Integirtet i fokus nr 3-2012 - Datainspektionens tidning ...
Integirtet i fokus nr 3-2012 - Datainspektionens tidning ...
Integirtet i fokus nr 3-2012 - Datainspektionens tidning ...
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
<strong>Datainspektionens</strong> <strong>tidning</strong><br />
<strong>nr</strong> 3/<strong>2012</strong><br />
Facebook nytt bevis<br />
i domstolarna<br />
DNA-databas<br />
används olagligt<br />
IT-attacker största<br />
hotet mot Sverige<br />
Exklusiv intervju med FRA:s generaldirektör
Integritet i <strong>fokus</strong><br />
produceras av Data inspektionen<br />
Box 8114, 104 20 Stockholm<br />
Tfn 08-657 61 00 (växel)<br />
www.datainspektionen.se<br />
Ansvarig utgivare<br />
Göran Gräslund<br />
Redaktör<br />
Per Lövgren<br />
Formgivning<br />
Fredrik Karlsson<br />
Omslag<br />
Ingvar Åkesson. Foto: Örjan<br />
Björkdahl/Scanpix.<br />
Tryck<br />
Tryckt hos Ineko AB i Årsta på Arctic<br />
Volume White papper.<br />
Miljömärkt trycksak<br />
341142. ISSN 2000-5857.<br />
Kontakta redaktionen<br />
Har du synpunkter, tips på artiklar<br />
eller frågor om <strong>tidning</strong>en? Mejla till<br />
redaktionen@datainspektionen.se.<br />
Gratis prenumeration<br />
En prenumeration på Integritet i<br />
<strong>fokus</strong> är gratis. Lättast anmäler du<br />
dig på vår webbplats. Integritet i<br />
<strong>fokus</strong> kan även laddas ner i pdf-format<br />
från vår webbplats. Tidningen<br />
kommer ut fyra gånger per år.<br />
Besök www.datainspektionen.se<br />
På vår webbplats kan du läsa mer<br />
om integritetsfrågor. Passa även på<br />
att prenumerera på vårt nyhetsbrev<br />
så får du pressmeddelanden<br />
och annat aktuellt från Datainspektionen.<br />
OMväRlDEN<br />
Norsk polis vill<br />
DNA-testa 400 män<br />
¥ Polisen i Oslo har uppmanat 400<br />
män i åldrarna 20–45 år att frivilligt<br />
lämna DNA-test. Samtliga personer<br />
som har fått brev från polisen bor eller<br />
har bott i ett område där en ung kvinna<br />
blev våldtagen i oktober förra året,<br />
rapporterar Sveriges Radios Ekot. Datatilsynet,<br />
den norska motsvarigheten till<br />
Datainspektionen, vill att norska Justitiedepartementet<br />
ska se över frågan<br />
om storskaliga DNA-tester. Den norska<br />
lagen tillåter frivilliga DNA-tester på<br />
enskilda personer, men frågan är var<br />
gränsen går och om det ska vara möjligt<br />
att kalla in alla män i en stad eller<br />
stadsdel.<br />
Kvinna namngav<br />
sexförövare på Twitter<br />
¥ En ung kvinna i USA riskerar fängelse<br />
efter att på Twitter ha namngett de<br />
två pojkar som förgripit sig på henne<br />
sexuellt och spridit bilder från händelsen.<br />
De två pojkarna har erkänt brott,<br />
men i väntan på att domstol ska döma<br />
i målet får de inblandade inte prata om<br />
händelsen eftersom parterna är minderåriga.<br />
Pojkarnas advokat har begärt<br />
att den 17-åriga kvinnan som twittrat<br />
namnen ska åtalas för domstolstrots.<br />
Hon riskerar då att dömas till fängelse<br />
i upp till 180 dagar eller böter på 500<br />
dollar. Advokaten har dock senare dragit<br />
tillbaka sin begäran.<br />
Microsoft kräver att bild<br />
på nyfödd tas bort<br />
¥ Norrmannen Morten Tobiassen kopierade<br />
en bild på sitt nyfödda barn till<br />
Microsofts molntjänst Sky Drive. Det<br />
skulle han inte ha gjort. Kort därefter<br />
får han ett mejl från Microsofts kundtjänst<br />
där han uppmanas att inom 48<br />
timmar ta bort bilden, annars kommer<br />
hans konto att stängas av och tas bort.<br />
Orsaken är att bilden föreställer ett naket<br />
barn, vilket strider mot Microsofts<br />
användarvillkor. ”Det är ju bara en bild<br />
på min tre timmar gamla dotter, som<br />
jag dessutom bara delar med mig av till<br />
mina närmaste. Vad hade hänt om jag<br />
varit bortrest och inte kunnat läsa mejlet?<br />
Jag har många viktiga jobbdokument<br />
och presentationer på mitt mejlkonto<br />
som då hade tagits bort.”<br />
Sajt dammsuger Facebook<br />
i jakt på dina misstag<br />
¥ ”Problemet är helt enkelt att folk inte<br />
inser riskerna med att dela med sig av<br />
allt.” Så skriver upphovsmannen till sajten<br />
WeKnowWhatYoureDoing.com. På<br />
sajten publiceras information som hämtas<br />
från Facebook. Under rubriken Vem<br />
vill få sparken? publiceras Facebook-inlägg<br />
som är helt publika och som innehåller<br />
orden hate my boss. Övriga kategorier<br />
är Vem är bakfull?, Vem tar droger?<br />
och Vem har ett nytt telefonnummer?.<br />
Sajten uppmanar alla Facebookanvändare<br />
att se över sina sekretessinställningar<br />
så att standardinställningen<br />
inte är Offentlig. Det gör du genom att<br />
gå till adressen: https://www.facebook.<br />
com/settings/?tab=privacy.<br />
2 Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen
SvERIGE<br />
Skadestånd för att<br />
ha publicerat dom<br />
¥ En juristbyrå har dömts att betala<br />
skadestånd för brott mot person-<br />
uppgiftslagen efter att ha publicerat<br />
en dom på sin hemsida, rapporterar<br />
Dagens Juridik. Det var efter en tvist i<br />
tingsrätten som juristbyrån, som företrätt<br />
en av parterna, lade ut domen på<br />
sin webbplats. Motparten, vars namn<br />
och adress fanns i domen, har därefter<br />
stämt byrån och yrkat på skadestånd<br />
enligt personuppgiftslagen. I tingsrätten<br />
dömdes juristbyrån att betala<br />
12 000 kronor i skadestånd. Tingsrätten<br />
ansåg inte att juristbyråns intresse<br />
av att ”informera om det gällande<br />
rättsläget” vägde tyngre än skyddet<br />
mot kränkning av den personliga integriteten,<br />
skriver Dagens Juridik. Domen<br />
överklagades till hovrätten som sänkte<br />
skadeståndet till 4 000 kronor.<br />
Fel av bank registrera<br />
uppgifter om bankrånare<br />
¥ En person som 2008 dömdes för<br />
rån mot Swedbank försökte tre år senare<br />
nappa på ett speciellt studenterbjudande<br />
från banken. Han nekades att<br />
teckna erbjudandet och fick beskedet:<br />
”Du har rånat mina kollegor i Sundbyberg<br />
2007”. Kort därefter avslutades<br />
mannens befintliga konto i banken.<br />
Det fick personen att undra vad banken<br />
hade för uppgifter registrerade om<br />
honom. Han anmälde banken till Datainspektionen<br />
som konstaterar att banken<br />
gjort fel som registrerat uppgifter<br />
som rör brott i sina kundnoteringar.<br />
Enligt personuppgiftslagen är det<br />
som huvudregel förbjudet för andra än<br />
myndigheter att hantera personuppgifter<br />
om lagöverträdelser som brott<br />
och domar i brottmål.<br />
Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen<br />
Polisen vädjade<br />
om tips på Facebook<br />
¥ I somras efterlyste Södermalmspolisen<br />
i Stockholm tips från allmänheten<br />
på sin Facebook-sida och länkade till<br />
polisens webbplats, där stillbilder och<br />
en videofilm från övervakningskameror<br />
publicerats. Bilderna visade några<br />
yngre män som misstänks vara inblandade<br />
i en grov misshandel. Enligt Dagens<br />
Nyheter lämnade många besökare<br />
synpunkter i kommentarsfältet till<br />
polisens efterlysning på Facebook. Flera<br />
av kommentarerna rörde männens<br />
hudfärg och eventuella ursprung.<br />
”Det är en otroligt stor risk att de här<br />
personerna pekas ut oskyldigt”, säger<br />
Advokatsamfundets Anne Ramberg till<br />
Dagens Nyheter.<br />
2009 lämnade Datainspektionen ett<br />
yttrande till Rikspolisstyrelsen där myndigheten<br />
ansåg att polisens Internetpublicering<br />
av bilder på okända gärningsmän<br />
endast är tillåten i undantagsfall,<br />
till exempel om det rör sig om<br />
särskilt allvarlig brottslighet.<br />
Ny privat sajt<br />
samlar biverkningar<br />
¥ Nu under sommaren startade biverkningar.se,<br />
en ny svensk webbplats.<br />
På sajten ska besökarna kunna<br />
”se och rapportera in oönskade bieffekter<br />
av behandlingar, mediciner eller<br />
liknande”. Enligt personen bakom<br />
sajten är syftet att försöka bidra till en<br />
bättre folkhälsa. Sajten varnar dock för<br />
att uppgifterna inte kan användas för<br />
att dra direkta slutsatser om ett visst lä-<br />
kemedel har orsakat en specifik biverkning<br />
eller orsakat ett dödsfall, och att<br />
den rapporterade reaktionen kan ha<br />
uppstått av andra orsaker än läkemedlet<br />
ifråga. Den som vill rapportera in<br />
biverkningar uppmanas att inte skriva<br />
personuppgifter som namn, telefonnummer<br />
och liknande.<br />
Sjuksköterska dömd<br />
för dataintrång<br />
¥ En sjuksköterska har av Alingsås<br />
tingsrätt dömts till 21 600 kronor i böter<br />
för dataintrång. Enligt Göteborgs-<br />
Posten var upprinnelsen till dataintrånget<br />
att kvinnans styvdotter tagit en<br />
kreditupplysning på kvinnan och sett<br />
att sjuksköterskan hade stora skulder.<br />
Sjuksköterskan ska därefter vid tio olika<br />
tillfällen läst sin styvdotters elektroniska<br />
patientjournal och hotat att avslöja<br />
uppgifter från journalen. Det gjorde att<br />
styvdottern kontaktade polisen. Förutom<br />
dagsböter ska sjuksköterskan betala<br />
5 000 kronor till styvdottern för den<br />
kränkning hon anses ha blivit utsatt för.<br />
Register över vårdpersonal<br />
läggs ut på nätet<br />
¥ En utredning föreslår att Socialstyrelsens<br />
register över legitimerad hälso-<br />
och sjukvårdspersonal (HOSP-registret)<br />
ska bli tillgängligt på Internet.<br />
Registret är redan idag offentligt på så<br />
sätt att det går att mejla Socialstyrelsen<br />
och begära uppgifter om en enskild<br />
persons behörighet. Enligt förslaget<br />
ska allmänheten i framtiden kunna<br />
söka uppgifter själv via Internet och få<br />
reda på uppgifter om legitimerade personers<br />
namn, födelseår, yrke, specialitet<br />
samt datum för utfärdande av legitimation<br />
eller bevis om specialistkompetens.<br />
Förslaget föreslås träda i kraft den<br />
1 januari 2013.<br />
3
Generaldirektör Ingvar Åkesson:<br />
– Nej, FRA jagar inte fildel<br />
2009 beslutade riksdagen om ny lagstiftning<br />
som gör det möjligt för<br />
Försvarets radioanstalt, FRA, att signalspana<br />
även i kabelburen trafik vilket<br />
tidigare inte varit tillåtet. Beslutet<br />
föregicks av heta debatter i media och<br />
bloggar och på den politiska arenan.<br />
Här berättar FRA:s generaldirektör<br />
om missuppfattningarna kring vad<br />
myndigheten egentligen arbetar med<br />
och frustrationen över att inte kunna<br />
berätta för omvärlden när information<br />
som myndigheten samlat in har använts<br />
för att avvärja hot mot Sverige.<br />
2008 myntades ett nytt ord i Sverige: bloggbävning.<br />
Upprinnelsen till det nya ordets<br />
tillkomst var den då stundande omröstningen<br />
i riksdagen om en ny teknikneutral lagstiftning<br />
som skulle ge FRA möjlighet att signalspana<br />
även i kabelburen trafik, vilket tidigare<br />
inte varit tillåtet. På bloggar och i massmedia<br />
skrevs att FRA nu skulle kunna avlyssna<br />
våra telefonsamtal, sms och mejl.<br />
Det var en tuff tid för både FRA och framför<br />
allt, för myndighetens generaldirektör<br />
Ingvar Åkesson.<br />
– Visst kändes det, när vi på bloggar och<br />
även i media blev beskyllda för att göra saker<br />
som vi inte gör och för att i princip syssla med<br />
brottslig verksamhet. Något som över huvud<br />
taget aldrig kom fram då var att vi innan<br />
lagändringarna trädde i kraft 2009 faktiskt<br />
hade väldigt få regler att rätta oss efter. Nu<br />
omgärdas vår verksamhet av en rad strikta<br />
regler som vi inte haft förut.<br />
Vad tror du att mannen på gatan tror att FRA<br />
sysslar med?<br />
– Det faktum att det är omöjligt för oss att<br />
berätta särskilt mycket om vad vi arbetar<br />
med, gör att det finns gott om feluppfattningar<br />
om vår verksamhet. För två år sedan<br />
genomförde vi en undersökning för att ta<br />
reda på folks uppfattning om FRA. Tyvärr visade<br />
det sig att en del tror att vi bland annat<br />
arbetar med att jaga fildelare.<br />
Vilken bild skulle du själv vilja att det svenska<br />
folket har av FRA?<br />
– Att vi är en myndighet som arbetar med<br />
att förse regeringen med information som<br />
utgör ett bra underlag för Sveriges utrikes-,<br />
försvars- och säkerhetspolitik. Och att vi<br />
är en garant för att Sverige kan bedriva en<br />
självständig säkerhetspolitik eftersom information<br />
inhämtas av en svensk myndighet.<br />
Våra uppdragsgivare behöver inte förlita sig<br />
på utländska källor.<br />
Föremål för granskningar<br />
Vad skulle du säga till den som är oroad över<br />
skyddet av den personliga integriteten när det<br />
gäller FRA:s möjligheter till signalspaning?<br />
– Om jag själv hade trott det som stod på<br />
bloggar och i massmedia under 2008 skulle<br />
nog även jag vara oroad, eftersom mycket<br />
av det som då skrevs inte alls stämde med<br />
verkligheten. Sedan lagändringarna trädde<br />
i kraft 2009 har vi blivit föremål för flera<br />
granskningar av Signalspaningskommittén,<br />
Statens inspektion för försvarsunderrättelseverksamheten<br />
och Datainspektionen. De här<br />
externa granskningarna har förhoppningsvis<br />
gett ökad förståelse för att vi arbetar strikt<br />
efter de regler vi har att följa.<br />
Är inte dessa regler och externa kontroller en<br />
hämsko för FRA:s möjlighet till signalspaning?<br />
4 Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen<br />
FOTO: FRA
are<br />
Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen<br />
Ingvar Åkesson<br />
FAKTA<br />
Generaldirektör på FRA sedan nio år<br />
Civilstånd: gift och en son<br />
Bor: i hus på Ekerö<br />
Senast lästa bok: The Mitrokhin Archive, som<br />
handlar om en avhoppad KGB-arkivarie. ”En<br />
oerhört intressant bok”.<br />
Senast sedda film: Bond-filmen Dr No som<br />
gick på TV nyligen. ”Men jag somnade i den<br />
första reklampausen.”<br />
Om sitt chefsjobb: ”Att vara högsta chef för<br />
FRA är nog den roligaste och mest stimulerande<br />
generaldirektörsposten av alla.”<br />
5
– visst kan det<br />
vara väldigt frustrerande<br />
att inte<br />
kunna tala om<br />
för allmänheten<br />
när vi verkligen<br />
lyckats bra med<br />
ett uppdrag,<br />
berättar Ingvar<br />
Åkesson.<br />
– I mångas ögon är det inte trovärdigt om vi<br />
själva berättar om vår verksamhet, därför är<br />
det viktigt för vår legitimitet att bejaka insyn<br />
och kontroll. Det nya regelverket har lett<br />
till stora omställningar internt och en viktig<br />
uppgift för mig har varit att få alla medarbetare<br />
att förstå och tillämpa de nya reglerna.<br />
Min uppfattning är att det nya regelverket<br />
och de externa kontrollerna inte har lett till<br />
några nämnvärda negativa effekter på vår<br />
effektivitet.<br />
FRA:s signalspaning får uteslutande vara<br />
i<strong>nr</strong>iktad på ”utrikes förhållanden”. I vilka situationer<br />
kan det omfatta svensk Internettrafik?<br />
– Inhämtning av rent svensk trafik, det<br />
Organisationerna som granskar hur FRA arbetar<br />
Signalspaningskommittén<br />
Parlamentarisk kommitté med uppdrag<br />
att följa signalspaningen vid FRA ur ett<br />
integritetsskyddsperspektiv, med <strong>fokus</strong><br />
på hur den nya lagstiftningen tillämpas.<br />
Redovisade sitt uppdrag i februari<br />
2011.<br />
Statens inspektion för försvarsunderrättelseverksamheten<br />
(Siun)<br />
Myndighet som har till uppgift att kontrollera<br />
att den försvarsunderrättelseverksamhet<br />
som bedrivs av bland annat<br />
FRA sker i enlighet med fastställda<br />
regelverk.<br />
FOTO: FRA<br />
vill säga trafik där både avsändare och mottagare<br />
befinner sig i Sverige, är förbjuden<br />
enligt lagen. I mycket sällsynta fall kan det<br />
förekomma trafik där en av parterna befinner<br />
sig i Sverige. I princip finns det tre lägen då<br />
detta kan uppstå, och det är vid misstanke<br />
om att utländska spioner agerar i Sverige, att<br />
det finns en terrorgrupp med förgreningar i<br />
Sverige eller att det pågår försök att skaffa<br />
delar till massförstörelsevapen i Sverige.<br />
Frustrerande att inte kunna berätta<br />
Hur hanterar du konflikten att vara högste chef<br />
för en myndighet som allmänheten vill ha insyn<br />
i och veta vad den gör, men som på grund av sitt<br />
uppdrag inte kan berätta särskilt mycket om sin<br />
verksamhet?<br />
– Visst kan det var väldigt frustrerande att<br />
inte kunna tala om för allmänheten eller vänner<br />
och bekanta när vi verkligen lyckats bra<br />
med ett uppdrag. Men det är spelreglerna och<br />
något vi lärt oss att leva med.<br />
– Det är egentligen först nu som vi kan<br />
berätta mer om vad FRA gjorde under andra<br />
världskriget. I något enstaka fall kan vi<br />
nämna saker som inträffade under 80- och<br />
90-talen. Kanske kan FRA om några decennier<br />
berätta om uppdrag vi utfört under <strong>2012</strong>.<br />
Orsaken till hemlighetsmakeriet är att vi inte<br />
kan avslöja vilka mål och vilken förmåga vi<br />
har med vår signalspaning.<br />
– Jag får själv positiv feedback från våra<br />
uppdragsgivare, som regeringen, regerings-<br />
FAKTA<br />
Datainspektionen<br />
Granskar behandlingen av personuppgifter<br />
inom FRA. Under 2010 hade<br />
myndigheten ett särskilt uppdrag att<br />
granska FRA ur ett integritetsskyddsperspektiv.<br />
6 Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen
Skulle Stuxnet slå ut<br />
iranskt kärnkraftverk?<br />
Stuxnet är en datamask (trojansk häst)<br />
som upptäcktes i juli 2010. Masken anfaller<br />
ett system som skapats av Siemens för<br />
övervakning och styrning av industriprocesser.<br />
Enligt Siemens hade masken fram<br />
till mitten av september 2010 infiltrerat<br />
14 industrianläggningar. Senare i september<br />
2010 meddelade den iranska kommunikationsministern<br />
att masken fanns på<br />
30 000 datorer i landet, däribland datorer<br />
i kärnkraftverket Bushehr. På grund av datamaskens<br />
komplexitet tror experter att<br />
masken är skapad av en statlig organisation,<br />
då privatpersoner saknar de resurser<br />
som krävs.<br />
Källa: Wikipedia<br />
kansliet och försvarsmakten, men även i<br />
dessa organisationer är det få personer som<br />
har insikt i exakt vilka uppdrag FRA utför.<br />
– En svårighet för mig är dessutom att föra<br />
beröm vidare ut i organisationen eftersom<br />
vi måste hålla våra verksamheter åtskilda<br />
internt för att förhindra att information om<br />
vår spaningsförmåga läcker ut. Samtidigt är<br />
det viktigt att alla medarbetare känner att de<br />
gör skillnad. En av mina uppgifter är att hos<br />
personalen skapa en vetskap om att det vi gör<br />
är viktigt och betydelsefullt.<br />
Mer öppenhet<br />
– Under de nio år som jag arbetat på FRA<br />
har myndigheten blivit mer öppen. Vi har<br />
en informationsavdelning med fem anställda<br />
vilket FRA aldrig tidigare haft.<br />
Hur ser en vanlig arbetsdag ut för dig?<br />
– Ska jag sammanfatta det i ett ord så är<br />
det: möten. Många av mötena rör den interna<br />
arbetsledningen, men jag har även många<br />
möten med våra uppdragsgivare.<br />
– En tredje kategori möten är med utländska<br />
samarbetspartners, som antingen kommer<br />
på besök hos FRA eller som jag själv besöker.<br />
Den personliga relationen är mycket viktigt<br />
Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen<br />
i våra kontakter med utländska partners.<br />
Det här är en förtroendebransch där mycket<br />
handlar om att lära känna och respektera<br />
varandra.<br />
Hoten är teknologiska<br />
Vilket anser du är det största utländska hotet<br />
mot Sverige?<br />
– Det största hotet är inte längre militärt,<br />
som under det kalla kriget, utan teknologiskt<br />
i form av IT-incidenter då utländska aktörer<br />
kommer åt känslig och värdefull information<br />
från svenska företag och myndigheter. Det<br />
vanligaste är att man försöker ta sig in i ITsystem<br />
och stjäla information utan att upptäckas,<br />
men det förekommer även IT-attacker<br />
där man försöker sabotera verksamheter, som<br />
Stuxnet-masken.<br />
Har Sverige haft nytta av den möjlighet som<br />
FRA nu har att signalspana i kabel?<br />
Ja, jag anser att vi redan haft god nytta av<br />
den möjligheten, framför allt när det gäller<br />
att förse regeringen med beslutsunderlag för<br />
hur vår utrikespolitik ska bedrivas.<br />
7
Svenska Data inspek tionen använder<br />
hellre moroten än piskan<br />
för att få organisationer att följa<br />
reglerna i personuppgiftslagen.<br />
Det menar i alla fall forskaren<br />
Philip Schütz som nu genomför<br />
en studie av hur olika europeiska<br />
dataskyddsmyndigheter arbetar.<br />
På vilket sätt är Datainspektionen en<br />
oberoende myndighet? Vilken är <strong>Datainspektionens</strong><br />
viktigaste uppgift? Hur<br />
till sätts (och avsätts) myndighetens högsta<br />
chef?<br />
Det är några av de frågor som den tyske<br />
forskaren Philip Schütz ställde när han helt<br />
nyligen besökte svenska Datainspektionen<br />
och intervjuade bland annat myndighetens<br />
generaldirektör och chefsjurist.<br />
Intervjuerna utgör grunden i Philip Schütz<br />
doktorsavhandling i statsvetenskap som<br />
<strong>fokus</strong>erar på en jämförelse mellan olika<br />
europeiska dataskyddsmyndigheter. Målet<br />
är att jämföra dataskyddsmyndigheterna i<br />
Storbritannien, Sverige, Polen, Tyskland och<br />
Spanien.<br />
Philip berättar att han nu är inne i den ”empiriska<br />
fasen” av sitt avhandlingsarbete. På<br />
”DNA nästa stora utmaning för dataskyddsmyndigheterna”<br />
En av de allra mest värdefulla personuppgifterna<br />
är DNA som också är nästa stora<br />
utmaning för dataskyddsmyndigheterna.<br />
Det menar Philip Schütz.<br />
– Medan vanliga personuppgifter som<br />
namn och adress kan knytas till en enda<br />
person, kan en persons DNA knytas även<br />
till andra personer, som föräldrar, barn<br />
och barnbarn.<br />
Philip Schütz arbetar halvtid med sin<br />
Sverige är ett mo<br />
doktorsavhandling och halvtid som forskare<br />
på tyska Fraunhofer Institute for Systems<br />
and Innovation Research. Där deltar<br />
han i de EU-finansierade forskningsprojekten<br />
Prescient (Privacy and emerging<br />
sciences and technologies) och Sapient<br />
(Supporting fundamental rights, privacy<br />
and ethics in surveillance technologies).<br />
Schütz berättar att läkemedelsföretag<br />
nu forskar kring personlig medicin, det<br />
onsdagen träffade han först Datainspektionen<br />
och därefter representanter för Säkerhets-<br />
och integritetsskyddsnämnden. På torsdagen<br />
blir han själv intervjuad (denna intervju) och<br />
gör sedan en egen intervju med personal från<br />
Justitiedepartementet. På söndag åker han<br />
till Polen för att göra motsvarande intervjuer<br />
där. Målet är att avhandlingen ska vara klar<br />
om ett och ett halvt år.<br />
Vill öka effektiviteten<br />
– Syftet med avhandlingen är att svara på<br />
frågan hur man kan få dataskyddsmyndigheterna<br />
i Europa att arbeta mer effektivt.<br />
För att göra det vill Philip Schütz ta reda<br />
på hur dataskyddsmyndigheterna i de olika<br />
länderna är uppbyggda, hur de löser sina uppgifter<br />
och vilka metoder de anser effektiva<br />
och ineffektiva. Målet är att samla in de olika<br />
dataskyddsmyndigheternas lärdomar och<br />
från dessa få fram rekommendationer för hur<br />
sådana myndigheter bör vara utformade.<br />
En av frågorna som Schütz söker svar på<br />
är hur oberoende dataskyddsmyndigheterna<br />
är. I Sverige är det Justitiedepartementet<br />
som utnämner ny generaldirektör och som<br />
bestämmer dennes lön. I Storbritannien<br />
måste Justitiedepartementet godkänna<br />
vill säga medicin som är speciellt anpassad<br />
efter den enskilda patientens genetiska<br />
förutsättningar.<br />
– Men vad sker med det DNA som<br />
samlas in? Vem äger uppgifterna och hur<br />
får de användas? Och vad vet vi egentligen<br />
om vad DNA kan avslöja i framtiden?<br />
Det här kommer att bli en stor utmaning<br />
för både lagstiftare och dataskyddsmyndigheter.<br />
8 Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen
otsland!<br />
alla (!) anställningar hos the Information<br />
Commissioner’s Office (ICO), medan det<br />
i Tyskland är i<strong>nr</strong>ikesministeriet som gör<br />
samma sak.<br />
– Så ska det göras i teorin men jag undersöker<br />
även hur det fungerar i praktiken. Gör<br />
verkligen det tyska i<strong>nr</strong>ikesministeriet en<br />
bedömning av alla som anställts på den tyska<br />
dataskyddsmyndigheten eller är det i själva<br />
verket så att de per automatik godkänner alla<br />
anställningar som föreslås?<br />
Avgifter bestämmer budget<br />
Finansiell autonomi är ett annat ämne som<br />
granskas. Hur pass självständigt kan myndigheten<br />
fördela sin budget på olika verksamheter?<br />
Schütz berättar att i Storbritannien<br />
måste alla organisationer som hanterar<br />
personuppgifter betala en avgift till ICO. Hur<br />
stor den avgiften är bestäms inte av ICO utan<br />
av regeringen. Avgiftens storlek bestämmer<br />
sedan hur stor budget ICO får för sitt dataskyddsarbete.<br />
(I Sverige behövde man fram<br />
till 1998 en avgiftsbelagd licens för att få<br />
hantera personuppgifter.)<br />
– Här i Sverige har <strong>Datainspektionens</strong> budget<br />
uppenbarligen varit i stort sett oförändrad<br />
sedan före Internet slog igenom men nu äskar<br />
myndigheten mer pengar på grund av att dess<br />
uppdrag blivit bredare och mer omfattande.<br />
Piskan eller moroten?<br />
En viktig fråga gäller vilka verktyg och arbetssätt<br />
som myndigheten använder för att se<br />
till att personuppgifter hanteras på ett lagligt<br />
sätt. Schütz pratar om moroten eller piskan.<br />
– Sverige är ett morotsland! Här satsar ni<br />
på att informera om hur personuppgifter bör<br />
hanteras, snarare än att slå ner på dem som<br />
gör fel. Ni arbetar mycket med massmedia för<br />
att nå ut med ert budskap.<br />
Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen<br />
FOTO: SALOMEH FANAEI<br />
Han fortsätter:<br />
– Men min åsikt är att alla dataskyddsmyndigheter<br />
behöver kunna ta till sanktioner som<br />
exempelvis böter. Så även om moroten är det<br />
som i första hand används i Sverige så vill ni<br />
även kunna ta fram piskan vid behov.<br />
Philip Schütz ifrågasätter om det går att<br />
förena det europeiska dataskyddsdirektivets<br />
mål med målen för företag som Google och<br />
Facebook som handlar i en ny sorts valuta:<br />
personuppgifter.<br />
– Enligt dataskyddsdirektivet ska man aldrig<br />
samla in fler personuppgifter än nödvändigt,<br />
medan målen för Google och Facebook är<br />
att samla in så mycket personuppgifter som<br />
möjligt. I EU-kommissionens förslag till ny<br />
europeisk dataskyddslagstiftning föreslås att<br />
det ska bli möjligt att kunna utdöma mycket<br />
höga böter som bygger på en procentsats av<br />
företagets omsättning. Det kanske skulle<br />
kunna bli ett viktigt verktyg för Europas<br />
dataskyddsmyndigheter.<br />
Statsvetaren Philip<br />
Schütz arbetar<br />
med en jämförelse<br />
mellan<br />
olika europeiska<br />
dataskyddsmyndigheter.<br />
9
NyTT FRÅN DATAINSPEKTIONEN<br />
Kriminaltekniker använder DNA-databas olagligt<br />
¥ Statens kriminaltekniska laboratorium,<br />
SKL, har byggt upp en så kalllad<br />
elimineringsdatabas med DNAprover.<br />
Syftet med databasen är att se<br />
om DNA-prover från brottsplatser har<br />
kontaminerats med DNA-spår från exempelvis<br />
brottsplatstekniker eller anställda<br />
på SKL.<br />
Elimineringsdatabasen innehåller<br />
DNA-prover som lämnats frivilligt från<br />
SKL:s personal och besökare vid SKL.<br />
Databasen innehåller även DNA-profiler<br />
från poliser, servicetekniker, hantverkare<br />
och annan personal.<br />
SKL jämför dagligen alla nya DNAprofiler<br />
från undersökta brottsplatsspår<br />
med elimineringsdatabasen. Om<br />
Skarp kritik mot ny<br />
forskningsförordning<br />
¥ Ett förslag till förordning har lagts<br />
fram av regeringen för att göra omfattande<br />
befolkningsbaserad forskning<br />
som exempelvis LifeGene möjlig. Datainspektionen<br />
har granskat förslaget<br />
och riktar i ett yttrande skarp kritik mot<br />
det, bland annat för att det är en förordning,<br />
som kan beslutas av regeringen,<br />
och inte ett lagförslag, som måste<br />
beslutas i riksdagen.<br />
– Det är riksdagens uttalade ambition<br />
att myndighetsregister med ett<br />
stort antal registrerade och ett särskilt<br />
känsligt innehåll ska regleras i lag. Därför<br />
bör det tillsättas en statlig utredning<br />
som tar fram ett noga genomtänkt<br />
och övervägt förslag om hur denna<br />
typ av befolkningsbaserad forskning<br />
ska få stöd i lagen, säger <strong>Datainspektionens</strong><br />
chefsjurist Hans-Olof Lindblom.<br />
En möjlig förebild skulle enligt Data-<br />
en DNA-profil i spårregistret överensstämmer<br />
med en DNA-profil i elimineringsdatabasen<br />
sker en utredning.<br />
Enligt polisdatalagen får polisen<br />
ha tre DNA-register: utredningsregistret<br />
(DNA-profiler från<br />
misstänkta personer), DNA-registret<br />
(DNA-profiler från dömda<br />
personer) och spårregistret<br />
(DNA-profiler som inte kan hänföras<br />
till en viss person).<br />
– Men i polisdatalagen finns<br />
inget stöd för att jämföra DNAprofiler<br />
i spårregistret med de<br />
DNA-profiler som finns i SKL:s elimineringsdatabas.<br />
Därför förelägger vi<br />
inspektionen kunna vara det regelverk<br />
som finns för hälsodataregister. För sådana<br />
register finns den övergripande<br />
lagen om hälsodataregister. Med<br />
stöd av den lagen har regeringen sedan<br />
meddelat föreskrifter om särskilda<br />
register. I dessa föreskrifter anges villkor<br />
och ändamål för personuppgiftsbehandlingen<br />
i varje register.<br />
Registrering av<br />
dementa ska granskas<br />
¥ I september förra året konstaterade<br />
Datainspektionen att det bryter mot<br />
lagen att registrera uppgifter om dementa<br />
och andra som varaktigt saknar<br />
beslutsförmåga i så kallade kvalitetsregister.<br />
För att få registrera sådana uppgifter<br />
krävs det att den demente har en<br />
legal ställföreträdare som inte motsätter<br />
sig registreringen.<br />
Myndigheten har via bland annat<br />
nu SKL att sluta jämföra DNA-profiler i<br />
elimineringsdatabasen med DNA-profiler<br />
i spårregistret, säger Nicklas<br />
Hjertonsson som lett <strong>Datainspektionens</strong><br />
granskning.<br />
Han fortsätter:<br />
– Vi har förståelse för att SKL<br />
vill minska risken för kontamination<br />
av DNA-prover, men<br />
faktum är att lagen inte tillåter<br />
sättet som SKL använder<br />
spårregistret på idag. I praktiken<br />
blir SKL:s elimineringsdatabas<br />
ett fjärde DNA-register<br />
som kan användas av polisen<br />
för att identifiera personer i brottsutredningar,<br />
helt utan stöd i lagen.<br />
klagomål fått uppgifter om att dementa<br />
trots det fortsätter att registreras.<br />
Under hösten ska Datainspektionen<br />
därför granska hur Uppsala, Umeå och<br />
Älvsbyns kommun registrerar uppgifter<br />
om dementa i kvalitetsregister.<br />
Tingsrätt måste sluta med<br />
webbpublicering av namn<br />
¥ Gotlands tingsrätt publicerar på sin<br />
webbplats så kallade uppropslistor som<br />
innehåller namn på parter i mål och<br />
ärenden. Datainspektionen konstaterar<br />
att det är kränkande i personuppgiftslagens<br />
mening.<br />
– Eftersom uppgifter på Internet kan<br />
få en så stor och snabb spridning krävs<br />
det en särskild försiktighet när personuppgifter<br />
publiceras på Internet. I detta<br />
fall har bland annat uppgifter på<br />
personer som är brottsmisstänkta men<br />
inte dömda publicerats. Det är uppen-<br />
10 Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen
art att det kan orsaka de berörda stort<br />
obehag att sådana uppgifter sprids, säger<br />
<strong>Datainspektionens</strong> generaldirektör<br />
Göran Gräslund.<br />
vårdgivare respekterar inte<br />
patienternas rättigheter<br />
¥ Trots att det har gått fyra år sedan<br />
patientdatalagen trädde i kraft så lever<br />
svenska vårdgivare inte upp till kraven<br />
i lagen. Det visar den stora granskning<br />
som Datainspektionen gjort av landstingen<br />
samt fem privata vårdgivare.<br />
Enligt patientdatalagen har patienten<br />
rätt att spärra uppgifter från att lämnas<br />
ut, dels mellan olika vårdenheter inom<br />
samma vårdgivare, dels mellan olika<br />
vårdgivare som använder sammanhållen<br />
journalföring. Datainspektionen<br />
har under flera år tagit emot klagomål<br />
från patienter som anser att det brister<br />
i hanteringen av dessa spärrar.<br />
– Nästan varje dag är det patienter<br />
som hör av sig till Datainspektionen<br />
och berättar att de inte kan få sin önskan<br />
om spärr tillgodosedd av sin vårdgivare,<br />
säger Maria Bergdahl, jurist på<br />
Datainspektionen.<br />
Myndighetens granskning ger en<br />
dyster bild av hur patientdatalagen efterlevs.<br />
– Ingen av de granskade vårdgivarna<br />
uppfyller sina skyldigheter gentemot<br />
patienterna fullt ut när det gäller möjligheten<br />
att spärra uppgifter. Eftersom<br />
lagen funnits i snart fyra år kan man<br />
inte längre skylla på omställningsproblem,<br />
säger <strong>Datainspektionens</strong> generaldirektör<br />
Göran Gräslund.<br />
Bristande kunskaper om<br />
lagen hos politiska partier<br />
¥ I slutet av förra året inledde Datainspektionen<br />
en granskning av hur<br />
samtliga åtta riksdagspartier hanterar<br />
personuppgifter om medlemmar och<br />
Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen<br />
andra personer som tagit kontakt med<br />
dem. Uppgifter som avslöjar politiska<br />
åsikter är enligt personuppgiftslagen<br />
känsliga och extra skyddsvärda.<br />
– Granskningen visar att det hos<br />
samtliga partier har funnits bristande<br />
kunskaper om personuppgiftslagen<br />
och vilka regler som gäller när man<br />
hanterar känsliga personuppgifter.<br />
Men, glädjande nog, har det även funnits<br />
en stor vilja hos partierna att åtgärda<br />
bristerna, säger Gunilla Öberg som<br />
är jurist på Datainspektionen.<br />
Bland felen som upptäckts under<br />
granskningen finns: bristande information<br />
till medlemmar och andra som tar<br />
kontakt med partierna om hur deras<br />
personuppgifter kommer att hanteras<br />
och bristande IT-säkerhet för att skydda<br />
personuppgifterna.<br />
Bevakningsföretag får<br />
registrera klottrare<br />
¥ Datainspektionen har tagit emot<br />
klagomål om att ett bevakningsföretag<br />
registrerar uppgifter om personer som<br />
gripits för skadegörelse. Enligt personuppgiftslagen<br />
är det normalt endast<br />
myndigheter som får registrera uppgifter<br />
om brott. <strong>Datainspektionens</strong><br />
granskning visar att Storstockholms Lokaltrafik<br />
(SL) anlitar företaget för egendomsbevakning<br />
och att företaget rapporterar<br />
in skadegörelse till SL:s klotterdatabas,<br />
som Datainspektionen gav<br />
klartecken till 2005.<br />
Bevakningsföretaget har även ett<br />
eget rapportsystem för så kallade griprapporter<br />
som bland annat innehåller<br />
uppgifter om skadegörelsen och signalement<br />
på misstänkta gärningsmän.<br />
Namn eller personnummer anges dock<br />
inte. Informationen i rapportsystemet<br />
är inte strukturerad för att underlätta<br />
sökning av personuppgifter. Sökmöjligheterna<br />
är dessutom begränsade till<br />
datum.<br />
<strong>Datainspektionens</strong> bedömning är<br />
därför att bolagets interna rapporteringssystem<br />
inte är olagligt.<br />
Nja till förslag till<br />
huliga<strong>nr</strong>egister<br />
¥ Förra året tillsatte regeringen en<br />
nationell samordnare med uppdrag<br />
att lämna förslag till hur brottslighet<br />
i samband med idrottsarrangemang<br />
kan motverkas. Nu har utredaren lämnat<br />
över betänkandet ”Mindre våld för<br />
pengarna” till regeringen.<br />
I betänkandet föreslås att Riksidrottsförbundet<br />
tillåts upprätta ett centralt<br />
register över personer som fått tillträdesförbud<br />
av åklagare eller som blivit<br />
avstängda av en idrottsarrangör.<br />
Datainspektionen anser att det är bra<br />
att man lagstiftar om ett register men<br />
anser att förslaget innehåller ett antal<br />
brister och oklarheter som måste åtgärdas<br />
innan registret kan bli verklighet.<br />
Datainspektionen påpekar i sitt yttrande<br />
att många av de frågor som behandlas<br />
i betänkandet innebär intrång<br />
i människors personliga integritet. I vissa<br />
delar drabbar dessa intrång de personer<br />
som anses vara risksupportrar<br />
medan andra delar, som intensifierad<br />
kameraövervakning och personliga biljetter,<br />
påverkar även övriga besökare<br />
på ett idrottsevenemang.<br />
– Därför är det viktigt att man noggrant<br />
analyserar behovet, syftet och<br />
effekterna av åtgärderna för att kunna<br />
bedöma om de eventuella vinsterna<br />
står i proportion till det integritetsintrång<br />
som åtgärderna innebär, säger<br />
<strong>Datainspektionens</strong> generaldirektör Göran<br />
Gräslund.<br />
11
Bevis från Facebook väger a<br />
För ett par år sedan var bevisning<br />
som hämtats från personers statusuppdateringar<br />
och bilder på Facebook<br />
något helt okänt för juristen Linda<br />
Bohlin. Idag förekommer det i hälften<br />
av de vårdnadstvister hon arbetar<br />
med och vissa fall utgör texter och<br />
bilder från sociala medier själva<br />
huvudbevisningen.<br />
När Linda Bohlin under 2009 höll på att<br />
slutföra sina juridikstudier och skrev sin<br />
uppsats om bevisföring hade hon aldrig hört<br />
talas om att texter och bilder från Facebook<br />
skulle kunna användas som bevis i svenska<br />
domstolar.<br />
Förra året anförde hon själv bevis från<br />
Facebook i en vårdnadstvist och helt nyligen<br />
avgjorde domstolen ett fall där tyngdpunkten<br />
i hennes egen bevisning kom från olika sociala<br />
medier.<br />
– I Sverige har vi “fri bevisning” vilket<br />
innebär att man får presentera vilka bevis<br />
som helst i domstolen, som sedan får avgöra<br />
hur pass relevanta bevisen är. Men det är<br />
först under de senaste två åren som jurister<br />
vågat åberopa blogginlägg och meddelanden<br />
på Facebook eller Twitter som bevis, berättar<br />
Linda Bohlin.<br />
Linda är jurist på företaget Juristpunkten<br />
där ett 25-tal jurister arbetar med att hjälpa<br />
sina klienter med familjerättsliga frågor<br />
som samboavtal, bodelning, testamente och<br />
vårdnadstvister.<br />
Vanligare bland unga<br />
Det är just när det gäller vårdnadstvister som<br />
det blivit allt vanligare att använda bevis som<br />
hämtas från Internet. Linda Bohlin uppskattar<br />
att när det gäller vårdnadstvister som rör<br />
par i 20–30 årsåldern så förekommer bevis<br />
från Facebook och liknande i 90 procent av de<br />
fall som hon själv arbetar med.<br />
Bevisen från sociala medier kan vara statusuppdateringar,<br />
gästboksinlägg, bilder eller<br />
incheckningar från Facebook, blogginlägg,<br />
12 Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen
llt tyngre i vårdnadstvister<br />
meddelanden på Twitter, mejl och liknande.<br />
– Det kan vara svårt att garantera äktheten<br />
i den typen av bevis. Jag brukar be min klient<br />
att själv gå in på Facebook, leta upp beviset<br />
och ta en skärmbild, ett foto kan man säga,<br />
av det. Den utskriften visar jag sedan upp i<br />
rätten.<br />
Vårdnadsutredningar väger tyngre<br />
I en vårdnadstvist väger olika bevis olika<br />
tungt. En vårdnadsutredning, då socialnämnden<br />
utreder vem av föräldrarna som är<br />
mest lämplig att ha hand om barnet, väger<br />
betydligt tyngre än en statusuppdatering på<br />
Facebook.<br />
– Bevisning från Facebook används som<br />
pusselbitar för att bilda orsakssamband, där<br />
de olika bitarna sammantaget visar en bild av<br />
att motparten är olämplig som förälder. Det<br />
räcker inte med bara en statusuppdatering<br />
på Facebook där någon säger sig ha varit full<br />
dagen innan.<br />
Det första beviset som Linda själv använde<br />
Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen<br />
från sociala medier var en bild på motpartens<br />
Facebook-sida där han sitter på en krog med<br />
en vodkaflaska i handen. Bilden är uppladdad<br />
klockan 03:41 samma natt som hans dotter,<br />
enligt hans egen utsago, ska ha sovit i hans<br />
knä i soffan. När motparten förnekade tidpunkten<br />
då bilden togs, kallades ett vittne<br />
in som kunde bekräfta att tiden stämde. I sin<br />
bevisning hade Linda dessutom flera andra<br />
liknande bevis då motparten checkat in på<br />
”<br />
Bevisning från Facebook används<br />
som pusselbitar för att bilda<br />
orsakssamband<br />
Facebook från krogar vid tidpunkter då han<br />
skulle haft hand om sin dotter.<br />
– Genom att påvisa att han gjort så systematiskt,<br />
vid upprepade tillfällen, fick motparten<br />
betydligt mindre umgängesrätt med sin<br />
13
– För att ge en<br />
av parterna ensam<br />
vårdnad<br />
krävs tungt vägande<br />
bevisning.<br />
Idag räcker det<br />
inte med enbart<br />
bevis från Facebook,<br />
berättar<br />
linda Bohlin.<br />
dotter än vad han begärt.<br />
Linda berättar att det i vårdnadstvister<br />
är vanligt med ful- och rackarspel mellan<br />
parterna och att barnets bästa ofta sätts i<br />
sista hand. I ett fall hade pappan fotograferat<br />
barnet och lagt ut bilden på sin Facebook-sida<br />
med kommentaren ”Titta vilka kläder hon<br />
köper åt min son. Ska han verkligen behöva<br />
ha så fula kläder?”<br />
Både män och kvinnor letar ”skit”<br />
Tre av fyra av Linda Bohlins klienter är<br />
kvinnor men hon menar ändå att det är<br />
förvånansvärt lika mellan män och kvinnor<br />
när det gäller att leta ”skit” om motparten på<br />
Facebook.<br />
Helt nyligen avgjorde domstolen ett fall<br />
där huvudparten av Linda Bohlins bevisning<br />
var hämtad från Facebook och sms som<br />
motparten skickat. Bevisningen räckte inte<br />
för att Lindas klient skulle få ensam vårdnad,<br />
men däremot till en kraftigt inskränkt<br />
umgängesrätt för motparten. För att pröva<br />
värdet av bevisningen överklagade Linda till<br />
hovrätten som dock har meddelat att den inte<br />
tänker pröva målet.<br />
– För att ge en av parterna ensam vårdnad<br />
krävs tungt vägande bevisning. Idag räcker<br />
det inte med enbart bevis från Facebook<br />
och bloggar men det tror jag kan förändras i<br />
framtiden.<br />
Orsaken till det, tror Linda, är både att<br />
människor blivit mer utlämnande på Internet<br />
då de tror att de är på säker mark och att<br />
domstolen blivit mer liberal i sin värdering av<br />
bevisning från sociala medier.<br />
– Hade man i början av 2000-talet hänvisat<br />
till bevis hämtat från Lunarstorm, som var<br />
stort då, hade domstolen förmodligen bara<br />
skrattat. I och med Facebooks genomslagskraft<br />
har läget blivit ett annat och bevis från<br />
sociala medier kommer i framtiden att väga<br />
allt tyngre.<br />
Använder du själv Facebook?<br />
– Javisst, och jag tycker att det är ett bra<br />
sätt att hålla kontakten med nära och inte så<br />
nära vänner och bekanta.<br />
Har du själv ändrat ditt sätt att uppträda på<br />
Facebook sedan du börjat använda material från<br />
sociala medier som bevisning i dina mål?<br />
– I början ändrade jag inte alls mitt beteende<br />
på Facebook, utan det är något jag gjort<br />
först på senare tid. Jag har ändrat mina sekretessinställningar,<br />
så att jag verkligen har<br />
kontroll på vilka i min umgängeskrets som<br />
får se exempelvis bilder. Det är för övrigt något<br />
jag rekommenderar att alla som använder<br />
Facebook gör.<br />
– Jag har även en blogg som tidigare var<br />
öppen för alla att läsa, men numera krävs det<br />
lösenord för att läsa den och jag är restriktiv<br />
med vilka som får tillgång till lösenordet.<br />
Tänk efter före<br />
Har du några råd till dem som använder Facebook<br />
förutom att ändra sekretessinställningarna?<br />
– Ja, tänk efter före. Är det du tänkt skriva<br />
verkligen något som du kan stå för om fem år?<br />
Om inte, så låt bli. I amerikanska polisserier<br />
på TV säger man ofta att “allt du säger kan<br />
komma att användas emot dig”. När det gäller<br />
Facebook ligger det onekligen något i det.<br />
14 Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen
hallå där...<br />
Hallå där, Anna Hörnlund...<br />
...jurist på Datainspektionen.<br />
vad är egentligen en kompromissverkstad?<br />
Haha, ja, så kan man beskriva det ar-<br />
bete som jag och mina europeiska kol-<br />
legor bedriver i diverse arbetsgrupper.<br />
Jag är med i ett par sådana grupper<br />
med deltagare från ett 20-tal länder.<br />
Personer med olika viljor som representerar<br />
olika nationella intressen. Trots<br />
det går det ändå alltid att driva arbetet<br />
framåt. Men visst handlar det ofta om<br />
kompromisser.<br />
Din roll på Datainspektionen skiljer sig<br />
litet från övriga handläggares. Hur?<br />
De flesta handläggare på myndigheten<br />
arbetar med att utreda ärenden, som<br />
att granska organisationer som hanterar<br />
personuppgifter, eller med att yttra<br />
sig om lagförslag. Det gör jag med,<br />
men jag deltar även i en rad olika arbetsgrupper,<br />
både nationellt och i EU.<br />
På EU-nivå deltar jag i två undergrupper<br />
till den så kallade Artikel 29-gruppen<br />
som består av cheferna för respektive<br />
EU-lands dataskyddsmyndighet.<br />
Den ena undergruppen kallas för Technology<br />
Subgroup eller TS-gruppen och<br />
den andra för E-government and Biometrics.<br />
I dessa grupper arbetar vi med att ta<br />
fram så kallade “opinions” eller yttranden<br />
för hur det europeiska dataskyddsdirektivet<br />
ska tolkas, som 29-gruppen<br />
sedan antar.<br />
Vilka arbetsgrupper deltar du i på nationell<br />
nivå?<br />
Jag sitter bland annat med i E-delegationens<br />
expertgrupp för rättsliga frågor<br />
som exempelvis har tagit fram vägledningar<br />
för hur myndigheter kan använda<br />
sociala medier och hur uppgifter<br />
från offentliga databaser kan återanvändas<br />
i andra sammanhang. Grup-<br />
Integritet i <strong>fokus</strong> <strong>nr</strong> 3-<strong>2012</strong> – Datainspektionen<br />
pen träffas en gång i månaden och<br />
består av en intressant blandning personer,<br />
däribland en professor, en advokat,<br />
en chefsjurist och en representant<br />
från Justitiedepartementet. Jag sitter<br />
även med i en referensgrupp och en<br />
juridisk grupp som deltar i E-legitimationsnämndens<br />
arbete med att ta fram<br />
en ny svensk modell för e-legitimation.<br />
Flera av de arbetsgrupper du deltar i<br />
handlar om e-förvaltning, som också<br />
är ett prioriterat område för Datainspektionen.<br />
Varför?<br />
E-förvaltning är något som berör i stort<br />
sett alla och som ofta involverar känsliga<br />
personuppgifter. Många gånger<br />
leder e-förvaltning till att hanteringen<br />
av personuppgifter centraliseras och<br />
till ett ökat informationsutbyte mellan<br />
myndigheter.<br />
Är det viktigt att Datainspektionen är<br />
representerad i alla dessa grupper?<br />
Ja, det är det verkligen. Genom att vara<br />
aktiva i de här arbetsgrupperna har vi<br />
en jättechans att få med integritetsaspekterna<br />
redan från början i arbetet<br />
med nya IT-system och ny lagstiftning,<br />
och då är mycket vunnet.<br />
Du sitter i många möten. Har du några<br />
tips för hur man ska hantera långa<br />
och/eller tråkiga möten?<br />
Det är faktiskt inte så många tråkiga<br />
möten, jag lovar. Det som inte är direkt<br />
jätteroligt är möten då vi går igenom<br />
något långt dokument ord för ord. Det<br />
är en nödvändig kvalitetssäkring men<br />
inte en särskilt rolig sådan.<br />
Vad är roligast i ditt jobb?<br />
Variationen. Och att det känns som om<br />
– Det är roligt att kunna påverka utvecklingen<br />
av viktiga samhällstjänster,<br />
säger Anna Hörnlund om sitt<br />
jobb.<br />
man har chans att vara med och påverka<br />
utvecklingen av viktiga samhällstjänster.<br />
Det är stimulerande att arbeta<br />
med frågor som spelar roll och engagerar.<br />
Och tråkigast?<br />
Det är när man tragglar igenom texten<br />
till ett beslut för sjuttioelfte gången.<br />
Har man läst en sak tillräckligt många<br />
gånger är det inte roligt längre, särskilt<br />
inte när det gäller ens egna beslut.<br />
FAKTA<br />
Anna Hörnlund<br />
yrke: Jurist och handläggare<br />
På myndigheten: sedan 2008<br />
Familj: man och tre barn<br />
Bor: lägenhet i centrala Stockholm<br />
Senast lästa bok: ”Det bästa av<br />
allt” av Rona Jaffe. En bok om<br />
50-talet där mycket ändå känns<br />
aktuellt idag.<br />
Favoritmat: jag är allätare, men<br />
om jag måste svara så säger jag en<br />
riktigt god köttbit.<br />
15
Står Datainspektionen på bråkmakarnas sida?<br />
”<br />
Helt nyligen blev en av juristerna<br />
här på Datainspektionen<br />
intervjuad i radio. Anledningen var<br />
att vi yttrat oss om förslaget att<br />
Riksidrottsförbundet ska få upprätta<br />
ett centralt register över huliganer så<br />
att dessa kan stängas ute från matcherna.<br />
Vi ställde oss positiva till att man<br />
lagstiftar om ett sådant register men<br />
ansåg också att det förslag som lagts<br />
fram innehöll ett antal brister och<br />
oklarheter som måste åtgärdas innan<br />
registret kan bli verklighet.<br />
Intervjun gick bra, trots att<br />
journalisten grillade juristen med<br />
svåra frågor. ”Kan man inte tumma<br />
litet på skyddet av den personliga<br />
integriteten när syftet är att stänga ute<br />
bråkmakare? Vilka tycker egentligen<br />
Datainspektionen det är viktigt att<br />
skydda: bråkmakarna eller den vanliga<br />
publiken?”<br />
Det här är inte första gången vi<br />
konfronteras med dessa svårbesvarade<br />
frågor och alldeles säkert inte den sista.<br />
Visst kan det ibland verka som om<br />
Datainspektionen är en paragrafryttare<br />
som sätter sig på tvären och bromsar<br />
exempelvis kameraövervakning och<br />
huliga<strong>nr</strong>egister som skulle kunna<br />
skydda vanligt hederligt folk.<br />
Själv brukar jag tänka ”ska man göra<br />
Visst kan det ibland verka som om<br />
Datainspektionen är en paragrafryttare<br />
som sätter sig på tvären<br />
det, så ska man göra det rätt” och det<br />
resonemanget gäller inte minst detta<br />
föreslagna huliga<strong>nr</strong>egister.<br />
Ett sådant register kan innehålla<br />
personuppgifter som rör brott, det vill<br />
säga uppgifter som är extra känsliga<br />
och skyddsvärda. Det finns också en<br />
risk att personer felaktigt pekas ut<br />
som huliganer och att uppgifter från<br />
registret läcker ut till obehöriga.<br />
Därför är det viktigt att man redan<br />
från början har tänkt<br />
igenom ett sådant<br />
här register mycket<br />
noggrant och att lagstiftningen<br />
som omger<br />
registret inte innehåller några oklarheter<br />
som kan feltolkas i framtiden.<br />
Så Datainspektionen sysslar inte med<br />
att skydda bråkmakare och huliganer,<br />
utan fungerar som en kvalitetskontroll<br />
som säkerställer att man gjort en noggrann<br />
vägning av för- och nackdelar<br />
och bedömt att detta register verkligen<br />
behövs och att syftet med registret<br />
uppnås med ett så litet intrång i den<br />
personliga integriteten som möjligt.<br />
Petigt eller inte, det är vårt uppdrag.<br />
Datainspektionen, Box 8114, 104 20 Stockholm<br />
SISTA ORDET...<br />
Göran Gräslund<br />
Generaldirektör<br />
Datainspektionen<br />
Nästa nummer kommer i december