Femte juli

Nätet till folket!

Länktips

Vi använder kategorin länktips dels när vi vill tipsa om något intressant, dels när vi publicerar andra poster med många och/eller bra länkar.

EU-domstolen på väg ge grönt ljus för registrering av alla dina resor

av

EU-domstolens generaladvokat föreslår att registrering av alla våra resor kan fortsätta. Vilket dock strider mot andra domar mot svepande övervakning utan misstanke om brott.

I ett förslag till dom i EU-domstolen föreslår dess generaladvokat att EU:s PNR-system (Passenger Name Record) kan fortsätta. Vilket – intressant nog – i någon mening kolliderar med tidigare domar som sätter stopp för urskiljningslös övervakning och registrering, som till exempel datalagringen.

Vanligtvis följer domstolen generaladvokatens rekommendationer. Men i just detta fall kan det bli annorlunda, på grund av ovan nämnda förhållande till andra domar.

PNR-systemet är till för att registrera alla flygpassagerares namn och personliga information. Det kan till exempel handla om vem du reser med, hur du betalt din biljett, om du har ovanligt lite bagage, din hälsoinformation, om du beställt specialkost med mera. Denna information överförs sedan till polisen innan planet avgår.

Ärendet är väckt av belgiska Ligue des droits humains. Värt att notera är att Belgien redan utökat systemet till att även gälla internationella resor med tåg, buss och båt. Vilket är något som fler EU-länder överväger att ta efter. Det diskuteras även PNR för bilhyra och hotellövernattningar.

• Statewatch: EU: Mass travel surveillance: no problem, says court »
• Verfassungsblog: A cautious green light for technology-driven mass surveillance »

EU vill göra Europols olagliga registrering av icke misstänkta laglig

av

Europol samlar på sig information om människor som inte är misstänkta för brott. Nu vill EU ändra reglerna för att göra denna olagliga verksamhet laglig – trots att den strider mot EU:s fördrag och förordningen om dataskydd.

I åratal har Europol samlat på sig mer data än vad lagen tillåter. Det handlar om personuppgifter där det inte kan påvisas att de registrerade personerna ägnar sig åt något olagligt eller har brottsligt samröre.

Nu har EU:s datatillsynsmyndighet EDPS beordrat Europol att radera denna information. Computer Sweden skriver:

»EDPS ger Europol ett år på sig att ta reda på vad som lagras på ett lagligt sätt, och de ska även radera nyligen insamlade uppgifter som inte kategoriserats inom sex månader.«

Europol anser sig dock inte ha gjort något fel. Och EU:s inrikeskommissionär Ylva Johansson säger till The Guardian:

»De brottsbekämpande myndigheterna behöver verktygen, resurserna och tiden för att analysera data som lagligen överförts till dem. (…) I Europa är Europol plattformen som stödjer de nationella polismyndigheterna i denna gigantiska uppgift.»

Slovenien ställde sig under sitt EU-ordförandeskap förra halvåret på Europols sida. Statewatch rapporterar:

»There has been ”significant progress” in negotiations on new powers for EU police agency Europol, according to a document circulated by the Slovenian Presidency of the Council in December. The police agency was recently ordered to delete vast amounts of personal data that it was processing illegally – but the new rules would allow those practices to continue. Member states may be hoping to approve the new rules before the agency has to implement the deletion order.«

EDRi noterar samma sak:

»The indiscriminate bulk data collection and algorithmic analyses of the “uncategorised” data by Europol violates EU data protection law, the EU Charter of Fundamental Rights and the Treaties. However, these activities not only continue in spite of the EDPS strong criticism – the EU institutions try to legalise them under the revised Europol Regulation.«

I sammanhanget är det värt att notera att det snart kommer en dom i EU-domstolen om PNR, det vill säga Passenger Name Record som handlar om att samla in persondata om alla flygresenärer. Detta kan komma att bli en signal om hur man får eller inte får samla in information. Om domstolen går på samma linje som när det gäller datalagringen lär domen bli att man inte får ägna sig åt urskiljningslös övervakning och datainsamling, speciellt inte utan misstanke om brott.

Det är dock inget det nuvarande franska EU-ordförandeskapet tänker vänta på. Åter till Statewatch:

»The French Presidency of the Council wants to enter secret ”trilogue” negotiations with the European Parliament and European Commission on new rules governing Europol, the EU policing agency, with a text including a ”workaround” to allow Europol to hold on to vast quantities of personal data that it is currently processing illegally.«

»The Presidency’s proposal seeks to allow agencies and states that illegally provided data to Europol to be able to give their consent for its ongoing processing under the new rules, which would legalise existing practices…«

EU tänker alltså göra olaglig övervakning och registrering – som strider mot EU:s fördrag och dataskyddsförordning – laglig genom hemliga förhandlingar.

EU-kommissionen och ministerrådet är redan ombord. Sedan får vi se vad som händer när Europaparlamentet skall behandla den nya regleringen för Europol.

Skulle de föreslagna förändringarna bli verklighet är det uppenbart att frågan kommer att gå vidare till EU-domstolen.

Länkar, i tidsordning:
• MEP Patrick Breyer (PP, DE): Stop Europol’s illegal bulk data collection! »
• Computer Sweden: Europol tvingas radera stora mängder personuppgifter »
• The Guardian: A data ‘black hole’: Europol ordered to delete vast store of personal data »
EDPS Decision on the retention by Europol of datasets lacking Data Subject Categorisation (PDF) »
• Statewatch: EU: Europol: ”Significant progress” on legalising illegal data practices »
• EDRi: The EU’s own ‘Snowden Scandal’: Europol’s Data Mining »
• Statewatch: Europol: Council Presidency proposes workaround for illegal data processing »

#ChatControl2: EU-förslag på väg om obligatorisk av-kryptering och granskning av meddelanden och e-post

av

EU-kommissionen vill nu göra granskning av innehållet i dina meddelanden och din e-post obligatorisk.

Den 2 mars planerar EU-kommissionen att presentera ChatControl 2 (meddelandekontroll) – som innebär att det blir obligatoriskt för meddelandetjänster och e-post-leverantörer att av-kryptera och granska innehållet i alla användares alla elektroniska kommunikationer.

ChatControl1 är redan beslutad i EU och ger operatörerna möjlighet att göra detta. ChatControl2 gör det obligatoriskt.

Fortfarande är det dock ett mysterium hur man tänker hantera företags, organisationers och privatpersoners egna e-post-servrar. För att inte tala om P2P-kryptering. Och meddelandetjänster utanför EU.

Syftet är att kontrollera att du inte ägnar dig åt sexuella övergrepp på barn. Vilket dock snabbt kan utökas när systemet väl är klubbat och klart.

EU-kommissionen ber nu alla medlemsstater plus Norge, Island och Ukraina att komma in med fem exempel var på övergrepp mot barn för att motivera sitt förslag och för ”policy development”. Även Storbritannien tycks vara med på ett hörn.

Förslaget har redan brett stöd i EU:s ministerråd. En intressant detalj är att den förra tyska regeringen under sitt ordförandeskap drev på i dessa frågor. Men – den nya tyska regeringen säger i sitt koalitionsfördrag nej till generell övervakning, speciellt av privat kommunikation. Vilket rimligen bör innebära ett nej till ChatControl.

Den nya tyska regeringens samarbetsavtal säger även en att rätten till kryptering skall garanteras. Vilket rimligen också bör sätta käppar i hjulet för ChatControl. I den mån man tänker stå för vad man kommit överens om, vill säga.

Vi följer utvecklingen.

• Chat control: Schengen states should promote decryption of messengers »
• Våra tidigare poster om ChatControl »
• Analys: Tyskland gör en u-sväng i övervakningsfrågorna »

EU vill skapa egen DNS-infrastruktur som kan blockera innehåll

av

Säkerhet och dataskydd anges som skäl när EU vill skapa ett eget DNS-system för internet. Men det öppnar även dörren för blockering av oönskat innehåll.

EU planerar att skapa en egen DNS-tjänst – DNS4EU. Den är tänkt att bryta den amerikanska dominansen på området, leva upp till GDPR och skall tillhandahållas gratis för alla – inklusive backbone networks. Den skall också kunna användas för att blockera oönskat innehåll online.

EU identifierar ett antal problem som att DNS-systemet idag hanteras av ett fåtal operatörer, cybersäkerhet och dataskydd. Man skriver:

»DNS4EU shall offer a high level of resilience, global and EU-specific cybersecurity protection, data protection and privacy according to EU rules, ensure that DNS resolution data are processed in Europe and personal data are not monetised.«

EU:s nya DNS-system är inte bara tänkt att skydda mot skadlig programvara och cyberangrepp – utan även blockera ”olagligt innehåll”. Vilket samtidigt ökar risken för överblockering.

TorrentFreak rapporterar:

»The project overview stresses that filtering and blocking measures should be in line with national rules so we assume that the DNS resolver may treat traffic from individual member states differently if needed.«

Detta är intressant. Allt som politikerna i länder som till exempel Polen, Ungern och Frankrike ogillar kommer alltså att kunna censureras.

Lägg till detta att EU:s nya Digital Services Act talar om att myndigheter i en medlemsstat skall kunna beordra nedtagning av innehåll på servrar i andra länder – och man kan börja ana ett mönster.

Den större frågan är om det är klokt att ge EU, dess politiker och tjänstemän makt över DNS-systemet.

Förslaget knyter även an till den eviga frågan om DNS-blockering över huvud taget är en bra, meningsfull eller ens effektiv metod att stoppa oönskat och olagligt innehåll. Ledamoten av Europaparlamentet Patrick Breyer (PP, DE) säger till Torrent Freak:

»Access blocking leaves content online and therefore can easily be circumvented and often results in overblocking and collateral suppression of legal speech hosted on the same website, by the same provider or via the same network. (…) Illegal content should be removed where it is hosted.«

Och om innehåll (mer än rent tekniskt skadligt) skall plockas bort bör det inte kunna ske med mindre än föregående rättslig prövning – med sedvanlig möjlighet att överklaga.

I sammanhanget skall man även komma ihåg förslaget om att din webb-läsare måste acceptera allt staten säger åt den att acceptera – eIDAS. Vi skrev om detta strax innan jul:

»Den browser du använder skall tvingas acceptera interaktion med sådan tredje part som beslutas av regeringen – utan nödvändiga säkerhetsgarantier och helt utanför HTTPS certifikatsystem.«

Sammantaget känns det som om man ger politik och förvaltning oroväckande stor makt över internets nervsystem.

• TorrentFreak: The EU Wants Its Own DNS Resolver that Can Block ‘Unlawful’ Traffic »
• The Record: EU wants to build its own DNS infrastructure with built-in filtering capabilities »

Relaterat:
Förslag: Din webb-läsare måste acceptera allt staten säger åt den att acceptera »

Är Google Analytics olagligt i EU?

av

Användning av Google Analytics har bedömts stå i strid med EU:s dataskyddsförordning, GDPR. Så vad händer nu?

I Österrike har dataskyddsmyndigheten, Datenschutzbehörde (DSB), kommit fram till att användning av Google Analytics strider mot dataskyddsförordningen (GDPR).

Skälet är att persondata överförs till USA, vilket strider mot den så kallade Schrems II-domen i EU-domstolen.

Liknande klagomål har nu lämnats in i de flesta EU-länder.

Scherms II är ett steg i den decennielånga dragkampen om överföring av persondata till USA, där sådan information kan komma att hamna i händerna på NSA (”collect it all”) och andra underrättelseorgan. (FISA 702-reglerna.)

Hanteringen av sådan överföring har i stor delar varit under all kritik och bland annat kritiserats hårt av Europaparlamentet.

Striden har sitt ursprung redan i början av 2000-talet med överföringen av europeisk bankdata i bulk till amerikanska myndigheter, som en del i kriget mot terrorismen.

Scherms II-domen innebar att Privacy Shield-avtalet mellan EU och USA upphävdes, då det inte uppfyllde de krav som utlovats.

Ett sätt att lösa problemet skulle kunna vara att USA utfärdar vattentäta garantier för att europeisk persondata inte kommer att missbrukas där. Vilket inte tycks ske. Ett annat alternativ är att tjänster som Google Analytics delas upp, så att europeisk persondata stannar och analyseras inom EU:s gränser. Vilket inte heller tycks ske. Så läget förefaller rätt låst.

Google säger till The Register (i översättning av Computer Sweden):

»Människor vill att webbplatserna de besöker ska vara väldesignade, lätta att använda och respektera deras integritet. Google Analytics hjälper återförsäljare, regeringar, icke-statliga organisationer och många andra att förstå hur deras webbplatser och appar fungerar för användarna – men inte genom att identifiera individer eller spåra dem på webben. Dessa organisationer, inte Google, kontrollerar vilka data som samlas in med dessa verktyg och hur den används. Google hjälper till genom att tillhandahålla en rad skyddsåtgärder, kontroller och resurser för regelefterlevnad.«

Som vanligt står olika, var för sig relativt begripliga, intressen mot varandra.

• Computer Sweden: Österrikes dataskyddsmyndighet: Tyskt företag bröt mot GDPR när de använde Google Analytics »
• The Register: Austrian watchdog rules German company’s use of Google Analytics breached GDPR by sending data to US »

Folket till EU: Vi kräver rätten till anonymitet online

av

64 procent av européerna vill ha rätt att använda digitala tjänster anonymt. Och nu skall Europaparlamentet rösta om saken.

Nästa vecka kommer Europaparlamentet att rösta om EU:s nya Digital Services Act, för att fastställa sin position inför förhandlingar med ministerrådet och EU-kommissionen. Ett tilläggsförslag – från utskottet för medborgerliga fri- och rättigheter, LIBE – går ut på att introducera en rätt att använda digitala tjänster anonymt.

Inför denna votering kommer en opinionsundersökning från Yougov som visar att 64 procent av medborgarna i nio EU-länder (varav Sverige är ett) är för rätten att använda digitala tjänster anonymt. 21 procent är emot och 14 procent vet inte.

I undersökningen sticker Sverige ut som det land som är minst positivt inställt till anonymitet online, även om en majoritet är för här också. (53/27/20)

Undersökningen är beställd av ledamoten av Europaparlamentet Patrick Breyer (PP, DE), som säger:

»The European Parliament must respond to the constant data scandals and data crime online to better protect our citizens. Only uncollected data is secure data! This was recently demonstrated by the leak of unnecessarily collected mobile phone numbers of 500 million Facebook users. A right to anonymity also protects vulnerable groups from discrimination online. Next week, the European Parliament needs to seize the opportunity to meet citizens’ demand for protecting their digital privacy better.«

Läs mer: Survey on the Digital Services Act: EU citizens want the right to use digital services anonymously »

Viktiga nät- och övervakningsfrågor 2022

av

Vilka nät- och övervakningsfrågor kommer att vara aktuella 2022? Här listar vi några av de viktigaste.

• Digital Services Act (DSA)

Det finns nu ett färdigt förslag till beslut om DSA i Europaparlamentet, efter utskottens behandling, med dess tusentals ändringsförslag. Dokumentet finns här. Parlamentet kommer att rösta om det i plenum om två veckor. Därefter blir det förhandlingar mellan parlamentet, ministerrådet och kommissionen.

Förslaget om statligt godkända nätcensorer – Trusted Flaggers – finns kvar i förslaget och tycks i princip inte möta något motstånd.

Vi återkommer inom kort med en sammanfattning av dokumentet, för att se vad som är extra viktigt och vad som har ändrats.

• Datalagring

Snart kommer ännu en dom från EU-domstolen om lagringen av data om alla medborgares alla tele- och datakommunikationer. Domstolens linje har varit att svepande lagring av kommunikationsdata inte får förekomma utan misstanke om brott. Inget tyder på att den linjen kommer att ändras.

När dom meddelats kommer kommissionen och ministerrådet att besluta om sin taktik. Det kan bli fråga om ett nytt datalagringsdirektiv. Eller så låter man varje land fortsätta bråka med domstolen vart och ett för sig.

Sverige vill se ett nytt direktiv, utan begränsningar.

• Chat Control 2 / meddelandekontroll

EU har redan beslutat att meddelandetjänster och e-post-leverantörer skall ha möjlighet att av-kryptera och granska sina användares kommunikationer för att kontrollera att de inte ägnar sig år barnporr. I steg två vill man nu göra det obligatoriskt.

Dock verkar det som om den nya tyska regeringen tänker säga nej till detta.

• FRA-lagen

FRA-lagen utökas ständigt, trots alla vackra löften om motsatsen när den infördes. Nu får även innehållet i elektroniska kommunikationer inom landet, mellan svenskar granskas. Och med tiden har allt fler myndigheter fått tillgång till FRA:s spaning.

Europadomstolen för de mänskliga rättigheterna fällde i våras den svenska lagen för brott mot artikel 8 i Europakonventionen, som gäller skyddet för medborgarnas privatliv. Den svenska regeringens svar är att tillsätta en utredning – senast 2025.

• Upphovsrättsdirektivet blir svensk lag

Kraftigt försenad har regeringen nu presenterat en remiss vad gäller hur EU:s nya upphovsrättsdirektiv skall vävas in i svensk lagstiftning. I praktiken kan det komma att leda till uppladdningsfilter och så kallad länkskatt.

En detalj i sammanhanget är att en av länkskattens varmaste anhängare – Tidningsutgivarnas förra VD Jeanette Gustafsdotter – har blivit kulturminister efter vinterns regeringsombildning.

De positiva nyheterna är att vi tycks vara på väg att få undantag för ”fair use” – och att användare som får innehåll borttaget i sociala media kommer att få något slags rättssäkerhet och möjlighet att överklaga.

Detta är bara några av alla saker som är på gång. Skrolla ner i denna blogg för att uppdatera dig i fler aktuella frågor.

Förslag: Din webb-läsare måste acceptera allt staten säger åt den att acceptera

av

Nu föreslås att din webb-läsare måste acceptera allt som regeringen säger att den skall acceptera – helt utanför HTTPS certifikatsystem.

Vid behandlingen av EU:s Digital Identity Framework (eIDAS) har det lagts fram ett oroväckande ändringsförslag: Den browser du använder skall tvingas acceptera interaktion med sådan tredje part som beslutas av regeringen – utan nödvändiga säkerhetsgarantier och helt utanför HTTPS certifikatsystem.

See what they did there?

2019 försökte Kazakstans regering något liknande. Den använde certifikat-knepet för att övervaka sin befolkning. Men då kunde Chrome, Firefox och Safari blockera det aktuella certifikatet och därmed försvara kazakstanernas rätt till privatliv.

Med förslaget ovan kommer en sådan blockering inte längre vara möjlig i EU. I vart fall inte laglig. Då kommer staten att kunna snoka och placera ut vad som helst via vårt webb-interface. Det är orimligt.

Dessutom skapar man ett allmänt säkerhetsproblem. EFF:

»The amendment would require browsers to trust third parties designated by the government, without necessary security assurances. But trusting a third party that turns out to be insecure or careless could mean compromising user privacy, leaking personal or financial information, being targeted by malware, or having one’s web traffic snooped on.«

Läs mer hos EFF: EU’s Digital Identity Framework Endangers Browser Security »

Uppdatering 11 februari: EFF har mer information »

DSA: EU nu ett steg närmare statligt godkända nätcensorer

av

EU:s Digital Services Act är nu ett steg närmare slutligt beslut. En del saker är bra, en del är dåliga och en del är självmotsägelser. Samtidigt ser det ut som att EU:s nya statligt godkända nätcensorer – Trusted Flaggers – kommer att bli verklighet utan varesig diskussion eller protester.

Europaparlamentets utskott för den inre marknaden och konsumentskydd (IMCO) är huvudansvarigt utskott för EU:s nya Digital Services Act. Nu har man röstat fram ett huvudförslag som i sin tur skall upp till votering i parlamentets plenum (hela EP) nästa månad.

Det är ömsom vin, ömsom vatten. Här kommer några centrala punkter:

  • Man behåller principen om ”safe harbor” – som gör att en plattform / operatör inte kan hållas ansvarig för olagligt innehåll om de inte varit medvetna om dess existens och samtidigt vägrat ta bort det.
  • Förbudet mot generell övervakning av innehåll blir kvar och får inte heller föreskrivas genom lag eller de facto genom automatiserade eller icke-automatiserade medel. (Vilket kolliderar med den #ChatControl som man är på väg att driva igenom, såväl som de uppladdningsfilter som blir en praktisk – om än ej obligatorisk – konsekvens av andra delar av förordningen.)
  • End-to-end-kryptering skall inte begränsas.
  • Strängare regler för annonsering, speciellt när den riktas mot minderåriga.
  • Man säger nej till förslaget från utskottet för mänskliga rättigheter (LIBE) om rätten att använda och betala för digitala tjänster anonymt.
  • Krav på identifiering med telefonnummer (!) för den som laddar upp innehåll till porr-plattformar.
  • Samtycke till spårning/cookies skall kunna ske med en inställning i web-läsaren istället för pop-ups på varje sida.
  • Man röstade nej till LIBE:s förslag om att myndigheterna endast skall kunna få tillgång till användarnas användarhistorik om det handlar om att utreda allvarliga brott.
  • Man röstade även nej till LIBE:s förslag om att olagligt material skall tas bort snarare än blockeras.
  • IMCO röstade nej till LIBE:s förslag om att beslut om innehålls laglighet skall fattas av rättsväsendet istället för av administrativa myndigheter.
  • Man röstade vidare nej till LIBE:s krav på att myndigheter i en medlemsstat inte skall kunna beordra nedtagning av innehåll på servrar/plattformar i ett annat land om innehållet i fråga är lagligt i det senare.
  • Man menar att tidsramarna för nedtagning av olagligt material inte får vara orealistiskt kort.
  • Man röstade nej till LIBE:s förslag om att beslut om nedtagning av innehåll skall vara föremål för rättslig prövning samt att den som publicerat innehållet då skall få rätt att yttra sig om saken.
  • Man säger nej till obligatoriska uppladdningsfilter – men ställer samtidigt krav som kommer att leda till att sådana i praktiken blir nödvändiga.
  • Samtidigt säger man att plattformarna inte skall kunna straffa användare som sprider olagligt material genom att tillfälligt de-plattformera dem, då detta skulle försvåra rättslig prövning. (Trots att man säger nej till sådan rättslig prövning i punkten ovan.)
  • IMCO röstade vidare nej till LIBE:s förslag om att ge användarna mer makt över de algoritmer som styr vad som syns i deras individuella flöden.

Detta är bara ett litet urval. Som synes tycks en del beslut vara motstridiga eller strida mot annat som EU försöker driva igenom (som #ChatControl). Vi kommer att göra en större genomgång när det finns ett konsoliderat dokument för votering i plenum. Räkna med att LIBE kommer att försöka få igenom sina åsikter (se listan ovan) i den slutliga voteringen i kammaren. Plus att det då kommer att komma nya ändringsyrkanden.

Efter voteringen i plenum skall parlamentet, ministerrådet och EU-kommissionen förhandla sig samman i en så kallad trilog. Om den leder till ändringar kan det bli fråga om ytterligare en votering i parlamentet.

En sak nämns dock inte i rapporteringen och tycks i princip inte ifrågasättas av någon: Trusted Flaggers, det vill säga statligt godkända nätcensorer.

Trusted Flaggers skall enligt DSA kunna rekommendera (eller kräva) att plattformarna tar bort oönskat innehåll. Dessa nätcensorer skall företräda ”kollektiva intressen” och kan till exempel vara intresseorganisationer eller myndigheter. Vilket är uppseendeväckande och oroande. Men frågan förbigås i tysthet och något egentligt motstånd tycks inte finnas – inte ens bland dem som normalt sett kämpar för informationens frihet och ett fritt, öppet internet.

Länkar:
• Reuters: Key EU parliament committee agrees tough position on DSA tech rules »
• MEP Patrick Breyer (PP, DE): Digital Services Act: No game-changer for the protection of citizens’ rights online »
LIBE:s opinion (PDF) »
• EFF: EU Parliament’s Key Committee Rejects a Filternet But Concerns Remain »
• AccesNow: Victories in the DSA vote: IMCO Committee puts people’s rights before corporate interest »
• EDRi: Has the Parliament effectively wielded the Digital Services Act to challenge platform power? The verdict is, somewhat. »