Femte juli

Nätet till folket!

Privatliv

Rätten till privatliv är en grundläggande mänsklig rättighet, vilket bland annat slås fast i Europakonventionen för de mänskliga rättigheterna samt i EU:s stadga. Här publicerar vi nyheter om hur myndigheter, företag och andra aktörer vill skaffa sig tillgång till vår privata information.

ID-krav för din telefon och dator

av

Mark Zuckerberg vill se ID-kontroll i din telefons och dators operativsystem.

I ett vägledande mål om ungas hälsa mot Meta (Facebook/Instagram) i Los Angeles Superior Court, presenterade dess chef Mark Zuckerberg den »lösning« på frågan om åldersgränser för sociala medier som de flesta politiker vill höra:

Ålderskontroll på operativsystem-nivå hos Apple och Google – istället för kontroll i varje enskild app. Så att Meta slipper.

Det riskerar att skapa en infrastruktur där anonym användning av digitala tjänster blir betydligt svårare – när åldersverifieringen kopplas till verklig identitet.

Allt alla gör online kommer då att kunna kopplas till en person – genom Apple och Google. Anonym användning av sociala medier – eller appar över huvud taget – kan bli omöjlig.

Eftersom sociala medier även kan nås genom att man surfar i en web-läsare får man anta att också vårt surfande underställs ID-kontroll. Och inte bara på våra telefoner och plattor – utan även på våra datorer.

Vilket i praktiken skulle göra livet mycket svårare för visselblåsare, journalister, advokater, själasörjare, människor med skyddad identitet och andra som har fullgoda skäl för att vara anonyma eller använda säkra meddelande-appar.

Om detta skulle bli verklighet kan man anta att förändringen rullas ut globalt, av praktiska skäl. Vilket då även skulle drabba människor som kämpar för frihet och demokrati i allehanda skurkstater, med sin säkerhet och sina liv som insats.

Ålderskontroll på operativsystem-nivå är en dålig och farlig idé.

• RtN: Zuckerberg’s “Fix” for Child Safety Could End Anonymous Internet Access for Everyone »

CC0

UK: Åldersgräns för VPN, del 2

av

Den brittiska idén om en åldersgräns för VPN kommer att innebära ID-krav för alla landets VPN-användare. Plus speciella operativsystem för alla mobiltelefoner med Apples och Androids operativsystem i Storbritannien.

I veckan skrev vi om hur Storbritannien är på väg att införa en åldersgräns för VPN – för att hindra minderåriga från att kringgå de nya åldersgränserna för sociala medier och andra webplatser som kan tänkas innehålla något som är olämpligt för barn.

Ju mer man tänker på saken, desto värre blir det. Vilket är relevant även för oss – då det bara är en tidsfråga innan vi får samma debatt i EU.

Till att börja med måste man vara klar över att åldersgränser för minderåriga innebär ID-krav för alla som vill använda VPN. Vilket öppnar nya riskvektorer.

Sedan bör det påpekas att VPN-användning inte främst är ett verktyg för att kringgå brittiska åldersgränser – utan ett verktyg för någorlunda säker kommunikation. Att inte låta brittiska tonåringar skydda sig mot angrepp på öppna nätverk är fullständigt befängt.

I ett arbetsdokument skriver den brittiska regeringen att man gör detta för att undvika att utsätta minderåriga för risker online… Man skriver även att VPN underminerar barns säkerhet online. Det är en problemformulering som förtjänar att ifrågasättas.

Den utmärkta Bli Säker-podden från Nikka Systems (nedan) lyfter en annan intressant aspekt: Både Apple och Google har VPN-klienter inbyggda i sina respektive operativsystem.

Skall man nu tvingas skeppa operativsystemsversioner utan detta skydd, för Apple- och Android-telefoner i Storbritannien? Det skulle ju i så fall göra alla brittiska användare – inklusive företag, myndigheter, journalister med flera – sårbara för illasinnade aktörer.

Har man verkligen tänkt igenom det här?

Se mer i Bli Säker-podden nedan. Vi hoppar direkt till rätt ställe i videon (28:01). Och se även vår förra bloggpost på samma tema: UK: Åldersgräns för VPN »

CC0

UK: Åldersgräns för VPN

av

Den brittiska regeringen vill införa en åldersgräns för VPN. Frågan är hur.

Jag ser att britterna tänker införa åldersgräns – det vill säga ID-krav – för VPN. Den officiella förklaringen är att man vill hindra minderåriga från att kringgå den åldersgräns för allehanda webplatser som nyss infördes under Online Safety Act.

Man kan undra hur det är tänkt att gå till.

Skall man införa en åldersgräns för VPN i Apples och Googles app-stores? Det ger noll koll på vem som använder enheten som tjänsten är installerad på. Och hur gör man med egenkonfigurerade VPN:er? Eller sideloadade appar från externa källor?

Eller skall man kräva ID när användaren registrerar sig hos VPN-leverantörer? Vilket i så fall kommer att driva användare till VPN-tjänster utanför EU – som i värsta fall kan vara hotaktörer.

Hur gör man med egenhostad eller decentraliserad VPN? Hur gör man när ett konto har flera användare, till exempel i en familj? Inte heller detta ger koll på vem som verkligen använder tjänsten.

Skall man kanske tvingas identifiera sig varje gång man ansluter till VPN? Det vore i så fall en total konceptkollaps.

Man skulle kanske kunna tänka sig någon form av IP-blockering som analyserar trafiken på paketnivå… Vilket känns allt mindre realistiskt ju mer man tänker på saken. Det skulle kräva en total övervakningsapparat.

För att verkligen stoppa icke-godkänd VPN-trafik skulle staten behöva kontrollera all trafik, all programvara och alla användares identitet vid varje givet tillfälle.

Eller skall man koppla ID-kontrollen till enheten, till varje telefon, varje dator och varje surfplatta – där alla tilldelas ett obligatoriskt digitalt ID? Vilket för övrigt inte heller ger koll på vem som verkligen använder enheten.

Det tycks det finnas två spår. Det ena är meningslös symbolpolitik som är lätt att kringgå. Det andra är en utveckling mot ett identitetsbaserat internet.

ID-krav för VPN slår mot rätten till anonymitet och privatliv. Systemet är samtidigt lätt att kringgå. En global implementation är svår att genomdriva. Risken för överblockering och teknikförbud är uppenbar. Det drabbar till exempel journalister, visselblåsare och aktivister – som kan ha fullt rimliga skäl att vara anonyma.

Möjligen kan ett ID-krav för VPN även bryta mot den grundläggande mänskliga rättigheten till privatliv och privat kommunikation.

Det kan även strida mot yttrandefrihetens rätt att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning. Europadomstolen har redan tidigare etablerat en praxis om att anonym kommunikation är en viktig del av yttrandefriheten.

Europadomstolens praxis visar att anonym kommunikation kan omfattas av skydd enligt artikel 8 och 10.

Det skall bli oerhört intressant att se hur detta är tänkt att gå till.

Mycket talar för att förslaget är ytterligare ett exempel på politiska beslutsfattare som inte begriper vad de sysslar med.

Chat Control – en uppdatering

av

Sviker Europaparlamentet sitt motstånd mot Chat Control 2 om det accepterar en förlängning av Chat Control 1?

Just nu pågår två processer parallellt vad gäller Chat Control.

• Förlängning av Chat Control 1

EU:s ministerråd har backat från idéerna om obligatorisk client-side-scanning av innehållet i meddelanden på folks telefoner och datorer. Istället accepterar man enkelt uttryckt en förlängning av dagens frivilliga skanning.

EU-kommissionen har därför föreslagit att den frivilliga skanningen av icke totalsträckskrypterade meddelanden (Chat Control 1) som redan idag sker hos vissa operatörer (främst Meta / Messenger) förlängs till april 2027.

Detta i väntan på att ministerrådet och Europaparlamentet skall komma fram till en gemensam slutlig ståndpunkt om hur frågan om Chat Control 2 skall lösas på lång sikt.

Vad gäller den tillfälliga förlängningen av den frivilliga skanningen (CC1) håller parlamentet på att formulera en position (PDF). Vilket ligger en bit från vad man kommit fram till i huvudfrågan (CC2).

Enkelt uttryckt frångår Europaparlamentet sitt motstånd mot CC2 och accepterar att CC1 fortsätter med sin svepande skanning av innehåll i folks meddelanden utan misstanke om brott i ett år till.

Det skall dock endast ske för att identifiera redan kända olagliga bilder med övergrepp mot barn. Detta betyder att man inte vill experimentera med AI-skanning för att identifiera tidigare okänt sådant innehåll.

Vilket sannolikt är lika så bra, eftersom felprocenten vad gäller det redan kända flaggade olagliga innehållet enligt tysk polis (BKA) ligger runt 50%.

Man vill inte heller söka igenom textinnehållet i användarnas meddelanden.

Även om detta är bättre än CC2 och även om det bara skall gälla ett drygt år – så handlar det fortfarande om urskiljningslös skanning av innehåll i folks meddelanden utan misstanke om brott. Vilket är problematiskt.

• Chat Control 2

Här finns lite olika ingångsvärden inför trilogförhandlingarna:

EU-kommissionens ursprungliga förslag om obligatorisk skanning av allt innehåll i alla användares elektroniska meddelanden, filer i molnet med mera. Det var tänkt att även gälla totalsträckskrypterad kommunikation (även om det inte fungerar i verkligheten).

EU:s ministerråd drev länge idén om client-side-scanning. Det vill säga spionprogram på system- eller applikationsnivå på alla telefoner och datorer som granskar innehållet i meddelanden redan innan de krypteras och sänds. Dock lyckades man aldrig få tillräcklig majoritet för detta förslag. Rådet är därför, enkelt uttryckt, för en förlängning av den frivilliga skanningen inom ramen för CC1.

(De flesta medlemsstater vill dock fortfarande ha client-side-scanning. Men ett antal länder som Tyskland, Polen med flera lyckades upprätthålla en blockerande minoritet. Ministerrådets senaste position är därför något av en halvhjärtad nödlösning.)

Europaparlamentets position fastställdes redan i oktober 2023 och är, kortfattat:
• Ingen skanning av innehållet i totalsträckskrypterad (E2EE) kommunikation.
• Övervakning skall inriktas mot personer och grupper där det misstänks förekomma olagligt innehåll – inte vara generell.
• Beslut om övervakning skall fattas av en domstol.
• Ingen skanning efter olagligt innehåll i elektroniska konversationer.

Under hösten har EU-kommissionen signalerat att den i vissa avseenden föredrar Europaparlamentets hållning framför ministerrådets, om den måste välja.

Detta är alltså läget när de tre institutionerna nu går in i trilogförhandlingar (26 februari, 4 maj och 29 juni) bakom stängda dörrar.

Samtidigt finns det farhågor om att Europaparlamentets hållning till CC1 (ovan) skall smeta av sig på parlamentets tidigare nej till det mesta av substans i CC2. Några formella beslut som tyder på att så är fallet finns inte. Men flera initierade kritiker tycks vara övertygade om att det är så.

Vilket innebär att vi måste hålla hög beredskap så att parlamentet inte avviker från sitt ursprungliga ställningstagande. Ett sätt att hålla trycket uppe är att höra av sig till berörda ledamöter.

Aktuella länkar:
• Chat Control 1.0: Civil Society Mobilizes Against Extending Mass Surveillance – EU Parliament Decision Imminent »
• Sippel Draft on Chat Control – Mass Surveillance Set to Continue, Sparking Renewed Protests »
• Europaparlamentets utkast till förlängning av Chat Control 1 (PDF) »

Resurser:
• Chatcontrol.se »
• Chatcontrol.eu »

Tidigare bloggposter:
• Tillrättalagt om Chat Control med EU-ministern »
• Chat Control – håll motståndet levande (januari 2026) »
• Chat Control 2: Vad vi vet om förhandlingarna (december 2025) »
• Chat Control 2: Nu börjar förhandlingarna (december 2025) »
• Chat Control 2: Nu är det match igen! (december 2025) »
• Fungerar Chat Control över huvud taget? (december 2025) »
• Chat Control 2 vs. verkligheten (december 2025) »
• Chat Control – mer att göra (november 2025) »
• Chat Control 2: Vi vann den här ronden (november 2025) »
• Chat Control: Vad är det som händer i EU:s ministerråd? (november 2025) »
• Två av tre regeringspartier säger nu nej till Chat Control 2 (november 2025) »

CC0

Håll gränsen mot övervakningsstaten!

av

Det råder förhoppningsvis något slags enighet om att ett samhälle där alla övervakas överallt och hela tiden inte är önskvärt. Men…

Idag införs ständigt nya former av övervakning och kontroll. Vilken i varje enskilt fall kan motiveras med det ena eller andra. I vart fall om man bortser från dess oönskade konsekvenser. Vilket våra politiker tenderar att göra.

Man vill kontrollera innehållet i våra elektroniska meddelanden. Man vill lagra data om våra kommunikationer. Man vill ha ID-krav för sociala medier. Man skannar oss med automatiserad ansiktsigenkänning. Man registrerar oss.

Sådär har det hållit på länge. Med risk för att upprepa mig drar jag mig till minnes en utfrågning i Europaprlamentet år 2009. Sverige var ordförandeland i EU och justitieminister Beatrice Ask (m) fick bland annat frågor om övervakningsstaten.

Hur långt har man tänkt sig att gå? Är det i vart fall inte dags att stanna upp och utvärdera all den övervakning som redan införts? Så att vi vet om den fyller sitt syfte. Innan vi rusar vidare…

Justisiteminister Ask svarade att sådant finns det inte tid för. Nästa fråga.

När övervakning ständigt läggs till övervakning rör vi oss helt klart mot ett allt mer allomfattande övervakningssamhälle. Av nödvändighet kommer vi förr eller senare till en punkt där inte bara individens frihet och rätt hotas, utan hela vår demokratiska rättsstat.

En del menar att vi redan är där.

Om vi är överens om att den totala övervakningsstaten är en dålig sak – hur långt kan eller bör vi då gå? Borde vi i vart fall inte diskutera saken? Skaffa oss en helhetsbild?

Tydligen inte. Istället rusar vi vidare, med förklaringen att vi måste.

Politiken offrar grundläggande mänskliga rättigheter, behandlar medborgarna som potentiellt kriminella och skapar ett nyckelfärdigt system för förtryck, skulle den dagen komma.

Får detta fortsätta kommer det att sluta illa. Det behöver inte handla om att vi får någon maktgalen diktator. Det räcker med inkompetens, bristande förstånd, missriktad välvilja, utopiska visioner, oärliga avsikter, infiltration eller att någon har en dålig dag på jobbet för att systemet skall missbrukas.

Någonstans behöver vi dra en gräns. Vilket EU-domstolen lyckligtvis redan gjort, när den upphävde EU:s datalagringsdirektiv 2014. Enkelt uttryckt:

Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Detta är en högst rimlig princip. Vanligt hederligt folk skall lämnas ifred. Det är vad som skiljer oss från förtryckarstater. Och vad som i sammanhanget är brottsligt avgörs förhoppningsvis i en öppen demokratisk process som respekterar människans grundläggande fri- och rättigheter.

Detta är också en princip som ständigt utmanas av politiker som kommer på nya skäl och metoder för att hålla ett öga på folket. Och nya sätt att göra det.

Här gäller det att hålla gränsen. Det är en evig kamp.

CC0

Sverige inför statlig e-legitimation

av

Sverige skall få ett statligt eID – med kopplingar till EU:s nya eID/digitala plånbok, eIDAS.

I en lagrådsremiss föreslår regeringen att en statligt e-legitimation skall införas från den 1 december. Den är huvudsakligen tänkt för offentliga tjänster men kan även användas mot andra aktörer.

Detta nya eID tänkt att existera vid sidan av dagens alternativ som BankID, Freja och Svenska Pass. Dock kommer det att ha en högre säkerhetsnivå än andra existerande alternativ. Vilket krävs för att kunna bli en del av EU:s nya eID/digitala plånbokeIDAS.

Vi svenskar är ju redan vana vid eID som används nästan överallt. Skillnaden mot idag är att detta nya eID även blir kopplat till ett fysiskt kort. Det skall utfärds av polisen, på samma sätt som dagens nationella ID-kort och pass.

I den mån detta bidrar till ökad konkurrens kan det möjligen vara bra. Och det blir ett alternativ för den som inte vill eller kan ha ett BankID. Nersidan är att det blir ännu ett register som kan missrukas, hackas och läcka.

Frågetecknen rör mer EU:s eID/digitala plånbok, eIDAS. Med tanke på hur det ser ut i debatten är det inte otroligt att eIDAS kommer att krävas för att identifiera sig mot sociala medier. (En pilotverksamhet med en EU-app för åldersverifiering pågår redan.)

Om eIDAS kommer att kräva att man har den nya svenska e-identifikationen, då blir den senare i princip nödvändig för alla svenskar som vill koppla upp sig mot sociala medier – eller av andra skäl kunna använda eIDAS hemma eller utomlands.

I sammanhanget kan även nämnas att ID-krav för uppkoppling mot internet över hvuvud taget är en dröm för många av EU:s makthavare. Det finns förvisso inget konkret förslag ännu och det är oklart hur det skulle gå till. Men man kan vara rätt säker på att eIDAS i så fall blir en del av lösningen.

Man kan också notera att EU arbetar med att möjliggöra gränsöverskridande tillgång till patientjournaler inom sjukvården (European Health Data Space, EHDS). För att ett sådant system ska fungera krävs sannolikt tillförlitlig identifiering över nationsgränser, vilket i praktiken pekar mot eIDAS – och därmed ökade krav på statligt utfärdade e-legitimationer.

eIDAS som infrastruktur öppnar för ökad centralisering av identitetsdata, vilket i förlängningen kan möjliggöra mer övervakning och kontroll av medborgarna. Det har till exempel redan förts resonemang om system för att mäta och reglera individers klimatavtryck. Tillämpningsområdena är potentiellt mycket omfattande – med eller utan goda föresatser.

Sammanfattningsvis: Sverige inför en statligt e-legitimation, vilket på nationell nivå i huvudsak mest blir en aktör till på marknaden. Riskerna handlar mer om hur ett svenskt eID kan komma att integreras i EU:s eIDAS och hur det senare kommer att användas.

• Regeringen inför en statlig e-legitimation »
• Direkt till lagrådsremissen, PDF 129 sidor »

CC0

Dragkamp om britternas digitala ID

av

Du måste inte ha ett digitalt ID, men du kommer att behöva ett. Så kan den senaste utvecklingen i Storbritannien beskrivas.

Efter omfattande kritik meddelade den brittiska regeringen att det nya »digitala ID-kortet« (digital identity framework) inte kommer att bli obligatoriskt. Detta möttes med glada tillrop. Men man skall inte ropa hej förrän man är över bäcken.

Samtidigt fortsätter brittiska myndigheter att rulla ut olika funktioner där medborgarna kommer att behöva ett digitalt ID. Vilket i praktiken gör att de flesta ändå måste skaffa ett.

Det är inte svårt att se vad som kommer härnäst. När Online Safety Act lett till ett lapptäcke av ålderskontroller från olika tredjepartsaktörer på olika webbplatser – då kommer många att uppleva att ett statligt digitalt ID-kort är det smidigaste alternativet.

Då kommer det i praktiken bli obligatoriskt att identifiera sig med en statlig handling för att få tillgång till alla de aktuella webplatserna.

Uppsidan är att den djungel av mer eller mindre trovärdiga tredjepartsleverantörer av ålderskontroller som idag samlar in folks personuppgifter då kan ersättas med ett ID där denna data inte delas till webplatserna – utan bara finns i ett register, med en app som passivt bekräftar folks ålder.

En liknande app för åldersverifikation provas just nu i EU, i väntan på EU:s »digitala plånbok«. Även i detta fall finns själva persondatan i ett centralt register istället för hos olika verifieringstjänster och webplatser.

Nersidan med detta är naturligtvis att även ett centralt register kan hackas eller läcka. Och då blir skadan större än om datan finns utspridd på olika aktörer.

Risken för function creep och ändamålsglidning är också påtaglig.

I ett vidare perspektiv känns det som att myndigheternas envishet och människors bekvämlighet samverkar för att leda oss in i ett samhälle där vi får blippa oss fram – både online och offline.

CC0

EU-lagar öppnar för åsiktsregistrering

av

När politiker vill ha ID-krav på sociala medier öppnar de för åsiktsregistrering.

Politiker runt om i världen diskuterar ID-krav för sociala medier. Tydligast med detta krav i Sverige är Socialdemokraterna som uttalat vill förbjuda anonyma konton – och att politiken »tar kontroll över utvecklingen«.

Men med ID-krav följer en påtaglig risk att man kan registrera vem som tycker vad. Detta är uppgifter som sedan kan komma att användas mot dig. Ifall du tycker fel.

I Sverige är det förbjudet för staten att registrera folks politiska åsikter. Detta är reglerat i grundlagen. (RF 2:3)

Vad gäller företag och andra privata aktörer gäller GDPR, som ger ett visst skydd mot åsiktsregistrering. GDPR kräver dataminimering, ändamålsbegränsning, begränsningar mot känslig profilering samt transparens gentemot användaren.

Risken är dock att många användare förlorar detta skydd genom att slentrianmässigt ge sitt samtycke till undantag i sociala mediers användarvillkor.

Viss lagstiftning – som EU:s Digital Services Act (DSA) – skapar samtidigt starka incitament för åsiktsanalys och åsiktsprofilering. Den ålägger plattformarna att göra riskbedömningar vad gäller samhällspåverkan, systemrisker och hot mot demokratin.

Detta kräver att sociala medier analyserar politiskt innehåll, identifierar användargrupper, kartlägger spridningsmönster, drar slutsatser om åsikter, samt ägnar sig åt beteendeanalys och mönsterigenkänning.

Även om det i dessa fall inte är staten som registrerar åsikter är det ändå den som indirekt kräver att det sker. På så sätt outsourcar staten en verksamhet som den själv inte får bedriva.

Hanteringen av metadata är i praktiken mindre reglerad. Detta trots att sådan data kan vara nog så effektiv vad gäller att identifiera politiska åsikter och att bygga sociogram.

Exempel på metadata är vem du kommunicerar med; när, hur ofta och hur länge detta sker; vilka konton du följer; vilka inlägg du delar och interagerar med; vilka ämnen du återkommer till samt hur ditt beteende förändras över tid.

Användning av metadata är juridiskt diffus, politiskt användbar och demokratiskt riskabel. Den förre NSA- och CIA-chefen General Michael Hayden konstaterade att »We kill people based on metadata.«

Enda sättet att inte bli indirekt åsiktsregistrerad är att vara anonym och verka under pseudonym på sociala medier.

Vilket allt fler politiker vill sätta stopp för. De vill kunna koppla åsikter och metadata till identitet. Som sedan kan lagras, jämföras, delas och begäras ut. Finns informationen kommer den att användas.

CC0

Storbritannien inför client-side-scanning

av

Britterna utökar nu sin Online Safety Act till att även omfatta kontroll av innehållet i medborgarnas elektroniska meddelanden innan de krypteras och sänds.

Storbritanniens Online Safety Act utökas ständigt. Nu senast har man föreslagit en tillämpning av sektion 121 som öppnar för client-side-scanning. Det vill säga att man söker igenom användarnas elektroniska meddelanden innan de krypteras och sänds.

På så sätt kringgår man totalsträckskryptering (E2EE) samtidigt som man påstår sig respektera den. Men i praktiken gör man den meningslös.

Det vill säga samma sak som EU.s ministerråd (och den svenska regeringen) ville ha i Chat Control 2, men tvingades backa från.

Client-side-scanning kan ske på system- eller applikationsnivå. I det brittiska fallet verkar det handla om att varje meddelandetjänst/app måste ha sin egen spionmodul (»ackrediterad teknologi«) som kontrollerar innehållet i alla meddelanden innan de krypteras och sänds – och som i förekommande fall automatiskt flaggar och rapporterar misstänkt innehåll.

Ändringen är tänkt att träda i kraft i april i år. Tillsynsmyndigheten Ofcom vill att skanningen även skall utökas till fildelningstjänster och molnlagring.

Integritetsmedvetna meddelandetjänster som Signal säger att de inte tänker installera några sådana spionmoduler i sina appar. Hellre drar de tillbaka sina tjänster från Storbritannien.

Signal har tillsammans med bland andra WhatsApp och Element skrivit brev till den brittiska regeringen där de varnar för att lagen skapar en global mall som auktoritära regimer kan använda för att tvinga fram övervakning.

I sammanhanget kan påpekas att Storbritannien fortfarande är medlem i Europarådet och att man därmed är bunden till dess konvention om de mänskliga rättigheterna. I vilka rätten till privatliv och privat korrespondens är en central punkt. Även konventionens formulering om yttrandefrihet kan vara aktuell.

CC0