Femte juli

Nätet till folket!

Striden om ett nytt datalagringsdirektiv i EU

av

EU vill lagra metadata om dina elektroniska kommunikationer. EU-domstolen säger nej. Kommer Europaparlamentet att kunna försvara vår rätt till privatliv och privat kommunikation?

Datalagring är idén om att man skall spara data om alla människors telekommunikationer. (Vilket inte skall förväxlas med Chat Control 2, som handlar om att granska innehållet i folks meddelanden.)

Datalagring kan till exempel omfatta uppgifter om vilka samtal du ringt och tagit emot, SMS, e-post, dina uppkopplingar och mobilpositioner.

Denna information skall sparas hos operatörerna för att sedan vid behov kunna begäras ut av myndigheterna. (Det finns alternativ – som inte drabbar alla alltid – t.ex. Quick Freeze vid misstanke om brott eller allvarlig fara.)

Det påstods att datalagring bara skulle användas mot mycket allvarlig brottslighet. I Sverige kom den främst att användas för att jaga fildelare och av skattemyndigheterna för att snoka i folks privatliv.

Egentligen är nationell säkerhet och ordning nationell kompetens. Den krystade förklaringen till att EU kunnat lägga sig i är att man valt att se datalagring som en inre marknadsfråga på den europeiska telemarknaden, så att det blir likadant överallt.

På så sätt kunde medlemsstaternas inrikes- och justiteministrar få igenom övervakning på europeisk nivå som de i många fall hade haft svårt att driva igenom på hemmaplan. I vart fall inte utan en massa protester.

Det verkliga skälet är övervakning, vilket man aldrig förnekat. Idén kom från den dåvarande svenske justitieministern Thomas Bodström (S) och direktivet trädde ikraft år 2006, efter en lång strid mellan EU:s ministerråd och parlament.

År 2014 upphävdes EU:s datalagringsdirektiv av EU-domstolen, som ansåg att det strider mot vad de mänskliga rättigheterna har att säga om rätten till privatliv och privat kommunikation.

Enkelt uttryckt är domstolens linje: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Vissa medlemsstater har slutat med datalagring. Andra har skrivit om sina lagar för att försöka kringgå EU-domstolens beslut. Och några trotsar domstolen och fortsätter som tidigare.

Gång på gång på gång har EU-domstolen underkänt de listigt omskrivna nationella lagarna och tagit länder som struntar i domstolens förbud mot svepande, urskiljningslös datalagring i örat.

I riksdagen stötte den svenska implementeringen på patrull och började gälla först år 2012. Efter att EU-domstolen upphävt datalagringsdirektivet 2014 lät regeringen snabbutreda frågan och kom fram till att den svenska datalagringen ändå kunde fortsätta.

2016 underkände EU-domstolen den svenska lagstiftningen som sedan skrevs om. Även dagens svenska datalagring strider mot grundprincipen i EU-domstolens dom från 2014, men har inte prövats på nytt.

Med anledning av det tillsatte regeringen en ny utredning, som presenterades i slutet av maj förra året. I den föreslås att datalagring skall kunna ske och omfatta alla under en begränsad tid – och/eller att riktad datalagring skall kunna ske på vissa platser. (Vilket EU-domstolen lämnat visst utrymme för.)

Vi rapporterade då:

»Vilket leder till att utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.«

Utredningen föreslår även datalagring för alla meddelande-appar och liknande former av elektronisk kommunikation. (Plus att myndigheterna skall kunna kräva ut innehåll i krypterad information i läsbar form, från operatörerna. Fast det är en annan fråga.)

Du kan läsa vårt kritiska remissyttrande över utredningen här. »

TL;DR:

»Stiftelsen konstaterar att utredningen inte håller sådan kvalitet att den kan ligga till grund för lagstiftning. Bland annat bygger delar av betänkandet på missuppfattningar om hur internet- och telekommunikationer fungerar. Vidare konstateras att förslaget är oproportionerligt, strider mot skyddet av privatliv och privata kommunikationer, och med stor sannolikhet strider mot unionsrätten.

Med hänvisning till ovanstående avstyrker Stiftelsen förslaget.«

Frågan är nu justitieminister Strömmers (M) problem. Men den är också på väg mot ett omtag i EU.

Såväl kommissionen som ministerrådet är angelägna om att få fram ett nytt datalagringsdirektiv på EU-nivå. Vilket kan komma att bli en stor fråga under EU:s nästa mandatperiod, 2024-29.

Saken är som sagt att man försökte införa denna typ av massövervakning i hela EU bakvägen, som en inre marknadsfråga då EU saknar beslutskompetens på säkerhetsområdet. Och när EU-domstolen sedan upphävde datalagringsdirektivet innebar det att inte ens medlemsstater på egen hand får bedriva urskiljningslös datalagring. Vilket de kanske hade kommit undan med, om de inte hade gjort den till en EU-fråga i ruta ett. Vilket nog får ses som något av ett självmål.

I sammanhanget bör nämnas att EU-kommissionen konsekvent vägrat tillrättavisa de medlemsstater som inte följer EU-domstolens beslut. Så mycket för dess roll som EU-fördragens väktare.

Ny datalagring diskuteras bland annat i den hemlighetsfulla »högnivå-grupp« som EU tillsatte under det senaste svenska ordförandeskapet (vars huvudsakliga syfte är att försöka komma åt krypterad kommunikation).

Det skall också noteras att Europols nyligen utökade mandat ger EU:s polismyndighet rätt att bereda sig direkt tillgång till data hos privata operatörer. Vilket möjligen kan vara att kratta manegen för ny datalagring. (2013 försökte svenska Säpo få sådan direktåtkomst till data från datalagringen hos svenska internetoperatörer.)

Vi vet ännu inte hur ett nytt förslag till datalagringsdirektiv kan komma att se ut. Men vi vet att det är en högt prioriterad fråga för kommissionen och ministerrådet.

Detta borde bli en fråga i sommarens EU-val.

I grunden kokar allt ner till artikel 7 i EU:s människorättsstadga, som är en del av EU:s fördrag:

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.«

Europakonventionen om de mänskliga rättigheterna säger i artikel 8:

»Var och en har rätt till skydd för sitt privat- och familjeliv, sitt hem och sin korrespondens.«

Det finns alternativ till datalagring, som inte kräver svepande övervakning av alla och registrering av alla dina tele/nät-kommunikationer.

Principen är enkel: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Ny svensk datalagring och bakdörrar till krypterad kommunikation

av

Den förra regeringen tillsatte en utredning om datalagring och krypterad kommunikation. Dess förslag bygger på missuppfattningar om hur internet och telekommunikationer fungerar, är oproportionerliga, strider mot skyddet för privatliv och privata kommunikationer samt mot EU-rätten. Nu förväntas den nya regeringen göra utredningens förslag till lag.

Den 1 november gick remisstiden ut för SOU 2023:22 om »Datalagring och åtkomst till elektronisk information«.

Datalagringen har varit en surdeg i tio år, sedan EU-domstolen upphävde EU:s datalagringsdirektiv med hänvisning till de mänskliga rättigheterna.

Domstolens position kan enkelt beskrivas så här: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

Den dåvarande socialdemokratiska regeringen hoppades att den svenska lagen om datalagring skulle klara sig. Men 2016 fann EU-domstolen att även den var oförenlig med EU-rätten.

Vilket ledde till en ny svensk lag – som i princip har samma grundläggande fel som den förra. Enda skälet till att den finns kvar är att den (ännu) inte prövats i EU-domstolen.

Medveten om detta tillsatte justitieminister Morgan Johansson (S) en utredning, som under försommaren presenterades för den nya regeringen och justitieminister Gunnar Strömmer (M).

Som utredningens namn antyder handlar denna utredning inte bara om datalagring, utan även mer allmänt om myndigheternas »åtkomst till elektronisk information«.

Vilket i stycken leder till begreppsförvirring. Nu rör man ihop lagring av metadata (datalagring) med mer allmän tillgång till innehållet i elektroniska kommunikationer. Förmodligen hade det varit bättre att utreda frågorna var och en för sig.

• Datalagring

Vad gäller datalagringen föreslår utredningen att man antingen kan välja att lagra all kommunikationsdata (nationell säkerhetslagring) i händelse av ett nationellt nödläge under en begränsad tid, på inrådan av Säpo.

Eller att man ägnar sig åt riktad lagring – till exempel vid större stationer i kollektivtrafiken, i områden med hög brottslighet och där det kan tänkas bli trubbel.

Varpå utredaren glatt konstaterar att man kan övervaka uppåt 70% av befolkningen – om man gör en sådan bedömning från kommun till kommun.

I vart fall det senare skulle inte tåla en granskning i EU-domstolen.

Med ett väldigt krystat resonemang menar utredaren att det vore att bryta mot de mänskliga rättigheternas krav på rätten till privatliv att inte upphäva samma mänskliga rättigheter. Ur vårt remissvar:

»Utredaren menar där att skrivningen i artikel 8 i Europakonventionen om att det finns en skyldighet för det allmänna att tillförsäkra enskilda skydd för privat- och familjeliv innebär att (vissa) integritetsintrång bör kriminaliseras.

För att sådana brott ska kunna bekämpas krävs i sin tur att staten har tillgång till effektiva utredningsverktyg och eftersom datalagring, enligt utredaren, är ett sådant skulle frånvaro av datalagring innebära ett staten inte levde upp till de enskildas konventionsskyddade rätt till skydd av privatlivet.

Därmed kan enligt utredaren inte heller artikel 8 i Europakonventionen i användas för att begränsa datalagring. En begränsning blir i stället ett brott mot artikel 8.

Utifrån detta synsätt skulle förstås inte endast utebliven datalagring hota integriteten utan också varje uteblivet intrång i enskildas privata sfär (så länge det motiverades med brottsbekämpning).

Att inte kränka människors integritet skulle innebära att man kränkte deras integritet. Orwell hade inte kunnat uttrycka det bättre.«

I sammanhanget kan även noteras att de grundläggande mänskliga rättigheterna är till för att skydda individen mot staten – inte individer mot andra individer. För det senare finns vanlig lagstiftning.

• Krypterad kommunikation

I den del av utredningen som handlar om »åtkomst till elektronisk information« kan man läsa följande:

»Även tillhandahållare av Noik (nummeroberoende interpersonella kommunikationstjänster) ska alltså vara skyldiga att bedriva sin verksamhet så att beslut om hemliga tvångsmedel kan verkställas och så att verkställandet inte röjs. Det omfattar även de fall en tillhandahållare för sina kunder möjliggör totalsträckskryptering, dvs. när bara sändare och mottagare har tillgång till meddelandena i läsbar form. I dessa fall innebär anpassningsskyldigheten att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myndigheter i läsbar form.«

Det vill säga att man kräver bakdörrar till krypterad kommunikation.

Ur vårt remissvar:

»En bakdörr i en tjänst kan inte begränsas till dem som har laglig tillgång till den. Finns den kan den utnyttjas av alla som känner till den, det inkluderar både organiserad brottslighet som främmande makts underrättelsetjänst. Förekomst av bakdörrar skulle sannolikt också i praktiken användas av kriminella och andra illasinnade aktörer i betydlig större utsträckning än av brottsbekämpande myndigheter.

För en kriminell är alla som har den aktuella bakdörren potentiella måltavlor (exempelvis för bedrägerier) medan brottsbekämpande myndigheter normalt är inriktade på en viss misstänkt person eller en grupp misstänkta personer. (…)

Många av de tjänster som erbjuder säkra kommunikationer idag är utländska och vänder sig till globala marknader. Det är inte sannolikt att de kommer att avskaffa totalsträckskryptering eller införa bakdörrar på grund av svenska myndighetskrav. Snarare kommer de att sluta erbjuda dessa tjänster i Sverige.«

• Vad händer nu?

Remisstiden är ute och nu skall regeringen försöka göra lag av det hela.

Det utredningen skriver om datalagring är inte i enlighet med EU-domstolens beslut och EU-rätten – eller bara orimligt i största allmänhet.

Dessutom tyder det mesta på att EU:s beslutsapparat ändå kommer att göra ett omtag vad gäller datalagringen under nästa mandatperiod 2024-29

Att ge sig på totalsträckskryptering är att förklara krig mot internet. Vilket vi kunde se under förra årets strid om Chat Control 2 – som bland annat landade i att Europaparlamentet tog principiell ställning för rätten till krypterad kommunikation.

Detta känns som en utredning som mest tillsatts för att skjuta problem på framtiden. Och när framtiden nu är här finns ändå inga bra eller rimliga svar.

Ett sista citat, ur vårt remissvar:

»Stiftelsen konstaterar att utredningen inte håller sådan kvalitet att den kan ligga till grund för lagstiftning. Bland annat bygger delar av betänkandet på missuppfattningar om hur internet- och telekommunikationer fungerar. Vidare konstateras att förslaget är oproportionerligt, strider mot skyddet av privatliv och privata kommunikationer, och med stor sannolikhet strider mot unionsrätten.

Med hänvisning till ovanstående avstyrker Stiftelsen förslaget.«

Länkar:
• Yttrande/Remiss över SOU 2023:22 ”Datalagring och åtkomst till elektronisk information” Ju 2023/01326 (PDF) »
• Regeringen: Datalagring och åtkomst till elektronisk information »
• SOU 2023:22 Datalagring och åtkomst till elektronisk information (PDF) »
• Utredning: Data om all slags meddelanden bör lagras »
• Datalagring – olaglig övervakning fortsätter och utökas »
• Going dark – EU:s krig mot krypterad kommunikation »

EU, rätten till privatliv och yttrandefriheten

av

Sommarens EU-val kommer att vara viktigt för våra mänskliga rättigheter online. Speciellt rätten till privatliv och yttrandefriheten.

EU-politiken lär bli extra intressant nästa mandatperiod, 2024-29.

Lagstiftning i EU initieras av EU-kommissionen. Det sker som regel i så god till att ministerrådet och Europaparlamentet skall hinna klubba de nya direktiven och förordningarna innan mandatperiodens slut.

Efter EU-valet nästa sommar börjar sedan allt om på nytt – med nya lagar som bygger vidare på de gamla i något slags ständig expansion.

Mandatperiod efter mandatperiod har politiken ökat sin makt över internet, nu senast med sin Digital Services Act, DSA (Förordningen om digitala tjänster.)

Denna utveckling kommer att fortsätta under nästa legislatur.

Inte sällan står sådana förslag i strid med de grundläggande mänskliga rättigheterna. Framförallt är det två av dessa rättigheter som är viktiga vad gäller internet.

1: Rätten till privatliv och privat korrespondens

EU:s rättighetsstadga och Europadeklarationen om de mänskliga rättigheterna säger…

»Var och en har rätt till respekt för sitt privatliv och familjeliv, sin bostad och sina kommunikationer.«

FN:s deklaration om de mänskliga rättigheterna har en snarlik formulering…

»Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens…«

Hur viktig och laddad denna princip är såg vi under de senaste årens strid om Chat Control 2 – som var tänkt att leda till svepande granskning av medborgarnas elektroniska meddelanden, utan misstanke om brott.

Det var denna grundläggande mänskliga rättighet som slutligen tvingade de folkvalda i Europaparlamentet att i praktiken döda förslaget. All uppmärksamhet gjorde att den inte gick att runda.

Men tro inte annat än att Chat Control kommer att komma tillbaka i ny tappning under nästa mandatperiod.

Att försvara medborgarnas rätt till privatliv är en ständigt pågående dragkamp i EU.

Den rimliga principen är: Övervaka dem som misstänks för brott – inte alla andra, hela tiden.

2: Yttrandefriheten

EU:s rättighetsstadga och Europarådet formulerar denna mänskliga rättighet så här…

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

FN säger samma sak fast åter med vissa smärre språkliga skillnader.

Här kan det komma att blåsa upp till storm under nästa EU-mandatperiod.

EU:s nya Digital Services Act öppnar för inskränkningar i yttrandefriheten. Och det saknas inte krafter som vill begränsa det fria ordet.

EU:s politiker försöker ständigt finna sätt att komma åt yttranden på nätet som de ogillar, men som inte är olagliga.

DSA:s nya statligt godkända nätcensorer (trusted flaggers / betrodda anmälare) balanserar farligt nära den röda linjen. De kommer att få en direktlina till sociala media för att rekommendera vilket innehåll som skall plockas bort.

Ett annat problem är DSA:s möjlighet för myndigheter i ett land att beordra nedtagning av innehåll på servrar i ett annat land – även om innehållet inte är olagligt i det senare landet.

Ovanstående är bara två exempel på hur DSA rimmar illa med yttrandefriheten som den formulerats i de olika fördragen om mänskliga rättigheter.

Detta är viktigt när EU-kommissionen och medlemsstarterna försöker utnyttja de verktyg för att begränsa det fria ordet som DSA ger.

Här måste Europaparlamentet vara en vakthund som ser till att yttrandefrihetens princip upprätthålls.

Sedan kommer helt nya förslag som hotar ett fritt och öppet internet. Det är en ständigt pågående process. Till exempel lär frågan om krypterad kommunikation bli het.

Slaget om mänskliga rättigheter online kommer att stå under den tionde EU-legislaturen – med fokus på rätten till privatliv och yttrandefriheten.

Musk, X, EU, DSA och yttrandefriheten

av

Konflikten mellan Elon Musk och EU handlar ytterst om yttrandefrihet och respekt för de mänskliga rättigheterna.

Som ett första test av EU:s nya Digital Services Act (DSA) ger sig EU-kommissionen nu efter X, Elon Musks sociala medieplattform tidigare känd som Twitter.

DSA är politikens försök att ta makten över det offentliga samtalet på internet.

För stora sociala media kräver DSA en armé av compliance officers och jurister för all den byråkrati som föreskrivs.

DSA införs stegvis och omfattar även statligt godkända nätcensorer – Trusted Flaggers / betrodda anmälare – som skall få en direktlina till sociala media för att rekommendera vilket innehåll som skall plockas bort.

Detta är en funktion som den svenska regeringen planerar att lägga under Post- & Telestyrelsen, PTS.

Man kan diskutera detaljerna i EU-kommissionens X-files. Vad är bäst – censur eller community notes? Skall videos från Hamas vidriga massaker den 7 oktober få visas? Var det klokt att ändra den blå dekalen från att betyda verifierad användare till betalande dito?

För att ta ett exempel kan jag tycka att community notes är bättre än censur.

Community notes ger bakgrund, sammanhang och exponerar lögner, desinformation och missförstånd – vilket har ett värde i sig. De ger en kontext till märkliga påståenden istället för att bara ta bort dem. De är självsanering genom crowdsourcing.

Men i grunden känns EU-kommissionens utredning som ett angrepp mot Elon Musk.

För att han säger saker som vissa ogillar; för att han i det närmaste är yttrandefrihets-fundamentalist; för att han hamnat på kant med det amerikanska politiska etablissemanget och för att X är en plattform där vanliga människor kan lägga sig i, ifrågasätta och utmana makten.

Samt för att EU vill markera vem som bestämmer. (Vilket tydligt framgår av den franske EU-kommissionären Thierry Bretons offensiva tweets. Hans nästa måltavla tycks vara Pornhub.)

Naturligtvis kan visst innehåll vara problematiskt. Ibland har Musk fel. (Hans uttalanden om Ukraina irriterar mig svårt.) Och det finns gott om skitskallar på nätet som inte kan uttrycka sig eller bete sig som folk, precis som i verkligheten i övrigt.

I konflikten mellan Musk och EU möts två olika kulturer. Dels den amerikanska där vem som helst får säga nästan vad som helst. Dels den europeiska – i vilken politik och förvaltning ängsligt vill sätta gränser för vad som får uttryckas.

Problemet med det senare är att alla politiker och tjänstemän – uttalat eller undermedvetet – har en agenda och personliga referensramar. Något opartiskt och ofelbart orakel existerar inte. Den som vill inskränka det fria ordet har som regel sina – inte nödvändigtvis ädla – skäl.

Det är inte alltid uppenbart vad som är rätt eller fel. Vissa saker som absolut inte fick sägas på sociala media i går är tillåtet och allmänt godtaget idag.

Att censurera sociala media strider delvis mot principen att yttranden inte får hindras i förväg. (Även om ett inlägg initialt publicerats hindrar censuren spridning.)

Istället bör eventuellt olagliga yttranden prövas rättsligt i efterhand. (Och i samband med detta kan eventuell radering av innehåll ske efter beslut i domstol.)

Detta gäller när staten lägger sig i, vilket den nu uppenbarligen gör. (Användarvillkor är däremot ett avtal mellan två parter, vilket är en annan sak.)

I den svenska yttrandefrihetsgrundlagen (1 kap, §11) finns just ett sådant förbud mot förhandscensur.

Här står grundläggande rättigheter på spel. Artikel 10 i Europakonventionen om de mänskliga rättigheterna slår fast följande huvudprincip:

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

EU-stadgan om de mänskliga rättigheterna säger exakt samma sak och är en del av EU:s fördrag. I sammanhanget är det värt att notera att EU-kommissionen förutsätts vara »fördragens väktare«.

Här kan det även vara på sin plats att påminna om FN:s »5 juli-resolution« som säger att mänskliga rättigheter offline även skall gälla online. (A/HRC/RES/20/8 som tillkom på initiativ av Sverige och USA.)

När DSA utarbetades varnade både tjänstemän och civilsamhälle för att delar av förordningen står i strid med de grundläggande mänskliga rättigheterna.

Detta avvisades av den dåvarande svenska, socialdemokratiska regeringen – och ignorerades av de svenska ledamöter av Europaparlamentet som var centrala i beslutsprocessen.

Nu börjar vi se konsekvenserna.

Naturligtvis ogillar politikerna sociala media. De är en möjlighet för medborgarna att käfta emot, ifrågasätta och lägga sig i. Detta stör och tvingar makthavarna att försvara sin ståndpunkt. Det minskar deras makt.

Man kan undra vad EU tänker göra om Musk inte lyder och kanske inte heller betalar de böter Bryssel då kommer att ålägga X (6% av företagets omsättning)? Blockera X? En europeisk digital järnridå, som The Great Firewall of China?

Har man verkligen tänkt igenom det här?

Mer troligt är att X lämnar den europeiska marknaden.

Vilket i så fall innebär att den enda breda arena för samhällsdebatt där alla kan medverka på lika villkor stängs. På grund av politiskt tryck. Bad optics. (Och ändå möjligt att kringgå med VPN.)

Det är lite av ett Gutenberg moment över det hela. Tumultet när allmänheten fick tillgång till information som tidigare var förbehållen ett fåtal. Revolutionen i att kunna göra sin röst hörd och dela information med många.

Sedan får vi nog leva med att alla inte tycker likadant.

»Var och en har rätt till yttrandefrihet. Denna rätt innefattar åsiktsfrihet samt frihet att ta emot och sprida uppgifter och tankar utan offentlig myndighets inblandning och oberoende av territoriella gränser.«

• EU-kommissionen: Commission opens formal proceedings against X under the Digital Services Act »
• Commission investigating X for alleged violations of EU content moderation rules »
• EU targets Musk’s X in first illegal content probe »
• X vs. EU: Elon Musk hit with probe over spread of toxic content »
• EU Bureaucrats Formally Investigate X Over Lack of “Disinformation” Censorship »

Going dark – EU:s krig mot krypterad kommunikation

av

Den svenska regeringen öppnade Pandoras ask. Nu planerar EU kriget mot kryptering och ny datalagring i en hemlig grupp bakom stängda dörrar.

För snart ett år sedan höll EU:s justitie- och inrikesministrar ett informellt möte i det då nytillträdda ordförandelandet Sverige. Efter lunch torsdagen den 26 januari var det dags att ge sig i kast med den svenska regeringens arbetsdokument »Going dark«.

Inledningen beskriver allehanda brottslig verksamhet som är kopplad till nätet och vilka problem detta medför för de rättsvårdande myndigheterna. Speciellt då krypterad kommunikation. Fast med betydande demokratiska brasklappar:

»In the view of the Presidency, it is therefore time to discuss ways and means to uphold the rule of law in the digital era, while preserving security, protecting privacy and fundamental rights, and also increasing European competitiveness. Effective law enforcement, acting in full compliance with democratic values, is a prerequisite for protecting the fundamental rights of our citizens, including the right to the protection of personal data, respect for private and family life, and freedom of expression.


In light of this, the Presidency wishes to initiate a holistic discussion, rooted in fundamental rights and also legal and technical realities, on access to data for law enforcement and judicial purposes. This discussion should seek to reconcile the protection of the right to a private life and personal data with the need for secure online environments and digital services to ensure the protection of victims of crime and keep our citizens and societies safe.«

Vilket faktiskt låter relativt balanserat. Problemet är att när man väl öppnat lådan kommer även de mindre balanserade, de dåliga och de direkt farliga förslagen. Så är det i princip alltid i EU – hur vackert man än uttrycker sig i ruta ett. The cat is out of the bag.

Dokumentet fortsätter att problematisera kring frågan med krypterad kommunikation och uppmanar till diskussion med alla inblandade intressenter. Allt är mycket allmänt hållet.

Det hela landade i att man skulle tillsätta en »High-Level Expert Group«. Därmed hamnade det hela under EU-kommissionen och inrikeskommissionär Ylva Johansson.

Gruppens syfte är att formulera en »strategisk vision för framtiden« och att föreslå hur man kan utöka och förbättra myndigheternas tillgång till data. (I sammanhanget kan nämnas att Europol nyligen fick rätt att bereda sig tillgång till data hos privata aktörer.)

Snabbt ändrades namnet från »High-Level Expert Group« till »High-Level Group«. För expertgrupper gäller nämligen högre krav på öppenhet och allsidighet, vilket man kanske tyckte var olämpligt i detta fall.

Under det svenska ordförandeskapets sista dagar, i juni 2023 höll denna grupp sitt första möte. Någon diskussion med alla inblandade intressenter var det inte längre fråga om. Men den kallar sig fortfarande en »collaborative and inclusive platform« på sin hemsida.

Enligt regelverket kan gruppen bjuda in representanter från en privata sektorn, akademien, NGOer, advokater och dataskyddsexperter vid enstaka tillfällen. Inga sådana finns dock representerade i gruppen.

Efter att detta uppmärksammats har man dock lovat att bjuda in representanter för civilsamhället till ett möte, efter årsskiftet.

Den europeiska dataskyddsmyndigheten EDPS och en representant för Europaparlamentets människorättsutkott LIBE kan – men måste inte – erbjudas observatörsstatus.

Så vilka sitter då i denna högnivågrupp? Svaret är att det får vi inte veta. Det går visserligen att begära ut en deltagarlista – men bara med alla namn maskade.

Här formas framtidens övervakning, bakom stängda dörrar. På sina möten har gruppen bland annat diskuterat client-side-scanning (på din telefon), tillgång till data hos operatörerna, tillgång till data i transit, statstrojaner och hur man skall komma runt EU-domstolens förbud mot generell datalagring.

Detta är inte riktigt den bild den svenska regeringen målade upp i sin skrivelse i januari:

»The Presidency aims to enable and promote such discussions. They should involve all relevant stakeholders, with the objective of identifying and presenting common solutions to better ensure access to data, electronic evidence and information for law enforcement and judicial purposes, while upholding the protection of fundamental rights and the security of electronic communications.«

Man upphör aldrig att förvånas över den svenska naiviteten i EU-sammanhang.

Djuplänkar i texten, huvudlänk här:

• Netzpolitik: Hinter verschlossenen Türen »

EU inför gemensamt system för sjukjournaler

av

Nu införs en gemensam databas och standard för sjukvårdsjournaler i EU:s 27 olika medlemsstater. Kanske praktiskt, men förenat med stora risker.

Både EU:s ministerråd och Europaparlamentet har nu givit grönt ljus till det nya europeiska systemet för sjukjournaler – EU Health Data Space.

I praktiken kommer det att vara obligatoriskt att vara med. Europaparlamentet har gjort tillägget att medborgare skall kunna »invända« genom ett skriftligt förfarande. Dock verkar det som att en sådan invändning bara kan göras mot vissa former av data och användning i sekundära syften.

Naturligtvis är det lätt att se fördelen med ett gemensamt journalsystem för hela EU, enligt en ny standard: Blir man sjuk har vården tillgång till samma information oavsett om man är i Bordeaux eller Borås.

I verkligheten är det naturligtvis en helt annan sak. Man skall stöpa om och centralisera journalsystemet för 27 olika länder till år 2025. Vad kan möjligen gå fel?

Detta för att inte nämna risken för IT-attacker, läckta patientuppgifter och missbruk av systemet. Eller tekniska fel, borttappad data och inkompetent handhavande.

Och det är inte bara din doktor som får tillgång till information. Data skall även tillhandahållas för forskning och utveckling. (Men parlamentet säger nej till att insamlad hälsodata får används när någon skall anställas och för finansiella tjänster som försäkringar…)

Parlamentet och ministerrådet ligger rätt nära varandra och kommissionens ursprungliga förslag. Det är i princip bara den ovan nämnda rätten att »invända« som skiljer. Så trilog-förhandlingarna om den slutliga texten kommer förmodligen att gå snabbt.

Och här är avslutningsvis en kritisk röst, MEP Patrick Breyer (PP, DE):

»A compulsory electronic patient file with Europe-wide access entails irresponsible risks of theft, hacking or loss of the most personal treatment data and threatens to deprive patients of any control over the collection of their illnesses and disorders,” emphasises Breyer, co-lead negotiator for the Greens/European Free Alliance group in the EU Parliament’s Civil Liberties Committee.

“This is nothing other than the end of medical confidentiality. Have we learnt nothing from the international hacker attacks on hospitals and other health data? If every mental illness, addiction therapy, every potency weakness and all abortions are forcibly networked, worried patients risk being deterred from urgent medical treatment – this can make people ill and put a strain on their families!

In the trilogue negotiations, I will fight to ensure that national opt-out schemes are clearly allowed for in the legislation.”«

• Europaparlamentet: EU Health Data Space: access to your health data across the EU »

• Europaparlamentet: EP supports creating EU Health Data Space to boost access to data and research »

• MEP Patrick Breyer (PP, DE): European Health Data Space: EU Parliament opposes mandatory electronic patient records for all citizens, but supports granting access to sensitive health data without asking patients »

Så vill EU ta makten över AI

av

Nu reglerar EU användningen av artificiell intelligens – med stora undantag för brottsbekämpande myndigheter. Här är vad man har förhandlat fram.

Det finns nu i princip en överenskommelse mellan EU:s tre institutioner om dess nya reglering av artificiell intelligens, the AI Act. I princip, eftersom det fortfarande tycks råda en viss oklarhet om vad man beslutat i detalj.

Överenskommelsen är resultatet av trilog-förhandlingar – i vilka kommissionen, ministerrådet och parlamentet stänger in sig bakom stängda dörrar för att utarbeta en kompromiss utan offentlig insyn.

Trots att det inte finns något stöd för triloger i EU:s fördrag avgörs idag nio av tio lagförslag i EU genom dessa hemliga förhandlingar. Vilket är ett demokratiskt problem. Lagstiftning måste tåla insyn.

Än mer svajigt blir det om man betänker att detta är lagstiftning där den tekniska utvecklingen går med rasande fart. Plus att det är oklart om beslutsfattarna verkligen förstår vad AI är och hur den fungerar.

Men det är som det är. Till saken. Vad har man kommit fram till?

  • EU vill ha insyn i och viss möjlighet att påverka AI-system som anses vara hög risk för individen, samhället och ekonomin. Här ställs även krav på transparens, konsekvensanalyser och energianvändning.
  • Man förbjuder automatiserad ansiktsigenkänning i realtid, utom vad gäller att identifiera gärningsmän och offer vid vissa typer av brott och för att bekämpa terrorism.
  • Automatiserad ansiktsigenkänning i efterhand begränsas till utredning av allvarliga brott.
  • Användning av AI för förebyggande brotssbekämpning (pre-crime) begränsas delvis, speciellt om den bygger på personlighets- och karaktärsdrag (t.ex. ras, politisk åsikt eller religion – om inte sådana uppgifter har en direkt betydelse till ett visst brott eller hot).
  • Användning av AI för att upptäcka och registrera känslor förbjuds på arbetsplatser och inom utbildningsväsendet utom när det sker i säkerhetssyfte.
  • AI får inte användas för manipulation, exploatering av sårbarheter och sociala poängsystem (social scoring).
  • Militär användning undantas från begränsningar, så länge den är i linje med EU:s fördrag.
  • Fri och open source-mjukvara undantas från lagstiftningen utom när tillämpningen anses vara förenad med hög risk eller förbud enligt ovan.
  • Ett AI Office skall upprättas hos EU-kommissionen, en European Artificial Intelligence Board skall etableras liksom ett rådgivande forum och en vetenskaplig panel.

EU:s AI Act är tänkt att träda ikraft inom två år, med undantag för vissa förbud som skall börja gälla redan efter sex månader från det att rådet och parlamentet bekräftat trilogens kompromiss.

Hur tekniken kommer att se ut om två år och om lagstiftningen över huvud taget är relevant då är en öppen fråga.

Och som vanligt finns alltid en påtaglig risk för ändamålsglidning, missbruk av dessa verktyg och för vad de kan komma att användas till av auktoritära eller totalitära politiska krafter.

EU:s AI Act sätter också strålkastarljuset på Chat Control som nu av allt att döma skjutits på framtiden, till nästa mandatperiod. Att låta AI granska innehållet i medborgarnas elektroniska meddelanden samtidigt som man ger myndigheterna relativt fria händer på området tar frågan till en ny nivå. Detta bör uppmärksammas i vårens EU-valrörelse.

Några länkar:
• Europaparlamentet: Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI »
• EU-kommissionen: Commission welcomes political agreement on Artificial Intelligence Act »
• EDRi – EU AI Act: Deal reached, but too soon to celebrate »
• Euractiv: AI Act: EU policymakers nail down rules on AI models, butt heads on law enforcement »
• Euractiv: European Union squares the circle on the world’s first AI rulebook »

Från trilogförhandlingarna om EU:s nya AI Act.

Hemlig övervakning leder inte till åtal i sju av tio fall

av

I sju av tio fall har polisens hemliga övervakning av elektronisk kommunikation inte använts för åtal.

I veckan presenterades den årliga redovisningen av användningen av hemliga tvångsmedel, avseende år 2022. Vilket i stort sett förbigåtts med tystnad i media.

Övervakning med hemliga tvångsmedel vid elektronisk kommunikation har använts vid 1.393 tillfällen. Som längst har en person övervakats i 282 dygn. Den genomsnittliga avlyssningstiden per tillstånd var 48 dagar, mediantiden 30 dagar och den kortaste avlyssningstiden en dag.

I 42% av fallen har övervakningen lett till stärkta misstankar mot den misstänkte. I 43% har uppgifterna utgjort underlag i en förhörssituation. I 41% av fallen har den på annat sätt bidragit till att utredningen kunnat föras framåt.

I endast 29% har hemliga tvångsmedel vid elektronisk kommunikation åberopats som bevisning i stämningsansökan. I 31% av fallen där någon har avlyssnats har åtal väckts (vilket även kan ha sin grund i annan bevisning).

Ett annat sätt att uttrycka saken är att nästan 60% av övervakningen inte varit användbar vad gäller misstanke, förhör eller utredning.

Samt att i 71% av fallen har hemlig övervakning av elektronisk kommunikation inte bidragit till stämningsansökan / åtal.

Mycket av övervakningen är alltså resultatlös och det finns skäl att anta att den har drabbat många oskyldiga. Fast det framgår inte av regeringens pressmeddelande. Det får man dyka ner i tabellerna för att upptäcka.

• Regeringen: Redovisning av användningen av hemliga tvångsmedel under 2022 »