About this blog…

I am employed by Netnod as head of engineering, research and development and am among other things chair of the Security and Stability Advisory Committee at ICANN. You can find CV and photos of me at this page.

As I wear so many hats, I find it being necessary to somewhere express my personal view on things. This is the location where that happens. Postings on this blog, or at Facebook, Twitter etc, falls under this policy.

The views expressed on this post are mine and do not necessarily reflect the views of Netnod or any other of the organisations I have connections to.

Vi behöver en FRA-lag!

…men inte den bunt med lagar vi har idag.

Jag skrev härom dagen en längre text som beskriver lite av hur trassligt det är när man börjar prata om mänskliga rättigheter och Internet. Och om man vill klaga på det som allmänt kallas FRA-lagen genom att hänvisa till mänskliga rättigheter måste man nog gräva lite extra, för jag tror inte många kan förklara hur saker egentligen hänger ihop. Jag själv är lite osäker på argumentationen, men låt mig försöka. Och därigenom också förklara vad jag anser man borde gjort.

De största klagomålen mot FRA-lagen är att den ger rätt till en organisation att göra slentrianmässig massinsamling av information om individers kommunikation. Och mycket riktigt talar FN’s allmänna förklaring om de mänskliga rättigheterna om detta i bl.a. Artikel 12:

Ingen får utsättas för godtyckligt ingripande i fråga om privatliv, familj, hem eller korrespondens och inte heller för angrepp på sin heder eller sitt anseende. Var och en har rätt till lagens skydd mot sådana ingripanden och angrepp.

Det finns även andra artiklar som talar om krav på bl.a. religionsfrihet, likabehandling och annat vilket implicerar, för mig, att det icke är tillåtet för någon att hålla reda på vem som har vilken religion eller vilka åsikter. Och naturligtvis är det ett faktum att om det finns en sådan risk så kan risken i sig minska personers intresse att kommunicera. Därmed skulle risken i sig kunna sägas vara ett intrång i den välkända Artikel 19:

Var och en har rätt till åsiktsfrihet och yttrandefrihet. Denna rätt innefattar frihet att utan ingripande hysa åsikter samt söka, ta emot och sprida information och idéer med hjälp av alla uttrycksmedel och oberoende av gränser.

Det är alltså en grundläggande rättighet, som landet Sverige ska försvara, att kommunicera, att vara likabehandlad etc. Men i detta ingår också att idka brottsbekämpning, och att se till att de lagar och regler som tillkommit under demokratiska former efterlevs. Att se till att krafter utanför Sverige inte kan förstöra möjligheter att leva i, verka i och bedriva verksamhet i Sverige. Och för att kunna beivra sådan verksamhet måste specifika organisationer få tillräckligt med information för att de ska vara effektiva.

Men denna informationsinsamling får alltså inte ske på ett sådant sätt att den kan anses påverka möjligheten att kommunicera (etc). Och dessa saker brukar vi kalla integritetsintrång och Per Ström har skrivit hur mycket som helst om detta. Speciellt när Staten är direkt eller indirekt den organisation som samlar in informationen.

Insamlingen och behandlingen av information måste därför ske på ett säkert sätt. Och i många diskussioner relaterat till integritet är därför svaret att insamling inte får ske överhuvudtaget. Därför att insamling och behandling inte kan ske på ett säkert sätt. Tex krävs det tillstånd för uppsättning av övervakningskameror, och tillstånd ges verkligen inte slentrianmässigt.

Frågan är därför om man kan säkra processen? Vilken process är det vi talar om förresten?

Någon har information som den som gör sammanställningen har behov av. Och de som har informationen är i Sverige till allra största delen privata aktörer. Dessa aktörer ska alltså samla in information och lämna över den till en annan aktör. Idag till FRA – Försvarets Radioanstalt.

I diskussionen som ledde fram till dagens lagar och regler koncentrerade man sig på att FRA skulle tala om vilken information de ville ha. Men, i den typ av arbete som FRA bedriver vet man av naturliga skäl inte det. Det är förändringar i trafikmönster, slutsatser dragna på statistik över all trafik förutom naturligtvis specifik information som man önskar — gissar jag, då jag inte har någon direkt insyn i vad FRA egentligen gör. Men så skulle jag göra om jag hade FRAs uppgifter.

Därför borde diskussionen egentligen ha diskuterat processen enligt vilken informationen sprids. Övervakningen av processen så att alla vet att information inte kommer på avvägar. Och naturligtvis praktiska frågor som hur informationen ska kunna lämnas över, och finansieringsfrågor.

En del av processen måste privata aktörer genomföra, och en annan del FRA. Och i båda fallen krävs insyn för att tillse att informationen inte hanteras på fel sätt. Men de som kontrollerar kan, anser jag, vara belagda med tystnadsplikt då naturligtvis arbetet måste bedrivas bakom slutna dörrar. Kontrollen skall vara att t.ex. inte fel parter kan komma åt informationen. Att enbart vissa typer av rapporter skrivs och liknande. Och en del av kraven kan vara att informationen i sig anonymiseras (el.likn.) så tidigt som möjligt i processen.

Idag är processen alltför hemlig. Ingen vet vad som sker. Det har hittats på nya ord (som samverkanspunkt) som smugit sig in här och var. Ord som inte definierats eller förklarats. Och dessa påhitt gör sannerligen inte att förtroendet för processen är bättre.

Och om tilliten och förtroendet för processen inte finns, då infinner sig den påverkan på de grundläggande rättigheterna som Sverige har som ansvar att försvara. Just för att individer inte känner att de längre kan kommunicera fritt. Att det finns risk för icke-likabehandling.

Den balans som ska beräknas huruvida ett intrång i rättigheterna har för stor kostnad har uppenbarligen inte beräknats tillräckligt noga. Har det att göra med att FRA-frågan liksom många andra sakfrågor hanterats av enbart ett departement, Försvarsdepartementet, som enbart har som ansvar att se till att FRA kan fullgöra sitt uppdrag, och att det inte varit tillräckligt mycket samarbete med andra departement med andra typer av ansvar?

Till exempel kan man fråga sig varför det inte varit mer samarbete mellan Justitiedepartementet och Försvarsdepartementet då Justitiedepartementet är ansvarig för en annat regelverk för datainsamling, nämligen implementationen av datalagringsdirektivet. Och slutligen, varför har inte Näringsdepartementet och slutligen UD med sin människorättsavdelning varit inblandad mer? Det är klart de delvis varit inblandade, men uppenbarligen inte tillräckligt. För då lovar jag att beräkningen av avvägning mellan intrång och effekt hade gjorts på ett annat sätt.