Alla register läcker. Men vissa läckor är värre än andra.

IDG.se:

»Data från fingeravtryck, ansiktsmönster och annan biometrisk data låg tills helt nyligen okrypterade på en öppen databas tillhörande plattformen Biostar 2 från Suprema. Miljontals personer är drabbade.« (…)

»Till skillnad från då användarnamn och lösenord har läckt från en databas, och de drabbade till viss del kan rädda situationen genom att byta lösenord, är det naturligtvis omöjligt att byta fingeravtryck eller ansikte.«

Länkar:
• IDG.se/Techworld: Jätteläcka av biometridata – miljontals fingeravtryck och ansiktsmönster »
• The Guardian: Major breach found in biometrics system used by banks, UK police and defence firms »

EU-domstolen granskar överföring av persondata från EU till USA

Under tisdagen (9 juli) kommer EU-domstolen att hålla en viktig utfrågning om överföring av persondata från EU till USA.

Bakgrunden är en anmälan från den österrikiske nätaktivisten Max Scherms. Han har redan en gång fått ett avtal om dataöverföring mellan EU och USA ogiltigförklarat. Och nu är det kanske dags igen.

Politico skriver:

On Tuesday, the European Court of Justice in Luxembourg will hear arguments in another case brought by Schrems over claims that the U.S. government does not sufficiently protect Europeans’ data when it is shipped across the Atlantic.

”There is fundamentally a clash between surveillance laws in the U.S. and privacy rules in Europe,” he said. ”We’re in a debate about who governs the internet. Europe governs privacy, but the U.S. governs surveillance.” (…)

Schrems and his lawyers are expected to argue this data-transfer mechanism runs against EU privacy rules because it allows U.S. national security agencies extensive access to Europeans’ digital information. Others, including the European Commission and industry groups, will says these agreements provide sufficient guarantees for EU citizens.

Problemet är att även de nya reglerna lämnar mycket att önska. Bland annat handlar det om den amerikanska säkerhetsbyråkratins tillgång till den data som överförs.

Om det existerande avtalet upphävs kan det få stora konsekvenser såväl för de amerikanska nätjättarna som för näringslivet i övrigt. Och det finns en oro för att detta även kan få negativa konsekvenser vad gäller dataskydd – då det nu gällande regelpaketet i vissa delar erbjuder ett rimligt skydd för europeisk persondata, men i andra delar inte.

Detta är komplex materia. Men i grunden handlar det om att gällande avtal mellan EU och USA är allt för vaga, vilket bland annat påpekats flera gånger av Europaparlamentet.

Politico: Top court hearing puts EU data transfers in jeopardy »

Regeringen vill avskaffa personuppgiftslagen

Den 25 maj 2018 träder EUs dataskyddsförordning i kraft. Med anledning av det har den svenska regeringen i dag presenterat en lagrådsremiss som föreslår att den svenska personuppgiftslagen upphävs samma datum, och ersätts med en ny dataskyddslag.

En av nyheterna i den nya lagen är att barn från 13 års ålder ska kunna ge sitt samtycke till att deras data behandlas av till exempel sociala medier. Enligt EUs dataskyddsförordning måste en förälder ge samtycke fram till att barnet är 16 år, men denna åldersgräns får sänkas nationellt.

Regeringen vill också att myndigheter som inte följer den nya dataskyddslagen ska kunna straffas med böter, en åtgärd som EU-förordningen bara kräver för privata företag.

En mer svårtolkad förändring beskrivs så här på regeringens hemsida:

Den föreslagna lagen innehåller bland annat bestämmelser om att dataskyddsförordningen med vissa undantag ska gälla även utanför sitt egentliga tillämpningsområde, till exempel i verksamhet som rör nationell säkerhet.

Exakt vad som menas kanske framgår i lagrådsremissen, som jag inte läst än, men visst är känslan att det där med ”nationell säkerhet” ofta används för att rättfärdiga eventuella tveksamheter?

EU-utskott sviker EU-medborgarna

EU-parlamentets utskott för inre marknad och konsumentskydd, IMCO, har granskat kommissionens förslag till Eprivacyförordning och kommit med ett slutgiltigt yttrande.

Edri konstaterar att yttrandet är så urvattnat att det knappast kan sägas skydda de konsumenter som utskottet har till uppgift att skydda. Stryk ”konsumentskydd” från ert namn, skriver Edri sarkastiskt och radar upp bevisen för hur utskottet svikit EU-medborgarna – läs hela listan här.

Mycket gäller ändringar i ordval som gör det möjligt för de stora jättarna att kringgå det konsumentskydd som ursprungligen var tanken med Eprivacyförordningen.

Till exempel ska mejlsekretess – vad detta nu än må innebära – enbart gälla medan mejl är ”in transit”, inte när de är lagrade hos en tjänsteleverantör. Googles eposttjänst Gmail har ända sedan lanseringen 2005 haft som affärsidé att analysera innehållet i användarnas mejl för att på bästa sätt kunna rikta reklam till dem. Den nya formuleringen gör att Google slipper fundera på hur Eprivacyförordningen skulle påverka eposttjänsten. Man förstår att det är mycket lobbying och kanske många bjudmiddagar som ligger bakom de harmlösaste formuleringar.

I slutändan kan EU-parlamentet välja att inte ta hänsyn till IMCOs yttrande. Så skedde när den Allmänna dataskyddsförordningen antogs, eftersom IMCO hade en, som Edri uttrycker det, ”extremist anti-consumer position”.

Utskotten är tillsatta av EU-parlamentet och ska granska lagförslag utifrån EU-medborgarnas bästa. Kanske är det dags att granska utskotten och fråga sig varför de gång efter annan landar i ståndpunkter som går rakt emot EU-medborgarnas bästa.

Facebook bröt mot dataskyddslagar – får böta 1,2 miljoner euro

Spanska dataskyddsmyndigheten AEPD har beslutat att Facebook ska böta 1,2 miljoner euro för att ha brutit mot landets dataskyddslagar. Myndigheter i Belgien, Frankrike, Nederländerna och Tyskland har bidragit i utredningen.

I korthet har Facebook fört användarna bakom ljuset genom att inte tillräckligt tydligt informera om vilka data Facebook samlar in och hur de används:

In the framework of its investigation the Spanish Data Protection Agency has verified that Facebook collects data on ideology, sex, religious beliefs, personal preferences or browsing activity without clearly informing about how and for what purpose it will use these data.

Även om informationen finns där så har Facebook gjort den svårhittad, även för avancerade användare, skriver AEPD i ett pressmeddelande.

Myndigheten kritiserar även hur Facebook använder cookies för att kartlägga icke-Facebookanvändare som surfar på icke-Facebooksidor som har Facebooks gillaknapp inbäddad.

Man är också kritisk till att Facebook fortsätter att spåra användare som avslutat sina Facebookkonton i hela 17 månader genom en ”deleted account cookie”.

Läs mer

AEPD: The Spanish DPA fines Facebook for violating data protection regulations