Sverige har nu återupplivat datalagringsdirektivet, en lag som framtvingar en bred övervakning av kommunikationer. Det är olyckligt.

EU förklarade Sveriges datalagringsdirektiv ogiltigt för fem år sedan, men Sverige klamrade sig trots det fast vid lagen ända fram till 2017 när EU-domstolen och kammarrätten beslutade att ta lagen ur bruk.

EU har inte bara stoppat Sveriges övervakningslagar, utan även gått starkt framåt med GDPR-lagstiftningen sedan dess. Sverige har däremot gått bakåt. Den 1 oktober trädde datalagringsdirektivet i kraft igen. Även om lagen har fått nya kläder, så är det väsentligen samma innehåll som tidigare.

Lagen innebär att tele- och internet-operatörer blir skyldiga att lagra data om sina kunders kommunikation under två till tio månader, beroende på datatyp. Exempel på data som lagras är vilka som kommunicerar med varandra, när det sker och geografisk position. Detta gäller för både telefoni och internetanvändning.

En sådan övervakning går emot principen att man ska anses vara oskyldig tills motsatsen är bevisad. Med datalagringsdirektivet måste man istället konstant öppna upp sitt liv för inspektion av ordningsmakten. Alla blir skyldiga att ständigt bevisa att man har rent mjöl i påsen. Missförstå mig inte, vi bör inte frånta polisen alla medel till övervakning. Vid stark brottsmisstanke finns det legitima skäl till övervakning av utvalda individer. Det är verktyg som polisen behöver, och som redan tillhandahålls av Svea Rikes Lag.

Vad vi inte bör ha är en oavbruten övervakning av praktiskt taget all tele- och internetkommunikation. Genom att framtvinga lagring av kommunikationer framtvingar datalagringsdirektivet dock just detta.

IT-skandaler i närtid har visat att man inte är kapabel att hindra dataläckor. Bland dessa skandaler hittar vi till exempel 1177-läckan, där inspelade vårdsamtal fanns tillgängliga för vem som helst på en oskyddad server på internet. Vi har även Transportstyrelsens läcka, där den dåvarande generaldirektören godkände att lägga ut driften av dataregister på IT-företaget IBM. Dessa register innehöll hemligstämplad information, och eftersom IBM använde sig av utländska tekniker som inte var säkerhetsgranskade ledde detta till att uppgifterna fick anses röjda.

Är det med detta i åtanke lämpligt att tvinga tele- och internetoperatörer att centralt lagra data om svenska medborgare i förebyggande syfte? Med tillgång till en sådan datakälla går det att med hjälp av statistik och AI dra långtgående slutsatser om en persons tankar, avsikter och åsikter.

Det var detta som hände i Cambridge Analytica-skandalen i USA och Storbritannien, där företaget Cambridge Analytica fick tillgång till data från Facebook och använde den i syfte att påverka hur människor röstar i demokratiska val. Om man är drastisk i sin tolkning av dessa skeenden kan man se det som automatiserad åsiktsregistrering.

Sådana skandaler påvisar en naivitet samt en okunskap hos myndigheter gällande hantering av känsliga data. Bilden av okunskap stärks ytterligare om man tittar på hur data har hanterats i England och Frankrike. En utredning som gjorts av EU-kommissionen visar att det år 2008 gjordes cirka en halv miljon sökningar i lagrad data i vardera landet.

En sådan omfattande användning pekar inte på att myndigheter generellt utövar ansvarsfull hantering av medborgardata, utan på en vårdslös överanvändning där man inte enbart inriktar sig mot misstänkta brottslingar. Om överanvändning sker, där data hämtas ut om personer som inte är misstänkta för brott, kan det kränka den personliga integriteten.

Kraften i den samlade datan, i kombination med att den kan läcka eller missbrukas, utgör en risk som vi inte bör ta. När många brott inte klaras upp är det lätt att ta politiska poäng med krav på hårdare övervakning – men hur mycket hjälper det? Och hur hög blir kostnaden för den enskilda individen och privatlivets helgd?

Joakim Brorsson, doktorand inom IT-säkerhet vid Lunds Tekniska Högskola.