Sedan försvann diskussionen hastigt ut i periferin och begravdes av såväl politiker som väljare. Tiden då gemene man oroade sig för att deras aktiviteter på nätet (liksom i verkliga livet) skulle övervakas, analyseras och utnyttjas för okända ändamål förpassades till historien.
BRA JOURNALISTIK ÄR INTE GRATIS
Gillar du det vi gör?
Swisha en peng till: 123 401 876 8
Tills nu.
Paradoxalt nog ersattes rädslan för övervakning och FRA-lagen med att miljontals svenskar – miljarder världen över – frivilligt började dela med sig av allt större delar av sitt privatliv. Till att börja med statusuppdateringar med lösryckta tankar varvat med bilder på vad de ätit till frukost. Sedan allt mer detaljerad information om stora delar av livet. Få tvekade över att dela med sig till världen – och därmed de kommersiella bolagen – av vilka som var deras närmsta vänner, preferenser kring allt mellan himmel och jord, vilka platser de besökte, vem de träffade och när.
Inte många orkade heller läsa de allt längre användarvillkoren som efter godkännande gav internetföretagen omfattande befogenheter att samla in ytterligare data utan att det märktes. För att belysa problemet med långa och svårbegripliga användarvillkor anordnade Norges konsumentverk ett event förra året där de högläste villkor från en rad appar som den genomsnittlige norrmannen har installerad på sin mobil. Bara Facebooks text om användarvillkor var 3 700 ord lång. Högläsningen genomfördes av 100 personer som turades om i omgångar och tog 31 timmar och 49 minuter.
Integritetsdebatten är rullning
Insprängt i textmassorna finns avsnitt som handlar om rätten att dela information från exempelvis din kalender, adressbok, fysisk plats och rörelsemönster. Till och med telefonsamtal och sms-konversationer, vilket det nu framkommit att Facebook registrerat under lång tid för de som haft den populära Messengerappen installerad.
Utan några krav på insyn eller transparens har Facebook och de andra nätjättarna med andra ord kunnat kartlägga våra liv in i minsta detalj. Tillsammans med modeller för psykologisk analys – så kallad psykometri och psykografi – på sådan nivå att det går att säga mer om dig än dina närmsta vänner och släktingar. Dina sexuella preferenser, dina politiska åsikter, din riskbenägenhet, impulskontroll, etcetera.
Hur många företag har kunnat utnyttja den här guldgruvan av information för allsköns marknadsföring? Ingen vet. Hur många partier, stater och underrättelseorganisationer? Ingen vet.
Avslöjandena om hur Cambridge analytica, med hjälp av Facebook, samlat in personuppgifter om miljontals människor för att påverka det amerikanska valet, Brexit och kanske flera andra val, har nu satt integritetsdebatten i rullning. Från att ha varit en ickefråga under snart ett decennium har skandalen återigen väckt liv i diskussionen om åsiktsregistrering och övervakning på nätet.
Den senaste veckan har rörelsen #deleteFacebook vuxit fram, där användare protesterar mot Facebooks hantering av sina användares data genom att helt lämna plattformen.
Mer än varannan svensk, 58 procent, uppger att de är oroliga för att nätjättar som Facebook och Google kommer att kunna påverka riksdagsvalet, enligt en mätning av Demoskop.
Peter Eriksson och justitie- och inrikesminister Morgan Johansson (S) ska den 13 april möta representanter för nätjättarna för att diskutera den senaste tidens kritik.
Peter Eriksson säger att han inte tycker att företagen har tagit det ansvar man kan kräva, och att det behövs nya lagar och regler.
– Vi har blivit tagna på sängen här i Sverige och Europa, vi är yrvakna, sa digitaliseringsminister Peter Eriksson (MP) till SVT:s Agenda.
Lagen är knivskarp
Samtidigt har varningssignalerna funnits länge. Och helt tagna på sängen är varken Sverige och Europa. Faktum är att en omfattande lagstiftning är på gång för att stärka konsumenternas digitala rättigheter inom EU. Den nya lagen, eller dataskyddsförordningen GDPR som den heter, träder i kraft den 25 maj och har tagits fram just med syftet att ge den enskilda individen en större insyn och därmed trygghet i hur ens personuppgifter hanteras.
I Sverige kommer GDPR att ersätta den gamla Personuppgiftslagen, PUL.
Lagen gäller för alla som behandlar personuppgifter och omställningen pågår för fullt på svenska företag och myndigheter för att anpassa datahanteringen till de nya reglerna. Samtidigt finns det fortfarande frågetecken kring vad som faktiskt behöver göras.
På vissa punkter är lagen knivskarp. Till exempel om en myndighet hackas och blir av med personuppgifter, eller helt enkelt om någon slarvar bort ett usb-minne med känsliga uppgifter, så måste det anmälas till Datainspektionen. Det här måste göras 72 timmar efter att det upptäckts – och det spelar ingen roll om det är julafton eller midsommarafton.
Givetvis ställer detta enorma krav på företag och myndigheter. Det ställer också nya krav på Datainspektionen som ska ta in alla nya ärenden (det kan röra sig om tusentals per år).
– Det är en utmaning. Det här gör ju också att många tvingas se över sina it-miljöer och hur man hittar avvikelser. Det är i förlängningen någonting bra, säger Lotta Nordström, sektionschef på Sveriges kommuner och landsting.
Lagen innebär också skärpta straff för de som bryter mot informationshanteringen. De företag som inte sköter sig riskerar böter motsvarande 4 procent av bolagets årsomsättning, upp till 20 miljoner euro.
De nya kraven kommer troligtvis att göra att myndigheter och företag i framtiden blir mycket bättre på att identifiera risker.
David Frydlinger, advokat och ansvarig för information and communication technology på advokatfirman Lindahl, säger till Computer Sweden att det inte minst är den här typen av företag, som Facebook och Google, som EU haft i åtanke när de arbetat fram GDPR. Han påpekar samtidigt att den senaste veckans händelser visar hur stor skada det kan göra om företag inte tar dataskyddet på allvar.
– Många pekar på GDPR och säger att det kommer att bli så dyrt om man inte följer reglerna – men hur mycket kostar det här Facebook i form av att ryktet tar skada? Jag tror att den senaste veckan blir en väckarklocka för att ta dataskyddet i stort på allvar, även av andra skäl än att undvika sanktionsavgifter.
Men GDPR slår också mot hur stater och myndigheter hanterar information om medborgarna. Om en insamling och lagring av en individs uppgifter riskerar att leda till identitetsstöld eller bedrägeri om de läcker ut, så måste hen informeras om händelsen. Det spelar ingen roll om det rör sig om väldigt många människor.
”Vi kommer kanske få se mer ryggar”
För att klara det måste Datainspektionen växa och få en helt ny it-infrastruktur. Man räknar med att ”personuppgiftsincidenter” kommer att strömma in. De får behålla sina gamla arbetsuppgifter samtidigt som man får nya.
– Vi ligger inte på latsidan direkt, säger Maria Bergdahl, jurist på Datainspektionen.
ETC har varit i kontakt med en av kommunerna där omställningen till dataskyddsförordningen pågår. Västerås är i full gång med en inventering för att få koll på vilka olika typer av personuppgifter som finns i deras it-miljöer.
Efter den 25 maj kommer kommuninvånarna att upptäcka skillnad åtminstone på en sak – att de allt oftare kommer att få ge sitt medgivande när personuppgifter hanteras.
– Det kommer att bli ännu mer viktigt med medgivanden när det ska publiceras foton eller skapas register. I dag upplevs det som om att ett medgivande gäller livslångt. Den nya lagen innebär betydligt hårdare regler för godkännanden och medgivanden är lätta att ta tillbaka, säger Jörgen Sandström, digitaliseringsdirektör i Västerås stad.
Han tror att många skolor får tänka om när det gäller interna webbsidor. Det gäller att bli mer försiktig med publicering av sådant som det finns risker med. Det finns ett större allvar i botten när man riskerar sjusiffriga sanktionsavgifter.
– I dag kanske det är mycket mer ansikten på bilder som publiceras. Men efter detta kanske vi kommer att få se mer ryggar. Kanske kan det bli en skillnad, säger Jörgen Sandström.
Personuppgifter är data som går att koppla till en individ. Det kan vara namn, bankuppgifter, platsinformation, foto, medicinsk information eller postadress. Exempel på känsliga uppgifter är etniskt ursprung, politiska åsikter, religiös övertygelse, genetiska uppgifter eller sexuell läggning.
Det kan finnas personuppgifter registrerade som framstår som fullständigt harmlösa.
– Även om man har flera uppgifter som i sig inte är känsliga så kan de sammantaget innebära risk för intrång i personens integritet, säger Maria Bergdahl på Datainspektionen.
När någon får in personuppgifter så handlar det om för vilket ändamål de samlas in och det finns bestämmelser för hur länge de får lagras.
– Ofta lagrar många uppgifter för att de är ”bra att ha” men man vet inte vad man ska ha dem till. Då får man tänka ”behöver jag lagra allt?”. Kanske inte. Det man inte behöver ska gallras bort, säger Maria Bergdahl.
Eftersom den enskildes integritetsskydd ska stärkas så kan GDPR vara slutet för de där långa texterna i finstilt där man inte har en aning om vad man har godkänt. Nu måste myndigheter och företag vara tydliga med vilken information som samlas in och hur den ska användas. Man får som användare i högre utsträckning också möjligheten att ändra, rätta eller radera informationen som finns.
Det stora omställningsarbetet som pågår i Sverige – från PUL till GDPR – tror Jörgen Sandström är enklare för en kommun jämfört med näringslivet. Myndigheter har alltid haft grundlagar och sekretesslagar att ta hänsyn till.
– Företagsdatorer har inte anpassats utifrån den här typen av aspekter medan vi i offentlig verksamhet redan har hårdare krav på oss. Det betyder inte att vi inte har mycket att göra. Det betyder att vi har lättare att ta oss till det, säger han.
Inom Västerås stad är det skillnader på hur enkel övergången är för olika förvaltningar. Socialtjänsten har vanan inne att hantera känsliga uppgifter medan det är nytt för kultur- och fritidsförvaltningen att se över uppgifter som tidigare ansetts harmlösa. Feltänk, misstag och slarv kan som bekant numera kosta miljoner.
– Men det finns fortfarande många frågor som man inte kan veta svaret på gällande lagen. Om vi till exempel behåller vissa uppgifter som vi tidigare har haft tillåtelse att ha, så gäller det att någon invänder mot den tolkningen och anmäler, för att en förändring ska ske. Det ska sedan utredas och så ska man komma fram till en dom. År 2019 vet vi mer hur den här lagen tolkas och vilka förändringar som krävs, fortsätter Jörgen Sandström.
Han menar att det inte är omöjligt att den nya dataskyddsförordningen kan innebära överraskningar som slår brett och kräver stora åtgärder. I dag går dock inte att förutse om eller vad det skulle kunna bli.
– Tänk dig ett scenario av typen som att Bank-id visar sig innehålla personuppgifter som inte är tillåtna. Då kan inte längre ett par miljoner svenskar logga in på sin bank. Just det där kanske inte händer. Men det är inte alltid så lätt att veta vad som ska hända. Det gäller helt enkelt att vara förberedd på att det kan hända något oförutsett, säger han.
Jörgen Sandström har jobbat länge med integritetsfrågor som rör digitalisering:
– Det är bra att den digitala integriteten får fokus så här tjugo år efter nätets intåg. Det finns en folkbildningsaspekt i detta och en aspekt av självkontroll. För vi vill ju att världen ska bli ännu mer digital, och vi vill dra nytta av den digitala tekniken. Då måste man fokusera på frågor om den personliga integriteten, säger han.
Lotta Nordström på SKL är också positiv till att integritetsfrågan får fokus.
– Vi som har jobbat med säkerhetsfrågor har tjatat om det här. De som fattar beslut kring utvecklingen har äntligen förstått att säkerheten är enormt viktig och en grundläggande förutsättning för att kunna bedriva digitalisering, säger hon.
Detta vet de om dig
1. Google sparar var du befinner dig (om inställningen inte är avaktiverad) varje gång du öppnar telefonen.
2. Det här är alla platser jag besökt i Sverige de senaste fyra åren, med detaljerad info om klockslag och resväg dit.
3. Google sparar även sökhistoriken från alla olika enheter i en separat databas, så även om du raderar all historik och rensar din mobil finns det kvar.
4. Google skapar en reklamprofil baserat på dina personuppgifter, inklusive var du varit, kön, ålder, hobbys, arbete, intressen, relationer, eventuell vikt och inkomst.
5. Google sparar information om varje app du använder, hur ofta du använder dem, var du använder dem och vilka du interagerar med (vilka du pratar med på Facebook, vilka nationaliteter du kommunicerar med, vilken tid du går till sängs, etc).
6. Google sparar även all historik från Youtube, och vet med all säkerhet om du väntar barn, dina politiska sympatier, om du är religiös, om du är deprimerad, ditt favoritlag, din sexuella läggning…
7. Google erbjuder dig att ladda ner all denna data de sparat ner om dig. I mitt fall handlar det om en fil på drygt fyra gigabyte, vilket motsvarar runt två miljoner A4-sidor.
8. Filen innehåller alla dina bokmärken, emails, kontakter, Google Drive-dokument, all information ovan, dina Youtube-videos, alla foton du tagit med din telefon, företag du handlat från, saker du köpt genom Google, din kalender, din platshistorik, musik du lyssnat på, Google books som du läst, diskussionsgrupper du är med i, alla mobiler du haft genom åren, hur många steg du går varje dag ...
9. Facebook erbjuder en liknande funktion för att ladda ner all information de sparat om dig, vilket inkluderar alla meddelanden du någonsin skickat eller tagit emot genom plattformen, alla filer du skickat, alla kontaktuppgifter i din mobil, etcetera.
10. Facebook skapar också en lista på vad de tror att du är intresserad av baserat på saker du gillat och vad du chattat med dina vänner om (jag är taggad med bland annat ”sport”, ”uppdrag granskning”, ”journalistik”, ”Borneo” och ”Malmö”).
11. De har också dokumenterat varje gång du loggat in på Facebook, varifrån du loggat in, vilken tid och från vilken enhet.
12. Alla appar som någonsin loggats in via ditt Facebook-konto finns också sparade, liksom alla annonser som du klickat på.
13. Liknande information finns även sparad och katalogiserad av exempelvis Windows, som också håller reda på var du befinner dig, vilka program du använder, vilka e-postmeddelanden du skickar, vilka webbsidor du besöker, etcetera ...
14. Om någon till exempel får tillgång till ditt Google-konto kan de alltså få en kronologisk dagbok över allt du gjort, var du varit, när och med vem de senaste tio åren.
PRENUMERERA PÅ ETC HELG
Den här artikeln kommer från veckans ETC Helg.
Vill du prenumerera för under 16 kronor numret?
Här kan du teckna en prenumeration.
