadata (datalagring) med mer allmän tillgång till innehållet i elektroniska kommunikationer. Förmodligen hade det varit bättre att utreda frågorna var och en för sig.

• Datalagring

Vad gäller datalagringen föreslår utredningen att man antingen kan välja att lagra all kommunikationsdata (nationell säkerhetslagring) i händelse av ett nationellt nödläge under en begränsad tid, på inrådan av Säpo.

Eller att man ägnar sig åt riktad lagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Varpå utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

I vart fall det senare skulle inte tåla en granskning i EU-domstolen.

Med ett väldigt krystat resonemang menar utredaren att det vore att bryta mot de mänskliga rättigheternas krav på rätten till privatliv att inte upphäva samma mänskliga rättigheter. Ur vårt remissvar:

»Utredaren menar där att skrivningen i artikel 8 i Europakonventionen om att det finns en skyldighet för det allmänna att tillförsäkra enskilda skydd för privat- och familjeliv innebär att (vissa) integritetsintrång bör kriminaliseras.

För att sådana brott ska kunna bekämpas krävs i sin tur att staten har tillgång till effektiva utredningsverktyg och eftersom datalagring, enligt utredaren, är ett sådant skulle frånvaro av datalagring innebära ett staten inte levde upp till de enskildas konventionsskyddade rätt till skydd av privatlivet.

Därmed kan enligt utredaren inte heller artikel 8 i Europakonventionen i användas för att begränsa datalagring. En begränsning blir i stället ett brott mot artikel 8.

Utifrån detta synsätt skulle förstås inte endast utebliven datalagring hota integriteten utan också varje uteblivet intrång i enskildas privata sfär (så länge det motiverades med brottsbekämpning).

Att inte kränka människors integritet skulle innebära att man kränkte deras integritet. Orwell hade inte kunnat uttrycka det bättre.«

I sammanhanget kan även noteras att de grundläggande mänskliga rättigheterna är till för att skydda individen mot staten – inte individer mot andra individer. För det senare finns vanlig lagstiftning.

• Krypterad kommunikation

I den del av utredningen som handlar om »åtkomst till elektronisk information« kan man läsa följande:

»Även tillhandahållare av Noik (nummeroberoende interpersonella kommunikationstjänster) ska alltså vara skyldiga att bedriva sin verksamhet så att beslut om hemliga tvångsmedel kan verkställas och så att verkställandet inte röjs. Det omfattar även de fall en tillhandahållare för sina kunder möjliggör totalsträckskryptering, dvs. när bara sändare och mottagare har tillgång till meddelandena i läsbar form. I dessa fall innebär anpassningsskyldigheten att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myndigheter i läsbar form.«

Det vill säga att man kräver bakdörrar till krypterad kommunikation.

Ur vårt remissvar:

»En bakdörr i en tjänst kan inte begränsas till dem som har laglig tillgång till den. Finns den kan den utnyttjas av alla som känner till den, det inkluderar både organiserad brottslighet som främmande makts underrättelsetjänst. Förekomst av bakdörrar skulle sannolikt också i praktiken användas av kriminella och andra illasinnade aktörer i betydlig större utsträckning än av brottsbekämpande myndigheter.

För en kriminell är alla som har den aktuella bakdörren potentiella måltavlor (exempelvis för bedrägerier) medan brottsbekämpande myndigheter normalt är inriktade på en viss misstänkt person eller en grupp misstänkta personer. (…)

Många av de tjänster som erbjuder säkra kommunikationer idag är utländska och vänder sig till globala marknader. Det är inte sannolikt att de kommer att avskaffa totalsträckskryptering eller införa bakdörrar på grund av svenska myndighetskrav. Snarare kommer de att sluta erbjuda dessa tjänster i Sverige.«

• Vad händer nu?

Remisstiden är ute och nu skall regeringen försöka göra lag av det hela.

Det utredningen skriver om datalagring är inte i enlighet med EU-domstolens beslut och EU-rätten – eller bara orimligt i största allmänhet.

Dessutom tyder det mesta på att EU:s beslutsapparat ändå kommer att göra ett omtag vad gäller datalagringen under nästa mandatperiod 2024-29

Att ge sig på totalsträckskryptering är att förklara krig mot internet. Vilket vi kunde se under förra årets strid om Chat Control 2 – som bland annat landade i att Europaparlamentet tog principiell ställning för rätten till krypterad kommunikation.

Detta känns som en utredning som mest tillsatts för att skjuta problem på framtiden. Och när framtiden nu är här finns ändå inga bra eller rimliga svar.

Ett sista citat, ur vårt remissvar:

»Stiftelsen konstaterar att utredningen inte håller sådan kvalitet att den kan ligga till grund för lagstiftning. Bland annat bygger delar av betänkandet på missuppfattningar om hur internet- och telekommunikationer fungerar. Vidare konstateras att förslaget är oproportionerligt, strider mot skyddet av privatliv och privata kommunikationer, och med stor sannolikhet strider mot unionsrätten.

Med hänvisning till ovanstående avstyrker Stiftelsen förslaget.«

Länkar:
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Regeringen: Datalagring och åtkomst till elektronisk information »
• SOU 2023:22 Datalagring och åtkomst till elektronisk information (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »
• Datalagring – olaglig övervakning fortsätter och utökas »
• Going dark – EU:s krig mot krypterad kommunikation »

Going dark – EU:s krig mot krypterad kommunikation

av

Den svenska regeringen öppnade Pandoras ask. Nu planerar EU kriget mot kryptering och ny datalagring i en hemlig grupp bakom stängda dörrar.

För snart ett år sedan höll EU:s justitie- och inrikesministrar ett informellt möte i det då nytillträdda ordförandelandet Sverige. Efter lunch torsdagen den 26 januari var det dags att ge sig i kast med den svenska regeringens arbetsdokument »Going dark«.

Inledningen beskriver allehanda brottslig verksamhet som är kopplad till nätet och vilka problem detta medför för de rättsvårdande myndigheterna. Speciellt då krypterad kommunikation. Fast med betydande demokratiska brasklappar:

»In the view of the Presidency, it is therefore time to discuss ways and means to uphold the rule of law in the digital era, while preserving security, protecting privacy and fundamental rights, and also increasing European competitiveness. Effective law enforcement, acting in full compliance with democratic values, is a prerequisite for protecting the fundamental rights of our citizens, including the right to the protection of personal data, respect for private and family life, and freedom of expression.


In light of this, the Presidency wishes to initiate a holistic discussion, rooted in fundamental rights and also legal and technical realities, on access to data for law enforcement and judicial purposes. This discussion should seek to reconcile the protection of the right to a private life and personal data with the need for secure online environments and digital services to ensure the protection of victims of crime and keep our citizens and societies safe.«

Vilket faktiskt låter relativt balanserat. Problemet är att när man väl öppnat lådan kommer även de mindre balanserade, de dåliga och de direkt farliga förslagen. Så är det i princip alltid i EU – hur vackert man än uttrycker sig i ruta ett. The cat is out of the bag.

Dokumentet fortsätter att problematisera kring frågan med krypterad kommunikation och uppmanar till diskussion med alla inblandade intressenter. Allt är mycket allmänt hållet.

Det hela landade i att man skulle tillsätta en »High-Level Expert Group«. Därmed hamnade det hela under EU-kommissionen och inrikeskommissionär Ylva Johansson.

Gruppens syfte är att formulera en »strategisk vision för framtiden« och att föreslå hur man kan utöka och förbättra myndigheternas tillgång till data. (I sammanhanget kan nämnas att Europol nyligen fick rätt att bereda sig tillgång till data hos privata aktörer.)

Snabbt ändrades namnet från »High-Level Expert Group« till »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man kanske tyckte var olämpligt i detta fall.

Under det svenska ordförandeskapets sista dagar, i juni 2023 höll denna grupp sitt första möte. Någon diskussion med alla inblandade intressenter var det inte längre fråga om. Men den kallar sig fortfarande en »collaborative and inclusive platform« på sin hemsida.

Enligt regelverket kan gruppen bjuda in representanter från en privata sektorn, akademien, NGOer, advokater och dataskyddsexperter vid enstaka tillfällen. Inga sådana finns dock representerade i gruppen.

Efter att detta uppmärksammats har man dock lovat att bjuda in representanter för civilsamhället till ett möte, efter årsskiftet.

Den europeiska dataskyddsmyndigheten EDPS och en representant för Europaparlamentets människorättsutkott LIBE kan – men måste inte – erbjudas observatörsstatus.

Så vilka sitter då i denna högnivågrupp? Svaret är att det får vi inte veta. Det går visserligen att begära ut en deltagarlista – men bara med alla namn maskade.

Här formas framtidens övervakning, bakom stängda dörrar. På sina möten har gruppen bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, statstrojaner och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Detta är inte riktigt den bild den svenska regeringen målade upp i sin skrivelse i januari:

»The Presidency aims to enable and promote such discussions. They should involve all relevant stakeholders, with the objective of identifying and presenting common solutions to better ensure access to data, electronic evidence and information for law enforcement and judicial purposes, while upholding the protection of fundamental rights and the security of electronic communications.«

Man upphör aldrig att förvånas över den svenska naiviteten i EU-sammanhang.

Djuplänkar i texten, huvudlänk här:

• Netzpolitik: Hinter verschlossenen Türen »

Hur mycket övervakning skall vi ha?

av

Vi lever redan i en aldrig tidigare skådad övervakningsstat. Hur mycket mer tål vi? Bryr sig någon?

F.d. justitieminister Beatrice Ask (M) menade en gång under en utfrågning i Europaparlamentet att vi inte har tid att stanna upp för att skaffa oss en överblick av övervakningsapparaten eller för att utvärdera dess effektivitet.

Så är det. Politikerna rusar på utan helhetsgrepp eller eftertanke. Det finns alltid något skäl för att utöka övervakningen av medborgarna.

Det är uppenbart att detta vid någon punkt blir farligt. Inskränker man de mänskliga rättigheternas skydd för privatliv och privat korrespondens skapas ett samhälle där övergrepp görs möjliga – med ont uppsåt, av överdrivet nit, missriktad välvilja eller inkompetens.

Övergrepp mot individens rättigheter brukar alltid motiveras med det gemensammas bästa. Det är därför de grundläggande mänskliga rättigheterna skall vara orubbliga. Det finns en gräns där individens frihet och rätt inte får kränkas.

Så hur ser det då ut med den svenska övervakningsstaten?

Försvarets Radioanstalt (som trots sitt namn är en civil myndighet) skannar kommunikationer i underrättelsesyfte. Nationens säkerhet är tveklöst viktig.

Men nu har verksamheten utökats och butiken är öppen för såväl svenska som utländska myndigheter. Vilket är problematiskt, om än inte oväntat.

Övervakningslagar utökas alltid till syfte och metod.

Polisens hemliga tvångsmedel blir allt fler. Övervakning av människor som misstänks för brott kan visserligen motiveras.

Men flera av dessa tvångsmedel är ändå problematiska. Till exempel leder hemlig dataavläsning (spionprogram) till att även oskyldiga kommer att övervakas och att sårbarheter i vår IT-infrastruktur lämnas öppna, vilket gör oss alla mindre säkra.

Datalagringen är en följetong. Lagring av metadata om alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner med mera skulle bara användas för att utreda verkligt allvarliga brott.

I verkligheten kom den att användas för att jaga fildelare och av Skatteverket för att snoka i folks privatliv.

EU-domstolen har upphävt datalagringsdirektivet då det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

Vilket många av EU:s medlemsstater (bl.a. Sverige) struntar i.

Nyligen föreslog en statlig utredning att den svenska datalagringen skall utökas till att även gälla meddelande-appar och -tjänster.

Vilket för oss till EU-kommissionens förslag om Chatcontrol 2 – det vill säga obligatorisk granskning av innehållet i våra elektroniska meddelanden.

Syftet är tredelat. Dels handlar det om att leta efter kända bilder på övergrepp mot barn – vilket sker redan idag, frivilligt på större sociala media och meddelandetjänster. (Detta kräver alltså ingen ny lagstiftning.)

Men Chatcontrol 2 vill även använda AI för att leta efter tidigare okända bilder av samma natur.

Vilket innebär att AI – med teknik som ännu inte existerar – måste analysera alla bilder du delar och har på molntjänster, för att kontrollera att du inte ägnar dig åt olagligheter.

Chatcontrol 2 föreskriver även att AI skall analysera vad du skriver och säger i meddelanden och samtal på nätet. För att kontrollera att du inte är en ful gubbe / gumma.

Inte heller denna teknik existerar ännu. Men lagen skall ändå börja gälla redan nästa sommar…

Detta är ett verktyg som sedan lätt kan utökas till vad politikerna för tillfället tycker är viktigt. Eller till regelrätt åsiktskontroll och förtryck. Så öppna inte den dörren.

Till allt detta kan läggas den övervakning som bedrivs av Försvarsmakten och Säpo – om vilken vi vet väldigt lite.

Helhetsbilden är förfärande. Och det finns som sagt inget politiskt intresse av att analysera helhetsbilden eller att utreda om denna övervakning ens är ändamålsenlig.

Läs mer om Chatcontrol:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

• Använd denna mail-robot för att protestera mot förslaget om Chatcontrol »

F.d. justitieminister Beatrice Ask i Europaparlamentet

Datalagring – olaglig övervakning fortsätter och utökas

av

Sedan EU-domstolen upphävde EU:s datalagringsdirektiv 2014 vägrar ett antal medlemsstater – däribland Sverige – att rätta sig efter domstolens beslut. Istället finns det tecken på att denna olagliga övervakning är på väg att utökas.

I maj 2006 infördes EU:s datalagringsdirektiv. Det går ut på att lagra metadata (inte innehåll) om alla medborgares alla telefonsamtal, SMS, e-postmeddelanden, uppkopplingar, mobilpositioner m.m.

I april 2014 upphävde EU-domstolen datalagringsdirektivet – med hänvisning till att det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Enkelt uttryckt slog domstolen fast principen: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Detta är ett beslut som ett flertal medlemsstater valt att inte följa (med EU-kommissionens goda minne). Domstolen har gång på gång upprepat sitt beslut om att generell, svepande datalagring inte får förekomma.

Även Sverige har valt att obstruera mot EU-domstolens beslut. Efter en rättsprocess som initierades av internetoperatörerna Tele 2 och Bahnhof ogiltigförklarade EU-domstolen den svenska datalagringen i december 2016.

Efter domen justerades den svenska lagen. Dock gjordes inget för att komma till rätta med grundproblemet – det vill säga att man fortsätter lagra data om alla människors alla telekommunikationer.

Även om den nya svenska lagen inte prövats igen tyder allt på att inte heller den skulle klara en förnyad granskning av EU-domstolen.

Den förra, rödgröna, regeringen har verkat för att EU skall införa ett nytt datalagringsdirektiv. Hur detta är tänkt att gå till är dock oklart. I samband med detta avfärdade regeringen även tanken på riktad datalagring – det vill säga endast vid misstanke om brott.

Dock har EU-domstolen – även om den står fast vid sitt nej till generell datalagring – på senare år medgivit vissa undantag. Till exempel kan det under vissa förutsättningar vara tillåtet med just riktad datalagring (t.ex. vid brottsmisstanke eller på utsatta platser samt insamling av IP-adresser).

I EU:s ministerråd är datalagring ett återkommande ämne. Man har dock inte (ännu) lyckats komma fram till något fungerande sätt att kringgå EU-domstolens domar.

Ett lysande undantag bland EU:s medlemsstsater är Tyskland. Den nu sittande regeringen har bestämt att man skall sluta med allmän datalagring och istället satsa på »quick freeze« (frysning av kommunikationsdata för en viss plats eller användare om något brottsligt skett eller är på väg att ske).

Allt tyder på att även vår nya regering vill se en fortsatt datalagring. Och att man vill utöka den.

Nyligen föreslog en utredning (tillsatt av den förra regeringen) att även data om elektronisk kommunikation via meddelande-appar skall datalagras. (5 juli-stiftelsen kommer att skriva ett remissvar på denna utredning.)

(Man kan för övrigt notera att utredningens förslag om att lagra meddelande-data kommer samtidigt som EU-kommissionen vill granska innehållet i folks elektroniska meddelanden, Chatcontrol.)

I Sverige kommer riksdag och regering att behöva hantera datalagringen under denna mandatperiod. I EU är det troligt att frågan kommer att aktualiseras igen efter EU-valet nästa sommar, då med en ny EU-kommission och ett nyvalt Europaparlament.

Du följer utvecklingen här på bloggen.

Relaterade länkar:
• Datalagringsdirektivet (Wikipedia) »
• Advokaten (2014): EU-domstolen ogiltigförklarar datalagringsdirektivet »
• Computer Sweden (2014): Datalagringsdirektivet ogiltigförklaras »
• GP (2019): Expert: Den nya datalagen kan få problem »
• EU-domstolen upprepar: Det är förbjudet att använda allmän datalagring (2022) »
• Den ständiga striden om datalagring (2022) »
• EU-stater registrerar användares IP-adresser (2022) »
• Så kan delar av den förbjudna datalagringen ändå fortsätta (2022) »
• Utredning: Data om all slags meddelanden bör lagras (2023) »

(Fler djuplänkar i de länkade texterna ovan.)

Nu ger EU bulgarisk polis direkt tillgång till svenska servrar

av

Skall fransk och bulgarisk polis, ungerska och grekiska åklagare ges direkt tillgång till innehåll på svenska servrar? På tisdagen röstar Europaparlamentet om saken.

eBevis-direktivet är ännu en sådan fråga som flugit under radarn till dess det (förmodligen) är för sent att göra något åt saken.

Vi har skrivit om det några gånger, i Bryssel har EDRi & Co försökt göra motstånd. Men frågan har aldrig tagit fart.

Så på tisdagen kommer Europaparlamentet sannolikt att klubba den kompromiss som förhandlats fram i trilog med EU-kommissionen och ministerrådet.

Tanken är att myndigheterna i EU:s medlemsstater skall kunna vända sig direkt till ISPar, webhotel, e-postlevantörer och andra operatörer i de övriga länderna för att begära ut information.

Det finns redan en European Investigation Order (EIO) / Europeisk utredningsorder som är till just för att förenkla och snabba upp gränsöverskridande förfrågningar om att säkra bevis m.m.

Men det räcker alltså inte. Man vill inte behöva blanda in det berörda landets myndigheter. Vilket kan bli problematiskt, då till exempel något som är olagligt i Polen kanske inte är det i Sverige.

Med eBevis-direktivet kommer någon prövning av den frågan inte längre att ske.

Således rundar EU, återigen, sunda rättsstatliga principer. Vad som är lagligt i Sverige skall avgöras av och prövas mot svensk lag.

I EU råder ett ömsesidigt erkännande av att man litar på att alla medlemsstater och deras myndigheter fattar rättssäkra beslut som respekterar de mänskliga rättigheterna.

I verkligheten vet vi att de rättsvårdande myndigheterna i vissa länder har problem med korruption, infiltration och politiska påtryckningar. Och nu kan de begära ut data direkt från svenska servrar. Vad kan möjligen gå fel?

Det nya direktivets skydd för till exempel läkare, advokater och journalister är mycket svagt och lätt att kringgå. Det varnar ett antal tunga organisationer i ett brev till Europaparlamentets ledamöter, där man uppmanar dem att rösta nej till direktivet.

Under processen har Europaparlamentet till en början intagit en något mer kritisk inställning till direktivet. Men det förhandlades tydligen bort under trilogen.

Det är skandalöst att detta inte fått mer uppmärksamhet i media, innan vi nu ställs inför i princip fullbordat faktum.

• Open letter: e-Evidence package lacks appropriate safeguards, EU Parliament must reject it »

Följ oss även på Twitter: @femtejuli

Utredning: Data om all slags meddelanden bör lagras

av

Den svenska lagen om datalagring är olaglig. Därför föreslår en utredare nu att denna form av övervakning begränsas till 70% av Sveriges befolkning. Och utökas till att även gälla meddelande-appar.

Idag har den av förra regeringen tillsatta utredningen om »Datalagring och åtkomst till elektronisk information« överlämnat ett delbetänkande till den nya regeringen.

Detta är komplex materia, men jag skall försöka vara så tydlig och kortfattad som möjligt.

Notera till en början att detta inte är samma sak som EU-kommissionens förslag om Chatcontrol / CSAR (automatiserad granskning av innehållet i folks elektroniska meddelanden). Men det finns en koppling. Mer om det längre ner.

Istället handlar det om datalagring (lagring av data om allas alla telefonsamtal, SMS, mobilpositioner, uppkopplingar m.m.)

EU-domstolen har sagt nej till svepande datalagring för alla, överallt, hela tiden och utan misstanke om brottslig verksamhet. Vilket många medlemsstater – däribland Sverige – struntar i.

• Bakgrund: Den svenska datalagringen är olaglig

Efter att den svenska datalagringslagen fick underkänt av EU-domstolen skrevs den om.

Dock är kärnfrågan olöst: Det handlar fortfarande om svepande datalagring utan misstanke om brott.

Den nya lagen har inte prövats av EU-domstolen. Medveten om problemet tillsatte den förra regeringen en utredning.

• Lagra allt men inte alltid

Till att börja med noterar utredaren att EU-rätten ger utrymme för att lagra all kommunikationsdata man kan (nationell säkerhetslagring) i händelse av ett nationellt nödläge. Vilket kan antas vara en tidsbegränsad situation.

Utredaren föreslår att huruvida detta skall ske bör bestämmas av Säkerhetspolisen.

Man kan tycka att om man skall övervaka hela folket hela tiden, då kanske det slutliga beslutet borde fattas på en högre nivå än hos en tjänsteman på hemliga polisen.

Men det är lite av ett sidospår. Nu kommer det verkligt intressanta.

• Lagra alltid men inte allt

I en av sina datalagringsdomar säger EU-domstolen att det dock kan få förekomma riktad datalagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Vilket leder till att utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

Vilket sannolikt inte skulle flyga hos EU-domstolen, som slagit fast principen: Övervaka dem som misstänks för brott – inte alla, hela tiden.

Om det sedan handlar om alla i Sverige eller alla i Örebro kommun torde i sammanhanget vara av mindre betydelse.

Man kommer att övervaka människor som inte misstänks för brott, urskiljningslöst.

• Lagra mer

Utredaren vill att även data om elektronisk kommunikation via meddelande-appar skall datalagras. (De meddelanden där EU redan vill granska innehållet med Chatcontrol.)

Vilket naturligtvis blir problematiskt då nästan alla meddelandetjänster har sin bas utanför svensk jurisdiktion och som regel även utanför EU. Vilket utredaren dock tror går att hantera.

Material från lagringen skall överlämnas till polisen i läsbar – icke krypterad – form, på operatörernas bekostnad. Detta måste kontrolleras närmare när utredningen läggs upp. För datalagringen skulle ju bara handla om metadata – och den är väl inte krypterad? Eller?

Vad som skall hända med meddelandeappar som inte lagrar data om sina användares kommunikationer är oklart. (Knepet i förslaget om Chatcontrol är att förbjuda apparna i app-stores.)

• Kommentarer

Det är lite lustigt att utredaren kommer med detta förslag nu, då EU och dess medlemsstater befinner sig mitt i processen om hur man skall göra med datalagringen i framtiden. Är detta en testballong för att se hur långt man kan tänja på de gränser EU-domstolen har satt upp?

I så fall kan man konstatera att utredaren med största sannolikhet har passerat den gränsen, med råge. Vilket justitieminister Strömmer – om någon – lär vara medveten om.

Nu blir det remissrunda och sedan skall regeringen fundera på saken.

• Justitiedepartementet: Pressträff vid överlämning av betänkandet Datalagring och åtkomst till elektronisk information »

Se presskonferensen på Youtube:

Söker du information om Chatcontrol, som nämns ovan?

• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Chat Control – del i EU:s och USA:s krig mot kryptering?

av

Förslaget om Chat Control har nära koppling till ett nytt samarbete mellan EU och USA för att kringgå och bilda opinion mot krypterad information.

Kryptering är en central fråga när det gäller EU-förslaget om Chat Control (granskning av innehållet i medborgarnas elektroniska meddelanden). Kommissionär Ylva Johansson påpekar ofta att förslaget är teknikneutralt. Vilket bara väcker fler frågor.

I förslaget kan vi läsa att meddelande-appar som inte accepterar dessa nya regler kan komma att förbjudas i olika app-stores i EU.

Detta kan till exempel drabba den totalsträckskrypterade (E2EE) meddelande-appen Signal – som används av bland andra journalister, människorättsaktivister och oppositionella världen över för säker kommunikation.

Det är viktigt att notera att Chat Control inte är det enda angreppet på krypterad information.

Till exempel är det svenska EU-ordförandeskapet pådrivande för att sätta upp en expertgrupp som skall ägna sig åt frågor som datalagring, kryptering och anonymitet online. Dess förslag skall läggas fram under 2024.

Det finns även en amerikansk koppling som tyder på att EU och USA försöker hitta en gemensam approach för att kringgå kryptering. Till exempel hölls ett möte om detta under det svenska EU-ordförandeskapets värdskap i Stockholm den 16 & 17 mars.

Mötet handlade inte bara om potentiell lagstiftning utan även om en påverkansoperation för att vända den allmänna opinionen mot krypterad kommunikation. En term att lägga på minnet är ”lawful access by design” – vilket är byråkratengelska för att ge myndigheterna tillgång till medborgarnas alla krypterade meddelanden.

Frågan ingår i ett bredare transatlantiskt samarbete om biometrisk data, krypterad kommunikation och radikalisering.

I sammanhanget är det värt att notera att EU:s medlemsstater är angelägna om att få ny datalagring (lagring av data om alla elektroniska kommunikationer) på plats. EU:s datalagringsdirektiv upphävdes av EU-domstolen 2014 – då det står i strid med vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens.

För att knyta ihop säcken:

Förslaget om Chat Control föreskriver ett ”EU Center” som skall utveckla och/eller godkänna de verktyg som skall användas för att granska innehållet i alla människors elektroniska meddelanden.

Det är även till denna nya EU-myndighet (som kommer att vara kopplad till Europol) som allt som verktygen snappar upp skall rapporteras in.

Man bör även notera att den som lagt fram förslaget, Ylva Johansson – är EU:s inrikeskommissionär. Det vill säga unionens högsta ansvariga för polis- och övervakningsfrågor.

Jag vill inte låta alarmistisk eller vara konspiratorisk. Men kan man inte ana ett mönster om man betraktar den större bilden?

Länkar:
• Data retention and undermining encryption: expert group to present proposals for expanding surveillance by mid-2024 »
• EU-US plan offensive to legitimise police access to data, civil society responds amid growing fears »
• Open Letter: Defend encryption and put human rights at the core of cyber-crime related policies: A civil society response to the leaked notes of the EU-US Senior Officials Meeting on Justice and Home Affairs on 16 and 17 March »
• Global Encryption Coalition Steering Committee Statement on EU-US Cooperation on Turning Public Opinion Against Encryption »
• EU-USA cooperation on biometric data, breaking encryption, radicalisation »
• EU countries in search of ‘solutions’ over data retention, encryption »

Demonstrera mot Chat Control lördag den 20 maj kl 15 på Mynttorget i Stockholm!

Läs mer:
• Chatcontrol.se »
• Chatcontrol.eu »
• Allt du behöver veta om #ChatControl »
• StopScanningMe.eu »

Följ oss även på Twitter: @femtejuli

Experterna sågar Ylva Johanssons Chat Control

av

Tunga experter står på kö för att protestera mot Ylva Johanssons nya massövervakning. De menar att förslaget om Chat Control är tekniskt omöjligt, att det missar målet och att det hotar våra grundläggande fri- och rättigheter.

Den som lyssnade på Svenska Dagbladets ledarpodd när EU-kommissionär Ylva Johansson debatterade Chat Control med IT-säkerhetsexperten Karl Emil Nikka vet hur det kan gå när politiker som inte förstår vad de sysslar med möter experter.

Idag diskuterar utskottet för mänskliga rättigheter (LIBE) i Europaparlamentet en ny konsekvensanalys skriven av några som bör veta vad de talar om:

»This study has been written by Gabriëlle op ‘t Hoog, Linette de Swart, Dr. Jan Essink, Guus van der Born, Yannick Ritmeester, Anna Sekuła, Geert Smit of Ecorys, Dr. Niovi Vavoula and Andreas Karapatakis of Queen Mary University London, Prof. Dr. Jeanne Mifsud-Bonnici of Rijksuniversiteit Groningen, Prof. Bart Preneel of KU Leuven and quality reviewed by Prof. Valsamis Mitsilegas of University of Liverpool at the request of the Ex-ante Impact Assessment Unit of the Directorate for Impact Assessment and European Added Value, within the Directorate-General for Parliamentary Research Services (EPRS) of the Secretariat of the European Parliament.«

Enkelt uttryckt sågar de lärde Ylva Johanssons Chat Control.

I förhandsläckan kan vi bland annat läsa:

  • Hela definitionen av problemet i förslaget är för vag.
  • Man ser en påtaglig risk för falska flaggningar.
  • Förslaget kommer bara att driva ut de lagbrytare som inte redan är där till darknet, där de blir ännu svårare att komma åt.
  • Skanning av innehåll i totalsträckskrypterad (E2EE) kommunikation ställer grundläggande frågor om säker krypterad kommunikation som sådan – och kan skapa osäkerhet för alla användare av E2E-krypterade meddelandetjänster.
  • Förslaget bryter mot de grundläggande mänskliga rättigheterna; mot förbudet mot datalagring; mot förbudet mot allmän övervakning – och kan inte rättfärdigas.

Presentationen av denna konsekvensanalys sker i LIBE idag torsdag den 13 april kl 10 – och bör kunna följas live här. Uppdatering: Bättre länk här.

Men det finns fler kritiska experter. Till exempel var det nyligen utfrågning om Chat Control i tyska Bundestags utskott för digitala frågor.

Av de nio medverkande experterna sade alla nio nej till Chat Control. Och då skall nämnas att experterna i fråga bland annat kom från polisen, Kinderschutzbund, den tyska dataskyddskommissionen och det respekterade Fraunhofer-institutet.

Deras slutsats var att förslaget inte är tekniskt möjligt och att det kommer att leda till ett ingrepp utan motstycke i de medborgerliga rättigheterna.

För att fortsätta med akademisk name droping sågar en av världens ledande IT-säkerhetsexperter – professor Matthew Green vid Johns Hopkins University – förslaget. Han skriver bland annat:

»What concerns me is that the Commission does not appear to have a strong grasp on the technical implications of their proposal, and they do not seem to have considered how it will harm the security of our global communications systems. And this does affect me, because the security of our communications infrastructure is not localized to any one continent: if the 447 million citizens of the EU vote to weaken these technical systems, it could affect all consumers of computer security technology worldwide.« (…)

»In conclusion, I hope that the Commission will rethink its hurried schedule and give this proposal enough time to be evaluated by scientists and researchers here in Europe and around the world. We should seek to understand these technical details as a precondition for mandating new technologies, rather than attempting to “build the airplane while we are flying in it”, which is very much what this proposal will encourage.«

Listan över kritiska experter är lång och växande.

Inte för att EU-kommissionär Ylva Johansson bryr sig. Hon upprepar till och med envist felaktigheter om sitt förslag långt efter att de har avslöjats. Och hon har bestämt sig för att driva igenom Chat Control oavsett hur mycket saklig och förödande kritik förslaget får.

Och av allt att döma väljer även den svenska regeringen bunkermentalitet framför fri debatt och saklig diskussion om förslaget…

Läs mer:
• Allt du behöver veta om #ChatControl – resurser, analyser och länkar »
• ChatControl – Ylva Johansson säger orimliga saker, del 1 »
• ChatControl – Ylva Johansson säger orimliga saker, del 2 »
• Chat Control: Ylva Johanssons okunskap får internationell uppmärksamhet »

Lagstiftningsdokument:
• Kommissionens förslag »
• Legislative Observatory »

Relaterade länkar:
• Stop Scanning Me »
• ChatControl.eu »
• ChatControl – granskning av EU-kommissionens förslag
• EU-kommissionen: Övervakning är viktigare än mänskliga rättigheter »
• Why chat control is so dangerous »
• PP: EU-kommissionär Ylva Johansson ljuger om #ChatControl »
• ChatControl – nu är det skarpt läge i EU, men regeringen vill inte tala om saken »
• UN Human Rights Commissioner warns against chat control »
• Regeringen föreslår 18-årsgräns för meddelande-appar
• ChatControl – detta händer i ministerrådet »
• EU:s ministerråd vill kontrollera allt du gör på nätet
• ChatControl: EU-kommissionen duckar alla jobbiga frågor »
• Granskning: Lobbykampanjen för #ChatControl »

TL;DR:
• ChatControl / CSA Regulation – enkelt förklarad »

Ovan toksågar Louis Rossmann, amerikansk IT profil och frontman för Right to repair-rörelsen Ylva Johanssons medverkan i Svenska Dagbladets ledar-podd.

Youtube »

Youtube » | Soundcloud »