Skip to content
Perspektiv

Den bortglömda statliga IT-skandalen

Andersdotter bylinewebb

Brottsligheten förändras med tekniken. Men när ska staten ha rätt att ta sig in i våra datorer och telefoner? LD:s Amelia Andersdotter beskriver hur polis och åklagare i smyg försöker utveckla metoder med vilka de kränker den personliga integriteten.

I oktober 2012 blev en svensk medborgare sannolikt utsatt för ett brott. Brottet är dokumenterat, det utfördes på åklagarmyndighetens uppmaning och utreds för närvarande vid Åklagarmyndighetens utvecklingscentrum i Malmö. Eftersom brottet inte kunde anmälas förrän hösten 2016 är det hög risk att preskriptionstiden hinner löpa ut i oktober 2017. Och för åklagarmyndigheten vore det nog att föredra om åtalet kan läggas ned, för en domstolsprövning av åklagarbeslutet från 2012 kan få obehagliga konsekvenser.

Det rör sig om en så kallad »digital husrannsakan«. Det innebär att man via ett elektroniskt nätverk försöker ta över eller tar över funktioner i någon annans dator, server eller telefon. Det är inte strikt lagligt i Sverige. De lärde har tvistat sedan 1990-talets början kring huruvida vanliga husrannsakansregler kan tillämpas på digitala utrymmen på samma sätt som fysiska, eller inte. Men i en statlig utredning 2005 etablerades att ofrivillig penetration av annans IT-system var att betrakta som ett dataintrång och alltså olagligt.

Ett par försök har hittills gjorts att utreda om dataintrång bör bli ett arbetsverktyg för brottsbekämpare under utredningar, men hittills har regeringen inte föreslagit några nya lagar. Men sedan 2016 verkar regeringen mer handlingsvillig. Den har tillsatt två statliga utredningar om modernisering av husrannsakan och införande av ett nytt tvångsmedel – »hemlig dataavläsning« – som ska vara klara i september respektive november i år.

Lagliga dataintrång har fördelar för polis och åklagare: de slipper trasslet med att avkryptera bevismaterial efter att de beslagtagit en hårddisk och kan i stället komma åt bevismaterialet i realtid, samtidigt som den misstänkte. Detta då den misstänkte måste avkryptera materialet för att själv kunna läsa det.

Men det har nackdelar för privatpersoner: myndigheter kan bara komma åt andras
IT-system mot deras vilja och vetskap om det antingen finns en obligatorisk »bakdörr« in i enheten eller om de kan hacka andras IT-system. En obligatorisk bakdörr, det vill säga ett tvång på tjänsteleverantörer att lämna en kanal in i teknikanvändares kommunikation som kan användas av poliser och åklagare vid behov, skulle utsätta alla privatpersoner för risken att bakdörren missbrukas av IT-brottslingar. Men om myndigheterna blir operativt beroende av att kunna hacka privatpersoner, får poliser och åklagare incitament att motarbeta att säkerhetsbrister i slutkonsumenters mjukvaror lagas.

Samma problemen uppstår som vi under våren erfarit med WannaCry och GoldenEye, två ransomware-attacker som slog ut tusentals datorsystem i offentlig sektor världen över och som utnyttjade sårbarheter med metoder som hade utvecklats i USA. Ena dagen satt amerikanska CIA och ägnade sig åt utveckling av attackmjukvara. Nästa har attackmjukvaran läckt ut på internet och plötsligt är både sjukhus och skolor i stor IT-knipa.

I ett överklagansbeslut i brottsmålsärendet nämnt ovan från maj i år förtydligar riksåklagaren Anders Perklev att han anser att det finns en oklarhet kring huruvida hacking får användas som utredningsmetod i dag. Åklagarmyndigheten har till exempel, enligt Perklev, utfärdat en FAQ (förteckning över svar på vanliga frågor) där man ber åklagare använda metoden sparsamt. Och om det finns en FAQ från åklagarmyndigheten borde åtgärden kunna antas vara legitim, menar riksåklagaren.

Men var lämnar det dataintrånget från 2012?

Riksåklagarens perspektiv på rättssäkerhet lämnar för det första en del att önska.
Sverige är förbunden till Europeiska konventionen för mänskliga rättigheter, vars åttonde artikel om rätten till privatliv stadgar att tvångsmedel ska vara »förutsägbara«. Det kan bara med ett gott knippe fantasi sägas vara förutsägbart att en intern lista med frågor och svar på åklagarmyndigheten som uppmanar till sparsam användning av ett tvångsmedel som redan 2005 förklarats olagligt av en statlig offentlig utredning skulle göra tvångsmedlet i fråga lagligt.

Det tycks alltså i stället som att åklagarmyndigheten vill stifta sina egna lagar. Man går vidare på egen hand, trots att lagstiftaren får antas haft goda förutsättningar att skriva en lag som faktiskt gör tvångsåtgärden laglig. Den statliga utredningen som konstaterade att rättsläget var oklart kom som sagt 2005.

För det andra hemlighölls husrannsakansbeslutet som beordrade dataintrånget från 2012 av åklagarmyndigheten med hänvisning till utredningssekretess så sent som 2016. Eftersom dataintrånget inte ledde till några bevis som var värdefulla för utredningen, bokfördes aldrig hackingen i förundersökningsprotokollet. Det gör det svårare att invända mot den olagliga manövern.

Att i efterhand kartlägga omfattningen av den »sparsamma användningen« av dataintrång hos åklagarmyndigheten är med andra ord omöjligt. Och det sätter fingret på ett viktigt problem i den innevarande debatten om rättssäkerhet i Sverige.

Det förutsätts ofta, inte minst bland personer med liberala åsikter, att Sverige behöver en författningsdomstol för att höja granskningen av lagar i förhållande till de mänskliga rättigheterna. Men möjligheter att få våra författningar prövade har vi i princip redan förvärvat genom Europadomstolen och EU-domstolen.

Problem uppstår i stället för att det saknas meningsfulla möjligheter att granska hur lagarna tillämpas av myndigheter. Åklagarmyndigheten hittar på att de själva kan vidareutveckla arbetsmetoder som de inte har uppenbart lagstöd för, och både privatpersoners, medias och försvarsadvokaters möjligheter att syna är begränsade.

Det Sverige skulle behöva är starkare incitament för polis och åklagare att följa lagen och skydda medborgarnas rättigheter. Det vill säga, vi skulle behöva göra oss av med den fria bevisprövningen i straffrättsliga mål.

Utan fri bevisprövning skulle polis och åklagare tvingas demonstrera att bevis de lägger fram inför domstol framtagits på ett lagligt sätt. Domstolen skulle också tvingas verifiera att så faktiskt är fallet. Oklarheter kring lagligheten i en viss arbetsmetod hos polisen och på åklagarmyndigheten skulle då få naturliga förutsättningar att prövas, i stället för att som i dag hänga i luften.

Människor som blivit brottsoffer på grund av myndigheternas frikostiga tolkning av de egna förmågorna skulle ha bättre förutsättningar att få upprättelse. För om det i normala fall är kränkande att bli utsatt för brott, hur mycket större är då inte kränkningen när förövaren är en myndighet? Och framför allt skulle myndigheterna, så som det är tänkt i Sverige, behöva förhålla sig till vilket uppdrag de faktiskt fått av lagstiftaren.

Det sista vi behöver är en kriminell polis och åklagarmyndighet som förvärrar osäkerheten i våra redan sårbara datorer och på internet.

Amelia Andersdotter är ledamot av LD:s redaktion och ordförande i föreningen Dataskydd.net

@teirdes
amelia.andersdotter@liberaldebatt.se