Cybernodens krönika

251029

Krönikör: Arman Borghem

Digitalisering och cybersäkerhet är politik

Vad är politik och vad är teknik? Molnjurist och Regulatory and Compliance Advisor Arman Borghem från Cleura erbjuder några personliga reflektioner kring denna klassiska sociologiska fråga. Arman tar upp och resonerar kring EU-domarna Schrems I och II, valfrihet mot techjättar, Chat Control och digital suveränitet. Här nedan kan du läsa Armans essä som cybermånadens ledarstick.

En blixt från molnig himmel

När Schrems II-domen kom år 2020 hade jag förmånen att arbeta på en statlig myndighet. Reaktionerna på domen i svensk offentlig sektor lät inte vänta på sig.

Som domens namn antyder var ämnet inte nytt. Den första Schrems-domen kom år 2015. Bakgrunden var att den österrikiske juristen Max Schrems  ifrågasatt Facebooks överföringar av personuppgifter från EU till USA. EU:s dataskyddsregler kräver att en verksamhet som överför personuppgifter till ett land utanför EU eller EES (ett tredjeland) säkerställer att uppgifterna får ett väsentligen likvärdigt skydd som inom EU. Om vissa kriterier uppfylls får EU-kommissionen besluta att överföringar till ett visst tredjeland är godkända – ett så kallad beslut om adekvat skyddsnivå, eller adekvansbeslut – men EU-kommissionens beslut kan bli föremål för domstolsprövning. Facebook och många andra verksamheter förlitade sig på EU-kommissionens adekvansbeslut för sina överföringar till USA.

I den första Schrems-domen ogiltigförklarade EU-domstolen EU-kommissionens adekvansbeslut för överföringar av personuppgifter till USA. EU-domstolen noterade att när ett tredjeland kan använda övervakningslagar för att komma åt överförda uppgifter, så behöver övervakningslagarna nå upp till vissa krav. Framför allt får lagarna inte vara alltför vagt utformade. En övervakningslag som kan användas under alltför vaga premisser möjliggör nämligen inte ett tillräckligt skydd mot risken att lagen missbrukas. Dessutom behöver det finnas en möjlighet till domstolsprövning för den som varit föremål för övervakning.

Hur såg situationen ut i USA, då? Det går att fråga sig med vilket självförtroende EU-kommissionen fattade sitt adekvansbeslut. EU-domstolen noterade nämligen att EU-kommissionen i beslutet inte ens slagit fast att USA säkerställer den adekvata skyddsnivå som krävs, mot bakgrund av amerikansk lagstiftning och landets internationella åtaganden. EU-kommissionen hade därför fattat adekvansbeslutet på otillräckliga grunder.

Efter Schrems I-domen fattade EU-kommissionen ett nytt adekvansbeslut, trots att det inte hade skett några väsentliga förändringar i amerikansk övervakningslagstiftning. Max Schrems inledde därför ett nytt mål som kom att kallas Schrems II. Det hade samma utgång som det första: EU-domstolen ogiltigförklarade även EU-kommissionens andra adekvansbeslut. Den här gången analyserade EU-domstolen amerikansk övervakningslagstiftning, särskilt Foreign Intelligence Surveillance Act sektion 702 (FISA 702). USA använder FISA 702 för underrättelseinhämtning mot utländska mål. EU-domstolen konstaterade att den amerikanska lagstiftningen inte nådde upp till kraven i EU:s rättighetsstadga.

Schrems I hade alltså knappt fem år på nacken när uppföljaren hade premiär. Ändå kunde det låta som att Schrems II just hade slagit ner som en blixt från klar himmel. På många håll beskrev verksamheter hur de plötsligt ställdes inför svåra gråzonsbedömningar.

Rättsligt kan påpekas att det är få saker som ger så fast rättspraxis som en dom från EU-domstolen. Ja, det skulle förstås vara om EU-domstolen säger samma sak två gånger.

Ändå uppfattade många verksamheter att de inte hade något val. De behövde fortsätta använda sina inköpta tjänster som överförde personuppgifter till USA, oavsett om det bröt mot GDPR. En begriplig inställning, åtminstone på kort sikt. Svårare att förstå var bristen på insikt om kopplingen mellan verksamheternas köpbeteende över tid och den situation de befann sig i. Många verksamheter agerade därför inte för att förändra sin situation på medellång och lång sikt. Konsekvenserna av det ser vi än idag.

Ett tveeggat svärd

EU:s regelverk för tredjelandsöverföringar har en inneboende logik. Europeiska tillsynsmyndigheters muskler kan ha svårt att nå länder utanför EU, vars lagstiftning dessutom ofta ger ett svagare rättighetsskydd. Skyddsnivån för personuppgifter skulle därför undergrävas om överföringar utanför EU tilläts hur som helst.

En mindre självklar del av regelverket gäller vem som får besluta att ett tredjeland generellt är godkänt för överföringar av personuppgifter. EU-kommissionen, som även representerar EU internationellt, får efter en omröstning bland EU:s regeringar besluta att ett tredjeland uppfyller en så kallad adekvat skyddsnivå. Då är det fritt fram för verksamheter i EU att överföra personuppgifter dit, till gagn för den internationella handelns utveckling och vårt gemensamma välstånd.

Enligt GDPR ska EU-kommissionen beakta en rad aspekter, inte minst tredjelandets respekt för rättsstatsprincipen, innan beslut fattas. Efter Schrems II-domen torgförde EU-kommissionärerna för rättsliga frågor samt värden och öppenhet ändringar i amerikansk lagstiftning som vägen framåt för att USA skulle säkerställa ett tillräckligt skydd. Då skulle EU-kommissionen kunna fatta ett tredje – den här gången hållbart – adekvansbeslut. Det slutade med att vi fick ett nytt adekvansbeslut, men inga amerikanska lagändringar. Därmed som bäddat för en tredje rond i EU-domstolen, alltså.

I praktiken är det svårt att värja sig från slutsatsen att EU:s adekvansbeslut – det finns i skrivande stund åtminstone 15 stycken – färgats av handels- och säkerhetspolitisk hänsyn. I vissa lägen kan det ligga i EU:s realpolitiska intresse. Går det att dingla adekvansbeslutens lov framför en utländsk handelsdelegation kan det ge EU bättre tillträde till en viss marknad.

Men när det andra landet är USA blir styrkeförhållandet det omvända. EU-kommissionens makt över adekvansbesluten tycks då snarare bli som att stoppa ett tveeggat svärd i händerna på kommissionens förhandlare. Det blir möjligt att pressa EU till eftergifter som egentligen inte borde ges.

När USA:s president Joe Biden och EU-kommissionens ordförande Ursula von der Leyen år 2022 tillkännagav en principöverenskommelse om ett nytt, tredje adekvansbeslut, så var det på en presskonferens som mestadels handlade om hur mycket amerikansk naturgas EU lovat att köpa.

I mars fick Sverige en nationell strategi för cybersäkerhet. I den står att läsa:

”Det kan vidare innebära allvarliga risker om många organisationer är beroende av samma tjänst eller system… Konsekvensen av att licensavgifter höjs, eller att tjänster upphör, riskerar också bli stora … Vid sådan oligopol- eller monopolställning minskas också kundens flexibilitet och valmöjligheter, till exempel möjligheten att nyttja alternativa tjänster vid pågående incidenter. Beroenden av digitala produkt- och tjänsteleveranser från organisationer baserade i tredjeland, kan både vara olämpliga och utgöra en sårbarhet som kan användas som politiskt påtryckningsmedel.”

Ömsesidiga beroenden kan vara ömsesidigt gynnsamma.Problemen uppstår när den ena vågskålen tippat över. Obalansen i styrkeförhållandet mellan EU och USA ligger delvis i EU:s beroende av amerikanska teknikleverantörer och i synnerhet deras molntjänster.

Europeiska verksamheter som gav EU-domstolen eller rentav Max Schrems skulden för Schrems II-domens konsekvenser har alltså anledning att reflektera. Det hade inte blivit någon dom om inte EU-kommissionen hade fattat ett adekvansbeslut på rättsligt felaktiga grunder. EU:s medlemsstater hade i sin tur sannolikt inte instruerat EU-kommissionen att fatta beslutet om det inte vore för EU:s starka beroende till USA. Ett beroende som de klagande verksamheterna ofta själva bidragit till att skapa, befästa och försvara.

Apropå tredjelandsöverföringar till USA hörde jag en gång en verksamhetschef säga ”Vi gör inte geopolitiska bedömningar.” Det lät som ett påstående och en uppfordran. Frågan är om det blev mer än en from förhoppning.

USA:s maktmedel

En fråga som lyfts på senare tid är den makt USA:s regering har att skära av Europas tillgång till amerikanska molntjänster. Det har talats om alltifrån möjligheten att stänga ner Danmark på en timme till en on/off-knapp för delar av svensk statsförvaltning.

I Sverige har leverantörer till den amerikanska ambassaden – däribland Stockholms stads stadsbyggnadskontor – fått kravbrev om att upphöra med sitt inkluderingsarbete. Oppositionsborgarrådets reaktion: ”Det är [ambassaden] som är beroende av vår sophämtning, vår värme och vår avloppshantering. Så att vill de göra sig av med den, ja då säger jag bara lycka till.” Vän av ordning undrar hur det skulle låta om ambassaden svarat att det väl vore synd om Stockholms stad inte längre kunde använda amerikanska moln.

Jag tror inte att det mest sannolika scenariot är att USA skär av hela Europa från amerikanska molntjänster över en natt. Det hade enat oss på ett sällan skådat sätt. Troligare är istället att länder och verksamheters beroenden av olika slag används som ett påtryckningsmedel för att utkräva eftergifter.

I juli gick EU med på de högsta amerikanska tullarna mot Europa på nästan 70 år, och lovade att göra omfattande inköp av amerikanska varor, i princip utan någonting i utbyte.

USA har dessutom stoppat sina vapenleveranser till Ukraina, men istället gett Europa ett erbjudande vi inte kunnat tacka nej till: att själva köpa amerikanska vapen, för att sedan skicka dem till Ukraina.

Rätt till privatliv eller insynsskyddad dataekonomi?

Ibland hävdas att den personliga integriteten är en förutsättning för att nya digitala tjänster ska etableras och vinna användarnas förtroende. En beskrivning som stöter på patrull när vi tittar på facit.

Tjänster av olika slag har vuxit sig mycket stora, även i EU, alldeles oavsett användarnas förtroende för tjänsternas hantering av personuppgifter. Hur förklaras annars exempelvis TikToks eller Facebooks framgångar, där ingen vet hur användarnas uppgifter används och flödar – inte ens bolagen själva? I själva verket tycks många ha offrat sin personliga integritet för att inte hamna utanför en gemenskap, en tidsanda eller ett samtal mellan vänner.

Ibland har användarna bokstavligen inget val – som när Google insisterade på att få använda skolelevers personuppgifter för sina egna kommersiella ändamål (skolorna använde Googles molntjänster för skolan). Danska skolor tog Googles parti – och menade att det hela inte var så farligt. Google ändrade sig först efter att en förälder fört en mångårig kamp som slutade med att den danska tillsynsmyndigheten ställde ett ultimativt krav mot skolorna. Efter en svår förhandling ingick Google och kommunerna ett avtal som ledde till att fallet avslutades. Vad de egentligen kom överens om får vi dock inte veta – avtalet är till stora delar hemligstämplat.

Övervakningsförslag i EU

Ett annat område där en form av tvång aktualiseras kommer inifrån EU: förslaget om det så kallade Chat Control 2.0. En panel diskuterade nyligen frågan på Cybercampus konferens CyberSweden 2025 i Göteborg, och berörde den då senaste versionen av lagförslaget.

Förenklat innebär förslaget att den som vill kunna skicka bilder i en meddelandeapp först kan tvingas acceptera att varje bild kontrolleras i syfte att upptäcka material med sexuella övergrepp mot barn. Kontrollen skulle ske automatiserat och lokalt på användarens enhet, innan eventuell kryptering av meddelandet. Flaggade bilder skulle sedan genomgå mänsklig granskning. Förslaget väcker allvarliga frågor som bl.a. rör rätten till privatliv, dataskydd och yttrandefrihet. Det blev särskilt tydligt vad gäller meddelandeappen Signal, vars representant Udbhav Tiwari, Vice President Strategy and Global Affairs, deltog i panelen.

Enligt lagförslaget ska leverantörer av meddelandeappar bedöma om vissa användargrupper är mer riskabla än andra, och om de därför bör omfattas av kravet på kontroll för att få skicka bilder. Som tjänsteleverantör saknar emellertid Signal så gott som all kunskap om vem som använder appen. Det är hela syftet – att användarna ska vara så anonyma som möjligt i förhållande till Signal, och att deras kommunikation skyddas från utomstående insyn. Om Signal inte kan värdera olika användargruppers riskprofil, betyder det att samtliga användare måste omfattas? Tiwari konstaterade att Signal hellre skulle lämna den europeiska marknaden än att delta i kontrollsystemet. I Sverige används Signal bland annat av Försvarsmakten.

Personlig integritet kan beskrivas som en människas privata, skyddade sfär. Kommunikation genom meddelandeappar – också via bilder – har blivit ett mycket vanligt sätt att kommunicera på. Signals kryptering fungerar så att när ett meddelande väl har krypterats på avsett sätt, så kan endast den avsedda mottagaren dekryptera meddelandet – inte ens Signal som tjänsteleverantör kan läsa meddelandet i klartext. Om vissa typer av meddelanden ska kontrolleras innebär det att den privata sfären punkteras, eftersom appens avsedda krypteringskydd kringgås. Som användare kan vi inte vara helt säkra på vilka meddelanden som flaggas. Risken är därmed uppenbar att det uppstår en naggande rädsla för att kontrollsystemet ska slå larm på felaktiga grunder, eller missbrukas av myndighetspersonal eller av en obehörig tredje part.

Situationen kan jämföras med när polisen satte upp en bevakningskamera precis utanför ett lägenhetsfönster. Ett digitalt filter i kameran skulle säkerställa att endast parken nedanför filmades, inte lägenheten. Ändå kände de boende ett lättförståeligt obehag. Precis som kontrollfunktionen i en meddelandeapp är ett digitalt kamerafilter osynligt för den enskilde individen. Vi vet att övervakning pågår – men saknar insyn i och rådighet över om allt går rätt till. Hur vet vi att filtret alltid sitter kvar? Att det inte tagits bort eller ändrats, av misstag eller avsiktligen?

Det vore naivt att tro att övervakningslagar aldrig skulle missbrukas. Även efter Edward Snowdens avslöjanden år 2013 har en rad skandaler briserat. Så sent som år 2023 framkom exempelvis att FBI gjort fler än 278 000 otillbörliga sökningar i en databas med information som samlats in med stöd av FISA 702. Det är en lag för underrättelseinhämtning som kan användas för att tvinga amerikanska molnbolag att ge tillgång till data. Detta och andra exempel på missbruk har jag skrivit om här.

I Europa får det rättsliga skyddet mot otillbörlig övervakning ses som starkare än i USA, även om det inte är perfekt. EU-domstolen har agerat mot europeiska övervakningslagar förut. År 2014 ogiltigförklarade EU-domstolen EU:s datalagringsdirektiv. Förenklat tvingade direktivet telekombolag att lagra trafikdata om telefonsamtal och internetanvändning, men inte innehållet i kommunikationerna. Det får förmodas att endast en mycket liten del av dessa uppgifter skulle vara intressanta för brottsbekämpande och andra myndigheter. Vi bör därför kunna anta att sannolikheten skulle vara låg att en enskild persons uppgifter skulle lämnas ut.

Ändå ogiltigförklarade EU-domstolen hela direktivet – det var ett alltför stort hot mot våra grundläggande rättigheter till privatliv och dataskydd. EU-domstolen ansåg att ”den omständigheten att lagringen av uppgifterna och den senare användningen av dem sker utan att abonnenten eller den registrerade användaren är underrättad om detta [kan] ge de berörda personerna en känsla av att deras privatliv står under ständig övervakning.”

I senare mål har EU-domstolen även noterat att övervakning kan påverka yttrandefriheten, när övervakningen gör så att människor avstår från att kommunicera fritt. Domstolen har också slagit fast att rättsliga garantier mot missbruk är av särskilt stor betydelse när personuppgifter behandlas automatiserat.

Ett Chat Control-förslag som förutsätter en omfattande automatiserad kontroll av människors meddelanden kan leda till att EU-domstolen kommer till samma slutsats som den tidigare gjort med datalagring: att övervakningen blir alltför vidsträckt, och påverkar rätten till privatliv, dataskydd och yttrandefrihet på ett sätt som strider mot EU:s rättighetsstadga.

Även i Sverige finns ett lagförslag som syftar till att myndigheterna under vissa omständigheter ska få tillgång till meddelanden i meddelandeappar. Går lagförslaget igenom har Signal uppgett att de lämnar Sverige.

Digitaliseringen är politisk – vare sig vi vill det eller inte

Myndighetschefen, de klagande verksamheterna, glada SaaS-utvecklare och oskyldiga användare av sociala medier och meddelandeappar. Få är de som vill att deras inköp och användning av digitala tjänster ska ses som politiska beslut. Men digital suveränitet – eller bristen på densamma – är politik, och påverkar oss vare sig vi vill det eller inte. Vilka it-tjänster vi köper och använder är en del av detta, och är därmed också politik.

Arman Borghem

Regulatory and Compliance Advisor

Cleura, en europeisk leverantör av molninfrastruktur