Många gånger har jag hört att det är av historien som man förstår framtiden. Aldrig har det varit så tydligt för mig som när jag läste Nexus A Brief History of Information Networks from Stonage to AI av Yuval Noah Harari.

I Nexus väver Harari ihop hela världshistorien med vår informationshantering. Texten flyter mellan händelser i historisk tid och nutid. Mönstren växer fram, sambanden finns där överallt.

Harari är professor i historia, specialiserad på medeltiden och krigshistoria, men Nexus är inte någon klassisk historiebok utan en bok om oss, vår kommunikation och vårt samhälle.

Redan i prologen beskriver Harari två polariserade sätt att förhålla sig till information. Enligt det ena betraktelsesättet innehåller information sanningen och ju mer information vi har desto närmre sanningen kommer vi. De som tillhör motpolen bryr sig inte om om informationen är sann eller inte och ifrågasätter inte sällan om det finns en objektiv sanning. Däremot anser de att informationen i sig är viktig för den ger makt.

Med Nexus vill Harari visa att det finns ett mellanting, han skriver:

Information isn’t the raw material of truth, but it isn’t a mere weapon, either. There is enough space between these extremes for more nuanced and hopeful view of human informaton networks and of our ability to handle power wisely. This book is dedicated to exploring that middle ground.

För att vi ska förstå vad det innebär att vi numera har en maskin som kan dra egna slutsatser och självständigt fatta beslut går Harari igenom hur informationsteknologin, i dess mycket vida bemärkelse, påverkat oss som individer och samhälle från lertavlor till dagens AI.

Ett exempel är hur katolska kyrkan förändrades när de började använda radioutsändningar som nådde ut över hela världen. Påven fick en ny starkare position när han kunde tala till hela katolska kyrkan samtidigt.

Ett annat exempel är när tryckkonsten kom till Europa, vilket ledde till att fler kunde få del av samma information. Men det var inte vetenskapliga skrifter av män som Copernicus och Gallileo som fick den stora spridningen. Bestseller blev The Hammer of the Witches av en österrikare vid namn Heinrich Kramer. Den kom ut första gången 1487 och det blev sedan många utgåvor. I boken beskrev Kramer häxorna och hur de skulle avslöjas och bekämpas. Dessa (oftast) kvinnor ägnade sig åt sataniska konspirationer, sexuella orgier, kannibalism och barnamord. Harari skriver att det vore en överdrift att påstå att tryckkonsten orsakade häxjakten i Europa, men däremot spelade den en central roll i den snabba spridningen av idén om en global satanistisk konspiration. Häxprocessen ledde till att 40 000 – 50 000 oskyldiga torterades och avrättades, en del av dem var små barn. Idag är det inte via tryckpressen som dessa konspirationsteorier sprids utan via sociala medier.

Med modern teknik kan budskap färdas med en annan hastighet och kontroll utövas på en annan nivå. I Nexus berättas om Maryam, en 52-årig kvinna som tappar sin scarf när hon lyfter in kassar i sin bil. Hon får direkt ett meddelande via SMS. I meddelandet står det att hon brutit mot lagen om kravet på att bära slöja och att hon inte får köra bilen på 15 dagar. Det är ett automatiskt övervakningssystem med ansiktsigenkänning som har reagerat. Det används i Iran för att kontrollera att kvinnor bär sin huvudbonad korrekt och som direkt utmäter en påföljd för dem som missköter sig.

Är Nexus en dystopi? Nja egentligen inte. Harari ger många oroande exempel på vad som sker med hjälp av modern informationsteknologi och på vad som kan komma att ske. Samtidigt är syftet med boken inte att få oss att avstå från den, utan att välja klokt. För att kunna ta tillvara nyttan av tekniken behöver vi hantera riskerna.

En viktig del i att motverka negativa effekter är, enligt Harari, att erkänna att alla kan vara felbara och att även tekniken kan fela. Det innebär att det behöver finnas starka självrättningsmekanismer. För AI föreslår han att självständiga, starka institutioner bildas som har den funktionen och att det dessutom behövs skapas AI som kan övervaka AI.

Behovet av att kunna se allt och allas felbarhet finns i hela samhället. För en demokrati är de fria valen en viktig självrättningsmekanism, men det finns andra mekanismer som kanske till och med är viktigare. Harari nämner särskilt media, rättsväsendet och de vetenskapliga institutionerna och hur väsentligt det är att dessa står starka och fria.

När nyheterna visade bilder i höstas på parlamentsledamöter som sprang uppför trappen till parlamentsbyggnaden en våldsam och orolig kväll i Seoul, tänkte jag på vikten av starka självrättningsmekanismer. Hur betydelsefulla både den utformade ordningen och individerna var för demokratin.  

När nyheterna rapporterar från USA tänker jag samma sak. Hur viktigt det är med självständiga, starka självrättningsmekanismer för att en demokrati ska vara hållbar. Men medan jag blev glad av att se bilderna från Sydkorea, blir jag sorgsen och oroad av vad som händer i USA. Grundläggande funktioner raseras, statsanställda mister sina jobb, för att de gör sitt jobb och presidenten anser sig inte bara ofelbar utan använder dessutom sin makt till att trakassera.  

Det är inte något nytt att informationen påverkar våra samhällen och att informationen därför hanteras på olika sätt beroende på vad man vill uppnå. I välfungerande demokratier är önskan att informationen flödar i många oberoende kanaler och att många ska kunna ta del av informationen, processa den och fatta egna beslut. I den totalitära staten är strävan att all information ska passera ett centralt nav och att inga institutioner ska fatta självständiga beslut.

Hur kommer det påverka oss att det idag är så mycket enklare att samla och bearbeta information. Klarar demokratierna att stå emot lockelsen att med hjälp av tekniken ägna sig åt kontroll och styrning? Eller kommer totalitära stater få svårare att undanhålla obekväm information för den breda massan? Vad innebär det för vårt samhälle att sociala medier använder algoritmer för att maximera användning och uppmärksamhet. Precis som på häxprocessernas tid är det polarisering, hat och våld som får vår uppmärksamhet.

Ett av de sista avsnitten i NEXUS handlar om datakolonialism. Världen förser ett par länder med stora mängder råvara – data. Det gör dem rikare och oss andra fattigare. Det är en ny form av kolonialism där råvaran inte har getts något ekonomiskt värde, men ändå skapar enorma rikedomar.

Harari ställer frågan – vad händer när ditt land upptäcker att det är helt beroende av digitala infrastrukturer och AI-styrda system över vilka landet inte har någon kontroll.

I epilogen skriver Harari att det är en myt att the arc of history bends towards justice, det är tvärtom helt öppet åt vilket håll historien går, men så fortsätter han:

The good news is that if we eschew complacency and despair, we are capable of creating balanced information networks that will keep their own power in check.

Det är alltså vårt jobb – att med AI skapa informationsnätverk som är i balans och som kontrollerar sin egen styrka.

LIBRIS - Nexus : en kort historik över informationsnätverk från stenåldern till AI

Yuval Noah Harari

Yuval Noah Harari

15 augusti 2024

AI 14986–782 döms för vårdslöshet i trafik och vållande till annans död till sex månader fängelse.  AI:n har kört personbil på Torggatan i Lillköping och körde då av oaktsamhet på Tant Strosa, vilket ledde till att Tant Strosa dog.

Vad innebär ansvarfull AI? Hur ska samhället reagera när en AI orsakar allvarlig skada eller till och med någons död? Vem ska ta ansvar? Kan det bli så i framtiden att en AI själv får ta ansvar för sitt agerande? Det finns många möjligheter med kraftfull teknik, men den utmanar också det traditionella samhället.

Straff är vårt skarpaste verktyg för att sätta gränser. Att beröva någon annan livet hör, av uppenbara skäl, till det som samhället inte kan acceptera och därför straffas personer som av uppsåt eller oaktsamhet berövar någon annan livet. Jag kommer, mycket förenklat, testa straffrätten för att se hur användbar den för olika ansvariga. De olika varianterna består i att AI:n är straffrättsligt ansvarig, att någon människa som övervakar körningen är ansvarig eller att det är någon annan involverad som är ansvarig.

Men först en mikrokurs i straffrätt. Brott och straff hör ihop och som straff använder vi i Sverige fängelse eller böter. Det finns andra påföljder, men grundformerna är fängelse och böter. I Sverige kan bara fysiska personer begå brott, alltså människor och inte verksamheter. Ett brott innehåller olika rekvisit som ska vara uppfyllda för att det ska anses vara ett brott. De objektiva rekvisiten handlar om det man gjort eller det man inte gjort men borde ha gjort. De subjektiva rekvisiten handlar om uppsåt eller oaktsamhet. Alltså vad man hade för avsikt, alternativt vad man insåg skulle kunna hända eller om man slarvat. För många brott krävs det uppsåt. Det framgår av bestämmelserna om oaktsamhet är tillräckligt för att straffas.

Efter denna minikurs är frågan hur väl fungerar straffrätten om AI själv ska bära det straffrättsliga ansvaret. Den första utmaningen är att AI:n är en maskin och inte en fysisk person. AI:n kan alltså inte straffas utifrån de regler vi har idag. För att kunna straffa AI måste vi inrätta en ny rättsfigur. Cecilia Magnusson Sjöberg (länk till LinkedIn), professor i rättsinformatik vid Stockholms universitet, har föreslagit att en ny rättsfigur införs som kallas ”digital person”.  Det skriver Cecilia Magnusson Sjöberg bland annat om i sitt avsnitt Algoritmerna och rättssäkerheten – juridik, administration och teknik måste väga lika i antologin AI & makten över besluten. Att införa en ”digital person” räcker emellertid inte för att kunna straffas måste den digitala personen också ha ett straffansvar. Eftersom vi inte kan straffa juridiska personer – till skillnad från många andra länder – skulle straff för en ”digital person” vara en stor förändring.

LIBRIS - AI & makten över besluten :

LIBRIS titelinformation: AI & makten över besluten : vad alla borde veta om algoritmer i offentlig sektor / Maja Fjaestad, Simon Vinge (red.).

AI & makten över besluten :

Nästa utmaning blir själva gärningen. Att AI:n framfört fordonet och kört på Tant Strosa går antagligen lätt att visa. Varför AI:n körde på henne kan bli betydligt svårare att svara på. Tolkade AI:n hindret fel, hade AI:n för hög hastighet, var AI:n tränad felaktigt eller var det fel på bilen?

Sedan ska det subjektiva rekvisitet prövas. Kan AI ha en avsikt, en vilja? Hur utröner man i så fall det? Kan en AI förhöras?  Språkmodeller kan vi kommunicera med, men en AI som framför ett fordon har inte samma verbala förmåga. Och även om vi kan kommunicera och få ett svar, vad betyder svaret? För såväl vårdslöshet i trafik som vållande till annans död är oaktsamhet straffbart. Oaktsamheten är ofta lättare att bedöma utifrån iakttagelser om hur man agerat eller inte agerat och hur man borde ha agerat om man varit aktsam. För att bedöma oaktsamheten behöver den också ställas i relation till vilken risk som förelegat. Bilkörning innebär höga risker och det är väl reglerat hur man ska bete sig i trafiken, så om AI:n agerat oaktsamt när AI:n körde på Tant Strosa på Torggatan borde det vara möjligt att visa det utifrån hur AI:n har kört.

Så kommer frågan om straffet. Vad innebär fängelse eller böter för en maskin? Här börjar jag känna att exemplet är absurt. Jag har svårt att se hur man på ett meningsfullt sätt kan beröva AI:n frihet, ta ifrån AI:n tillgångar eller förvänta sig att AI:n ska känna skam och skuld. Det är dessutom vi människor som vill ha en säker och bekväm transport, varför skulle maskinen vi använder ansvara för det. Att peka ut en maskin som straffrättsligt ansvarig är snarare ett sätt att ducka för ansvaret.

Den andra varianten, att någon fysisk person har det yttersta ansvaret för framförandet av fordonet, föreslås i en promemoria från regeringen om Automatiserad körning. Enligt förslaget till förordning om trafik på väg med typgodkända helautomatiserade fordon ska den som aktiverar det automatiska körsystemet anses som förare av fordonet. 

Promemoria Automatiserad körning

I promemorian föreslås en ny förordning om helautomatiserade fordon för att uppfylla kraven i kommissionens genomförandeförordning (EU) 2022/1426 a…

Regeringskansliet

Även om den föreslagna lösningen skiljer sig minst från nuvarande rättsläge tycker jag att den också har komplikationer. Den avancerade AI -tekniken brukar ofta liknas vid en svart låda eftersom vi inte kan genomskåda vad AI:n använt för underlag eller hur AI:n resonerat för att komma fram till sin lösning. Bilkörning är kanske i detta sammanhang ovanligt transparent om det finns någon ansvarig som sitter i bilen. Den personen ser samma omgivning och kan följa med i alla manövrar. Om AI:n kör in i Lillköping i hög hastighet är det inte svårt att agera om man har möjlighet att ta över körningen.

Mer problematiskt är det om AI:n bromsar men inte tillräckligt, eller om AI:n fattar helt fel beslut och gasar istället för att bromsa. Den uppmärksamhet och reaktionsförmåga som personen bredvid behöver ha i en sådan situation överstiger antagligen vad vi normalt kräver av en aktsam bilförare. Lägger vi till att AI:n har kört fläckfritt i timmar, så blir det en närmast heroisk insatts om bilföraren hinner avvärja påkörningen. Kan vi då påstå att det är oaktsamt om den som övervakar bilkörningen misslyckas? Jag är också frågande till om en övervakning av AI:n kan likställas vid att ”anses vara förare av fordonet”.

Den tredje varianten är juridiskt mer komplicerad. Det handlar om att någon ska ta ansvar för en gärning eller underlåtenhet utan att ens vara där. Den möjligheten finns i straffrätten idag. Det kan till exempel vara frågan om att ansvara för en produkt eller en anställd som orsakar en skada.  Den som hålls som straffrättslig ansvarig måste fortfarande ha brustit på något sätt och den bristen måste ha ett orsakssamband med det som inträffar. Den ansvarige ska också ha uppsåt eller vara oaktsam.

Vem kan på detta sätt ansvara för Tant Strosas död? Är det AI-utvecklaren, biltillverkaren, leverantören eller bilägaren. Skulle vi efter olyckan finna att exempelvis biltillverkaren haft vetskap om att AI:n tränats fel och visat dåliga resultat vid tester bland annat vad gäller inbromsning för hinder i vägen så är det inte långsökt att säga att ansvaret borde ligga hos biltillverkaren. Men är inte träningen av AI:n utvecklarens ansvar eller är det leverantören som beslutat att bilen skulle ut på marknaden som ska vara ansvarig? Bilindustrin är global och består ofta av många led, med många involverade, vilket gör det svårt att hitta och lagföra individer.

Ett alternativ är att säga att det i varje land ska finnas en utpekad ansvarig och händer det något är det den personen som är ansvarig. Fortfarande behöver den ansvarige av uppsåt eller oaktsamhet brustit och bristen ska ha samband med vad som sker. Det innebär att om den utpekade faktiskt inte har något inflytande så går det inte att utkräva något ansvar.

Det är också svårt att blunda för att samhället tar en medveten risk om samhället tillåter helautomatiserade fordon på allmänna vägar trots vetskapen om att AI:n kan agera oförutsägbart. Det är en sak att låta en enskild person ansvara för en uppenbar nonchalans, som exemplet ovan när testerna visat dåliga resultat, men att ge någon enskild ansvar för en risk som samhället medvetet tagit är något annat.

Det finns andra regler utanför straffrätten som kanske enklare kan användas för att lösa frågan om ansvar. Exempelvis kommer EU:s AI förordning att ställa stränga krav på AI som bedöms utgöra hög risk. Fördelen att använda dessa regler är många. De är specifikt utformade för AI, de är inte nationellt begränsade, de riktar sig mot organisationer och inte individer.  Att företag inte kan begå brott är inte samma sak som att de inte kan begå lagöverträdelser. Enligt AI-förordningen kan dessutom lagöverträdelser bli belagda med sanktioner.

Men, och det är ett viktigt men, de ställer inte någon till ansvar för Tant Strosas död.

Tant Strosa ska givetvis ha samma rättsliga skydd oavsett om det är en människa eller en AI som kör bilen. Extra tydligt blir det om vi istället för Torggatan i Lillköping placerar färden på Drottninggatan i Stockholm en fredag. Det är det subjektiva rekvisitet som skiljer mellan vårdslöshet i trafik och ett mord, ett terroristdåd. Att inte utröna avsikten bakom ett agerande som lett till någons död är därför inte acceptabelt i ett rättssamhälle.

Skulle inte straffrätten vara tillämplig när AI självständigt framför ett fordon innebär det att vi inte längre har tillgång till det starkaste verktyget för att skydda samhället och enskilda individer. Att enbart ha ekonomiska pålagor som ansvariga verksamheter kan kalkylera med är inte tillräckligt när riskerna för enskilda är stora.

Den avancerade AI:n kommer att vara en utmaning för straffrätten, men den utmaningen behöver antas.

Tips om fördjupning: Computing and Moral Responsibility (Stanford Encyclopedia of Philosophy)

Computing and Moral Responsibility (Stanford Encyclopedia of Philosophy/Spring 2023 Edition)

DN:s avslöjande om polisanställda och polisstudenter som läcker uppgifter till gängkriminella har fått många att reagera kraftigt. Polisledningen kallas till justitieministern som talar om lagskärpning och rikspolischefen säger att det funnits en farlig naivitet inom rättsväsendet.

DN granskar: Polisläckorna – så lockas poliser att läcka till kriminella - DN.se

Alla de senaste nyheterna om DN granskar: Polisläckorna från Dagens Nyheter. Här hittar du alla artiklar om DN granskar: Polisläckorna från dn.se.

Följ Följer

Nyheterna är upprörande, det är svårt att ta till sig hur någon som arbetar med så viktiga uppgifter kan vara så illojal och falsk. Men borde vi bli förvånade? Vi vet att det i alla sammanhang finns de som av olika skäl använder uppgifter de har tillgång till på ett otillåtet sätt. Ofta är det av nyfikenhet, ibland av privata eller ekonomiska intressen. I polisfallen har lojaliteten flyttats över till den andra sidan, till den sida som rättsväsendet har i uppdrag att bekämpa, vilket gör det extra stötande.

Det är inte bara individer som missbrukar sin tillgång utan även verksamheter. Såsom förra året när ett tandvårdsbolag med åtkomst till Försäkringskassans system för tandvårdsstöd gav ett telemarketingbolag åtkomst till uppgifterna i marknadsföringssyfte. Privatpersoner som blev uppringda reagerade över att telefonförsäljaren hade kännedom om deras tandläkarbesök och tandvårdskostnader.

Personuppgiftsincident

Försäkringskassan lämnar nedanstående information på grund av en händelse som innebär att personuppgifter kan ha röjts på ett otillbörligt sätt.

FörsäkringskassanFörsäkringskassan

Samtidigt som vi oroas för att data inte behandlas tillräckligt konfidentiellt får vi nya regleringar både nationellt och på EU-nivå som rör datadelning. I december kom exempelvis betänkandet En reform för datadelning (SOU 2023:96) som handlar om interoperabilitet inom det offentliga. Förra veckan överlämnades ett slutbetänkande Delad hälsodata – dubbel nytta (SOU 2024:33) om ett smidigt sätt att kunna dela hälsodata mellan vårdgivare.

En reform för datadelning

Utredningen om interoperabilitet vid datadelning har överlämnat sitt betänkande till regeringen.

Regeringskansliet

Delad hälsodata – dubbel nytta

Utredningen om infrastruktur för hälsodata som nationellt intresse har analyserat och föreslagit ändamålsenliga och samhällsekonomiskt effektiva…

Regeringskansliet

Det sunda i att kunna dela data är att våra myndighets- eller organisationsgränser inte är självklara. Den effektivaste arbetsmetoden är inte slutna kärl. Exempelvis är en viktig del i förslaget om att dela hälsodata att det skapas en statlig styrning för att ensa både datan och hanteringen så att det går att på ett rimligt sätt dela den. Den spretighet som vården har i sin information skapar både onödigt arbete och risker för patienterna. Att det behöver byggas bort är en självklarhet.

Andra skäl till datadelning är att man vill förhindra brott mot välfärdssystemet såsom olika typer av bedrägerier. Det betyder att myndigheter och andra berörda behöver få dela information om de kriminella eller potentiellt kriminella och deras förehavande.

Det målas upp en bild att lösningen på bedrägerierna kommer om de "goda" kan dela all information som behövs för att bekämpa de "onda". Jag förstår behovet och jag förstår önskan om en effektiv lösning, men en hake i detta är att man inte vet vem som är "god" eller "ond". Gucci-kepsen är en dålig markör. Vet vi inte vem som kan tänka sig begå ett brott blir vi alla potentiellt kriminella och allt och alla behöver kontrolleras. Det leder till att mycket data behöver delas kors och tvärs.

Strävan att dela data är svår att förena med att anställda läcker uppgifter och att verksamheterna har stora utmaningar att skydda sin information. Om det är svårt att förebygga risker för otillåten användning av data i den egna verksamheten hur gör man det i ett kluster av olika organisationen som har olika syften, kulturer, regler och tekniker. Och hur hittar man bland alla dessa aktörer den som missbrukat tillgången när data har läckt.

I vissa situationer kan informationsspridningen vara ett litet pris för det vi tjänar. Jämför vi exempelvis risken för olaga dataintrång eller brott mot tystnadsplikten med att rädda liv så kan valet tyckas lätt. Men all vård handlar inte om livräddning och information som läcks till gängkriminella kan orsaka att liv tas.

En ökad delning medför också att cybersäkerhetshoten ökar. Fler användare, fler ingångar ökar sårbarheten även för yttre attacker och om så sker är det större mängder data som exponeras. Samhället blir mer sårbart.

Vi behöver också komma ihåg för vem samhället är byggt. Enskilda kan välja att inte lämna information eller använda viktiga tjänster om förtroendet brister. Vilka uppgifter är man beredd att lämna till polisen om uppgifterna vidarebefordras direkt till de kriminella? Hur talar man till sin läkare om sina besvär om man samtidigt talar till hela vårdsverige?

De risker som kommer med ökad delning av data måste hanteras. Det innebär att samtidigt som vi ökar tillgången måste vi begränsa den. Begränsningen handlar om vilka uppgifter som ska delas, till vem, varför, när och hur och hur detta följs upp. Denna riskhantering får inte bara vara en pappersprodukt, utan den måste vara effektiv och fungera i realiteten. Tipslämnaren eller patienten måste också kunna få ett ärligt svar på vilka som kan komma att ta del av deras uppgifter.

Vi kan inte bygga in sårbarheter och sedan bli förvånade att de utnyttjas. Det är farligt naivt.

På den tiden då modemen lät som tröskverk och diskussionen fördes om internet var en fluga hade jag, som åklagare, ett mål om kvinnomisshandel i tingsrätten. Kvinnan berättade om våld och hot från sitt ex, men också att varje gång hennes ex varit hos henne krånglade datorn. Jag frågade exet om den krånglade datorn. Svaret jag fick var inte alls vad jag väntade mig. Jag trodde att han skulle svara att han inte visste vad hon pratade om. Men det gjorde han inte, han svarade att det berodde på att han kopplade bort internet när han var där. Varför undrade jag. För att hon skrev till andra män på nätet var svaret. Jag frågade om detta var hennes lägenhet, om han hade flyttat därifrån och om det var hennes dator. På alla dessa frågor svarade han ja. Då frågade jag igen varför han kopplade bort hennes internet, på hennes dator, i hennes bostad. Han tittade på mig med en trött blick. Det har jag redan förklarat sa han, hon skrev ju till andra män.

Där och då gick det upp för mig vilken maktfaktor det låg i att äga kunskap om den moderna tekniken och att det bara skulle accelerera. Hur mycket det skulle accelerera hade jag ingen aning om.

Idag har vi uppkopplade lampor, kylskåp, övervakningskameror, elektroniska dörrlås, uppkopplade bilar och mobila enheter som t.ex. smartphones och smarta klockor. Vill någon ha kontroll i en parrelation finns oändliga möjligheter att kartlägga allt som den andra parten gör. När lamporna tänds, kylskåpet öppnas, när familjen kommer och går och var bilen åker och var den stannar. De mobila enheterna är särskilt bra om man vill veta var någon är, eftersom vi ofta bär dessa med oss. Många av våra uppkopplade föremål har också kameror och mikrofoner. Praktiskt, inte bara för den funktion de är avsedda för, utan också för den som vill ha kontroll.

Det behöver inte finnas någon bakomliggande illvilja för att det ska uppstå en obalans. En stor utmaning ligger i att paren ofta inte är jämbördiga. Inte sällan är det en person - mannen - i relationen som har det tekniska kunnandet. Det är han som installerar de uppkopplade systemen och kvinnan blir en passiv användare. Det kan bli en källa till frustration även i de bästa av relationer. Obalansen är ofta påtaglig mellan den som glatt upptäcker och vill använda alla möjligheter som det uppkopplade samhället ger och den som irriterar sig på att kökslampan måste tändas med mobilen som ligger på laddning någonstans i huset.

Att dela med sig av sin position frivilligt kan vara både praktiskt och ge en känsla av trygghet. Att dela med sig av sin position för att någon annan vill ha kontroll är för de flesta kränkande. Att inte veta om, när eller hur man är övervakad är ännu värre. För alltför många kvinnor består den största otryggheten i att den man som hon har eller haft en relation med vet var hon befinner sig.

Brottsförebyggande rådet (Brå) har precis kommit med statistik för 2023 (www.bra.se). Av den framgår att gällande den vuxna befolkningen (från 18 år och uppåt) anmäldes ungefär lika många misshandelsbrott mot kvinnor (30 559) som misshandelsbrott mot män (30 652). Däremot skiljer det beträffande vem som anges ha utfört misshandeln. Kvinnor anges ha blivit misshandlade av närstående i 81 % av de anmälda fallen, medan för män är motsvarande procentsiffra 43 %. Vidare anger Brå att tio kvinnor dog 2023 efter att ha utsatts för dödligt våld i nära parrelation, det är samma antal som 2022.

Långt ifrån allt våld anmäls, men våldet är ändå mer synligt än trakasserier, hot, förföljelse och kontroll. Denna typ av övergrepp har sällan någon tydlig början eller slut och kan vara svåra att urskilja. Hade mannen i rättegången förnekat att han gjort något med datorn, så hade antagligen slutsatsen blivit att det var en tillfällighet. Kanske hade även kvinnan tvivlat på sin iakttagelse och trott att hon såg samband som inte fanns. Ageranden som är så lätta att förklara bort, men som orsakar den drabbade så mycket lidande.

Att övergrepp mot närstående, framförallt i parrelationer, främst begås av män och riktar sig mot kvinnor är väl dokumenterat. Det är inte heller svårt att hitta underlag som visar att kvinnor är i minoritet inom techsektorn. Enligt TechSverige — en bransch- och arbetsgivarorganisation för företag inom techsektorn — var 32 % av de som arbetade i branschen 2022 kvinnor. I denna procentsiffra är alla inräknade oavsett roll. Samtidigt har TechSverige beräknat att det fram till 2028 kommer behövas ett tillskott på 18 000 specialister inom tech årligen. (www.techsverige.se) Statistikmyndigheten SCB har statistik som visar att det vanligaste yrket för män 2022 var mjukvaru- och systemutvecklare. Av de närmare 100 000 som arbetade som mjukvaru- och systemutvecklare var 80 % män. Bland de tio vanligaste yrkena för kvinnor samma år finns inget yrke inom teknikområdet. (www.scb.se)

Problemet med att för få kvinnor arbetar med IT lyfts bland annat i antologin Felkod kvinna — när kvinnorna saknas i den digitala utvecklingen. I boken skriver ett antal kvinnor med olika erfarenheter inom IT, varför kvinnors förhållningssätt till digitalisering drastiskt måste förändras. I boken nämns både kända och mindre kända kvinnliga pionjärer inom programmering. Dessa tidiga kvinnliga förebilder borde ha banat väg för en jämställd bransch, men så har det inte blivit. Ann-Therése Enarsson (länk till LinkedIn) skriver i antologin (s. 33).

En bransch som går miste om kvinnliga erfarenheter, kompetenser och perspektiv är inte hållbar.

Jag delar den uppfattningen, att kvinnor lämnar den digitala utvecklingen till män har betydelse och kommer att få betydelse. Med det säger jag inte att kvinnor är en homogen massa där alla kvinnor tänker lika. Det går inte att säga på individnivå hur en kvinna, en man eller den som identifierar sig däremellan resonerar. Men på gruppnivå har mångfalden betydelse. För lite mer än hundra år sedan fick kvinnor rösträtt efter en lång kamp. Idag ser vi det som självklart att kvinnor är med och bestämmer hur samhället ska utformas. Därför borde det vara lika självklart att kvinnor är del av den digitala utvecklingen.

Det kan verka långsökt och provocerande att koppla ihop IT-utvecklingen med mäns övergrepp mot kvinnor, men jag menar att det finns ett samband som vi behöver bli medvetna om. Tekniken ger förmågor både på gott och ont och hur dessa förmågor används påverkar det samhälle vi lever i, men också hur vi lever våra privata liv. Den moderna tekniken är så nära kopplad till kontroll att det tekniska kunnandet med automatik också blir en maktfaktor. Det behöver därför finnas en medvetenhet när produkter och tjänster utformas kring såväl hur dessa kan brukas som hur de kan missbrukas.

Vi kan som ett exempel ta ett kodlås för hemmabruk. I detta exempel införskaffar mannen i huset kodlåset. Ett lås som också kan låsas upp med personliga brickor. Det är mannen som väljer att låset ska kopplas upp mot nätet och registrera in- och utpassager. Det är också han som samtycker till den behandling av personuppgifter som genereras hos företaget som tillhandahåller produkten och tjänsten, det är han som får informationen och som vet vilka uppgifter som kommer lämnas, när och till vem. Övriga i familjen får sina respektive brickor av mannen och han förklarar hur de ska använda dem. Det här exemplet är påhittat av mig och kanske är det inte så här det går till. Utmaningen i detta exempel är inte heller tekniken i sig, utan i att familjen behandlas som en enheten som kan företrädas av en person. Mannen ska givetvis inte samtycka åt sin hustru/sambo eller sina vuxna eller halvvuxna barn, han ska inte heller ta emot informationen om personuppgiftsbehandlingen å deras vägnar. Även om utmaningen inte är tekniken föreställer jag mig att tekniken kan lösa det genom att alla användare, i vart fall vuxna användare, personligen registrerar sin bricka eller personliga kod och anger vilka uppgifter som ska delas med vem och hur.

För att uppnå ett tryggare samhälle, en tryggare vardag för alla behöver tekniken vara transparent och valmöjligheterna tydliga och enkla att förstå. Att genom tekniken skapa möjlighet till delaktighet även för dem som inte är teknikkunniga är viktigt. Det gäller IT generellt och inte bara Internet of Things.

Ett område som det talas mycket om idag är artificiell intelligens (AI). Lyssnar man på debatten verkar alla ense om att AI påverkar oss mycket och kommer påverka oss ännu mer i framtiden. Däremot råder det stor oenighet kring hur AI kommer påverka oss. Vissa utmålar dystopiska framtidsscenarier och andra ser fantastiska möjligheter där AI ger oss hälsa och massa fritid. Men AI är inte i sig ond eller god. Inga Strümke (länk till LinkedIn) skriver i boken Maskiner som tänker - Algoritmernas hemligheter och vägen till artificiell intelligens (s. 190)

..teknologi inte är någon urkraft vi utsätts för. All teknologi utvecklas för att lösa problem (det är själva avsikten med teknologi). Vilken effekt teknologi har på samhället är därför beroende av samhället som utvecklingen sker i.

Inga Strümke anger i boken (s. 87) att könsfördelningen globalt bland alla som arbetar inom AI är 80 % män och 20 % kvinnor. Det är med andra ord ett område där kvinnor på samma sätt som IT-branschen i övrigt överlämnat det mesta åt männen. Om algoritmerna skrivs av i huvudsak män, saknas halva jordens befolkning i denna viktiga utveckling.

Ger vi männen den digitala arenan, så blir det männens framtid. Männen kommer att sitta på kunskapen och kontrollen både i hemmet och i samhället. Att vi får in mer mångfald, fler kvinnor i IT-branschen är viktigt för oss alla!

Felkod kvinna — Stockholms stadsbibliotek

Felkod kvinna (Bok)

Stockholms stadsbibliotek

Maskiner som tänker — Stockholms stadsbibliotek

Maskiner som tänker (Bok)

Stockholms stadsbibliotek

Måndagen den 18 februari 2019 ringde min telefon i ett – Computer Sweden hade avslöjat att en stor mängd hälsouppgifter från samtal till 1177 låg öppet på internet. Jag var enhetschef på Datainspektionen och medias intresse var stort. Nu har medias intresse för 1177-läckan svalnat, Datainspektionen har bytt namn till Integritetsskyddsmyndigheten (IMY) och jag har lämnat myndigheten. Ändå är händelsen, fem år efter Computer Swedens avslöjande, aktuell på nytt då kammarrättens meddelat sin dom rörande MedHelp.

2,7 miljoner inspelade samtal till 1177 Vårdguiden helt oskyddade på internet

Computer Sweden avslöjar: alla telefonsamtal som ringts till 1177 sedan 2013 och som tagits emot av vårdentreprenören Medicall har legat helt öppet som ljudfiler på en oskyddad webbserver.

Computer SwedenLars Dobos

Sanktionsavgift för samtal till 1177

Kammarrätten beslutar att Medhelp ska betala sanktionsavgift för vidarekoppling av samtal till 1177.

Kammarrätten i StockholmKammarrätten i Stockholm

Det som Computer Sweden avslöjade var en allvarlig säkerhetsbrist som omfattade år av samtal till 1177. Trots det kom mycket i efterspelet att handla om ansvaret och inte säkerheten. Jag vill därför ge några reflektioner kring just ansvarsfrågan och vad den betyder, inte minst för säkerheten. Ni som vill ha en bakgrund eller fylligare förklaring, läs gärna IMY:s rapport om granskningen: DI-2021-5220 (pdf).

1177 Vårdguiden

Efter artikeln om läckan i 1177 Vårdguiden fick IMY in många incidentanmälningar. Eftersom en incidentanmälan ska rapporteras in av den personuppgiftsansvarige, så gav de många anmälningarna en vink om att det kunde råda en otydlighet kring personuppgiftsansvaret.  En otydlighet fanns också mot de som sökte vård. På webbsidan 1177.se stod det att personuppgiftsansvariga var respektive vårdgivare. Tre regioner anlitade vid denna tid MedHelp, men det fanns ingen information för de vårdsökande i dessa regioner att MedHelp var den vårdgivare som svarade för sjukvårdsupplysningen. MedHelp anlitade i sin tur ett thailändskt vårdbolag för att ge sjukvårdsupplysning när tidsskillnaden gjorde det mer fördelaktigt att arbeta i Thailand. De vårdsökande fick inte heller någon information om det thailändska bolaget. Själva läckan uppstod hos Voice Integrate som var personuppgiftsbiträdet till MedHelp.

Att använda ett namn, ett varumärke som front, likt 1177 Vårdguiden, kan ofta vara praktiskt och förenkla för dem som behöver komma i kontakt med olika verksamheter. Den positiva sidan har dock en baksida då det finns risk att det blir otydligt vem som har det egentliga ansvaret, vem man egentligen har kontakt med. MedHelp var av uppfattningen att bolaget enligt avtal representerade varumärket 1177 och inte skulle använda sitt eget namn. När det gäller myndigheter eller offentligfinansierad verksamhet kan diffusa samarbetsformer också leda till oklarhet om vilka regler som egentligen gäller.

Vårdgivare i Thailand

Det var samtal från vårdsökande som kopplats till MediCall i Thailand som låg exponerade mot internet. MedHelp uppgav sig vara vårdgivare och personuppgiftsansvarig även för behandlingen i Thailand och hade tecknat personuppgiftsbiträdesavtal med MediCall. MedHelp uppgav vidare att MediCall var journalföringspliktig och hade svenska sjuksköterskor anställda. I överklagandet till förvaltningsrätten ändrade MedHelp sin inställning och pekade på att det är de faktiska omständigheterna som ska avgöra vem som är personuppgiftsansvarig och att MediCall bedrivit vård på samma sätt som MedHelp och därför borde MediCall anses vara personuppgiftsansvarig.

För att få svar på om MediCall hade stöd för att behandla personuppgifterna behöver en bedömning göras av om MediCall är en svensk vårdgivare som regleras av svensk hälso- och sjukvårdslagstiftning. Kopplingen mellan vårdgivare och tillåtligheten att behandla personuppgifter kan mycket summariskt beskrivas så här.

Det behövs ett lagligt stöd av såväl EU:s dataskyddsförordning (GDPR) som nationella hälso- och sjukvårdsregler för att få behandla personuppgifter inom vården. Kompletteringen i nationell rätt utgörs främst av patientdatalagen (2008:355 PDL). Enligt 2 kap. 6 § PDL är det vårdgivaren som är personuppgiftsansvarig när personuppgifter behandlas i samband med vård. Vårdgivare definieras i 2 kap. 3 § hälso- och sjukvårdslagen (2017:30) som statlig myndighet, region, kommun, annan juridisk person eller enskild näringsidkare som bedriver hälso- och sjukvårdsverksamhet. För att få behandla hälsouppgifter behöver det också finnas undantag från förbudet att behandla känsliga personuppgifter i artikel 9.1 i GDPR. Det innebär bland annat att det krävs att de som behandlar uppgifterna omfattas av lagstadgad tystnadsplikt, artikel 9.3 i GDPR. I 6 kap. patientsäkerhetslagen (2010:659) finns regler om tystnadsplikt.

På frågan om ett thailändskt bolag i Thailand kan vara vårdgivare och ge sjukvårdsupplysning enligt svensk sjukvårdslagstiftning sa IMY nej, förvaltningsrätten ja och kammarrätten nej.

Förvaltningsrätten konstaterade att en vårdgivare bör omfattas av svensk lagstiftning på hälso- och sjukvårdsområdet när vården bedrivs med inriktning mot och förmedlas till personer som befinner sig i Sverige. MediCall bedömdes därför vara vårdgivare enligt de svenska reglerna och personalen omfattades av tystnadsplikten enligt patientsäkerhetslagen.

I och med det blev frågan om överföringen av personuppgifterna till Thailand var en laglig tredjelandsöverföring relevant. Förvaltningsrätten återförvisade därför målet tillbaka till IMY i denna del. Kammarrätten konstaterar i sin dom att förvaltningsrätten inte har haft möjlighet att visa målet åter till IMY för prövning av om MedHelp uppfyllt kraven rörande överföring till tredjeland i dataskyddsförordningen. Kammarrätten hänvisar både till att tillsynsmyndigheterna enligt GDPR är oberoende och själva har mandat att avgöra granskningens omfattning och till principen om reformatio in pejus. Principen om reformatio in pejus innebär, något förenklat, att den som klagar till en domstol inte ska hamna i en sämre sitts på grund av sitt klagomål än om den klagande inte klagar. Eftersom IMY inte prövat frågan om överföringen till tredjeland var laglig innebar förvaltningsrättens beslut en utvidgning som inte var tillåten.

Beträffande frågan om det thailändska bolaget kan vara vårdgivare, så konstaterar kammarrätten att hälso- och sjukvård är en nationell angelägenhet, bortsett från vissa gränsöverskridande samarbeten som här saknar intresse, och bedrivs inom Sveriges gränser. Kammarrätten konstaterar också att vården geografiskt är kopplad till huvudmännen som antingen är regioner eller kommuner. Att vården riktar sig mot och till personer i Sverige eller att det är svenska sjuksköterskor som ger vården påverkar inte kammarrättens bedömning. Kammarrätten kommer därför fram till att MediCall inte är vårdgivare enligt 2 kap. 3 § hälso- och sjukvårdslagen och inte omfattas av svensk sjukvårdslagstiftning.

En naturlig följdfråga är då om MediCall kunde ha behandlat personuppgifterna med stöd av det personuppgiftsbiträdesavtal som tecknats. Det som avgör om någon är ett personuppgiftsbiträde är de faktiska förhållandena eller vad som är lagreglerat om personuppgiftsansvaret. I detta fall är vårdgivaren utpekad som personuppgiftsansvarig enligt PDL och såsom som MedHelp uttrycker det i överklagandet, har MediCall bedrivit vård på samma sätt som MedHelp. Det innebär att MediCall inte kan vara personuppgiftsbiträde till MedHelp.

Avtal mellan verksamheter liksom samtycke från enskilda används inte sällan som ett reparationskit som ska täcka sprickor och skavanker vid behandling av personuppgifter. Men GDPR är inte dispositiv och avtal och samtycke kan bara användas när och för det som förordningen anger att avtal eller samtycke kan eller ska användas.

Ännu omöjligare är det att använda personuppgiftsbiträdesavtal som ersättning för regler som inte reglerar dataskydd. Sjukvårdslagstiftningen syftar primärt till god och säker vård. Att slussa patienter ovetandes vidare till en verksamhet som inte täcks av dessa regler är givetvis allvarligt. Frågan är om en tydlighet mot de vårdsökande hade lett till ett sunt ifrågasättande.

Säkerhet och ansvar

MedHelp har bedömts, av båda domstolarna och IMY, vara personuppgiftsansvarig och därmed ansvarig för säkerheten för de ljudfiler som legat öppna mot internet. Enighet har också rått kring att personuppgiftsbiträdesavtalet med Voice inte påverkat MedHelps ansvar. Om den personuppgiftsansvarige anlitar ett biträde betyder det inte att ansvaret förflyttas, utan det är fortfarande den personuppgiftsansvarige som har det yttersta ansvaret. I och med GDPR kan också ett personuppgiftsbiträde ställas till ansvar för bristande säkerhet. Så skedde här, både MedHelp och Voice bedömdes ha brustit genom att inte ha säkerställt en lämplig säkerhetsnivå för att förhindra obehörigt röjande av personuppgifterna eller obehörig åtkomst till dem.

Att 1177-läckan kommit att handla mycket om ansvarsfrågan är inte så långsökt. Det rådde en otydlighet kring personuppgiftsansvaret och för att kunna bedriva ett systematiskt och kontinuerligt säkerhetsarbete krävs det ett ansvarstagande. Att personuppgiftsansvaret är tydligt för den som är ansvarig är en förutsättning för att dataskyddet ska fungera. IMY skriver i sin rapport. ”Om flera aktörer är inblandade får det inte råda tvivel, delade meningar eller oklarheter om vem som är personuppgiftsansvarig, vem som är personuppgiftsbiträde, och vilket ansvar respektive vilka skyldigheter var och en har.”

Att aktörer som samverkar på olika sätt måste veta vem som ansvarar för vad kan låta som en självklarhet, men samtidigt innebär dagens databehandling att vi interagerar på mer och mer komplexa sätt.  När det gäller stora tjänsteleverantörerna som levererar helhetslösningar med molntjänster och ett stort utbud av verktyg kan det vara svårt att få till den tydlighet som krävs.

Ett exempel som visar detta är Danska Datatilsynens beslut från den 30 januari i år gällande de danska kommunernas användning av Chromebook i skolorna. Datatilsynet konstaterar i beslutet att såväl dataflödena som avtalen är komplexa och att det i sig innebär en risk för att reglerna inte följs. Datatilsynet beskriver också risken med att även små förändringar i teknik eller avtal kan leda till följdändringar som kommunerna kan komma att förbise. Kommunerna uppmanas att eftersträva enklare avtal, men också se till att ha tillgång till den tekniska och juridiska kompetens som krävs för att säkerställa att dataskyddet efterlevs.

Datatilsynet giver påbud i Chromebook-sag

I sagen om brug af Google Workspace i folkeskolerne vurderer Datatilsynet, at der ikke er hjemmel til videregivelse af personoplysninger til Google til alle de formål, der videregives til i dag. Derfor giver Datatilsynet nu et påbud til kommunerne om at bringe behandlingen i overensstemmelse med reglerne og anviser forskellige måder, det kan gøres på.

Logo

Ett annat alldeles färskt exempel är EDPS (European Data Protection Supervisor) beslut gällande Europeiska kommissionens användning av Microsoft 365. EDPS har funnit att kommissionen brister i reglerna gällande dataskydd då kommissionen inte har säkerställt att personuppgifter som överförs till tredjeland ges en väsentligen likvärdig skyddsnivå som om de behandlas inom EU/EES. Kommissionen har inte heller i sitt avtal med Microsoft i tillräcklig mån preciserat vilka typer av personuppgifter som samlas in och för vilka ändamål.

European Commission’s use of Microsoft 365 infringes data protection law for EU institutions and bodies

Following its investigation, the EDPS has found that the European Commission (Commission) has infringed several key data protection rules when using Microsoft 365. In its decision, the EDPS imposes corrective measures on the Commission. The EDPS has found that the Commission has infringed several…

European Data Protection Supervisor

Att stora seriösa aktörer har svårt att få tydlighet kring den behandling de faktiskt ansvarar för borgar inte för en väl fungerande informationssäkerhet eller ett bra dataskydd. Frågan är hur vi ska kunna skapa en större transparens för alla berörda när komplexiteten bara ökar.

Det är en ekvation som utmanar.