Integirtet i fokus nr 3-2012 - Datainspektionens tidning ...

Datainspektionens tidning
nr 3/2012
Facebook nytt bevis
i domstolarna
DNA-databas
används olagligt
IT-attacker största
hotet mot Sverige
Exklusiv intervju med FRA:s generaldirektör

Integritet i fokus
produceras av Data inspektionen
Box 8114, 104 20 Stockholm
Tfn 08-657 61 00 (växel)
www.datainspektionen.se
Ansvarig utgivare
Göran Gräslund
Redaktör
Per Lövgren
Formgivning
Fredrik Karlsson
Omslag
Ingvar Åkesson. Foto: Örjan
Björkdahl/Scanpix.
Tryck
Tryckt hos Ineko AB i Årsta på Arctic
Volume White papper.
Miljömärkt trycksak
341142. ISSN 2000-5857.
Kontakta redaktionen
Har du synpunkter, tips på artiklar
eller frågor om tidningen? Mejla till
redaktionen@datainspektionen.se.
Gratis prenumeration
En prenumeration på Integritet i
fokus är gratis. Lättast anmäler du
dig på vår webbplats. Integritet i
fokus kan även laddas ner i pdf-format
från vår webbplats. Tidningen
kommer ut fyra gånger per år.
Besök www.datainspektionen.se
På vår webbplats kan du läsa mer
om integritetsfrågor. Passa även på
att prenumerera på vårt nyhetsbrev
så får du pressmeddelanden
och annat aktuellt från Datainspektionen.
OMväRlDEN
Norsk polis vill
DNA-testa 400 män
¥ Polisen i Oslo har uppmanat 400
män i åldrarna 20–45 år att frivilligt
lämna DNA-test. Samtliga personer
som har fått brev från polisen bor eller
har bott i ett område där en ung kvinna
blev våldtagen i oktober förra året,
rapporterar Sveriges Radios Ekot. Datatilsynet,
den norska motsvarigheten till
Datainspektionen, vill att norska Justitiedepartementet
ska se över frågan
om storskaliga DNA-tester. Den norska
lagen tillåter frivilliga DNA-tester på
enskilda personer, men frågan är var
gränsen går och om det ska vara möjligt
att kalla in alla män i en stad eller
stadsdel.
Kvinna namngav
sexförövare på Twitter
¥ En ung kvinna i USA riskerar fängelse
efter att på Twitter ha namngett de
två pojkar som förgripit sig på henne
sexuellt och spridit bilder från händelsen.
De två pojkarna har erkänt brott,
men i väntan på att domstol ska döma
i målet får de inblandade inte prata om
händelsen eftersom parterna är minderåriga.
Pojkarnas advokat har begärt
att den 17-åriga kvinnan som twittrat
namnen ska åtalas för domstolstrots.
Hon riskerar då att dömas till fängelse
i upp till 180 dagar eller böter på 500
dollar. Advokaten har dock senare dragit
tillbaka sin begäran.
Microsoft kräver att bild
på nyfödd tas bort
¥ Norrmannen Morten Tobiassen kopierade
en bild på sitt nyfödda barn till
Microsofts molntjänst Sky Drive. Det
skulle han inte ha gjort. Kort därefter
får han ett mejl från Microsofts kundtjänst
där han uppmanas att inom 48
timmar ta bort bilden, annars kommer
hans konto att stängas av och tas bort.
Orsaken är att bilden föreställer ett naket
barn, vilket strider mot Microsofts
användarvillkor. ”Det är ju bara en bild
på min tre timmar gamla dotter, som
jag dessutom bara delar med mig av till
mina närmaste. Vad hade hänt om jag
varit bortrest och inte kunnat läsa mejlet?
Jag har många viktiga jobbdokument
och presentationer på mitt mejlkonto
som då hade tagits bort.”
Sajt dammsuger Facebook
i jakt på dina misstag
¥ ”Problemet är helt enkelt att folk inte
inser riskerna med att dela med sig av
allt.” Så skriver upphovsmannen till sajten
WeKnowWhatYoureDoing.com. På
sajten publiceras information som hämtas
från Facebook. Under rubriken Vem
vill få sparken? publiceras Facebook-inlägg
som är helt publika och som innehåller
orden hate my boss. Övriga kategorier
är Vem är bakfull?, Vem tar droger?
och Vem har ett nytt telefonnummer?.
Sajten uppmanar alla Facebookanvändare
att se över sina sekretessinställningar
så att standardinställningen
inte är Offentlig. Det gör du genom att
gå till adressen: https://www.facebook.
com/settings/?tab=privacy.
2 Integritet i fokus nr 3-2012 – Datainspektionen

SvERIGE
Skadestånd för att
ha publicerat dom
¥ En juristbyrå har dömts att betala
skadestånd för brott mot person-
uppgiftslagen efter att ha publicerat
en dom på sin hemsida, rapporterar
Dagens Juridik. Det var efter en tvist i
tingsrätten som juristbyrån, som företrätt
en av parterna, lade ut domen på
sin webbplats. Motparten, vars namn
och adress fanns i domen, har därefter
stämt byrån och yrkat på skadestånd
enligt personuppgiftslagen. I tingsrätten
dömdes juristbyrån att betala
12 000 kronor i skadestånd. Tingsrätten
ansåg inte att juristbyråns intresse
av att ”informera om det gällande
rättsläget” vägde tyngre än skyddet
mot kränkning av den personliga integriteten,
skriver Dagens Juridik. Domen
överklagades till hovrätten som sänkte
skadeståndet till 4 000 kronor.
Fel av bank registrera
uppgifter om bankrånare
¥ En person som 2008 dömdes för
rån mot Swedbank försökte tre år senare
nappa på ett speciellt studenterbjudande
från banken. Han nekades att
teckna erbjudandet och fick beskedet:
”Du har rånat mina kollegor i Sundbyberg
2007”. Kort därefter avslutades
mannens befintliga konto i banken.
Det fick personen att undra vad banken
hade för uppgifter registrerade om
honom. Han anmälde banken till Datainspektionen
som konstaterar att banken
gjort fel som registrerat uppgifter
som rör brott i sina kundnoteringar.
Enligt personuppgiftslagen är det
som huvudregel förbjudet för andra än
myndigheter att hantera personuppgifter
om lagöverträdelser som brott
och domar i brottmål.
Integritet i fokus nr 3-2012 – Datainspektionen
Polisen vädjade
om tips på Facebook
¥ I somras efterlyste Södermalmspolisen
i Stockholm tips från allmänheten
på sin Facebook-sida och länkade till
polisens webbplats, där stillbilder och
en videofilm från övervakningskameror
publicerats. Bilderna visade några
yngre män som misstänks vara inblandade
i en grov misshandel. Enligt Dagens
Nyheter lämnade många besökare
synpunkter i kommentarsfältet till
polisens efterlysning på Facebook. Flera
av kommentarerna rörde männens
hudfärg och eventuella ursprung.
”Det är en otroligt stor risk att de här
personerna pekas ut oskyldigt”, säger
Advokatsamfundets Anne Ramberg till
Dagens Nyheter.
2009 lämnade Datainspektionen ett
yttrande till Rikspolisstyrelsen där myndigheten
ansåg att polisens Internetpublicering
av bilder på okända gärningsmän
endast är tillåten i undantagsfall,
till exempel om det rör sig om
särskilt allvarlig brottslighet.
Ny privat sajt
samlar biverkningar
¥ Nu under sommaren startade biverkningar.se,
en ny svensk webbplats.
På sajten ska besökarna kunna
”se och rapportera in oönskade bieffekter
av behandlingar, mediciner eller
liknande”. Enligt personen bakom
sajten är syftet att försöka bidra till en
bättre folkhälsa. Sajten varnar dock för
att uppgifterna inte kan användas för
att dra direkta slutsatser om ett visst lä-
kemedel har orsakat en specifik biverkning
eller orsakat ett dödsfall, och att
den rapporterade reaktionen kan ha
uppstått av andra orsaker än läkemedlet
ifråga. Den som vill rapportera in
biverkningar uppmanas att inte skriva
personuppgifter som namn, telefonnummer
och liknande.
Sjuksköterska dömd
för dataintrång
¥ En sjuksköterska har av Alingsås
tingsrätt dömts till 21 600 kronor i böter
för dataintrång. Enligt Göteborgs-
Posten var upprinnelsen till dataintrånget
att kvinnans styvdotter tagit en
kreditupplysning på kvinnan och sett
att sjuksköterskan hade stora skulder.
Sjuksköterskan ska därefter vid tio olika
tillfällen läst sin styvdotters elektroniska
patientjournal och hotat att avslöja
uppgifter från journalen. Det gjorde att
styvdottern kontaktade polisen. Förutom
dagsböter ska sjuksköterskan betala
5 000 kronor till styvdottern för den
kränkning hon anses ha blivit utsatt för.
Register över vårdpersonal
läggs ut på nätet
¥ En utredning föreslår att Socialstyrelsens
register över legitimerad hälso-
och sjukvårdspersonal (HOSP-registret)
ska bli tillgängligt på Internet.
Registret är redan idag offentligt på så
sätt att det går att mejla Socialstyrelsen
och begära uppgifter om en enskild
persons behörighet. Enligt förslaget
ska allmänheten i framtiden kunna
söka uppgifter själv via Internet och få
reda på uppgifter om legitimerade personers
namn, födelseår, yrke, specialitet
samt datum för utfärdande av legitimation
eller bevis om specialistkompetens.
Förslaget föreslås träda i kraft den
1 januari 2013.
3

Generaldirektör Ingvar Åkesson:
– Nej, FRA jagar inte fildel
2009 beslutade riksdagen om ny lagstiftning
som gör det möjligt för
Försvarets radioanstalt, FRA, att signalspana
även i kabelburen trafik vilket
tidigare inte varit tillåtet. Beslutet
föregicks av heta debatter i media och
bloggar och på den politiska arenan.
Här berättar FRA:s generaldirektör
om missuppfattningarna kring vad
myndigheten egentligen arbetar med
och frustrationen över att inte kunna
berätta för omvärlden när information
som myndigheten samlat in har använts
för att avvärja hot mot Sverige.
2008 myntades ett nytt ord i Sverige: bloggbävning.
Upprinnelsen till det nya ordets
tillkomst var den då stundande omröstningen
i riksdagen om en ny teknikneutral lagstiftning
som skulle ge FRA möjlighet att signalspana
även i kabelburen trafik, vilket tidigare
inte varit tillåtet. På bloggar och i massmedia
skrevs att FRA nu skulle kunna avlyssna
våra telefonsamtal, sms och mejl.
Det var en tuff tid för både FRA och framför
allt, för myndighetens generaldirektör
Ingvar Åkesson.
– Visst kändes det, när vi på bloggar och
även i media blev beskyllda för att göra saker
som vi inte gör och för att i princip syssla med
brottslig verksamhet. Något som över huvud
taget aldrig kom fram då var att vi innan
lagändringarna trädde i kraft 2009 faktiskt
hade väldigt få regler att rätta oss efter. Nu
omgärdas vår verksamhet av en rad strikta
regler som vi inte haft förut.
Vad tror du att mannen på gatan tror att FRA
sysslar med?
– Det faktum att det är omöjligt för oss att
berätta särskilt mycket om vad vi arbetar
med, gör att det finns gott om feluppfattningar
om vår verksamhet. För två år sedan
genomförde vi en undersökning för att ta
reda på folks uppfattning om FRA. Tyvärr visade
det sig att en del tror att vi bland annat
arbetar med att jaga fildelare.
Vilken bild skulle du själv vilja att det svenska
folket har av FRA?
– Att vi är en myndighet som arbetar med
att förse regeringen med information som
utgör ett bra underlag för Sveriges utrikes-,
försvars- och säkerhetspolitik. Och att vi
är en garant för att Sverige kan bedriva en
självständig säkerhetspolitik eftersom information
inhämtas av en svensk myndighet.
Våra uppdragsgivare behöver inte förlita sig
på utländska källor.
Föremål för granskningar
Vad skulle du säga till den som är oroad över
skyddet av den personliga integriteten när det
gäller FRA:s möjligheter till signalspaning?
– Om jag själv hade trott det som stod på
bloggar och i massmedia under 2008 skulle
nog även jag vara oroad, eftersom mycket
av det som då skrevs inte alls stämde med
verkligheten. Sedan lagändringarna trädde
i kraft 2009 har vi blivit föremål för flera
granskningar av Signalspaningskommittén,
Statens inspektion för försvarsunderrättelseverksamheten
och Datainspektionen. De här
externa granskningarna har förhoppningsvis
gett ökad förståelse för att vi arbetar strikt
efter de regler vi har att följa.
Är inte dessa regler och externa kontroller en
hämsko för FRA:s möjlighet till signalspaning?
4 Integritet i fokus nr 3-2012 – Datainspektionen
FOTO: FRA

are
Integritet i fokus nr 3-2012 – Datainspektionen
Ingvar Åkesson
FAKTA
Generaldirektör på FRA sedan nio år
Civilstånd: gift och en son
Bor: i hus på Ekerö
Senast lästa bok: The Mitrokhin Archive, som
handlar om en avhoppad KGB-arkivarie. ”En
oerhört intressant bok”.
Senast sedda film: Bond-filmen Dr No som
gick på TV nyligen. ”Men jag somnade i den
första reklampausen.”
Om sitt chefsjobb: ”Att vara högsta chef för
FRA är nog den roligaste och mest stimulerande
generaldirektörsposten av alla.”
5

– visst kan det
vara väldigt frustrerande
att inte
kunna tala om
för allmänheten
när vi verkligen
lyckats bra med
ett uppdrag,
berättar Ingvar
Åkesson.
– I mångas ögon är det inte trovärdigt om vi
själva berättar om vår verksamhet, därför är
det viktigt för vår legitimitet att bejaka insyn
och kontroll. Det nya regelverket har lett
till stora omställningar internt och en viktig
uppgift för mig har varit att få alla medarbetare
att förstå och tillämpa de nya reglerna.
Min uppfattning är att det nya regelverket
och de externa kontrollerna inte har lett till
några nämnvärda negativa effekter på vår
effektivitet.
FRA:s signalspaning får uteslutande vara
inriktad på ”utrikes förhållanden”. I vilka situationer
kan det omfatta svensk Internettrafik?
– Inhämtning av rent svensk trafik, det
Organisationerna som granskar hur FRA arbetar
Signalspaningskommittén
Parlamentarisk kommitté med uppdrag
att följa signalspaningen vid FRA ur ett
integritetsskyddsperspektiv, med fokus
på hur den nya lagstiftningen tillämpas.
Redovisade sitt uppdrag i februari
2011.
Statens inspektion för försvarsunderrättelseverksamheten
(Siun)
Myndighet som har till uppgift att kontrollera
att den försvarsunderrättelseverksamhet
som bedrivs av bland annat
FRA sker i enlighet med fastställda
regelverk.
FOTO: FRA
vill säga trafik där både avsändare och mottagare
befinner sig i Sverige, är förbjuden
enligt lagen. I mycket sällsynta fall kan det
förekomma trafik där en av parterna befinner
sig i Sverige. I princip finns det tre lägen då
detta kan uppstå, och det är vid misstanke
om att utländska spioner agerar i Sverige, att
det finns en terrorgrupp med förgreningar i
Sverige eller att det pågår försök att skaffa
delar till massförstörelsevapen i Sverige.
Frustrerande att inte kunna berätta
Hur hanterar du konflikten att vara högste chef
för en myndighet som allmänheten vill ha insyn
i och veta vad den gör, men som på grund av sitt
uppdrag inte kan berätta särskilt mycket om sin
verksamhet?
– Visst kan det var väldigt frustrerande att
inte kunna tala om för allmänheten eller vänner
och bekanta när vi verkligen lyckats bra
med ett uppdrag. Men det är spelreglerna och
något vi lärt oss att leva med.
– Det är egentligen först nu som vi kan
berätta mer om vad FRA gjorde under andra
världskriget. I något enstaka fall kan vi
nämna saker som inträffade under 80- och
90-talen. Kanske kan FRA om några decennier
berätta om uppdrag vi utfört under 2012.
Orsaken till hemlighetsmakeriet är att vi inte
kan avslöja vilka mål och vilken förmåga vi
har med vår signalspaning.
– Jag får själv positiv feedback från våra
uppdragsgivare, som regeringen, regerings-
FAKTA
Datainspektionen
Granskar behandlingen av personuppgifter
inom FRA. Under 2010 hade
myndigheten ett särskilt uppdrag att
granska FRA ur ett integritetsskyddsperspektiv.
6 Integritet i fokus nr 3-2012 – Datainspektionen

Skulle Stuxnet slå ut
iranskt kärnkraftverk?
Stuxnet är en datamask (trojansk häst)
som upptäcktes i juli 2010. Masken anfaller
ett system som skapats av Siemens för
övervakning och styrning av industriprocesser.
Enligt Siemens hade masken fram
till mitten av september 2010 infiltrerat
14 industrianläggningar. Senare i september
2010 meddelade den iranska kommunikationsministern
att masken fanns på
30 000 datorer i landet, däribland datorer
i kärnkraftverket Bushehr. På grund av datamaskens
komplexitet tror experter att
masken är skapad av en statlig organisation,
då privatpersoner saknar de resurser
som krävs.
Källa: Wikipedia
kansliet och försvarsmakten, men även i
dessa organisationer är det få personer som
har insikt i exakt vilka uppdrag FRA utför.
– En svårighet för mig är dessutom att föra
beröm vidare ut i organisationen eftersom
vi måste hålla våra verksamheter åtskilda
internt för att förhindra att information om
vår spaningsförmåga läcker ut. Samtidigt är
det viktigt att alla medarbetare känner att de
gör skillnad. En av mina uppgifter är att hos
personalen skapa en vetskap om att det vi gör
är viktigt och betydelsefullt.
Mer öppenhet
– Under de nio år som jag arbetat på FRA
har myndigheten blivit mer öppen. Vi har
en informationsavdelning med fem anställda
vilket FRA aldrig tidigare haft.
Hur ser en vanlig arbetsdag ut för dig?
– Ska jag sammanfatta det i ett ord så är
det: möten. Många av mötena rör den interna
arbetsledningen, men jag har även många
möten med våra uppdragsgivare.
– En tredje kategori möten är med utländska
samarbetspartners, som antingen kommer
på besök hos FRA eller som jag själv besöker.
Den personliga relationen är mycket viktigt
Integritet i fokus nr 3-2012 – Datainspektionen
i våra kontakter med utländska partners.
Det här är en förtroendebransch där mycket
handlar om att lära känna och respektera
varandra.
Hoten är teknologiska
Vilket anser du är det största utländska hotet
mot Sverige?
– Det största hotet är inte längre militärt,
som under det kalla kriget, utan teknologiskt
i form av IT-incidenter då utländska aktörer
kommer åt känslig och värdefull information
från svenska företag och myndigheter. Det
vanligaste är att man försöker ta sig in i ITsystem
och stjäla information utan att upptäckas,
men det förekommer även IT-attacker
där man försöker sabotera verksamheter, som
Stuxnet-masken.
Har Sverige haft nytta av den möjlighet som
FRA nu har att signalspana i kabel?
Ja, jag anser att vi redan haft god nytta av
den möjligheten, framför allt när det gäller
att förse regeringen med beslutsunderlag för
hur vår utrikespolitik ska bedrivas.
7

Svenska Data inspek tionen använder
hellre moroten än piskan
för att få organisationer att följa
reglerna i personuppgiftslagen.
Det menar i alla fall forskaren
Philip Schütz som nu genomför
en studie av hur olika europeiska
dataskyddsmyndigheter arbetar.
På vilket sätt är Datainspektionen en
oberoende myndighet? Vilken är Datainspektionens
viktigaste uppgift? Hur
till sätts (och avsätts) myndighetens högsta
chef?
Det är några av de frågor som den tyske
forskaren Philip Schütz ställde när han helt
nyligen besökte svenska Datainspektionen
och intervjuade bland annat myndighetens
generaldirektör och chefsjurist.
Intervjuerna utgör grunden i Philip Schütz
doktorsavhandling i statsvetenskap som
fokuserar på en jämförelse mellan olika
europeiska dataskyddsmyndigheter. Målet
är att jämföra dataskyddsmyndigheterna i
Storbritannien, Sverige, Polen, Tyskland och
Spanien.
Philip berättar att han nu är inne i den ”empiriska
fasen” av sitt avhandlingsarbete. På
”DNA nästa stora utmaning för dataskyddsmyndigheterna”
En av de allra mest värdefulla personuppgifterna
är DNA som också är nästa stora
utmaning för dataskyddsmyndigheterna.
Det menar Philip Schütz.
– Medan vanliga personuppgifter som
namn och adress kan knytas till en enda
person, kan en persons DNA knytas även
till andra personer, som föräldrar, barn
och barnbarn.
Philip Schütz arbetar halvtid med sin
Sverige är ett mo
doktorsavhandling och halvtid som forskare
på tyska Fraunhofer Institute for Systems
and Innovation Research. Där deltar
han i de EU-finansierade forskningsprojekten
Prescient (Privacy and emerging
sciences and technologies) och Sapient
(Supporting fundamental rights, privacy
and ethics in surveillance technologies).
Schütz berättar att läkemedelsföretag
nu forskar kring personlig medicin, det
onsdagen träffade han först Datainspektionen
och därefter representanter för Säkerhets-
och integritetsskyddsnämnden. På torsdagen
blir han själv intervjuad (denna intervju) och
gör sedan en egen intervju med personal från
Justitiedepartementet. På söndag åker han
till Polen för att göra motsvarande intervjuer
där. Målet är att avhandlingen ska vara klar
om ett och ett halvt år.
Vill öka effektiviteten
– Syftet med avhandlingen är att svara på
frågan hur man kan få dataskyddsmyndigheterna
i Europa att arbeta mer effektivt.
För att göra det vill Philip Schütz ta reda
på hur dataskyddsmyndigheterna i de olika
länderna är uppbyggda, hur de löser sina uppgifter
och vilka metoder de anser effektiva
och ineffektiva. Målet är att samla in de olika
dataskyddsmyndigheternas lärdomar och
från dessa få fram rekommendationer för hur
sådana myndigheter bör vara utformade.
En av frågorna som Schütz söker svar på
är hur oberoende dataskyddsmyndigheterna
är. I Sverige är det Justitiedepartementet
som utnämner ny generaldirektör och som
bestämmer dennes lön. I Storbritannien
måste Justitiedepartementet godkänna
vill säga medicin som är speciellt anpassad
efter den enskilda patientens genetiska
förutsättningar.
– Men vad sker med det DNA som
samlas in? Vem äger uppgifterna och hur
får de användas? Och vad vet vi egentligen
om vad DNA kan avslöja i framtiden?
Det här kommer att bli en stor utmaning
för både lagstiftare och dataskyddsmyndigheter.
8 Integritet i fokus nr 3-2012 – Datainspektionen

otsland!
alla (!) anställningar hos the Information
Commissioner’s Office (ICO), medan det
i Tyskland är inrikesministeriet som gör
samma sak.
– Så ska det göras i teorin men jag undersöker
även hur det fungerar i praktiken. Gör
verkligen det tyska inrikesministeriet en
bedömning av alla som anställts på den tyska
dataskyddsmyndigheten eller är det i själva
verket så att de per automatik godkänner alla
anställningar som föreslås?
Avgifter bestämmer budget
Finansiell autonomi är ett annat ämne som
granskas. Hur pass självständigt kan myndigheten
fördela sin budget på olika verksamheter?
Schütz berättar att i Storbritannien
måste alla organisationer som hanterar
personuppgifter betala en avgift till ICO. Hur
stor den avgiften är bestäms inte av ICO utan
av regeringen. Avgiftens storlek bestämmer
sedan hur stor budget ICO får för sitt dataskyddsarbete.
(I Sverige behövde man fram
till 1998 en avgiftsbelagd licens för att få
hantera personuppgifter.)
– Här i Sverige har Datainspektionens budget
uppenbarligen varit i stort sett oförändrad
sedan före Internet slog igenom men nu äskar
myndigheten mer pengar på grund av att dess
uppdrag blivit bredare och mer omfattande.
Piskan eller moroten?
En viktig fråga gäller vilka verktyg och arbetssätt
som myndigheten använder för att se
till att personuppgifter hanteras på ett lagligt
sätt. Schütz pratar om moroten eller piskan.
– Sverige är ett morotsland! Här satsar ni
på att informera om hur personuppgifter bör
hanteras, snarare än att slå ner på dem som
gör fel. Ni arbetar mycket med massmedia för
att nå ut med ert budskap.
Integritet i fokus nr 3-2012 – Datainspektionen
FOTO: SALOMEH FANAEI
Han fortsätter:
– Men min åsikt är att alla dataskyddsmyndigheter
behöver kunna ta till sanktioner som
exempelvis böter. Så även om moroten är det
som i första hand används i Sverige så vill ni
även kunna ta fram piskan vid behov.
Philip Schütz ifrågasätter om det går att
förena det europeiska dataskyddsdirektivets
mål med målen för företag som Google och
Facebook som handlar i en ny sorts valuta:
personuppgifter.
– Enligt dataskyddsdirektivet ska man aldrig
samla in fler personuppgifter än nödvändigt,
medan målen för Google och Facebook är
att samla in så mycket personuppgifter som
möjligt. I EU-kommissionens förslag till ny
europeisk dataskyddslagstiftning föreslås att
det ska bli möjligt att kunna utdöma mycket
höga böter som bygger på en procentsats av
företagets omsättning. Det kanske skulle
kunna bli ett viktigt verktyg för Europas
dataskyddsmyndigheter.
Statsvetaren Philip
Schütz arbetar
med en jämförelse
mellan
olika europeiska
dataskyddsmyndigheter.
9

NyTT FRÅN DATAINSPEKTIONEN
Kriminaltekniker använder DNA-databas olagligt
¥ Statens kriminaltekniska laboratorium,
SKL, har byggt upp en så kalllad
elimineringsdatabas med DNAprover.
Syftet med databasen är att se
om DNA-prover från brottsplatser har
kontaminerats med DNA-spår från exempelvis
brottsplatstekniker eller anställda
på SKL.
Elimineringsdatabasen innehåller
DNA-prover som lämnats frivilligt från
SKL:s personal och besökare vid SKL.
Databasen innehåller även DNA-profiler
från poliser, servicetekniker, hantverkare
och annan personal.
SKL jämför dagligen alla nya DNAprofiler
från undersökta brottsplatsspår
med elimineringsdatabasen. Om
Skarp kritik mot ny
forskningsförordning
¥ Ett förslag till förordning har lagts
fram av regeringen för att göra omfattande
befolkningsbaserad forskning
som exempelvis LifeGene möjlig. Datainspektionen
har granskat förslaget
och riktar i ett yttrande skarp kritik mot
det, bland annat för att det är en förordning,
som kan beslutas av regeringen,
och inte ett lagförslag, som måste
beslutas i riksdagen.
– Det är riksdagens uttalade ambition
att myndighetsregister med ett
stort antal registrerade och ett särskilt
känsligt innehåll ska regleras i lag. Därför
bör det tillsättas en statlig utredning
som tar fram ett noga genomtänkt
och övervägt förslag om hur denna
typ av befolkningsbaserad forskning
ska få stöd i lagen, säger Datainspektionens
chefsjurist Hans-Olof Lindblom.
En möjlig förebild skulle enligt Data-
en DNA-profil i spårregistret överensstämmer
med en DNA-profil i elimineringsdatabasen
sker en utredning.
Enligt polisdatalagen får polisen
ha tre DNA-register: utredningsregistret
(DNA-profiler från
misstänkta personer), DNA-registret
(DNA-profiler från dömda
personer) och spårregistret
(DNA-profiler som inte kan hänföras
till en viss person).
– Men i polisdatalagen finns
inget stöd för att jämföra DNAprofiler
i spårregistret med de
DNA-profiler som finns i SKL:s elimineringsdatabas.
Därför förelägger vi
inspektionen kunna vara det regelverk
som finns för hälsodataregister. För sådana
register finns den övergripande
lagen om hälsodataregister. Med
stöd av den lagen har regeringen sedan
meddelat föreskrifter om särskilda
register. I dessa föreskrifter anges villkor
och ändamål för personuppgiftsbehandlingen
i varje register.
Registrering av
dementa ska granskas
¥ I september förra året konstaterade
Datainspektionen att det bryter mot
lagen att registrera uppgifter om dementa
och andra som varaktigt saknar
beslutsförmåga i så kallade kvalitetsregister.
För att få registrera sådana uppgifter
krävs det att den demente har en
legal ställföreträdare som inte motsätter
sig registreringen.
Myndigheten har via bland annat
nu SKL att sluta jämföra DNA-profiler i
elimineringsdatabasen med DNA-profiler
i spårregistret, säger Nicklas
Hjertonsson som lett Datainspektionens
granskning.
Han fortsätter:
– Vi har förståelse för att SKL
vill minska risken för kontamination
av DNA-prover, men
faktum är att lagen inte tillåter
sättet som SKL använder
spårregistret på idag. I praktiken
blir SKL:s elimineringsdatabas
ett fjärde DNA-register
som kan användas av polisen
för att identifiera personer i brottsutredningar,
helt utan stöd i lagen.
klagomål fått uppgifter om att dementa
trots det fortsätter att registreras.
Under hösten ska Datainspektionen
därför granska hur Uppsala, Umeå och
Älvsbyns kommun registrerar uppgifter
om dementa i kvalitetsregister.
Tingsrätt måste sluta med
webbpublicering av namn
¥ Gotlands tingsrätt publicerar på sin
webbplats så kallade uppropslistor som
innehåller namn på parter i mål och
ärenden. Datainspektionen konstaterar
att det är kränkande i personuppgiftslagens
mening.
– Eftersom uppgifter på Internet kan
få en så stor och snabb spridning krävs
det en särskild försiktighet när personuppgifter
publiceras på Internet. I detta
fall har bland annat uppgifter på
personer som är brottsmisstänkta men
inte dömda publicerats. Det är uppen-
10 Integritet i fokus nr 3-2012 – Datainspektionen

art att det kan orsaka de berörda stort
obehag att sådana uppgifter sprids, säger
Datainspektionens generaldirektör
Göran Gräslund.
vårdgivare respekterar inte
patienternas rättigheter
¥ Trots att det har gått fyra år sedan
patientdatalagen trädde i kraft så lever
svenska vårdgivare inte upp till kraven
i lagen. Det visar den stora granskning
som Datainspektionen gjort av landstingen
samt fem privata vårdgivare.
Enligt patientdatalagen har patienten
rätt att spärra uppgifter från att lämnas
ut, dels mellan olika vårdenheter inom
samma vårdgivare, dels mellan olika
vårdgivare som använder sammanhållen
journalföring. Datainspektionen
har under flera år tagit emot klagomål
från patienter som anser att det brister
i hanteringen av dessa spärrar.
– Nästan varje dag är det patienter
som hör av sig till Datainspektionen
och berättar att de inte kan få sin önskan
om spärr tillgodosedd av sin vårdgivare,
säger Maria Bergdahl, jurist på
Datainspektionen.
Myndighetens granskning ger en
dyster bild av hur patientdatalagen efterlevs.
– Ingen av de granskade vårdgivarna
uppfyller sina skyldigheter gentemot
patienterna fullt ut när det gäller möjligheten
att spärra uppgifter. Eftersom
lagen funnits i snart fyra år kan man
inte längre skylla på omställningsproblem,
säger Datainspektionens generaldirektör
Göran Gräslund.
Bristande kunskaper om
lagen hos politiska partier
¥ I slutet av förra året inledde Datainspektionen
en granskning av hur
samtliga åtta riksdagspartier hanterar
personuppgifter om medlemmar och
Integritet i fokus nr 3-2012 – Datainspektionen
andra personer som tagit kontakt med
dem. Uppgifter som avslöjar politiska
åsikter är enligt personuppgiftslagen
känsliga och extra skyddsvärda.
– Granskningen visar att det hos
samtliga partier har funnits bristande
kunskaper om personuppgiftslagen
och vilka regler som gäller när man
hanterar känsliga personuppgifter.
Men, glädjande nog, har det även funnits
en stor vilja hos partierna att åtgärda
bristerna, säger Gunilla Öberg som
är jurist på Datainspektionen.
Bland felen som upptäckts under
granskningen finns: bristande information
till medlemmar och andra som tar
kontakt med partierna om hur deras
personuppgifter kommer att hanteras
och bristande IT-säkerhet för att skydda
personuppgifterna.
Bevakningsföretag får
registrera klottrare
¥ Datainspektionen har tagit emot
klagomål om att ett bevakningsföretag
registrerar uppgifter om personer som
gripits för skadegörelse. Enligt personuppgiftslagen
är det normalt endast
myndigheter som får registrera uppgifter
om brott. Datainspektionens
granskning visar att Storstockholms Lokaltrafik
(SL) anlitar företaget för egendomsbevakning
och att företaget rapporterar
in skadegörelse till SL:s klotterdatabas,
som Datainspektionen gav
klartecken till 2005.
Bevakningsföretaget har även ett
eget rapportsystem för så kallade griprapporter
som bland annat innehåller
uppgifter om skadegörelsen och signalement
på misstänkta gärningsmän.
Namn eller personnummer anges dock
inte. Informationen i rapportsystemet
är inte strukturerad för att underlätta
sökning av personuppgifter. Sökmöjligheterna
är dessutom begränsade till
datum.
Datainspektionens bedömning är
därför att bolagets interna rapporteringssystem
inte är olagligt.
Nja till förslag till
huliganregister
¥ Förra året tillsatte regeringen en
nationell samordnare med uppdrag
att lämna förslag till hur brottslighet
i samband med idrottsarrangemang
kan motverkas. Nu har utredaren lämnat
över betänkandet ”Mindre våld för
pengarna” till regeringen.
I betänkandet föreslås att Riksidrottsförbundet
tillåts upprätta ett centralt
register över personer som fått tillträdesförbud
av åklagare eller som blivit
avstängda av en idrottsarrangör.
Datainspektionen anser att det är bra
att man lagstiftar om ett register men
anser att förslaget innehåller ett antal
brister och oklarheter som måste åtgärdas
innan registret kan bli verklighet.
Datainspektionen påpekar i sitt yttrande
att många av de frågor som behandlas
i betänkandet innebär intrång
i människors personliga integritet. I vissa
delar drabbar dessa intrång de personer
som anses vara risksupportrar
medan andra delar, som intensifierad
kameraövervakning och personliga biljetter,
påverkar även övriga besökare
på ett idrottsevenemang.
– Därför är det viktigt att man noggrant
analyserar behovet, syftet och
effekterna av åtgärderna för att kunna
bedöma om de eventuella vinsterna
står i proportion till det integritetsintrång
som åtgärderna innebär, säger
Datainspektionens generaldirektör Göran
Gräslund.
11

Bevis från Facebook väger a
För ett par år sedan var bevisning
som hämtats från personers statusuppdateringar
och bilder på Facebook
något helt okänt för juristen Linda
Bohlin. Idag förekommer det i hälften
av de vårdnadstvister hon arbetar
med och vissa fall utgör texter och
bilder från sociala medier själva
huvudbevisningen.
När Linda Bohlin under 2009 höll på att
slutföra sina juridikstudier och skrev sin
uppsats om bevisföring hade hon aldrig hört
talas om att texter och bilder från Facebook
skulle kunna användas som bevis i svenska
domstolar.
Förra året anförde hon själv bevis från
Facebook i en vårdnadstvist och helt nyligen
avgjorde domstolen ett fall där tyngdpunkten
i hennes egen bevisning kom från olika sociala
medier.
– I Sverige har vi “fri bevisning” vilket
innebär att man får presentera vilka bevis
som helst i domstolen, som sedan får avgöra
hur pass relevanta bevisen är. Men det är
först under de senaste två åren som jurister
vågat åberopa blogginlägg och meddelanden
på Facebook eller Twitter som bevis, berättar
Linda Bohlin.
Linda är jurist på företaget Juristpunkten
där ett 25-tal jurister arbetar med att hjälpa
sina klienter med familjerättsliga frågor
som samboavtal, bodelning, testamente och
vårdnadstvister.
Vanligare bland unga
Det är just när det gäller vårdnadstvister som
det blivit allt vanligare att använda bevis som
hämtas från Internet. Linda Bohlin uppskattar
att när det gäller vårdnadstvister som rör
par i 20–30 årsåldern så förekommer bevis
från Facebook och liknande i 90 procent av de
fall som hon själv arbetar med.
Bevisen från sociala medier kan vara statusuppdateringar,
gästboksinlägg, bilder eller
incheckningar från Facebook, blogginlägg,
12 Integritet i fokus nr 3-2012 – Datainspektionen

llt tyngre i vårdnadstvister
meddelanden på Twitter, mejl och liknande.
– Det kan vara svårt att garantera äktheten
i den typen av bevis. Jag brukar be min klient
att själv gå in på Facebook, leta upp beviset
och ta en skärmbild, ett foto kan man säga,
av det. Den utskriften visar jag sedan upp i
rätten.
Vårdnadsutredningar väger tyngre
I en vårdnadstvist väger olika bevis olika
tungt. En vårdnadsutredning, då socialnämnden
utreder vem av föräldrarna som är
mest lämplig att ha hand om barnet, väger
betydligt tyngre än en statusuppdatering på
Facebook.
– Bevisning från Facebook används som
pusselbitar för att bilda orsakssamband, där
de olika bitarna sammantaget visar en bild av
att motparten är olämplig som förälder. Det
räcker inte med bara en statusuppdatering
på Facebook där någon säger sig ha varit full
dagen innan.
Det första beviset som Linda själv använde
Integritet i fokus nr 3-2012 – Datainspektionen
från sociala medier var en bild på motpartens
Facebook-sida där han sitter på en krog med
en vodkaflaska i handen. Bilden är uppladdad
klockan 03:41 samma natt som hans dotter,
enligt hans egen utsago, ska ha sovit i hans
knä i soffan. När motparten förnekade tidpunkten
då bilden togs, kallades ett vittne
in som kunde bekräfta att tiden stämde. I sin
bevisning hade Linda dessutom flera andra
liknande bevis då motparten checkat in på
”
Bevisning från Facebook används
som pusselbitar för att bilda
orsakssamband
Facebook från krogar vid tidpunkter då han
skulle haft hand om sin dotter.
– Genom att påvisa att han gjort så systematiskt,
vid upprepade tillfällen, fick motparten
betydligt mindre umgängesrätt med sin
13

– För att ge en
av parterna ensam
vårdnad
krävs tungt vägande
bevisning.
Idag räcker det
inte med enbart
bevis från Facebook,
berättar
linda Bohlin.
dotter än vad han begärt.
Linda berättar att det i vårdnadstvister
är vanligt med ful- och rackarspel mellan
parterna och att barnets bästa ofta sätts i
sista hand. I ett fall hade pappan fotograferat
barnet och lagt ut bilden på sin Facebook-sida
med kommentaren ”Titta vilka kläder hon
köper åt min son. Ska han verkligen behöva
ha så fula kläder?”
Både män och kvinnor letar ”skit”
Tre av fyra av Linda Bohlins klienter är
kvinnor men hon menar ändå att det är
förvånansvärt lika mellan män och kvinnor
när det gäller att leta ”skit” om motparten på
Facebook.
Helt nyligen avgjorde domstolen ett fall
där huvudparten av Linda Bohlins bevisning
var hämtad från Facebook och sms som
motparten skickat. Bevisningen räckte inte
för att Lindas klient skulle få ensam vårdnad,
men däremot till en kraftigt inskränkt
umgängesrätt för motparten. För att pröva
värdet av bevisningen överklagade Linda till
hovrätten som dock har meddelat att den inte
tänker pröva målet.
– För att ge en av parterna ensam vårdnad
krävs tungt vägande bevisning. Idag räcker
det inte med enbart bevis från Facebook
och bloggar men det tror jag kan förändras i
framtiden.
Orsaken till det, tror Linda, är både att
människor blivit mer utlämnande på Internet
då de tror att de är på säker mark och att
domstolen blivit mer liberal i sin värdering av
bevisning från sociala medier.
– Hade man i början av 2000-talet hänvisat
till bevis hämtat från Lunarstorm, som var
stort då, hade domstolen förmodligen bara
skrattat. I och med Facebooks genomslagskraft
har läget blivit ett annat och bevis från
sociala medier kommer i framtiden att väga
allt tyngre.
Använder du själv Facebook?
– Javisst, och jag tycker att det är ett bra
sätt att hålla kontakten med nära och inte så
nära vänner och bekanta.
Har du själv ändrat ditt sätt att uppträda på
Facebook sedan du börjat använda material från
sociala medier som bevisning i dina mål?
– I början ändrade jag inte alls mitt beteende
på Facebook, utan det är något jag gjort
först på senare tid. Jag har ändrat mina sekretessinställningar,
så att jag verkligen har
kontroll på vilka i min umgängeskrets som
får se exempelvis bilder. Det är för övrigt något
jag rekommenderar att alla som använder
Facebook gör.
– Jag har även en blogg som tidigare var
öppen för alla att läsa, men numera krävs det
lösenord för att läsa den och jag är restriktiv
med vilka som får tillgång till lösenordet.
Tänk efter före
Har du några råd till dem som använder Facebook
förutom att ändra sekretessinställningarna?
– Ja, tänk efter före. Är det du tänkt skriva
verkligen något som du kan stå för om fem år?
Om inte, så låt bli. I amerikanska polisserier
på TV säger man ofta att “allt du säger kan
komma att användas emot dig”. När det gäller
Facebook ligger det onekligen något i det.
14 Integritet i fokus nr 3-2012 – Datainspektionen

hallå där...
Hallå där, Anna Hörnlund...
...jurist på Datainspektionen.
vad är egentligen en kompromissverkstad?
Haha, ja, så kan man beskriva det ar-
bete som jag och mina europeiska kol-
legor bedriver i diverse arbetsgrupper.
Jag är med i ett par sådana grupper
med deltagare från ett 20-tal länder.
Personer med olika viljor som representerar
olika nationella intressen. Trots
det går det ändå alltid att driva arbetet
framåt. Men visst handlar det ofta om
kompromisser.
Din roll på Datainspektionen skiljer sig
litet från övriga handläggares. Hur?
De flesta handläggare på myndigheten
arbetar med att utreda ärenden, som
att granska organisationer som hanterar
personuppgifter, eller med att yttra
sig om lagförslag. Det gör jag med,
men jag deltar även i en rad olika arbetsgrupper,
både nationellt och i EU.
På EU-nivå deltar jag i två undergrupper
till den så kallade Artikel 29-gruppen
som består av cheferna för respektive
EU-lands dataskyddsmyndighet.
Den ena undergruppen kallas för Technology
Subgroup eller TS-gruppen och
den andra för E-government and Biometrics.
I dessa grupper arbetar vi med att ta
fram så kallade “opinions” eller yttranden
för hur det europeiska dataskyddsdirektivet
ska tolkas, som 29-gruppen
sedan antar.
Vilka arbetsgrupper deltar du i på nationell
nivå?
Jag sitter bland annat med i E-delegationens
expertgrupp för rättsliga frågor
som exempelvis har tagit fram vägledningar
för hur myndigheter kan använda
sociala medier och hur uppgifter
från offentliga databaser kan återanvändas
i andra sammanhang. Grup-
Integritet i fokus nr 3-2012 – Datainspektionen
pen träffas en gång i månaden och
består av en intressant blandning personer,
däribland en professor, en advokat,
en chefsjurist och en representant
från Justitiedepartementet. Jag sitter
även med i en referensgrupp och en
juridisk grupp som deltar i E-legitimationsnämndens
arbete med att ta fram
en ny svensk modell för e-legitimation.
Flera av de arbetsgrupper du deltar i
handlar om e-förvaltning, som också
är ett prioriterat område för Datainspektionen.
Varför?
E-förvaltning är något som berör i stort
sett alla och som ofta involverar känsliga
personuppgifter. Många gånger
leder e-förvaltning till att hanteringen
av personuppgifter centraliseras och
till ett ökat informationsutbyte mellan
myndigheter.
Är det viktigt att Datainspektionen är
representerad i alla dessa grupper?
Ja, det är det verkligen. Genom att vara
aktiva i de här arbetsgrupperna har vi
en jättechans att få med integritetsaspekterna
redan från början i arbetet
med nya IT-system och ny lagstiftning,
och då är mycket vunnet.
Du sitter i många möten. Har du några
tips för hur man ska hantera långa
och/eller tråkiga möten?
Det är faktiskt inte så många tråkiga
möten, jag lovar. Det som inte är direkt
jätteroligt är möten då vi går igenom
något långt dokument ord för ord. Det
är en nödvändig kvalitetssäkring men
inte en särskilt rolig sådan.
Vad är roligast i ditt jobb?
Variationen. Och att det känns som om
– Det är roligt att kunna påverka utvecklingen
av viktiga samhällstjänster,
säger Anna Hörnlund om sitt
jobb.
man har chans att vara med och påverka
utvecklingen av viktiga samhällstjänster.
Det är stimulerande att arbeta
med frågor som spelar roll och engagerar.
Och tråkigast?
Det är när man tragglar igenom texten
till ett beslut för sjuttioelfte gången.
Har man läst en sak tillräckligt många
gånger är det inte roligt längre, särskilt
inte när det gäller ens egna beslut.
FAKTA
Anna Hörnlund
yrke: Jurist och handläggare
På myndigheten: sedan 2008
Familj: man och tre barn
Bor: lägenhet i centrala Stockholm
Senast lästa bok: ”Det bästa av
allt” av Rona Jaffe. En bok om
50-talet där mycket ändå känns
aktuellt idag.
Favoritmat: jag är allätare, men
om jag måste svara så säger jag en
riktigt god köttbit.
15

Står Datainspektionen på bråkmakarnas sida?
”
Helt nyligen blev en av juristerna
här på Datainspektionen
intervjuad i radio. Anledningen var
att vi yttrat oss om förslaget att
Riksidrottsförbundet ska få upprätta
ett centralt register över huliganer så
att dessa kan stängas ute från matcherna.
Vi ställde oss positiva till att man
lagstiftar om ett sådant register men
ansåg också att det förslag som lagts
fram innehöll ett antal brister och
oklarheter som måste åtgärdas innan
registret kan bli verklighet.
Intervjun gick bra, trots att
journalisten grillade juristen med
svåra frågor. ”Kan man inte tumma
litet på skyddet av den personliga
integriteten när syftet är att stänga ute
bråkmakare? Vilka tycker egentligen
Datainspektionen det är viktigt att
skydda: bråkmakarna eller den vanliga
publiken?”
Det här är inte första gången vi
konfronteras med dessa svårbesvarade
frågor och alldeles säkert inte den sista.
Visst kan det ibland verka som om
Datainspektionen är en paragrafryttare
som sätter sig på tvären och bromsar
exempelvis kameraövervakning och
huliganregister som skulle kunna
skydda vanligt hederligt folk.
Själv brukar jag tänka ”ska man göra
Visst kan det ibland verka som om
Datainspektionen är en paragrafryttare
som sätter sig på tvären
det, så ska man göra det rätt” och det
resonemanget gäller inte minst detta
föreslagna huliganregister.
Ett sådant register kan innehålla
personuppgifter som rör brott, det vill
säga uppgifter som är extra känsliga
och skyddsvärda. Det finns också en
risk att personer felaktigt pekas ut
som huliganer och att uppgifter från
registret läcker ut till obehöriga.
Därför är det viktigt att man redan
från början har tänkt
igenom ett sådant
här register mycket
noggrant och att lagstiftningen
som omger
registret inte innehåller några oklarheter
som kan feltolkas i framtiden.
Så Datainspektionen sysslar inte med
att skydda bråkmakare och huliganer,
utan fungerar som en kvalitetskontroll
som säkerställer att man gjort en noggrann
vägning av för- och nackdelar
och bedömt att detta register verkligen
behövs och att syftet med registret
uppnås med ett så litet intrång i den
personliga integriteten som möjligt.
Petigt eller inte, det är vårt uppdrag.
Datainspektionen, Box 8114, 104 20 Stockholm
SISTA ORDET...
Göran Gräslund
Generaldirektör
Datainspektionen
Nästa nummer kommer i december