Magazin DIrekt 3/03 - Kroppen som nyckel - Datainspektionen
Magazin DIrekt 3/03 - Kroppen som nyckel - Datainspektionen
Magazin DIrekt 3/03 - Kroppen som nyckel - Datainspektionen
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
<strong>Kroppen</strong><br />
<strong>som</strong> <strong>nyckel</strong><br />
TRÖTT PÅ DIREKTREKLAM?<br />
✼ DET FINNS SPÄRRLISTOR FÖR DIG SOM VILL<br />
SLIPPA TELEFONFÖRSÄLJARE OCH DIREKTREKLAM.<br />
SID. 5<br />
FRÅN DATAINSPEKTIONEN #3/20<strong>03</strong><br />
RFID KIKAR I FICKAN<br />
✼ RFID, RADIO FREQUENCY ID, AVLÄSER PÅ EN<br />
METERS HÅLL. TVÄRS IGENOM KLÄDER OCH VÄSKOR.<br />
”TAGGEN” ÄR STOR SOM ETT SANDKORN. SID. 6<br />
EN NY SYN PÅ ”PRIVACY”<br />
✼ 21 LÄNDER, FRÄMST I ASIEN, TAR FRAM REGLER<br />
FÖR ”PRIVACY”. DE HAR ANDRA VÄRDERINGAR ÄN<br />
MAGAZIN DIREKT #3/20<strong>03</strong> 1<br />
VI EUROPÉER. SID. 8
<strong>Kroppen</strong> <strong>som</strong> <strong>nyckel</strong><br />
Melbourne. Hur kan du säkert bevisa<br />
att du är du? ”Med biometri!” är svaret<br />
för dagen. Men med vilken sorts<br />
biometri? Face recognition verkar inte<br />
alls fungera och fingeravtryck<br />
förknippas med kriminalitet. Irismönster<br />
är en kandidat på uppåtgående.<br />
Efter den 11 september 2001 har kraven skärpts på att du ska<br />
kunna identifiera dig. Biometri nämns ofta <strong>som</strong> lösningen. Nu i<br />
september samlades integritetsskyddsfolk från hela världen i<br />
Melbourne för att diskutera det nya läget under rubriken The<br />
Body as Data. Men låt oss börja från början. När du ska bevisa<br />
att det är du <strong>som</strong> är du finns det tre sätt:<br />
✼ Med något du vet. Du öppnar ytterdörren med en hemlig<br />
kod. Din dator och din mobiltelefon kräver lösenord.<br />
✼ Med något du har. Du visar ditt pass vid gränskontrollen<br />
och legitimation på Systemet. Du låser upp ditt bankfack med<br />
<strong>nyckel</strong>. Ett plastkort med magnetremsa öppnar dörrar och<br />
bankomater.<br />
✼ Med något du är. Det är det <strong>som</strong> kallas biometri, alltså<br />
mätning på levande organismer. I praktiken använder man<br />
fysiologiska särdrag <strong>som</strong> omvandlas till en unik digital profil,<br />
en kod <strong>som</strong> sedan lagras i en databas eller i ett chip på ett<br />
plastkort. Det talas mycket om fingeravtryck, DNA-profil,<br />
mönstret i ögats iris, örats form eller röstanalys, men man<br />
glömmer ofta bort den vanligaste biometriska metoden: en<br />
bild av ditt ansikte. Till biometrin räknas också tekniker att<br />
mäta en persons beteende: analys av din namnteckning, ditt<br />
sätt att skriva på ett tangentbord eller din gångstil.<br />
DET ÄR VANLIGT att de här metoderna kombineras; du behöver<br />
en kod för att kunna använda ditt bankomatkort och passet<br />
innehåller ett foto (snart kanske också fingeravtryck); för att<br />
starta en dator med känslig information kan det krävas både<br />
lösenord, smartcard och fingeravtryck.<br />
Nu ska vi alltså tala om de biometriska metoderna. Hur<br />
säkra är de? Innan man ställer den frågan måste man göra<br />
klart för sig vad man vill uppnå. Det är stor skillnad mellan att<br />
identifiera och autentisera (<strong>som</strong> också kan kallas verifiera eller<br />
validera). Både när det gäller metoder och svårighetsgrad.<br />
✼ Autentisering ska besvara frågan: Är du den du utger dig för<br />
att vara? Du ska t.ex. visa att passet eller identitetskortet du<br />
visar upp är ditt och ingen annans. Om passet är försett med<br />
fingeravtryck, är det ett perfekt avtryck av t.ex. din högra<br />
tumme. Att jämföra det avbildade avtrycket med din högertumme<br />
är en ganska enkel match. Man talar om en-mot-enjämförelse.<br />
2 MAGAZIN DIREKT #3/20<strong>03</strong><br />
✼ Identifiering ska besvara frågan: Vem är du? Här gäller det att<br />
skilja ut dig från kanske miljoner andra <strong>som</strong> har sina uppgifter<br />
lagrade i ett datasystem (en-mot-n-jämförelse). Om du visar<br />
passet vid en gränskontroll i EU ska datorn kunna se om du finns<br />
i Schengenregistret över efterspanade. Om du söker asyl i EU ska<br />
dina fingeravtryck jämföras med Eurodac-registret. Den sortens<br />
identifiering är svårare än autentisering, men enklare än den<br />
identifiering <strong>som</strong> den klassiska brottsplatsundersökningen går ut<br />
på. Där hittar polisens tekniker ett fingeravtryck eller en del av ett<br />
avtryck på en smutsig yta, man vet inte av vilket finger. Om det<br />
inte finns någon misstänkt, ska det fragmentet jämföras med ett<br />
register <strong>som</strong> – om man är i USA – innehåller 40 miljoner avtryck.<br />
Att säga att det är en svår uppgift att peka ut en enda person<br />
utifrån detta är ett understatement.<br />
ÄR DE BIOMETRISKA metoderna tillräckligt tillförlitliga? Kan de<br />
uppfylla rimliga krav på integritetsskydd?<br />
— Biometrics is not yet ready for prime time! sa professor<br />
Stefano Rodotà när han inledde konferensen The Body as Data i<br />
Melbourne i september. Rodotà är chef för Italiens datainspektion<br />
och ordförande i en arbetsgrupp inom EU <strong>som</strong> ska se till att dataskyddsdirektivet<br />
tillämpas lika i alla medlemsländer. I augusti<br />
antog gruppen ett arbetsdokument om biometri och integritet (för<br />
övrigt ett utmärkt dokument på tolv sidor <strong>som</strong> kan rekommenderas<br />
för den <strong>som</strong> vill studera frågan närmare). 1 )<br />
Rodotà är alltså skeptisk, han anser att riskerna för att det ska<br />
bli fel är för stora med den teknik <strong>som</strong> finns idag. Som exempel<br />
nämnde han polisen i Tampa, Florida, <strong>som</strong> under två år testade ett<br />
program för mönsterigenkänning, face recognition, i stadens<br />
övervakningskameror. Meningen var att systemet skulle identifiera<br />
efterspanade brottslingar, men försöket ledde inte till ett<br />
enda riktigt gripande – däremot till flera felaktiga. Därefter<br />
skrotades systemet. På flygplatsen i Sydney testade man face<br />
recognition <strong>som</strong> skulle ersätta tullarens kontroll av att ansiktet<br />
stämmer med passet. Försöket misslyckades och drogs tillbaka.<br />
Flera liknande försök har lagts ner. DNA-analys är säkrare, men<br />
Rodotà påpekade att det faktiskt är så många <strong>som</strong> var 250:e<br />
födsel <strong>som</strong> är enäggstvillingar med identisk DNA.<br />
— Det finns mycket pengar i biometri och industrin har för<br />
bråttom med att släppa ut sina produkter. När man misslyckas för<br />
att tekniken inte är färdig, kommer integriteten i kläm, sa Peter<br />
Moon, IT-jurist från Australien. Enligt en beräkning kommer man<br />
bara i USA att lägga ner 560 miljarder dollar på säkerhetsutrustningar<br />
under de närmaste fem åren. Det lockar förstås säkerhetsföretagen<br />
att jäkta fram lösningar, men integritetsfolk måste in i<br />
utvecklingen på ett så tidigt stadium <strong>som</strong> möjligt, annars kan<br />
det gå snett.<br />
Om en biometrisk mätning ger fel resultat kan det vara<br />
förödande för individen. ”Du är inte du!” säger bankomaten<br />
<strong>som</strong> vägrar ge dig pengar, eller gränskontrollen <strong>som</strong> vägrar<br />
släppa igenom dig, eller datorn <strong>som</strong> hindrar dig från att sköta<br />
ditt arbete. Det kan vara traumatiskt att få sin person<br />
ifrågasatt.<br />
MEN OM MAN NU i alla fall vill använda en biometrisk metod:<br />
Vilken är bäst?? Svaret är <strong>som</strong> vanligt att det beror på. Vad ska<br />
den användas till? Var? Det finns tre grundkrav: Det <strong>som</strong> ska
mätas ska vara unikt, dvs. vara<br />
utmärkande för varje individ; det ska<br />
vara permanent, dvs. det får inte<br />
förändras över tiden och det ska vara<br />
universellt, dvs. alla ska ha det.<br />
Det finns få egenskaper <strong>som</strong><br />
uppfyller alla de kraven. Exempelvis<br />
kan man inte mäta ögonmönster på<br />
blinda och fingeravtryck kan förändras<br />
av kemikalier eller eksem. Åldrande,<br />
glasögon och skuggor förändrar bilden<br />
av ansiktet och ställer till med problem<br />
för face recognition.<br />
Face recognition är den biometriska<br />
metod <strong>som</strong> har lovat mest och hållit<br />
minst. Hur är det då med fingeravtryck?<br />
Alla <strong>som</strong> jobbar med<br />
fingeravtryck hävdar att experterna<br />
aldrig tar fel, men de kan å andra sidan<br />
inte säga något annat: att medge att det<br />
finns risker för fel, vore ju att medge att<br />
ett okänt antal människor sitter i<br />
fängelse, felaktigt dömda med fingeravtryck<br />
<strong>som</strong> bevisning. På senare tid har<br />
det dock skrivits artiklar och böcker <strong>som</strong><br />
ifrågasätter fingeravtrycken 2+3 ). I notisen<br />
härintill finns exempel på mer eller mindre<br />
lyckade försök med fingeravtryck.<br />
ETT ANNAT PROBLEM är hur data ska samlas in<br />
och kontrolleras. Blair Stewart från Nya<br />
Zeelands Privacy Commissioner menade att i<br />
Nya Zeeland skulle det vara omöjligt att ta<br />
fingeravtryck på andra än brottslingar. Metoden är<br />
alldeles för sammankopplad med kriminalitet för att<br />
accepteras i andra sammanhang. Andra är rädda för<br />
att titta in i en apparat <strong>som</strong> avläser irismönster.<br />
Mätningen får inte heller vara alltför diskret. Då väcks<br />
misstanken att man kan kontrolleras utan att man vet om<br />
det. I filmen Minority Report mäter man folks näthinnemönster<br />
automatiskt och omärkligt i alla sammanhang – en<br />
framtidsteknik <strong>som</strong> snart kan vara här; en hackare kan avläsa<br />
hur du skriver på ditt tangentbord etc. Det får inte heller gå att<br />
lura systemet – redan talas det om konstgjorda, falska fingeravtryck.<br />
Ett tips är att mätning av irismönstret kommer att ta hem<br />
spelet till slut. Iris är konstant hela livet, det förknippas inte<br />
med kriminalitet, variationerna i mönstren är i princip oändliga<br />
och användningen kan vara integritetsvänlig: Den <strong>som</strong> testas<br />
behöver bara kika in genom ett hål, hudfärg eller klädsel syns<br />
inte. Nu finns metoder använder vanligt ljus, inte laser <strong>som</strong><br />
många är rädda för. Irismätning testas nu bl.a. på Amsterdams<br />
flygplats Schiphol, Narita Airport i Japan och i Abu Dhabi. Ännu<br />
är den långt ifrån ofelbar: ett test gav 94 % korrekta identifieringar,<br />
mycket bättre än face recognition, men inte i närheten av<br />
vad systemförsäljarna lovar.<br />
EN FRÅGA <strong>som</strong> diskuterades på konferensen gällde själva titeln,<br />
The Body as Data. Är det korrekt att säga så? Är ett vävnadsprov<br />
eller ett blodprov data, dvs. en personuppgift? Det fanns olika<br />
uppfattningar om den saken.<br />
✼ Ken Anderson från Kanadas Privacy Commissioner<br />
berättade att i Kanada anser man att blod, hår, saliv, etc. är<br />
personuppgifter.<br />
✼ I UK tycker man inte att själva det biologiska materialet är<br />
personuppgifter, men däremot de data du kan utvinna ur<br />
provet, sa Graham Smith från UK:s Information Commissioner.<br />
✼ Danska Datatilsynet har i ett beslut uttalat att ett vävnadsprov<br />
är personuppgift.<br />
✼ Svenska biobankslagen skiljer på vävnadsprovet och<br />
personuppgifter <strong>som</strong> kan vara kopplade till provet.<br />
✼ Norska Datatilsynet ansåg i ett beslut att blodprov är<br />
personuppgifter, men beslutet överklagades och ändrades av<br />
överinstansen Personvernnevnda. Nu har Datatilsynet begärt<br />
att Stortinget ska avgöra frågan slutgiltigt.<br />
Det här kan förefalla <strong>som</strong> en akademisk petitess, men den kan<br />
vara viktig i praktiken. Förarbetena till EU:s dataskyddsdirektiv<br />
säger visserligen att begreppet ”data” ska tolkas så brett <strong>som</strong><br />
möjligt, men det kan vara praktiskt att skilja på data och bärare<br />
av data. Om man plockar upp en begagnad näsduk, samlar man<br />
in persondata då? Eller gör man det först när man analyserar<br />
snoret? Det här är inget otänkbart scenario, i USA och Australien<br />
säljer man gör-det-själv genetisk test, t.ex. för att testa faderskap.<br />
Från annonspelarna i Berlin tittar en baby ner på dig. Texten ➤➤<br />
MAGAZIN DIREKT #3/20<strong>03</strong><br />
3
➤➤<br />
lyder: ”Är detta verkligen dina ögon?” och så hänvisas till en<br />
genetisk testmetod. Skulle det rentav kunna vara straffbart att<br />
plocka upp näsdukar? Vilken rätt ska du ha till dina egna<br />
data?<br />
1 ) 29-gruppens arbetsdokument om biometri finns på webben<br />
(på svenska!). Du hittar det enklast genom att gå in på<br />
www.datainspektionen.se, ”Innehåll”, ”Länkar”, ”EU Data<br />
Fingeravtryck på frammarsch<br />
De biometriska metoderna har i de<br />
flesta fall inte lämnat diskussions-<br />
stadiet, men det finns några ”skarpa”<br />
tillämpningar. Främst gäller det autenti-<br />
sering med fingeravtryck.<br />
EU OCH USA förhandlar om EU-medborgarnas pass. USA har krävt<br />
att i oktober 2004 ska den <strong>som</strong> vill komma in i USA utan visum<br />
ha ett pass med biometrisk information. Troligen blir det<br />
fingeravtryck <strong>som</strong> ska användas. Under hösten diskuterar EUkommissionen<br />
hur det ska gå till i praktiken, rättsliga aspekter<br />
och, inte minst, vad kalaset kan kosta. Dock lär inte EU vara<br />
alltför ovilliga – med fingeravtryck skulle Schengens kontrollsystem<br />
SIS bli säkrare.<br />
ILO, International Labour Organisation har ändrat en konvention<br />
för att göra det möjligt att införa ett id-kort med fingeravtryck<br />
för sjömän och hamnarbetare.<br />
PENDLARNA på färjorna till Bornholm får rabatt. Tidigare måste<br />
man ha ett särskilt id-kort med foto för att visa att man hade rätt<br />
till rabatten. Från i år har det ersatts av ”Bornholmerkortet” <strong>som</strong><br />
innehåller ett chip med ett kundnummer och 19 mätpunkter från<br />
pendlarens fingeravtryck. Själva avtrycket lagras alltså ingenstans<br />
och de 19 värdena lagras bara i kortet. När man ansöker<br />
om kortet får man förutom fingeravtryck lämna namn, nationalitet,<br />
kön och födelseår (de uppgifterna ska enligt lag finnas i<br />
passagerarlistan) samt kreditkortsnummer.<br />
4 MAGAZIN DIREKT #3/20<strong>03</strong><br />
Protection”, ”Art.29 Data Protection Working Party”,<br />
”Documents adopted”.<br />
2 ) Simon A Cole: Suspect Identities, a history of Fingerprints<br />
and Criminal Identification. Harvard University Press 2001.<br />
3 ) Michael Specter: Do Fingerprints lie? The New Yorker,<br />
May 27, 2002.<br />
Om du ska resa med Bornholmerkort, bokar du plats per<br />
telefon eller Internet. Framme vid båten går du direkt till gaten<br />
och drar kortet i en avläsare. Om kortets nummer finns i bokningssystemet,<br />
får du grönt ljus. Då sätter du fingret mot en<br />
annan avläsare <strong>som</strong> jämför din fingerblomma med punkterna<br />
<strong>som</strong> finns lagrade i kortet. Om de stämmer överens, dras biljettkostnaden<br />
från ditt kreditkort, ett kvitto skrivs ut och du kan gå<br />
ombord.<br />
Danska Datatilsynet har granskat fallet och godkänt metoden.<br />
Det är visserligen behandling av personuppgifter, säger man,<br />
men med hänsyn till att det är frivilligt att utnyttja rabatten och<br />
att data om fingeravtryck enbart lagras i kortet, utfaller en<br />
intresseavvägning till bolagets fördel. (www.datatilsynet.dk)<br />
I MÅNGA SKOLBIBLIOTEK i Australien och UK använder man<br />
tumavtryck i stället för lånekort, vilket dels gör att eleverna inte<br />
glömmer kortet, dels sparar in kostnaden för själva kortet. Det är<br />
värt att notera att EU:s rapport om biometri särskilt nämner<br />
fingeravtryck i skolbibliotek. Man varnar för att det kan trubba<br />
av unga människor så att de senare i livet inte är vaksamma på<br />
de integritetsrisker <strong>som</strong> biometri medför.<br />
WOOLWORTHS, ett australiensiskt företag med 100 000 anställda i<br />
692 butiker använder tumavtryck för att registrera närvaro på<br />
jobbet. Anställda har klagat på att systemet gör fel, man har<br />
både fått för mycket och för lite arbetstid noterad. Firman <strong>som</strong><br />
har installerat systemet hävdar att det är ofelbart och hänvisar<br />
till mänskliga faktorn.<br />
EN SKOLA I FRANKRIKE ville att barnen skulle lämna fingeravtryck<br />
för att få ut maten i skolmatsalen efter<strong>som</strong> före detta elever kom<br />
och åt gratis. CNIL, den franska dataskyddsmyndigheten sa nej,<br />
efter<strong>som</strong> man trodde att polisen skulle begära ut avtrycken om<br />
något brott inträffade på skolan. Däremot kunde man acceptera<br />
handavtryck eller smart-card med fingeravtryck.<br />
ÄVEN I SVERIGE används fingeravtryck för autentisering. I Spånga<br />
och Tensta har det varit problem med lösenorden till skolans<br />
datorer. Barnen har glömt bort lösenorden och äldre elever har<br />
tvingat de yngre att lämna ut sina lösenord. Nu har nio skolor<br />
infört fingeravtrycksläsare. Efter<strong>som</strong> ett fingeravtryck kan<br />
kopplas till ett bestämt barn, är det personuppgift enligt PuL.<br />
Man har därför låtit barnens föräldrar ge sitt samtycke till att<br />
lösningen ska få användas. Det har inte varit något problem att<br />
få det samtycket. Efter<strong>som</strong> fallet är principiellt intressant har<br />
<strong>Datainspektionen</strong> inlett tillsyn <strong>som</strong> ännu inte är avslutad.<br />
(dnr 2105 och 2137-20<strong>03</strong>)
Trött på direktreklam?<br />
DEN SOM INTE vill ha direktadresserad reklam kan sedan ett par<br />
år anmäla sig till spärregistret ”Nix adresserat” hos branschorganisationen<br />
Swedma. Det är obligatoriskt för Swedmas 60<br />
medlemsföretag att köra sina utskicksregister mot spärregistret<br />
och sortera bort adresser <strong>som</strong> har anmält att de inte vill ha<br />
reklam. Ring 020-55 70 00 och knappa in ditt personnummer så<br />
får du informationsblad och anmälningsblankett. Mer information<br />
på www.swedma.se.<br />
OM DU VILL SLIPPA telefonsamtal från försäljare eller insamlingsorganisationer<br />
kan du anmäla dig till ett motsvarande register,<br />
Nix-telefon. Om du vill ha din telefon spärrad mot telefonförsäljare<br />
ska du ringa 020-27 70 00 och knappa in ditt telefonnummer.<br />
Då får du efter några dagar ett brev med en<br />
personlig kod. Du bekräftar sedan spärren genom att ringa<br />
ett annat nummer (<strong>som</strong> finns i brevet) och knappa in koden.<br />
Nix-telefon administreras av en särskild förening <strong>som</strong> nio<br />
branschföreningar har bildat, bl.a. Annonsörsföreningen,<br />
Försäkringsförbundet, Swedma, Svenska bankföreningen och<br />
Tidningsutgivarna. Mer information på www.nix.nu.<br />
Du kan också lägga in en reklamspärr i det statliga person-<br />
och adressregistret Spar. Skriv till Spar-nämnden, Box<br />
2280, 1<strong>03</strong> 17 Stockholm och begär reklamspärr.<br />
DET FÖRFALLER <strong>som</strong> om de flesta svenskar trots allt vill ha<br />
reklam. I 25 år har det varit möjligt att begära reklamspärr i<br />
Spar och hittills har bara 135 000 personer utnyttjat möjlig-<br />
heten. 50 000 personer har begärt spärr i ”Nix adresserat”.<br />
Intresset av att slippa telefonpåringningar är starkare. På tre år<br />
har 210 000 spärrmarkeringar anmälts till Nix-telefon. Detta<br />
motsvarar dock bara 4 procent av telefonabonnemangen.<br />
I Norge är motsvarande siffra 20 procent.<br />
SPÄRRARNA GÄLLER INTE för alla försändelser och alla samtal.<br />
Några undantag:<br />
✼ Spärren i Spar gäller inte samhällsinformation.<br />
✼ Spärren i ”Nix adresserat” gäller inte om mottagaren har<br />
lämnat sitt uttryckliga medgivande att ett visst företag får<br />
sända direktreklam.<br />
✼ Spärren i ”Nix adresserat” gäller inte heller om det finns<br />
ett etablerat kundförhållande. Då får företaget skicka erbjudanden<br />
om liknande varor eller tjänster.<br />
✼ Om en konsument själv har lämnat sina personuppgifter<br />
och har haft möjlighet att avböja direktreklam, gäller inte<br />
heller spärren. Exempel: medlemmar i bonus- och kundklubbar<br />
samt personer <strong>som</strong> finns i intresseregister eller <strong>som</strong><br />
har beställt information.<br />
✼ Spärren i Nix-telefon hindrar inte samtal för enkäter,<br />
marknadsundersökningar, samhällsinformation, politisk information<br />
och liknande.<br />
MAGAZIN DIREKT #3/20<strong>03</strong><br />
5
RFID kikar i fickan<br />
Dags igen att lära sig en ny term: RFID, <strong>som</strong> står för Radio Frequency IDentification.<br />
RFID har samma funktion <strong>som</strong> en vanlig etikett med streckkod, men RFID-taggen är<br />
mycket mindre, innehåller mer information och kan avläsas på någon meters håll, tvärs<br />
igenom kläder och väskor. Då blir det problem med integriteten…<br />
NÅGON HAR RÄKNAT UT att varje dag avläses 5 miljarder streckkoder<br />
runt om i världen. Mest för att hålla koll på varor <strong>som</strong><br />
distribueras, lagras och säljs, men även i andra sammanhang,<br />
kanske för att se till att din incheckade väska lastas på rätt<br />
flygplan. Magnetremsor på bankomatkort, passerkort och<br />
biljetter avläses minst lika ofta. Marknaden för den här sortens<br />
identifiering är alltså enorm.<br />
Men vissa miljöer är för hårda och smutsiga för att det ska<br />
gå att använda streckkoder eller magnetremsor, till exempel<br />
märkning av gruvvagnar eller timmer. Det kan också vara<br />
opraktiskt att behöva hålla läsaren alldeles intill streckkoden<br />
eller att ”dra” magnetkortet, <strong>som</strong> när boskap har en märkning<br />
i örat med stamtavla, födelsedatum och vaccinationer eller när<br />
väskor ska sorteras på flygplatsen. För sådana situationer har<br />
industrin konstruerat en liten transponder, ett chip där information<br />
kan lagras. Själva chipet är passivt, men det innehåller<br />
en antenn <strong>som</strong> kan ta emot radiosignaler från en avläsare.<br />
Energin i den signalen använder chipet för att sända sin information<br />
tillbaka till avläsaren. Chipet identifierar sig alltså via<br />
en radiosignal, därav namnet RFID. Det kan rymma upp till<br />
600 tecken, betydligt mer än en streckkod klarar av.<br />
NU HAR TEKNIKEN UTVECKLATS så att själva chipet kan göras pyttelitet,<br />
en tredjedels millimeter, ”smart damm”. Antennen är lite<br />
större, men hela härligheten, ”RFID-taggen” kan bakas in i<br />
6 MAGAZIN DIREKT #3/20<strong>03</strong><br />
plast eller papper och gömmas i etiketten i ett klädesplagg eller<br />
gjutas in i klacken på en sko med information om modell,<br />
storlek, färg, pris, etc. Plagget kan därmed identifieras genom<br />
hela kedjan: distribution, lagerhållning, inventering, försäljning.<br />
Man kan kontrollera att ett märkesplagg inte är förfalskat<br />
samtidigt <strong>som</strong> det stöldskyddas. Det senaste lär vara RFIDetiketter<br />
<strong>som</strong> tål maskintvätt och teknikentusiasterna drömmer<br />
om skjortan <strong>som</strong> talar om för tvättmaskinen vilket program den<br />
ska köra.<br />
DET FINNS FÖRSTÅS MÄNGDER av tillämpningar. Kanske har du sett<br />
någon <strong>som</strong> inte drar sitt passerkort genom läsaren utan bara<br />
visar upp det för apparaten. Då är det RFID. Det används i<br />
busskort och sex miljoner bilister i USA har redan idag en liten<br />
RFID-amulett i <strong>nyckel</strong>ringen <strong>som</strong> de visar upp för pumpen när<br />
de tankar. En läsare kan då se om de har pengar på kontot<br />
och dra rätt belopp. Vissa nya bilar har RFID i <strong>nyckel</strong>n – bilen<br />
startar inte om man försöker starta med en kopia – och däcktillverkare<br />
planerar att märka sina däck, med allt vad det innebär<br />
för att kunna spåra ett fordon.<br />
Europeiska centralbanken diskuterar att förse eurosedlarna<br />
med RFID. Det ska förhindra förfalskning, men också ge möjlighet<br />
att se hur mycket pengar du har på dig när du passerar en<br />
gränskontroll. Man vill också kunna kontrollera penningflöden<br />
för att spåra penningtvätt.
ETT PROBLEM är att den <strong>som</strong> har rätt avläsare bokstavligen kan<br />
genomskåda dig. Signalen hindras inte av kläder eller väskor.<br />
Än så länge är räckvidden bara någon meter, men produktutvecklarna<br />
jobbar på att öka den. Det kanske inte gör så<br />
mycket om man kan se vilket märke och vilken storlek din<br />
skjorta har. En mer spektakulär komplikation är rånare med<br />
RFID-läsare <strong>som</strong> kan välja ut offer <strong>som</strong> har gott om euro på<br />
sig. Kanske kan man också se vilka böcker du har i väskan,<br />
var din bil har passerat eller till och med ditt kreditkortsnummer.<br />
Det talas nämligen om smarta butiker där alla varor<br />
är RFID-märkta. Du fyller din kundvagn men slipper köa i<br />
kassan. En läsare vid utgången ser vad du har i vagnen och<br />
drar automatiskt beloppet från ditt kreditkort. RFID är helt<br />
klart ett nytt integritetshot.<br />
TEKNIKDÅRARNA SLICKAR SIG alltså om munnen, samtidigt <strong>som</strong><br />
integritetsskyddsfolket ropar efter bromsar. Men också konsumenternas<br />
reaktioner har verkat nedkylande på utvecklingen.<br />
Till exempel har protester stoppat RFID i rakbladsförpackningar,<br />
<strong>som</strong> lär vara mycket stöldbegärliga. Det var tänkt<br />
att chipet skulle starta en kamera när någon tog ner en<br />
förpackning rakblad från hyllan. När man sedan betalade i<br />
kassan skulle en annan kamera aktiveras så att väktarna<br />
kunde jämföra bilderna och se om alla <strong>som</strong> tog rakblad<br />
också betalade. Men det försöket har alltså avbrutits tills<br />
vidare.<br />
Som så ofta när det gäller ny teknik, dyker det också<br />
upp motmedel. Så även mot RFID. Det enklaste är en så<br />
kallad kill-funktion; på samma sätt <strong>som</strong> man idag avmagnetiserar<br />
stöldskyddet i boken eller byxorna, kan RFID-chipet<br />
”dödas” när funktionen inte längre behövs, dvs. när varan är<br />
såld och betald. Det förutsätter dock att handeln är med på<br />
noterna – man kanske vill behålla märkningen om varan<br />
skulle reklameras. Ett effektivare sätt är blockerings-chipet,<br />
ett RFID-chip <strong>som</strong> när det anropas av en avläsare ger ifrån<br />
sig alla tänkbara koder samtidigt och därmed dränker signalerna<br />
från andra chip <strong>som</strong> du har på dig.<br />
DATASKYDDSMYNDIGHETERNA har också fått upp ögonen för<br />
riskerna med RFID. När världens Privacy Commissioners<br />
träffades i Sydney i september, lade man fram ett förslag till<br />
resolution <strong>som</strong> bör kunna antas under hösten. Som alltid när<br />
många länder ska komma överens är förslaget rätt urvattnat,<br />
men det är i alla fall en markering, en uppmaning om att om<br />
möjligt använda alternativa tekniker och – om det skulle vara<br />
nödvändigt att samla in personuppgifter med RFID – att göra<br />
det öppet och bara för det ursprungliga ändamålet.<br />
Det finns också många andra ögon <strong>som</strong> bevakar hur RFID<br />
utvecklas. På MIT, Michigan Institute of Technology forskar<br />
man på Auto-ID Center, www.autoidcenter.org och det finns<br />
organisationer <strong>som</strong> bevakar konsumenternas intressen, t.ex.<br />
European Digital Rights www.edri.org och Electronic Privacy<br />
Information Center www.epic.org.<br />
PS. Inte bara RFID är ett nytt ord i tiden. Den <strong>som</strong> läser<br />
om fenomenet stöter ofta på uttrycken Ubiquitous Computing<br />
och Pervasive Computing. Ubiquitous betyder ungefär ”allestädes<br />
närvarande” och Pervasive betyder genomgripande,<br />
<strong>som</strong> präglar allting. Det är alltså fråga om Storebror i nya<br />
skepnader.<br />
KORTFATTAT<br />
Olagligt att lämna ut<br />
sjukjournaler via Internet<br />
Landstinget i Uppsala län planerade att låta länets<br />
300 000 invånare ta del av sina sjukjournaler via Internet.<br />
Ett försök med 2 000 patienter var redan igång när<br />
<strong>Datainspektionen</strong>, <strong>som</strong> bl.a. är tillsynsmyndighet enligt<br />
vårdregisterlagen, beslutade att granska projektet.<br />
<strong>Datainspektionen</strong>s styrelse <strong>som</strong> fattade beslut i tillsynsärendet<br />
kom fram till att utlämnandet strider mot vårdregisterlagen,<br />
<strong>som</strong> reglerar datorjournaler och patientadministrativa<br />
system. Där finns en bestämmelse <strong>som</strong><br />
säger att endast den <strong>som</strong> behöver uppgifterna för sitt<br />
arbete får ha direktåtkomst till vårdregister. Begreppet<br />
direktåtkomst definieras inte i lagen, men det innebär<br />
normalt att någon på egen hand kan söka i en databas<br />
utan att kunna påverka innehållet och utan att den <strong>som</strong> är<br />
ansvarig för databasen kan kontrollera vilka uppgifter<br />
mottagaren tar del av. En patient har visserligen normalt<br />
rätt att få se sina egna uppgifter i vårdregistren, men<br />
lagbestämmelsen utesluter ett utlämnande genom<br />
direktåtkomst. I de fall <strong>som</strong> enskilda har fått direktåtkomst<br />
till sina egna uppgifter i register har det reglerats särskilt,<br />
t.ex. för vissa skatteregister.<br />
Ytterligare en synpunkt i beslutet var att i enstaka fall<br />
gäller sekretess så att den enskilde inte kan få ut uppgifter<br />
om sig själv. Det för med sig att man alltid måste göra en<br />
sekretessprövning innan uppgifter lämnas ut till en patient.<br />
Det är alltså olagligt att lämna ut uppgifter ur vårdregister<br />
via Internet på det sätt <strong>som</strong> landstinget i Uppsala<br />
har gjort. <strong>Datainspektionen</strong> förutsätter att landstingsstyrelsen<br />
upphör med att ge enskilda patienter direktåtkomst<br />
till uppgifter i vårdregister (dnr 1569-20<strong>03</strong>).<br />
Det här beslutet innebar att säkerheten i utlämnandet<br />
inte behöver prövas, vilket annars kunde ha varit intressant<br />
– samtidigt <strong>som</strong> försöket pågick, härjade datamasken<br />
Sobig <strong>som</strong> ”kidnappade” e-postmeddelanden och sände<br />
dem vidare till slumpmässiga adresser.<br />
Även i Skåne planerar man ett nytt datasystem för<br />
sjukjournalerna. I Region Skåne finns tio sjukhus och ett<br />
stort antal vårdcentraler där journaler och annan information<br />
om en patient kan finnas utspridd. Nu undersöker<br />
man möjligheterna att öppna en ”klinisk portal” där vårdpersonalen<br />
– med patientens samtycke – ska kunna få<br />
tillgång till alla uppgifter <strong>som</strong> finns lagrade inom regionen.<br />
Man har inte diskuterat direktåtkomst för patienterna.<br />
Nya inkassoavgifter<br />
Regeringen har i beslutat om nya inkassoavgifter.<br />
Förordningen (1981:1057) om ersättning för inkassokostnader<br />
m.m. har ändrats i SFS 20<strong>03</strong>: 294, <strong>som</strong> trädde<br />
i kraft den 1 juli. De nya avgifterna är:<br />
Skriftlig betalningspåminnelse 50:- (tidigare 45:-)<br />
Inkassokrav 160:- (tidigare 150:-)<br />
Upprättande av amorteringsplan 150:- (tidigare 140:-)<br />
MAGAZIN DIREKT #3/20<strong>03</strong><br />
7
Asiens svar på dataskyddsdirektivet:<br />
En ny syn<br />
på ”privacy”<br />
Sydney. 21 länder i Asien och Stillahavsregionen arbetar nu fram gemensamma<br />
regler för ”privacy” <strong>som</strong> i första hand ska vara smörjmedel för e-handeln. Länderna<br />
har hälften av världshandeln och en helt annan syn på integritetsskydd än vi har<br />
i Europa. Om man kan enas lär det bli vi <strong>som</strong> får anpassa oss.<br />
8 MAGAZIN DIREKT #3/20<strong>03</strong>
– I MÅNGA ASIATISKA EKONOMIER ligger fokus på kollektivet, inte på<br />
individen. Det för med sig att begrepp <strong>som</strong> mänskliga rättigheter<br />
och privacy inte är lika centrala här <strong>som</strong> i Europa och andra<br />
mer individualistiskt orienterade samhällen.<br />
RAYMOND TANG är Privacy Commissioner i Hong Kong SAR. På de<br />
internationella datachefernas konferens i Sydney i september<br />
talade han under rubriken Personal Data Privacy: The Asian<br />
Agenda.<br />
– OECD och EU har gjort ett pionjärarbete. Där arbetade man<br />
fram sina regelverk för integritetsskydd före Internet, innan<br />
den uppkopplade världen slog igenom. I många ekonomier i<br />
Stillahavsregionen har processen gått i motsatt ordning. Man<br />
har hela tiden använt modern teknik, men utvecklingen har<br />
gått från isolering till dagens globalism utan att en tanke på<br />
privacy. Men nu har man ”träffats” av informationstekniken<br />
och ser vilka enorma möjligheter till handel den ger. Inte minst<br />
kan ekonomier med liten hemmamarknad finna nya målgrupper.<br />
Men man har också insett att e-handel medför enorma flöden<br />
av personuppgifter och att e-trust och e-confidence är nödvändiga<br />
för att det hela ska fungera. Marknadsundersökningar<br />
har visat att kunderna tvekar inför e-handel och att någon<br />
form av skydd för uppgifterna är nödvändigt för att åstadkomma<br />
tilliten.<br />
NÄR MAN NU SÄTTER sig ner för att diskutera gemensamma regler<br />
för integritetsskydd är det alltså inte tal om att kopiera den<br />
europeiska modellen; det handlar inte om integritetsskydd <strong>som</strong><br />
en mänsklig rättighet utan huvudmålet är bättre business.<br />
Reglerna lär inte bli så strikta <strong>som</strong> vi är vana vid. Economic<br />
benefit will contribute…<br />
– Det finns de <strong>som</strong> tycker att EG-direktivet innehåller lite väl<br />
många föreskrifter, säger Tang och ler blitt.<br />
NU FINNS TRE organisationer <strong>som</strong> på olika nivåer arbetar med<br />
förslag till gemensamma integritetsskyddsregler. Asia-Pacific<br />
DNA-register i Sverige<br />
Efter mordet på utrikesminister Anna Lindh har<br />
polisens DNA-register hamnat i fokus.<br />
Hittills är det mest inom forskningen <strong>som</strong> man har använt<br />
sig av DNA-analyser. Men under de senaste åren har<br />
polisen arbetat med att bygga upp register med DNAanalyser<br />
<strong>som</strong> de kan använda i sin brottsbekämpande<br />
verksamhet. <strong>Datainspektionen</strong> är tillsynsmyndighet för att<br />
personuppgifter behandlas i enlighet med lagstiftningen.<br />
Efter mordet på utrikesminister Anna Lindh är det många<br />
<strong>som</strong> kräver utökad registrering, andra manar till försiktighet<br />
och eftertanke.<br />
Den svenska polisen registrerar information om DNAanalyser<br />
i två olika register. ”DNA-registret” innehåller<br />
DNA-analyser <strong>som</strong> har gjorts under utredning av ett brott.<br />
Analyserna i detta register gäller personer <strong>som</strong> är dömda<br />
för brott <strong>som</strong> kan leda till fängelse i mer än två år. ”Spårregistret”<br />
innehåller analyser av DNA <strong>som</strong> polisen har hittat<br />
på olika brottsplatser, men <strong>som</strong> inte kan kopplas ihop<br />
med någon viss person. Uppgifterna i spårregistret får en-<br />
Economic Cooperation, APEC, behärskar 47 % av världshandeln.<br />
Den omfattar 21 ekonomier i Stillahavsregionen, bl.a. Kina,<br />
Japan, Ryssland, Sydkorea, Indonesien, Australien, Chile, Canada<br />
och USA. Att man talar om ekonomier och inte om nationer<br />
beror på att vissa medlemmar inte är traditionella nationer,<br />
t.ex. Hong Kong SAR, där SAR står för Special Administrative<br />
Region. Ett annat skäl är att samarbetet är strikt affärsmässigt.<br />
Huvudmålet är att förbättra och förenkla det ekonomiska samarbetet.<br />
Och för att smörja e-handeln har man nu bildat en<br />
Electronic Commerce Securing Group med en subgrupp, APEC<br />
Privacy <strong>som</strong> ska åstadkomma den önskade e-tilliten. Först ska<br />
man ta fram en gemensam plattform, därefter konkreta regler<br />
och så följer arbetet med implementering – man tycker sig känna<br />
igen det mödosamma arbetet med EU:s dataskyddsdirektiv.<br />
Liknande arbete pågår också inom en nybildad grupp, Asia<br />
Privacy Forum och inom den större och etablerade Asia Pacific<br />
Telecommunity, APT.<br />
HITTILLS HAR EUROPA varit normgivande för integritetsskyddet,<br />
men nu har alltså Asien och Stillahavsregionen börjat röra på<br />
sig. Frågan är hur västvärlden vill och kan förhålla sig när de<br />
väldiga ekonomierna nu börjar ta fram egna system och regler.<br />
EU lär knappast kunna hävda att vårt dataskyddsdirektiv ska<br />
bilda norm för världens integritetsskydd. Om den globala<br />
handeln ska fungera lär vi nog få rätta oss efter vad man<br />
kommer fram till på andra sidan klotet. Halva världshandeln<br />
försiggår ju där.<br />
– Om man jämför i vår syn på privacy med hur man ser<br />
på frågan inom EU, så finns det nog en liten, liten, nyansskillnad.<br />
Säger Raymond Tang. Och ler. Milt.<br />
Fotnot: I en tidningsartikel härförleden möttes man av rubriken<br />
”Asien nobbar Windows”. Det är Japan, Sydkorea och Kina <strong>som</strong><br />
tillsammans ska utveckla ett eget operativsystem för persondatorer.<br />
Det alltså inte bara när det gäller integritet <strong>som</strong> Asien<br />
börja bryta sina egna vägar i e-världen.<br />
KORTFATTAT<br />
dast jämföras med andra spåranalyser, med uppgifter i DNAregistret<br />
och med resultat från DNA-analyser av en person<br />
<strong>som</strong> är misstänkt för brott.<br />
Hur dessa register får användas finns reglerat i polisdatalagen<br />
(1998:662). Där framgår bland annat att DNA-analyserna<br />
enbart får användas av polisen för att underlätta identifiering<br />
av personer i samband med utredning av brott.<br />
Analysresultat <strong>som</strong> ger upplysning om personliga egenskaper<br />
får inte registreras.<br />
Det görs naturligtvis även DNA-analyser av personer <strong>som</strong><br />
senare visar sig vara oskyldiga. De analyserna får inte ingå i<br />
DNA-registret, men de förstörs inte. Enligt arkivlagen ska alla<br />
analysresultat sparas – de hamnar så småningom i Riksarkivet.<br />
Ett förslag till ny polisdatalag bereds för närvarande inom<br />
Justitiedepartementet och justitieminister Thomas Bodström har<br />
i media meddelat att frågan om en utvidgning av DNA-registren<br />
kommer att aktualiseras på nytt. Något förslag om att registrera<br />
hela befolkningen i ett DNA-register finns för närvarande inte.<br />
MAGAZIN DIREKT #3/20<strong>03</strong><br />
9
Nya regler om cookies<br />
I <strong>som</strong>ras trädde den nya lagen om elektronisk kommunikation<br />
i kraft (SFS 20<strong>03</strong>:389, se <strong>DIrekt</strong> 2/<strong>03</strong>). Där<br />
finns regler om att webbplatser <strong>som</strong> använder så<br />
kallade cookies ska informera om:<br />
✼ att webbplatsen innehåller cookies<br />
✼ vad dessa cookies används till<br />
✼ hur cookies kan undvikas.<br />
<strong>Datainspektionen</strong> har fått många frågor om cookies.<br />
Det är Post- och telestyrelsen, PTS, <strong>som</strong> är tillsynsmyndighet<br />
enligt den nya lagen och har ansvaret för<br />
att lagen efterlevs. På PTS webbplats www.pts.se<br />
finns information om cookies. Frågor om användningen<br />
av cookies kan lämpligen ställas till PTS,<br />
tfn 08-678 55 00.<br />
Kasino får ha<br />
brottsuppgifter i pärm<br />
<strong>Datainspektionen</strong> gjorde en oanmäld inspektion hos<br />
Casino Cosmopol i Stockholm för att kontrollera om<br />
man registrerade fler uppgifter än vad kasinolagen<br />
tillåter. Vid en tidigare inspektion upptäcktes otillåtna<br />
uppgifter om incidenter, t.ex. skadegörelse hot, stöld<br />
eller fusk.<br />
Nu fann inspektörerna ett datoriserat incidentregister<br />
<strong>som</strong> omedelbart raderades samt incidentuppgifter<br />
på papper insatta i en pärm. Efter<strong>som</strong> möjligheterna<br />
att söka i pärmen var begränsade ansågs<br />
inte PuL vara tillämplig på de uppgifterna.<br />
(dnr 987-20<strong>03</strong>, se även <strong>DIrekt</strong> 3/02)<br />
Kreditupplysningar tas bort snabbare<br />
Den första oktober ändrades reglerna för gallring i<br />
§ 8 kreditupplysningslagen (SFS 1973:1173). Ändringarna<br />
finns i SFS 20<strong>03</strong>:504.<br />
Lagändringen innebär att en vanlig betalningsanmärkning<br />
ska numera får sparas i högst tre år.<br />
Tidigare behövde inte uppgifterna raderas förrän tre år<br />
efter utgången av det år när anmärkningen kom till.<br />
För den <strong>som</strong> hade otur och fick en betalningsanmärkning<br />
tidigt på året kunde alltså anmärkningen<br />
vara kvar i nästan fyra år.<br />
En annan ändring i lagen medför att uppgifter om<br />
skuldsanering nu ska gallras senast fem år efter den<br />
dag då skuldsaneringen beviljades. Tidigare har sådana<br />
uppgifter kunnat bevaras i upp till nio år.<br />
10 MAGAZIN DIREKT #3/20<strong>03</strong><br />
KORTFATTAT<br />
PuL skyddar inte<br />
uthängda rattfyllerister<br />
Under rubriken‘”De hotar ditt liv” har en nättidning i Linköping<br />
publicerat en lista med 123 personer <strong>som</strong> dömts för<br />
rattfylleri och ett tiotal <strong>som</strong> dömts för övergrepp mot<br />
kvinnor. Webbplatsen <strong>som</strong> publicerar nättidningen har<br />
ansvarig utgivare och utgivningsbevis från Radio- och TVverket.<br />
Därmed skyddas sajten av grundlag på samma sätt<br />
<strong>som</strong> om den vore en vanlig dagstidning. Reglerna i PuL<br />
sätts därmed ur spel så att <strong>Datainspektionen</strong> inte kan ingripa<br />
– enligt PuL är det förbjudet för andra än myndigheter<br />
att behandla brottsuppgifter.<br />
Uppgifterna – namn, adress, personnummer och datum<br />
för domen – är offentlig handling hos Linköpings Tingsrätt.<br />
De publiceras efter<strong>som</strong> utgivaren anser att alla har rätt att<br />
få veta ”namn och vistelseort på dem <strong>som</strong> utför dessa<br />
attacker på oskyldiga människor” En av personerna på<br />
listan har nu anmält nättidningen till Justitiekanslern <strong>som</strong><br />
är åklagare i yttrandefrihetsmål.<br />
Bristfällig information<br />
hos vårdgivare<br />
NYA SKRIFTER<br />
<strong>Datainspektionen</strong> inspekterar regelbundet vårdgivare för att<br />
kontrollera hur man följer vårdregisterlagen och PuL. Nu<br />
har 13 offentliga och privata vårdgivare inspekterats:<br />
sjukhus, vårdcentraler och mottagningar. Resultatet redovisas<br />
i <strong>Datainspektionen</strong>s rapport 20<strong>03</strong>:4 Personuppgifter<br />
i vårdregister. Trots tidigare påpekanden finns fortfarande<br />
brister i den informationen till de registrerade <strong>som</strong> är<br />
obligatorisk enligt lagen. Hos sju av de tretton inspektionsobjekten<br />
saknades informationen helt. Tre hade tagit fram<br />
information, men den fanns inte tillgänglig för de registrerade.<br />
I de återstående tre fallen fanns information, men<br />
den hade brister av olika slag.<br />
Ett nytt problemområde är IT-säkerheten när man använder<br />
bärbara datorer för att göra noteringar i patientjournalerna.<br />
Anteckningarna förs trådlöst över till det fasta<br />
systemet för datajournaler. Metoden är praktisk, men det är<br />
enkelt att avlyssna kommunikationen. Efter<strong>som</strong> journaluppgifterna<br />
är mycket känsliga, krävs kryptering med hög<br />
säkerhet. De inspekterade sjukhusen<br />
använde WEP-kryptering<br />
<strong>som</strong> inte ger tillräckligt skydd.<br />
Rapporten kan hämtas på<br />
www.datainspektionen.se. En<br />
tryckt utgåva kostar 50 kronor<br />
+ moms och kan beställas via<br />
webbplatsen eller per telefon<br />
08-657 61 42.
JA! JAG VILL HA MAGAZIN DIREKT<br />
❏ med post<br />
SKRIV TYDLIGT!<br />
(Du behöver inte svara om du tidigare skickat in kupongen eller om du hämtar <strong>DIrekt</strong> via Internet)<br />
Företag/myndighet/organisation: ....................................................................................<br />
Personnamn .................................................................................................................<br />
Postadress ...................................................................................................................<br />
Jag medger att uppgifterna dataregistreras.<br />
PUL-DOMAR<br />
Stort skadestånd<br />
för hot på nätet<br />
I <strong>som</strong>ras dömdes en 20-årig nazist till 150 dagsböter för<br />
olaga hot och brott mot PuL. Han dömdes också att betala<br />
sammanlagt 466 000 kronor i skadestånd till 16 personer<br />
<strong>som</strong> han hade hotat och hängt ut på Internet.<br />
Det var <strong>som</strong>maren 2000 <strong>som</strong> den då 17-årige mannen<br />
på en webbplats hotade en 16-åring med invandrarbakgrund.<br />
Där fanns foton, namn, adress, personnummer,<br />
telefonnummer m.m. tillsammans med löftet att den <strong>som</strong><br />
”tar på sig välgärningen att befria ovannämnda person<br />
från sin misär” skulle få 12 000 kronor i belöning. Samma<br />
år publicerade han också ”Rödinglistan” på nätet med<br />
personuppgifter och foton på ett stort antal vänsteraktivister<br />
och dessutom två journalister <strong>som</strong> hade granskat<br />
den nazistiska rörelsen.<br />
Polisen gjorde husrannsakan och fann bilder och annat<br />
material. Uppgifterna <strong>som</strong> hade lagts ut på nätet kunde<br />
också spåras till den åtalades teleanknytning, men ändå<br />
förnekade han brott. ”Någon” hade glömt ett kuvert med<br />
bilder hos honom och ”någon” hade hackat sig in i hans<br />
dator och fjärrstyrt den (vilket i och för sig är möjligt,<br />
men det efterlämnar alltid spår).<br />
Linköpings tingsrätt dömde mannen mot hans nekande.<br />
Brotten bedömdes <strong>som</strong> grova, bland annat för att hotet<br />
mot journalisterna hade till syfte att tysta det fria ordet.<br />
Normalt leder sådana brott till fängelse, men rätten tog<br />
hänsyn till att mannen bara var 17 år då brotten begicks.<br />
✼ En 22-årig nazist stod åtalad för att ha fört ett register<br />
med bl.a. vänsterpartister och syndikalister. Åtalet gällde<br />
brott mot PuL, men tingsrätten i Karlstad friade. Registret<br />
förvarades i en pärm och rätten ansåg att det inte var<br />
tillräckligt systematiskt uppbyggt för att regleras av PuL.<br />
Mannen fick tillbaka sin pärm.<br />
Hur vill du ha<br />
i fortsättningen?<br />
✼<br />
På www.datainspektionen.se<br />
Vi lägger fortlöpande ut nyhetsnotiser på vår webbplats.<br />
Fyra gånger per år samlar vi ihop, redigerar och kompletterar<br />
materialet <strong>som</strong> då bildar ett nytt nummer av magazin<br />
<strong>DIrekt</strong>. <strong>Magazin</strong>en kan också laddas hem i PDF-format<br />
från vår webbplats.<br />
✼ E-post med länk<br />
Du kan prenumerera på <strong>Datainspektionen</strong>s nyheter. När<br />
något nytt publiceras på vår webbplats, t.ex. när ett nytt<br />
nummer av magazin <strong>DIrekt</strong> har kommit ut, får du <strong>som</strong><br />
prenumerant ett e-brev med en länk. Anmäl dig <strong>som</strong><br />
prenumerant på www.datainspektionen.se.<br />
✼ Med post<br />
Vi kan också sända dig en tryckt utgåva av magazin<br />
<strong>DIrekt</strong>. Fyll i uppgifterna på kupongen här nedanför och<br />
skicka eller faxa den till oss. Du kan också e-posta<br />
uppgifterna.<br />
Oavsett distributionsform är <strong>DIrekt</strong> gratis.<br />
magazin <strong>DIrekt</strong> produceras av <strong>Datainspektionen</strong>, Box 8114, 104 20 Stockholm.<br />
Tel: 08-657 61 00 (växel), 08-657 61 42 (beställningar). Fax: 08-652 86 52.<br />
E-post: datainspektionen@datainspektionen.se. Webbplats: www.datainspektionen.se.<br />
Layout: <strong>Datainspektionen</strong>. Foto och illustration: EyeQNet/Mauritius omslag, Otto Dickmeiss s. 5, Robert Källgren s. 6, Getty<br />
Images/Photodisc Green s. 8,<br />
Ansvarig utgivare: Ulf Widebäck. Redaktör: Leif Stenström. ISSN 1404-7832.<br />
MAGAZIN DIREKT #3/20<strong>03</strong><br />
Brevporto<br />
DATAINSPEKTIONEN<br />
BOX 8114<br />
104 20 STOCKHOLM<br />
11
Vart tog<br />
motståndet vägen?<br />
— Biometrin har kommit för att stanna. Vår uppgift är att försöka styra<br />
så att den kränker integriteten så lite <strong>som</strong> möjligt!<br />
UNGEFÄR SÅ lät det när integritetsskyddsfolk från hela världen hade<br />
samlats i Melbourne under rubriken The Body as Data. Vart har motståndet<br />
tagit vägen? Förr var det alltid några <strong>som</strong> höll brandtal från<br />
barrikaderna. Om rätten till anonymitet. Om balansen mellan integritet<br />
och säkerhet. Om rätten att slippa bli behandlad <strong>som</strong> potentiell brottsling.<br />
Var fanns dom nu?<br />
KRAVEN PÅ SÄKERHET driver steg för steg tillbaka kraven på integritet.<br />
Främsta argumentet är den 11 september, men också ett allt hårdare<br />
samhällsklimat. Säkerhetsindustrin blomstrar och trycker på. Bara i USA<br />
beräknas den omsätta 560 miljarder dollar på fem år. Snart ska vi ha<br />
fingeravtryck i passen. Våra irismönster kommer att kontrolleras på<br />
flygplatserna. Övervakningskamerorna blir fler och fler. RFID har blivit<br />
små sandkorn <strong>som</strong> lätt kan planteras in under huden. Till att börja med<br />
kan man ju testa metoden på dementa <strong>som</strong> går vilse…<br />
HÄR I SVERIGE har mordet på Anna Lindh kommit i säkerhetsdebattens<br />
fokus. Även här används ett hemskt brott <strong>som</strong> argument för verktyg <strong>som</strong><br />
också kan användas till att fånga småbovar. I Danmark finns också förslag<br />
om att utvidga DNA-registret. Där vill man hämta data från biobankerna,<br />
men de bygger på samtycke <strong>som</strong> kan återkallas. Så nu tar<br />
oroliga danskar ut sina prov från blodbanken och förstör dem.<br />
ETT LITET LJUS i höstmörkret kommer från EU-kommissionen <strong>som</strong> tar upp<br />
konflikten mellan integritet och säkerhet i en ny rapport: Security and<br />
Privacy for the Citizen in the Post-September 11 Digital Age*). Rapporten<br />
belyser tre områden där ny teknik skapar integritetsrisker: Identifiering<br />
(en stor del av det här numret handlar om det), positionering (man kan till<br />
exempel se var du är om du har mobiltelefon) och smarta hem (din kommunikation<br />
med allt fler datoriserade prylar läcker ut så att utomstående<br />
kan kartlägga ditt liv).<br />
SLUTSATSEN är att framtidens teknik kan komma att sudda ut gränsen<br />
mellan privat och offentligt. Rekommendationen till beslutsfattarna är att<br />
de ska begränsa säkerhetsåtgärder <strong>som</strong> medför integritetsintrång – både i<br />
tid och omfång. Påverkan av den nya vardagstekniken ska också begränsas,<br />
och medicinen heter – tekniska lösningar. Inte mycket till motstånd<br />
alltså, men alltid en början.<br />
*) Rapporten kan hämtas på www.jrc.es<br />
(JRC är EU-kommissionens Joint Research Centre)<br />
NÄSTA NUMMER KOMMER I DECEMBER.<br />
Leif Stenström<br />
DATAINSPEKTIONENS INFORMATIONSCHEF<br />
B<br />
PORTO BETALT<br />
<strong>Datainspektionen</strong><br />
Box 8114<br />
104 20 Stockholm