European Commission discusses “Going Dark”: Behind closed doors

EDRi and 20 organisations call on the High Level Group on Access to Data for Effective Law Enforcement for greater transparency and participation of all stakeholders.

Based on an initiative led by the former Swedish Presidency of the Council, the European Commission created a High-Level Group (HLG) made of national law enforcement representatives to discuss “access to data for effective law enforcement”, otherwise framed as the “Going Dark” challenge. The objective of this group is to find ways for the EU to legally and technically enable police forces to access more data as well as to circumvent encryption and other crucial security features of all our digital devices.

For digital rights groups, its overall political agenda is particularly concerning. The initiative is guided by the dangerously misleading concept of “security by design” introduced in the Council’s original scoping paper. This notion, although mirroring the key EU data protection obligation of “privacy by design and by default”, seems to actually serve diametrically opposed goals. It would seek to mainstream law enforcement access to data in the development of all technologies, which would be a grave encroachment in everyone’s privacy and online security.

Furthermore, these discussions are happening behind closed doors, shutting down civil society participation.

That’s why EDRi and 20 organisations call on the High Level Group on Access to Data for Effective Law Enforcement for greater transparency and participation of all stakeholders.

Read the open letter

In October 2023 several of our organisations proposed to contribute as civil society experts and participants to the upcoming activities and working sessions of the HLG given their expertise and long-term engagement with the subject matter. However, their requests were turned down and they were invited instead to submit written comments, which, if deemed relevant, could lead to a proper invitation at a later date. 

In the meantime, we learnt that several industry players have been invited to the HLG meetings. This opaque and unequal participation process that may lead to an unbalanced representation of interests can hardly achieve one of the objectives of the HLG which is “to stimulate the interactive participation of all stakeholders and the sharing of different perspectives”.

We also noticed a worrying lack of compliance with several applicable transparency requirements, which further conceals these important societal discussions from the public eye.

We call for a diligent approach to making all possible documents public and proactively engaging with civil society.


Ordförande för DFRI talar under demonstration mot Chat Control på Mynttorget 20 maj 15:00

Denna lördag 20:e maj klockan 15:00 så arrangerar DFRIKamratdataföreningen Konstellationen och 5 juli-stiftelsen en demonstration mot lagförslaget Chat Control. Det är EU-kommissionens grundlagsvidriga lagförslag om digital massövervakning. Demonstrationen sker på Mynttorget i Stockholm. Mer praktisk information finns här: ChatControl.se/demo-sthlm/

Välkommen att demonstrera och vara med när DFRI:s ordförande, Mattias Axell, håller tal om ämnet. Vad riskerar Chat Control göra med samhället och vår demokrati? Enligt DFRI är det ett hot och en fara:

Om lagförslaget godkänns är detta ytterligare ett skrämmande steg mot total övervakning och ett samhälle med kraftigt inskränkta demokratiska och digitala fri- och rättigheter. Liknande lagar hittas idag i totalitära stater, som till exempel Kina. Unicef varnar för att lagen skulle komma att hota barns integritet som skyddas av Barnkonventionen, eftersom det tar bort barnens rätt till privatliv och privat kommunikation. Dessutom går det helt på tvärs med Sveriges grundlagsskyddade yttrandefrihet, FN:s deklaration om mänskliga rättigheter, liksom Europakonventionen. Vidare finns risker med både dataläckage och spionage, vilket innebär att det inte kan ges några som helst garantier för att materialet inte sprids vidare.” – DFRI om ChatControl.

Demonstrationen arrangeras av DFRIKamratdataföreningen Konstellationen och 5 juli-stiftelsen som en protest mot de kränkningar av digitala friheter och digitala rättigheter och den övervakning som förslaget kommer att innebära för oss medborgare. Välkommen att vara med och göra din röst hörd! Kom och stå upp för att friheter och rättigheter ska gälla även digitalt – och självklart även på Internet!


DFRI intervjuade i Sveriges Radio om rätten till att ha kontantkort anonymt och säkert

Föreningen för Digitala Fri- och Rättigheter, DFRI, har i intervju med Sveriges Radio tagit ställning för rätten till anonyma ägare till kontantkort vilket nu olagliggörs i Sverige. Intervjun finns att höra hos Sveriges Radio i deras inslag hos P4 Göteborg.

Här är några synpunkter:

  • Inga understödjande EU-direktiv. Så vitt DFRI känner till så finns det i dagsläget inga EU-direktiv som tvingar denna lagändring.
  • Brist på framgångsrika exempel. Så vitt DFRI känner till så finns det inte några fullvärdiga demokratier som kan fungera som goda exempel eller ge den vägledning som ger stödjer att denna lagändring som Sverige infört ger några viktiga och konkreta resultat.
  • Brist på underliggande bevis från demokratier. Det finns inga hänvisningar till att fullvärdiga demokratier som gjort denna typ av lagändring löser fler brott. Synsättet att staten ska kunna övervaka alla människors kommunikation hör inte hemma i en demokrati. Se Wikipedia-artikeln om Demokratiindex om ”Fullvärdiga demokratier”.
  • Bryter mot mänskliga rättigheter. Att kunna kommunicera anonymt och privat är en rättighet i ett fritt samhälle, detta enligt FNs deklaration för mänskliga rättigheter. Detta gäller självklart även telefonkommunikation.
  • Alla kommunikationsmedel ska behandlas lika. Brevhemligheten är en viktig princip för kommunikation via brev. Varför gäller inte detta även för kommunikation via dator eller telefon, oavsett kontantkort eller abonnemang? Nu ändras postlagen för att kunna anmäla misstanke om olagligheter, utan att tumma på brevhemligheten, vilket är en mer rimlig lagändring. Läs mer i reportaget hos SR.
  • Brist på empiriska bevis som motiverar lagändringen. Att hävda att registrerade kontantkort ökar chansen till att lösa brott finns det inte tydliga underlag för.
  • Brottsligheten flyttar till andra kommunikationer och brottsmetoder riskerar utvecklas. Risken att kriminella flyttar till andra och mer anonyma kommunikationssätt är större. Alternativt använder andras identiteter, så kallade målvakter och gömmer sig ännu mer för polisutredningar, rättsväsendet och det demokratiska samhället i stort. Risken för ett parallellsamhälle eller skuggsamhälle utanför demokratins kontroll kan öka. Utvecklingen har sett likadan ut med övervakningskameror (som idag ibland kallas ”trygghetskameror”) där brottsmetoder vidareutvecklats.
  • Yrkesgrupper i behov av anonymitet riskerar sin säkerhet. Flera arbetsgrupper och professioner kan riskera sin säkerhet i jobbet, t.ex. politiker, journalister, poliser, säkerhetspersonal och andra som potentiellt kan råka ut för hot och våld.
  • Visselblåsardirektivet från EU med visselblåsarlagen riskerar undergrävas. Visselblåsare kanske inte vågar berätta om missförhållanden när de inte längre kan kommunicera anonymt.
  • F.d. kriminella kan få svårare att lämna sitt förflutna. Personer som lämnat en kriminell livsstil och bakgrund kan riskera att få sin identitet röjd.
  • Personer med skyddad identitet av olika skäl kan riskera sin säkerhet och hälsa. Detta blir extra känsligt om personer med skyddad identitet får sina registrerade nummer läckta efter en potentiellt lyckad cyberattack mot teleoperatörer, t.ex. ransomware-attack (kidnappningsattack) eller identiteten röjd på andra sätt.
  • Extra fara för alla personer som använder betalningstjänsten Swish. Fler oskyldiga människor kan nu utsättas för ovälkomna nummerupplysningar där förövare kollar upp nummer som är registrerade hos betalningstjänsten Swish. Trots stor risk för användare så tillåter Swish fortfarande för vem som helst att kolla upp vilket nummer som helst utan att användare kan skydda sig mot denna typ av ”nummerupplysning” när ett nummer väl är registrerat hos Swish. Detta gör att förövare och personer med ont uppsåt mot en person kan verifiera identitet på den som fått sitt nummer exponerat och därmed är identiteten för personen röjd och säkerheten riskeras.
  • Försvårar för turister och kan skada Sveriges rykte utomlands. Det försvårar för turister att enkelt skaffa ett svenskt telefonnummer vid längre besök och det kan skada Sveriges rykte och internationella anseende att upplevas som smidigt och digitalt samhälle. Dels är det alltid en bökig process med hur icke-medborgare ska identifiera sig. Vill personer kunna köpa ett kort måste de antagligen ha sina pass med sig. Det gör det mycket mer komplicerat att sälja SIM-kort t.ex. i automater på flygplatser, dela ut dem gratis, eller i förväg via postorder.
  • Risk för sämre affärer för teleoperatörer och SIM-kortsförsäljare. Lagändringen riskerar försämra ekonomin för teleoperatörer och göra det svårare för de som driver företag och annan laglig ekonomisk verksamhet som involverar telefonnummer och temporära telefonnummer.
  • Kan försvåra för integrationen i Sverige. Det försvårar även för de personer som är nya invånare i Sverige och vill etablera sig snabbt i landet där denna lagändring kan göra integrationsprocessen ännu svårare och ännu mer byråkratisk. Ett liknande exempel är hur det redan är svårt att komma igång med bankkonto och därmed digital verifiering med e-legitimation. Läs mer om problematiken vid DFRI-projektet om fri och öppen e-legitimation.

EU-domstolen nekar överföring av personuppgifter

För fem år sedan ogiltigförklarade EU-domstolen Safe Harbor och nu gör de samma sak med den snarlika efterföljaren Privacy Shield. Det är två exempel på regelverk som är tänkta för att möjliggöra överföring av personuppgifter från Europa till andra länder. Domstolen konstaterar att europeiska personuppgifter fortfarande inte är säkra under USA:s övervakningslagar eftersom dessa inte ger tillräckligt skydd för icke-amerikaner.

EU-domstolen ger samtidigt en känga till den irländska dataskyddsmyndigheten. Eftersom många amerikanska teknikbolag har sina europeiska dotterbolag på Irland är det irländska Data Protection Commission (DPC) som ska bevaka alla europeiska användares rättigheter. Istället verkar de sticka huvudet i sanden och försöka förhala så mycket de kan. Domstolen i Luxemburg slår i domen fast att DPC har en skyldighet att agera.