Det finns allvarliga brister i säkerheten kring hur data om EU-medborgarnas telefonsamtal och mejl sparas. Datalagringsdirektivet måste göras om, anser experter som granskat hur lagringen sköts.
På servrar runtom i Europa lagras varje sekund nya uppgifter om medborgarnas telefonsamtal, sms och mejl. Data som visar vem som kommunicerat med vem, hur och när det skedde och var personerna befann sig – så kallade trafikdata – registreras och sparas. För det kräver datalagringsdirektivet, en mycket omstridd EU-lag (se bakgrund).
Rätt använda, kan sådana uppgifter vara avgörande för att polisen ska kunna gripa en mördare eller terrorist och förhindra brutala brott. Men samtidigt kan dessa ofantliga datamängder avslöja det mest privata om helt oskyldiga människor.
- Den här typen av uppgifter anses mycket känsliga och det är därför vi har ett omfattande regelverk för hur de ska hanteras, säger Anna Hörnlund, som är jurist på Datainspektionen.
Redan själva insamlandet av data ses som ett intrång i de medborgerliga rättigheter om skydd för privatlivet som fastslås i Europakonventionen. Kraven på säkerhet måste därför ställas mycket högt. Men i en rapport från EU-ländernas dataskyddsmyndigheter pekas en rad allvarliga brister ut.
Den hårdaste kritiken handlar om att graden av skydd som dina datauppgifter får beror på vilken operatör du anlitar. I stora drag är det så att stora operatörer klarar av att ge ett starkare skydd, medan de mindre ofta inte mäktar med detta. Skälet är helt enkelt att säkerhet är dyrt.
Svaga punkter som pekas ut i rapporten är:
- Inloggningen till de system som hanterar lagrad trafikdata,
- Autentiseringsrutiner (som ska garantera att den som loggar in verkligen är en behörig person),
- Registrering av vilka som skaffat sig tillgång till systemen och vad de gjort,
- Oklara gränser mellan system som hanterar känsliga och mindre känsliga data.
Skillnaderna i säkerhet gäller också rutinerna för hur operatörerna lämnar ut data till polisen eller andra myndigheter. Här används allt från fasta krypterade förbindelser till vanlig e-post och fax.
En annan svaghet som uppdagats är att många operatörer saknar rutiner för automatisk radering. Det leder till att trafikdata om medborgarna i praktiken blir liggande längre än de perioder som anges i lagar och direktiv.
Dessutom konstateras i rapporten att även data som inte anges i direktivet har lagrats. Det handlar om exempelvis innehåll i sms, nätadresser till sajter (url) och information i ärenderader i mejl.
Anna Hörnlund på Datainspektionen, som var med och tog fram rapporten, ser flera potentiella faror med datalagringen.
- Möjligheten att kartlägga någon ökar väsentligt. Generellt är det så att när du har informationen är det väldigt lätt att hitta ett annat användningsområde för den. Det finns också risk för att utomstående skulle kunna komma över de här uppgifterna genom intrång, säger Anna Hörnlund.
Budskapet i rapporten från dataskyddsmyndigheterna till EU-kommissionen är tydligt: Datalagringsdirektivet måste göras om. Direktivet måste ge mycket tydligare besked om:
- Minimikrav för datasäkerheten
- Vilken typ av data som får lagras
- Vem som får begära ut data.
- Vilka brott som ska betraktas som allvarliga och därför ge polisen rätt att begära ut trafikdata.
EU-kommissionären Cecilia Malmström kommer att leda en utvärdering av datalagringsdirektivet under hösten. Hon har tidigare gjort klart att hon anser att direktivet innehåller svagheter men påpekar att det inte är aktuellt att skrota direktivet dess helhet.
DISKUTERA
Vad anser du om datalagringen? Här kan du diskutera frågan.