Samhälle Krönika
Statlig kontroll är ingen garant för personlig integritet
Det finns i Sverige en närmast nonchalant inställning till hur personlig information samlas in och hanteras. Det märks exempelvis i debatten om Bank-id. Men ökad statlig kontroll och styrning är inte lösningen, skriver Johanna Grönbäck.
”Wow, fasiken också”, sade ansvarig vd när det hade uppdagats att 2,7 miljoner patientsamtal till 1177 legat helt öppna på internet. Det var så man skulle gå vidare, menade underleverantören, efter att Sveriges sannolikt värsta integritetsläcka hade avslöjats av Computer Sweden år 2019. Ett lättsamt halvfabrikat till svordom och ett slags hejsan-hoppsan-inställning till att man råkat tillgängliggöra sjuka människors utlämnande telefonsamtal.
Som inställning är det inte väsensskilt från hur känsliga uppgifter ofta brukar behandlas och betraktas i Sverige. Efter att Transportstyrelsen röjt sekretessbelagda uppgifter som hotade rikets säkerhet var det inte värre än att S-ministrarna Anna Johansson och Anders Ygeman visserligen petades, men snart kom tillbaka som förstanamn på valsedlarna för landets två största kommuner. Ygeman blev gruppledare och sedermera minister igen. Hans statssekreterare vid tidpunkten är i dag utrikesminister. Den dåvarande statsministerns statssekreterare är den nuvarande statsministerns statssekreterare.
Att ha hanterat känslig information på ett okänsligt sätt är med andra ord inget som betraktas som överdrivet betungande. Ett avkall och ett ”wow, fasiken också” tycks räcka ganska gott för att kunna gå vidare.
Kanske finns det där en del av ett svar på ekonomijournalisten Andreas Cervenkas krönika och fråga ”Varför är inte fler upprörda över Bank-id?” I en uppmärksammad text riktar han kritik mot hur Bank-id på flera sätt är en förutsättning för att kunna fungera som medborgare eftersom e-legitimationssystemet används för alltifrån att se provsvar till att ta emot bidrag. Problemet, påpekar Cervenka, är att Bank-id, som dominerar marknaden, ägs av bankerna och därför kan exkludera människor från tjänsten. Beroendet gör dessutom Sverige sårbart. Skulle exempelvis Rysslands cyberkrigare attackera tjänsten, finns försvaret på bankernas IT-avdelningar.
Cervenka identifierar härigenom flera märkligheter och risker med systemet. Staten har bidragit till att skapa Bank-id:s monopolliknande ställning och har underlåtit att ta ansvar för en form av id-handling som rimligen borde vara ett statligt uppdrag.
Bank-id har fungerat bra jämfört med mycket av det staten tagit ansvar för
Men Bank-id har fungerat bra. De hanterar överbelastningsattacker relativt väl och bidrar till att en mängd organisationer får relativt bra IT-säkerhet. Det är svårare att säga om flera uppdrag som staten själv tagit avsevärt större och mer aktivt ansvar för.
Patientsamtalen till 1177 (vilket kommuner, regioner och SKR indirekt äger) är ett exempel på det, Transportstyrelseskandalen ett annat. Ett tredje finns i det vårdinformationssystem som upphandlats av såväl Region Skåne som Västra Götalandsregionen, som visade sig inte kunna garantera ett säkert hanterande av patientuppgifter – vilket nu resulterat i en långdragen och kostsam process. Ett fjärde är IT-systemet Skolplattformen i Stockholms stad där en rad problem avslöjats. Ett sådant är en mamma och hennes barn som lever skyddat från pappan, men som nu fått sina uppgifter röjda när plattformen råkat skicka sms om barnets skola till pappan som familjen gömmer sig för.
Det senare fallet illustrerar tydligt vad känsliga uppgifter faktiskt betyder och vad som kan vara verkligheten bakom byråkratiskt torra formuleringar om risken för läckta personuppgifter.
Den offentliga sektorns bristande hantering av känslig information förklaras säkerligen delvis med bristande kompetens och med skeva upphandlingsregler. Men hela diskussionen om känslig information digitalt är besynnerligt politiskt förbisedd i ett land som rankas som ett av världens mest digitaliserade.
Till saken hör ett ointresse, men också något av en politisk nonchalans. Det tas lätt på denna typ av information.
I dagsläget ska vi nog vara glada över att politiken inte vill ta ökat ansvar över Bank-id
Sedan drygt två år tillbaka kräver rentav staten att teleoperatörer lagrar uppgifter om svenskars mobilsamtal, sms, mobilpositioner och e-post, så att dessa ska kunna begäras ut av polisen. Den typen av sammantagen information om rörelsemönster, relationer och umgängen gör att det går att dra precisa slutsatser om kunders privatliv, vilket också påpekats och kritiserats av EU-domstolen.
Kritiken mot hur och av vem personliga uppgifter hanteras är välkommen och behövlig. Men att personlig information stundtals hanteras på ett dåligt eller förbisett sätt i Sverige är inte så konstigt eftersom den politiska synen på hur sådana uppgifter ska hanteras tycks vara ganska nonchalant eller åtminstone bortprioriterat. I dagsläget ska vi nog vara glada över att politiken inte vill öka sin kontroll över Bank-id.