Femte juli

Nätet till folket!

Privatliv

Rätten till privatliv är en grundläggande mänsklig rättighet, vilket bland annat slås fast i Europakonventionen för de mänskliga rättigheterna samt i EU:s stadga. Här publicerar vi nyheter om hur myndigheter, företag och andra aktörer vill skaffa sig tillgång till vår privata information.

Ryktet om GDPR:s död är överdrivet

av

EU-kommissionen förenklar GDPR för att minska byråkratin. Men i praktiken är det rätt lite som ändras.

EU:s dataskyddsförordning – GDPR – håller på att omarbetas som ett led i EU-kommissionens regelförenklingar för företag.

Här står olika värden mot varandra. Å ena sidan den enskildes makt över sina persondata. Å andra sidan har näringslivet klagat på att GDPR orsakar en omfattande och kostsam byråkrati.

Vad är det då som ändras?

  • Tröskeln för krav på att dokumentera databehandling av personuppgifter (registerkravet) höjs från företag (och andra) med minst 250 anställda till 750.
  • Det nuvarande undantaget från dokumentationsplikt vid tillfällig databehandling tas bort.
  • Istället skall endast databehandling som bedöms medföra hög risk för de registrerades rättigheter och friheter omfattas av registerkravet.
  • Behandling av personuppgifter som sker med stöd i lag undantas från registerkravet.

I praktiken innebär detta att endast en liten del av EU:s företag (<0,05%) kommer att omfattas av registerkravet.

Sådana register skall bland annat innehålla uppgifter om den personuppgiftsansvarige, ändamålet med behandlingen, kategorier av registrerade och mottagare.

Man kan dock fråga sig om den risk som föreligger främst har med företagens stolek att göra. Men det gällde även tidigare, med 250-gränsen (c:a 0,2% av EU:s företag).

Dock gäller fortfarande följande för alla (även småföretag, föreningar med flera):

  • Personuppgiftsbehandling måste ha rättslig grund (till exempel samtycke, avtal eller rättsliga krav), vara korrekt och transparent.
  • Ändamålet måste vara begränsat.
  • Man får inte samla in eller lagra mer uppgifter än nödvändigt.
  • Man måste respektera den enskildes integritet, uppgifterna skall vara konfidentiella och skyddade (till exempel krypterade).
  • Alla registrerade skall ha rätt till information om den databehandling som sker och kunna få tillgång till sina uppgifter.
  • Registrerade skall även kunna begära rättelse eller radering av insamlad data.
  • Allvarliga personuppgifts-incidenter skall anmälas till dataskyddsmyndigheten (i Sverige IMY) inom 72 timmar.

Sammantaget gäller alltså de flesta regler fortfarande. Det som ändras är att dokumentationsskyldigheten minskar – både i omfattning och i hur många företag (c:a -0,15%) den gäller.

I vilken mån detta kommer att bidra till kommissionens mål att minska regelbördan för europeiska företag med 25% kan diskuteras.

Nu går frågan över till EU:s ministerråd och Europaparlamentet. Speciellt parlamentet lär ha invändningar.

• IMY: EU-kommissionen vill införa nya lättnader i GDPR för små och medelstora företag »

CC0

Amerikansk domstol tvingar OpenAI att spara alla ChatGPT-loggar

av

Nu öppnas dörren för global datalagring av AI-loggar. Som användare bör du utgå från att allt du frågar AI om kan hamna i fel händer.

Hur mycket av våra AI-konversationer sparas och i vilket syfte? Detta är en fråga många användare ställt sig. Även de som valt att inte spara historik.

En amerikansk domstol har nu beordrat OpenAI att spara alla ChatGPT-loggar. Ars Technica rapporterar:

»OpenAI is now fighting a court order to preserve all ChatGPT user logs—including deleted chats and sensitive chats logged through its API business offering—after news organizations suing over copyright claims accused the AI company of destroying evidence.«

Denna gång är det alltså inte myndigheterna som vill åt informationen, utan media. Och skälet som anges är upphovsrätt. Närmare bestämt en misstanke om att folk använder AI för att gå runt betalväggar.

Det kommer att drabba användare globalt, oavsett integritetsinställningar.

Att detta kan komma att missbrukas och att lagrade loggar kan komma att läcka är en uppenbar risk.

Det var kanske bara en tidsfråga. Och även om upphovsrättsindustrin hann först finns det skäl att anta att myndigheterna ligger hack i häl.

Dörren har nu öppnats och det är ingen vågad gissning att politiker och myndigheter kommer att vilja ha allmän lagring av medborgarnas interaktioner med AI. Skälet kommer att vara det gamla vanliga: Informationen kan vara bra att ha.

Det kan möjligen vara klokt att utgå från att så redan sker.

Läs mer: OpenAI slams court order to save all ChatGPT logs, including deleted chats »

CC0

EU vill lagra IP-adresser och metadata

av

EU-kommissionen vill börja lagra metadata från meddelandetjänster. Och man ber dig om idéer för att kringgå EU-domstolens förbud.

EU-kommissionen har utlyst ett »call for evidence« (samråd) kring ett förslag om att bland annat datalagra IP-adresser.

Här ber man om åsikter innan man skriver ihop ett lagförslag som sedan går ut på en »public consultation« (remissrunda). Du är alltså välkommen att lämna synpunkter i ett tidigt stadie i processen.

2014 upphävde EU-domstolen EU:s datalagringdsdirektiv (lagring av metadata om telefonsamtal, SMS, e-post-medddelanden, uppkopplingar, mobilpositioner m.m.)

Eftersom medlemsstaterna (bl.a. Sverige) ändå fortsatt datalagra har EU-domstolen med tilltagande irritation upprepat sitt ställningstagande 2016, 2020, 2022 och 2024.

Domstolens lutar sig mot vad de grundläggande mänskliga rättigheterna har att säga om rätten till privatliv och privat korrespondens. Principen är enkel: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Dock har domstolen börjat lätta på principerna vad gäller IP-adresser.

Därför testar EU-kommissionen tanken på EU-lagstiftning om generell lagring av IP-adresser för att hantera nationell säkerhet och bekämpa brottslighet. (Vilket Sverige redan gör.)

Ett skäl som anges är »harmonisering« av reglerna i alla EU-länder.

Men det verkliga skälet tycks vara att man vill komma åt mer metadata – för de elektroniska meddelandetjänster som vuxit fram de senaste tio åren och som inte omfattades av det ursprungliga (upphävda) datalagringsdirektivet.

»Initiativets övergripande mål är att säkerställa tillgången till vissa kategorier av icke-innehållsdata…« (Avsändare, mottagare, tid, abonnemangstyp, utrustning m.m.)

Sammantaget kan sådan metadata avslöja mycket om enskilda användare, deras nätverk, preferenser, politiska åsikter m.m.

Detta med EU-domstolens uppmjukade inställning till lagring av IP-nummer som murbräcka.

Kommissionens papper tar upp frågan om detta kan ske genom påtvingad frivillighet (»icke-bindande lagstiftningsåtgärder«) eller »lagstiftningsåtgärder som fastställer obligatoriska krav«.

Detta landar snubblande nära den generella datalagring av metadata för traditionella telefonsamtal / SMS / e-postmeddelanden / uppkopplingar som EU-domstolen redan förbjudit.

Vilket EU-kommissionen tycks medveten om. Man vill därför ha hjälp och idéer för att kunna införa lagring av metdata hos elektroniska meddelandetjänster – utan att gå över domstolens förbud mot generell datalagring.

»Syftet med samrådet är att se till att konsekvensbedömningen bygger på omfattande kvantitativa och kvalitativa underlag och sakkunskap och att göra det möjligt för berörda parter (inklusive allmänheten och dem som direkt skulle påverkas av detta initiativ) att lämna synpunkter på och uttrycka åsikter om de möjliga alternativen för vägen framåt.«

Nu har du alltså möjlighet att hjälpa kommissionen förstå att det inte går att bedriva generell datalagring (alltid mot alla) – ens av metadata – utan att kränka grundläggande mänskliga rättigheter.

Länk:
• Impact assessment on retention of data by service providers for criminal proceedings »

Tidigare, relaterade bloggposter med djuplänkar:
• ProtectEU – övervakning, datalagring och bakdörrar till krypterade meddelanden (april 2025) »
• Stoppa regeringens bakdörrs-lag! (mars 2025) »
• Försvarsmakten värnar rätten till krypterad kommunikation (februari 2025) »
• Datalagring – olaglig övervakning fortsätter och utökas (augusti 2023) »
• EU-stater registrerar användares IP-adresser (septeember 2022) »
• EU-domstolen: OK att samla IP-adresser i jakt på fildelare (juni 2021) »

CC0

Polen: Inget nytt förslag om Chat Control 2 i ministerrådet

av

Det blir inget nytt förslag om Chat Control 2 från det polska ordförandeskapet i EU:s ministerråd. Den 1 juli går bollen över till Danmark.

Efter mer än tre års förhandlingar har EU:s ministerråd ännu inte lyckats enas om EU-kommissionens förslag om att granska innehållet i medborgarnas elektroniska meddelanden, Chat Control 2. Och läget är fortfarande låst.

Det polska ordförandeskapet (som är emot CC2) hade föreslagit att meddelandegranskning skall vara frivillig, inte obligatorisk. Vilket i princip är en förlängning av nuvarande regler, Chat Control 1.

Detta accepterar inte de medlemsstater som vill se mer övervakning.

De vill istället bygga vidare på det förra förslaget i rådet, det vill säga client-side-scanning med spionprogram på applikations- eller systemnivå i alla telefoner och datorer.

Enligt det läckta protokollet är irritationen på det polska ordförandeskapet stor. Polen meddelar å sin sida att det inte blir något nytt förslag.

Med det går bollen över till Danmark som tar över ordförandeklubban i rådet den 1 juli. Den danska regeringen är betydligt mer positivt inställd till CC2.

Som läget ser ut just nu tycks det finnas en tillräcklig majoritet för CC2 om Danmark lägger fram ett nytt, reviderat förslag med client-side-scanning.

Av det läckta protokollet att döma har Sverige legat lågt i frågan.

• Polen gibt Einigung bei Chatkontrolle auf »

Se även:
• Chatcontrol.se »
• Chatcontrol: Kompromiss i Europaparlamentet »

CC0

Schweiz: Massiv kritik mot utökad datalagring

av

Den schweiziska regeringens förslag om utökad datalagring har väckt en proteststorm. Bland annat hotar den integritetsinriktade tjänsten Proton (mail & VPN) att lämna landet.

Nyligen avslutades remissrundan för Schweiz reviderade förordning om datalagring, VÜPF. Sedan dess har en kritikstorm brutit ut samtidigt som landets regering bereder frågan.

Enkelt uttryckt innebär förslaget att telekom- och internetleverantörer, VPN-tjänster, VoIP, e-post-tjänster, meddelandeappar och sociala nätverk m.fl. måste lagra och lämna ut användardata och innehåll till myndigheterna. Man vill även införa ID-krav för användare.

Detta går bortom vad som redan förklarats olagligt i EU, när EU-domstolen upphävde unionens datalagringsdirektiv. (Schweiz är dock inte med i EU.) Kritikerna menar att lagförslaget snarare påminner om hur det är i Ryssland.

Den högprofilerade och privacy-inriktade mail- och VPN-tjänsten Proton hotar att lämna Schweiz om lagen blir verklighet. Idag loggar Proton VPN inte sina användares nätuppkopplingar, vilket den nya lagen kan komma att tvinga dem att göra.

Även aktörer som NymVPN och meddelandetjänsten Threema påverkas av och protesterar mot förslaget – som skulle kullkasta Schweiz rykte som en bastion för säker elektronisk kommunikation.

Enda ljuspunkten är att totalsträckskrypterade (E2EE) meddelanden mellan slutanvändare inte omfattas av kravet på att innehåll skall överlämnas till myndigheterna i läsbar (av-krypterad) form. (Vilket däremot den föreslagna nya svenska datalagringen gör.) Dock kommer metadata att lämnas ut även vid E2EE.

Kritiken mot förslaget är hård från de flesta politiska partier, kantonerna, medborgarrättsorganisationer, näringslivet m.fl. Mycket talar för att förslaget kommer att omarbetas. Det har även rests krav på att frågan inte skall regleras av en förordning, utan måste upp till en öppen demokratisk process i form av ett lagförslag. Det har även rests krav på en folkomröstning.

• Techradar: ”We would be less confidential than Google” – Proton threatens to quit Switzerland over new surveillance law »

AI med djuplänkar och resurser: Grok » | ChatGPT » | Perplexity »

CC0

Rörigt när EU inför åldersgräns för sociala media

av

I juni skall EU:s ministerråd enligt uppgift diskutera åldersgränser för sociala media. Just nu är frågan en enda röra.

I väntan på EU:s »digitala plånbok« har EU-kommissionen upphandlat en speciell »mini-plånbok« för åldersverifiering, som kan användas av de mest pådrivande länderna. Dessa är: Frankrike, Italien, Spanien, Grekland, Belgien och Tyskland.

Det är dock oklart vilka av dessa länder som kommer att använda den nya »mini-plånboken«. De som redan försökt på egen hand har mött juridiska, tekniska och praktiska problem. Man kan även notera att de aktuella länderna går fram med olika åldersgränser.

Det pågår även en diskussion om åldersverifiering skall ske på operativ/enhets- eller applikations-nivå. En alternativ möjlighet är en åldersgräns för vissa appar i Apples och Googles app-shops.

EU:s ministerråd tycks luta åt verifiering på enhetsnivå, vilket i så fall sammanfaller med den teknik för granskning av innehåll i användarnas elektroniska meddelanden (client-side-scanning) som tidigare föreslagits vad gäller Chat Control 2.

En annan fråga gäller om man skall använda ID-uppgifter som verifierats med något slags ID-handling – eller om man skall använda sig av AI och biometri för att bedöma en användares ålder.

Här finns problem såväl vad gäller tillförlitlighet, säkerhet, användarvänlighet som kostnader.

Att lagra ID-uppgifter skapar – oavsett om det sker på app-nivå, system-nivå eller via någon tredjepartstjänst – risk för läckor, profilering, övervakning och andra former av missbruk. Att lagra biometrisk data likaså.

Dagens AI-drivna algoritmer för att uppskatta ålder har en felmarginal på ±2,5 år vid optimala förhållanden, en siffra som ökar till ±4,8 år i varierande etniska grupper. Vilket är på tok för bred felmarginal om man talar om barn. Detta blir varken praktiskt fungerande, rättvist eller rättssäkert.

Ena stunden rekommenderar EU åldersgränser i sin Digital Services Act, för att skydda barnen. I nästa ögonblick förbjuder EU:s nya AI Act biometrisk identifiering i realtid och etiketterar biometrisk kategorisering som ett användningsområde med hög risk.

En faktor i sammanhanget är att internet är gränslöst. Även om EU kräver att olika plattformar världen över skall rätta sig efter unionens regler, så är sanktionsmöjligheterna i många fall begränsade.

I ett principiellt perspektiv kan åldersverifikation påverka yttrandefriheten och rätten till anonymitet. Även om reglerna är inriktade mot unga kommer de att drabba alla. I Sverige skyddas dessa rättigheter av tryckfrihetsförordningen och yttrandefrihetsgrundlagen.

EU:s dataskyddsmyndighet framhäver att åldersverifieringssystem måste tillåta anonym åtkomst för myndiga användare. Traditionella metoder som kräver inloggning eller cookies kan skapa detaljerade användarprofiler, vilket strider mot artikel 25 i GDPR om dataskydd genom design.

Enligt den omhuldade barnkonventionen (som gjorts till svensk lag) har även barn rätt till privatliv och skydd mot intrång, vilket måste beaktas vid implementering av verifieringssystem.

Detta är en röra som drivits fram av ett antal EU-länders politiker som inte begriper vad de sysslar med och som inte vill vänta tills införandet av EU:s nya digitala plånbok nästa är.

Vi ger sista ordet till EFF:

»Age verification laws do far more than ‘protect children online’—they require the creation of a system that collects vast amounts of personal information from everyone. Instead of making the internet safer for children, these laws force all users—regardless of age—to verify their identity just to access basic content or products. This isn’t a mistake; it’s a deliberate strategy.«

• EU inför ID-krav på nätplattformar »
• EU rullar ut app för åldersverifikation »
• EDRi: Showing your ID to get online might become a reality – a closer look at the EU’s new age verification app »
• EFF: First Porn, Now Skin Cream? ‘Age Verification’ Bills Are Out of Control »
• Digital Identities and the Future of Age Verification in Europe »

Se även: ChatGPT » | Perplexity »

CC0

EU-UK i nytt samarbete om biometrisk data

av

I det nya avtalet mellan EU och Storbritannien återupptar man utbytet av biometrisk data för automatiserad ansiktsigenkänning. Med mera.

»53. The European Commission and the United Kingdom will explore ways to reinforce mutual and reciprocal exchanges of data on fingerprints, DNA, and criminal records of third country nationals, in the light of technical developments; and acknowledge the requirement in the Trade and Cooperation Agreement to set up automated searching of vehicle registration data. They will also explore extending the exchange of data to facial images for the prevention, detection and investigation of criminal offences.«

Här kan man notera att automatiserad ansiktsigenkänning visat sig komma med stora problem för brittisk polis – såväl praktiskt som vad gäller rättssäkerhet.

I EU har unionens nya AI Act öppnat dörrarna för denna teknik för rättsvårdande myndigheter. Den svenska regeringen vill gå så långt detta regelverk tillåter.

• A renewed agenda for European Union – United Kingdom cooperation Common Understanding »

CC0

EU inför ID-krav på nätplattformar

av

EU är på väg att kräva åldersverifikation på nätplattformar. Vilket innebär att alla måste identifiera sig och registreras.

I en konsultation om guidelines föreslår EU-kommissionen bland annat att plattformar skall:

»Implement age assurance measures that reduce the risks of children being exposed to pornography or other age-inappropriate content.«

Vilket kan låta snällt. Tänk på barnen! Tills man tänker efter vad det betyder i verkligheten.

Olämpligt innehåll kan dyka upp på i stort sett vilken plattform som helst. Så man kan räkna med att de flesta sociala media måste införa något slags ID-krav för att kontrollera användarnas ålder. Vilket även lär omfatta många andra som tillhandahåller innehåll online.

Till att börja med kan man tycka att det börjar bli väl många olika register med våra persondata där ute. Vilka alla kan missbrukas eller läcka. Dessutom är ID-kontrollen tänkt att utföras av de datajättar som redan vet allt för mycket om oss.

Hur användbar kan inte en porrsidas databas med persondata vara? Så att man kan hålla koll på folks små egenheter.

Människor måste ha rätt att vara anonyma online. Det håller Europaparlamentet med om i sitt ställningstagande om Chat Control 2. FN och Europadomstolen är inne på samma linje. Men inte kommissionen.

Det kan ju vara bra att ha folks identitet fastställd, ifall de skulle börja tycka fel.

Nej, man skall ha rätt att säga sin mening utan att andra behöver veta vem man är. För att slippa repressalier om man är obekväm. Och för den kreativa friheten.

Visselblåsare och människor med skyddad identitet är exempel på grupper som inte vill skylta med sina namn. Att söka hjälp i supportgrupper kan vara lättare under pseudonym. Och så vidare.

Sedan kan man undra om detta är tänkt att bara gälla i EU eller om det skall rullas ut globalt, eftersom plattformarna är globala och internet gränslöst.

I det senare fallet är det inte svårt att tänka sig förtjusningen hos allehanda skurkstater som förtrycker sina folk.

Detta är ytterligare en sådan där sak som vid första påseende kan låta fin och snäll – men som får orimliga konsekvenser om den omsätts i verkligheten.

Konsultationen tar även upp andra saker. Som att man vill ha något slags politiskt inflytande över hur sociala media utformar sina algoritmer. Vad kan möjligen gå fel?

Den goda nyheten är att du är välkommen att säga vad du tycker om det här. EU-kommissionen skriver:

»The draft guidelines are open for final public feedback until 10 June 2025. The Commission is seeking contributions of all stakeholders, including children, parents and guardians, national authorities, online platform providers, and experts. The publication of the guidelines is expected by the summer of 2025.«

Under tiden rullar EU ut sin nya app för åldersverifikation.

• Commission seeks feedback on the guidelines on protection of minors online under the Digital Services Act »

CC0

Mänskliga rättigheter online

av

Demokratins paradox är att den kan avskaffa sig själv. I god demokratisk ordning. Genom majoritetsbeslut.

Det behöver inte ske i form av något stort teatraliskt maktskifte. Istället begränsas våra fri- och rättigheter steg för steg. Inte minst online.

Det behöver inte vara av ondska. Missriktad välvilja är orsaken till mycket mänskligt lidande.

Hannah Arendt påpekade att övergrepp mot människans rättigheter alltid sker i namn av vad som anses vara kollektivets bästa.

Rätten till privatliv och yttrandefriheten är grundläggande mänskliga rättigheter. De är till för att en majoritet / staten inte skall kunna förtrycka en minoritet / individen.

Med massövervakning av våra elektroniska kommunikationer och ett allt mindre fönster för vad folk får säga är saker på väg åt fel håll.

Med risk för att tjata, här är vad Europakonventionen om de mänskliga rättigheterna har att säga om rätten till privatliv – och privat korrespondens.

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

På detta område har vi EU:s Chat Control 2 som vill granska innehållet i folks elektroniska meddelanden. Och den svenska regeringens idé om bakdörrar till totalsträckskrypterad kommunikation.

Och så yttrandefriheten…

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

Vilket gör sådant som EU:s Digital Services Act problematiskt. Man vill lägga sig i vad folk får säga. Men man får egentligen inte.

De grundläggande mänskliga fri- och rättigheterna är under ständigt angrepp och måste därför ständigt försvaras. Såväl offline som online. Alternativet är dystopiskt.

CC0

Chat Control 2 – fortsatt låst läge i ministerrådet

av

En överenskommelse om Chat Control 2 i EU:s ministerråd sägs vara mer avlägsen än på länge. Det nu aktuella förhandlingsläget beskrivs som »ett slöseri med tid, pengar och energi«.

Just när det såg ut som om det förra förslaget om Chat Control 2 (client-side-scanning, det vill säga spionprogram på applikations- eller systemnivå i alla telefoner och datorer) var på väg att få tillräckligt stöd i EU:s ministerråd – då presenterade det tillträdande polska ordförandeskapet ett helt nytt upplägg i början av året.

Enkelt uttryckt går det ut på att meddelandetjänster kan fortsätta att frivilligt söka efter sexuella övergrepp mot barn i användarnas meddelanden, precis som idag (Chat Control 1).

Men det blir inget krav på att detta skall göras obligatoriskt eller omfatta totalsträckskrypterade (E2EE) meddelanden.

Vilket de medlemsstater som sagt ja till Chat Control 2 i sin tidigare form (client-side-scanning) inte vill acceptera. De menar att förslaget inte går tillräckligt långt.

När detta diskuterades på tjänstemannanivå i ministerrådet förra veckan kom man inte fram till något av betydelse. Ett omdöme är att det nuvarande upplägget är »ett slöseri med tid, pengar och energi«.

Därmed är det inte troligt att något av substans kommer att hända i frågan på justitie- och inrikesministrarnas formella rådsmöte den 12-13 juni.

Vid halvårsskiftet (1/7) går ordförandeskapet i rådet över till Danmark – som är mer positivt inställt till Chat Control 2 än Polen. Då kan vi vänta oss ännu ett nytt förslag (eller möjligen en återgång till det förra förslaget om client-side-scanning).

Vad gäller de övriga EU-institutionernas inställning vill EU-kommissionen fortfarande ha obligatorisk AI-analys av innehållet i alla användares elektroniska meddelanden. Medan Europaparlamentet vill att spaning bara skall inriktas mot personer som misstänks för brott – och att man skall respektera medborgarnas rätt till totalsträckskrypterad kommunikation.

Läs mer:
• Einigung bei Chatkontrolle so weit entfernt wie nie »
Början till slutet för Chat Control 2? »
• Chat Control 2 i långbänk »
• Chatcontrol.se »
• Chatcontrol: Kompromiss i Europaparlamentet »

CC0