Digitalisering
FRA får kritik: ”Har inte stöd i lagen”
FRA vill fritt kunna skicka personuppgifter man får via signalspaning till dataintrångssystemet TDV och vice versa. Men Datainspektionen är kritisk. – Det saknas ett tydligt lagstöd, säger juristen Nicklas Hjertonsson.
Publicerad
Försvarets radioanstalt, FRA, har i vår begärt samråd med Datainspektionen kring hur man får hantera personuppgifter i arbetet med det nya sensorsystemet TDV (Tekniskt detekterings- och varningssystem), som man utvecklat på uppdrag av regeringen. Datainspektionen anser att det är nödvändigt att ändra lagen om inte TDV ska hamna i en juridisk gråzon.
TDV finns i dag hos FRA och en annan statlig myndighet och drivs av FRA sedan 2011. Framöver är systemet tänkt att installeras hos en mängd ”skyddsvärda” statliga myndigheter – och kanske även statliga företag – för att skydda dem mot it-angrepp. Det ska bli en del av det svenska cyberförsvaret mot resursstarka utländska angripare, exempelvis andra stater.
Det kan liknas vid ett vanligt dataintrångssystem – fast med en viktig skillnad.
Enligt FRA är hjärtat i TDV att det bygger på information om hackare och angreppsmetoder som identifierats via FRA:s globala signalspaning i försvarsunderrättelseverksamheten. Även om den spaningen har gällt it-hot. FRA byter också den typen av information med andra länder.
Det handlar om e-postadresser, IP-adresser, kodsnuttar och uppgifter om servrar, som sparas i ”signaturer”. Dem vill FRA fritt använda i TDV-sensorerna för att upptäcka angrepp – och tvärtom. Man hoppas på att få använda information som man samlat in via TDV i signalspaningsverksamheten.
Nu säger Datainspektionen i ett yttrande att signaturerna innehåller uppgifter som kan knytas till levande personer.
– Kärnan i våra synpunkter är att FRA inte kan flytta över kunskap som man inhämtat via signalspaningen i TDV hur som helst och vice versa utan prövning. Uppgifter som kan knytas till individer och som samlas in via TDV kan inte heller rakt av användas i signalspaningen, säger Nicklas Hjertonsson, jurist på Datainspektionen.
Enligt honom saknar FRA ett glasklart lagstöd för utbytet. Personuppgiftslagen ger inget stöd för att skyffla vidare information till en annan verksamhet. I så fall måste inhämtning och användning i bägge fallen vara förenliga med varandra. Vill regeringen att ett fritt utbyte ska vara möjligt bör dagens lagstiftning ändras, enligt inspektionen.
Tills dess måste FRA pröva om man kan flytta över en uppgift varje gång.
Fredrik Wallin, talesperson på FRA, försvarar överföringen.
– Eftersom vi har en uppgift att signalspana på de utländska angripare som ligger bakom allvarliga it-angrepp, så vill vi kunna använda den kunskapen för att skydda svenska system. I normalfallet är bedömningen att de ändamålen inte är oförenliga på något sätt, säger han.
