Kryptering

Kryptering är viktig för säker kommunikation online. Med EU och Europol i spetsen vill myndigheterna nu ha tillgång till bakdörrar till kryptering, även där sådana idag inte finns. Öppnar man sådana bakdörrar för myndigheterna, då öppnar man dem även för kriminella, främmande makt och andra illasinnade aktörer.

Chat Control 2: Nya förhandlingar

14 april 2026 av Henrik Alexandersson

Nu fortsätter förhandlingarna om Chat Control 2. Genom att tidigare ha sagt nej till en förlängning av Chat Control 1 har Europaparlamentet visat att det menar allvar.

Torsdag den 16 april hålls nästa runda i trilogförhandlingarna om Chat Control 2. Det cypriotiska ordförandeskapet i EU:s ministerråd har cirkulerat ett dokument bland medlemsstaterna som ger ledtrådar om vart det hela kan vara på väg.

Ministerrådet vill i princip ha en förlängning av Chat Control 1 (meddelandetjänster får fortsätta att frivilligt granska innehållet i användarnas meddelanden). Europaparlamentet vill att granskning endast skall få ske vad gäller personer eller grupper som misstänks för brott.

På den punkten verkar de två institutionerna fortfarande stå långt från varandra.

Sedan har vi den heta frågan om totalsträckskrypterade meddelanden. Där tycks ministerrådet ha givit upp sin linje om granskning. I vart fall tills vidare, tills en framtida revision av lagen.

» This Regulation shall not prohibit, make impossible, weaken, circumvent or otherwise undermine […] encryption, including end-to-end encryption, implemented by the relevant information society services or by the users [or] create any obligation that would require a provider of hosting services or a provider of interpersonal communications services to decrypt data or create access to end-to-end encrypted data, or that would prevent providers from offering end-to-end encrypted services.«

Förhoppningsvis täcker detta även client-side-scanning på användarnas telefoner och datorer innan ett meddelande krypteras och sänds iväg. (Vilket var ministerrådets tidigare knep för att kringgå totalsträckskryptering samtidigt som man kunde påstå att man respekterade den.)

Vad gäller allmänt tillgängligt innehåll på nätplattformar noterar ordförandeskapet att artikel 8 i EU:s Digital Services Act hindrar generell övervakning. Dock måste webhotell, andra som tillhandahåller tjänster samt sociala medier vidta åtgärder om de får kännedom om olagligt innehåll. I sitt dokument vill man ha in medlemsstaternas åsikter om hur detta skall formuleras.

En intressant fråga är hur man ser på det »EU Center« som finns i EU-kommissionens ursprungliga förslag. Tanken är att sätta upp en gemensam funktion i anslutning till Europol som tar emot och bedömer alla rapporter om innehåll som misstänks innehålla sexuella övergrepp mot minderåriga. På så sätt kan en första bedömning göras där – och de nationella polismyndigheterna slipper dränkas av anmälningar och tips som i de flesta fall är felaktiga eller dubletter. Vilket i sig kan vara en bra idé som frigör polisens resurser till verkligt utredningsarbete.

Men frågan är om detta »EU Center« även skall ägna sig åt att på egen hand skanna allmänt tillgängligt innehåll i jakt på olagligt innehåll. Det är en verksamhet vars syfte lätt kan utökas när den väl finns på plats. Risken är att det kan komma att leda till att vi får en EU-institution som granskar i princip allt som publiceras online, som sedan kan kopplas till DSA och annan lagstiftning. Eller till medlemsstaternas begränsningar av yttrandefriheten.

Torsdagens trilogförhandling sker bakom stängda dörrar. Men information om vad som skett lär börja läcka ut nästa vecka.

Om man vill spekulera kan Europaparlamentets nej till en förlängning av Chat Control 1 visa att parlamentet menar allvar – och därmed sätta press på ministerrådet.

• Ministerrådets arbetsdokument »

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »

CC0

På vems sida står Meta?

16 mars 2026 av Henrik Alexandersson

Meta tar bort totalsträckskryptering, ber politiker om mer reglering och bedriver en lobbykampanj för åldersverifiering i alla våra enheters operativsystem.

För inte så länge sedan var nyheten att Meta (Facebook/Messenger, Instagram & WhatsApp) rullade ut totalsträckskryptering (E2EE) för de användare som ville ha sådan.

Nu är nyheten att Instagram drar tillbaka möjligheten till totalsträckskryptering i sina direktmeddelanden.

Sett som en isolerad företeelse är detta märkligt. Den officiella förklaringen är att så få använde totalsträckskrypteringen.

Samtidigt känns det mer som att man anpassar sig till en ständigt expanderande övervakningsstat och dess krav på att få ta del av innehållet i medborgarnas elektroniska kommunikationer.

Men, som datasäkerhetsexperten Karl Emil Nikka påpekar borde användare inte behöva aktivera totalsträckskryptering över huvud taget. Det borde vara påslaget som standard. Vilket också var Metas ambition och linje för bara ett par år sedan.

Detta är inte Metas enda policyförändring. På senare år har koncernen drivit linjen om lagstiftning kring åldersgränser och annan reglering av sociala medier. Vilket är en lobbykampanj som nu börjar bära frukt i många olika länder samtidigt – trots att det är en usel och farlig idé som sågas av över 400 ledande forskare.

Meta har också bedrivit lobbying för linjen att man skall bygga in funktioner för åldersverifiering i telefonernas och datorernas operativsystem. Vilket i fallet med open source-system som Linux är omöjligt (även om enskilda distributioner kanske faller till föga).

Även detta börjar nu bli verklighet, med början i vissa amerikanska delstater.

Tar man ett steg tillbaka och betraktar helheten känns det uppenbart att Meta vill lägga mer ansvar på lagstiftning och mindre på sig själva. Vilket kanske kan vara rationellt ur deras perspektiv. Men förödande för ett fritt och öppet internet.

Det tycks som att Meta inte står på användarnas sida – trots att dessa användare (och deras data) är företagets största tillgång.

Relaterat:
• Nikka Systems: Meta slutar stödja säkra Instagram-meddelanden »
• Politiken struntar i forskarnas varningar – kräver åldersgränser för sociala medier »

Politiken tar kontroll över internet

5 mars 2026 av Henrik Alexandersson

Det är en väldig fart på regleringen av internet just nu. Politiken »tar kontroll över utvecklingen«, som Magdalena Andersson (S) uttrycker saken.

Vilket är en diskutabel position. Politisk styrning och utveckling visar sig ofta vara oförenliga storheter.

Åldersgränser, anonymitet, övervakning och censur är några aktuella ämnen. Dessutom har vi EU-kommissionens förslag till nytt datalagringsdirektiv, som förväntas komma under mandatperioden.

Om ministerrådet får bestämma skall data om i princip allt du gör online lagras – ner till minsta matbeställning.

I Sverige finns ett tillfälligt stoppat förslag om att operatörerna skall tvingas lämna ut innehållet i elektroniska meddelanden till myndigheterna – i läsbar form.

Vilket betyder av-krypterad information. Vilket i sin tur kräver bakdörrar till krypterad kommunikation. Det är en röd linje, av många goda skäl.

Och när man talar om lämna ut innehållet – då får man förutsätta att även det lagras. Vilket i så fall är ett rätt stort kliv från att »bara« lagra metadata om dina kommunikationer.

Sammantaget framstår det som ett irreversibelt flöde av nya övervaknings- och regleringsförslag.

Ett skäl kan vara att den tekniska utvecklingen nu möjliggör den kontroll av medborgarna som är en oemotståndlig frestelse för makthavare. Och med AI blir massövervakning skalbar.

Ett annat skäl är att internet är ett relativt nytt fenomen – och därmed obruten mark för reglering och byråkrati. Varesig det behövs eller ej. Genom att lägga sig i saker de ofta inte begriper försöker politikerna motivera sin existens.

Ett tredje skäl kan vara att politikerna på riktigt är rädda för folket. Speciellt när tecken tyder på en spricka mellan det officiella politiska projektet och delar av befolkningens åsikter.

Själv är jag övertygad om att politikerna hatar internet. Det ger folk möjlighet att ifrågasätta och lägga sig i, istället för att tiga och lyda. Det möjliggör spridning av andra åsikter än de officiellt påbjudna. Det gör det möjligt för folk att organisera motstånd mot idiotiska förslag.

Fria informationsflöden decentraliserar makt. Därför har makthavare alltid varit emot en sådan utveckling – från boktryckarkonsten och framåt.

Chat Control 2: Nu börjar förhandlingarna

25 februari 2026 av Henrik Alexandersson

Torsdag den 26 februari börjar förhandlingarna om Chat Control 2 mellan EU-kommissionen, EU:s ministerråd och Europaparlamentet. Här är en översikt av läget.

Men först: Det råder en del förvirring då den nuvarande lag som tillåter meddelandetjänster att frivilligt skanna sina användares icke-totalsträckskrypterade meddelanden (Chat Control 1) håller på att förlängas i väntan på Chat Control 2.

Det är i sig en problematisk lag – men tillfällig i väntan på att man kommer fram till ett förhandlingsresultat för CC2.

CC1 är inget vi vill ha – men praktiskt sett är det viktigare att lägga energi på att se till att CC2 (som är den lag vi kommer att få leva med på lång sikt) blir så bra som möjligt.

• Således, fokus på Chat Control 2:

Läget inför förhandlingarna är, som vi tidigare kunnat rapportera, följande:

EU-kommissionens ursprungliga förslag finns kvar i bakgrunden. Det innebär obligatorisk skanning av allt innehåll i alla användares elektroniska meddelanden, filer i molnet med mera. Det var tänkt att även gälla totalsträckskrypterad kommunikation (även om det inte fungerar i verkligheten).

EU:s ministerråd drev länge idén om client-side-scanning. Det vill säga spionprogram på system- eller applikationsnivå på alla telefoner och datorer, som granskar innehållet i meddelanden redan innan de krypteras och sänds. Dock lyckades man inte få tillräcklig majoritet för detta förslag.

Rådet är därför, enkelt uttryckt, nu istället för en förlängning av den frivilliga skanningen inom ramen för CC1.

Europaparlamentets position fastställdes redan i oktober 2023 och är, kortfattat:

Ingen skanning av innehållet i totalsträckskrypterad (E2EE) kommunikation.
Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
Beslut om övervakning skall fattas av en domstol.
Ingen skanning efter olagligt innehåll i elektroniska konversationer (text, IP-samtal m.m.).

Under hösten har EU-kommissionen signalerat att den föredrar Europaparlamentets hållning framför ministerrådets, om den måste välja.

Nu börjar förhandlingarna, som sker bakom stängda dörrar. Här är förhandlingsdokumentet, med alla de tre institutionernas positioner (PDF). »

Här gäller det att Europaparlamentet håller fast vid sin position – som antogs i unikt stor enighet. Men bakom den eniga fasaden finns krafter inom delar av den socialdemokratiska gruppen S&D och borgerliga EPP som egentligen vill ha en så omfattande övervakning som möjligt. För dem var parlamentets nej mest ett sätt att få bort frågan från EU-valrörelsen.

Framåt slutet av veckan lär information från trilog-förhandlingarna börja läcka ut.

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »

CC0

UK: Åldersgräns för VPN

16 februari 2026 av Henrik Alexandersson

Den brittiska regeringen vill införa en åldersgräns för VPN. Frågan är hur.

Jag ser att britterna tänker införa åldersgräns – det vill säga ID-krav – för VPN. Den officiella förklaringen är att man vill hindra minderåriga från att kringgå den åldersgräns för allehanda webplatser som nyss infördes under Online Safety Act.

Man kan undra hur det är tänkt att gå till.

Skall man införa en åldersgräns för VPN i Apples och Googles app-stores? Det ger noll koll på vem som använder enheten som tjänsten är installerad på. Och hur gör man med egenkonfigurerade VPN:er? Eller sideloadade appar från externa källor?

Eller skall man kräva ID när användaren registrerar sig hos VPN-leverantörer? Vilket i så fall kommer att driva användare till VPN-tjänster utanför EU – som i värsta fall kan vara hotaktörer.

Hur gör man med egenhostad eller decentraliserad VPN? Hur gör man när ett konto har flera användare, till exempel i en familj? Inte heller detta ger koll på vem som verkligen använder tjänsten.

Skall man kanske tvingas identifiera sig varje gång man ansluter till VPN? Det vore i så fall en total konceptkollaps.

Man skulle kanske kunna tänka sig någon form av IP-blockering som analyserar trafiken på paketnivå… Vilket känns allt mindre realistiskt ju mer man tänker på saken. Det skulle kräva en total övervakningsapparat.

För att verkligen stoppa icke-godkänd VPN-trafik skulle staten behöva kontrollera all trafik, all programvara och alla användares identitet vid varje givet tillfälle.

Eller skall man koppla ID-kontrollen till enheten, till varje telefon, varje dator och varje surfplatta – där alla tilldelas ett obligatoriskt digitalt ID? Vilket för övrigt inte heller ger koll på vem som verkligen använder enheten.

Det tycks det finnas två spår. Det ena är meningslös symbolpolitik som är lätt att kringgå. Det andra är en utveckling mot ett identitetsbaserat internet.

ID-krav för VPN slår mot rätten till anonymitet och privatliv. Systemet är samtidigt lätt att kringgå. En global implementation är svår att genomdriva. Risken för överblockering och teknikförbud är uppenbar. Det drabbar till exempel journalister, visselblåsare och aktivister – som kan ha fullt rimliga skäl att vara anonyma.

Möjligen kan ett ID-krav för VPN även bryta mot den grundläggande mänskliga rättigheten till privatliv och privat kommunikation.

Det kan även strida mot yttrandefrihetens rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning. Europadomstolen har redan tidigare etablerat en praxis om att anonym kommunikation är en viktig del av yttrandefriheten.

Europadomstolens praxis visar att anonym kommunikation kan omfattas av skydd enligt artikel 8 och 10.

Det skall bli oerhört intressant att se hur detta är tänkt att gå till.

Mycket talar för att förslaget är ytterligare ett exempel på politiska beslutsfattare som inte begriper vad de sysslar med.

Chat Control – en uppdatering

10 februari 2026 av Henrik Alexandersson

Sviker Europaparlamentet sitt motstånd mot Chat Control 2 om det accepterar en förlängning av Chat Control 1?

Just nu pågår två processer parallellt vad gäller Chat Control.

• Förlängning av Chat Control 1

EU:s ministerråd har backat från idéerna om obligatorisk client-side-scanning av innehållet i meddelanden på folks telefoner och datorer. Istället accepterar man enkelt uttryckt en förlängning av dagens frivilliga skanning.

EU-kommissionen har därför föreslagit att den frivilliga skanningen av icke totalsträckskrypterade meddelanden (Chat Control 1) som redan idag sker hos vissa operatörer (främst Meta / Messenger) förlängs till april 2027.

Detta i väntan på att ministerrådet och Europaparlamentet skall komma fram till en gemensam slutlig ståndpunkt om hur frågan om Chat Control 2 skall lösas på lång sikt.

Vad gäller den tillfälliga förlängningen av den frivilliga skanningen (CC1) håller parlamentet på att formulera en position (PDF). Vilket ligger en bit från vad man kommit fram till i huvudfrågan (CC2).

Enkelt uttryckt frångår Europaparlamentet sitt motstånd mot CC2 och accepterar att CC1 fortsätter med sin svepande skanning av innehåll i folks meddelanden utan misstanke om brott i ett år till.

Det skall dock endast ske för att identifiera redan kända olagliga bilder med övergrepp mot barn. Detta betyder att man inte vill experimentera med AI-skanning för att identifiera tidigare okänt sådant innehåll.

Vilket sannolikt är lika så bra, eftersom felprocenten vad gäller det redan kända flaggade olagliga innehållet enligt tysk polis (BKA) ligger runt 50%.

Man vill inte heller söka igenom textinnehållet i användarnas meddelanden.

Även om detta är bättre än CC2 och även om det bara skall gälla ett drygt år – så handlar det fortfarande om urskiljningslös skanning av innehåll i folks meddelanden utan misstanke om brott. Vilket är problematiskt.

• Chat Control 2

Här finns lite olika ingångsvärden inför trilogförhandlingarna:

EU-kommissionens ursprungliga förslag om obligatorisk skanning av allt innehåll i alla användares elektroniska meddelanden, filer i molnet med mera. Det var tänkt att även gälla totalsträckskrypterad kommunikation (även om det inte fungerar i verkligheten).

EU:s ministerråd drev länge idén om client-side-scanning. Det vill säga spionprogram på system- eller applikationsnivå på alla telefoner och datorer som granskar innehållet i meddelanden redan innan de krypteras och sänds. Dock lyckades man aldrig få tillräcklig majoritet för detta förslag. Rådet är därför, enkelt uttryckt, för en förlängning av den frivilliga skanningen inom ramen för CC1.

(De flesta medlemsstater vill dock fortfarande ha client-side-scanning. Men ett antal länder som Tyskland, Polen med flera lyckades upprätthålla en blockerande minoritet. Ministerrådets senaste position är därför något av en halvhjärtad nödlösning.)

Europaparlamentets position fastställdes redan i oktober 2023 och är, kortfattat:
• Ingen skanning av innehållet i totalsträckskrypterad (E2EE) kommunikation.
• Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
• Beslut om övervakning skall fattas av en domstol.
• Ingen skanning efter olagligt innehåll i elektroniska konversationer.

Under hösten har EU-kommissionen signalerat att den i vissa avseenden föredrar Europaparlamentets hållning framför ministerrådets, om den måste välja.

Detta är alltså läget när de tre institutionerna nu går in i trilogförhandlingar (26 februari, 4 maj och 29 juni) bakom stängda dörrar.

Samtidigt finns det farhågor om att Europaparlamentets hållning till CC1 (ovan) skall smeta av sig på parlamentets tidigare nej till det mesta av substans i CC2. Några formella beslut som tyder på att så är fallet finns inte. Men flera initierade kritiker tycks vara övertygade om att det är så.

Vilket innebär att vi måste hålla hög beredskap så att parlamentet inte avviker från sitt ursprungliga ställningstagande. Ett sätt att hålla trycket uppe är att höra av sig till berörda ledamöter.

Aktuella länkar:
• Chat Control 1.0: Civil Society Mobilizes Against Extending Mass Surveillance – EU Parliament Decision Imminent »
• Sippel Draft on Chat Control – Mass Surveillance Set to Continue, Sparking Renewed Protests »
• Europaparlamentets utkast till förlängning av Chat Control 1 (PDF) »

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »

CC0

AI-agenter, säkerhet och lagstiftning

3 februari 2026 av Henrik Alexandersson

Om man ser bortom den science fiction-artade hypen kring AI-agenter väcker de massor av praktiska frågor som rör säkerhet och lagstiftning.

En AI-agent är en proaktiv och självständig assistent som inte bara svarar på frågor, utan utför faktiska uppgifter i din digitala miljö. Genom att använda språkmodeller för att planera och verktyg för att agera kan den fatta egna beslut för att uppnå ett slutmål, som att boka en resa eller skriva kod. Den kan även samverka med andra AI-agenter. Det är i praktiken steget från en chatbot som pratar till en digital medarbetare som gör jobbet åt dig.

Vilket ju är praktiskt och bekvämt. Men inte utan problem.

Cyber Insider:

»Signal Foundation president Meredith Whittaker said artificial intelligence agents embedded within operating systems are eroding the practical security guarantees of end-to-end encryption (E2EE).

(…) While encryption remains mathematically sound, Whittaker argued that its real-world protections are increasingly bypassed by the privileged position AI systems occupy inside modern user environments.«

Problemet uppstår när AI-agenter integreras med operativsystem genom omfattande behörigheter och tillgång till användardata.

Detta rycker undan den grund som till exempel säkra meddelande-appar vilar på. För att fungera som utlovat behöver agenterna tillgång till meddelanden, inloggningsuppgifter och interaktion mellan applikationer.

Detta kan bli en säkerhetsmässig mardröm. För att inte tala om när AI-agenter går online och/eller samverkar med andra AI-agenter. Här finns risk för allt från missförstånd och dataläckage till prompt injection.

Vad gäller meddelande-appar kan AI-agenter komma att göra det som EU:s ministerråd försökte få till med Chat Control 2: Client-side-scanning. Det vill säga komma åt innehåll innan det krypteras och sänds alternativt efter att det mottagits och dekrypterats.

Juridiskt är detta otrampad mark. Vem är ansvarig för vad en autonom AI-agent tar sig för? Eller för samverkande AI-agenter? Fattas beslut och utförs handlingar självständigt eller är det bara kod? Omfattas AI-agenter av yttrandefriheten?

AI-agenter kringgår till stora delar de premisser för lagstiftning som Digital Services Act och EU:s AI Act vilar på. Hur utövar man ens tillsyn över denna exponentiella utveckling?

Räkna med att detta kommer att leda till politiska panikåtgärder. Denna gång på ett område där de politiska makthavarna är extra okunniga.

• Signal president warns AI agents are making encryption irrelevant »

CC0

Storbritannien inför client-side-scanning

20 januari 2026 av Henrik Alexandersson

Britterna utökar nu sin Online Safety Act till att även omfatta kontroll av innehållet i medborgarnas elektroniska meddelanden innan de krypteras och sänds.

Storbritanniens Online Safety Act utökas ständigt. Nu senast har man föreslagit en tillämpning av sektion 121 som öppnar för client-side-scanning. Det vill säga att man söker igenom användarnas elektroniska meddelanden innan de krypteras och sänds.

På så sätt kringgår man totalsträckskryptering (E2EE) samtidigt som man påstår sig respektera den. Men i praktiken gör man den meningslös.

Det vill säga samma sak som EU.s ministerråd (och den svenska regeringen) ville ha i Chat Control 2, men tvingades backa från.

Client-side-scanning kan ske på system- eller applikationsnivå. I det brittiska fallet verkar det handla om att varje meddelandetjänst/app måste ha sin egen spionmodul (»ackrediterad teknologi«) som kontrollerar innehållet i alla meddelanden innan de krypteras och sänds – och som i förekommande fall automatiskt flaggar och rapporterar misstänkt innehåll.

Ändringen är tänkt att träda i kraft i april i år. Tillsynsmyndigheten Ofcom vill att skanningen även skall utökas till fildelningstjänster och molnlagring.

Integritetsmedvetna meddelandetjänster som Signal säger att de inte tänker installera några sådana spionmoduler i sina appar. Hellre drar de tillbaka sina tjänster från Storbritannien.

Signal har tillsammans med bland andra WhatsApp och Element skrivit brev till den brittiska regeringen där de varnar för att lagen skapar en global mall som auktoritära regimer kan använda för att tvinga fram övervakning.

I sammanhanget kan påpekas att Storbritannien fortfarande är medlem i Europarådet och att man därmed är bunden till dess konvention om de mänskliga rättigheterna. I vilka rätten till privatliv och privat korrespondens är en central punkt. Även konventionens formulering om yttrandefrihet kan vara aktuell.

CC0

Tillrättalagt om Chat Control med EU-ministern

9 januari 2026 av Henrik Alexandersson

EU-ministern putsar på regeringens anseende i frågan om Chat Control.

EU-minister Jessica Rosencrantz (M) intervjuas i Svenska Dagbladet. Bland annat kommer samtalet in på Chat Control. Ministern säger vad hon förväntas säga, det vill säga så lite som möjligt.

»Det är en komplex fråga där regeringen hela tiden har försökt balansera olika viktiga principer. Det ena är att vi ser fruktansvärda övergrepp mot barn och unga online, som vi såklart vill hitta verktyg för att komma åt. Samtidigt vill vi värna den personliga integriteten och se till att de verktyg som måste användas är väl avvägda.«

I intervjun säger hon sig vara nöjd med ministerrådets position om att det skall vara frivilligt för meddelandetjänster att skanna innehållet i sina användares elektroniska meddeladen. Vilket inte var den linje den svenska regeringen drev i EU:s ministerråd.

Notera även att ministerrådets linje fortfarande är urskiljningslös masskanning av folks meddelanden utan misstanke om brott.

Det är ministerns jobb att få regeringen att se hygglig ut. Men intervjun ger inte en fullständig bild av verkligheten. Och det handlar inte bara om den integritetsaspekt som hon tar upp.

Som den skickliga politiker hon är lyckas EU-ministern ducka hela säkerhetsdebatten kring kryptering – i vilken den svenska regeringen intog en aggressiv och problematisk position.

Den 14 september 2023 presenterades regeringens linje för riksdagens EU-nämnd. »En spårningsorder måste i sista hand kunna verkställas utan hinder av att en tjänst är krypterad, t.ex. genom en maskinscanning innan meddelandet krypteras och skickas.«

Det vill säga client-side-scanning med spionprogram på system- eller applikationsnivå på alla telefoner, plattor och datorer.

Så även om ministern säger sig vara nöjd med ministerrådets beslut, så är det inte den linje den svenska regeringen drev.

For the record.

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »

Chat Control – håll motståndet levande

7 januari 2026 av Henrik Alexandersson

Bara för att Chat Control 2 gått in i förhandlingar bakom stängda dörrar får motståndet inte tystna. Tvärtom är det nu viktigare än någonsin.

EU-kommissionens förslag om att granska innehållet i folks elektroniska meddelanden har visserligen vattnats ur och nu gått in i förhandlingar bakom stängda dörrar. Men det innebär inte att motståndet kan skruvas ner. Tvärtom kan det just nu vara viktigare än någonsin att hålla frågan levande.

Men låt oss börja med en snabb tillbakablick. EU:s ePrivacy-direktiv gav ett starkt skydd för medborgarnas elektroniska korrespondens. Så starkt att den skanning efter material med övergrepp mot barn som många operatörer frivilligt ägnade sig åt skulle bli omöjlig. Därför gjorde man ett undantag – Chat Control 1 – för att denna verksamhet skulle kunna fortsätta.

Men EU-kommissionen var inte nöjd. Förra EU-kommissionären Ylva Johansson föreslog att denna skanning skulle bli obligatorisk och att den skulle medföra en granskning med AI av innehållet (även text och ljud) i alla elektroniska meddelanden, IP-samtal, filer som lagras i molnet med mera.

Detta är en verksamhet vars syfte lätt kan utökas – vilket ofta sker med övervakningslagar.

Chat Control 2 skulle även gälla totalsträckskrypterade (E2EE) meddelanden. Ylva Johansson framhärdade i den märkliga uppfattningen att det går att granska innehållet i meddelanden som är krypterade från avsändare till mottagare utan att öppna dem. Som »en knarkhund«. Vilket är nonsens. (En knarkhund analyserar luften runt ett föremål – inte innehållet i en förseglad behållare.)

Idag är företag, myndigheter, privatpersoner, dissidenter, visselblåsare och många andra beroende av totalsträckskryptering för säker kommunikation. Att skapa »bakdörrar« skulle göra människor med ett fullt giltiga skäl för sådan säker kommunikation – i hela världen – sårbara för cyberbrottslighet, spionage och angrepp. För oliktänkande i skurkstater är det rent av en fråga om liv och död.

Europaparlamentets utredningstjänst, kommissionens och ministerrådets egna rättstjänster, EU:s dataskyddsmyndighet, FN:s människorättskommissionär samt tusentals forskare, säkerhetsexperter, jurister och andra varnade för att Chat Control 2 är en uppenbar kränkning av vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Till och med EU-kommissionen själv noterade i sitt förslag att det strider mot såväl rätten till privatliv som yttrandefriheten och skyddet för persondata. Med mera. Men konstaterar i nästa andetag att man ändå anser intrånget acceptabelt.

Här är det värt att påminna om den princip som EU-domstolen redan formulerat: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Europaparlamentet sa i unikt bred enighet nej till Chat Control 2 i alla dess centrala delar. Före EU-valet. Vilket förhoppningsvis står sig, även om vissa politiska grupper är splittrade.

Men i EU:s ministerråd körde frågan fast – i åratal. Ett antal olika förslag lades fram. Det senaste i raden föreslog client-side-scanning – det vill säga spionprogram på alla telefoner och datorer, som kontrollerar innehållet i våra meddelanden innan de krypteras och sänds iväg. På så sätt menade man sig respektera rätten till krypterad kommunikation. Det är hårklyverier.

I slutet av förra året gick det dock inte att komma längre i ministerrådet, då tunga länder som Tyskland, Österrike och Polen sa nej. (Den svenska regeringen har dock konsekvent röstat ja till Chat Control 2, trots att M och L gick till val på att säga nej till förslaget i EU-valet 2024.)

I december kom ministerrådet därför fram till att det är bättre att fortsätta som tidigare (Chat Control 1), med frivillig skanning hos de meddelandetjänster som vill och som informerar sina användare om det i villkoren.

Med tillägget att ministerrådet vill se en åldersgräns för meddelandetjänster och meddelande-appar. Vilket känns orealistiskt och ogenomtänkt.

Nu är inte heller Chat Control 1 oproblematisk. Det handlar fortfarande om att skanna innehållet i en stor del av befolkningens elektroniska meddelanden utan misstanke om brott. Men alternativ som respekterar sina användares privatliv kommer i vart fall att vara tillåtna.

Efter ministerrådets ställningstagande har ärendet gått vidare till trilogförhandling mellan kommissionen, rådet och parlamentet – bakom stängda dörrar. Och här finns skäl för oro.

Nu när den offentliga kritiken är satt på paus och förhandlingarna flyttat in i slutna rum kan vad som helst hända. Visserligen måste både ministerrådet och Europaparlamentet i slutändan godkänna den kompromiss man kommer fram till. Men det är nu som dåliga delar av Chat Control 2 kan få nytt liv och helt nya problematiska detaljer kan tillföras i smyg.

Därför måste motståndet och opinionsbildningen mot Chat Control 2 fortsätta.

Europaparlamentets förhandlare skall veta att det finns ett offentligt tryck för att de skall stå fast vid sitt nej. Ministerrådet skall veta att det kommer att bli bråk igen om dess förhandlare fulspelar. Och EU-kommissionen skall veta att vi kräver att den försvarar våra grundläggande fri- och rättigheter – som är en del av EU:s fördrag.

Denna dossier är fortfarande öppen. It ain’t over til the fat lady sings.

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »

CC0