Exempel från samhället

Grundregeln är att aldrig dela med dig av information som du inte vill att andra ska få tillgång till. Men ofta är det inte så lätt. Hur mycket du vill delta i sociala medier och vilka appar du laddar ned kan du själv styra, och känns det inte bra går det att välja bort. Men det finns andra tillfällen när du har svårare att välja. Vi ska kika närmare på vilken information som några samhällsorganisationer behöver från dig och hur de uppger att de använder den.

Skolan

Allt fler skolor använder molntjänster och e-postprogram från till exempel Google eller Office 365. Det är praktiskt – lärare och elever når sina dokument från vilken dator som helst och skolan slipper problemet med att lagra dokument och e-post på en egen server. Men det finns också en risk med att förlägga lagringen externt. Leverantören av molntjänster och e-post får nämligen tillgång till den information som finns i molnet, och det är därför viktigt att inte ge dem möjlighet att använda uppgifterna för eget bruk. Elever och lärare ska kunna känna sig trygga med att deras personuppgifter inte behandlas av molntjänstleverantören för egna syften och att uppgifterna raderas från molntjänstleverantörens servrar när de inte längre är nödvändiga att spara.

Molntjänstleverantörerna är ofta större globala företag. Deras tjänster är standardiserade och inte specifikt utvecklade för den enskilda kunden. Det gäller även deras avtal som sällan lämnar något utrymme för förhandling. Kunden får i stället snällt granska avtalen och försöka avgöra om villkoren överensstämmer med de krav som finns i personuppgiftslagen.

Datainspektionen har kritiserat skolor i bland annat Sollentuna, Salem och Malmö för att det i avtalen har funnits brister i bestämmelserna om hur molnleverantören behandlar personuppgifter. Avtalen har inte varit tillräckligt tydliga utan det har funnits utrymme för egna tolkningar av vad man kan göra med uppgifterna.

– Generellt sett är transparensen ganska låg. Man vet inte hur uppgifterna behandlas hos molnleverantören. Därför ställer vi höga krav på hur avtalen är formulerade. Man måste ha avtalsvillkor som är väldigt tydliga och begränsande så att det är klart och tydligt att leverantören inte kommer att behandla informationen för egna ändamål, förklarar Ingela Alverfors, jurist på Datainspektionen.

För det är just det som är problemet när tolkningsmöjligheterna blir för vida. Det är inte säkert att molnleverantören skulle använda uppgifterna för eget bruk, men så länge det inte finns något i avtalet som hindrar dem från det finns det alltid en risk.

– När man använder sig av den här typen av molntjänster måste man räkna med att man inte längre har total kontroll över uppgifterna, och det är därför man måste vara väldigt noggrann. Man måste vara helt på det klara med vad som kommer att hända med personuppgifterna, säger Ingela Alverfors.

Begreppet ”personuppgifter” innebär inte bara namn, adress och personnummer utan all information som man kan koppla till den enskilda personen. Skolelever som skriver uppsats om sommarlov, vänner och intressen lämnar ut mer information än bara sitt namn till molnet. Och med ett otydligt avtal skulle leverantören kunna ha rätt att skanna dokumenten i jakt på mer information om varje person, kanske nyckelord som kan ligga till grund för framtida reklam.

– Man vet förstås inte om leverantörerna verkligen skulle göra det, men om man skulle tolka utifrån ett otydligt avtal så skulle de potentiellt sett kunna göra det. Som kund får man ju inte heller mycket information om vad de tänker göra med mina personuppgifter.

Personuppgiftslagen kommer ursprungligen från ett EU-direktiv. Det innebär att alla medlemsstater i EU är skyldiga att tillämpa samma lagstiftning utifrån direktivet, och samtliga medlemsländer har således någon form av personuppgiftslag motsvarande den som vi har i Sverige. Så länge personuppgifterna finns inom EU har de alltså i stort sett samma skydd, men så fort man skickar uppgifterna till företag som är baserade utanför EU är det viktigt att se till att det företaget har ett adekvat skydd för personuppgifter. Man bör veta vilka underleverantörer som företaget använder och även se till att det finns avtal som kan garantera att uppgifterna också är skyddade om de hamnar i exempelvis USA.

tipsTips!

Skydda personuppgifter utanför EU

I USA kan företag ansluta sig till Safe Harbor som är ett slags självcertifiering där man får intyga att företaget uppfyller EU:s dataskyddskrav. EU har också tagit fram standardavtalsklausuler för företag som tecknar avtal utanför EU. Klausulerna innebär att man åtar sig att skydda personuppgifter utifrån EU-direktivet. Läs mer.

Källskydd och känslig information

I Sverige står det i grundlagen att du ska kunna berätta om händelser för en journalist utan att hen röjer din identitet, så kallat källskydd. Det innebär att de noteringar journalisten gör som kan härröras till dig måste förvaras på ett så säkert sätt att de inte riskerar att bli offentliga. En redaktion som använder molntjänster måste således vara medveten om att det finns en, i alla fall teoretisk, möjlighet att leverantören läser deras filer och även sparar de gps-koordinater som bäddas in i bilder. Det är viktigt för en journalist eller fotograf att vara medveten om ifall man har tagit bilder på en plats som specifikt relaterar till en person vars identitet inte får röjas även om man bara har tänkt visa miljön och inte personen på bilden.

Även den som använder en app för att banda ett känsligt samtal måste vara medveten om att samtalet kan komma att lagras på en server som man själv inte rår över. Detta gäller inte bara journalistisk verksamhet utan även yrkesgrupper som jurister och psykologer måste vara noga med hur de sparar information om sina kunder. Det finns en mängd olika molntjänster och man kanske inte funderar så noga när man använder exempelvis Projectplace eller Dropbox. Men det är faktiskt så att man lagrar sin information hos någon annan som kan ha åtkomst till den.

Tidningen Journalisten, officiell medlemstidning för Svenska Journalistförbundet, berättar den 27 mars 2014 om en händelse i USA när Microsoft gått igenom en bloggares hotmailkonto (webbmejl) i jakt på upplysningar om läckt information kring operativsystemet Windows 8. Enligt Journalisten har Microsoft sagt till tidningen Computer Sweden att man ”förbehåller sig rätten att läsa kundernas e-post även i Sverige ’i syfte att skydda företaget’, utan att gå via domstol”. Detta finns faktiskt reglerat i företagets finstilta användningsvillkor: ”Vi kan också bereda oss åtkomst till och använda din information och ditt innehåll när vi får kännedom om brott mot avtalet för Microsoft-tjänster.”

tipsTips!

Viktig guide om källskydd

Internetstiftelsen har i samarbete Svenska Journalistförbundet givit ut internetguiden ”Digitalt Källskydd – en introduktion” av Fredrik Laurin, Petra Jankov Picha, Anders Thoresson och Sus Andersson. Skriften mycket intressant och viktig läsning för dig som är verksam inom media. Guiden är finns att läsa här.

Bank-ID och e-legitimation

Tiden när vi gick in på ett bankkontor för att betala en räkning är förbi och de flesta gör i dag sina bankärenden hemifrån. För att kunna sköta din ekonomi från din dator behöver du någon form av e-legitimation. Den vanligaste heter Bank-ID och tillhandahålls av flera olika banker. Ungefär 6 miljoner människor använder BankID och gör tillsammans över 500 miljoner inloggningar varje år. Liknande lösningar med andra namn finns också. Flera myndigheter och organisationer har också utvecklat tjänster som du själv kan utföra direkt över nätet. Genom att tjänsterna är tillgängliga dygnet runt, och utan kö, förenklar det både din och myndighetens tillvaro. Skatteverket och Försäkringskassan är exempel på myndigheter som tillhandahåller den typen av tjänster, till exempel när du ska deklarera eller ansöka om föräldrapenning. även flera kommuner har tjänster för till exempel skolval som du enkelt kan utföra när det passar dig. Men för att kunna göra det behöver du alltså kunna legitimera dig med din e-legitimation.

För att kunna använda Bank-ID kan det hända att du, beroende på vilken bank du har, måste samtycka till att man framställer rapporter och logguppgifter samt gör sammanställningar som avser användandet av tjänsten. Den typen av villkor finns inte hos de e-legitimationer som utfärdas av Nordea och Telia.
”Med registrering menas lagring, bearbetning, ändring och användning av uppgifterna oavsett media. Rapporter kan vara i pappersform, datafil eller annat medium”, står det i Skandiabankens användaravtal för Bank-ID. Men Johan Eriksson, vd på Finansiell ID-teknik som tillhandahåller Bank-ID, förklarar att inga rapporter samlas in centralt och att alla transaktioner som görs är skyddade:

– Vi kan inte se, och sparar inte, vad användaren skriver under i transaktioner och ingen statistik tas fram på personer eller grupper av personer, säger han.

– Dock är vi skyldiga att logga att en transaktion har gjorts men det tas endast fram i samband med säkerhetsutredningar under mycket strikta rutiner vid misstanke om att lagar inte följs. Men vi ser aldrig vad en användare gör.

Om du har ett Bank-ID kan du också använda e-tjänsten Mina vårdkontakter. Det är en tjänst som tillhandahålls av Vårdguiden och Sveriges landsting. Där kan du enkelt boka en läkartid eller kontakta din vårdcentral. På minavardkontakter.se uppger man att inloggningen är säker:
”De uppgifter som skickas via Mina vårdkontakter innehåller personlig information och därför har stor vikt lagts vid att skydda uppgifterna. Det innebär att ingen ska kunna ”avlyssna” eller ta del av den information som skickas. Ingen information sparas heller i de persondatorer som används för kommunikationen.

Uppgifterna behandlas som journaluppgifter och skyddas enligt patientdatalagen och offentlighets och sekretesslagen.” Det är naturligt att fundera över om din bank, som alltså har utfärdat din e-legitimation, kan se hur ofta jag har loggat in på Vårdguiden, men Johan Eriksson menar att så inte är fallet.

– Nej, det kan de inte. Det finns ingen möjlighet för dem att titta på information på enskilda personer. De ser bara totalt antal transaktioner som alla deras kunder har gjort vilket används som faktureringsunderlag, säger han.

Via mobilen

Vissa banker tillhandahåller också någon form av inloggning via telefonen, antingen en app eller också Mobilt Bank-ID. I båda fallen innebär det att användarna ska kunna utföra sina bankärenden när som helst och vid vilken dator som helst. Datainspektionen har tidigare kritiserat tre utfärdare av bankappar för att de använt fasta lösenord i apparna, något som kan ge brister i säkerheten.

– Via bankernas appar går det att se lån men också betalningar och andra transaktioner som genomförts på en kunds konton. Det gör det möjligt att kartlägga personens förehavanden i detalj, sa Datainspektionens it-säkerhetsspecialist Adolf Slama i ett pressmeddelande i samband med en granskning 2012. Därför är säkerheten extremt viktig. Man måste vara helt säker på att det är rätt person som loggar in. Engångslösenord och att bankkunden kopplar appen till en specifik smartphone i kombination med en pinkod ger högre säkerhet.

Spelbolag

Flera spelbolag tillhandahåller spel över internet. Såväl Svenska Spel, som ägs av svenska staten, som fristående aktörer erbjuder olika typer av onlinespel. För att kunna spela om pengar över nätet behöver du först registrera ett konto. I samband med det lämnar du ut vissa personuppgifter och godkänner också spelföretagets användaravtal.

Spelföretagen behöver din personinformation för att kunna administrera vinster – vet man inte vem som har spelat och vunnit kan man heller inte betala ut några pengar – och marknadsföra sina spel men även för att kontinuerligt motverka bland annat bedrägerier och penningtvätt.

Statligt ägda Svenska Spel uppger att dina uppgifter också används för ”statistiska ändamål, för forskningsändamål och i syfte att motverka problem med överdrivet spelande och för att ta tillvara andra sociala skyddshänsyn”. Personuppgifterna kan också användas för att motverka problem med överdrivet spelande genom att Svenska Spel kan ”mäta förändringar i och riskklassificera Spelkortskundens spelande samt prognostisera Spelkortskundens framtida spelbeteende. Syftet är att hjälpa Spelkortskunden att ha kontroll på sitt spelande och att vara medveten om eventuella risker för problem med överdrivet spelande.” Du godkänner också att uppgifterna sedan de har avidentifierats får lämnas ut till forskare. Svenska Spel behöver således inte fråga dig om lov inför ett specifikt projekt utan alla som har ett spelkonto registrerat kan hamna i en urvalsgrupp.

Många fristående nätkasinon är registrerade på Malta och följer således maltesisk lag, och som vi har varit inne på tidigare har Malta som EU-land regler om hur man hanterar personuppgifter. Matti Metsola, jurist på Mr Green, förklarar via e-post vikten av att välja licensierade spelsajter, just för att vara säker på att personuppgifterna skyddas.

”Vi regleras av Lotteries and Gaming Authority på Malta, som är EU:s största jurisdiktion för onlinespel, och vi omfattas av de höga krav på dataskydd som fastställts av EU:s regelverk om skydd av personuppgifter”.

I Mr Greens användaravtal finns det emellertid en punkt som reglerar att eftersom deras ”affärspartners eller leverantörer kan ansvara för vissa delar av den allmänna funktionen eller driften av Webbplatsen, kan personuppgifter komma att avslöjas för dem”. Hur de i sin tur hanterar personuppgifter framgår inte av avtalet men Matti Metsola menar att man lägger stor vikt vid underleverantörernas rykte och förmåga att uppfylla de rättsliga krav som ställs. även i kontraktet skriver man oftast in en klausul om konfidentiell information.

”En sådan klausul kräver normalt att vår leverantör inte avslöjar konfidentiell information, såsom kundens personliga information. Jag vill också påpeka att avtalet i sig är bara en liten del av den totala processen när vi väljer leverantörer. Vi lägger stor vikt vid deras rykte och förmåga att uppfylla alla rättsliga krav, och engagemang för dataskyddsskyldigheter är en absolut förutsättning”.

Om du väljer att avsluta ditt konto hos ett spelbolag ska du vara medveten om att lagen kräver att nätkasinot sparar informationen i fem år innan den får raderas.