Remiss av slutbetänkandet En reform för datadelning SOU 2023:96 (Fi2024/00259)

Föreningen för digitala fri- och rättigheter tar tillfället att yttra sig över SOU 2023:96.

Vi stödjer att göra lagen permanent, och vill tillägga följande synpunkter:

Med detta remissvar önskar Föreningen för Digitala Fri- och Rättigheter (hädanefter :DFRI), framföra våra synpunkter och ställningstaganden gällande slutbetänkandet om datadelning, en fråga av avgörande betydelse för digital utveckling och medborgarnas rättigheter.

:DFRI är positivt inställd till förslaget om att föreskriva användningen av öppna standarder, vilket framgår i ert slutbetänkande. Vi ser detta som ett viktigt steg mot ökad interoperabilitet och ökad tillgänglighet för alla aktörer på den digitala arenan. Interoperabilitet genom öppna standarder och öppna protokoll är avgörande för att främja digitala friheter och rättigheter för medborgare och invånare. Dessutom bidrar det till att förbättra konsumenträttigheterna genom att säkerställa att digitala tjänster och produkter är mer förenliga och utbytbara.

Samtidigt är vi medvetna om de potentiella riskerna med en stängd process för framtagandet av föreskrifter, särskilt när det gäller val av standarder och format. Det är av yttersta vikt att försäkra sig om att beslut om föreskrifter för användning av tekniska standarder inte fördelas på ett sätt som gynnar vissa marknadsaktörer på bekostnad av andra. Det är viktigt att ha en öppen och transparent process kring detta. Ett exempel på detta skulle vara att felaktivt föreskriva användningen av ett enskilt stängt format, såsom PDF-formatet eller formatet DOCX-formatet, för hela den svenska offentliga sektorn, istället för Open Document Format for Office Applications (ODF) som är ett öppet format på riktigt. Detta skulle inte bara inskränka valmöjligheterna för offentliga institutioner utan också eventuellt gynna en enskild leverantör på bekostnad av andra. :DFRI tycker det är viktigt att processen är transparent och tillgänglig för att säkerställa att enskilda att marknadsaktörer inte utför otillbörlig påverkan på myndighetsutövningen kring möjligheten att föreskriva för interoperabilitet.

För att säkerställa en inkluderande och öppen digital miljö är det också nödvändigt att föreskriva interoperabilitet och användning av öppna standarder för till exempel e-legitimationssystem. Genom att göra så på transparenta och inkluderande sätt kan civilsamhället och den offentliga sektorn delta utan att vara bundna till specifika lösningar som endast tillhandahålls av staten, företag eller branscher. Genom att främja och kräva interoperabilitet och öppenhet inom exempelvis e-legitimationsområdet kan vi säkerställa att medborgare och invånare har valmöjligheter och att det finns konkurrenskraftiga förutsättningar för olika e-legitimationslösningar. Detta kommer inte bara att öka tillgängligheten och användbarheten för e-legitimationstjänster utan också främja friheter och rättigheter, innovation och utveckling inom området.

Dessutom är det värt att betona att införandet av interoperabilitet kan bidra till att öka säkerheten för användarna och nationell digital suveränitet. Genom att tillåta användningen av öppna standarder kan systemen granskas mer noggrant av en bredare gemenskap av experter, vilket minskar risken för sårbarheter och informationens riktighet. Interoperabila system möjliggör också smidig integration med säkerhetsprotokoll och -lösningar, vilket kan bidra till en mer robust och pålitlig infrastruktur för Sverige. En förutsättning för detta är emellertid att interoperabilitetsåtgärderna som införs är väl genomtänkta, att riskanalyser är gedigna, och att marknaden och deltagande aktörer är mogna. Om det finns brister i detta kan det istället uppstå risker och ändamålet för interoperabiliteten bekämpar sig självt.

Vi uppmanar därför till ökad transparens och möjligheter till deltagande från civilsamhället, offentliga myndigheter och marknadsaktörer i processen för att verkligen fastställa vilka öppna tekniska standarder och öppna format för datadelning som ska användas. Genom att säkerställa en öppen och inkluderande process kan vi garantera att besluten som fattas gagnar samhället som helhet och främjar en sund konkurrens på marknaden för datadelning, digitala tjänster och produkter.

För att främja interoperabilitet och datadelning på bred front inom den offentliga sektorn är det av avgörande betydelse att även utreda möjligheten att införa tvingande bestämmelser i svensk lagstiftning som kräver att offentlig sektor, som finansieras med skattemedel, ska upphandla, återanvända eller utveckla öppen källkod istället för proprietär och sluten mjukvara. Genom att göra detta kan vi säkerställa att den offentliga sektorn inte bara prioriterar lösningar som främjar interoperabilitet och datadelning utan också skapar incitament för att främja en öppen och transparent utvecklingsmiljö. Genom att använda öppen källkod kan offentliga institutioner dra nytta av en bredare gemenskap av utvecklare och experter, vilket kan öka innovationen, minska kostnaderna och främja en mer dynamisk och konkurrenskraftig marknad för digitala lösningar. Detta är avgörande för att säkerställa att den offentliga sektorn är rustad för framtidens digitala utmaningar och kan tillhandahålla tjänster som är effektiva, användarvänliga och integrerbara över olika plattformar och system.


Remiss av betänkandet Hemlig dataavläsning – utvärdering och permanent lagstiftning SOU 2023:78

Föreningen för digitala fri- och rättigheter har beretts tillfälle att yttra sig över SOU 2023:78.

Vi avråder från att göra lagen permanent, och vill tillägga följande synpunkter:

Förslaget innebär att göra omfattande utökningar av statens maktbefogenheter permanenta. Sådana initiativ måste hanteras med stor omsorg och övervägas noggrant med hänsyn till grundlagens bestämmelser och förpliktelser till mänskliga rättigheter. En sådan bedömning måste utgå från behovet av proportionalitet och väga individens rättigheter mot samhällets intresse av säkerhet. I kontexten övervakning så har det under de senaste åren både på nationell nivå och inom unionsrätten skett många förändringar på området övervakning och tvångsmedel.  Samtliga av dessa förslag samverkar och adderar till varandra, vilket innebär att nettopåverkan på individuella fri- och rättigheter blir svåröverskådliga. Utredningen har identifierat behovet av en samlad översyn över området för tvångsmedel. Med anledning av att det idag saknas en sådan samlad bedömning konstaterar vi att en samlad bedömning av den inskränkning som förslaget utgör tillsammans med övriga lagar saknar, och proportionalitets- och legalitetsbedömningen av förslaget kan därför inte genomföras på ett meningsfullt sätt. Vi vill därför med utgångspunkt i den nuvarande komplexiteten på området och kravet på proportionalitet avråda från att göra lagen permanent utifrån försiktighetsprincipen. 

Även om lagförslaget inkluderar vissa rättssäkerhetsgarantier, kan dessa anses otillräckliga för att effektivt skydda mot missbruk. Det är svårt att garantera att endast ”nödvändig” information samlas in och att ingen irrelevant eller känslig information missbrukas eller hanteras felaktigt. Vi saknar även en tydlig process för hur rättsäkerhetsgarantierna i praktiken ska förverkligas. Det finns också en brist på transparens kring hur den hemliga dataavläsningen praktiseras, vilket gör det svårt för allmänheten att förstå och granska processen. Vidare saknar vi i utredningen uppställda garantier för vad som händer när en individs rättigheter kränks. Det saknas i utredningen tillfredsställande procedurer och föreslagen praxis för viten, rätt till skadestånd, och andra reparativa åtgärder för de som felaktigt drabbas av tvångsmedel. 

Det har framkommit en tydlig efterfrågan på ett mer systematiskt tillvägagångssätt från lagstiftarens sida när det gäller att bedöma proportionaliteten för varje förslag. Det är avgörande att varje åtgärd är rättfärdigad och inte leder till överdrivna eller obalanserade ingrepp i individens fri- och rättigheter. Vi ställer oss därför endast positiva till utredningens konstaterande att det behövs en mer enhetlig och välgrundad lagstiftning som bättre balanserar samhällets säkerhetsbehov mot skyddet för individens fri- och rättigheter. 

I tidigare remissvar till SOU 2023:22 har vi uttryckt vår åsikt om anpassningsskyldigheten för totalsträckskrypterade tjänster. Vi noterar nu att utredningen i likhet med våra tidigare kommentarer drar en slutsats som vi anser vara felaktig. Utredningen argumenterar för att tjänster bör anpassas så att hemliga tvångsmedel alltid blir möjliga, vilket vi starkt motsätter oss. 

Kryptering fyller en mycket viktig funktion för att skydda kommunikation i förhållande till externa aktörer, men de tekniska lösningarna får inte utformas på ett sådant sätt att de omöjliggör användningen av hemliga tvångsmedel. (SOU 2023:78, ss. 101-102)

Vi håller fast vid den strikta ståndpunkten att system och tjänster aldrig medvetet skall utrustas med bakdörrar, oavsett intentionerna bakom detta. Utifrån ett globalt perspektiv på massövervakning och dataskydd är det inte möjligt att föra den typen av resonemang, särskilt med tanke på världens säkerhetsläge och hotet mot mänskliga fri- och rättigheter. En bakdörr som kan användas av svensk polis för att bekämpa brottslighet kan lika gärna exploateras av makthavare i andra länder för att undertrycka demokratiska rörelser. Eftersom kommunikationssystem och tjänster idag är globala och sällan begränsas av nationella jurisdiktioner, är risken för missbruk av sådana bakdörrar betydande.

Personlig integritet, dataskydd och rätten till säker kommunikation på ett öppet Internet är samhällsbärande fundament, ovärderliga för demokratin.


Remiss av SOU 2023:61 – Delbetänkande: En säker och tillgänglig statlig e-legitimation (Fi2023/02704)

Föreningen för Digitala Fri- och Rättigheter yttrar sig här över SOU 2023:61.

Ansiktsbilder och fingeravtryck i bäraren innebär en oacceptabel integritetsrisk

Föreningen för digitala fri- och rättigheter tycker det är fel att ansiktsbild och fingeravtryck enligt förslaget ska sparas i bäraren.

För det första, utredningen konstaterar helt riktigt att om ansiktsbild och fingeravtryck ska sparas i bäraren innebär det en integritetsrisk. Däremot hävdar utredningen att det skulle vara acceptabelt med följande motivering (sid 230 i utredningen):

”Förslagen innebär dock inte att det ska vara obligatoriskt att ansöka om en statlig e-legitimation, varför skyldigheten att lämna ifrån sig integritetskänsliga uppgifter såsom ansiktsbilder eller fingeravtryck inte kan sägas stå i strid med den enskildes grundläggande fri- och rättigheter.”

Det resonemanget håller inte. Att ha någon form av e-legitimation är idag de facto i det närmaste obligatoriskt; det är mycket svårt att klara sig utan e-legitimation. Samtidigt är de dominerande lösningarna (BankID och Freja) djupt problematiska ur integritetssynpunkt. Om nu den kommande statliga e-legitimationen också är integritetskränkande, kommer det inte finnas någon utväg alls för den medborgare som vill bevara sin integritet.

Argumentet att integritetskränkning skulle vara acceptabel för att det inte ska vara obligatoriskt att ansöka om en statlig e-legitimation, är alltså ett mycket dåligt argument.

Dessutom har Myndigheten för Digital Förvaltning [Digg] i sin rapport ”En säker och tillgänglig statlig e-legitimation” tydligt förklarat varför det är orimligt att ha med biometri i bäraren. Dels kommer den biometriska jämförelsen ibland att misslyckas vilket då gör att e-legitimationen inte kan användas. Dels finns rent tekniska hinder för biometriverifiering på distans, se avsnittet ”Lösningen innefattar inte biometriska funktioner” på sidan 3 i Bilaga 3 i Diggs rapport. Den här utredningen gör ingen annan bedömning än Digg om detta, så anledningen till att biometri ändå föreslås ingå i bäraren verkar vara att utredningen har en förhoppning om att en eventuell framtida teknisk utveckling skulle göra det möjligt att använda den biometriska informationen någon gång i framtiden. Vi anser det orimligt att kränka människors integritet när det inte ens går att använda informationen idag, utan endast i ett osäkert framtidsscenario.

Sammanfattningsvis: Föreningen för digitala fri- och rättigheter tycker att grundläggande fri- och rättigheter är väldigt viktiga. Därför borde ansiktsbild och fingeravtryck inte sparas i bäraren.

Bra att den statliga e-legitimationen föreslås bygga på öppna standarder

Föreningen för digitala fri- och rättigheter ser det som positivt att utredningen föreslår att den statliga e-legitimationen ska baseras på öppna standarder.

Bra att e-legitimationen föreslås vara på ett kort och inte i en smarttelefon

Ur ett rättighetsperspektiv ser Föreningen för digitala fri- och rättigheter det som positivt att e-legitimationen tillhandahålls som ett kort, eftersom det finns personer som inte kan eller vill använda en smarttelefon.

Bra att den statliga e-legitimationen föreslås ge möjlighet för id-växling

Att den statliga e-legitimationen föreslås kunna användas för id-växling (sid 93) anser Föreningen för digitala fri- och rättigheter är bra eftersom det underlättar mycket för alternativa lösningar.

Slutligen vill vi än en gång understryka vikten av att grundläggande fri- och rättigheter skyddas. Därför borde ansiktsbild och fingeravtryck inte sparas i bäraren, som förklarats ovan. Det är viktigt.


Tack till alla ideella krafter medlemmar i eleg-projektet och DFRI som skrev remissvaret!

Läs mer om DFRI-projektet Fri- och öppen e-legitimation: https://www.dfri.se/projekt/e-legitimation/

Välkommen att bli medlem i :DFRI: https://www.dfri.se/bli-medlem/

Donera till :DFRI: https://www.dfri.se/donera/


Remiss av SOU 2023:2 Delbetänkande En inre marknad för digitala tjänster – ansvarsfördelning mellan myndigheter – Digital Services Act (DSA)

Föreningen för Digitala Fri- och Rättigheter har beretts tillfälle att yttra sig över SOU 2023:02.

DFRI har inte något att invända att Post- och Telestyrelsen utses till samordnande och koordinerande myndighet. Det finns som utredningen lyfter idag inte någon svensk myndighet som har ansvar för alla de sakområden som DSA aktualiserar. Mot bakgrund av behovet av ett stärkt konsumentskydd är det även lämpligt att Konsumentverket utses till behörig myndighet. I den uppräkning av exempel som nämns i skäl 109 i DSA angående vilka myndigheter som kan utses som behöriga framgår att flera myndigheter kan utses.

Med anledning av att rättsakten omfattar flera områden, och det finns en uttalad möjlighet att utse flera behöriga myndigheter vill dock DFRI belysa att rättsakten i sig, vilken har till syfte att reglera plattformars användning av personlig data, även för med sig djupgående implikationer för enskilda vid användningen av digitala verktyg, att övriga krav i rättsakten kan komma innebära att fler automatiserade personuppgiftsbehandlingar i syfte att uppnå efterlevnad, samköring av separata kategorier av uppgifter, och en ökad möjlighet till profilering och övervakning av enskilda registrerade. Genom kraven på insyn och öppenhet, däribland kravet på utomeuropeiska aktörer att utse en enskild kontaktperson, kan detta innebära att europeiska myndigheter ges ökade möjligheter till uppgiftsinsamling om enskilda. Genom utökade möjligheter att inkomma med förelägganden mot innehåll som anses olagligt uppstår också fler personuppgiftsbehandlingar som omfattar analys av integritetskänsliga uppgifter och profilering av enskilda som publicerar material.

Det är viktigt att notera att dessa åtgärder om de implementeras felaktigt eller används otillbörligt innebär en stor risk för den personliga integriteten och har stor potential att skada även andra grundläggande fri- och rättigheter såsom yttrandefriheten. Även med beaktande av kraven på öppenhet och transparens så finns det i rättsakten heller inga tydliga direktiv hur åtgärderna ska kontrolleras och efterlevas.

I och med kraven på skyndsamhet att radera innehåll som anses olagligt uppstår även en risk att operatörerna anlägger en strategi att summariskt radera tillåtna yttranden och publiceringar utan att faktiskt undersöka dem mer ingående. Detta riskerar skada svensk yttrande- och tryckfrihet eftersom publiceringar som anses misshagliga men inte nödvändigtvis är olagliga typiskt sett är sådana uppgifter som renderar många anmälningar och därför är i störst behov av skydd. Sådana yttranden kan även vara centrala för att väcka debatt om känsliga ämnen. Yttrande-, tryck- och informationsfriheten kommer i stor del till sitt förverkligande på onlineplattformar och i digitala kanaler, och det är därför mycket viktigt att dessa värnas i denna kontext. Hanteringen av förelägganden öppnar även för en missbrukspotential där det inte inte på ett tillfredställande sätt hur föreläggandeprocessen går till, hur öppen och transparent processen är mot enskilda vars publiceringar raderas, eller vilka möjligheter det finns att lagpröva en tolkning av vad som är en olaglig publicering.

Med beaktande av dessa risker och med hänsyn till rätten till integritet och privatliv, rätten till yttrandefrihet, och för att förebygga att rättsakten används på ett otillbörligt sätt för att ytterligare inskränka dessa rättigheter så föreslår DFRI att utredningen och lagstiftaren sätter de grundläggande fri- och rättigheterna i första rummet och utser Integritetsskyddsmyndigheten och Myndigheten för press, radio och tv som behöriga myndigheter, med ansvar för att tillse och övervaka att de grundläggande fri- och rättigheterna respekteras både i implementering och det fortsatta nationella arbetet med rättsakten. Genom att inte enbart luta sig på dessa myndigheters kunskap, utan också ge dem ett självständigt uppdrag att utöva tillsyn och yttra sig i rättsaktens införlivande och efterlevnad skapas bättre förutsättningar att hantera de risker som rättsakten innebär. Genom denna tilldelning skapas också bättre förutsättningar för myndigheterna att bedriva arbete som tillsynsmyndigheter för att t.ex. kontrollera dataskyddsförordningens efterlevnad.

Mattias Axell
Ordförande
Föreningen för Digitala Fri- och Rättigheter
https://www.dfri.se/

Länk till Regeringskansliets webbsida för denna SOU: https://www.regeringen.se/remisser/2023/03/remiss-av-sou-20232-en-inre-marknad-for-digitala-tjanster–ansvarsfordelning-mellan-myndigheter/


Lagrådsremiss om hemlig dataavläsning

Regeringen har i oktober lämnat en lagrådsremiss om hemlig dataavläsning. DFRI:s kritiska remissvar från förra året nämns flera gånger – men regeringen väljer att ändå gå vidare med ett lagförslag. Det föreslås träda i kraft den 1 mars 2020.


Misstänkta brottslingar använder allt oftare kryptering, som gör det svårt att spåra dem via de metoder som brottsbekämpande myndigheter använder idag, som exempelvis hemlig avlyssning. Därför vill regeringen få till en lag som gör det möjligt att placera spionprogram i exempelvis misstänktas datorer och mobiltelefoner. Systemskydd ska kunna brytas eller kringgås och tekniska sårbarheter ska få utnyttjas.


När förslaget kom lämnade DFRI ett mycket kritiskt remissvar. DFRI ser förslaget om hemligt dataavläsning som ett synnerligen omfattande intrång i rätten till privatliv och skyddet av den personliga integriteten. Dessutom kan verktyg som används för hemlig dataavläsning också innebära stora risker för hela samhället. Genom att aktivt söka efter eller köpa sårbarheter i informationssystem och sedan bygga verktyg för att utnyttja dessa säkerhetsluckor utsätts allmänheten för stora risker. 


I lagrådsremissen avfärdar regeringen de kritiska synpunkter som inkommit från DFRI och flera andra remissinstanser. De risker som uppstår till följd av minskad informationssäkerhet kan enligt regeringen accepteras.

DFRI anser att målet med brottsbekämpning borde vara att göra tillvaron säkrare för landets invånare, inte att utsätta oskyldiga för större risker!