De europeiska reglerna för dataskydd och personlig integritet är tänkt att säkerställa myndighetsutövning med individens bästa i centrum. Det är dock lätt att gå vilse när man samtidigt talar om teknik och juridik. Amelia Andersdotter slår ett slag för de grundläggande medborgerliga rättigheternas ställning.
År 2012 föreslog EU-kommissionen en ny dataskyddslagstiftning. Den består av två delar: en förordning som gäller alla utom polisen, och ett direktiv som inte gäller någon utom polisen. Lagstiftning är uppbyggd kring fem enkla principer:
- Individen i centrum
Myndigheten ska utgå från att uppgifter om en person kommer från personen i fråga. En privatperson är alltid källan till uppgifter, information och slutsatser kring sig själv och sitt umgänge. - Rätt att veta
Privatpersoner har rätt att veta vad som händer med dem själva i ett myndighetsärende. - Rätt att samtycka
Privatpersoner har rätt att godkänna vem som påverkar eller försöker att påverka dem. - Dataminimering
Myndigheter ska inte samla in eller sprida mer data än vad som är absolut nödvändigt. - Kännbara straff
Den som misslyckas med ovanstående ska hållas ansvarig på ett kännbart och effektivt sätt.
I övrigt utgörs dataskyddslagstiftningen av undantagsregler, alltså instruktioner för hur man ska gå till väga när man inte vill följa ovanstående fem principer.
EU:s fem principer för dataskydd i en liberal demokrati har många fördelar. Dataminimering hjälper datasäkerheten – du kan inte läcka vad du inte samlat in. Rätten att veta, incidentrapporteringar, vilka underleverantörerna är och så vidare, möjliggör för människor att rösta med fötterna och framföra klagomål. Rätten att -samtycka minskar risken för identitetsstöld och jobbiga telefonförsäljare då myndigheter och underleverantörer inte får sälja vidare information hur som helst. Kännbara sanktioner mot dem som inte efterlever lagstiftningen gör att både privat och offentlig sektor får incitament att skapa tjänster och produkter som hjälper privatpersoner att skydda sina rättigheter.
EU-kommissionens förslag syftar till ett tydligt regelverk som tillåter utveckling av -tekniska standarder i både privat och offentlig sektor så att integritetsskyddet byggs in i systemen.
Att det är svårt att utforma informationsteknologiska standarder har konstaterats i svenska utredningar i över fyrtio år. Leverantörer har ofta högre kunskap om tekniska standarder än upphandlande myndigheter, och det har inte alltid varit tydligt för myndigheternas personal vad IT-systemen faktiskt är bra för. Lösningen har oftast varit att centralisera besluten om IT-infrastruktur. I Sverige har lagstiftningen blivit väldigt detaljerad och de statliga utredningarna är följaktligen av ganska teknisk karaktär. Detta är en olycklig förskjutning av frågan, från principer för hur våra administrativa hjälpmedel ska fungera, till detaljer om tekniska protokoll som nästan oundvikligen utvecklats av andra än myndigheterna, det vill säga företag. Resultatet blir inte heller det bra.
Under 2000-talet är det tydligt att Justitie-departementet landat i att anpassa lagstiftningen efter teknologin, inte teknologin efter principer. Både E-delegationen och Utredningen om personuppgiftsbehandling vid ISF (Inspektionen för socialförsäkringen) vill anpassa lagen efter befintliga IT-system, snarare än att se till att IT-systemen uppfyller vissa krav. Det är beklagligt, särskilt som Informationshanteringsutredningen kom fram till att IT-infrastrukturen i allt högre utsträckning definierar myndighetsverksamheten som sådan.
Presumtionen i den svenska IT-förvaltningen har hittills varit att enskilda privatpersoner inte är tillräckligt insiktsfulla för att kunna förstå den svåra tekniken och registreringen av deras egna personuppgifter. Synsättet går tillbaka till den första utredningen om data och integritet år 1972, och alla därefter följande utredningar och lagändringar om dataskydd. Sverige har flera hundra registerförfattningar för olika situationer och verksamheter, som om staten visste vad som är bäst för varje enskild individ i varje enskild situation.
Resultatet är minst sagt snårigt. Det tog exempelvis regeringen fyra år att utreda vilka registerlagar som faktiskt fanns – slutbetänkandet från informationshanteringsutredningen kom 2015 trots att utredningen tillsattes 2011. När Sveriges regering behöver fyra år av utredning och dussintals konsulterade experter för att reda ut hur svenska medborgares integritetsskydd ser ut, är det inte konstigt att privatpersonerna själva inte vet det.
När myndigheter har väldigt olika uppdrag, och samtidigt är beroende av samma IT-infrastruktur, blir kravställning och upphandling svårt. Enhetliga, tydliga krav på samtliga verksamheter underlättar utvecklingen av IT-infrastruktur för både offentlig och privat sektor eftersom man får »samma spelbräde«. En enkel princip som den om dataminimering gör också att privatpersoner själva kan hävda sina rättigheter i domstol.
EU-kommissionens ursprungliga förslag uppnår målsättningen med enhetliga krav. Det gör däremot inte den svenska linjen. Fokus på särreglering gör att både tjänstemän och politiker missar skogen för alla träd. Politikerna och myndigheterna är som fångna i ett hamsterhjul av tekniska och juridiska detaljer.
Under tre års dataskyddsreform har riks-dagen knappt sagt ett ord. Samtliga möteshandlingar från riksdagens sammanträden blottlägger en församling som okritiskt instämmer i Justitiedepartementets analyser. Riksdagen hade behövts i diskussionen allt sedan 2012.
Ge privatpersoner enkla principer om mänskliga rättigheter att förhålla sig till. Ge dem verktyg för att kunna ställa krav på företag och myndigheter att efterleva principerna.
Förhoppningsvis har våra folkvalda fortfarande tid att göra en skarpare analys av regeringens arbete i Bryssel nu när EU:s institutioner börjar röra sig mot slutmålet: en färdigförhandlad dataskyddsförordning.
Amelia Andersdotter är grundare av Dataskydd.NET
amelia.andersdotter@dataskydd.net
Twitter: @teirdes