Riksdagen godkände för en dryg vecka sedan en proposition med det kryptiska namnet ”Myndigheters tillgång till tjänster för elektronisk identifiering”. Därmed får vi en mekanism som ska göra det möjligt för privata företag världen över att tillhandahålla system för oss att identifiera/legitimera oss på nätet vid kontakter med myndigheter, banker och andra företag.
De som säljer ”identifieringar” ska få betalt per tillfälle. Vilket gör att företagen får starka incitament att se till att vi behöver identifiera oss så ofta som möjligt.
Staten ska kräva att företagen ska spara information om var och när vem legitimerat sig. Ja kanske till och med om var och när vem blivit ombedd att legitimera sig. Enorma informationsbanker kommer därmed att byggas upp om vad de flesta människor i Sverige gör i sina datorer. Vilka myndighetskontakter vi har. Var vi handlar, och när. Och så vidare.
Företagen som får tillhandahålla legitimering/identifiering kan vara baserade utomlands, och därmed bo i länder som saknar de regler vi i Sverige har om hur personuppgifter får användas. Att de skulle börja användas för att rikta reklam är därför bara den uppenbara början. Kanske försäkringsbolagen är intresserade av materialet, för att sortera oss i olika riskgrupper? Kanske diktaturers hemliga poliser kan köpa loss värdefull information om flyktingar?
Och man kan väl aldrig misstänka att det inte kommer att dröja speciellt länge innan svensk polis och säkerhetstjänst anmäler sitt intresse av att få titta i dessa register. För att spåra terrorister, pengatvättare, pedofiler …
Men låt oss gå tillbaka till det första konstaterandet att företagen får incitament att se till att vi tvingas identifiera oss allt oftare medan vi surfar runt. Det är riktigt olyckligt, eftersom det är viktigt att kunna vara anonym. Både afk, och på nätet. Tack vare anonymiteten kan man våga säga saker, som man är rädd att mäktiga och inflytelserika inte vill höra en säga. Källskyddet bygger till exempel på att man kan kommunicera anonymt. Utsattas och avvikandes röster kommer lättare fram om de kan agera anonymt.
Ett eländigt beslut. Riv upp, och gör om.
Tack till Amelia Andersdotter, som upptäckt detta och berättat för mig. Ta er gärna till EU-huset i Stockholm idag fredag eftermiddag, och lyssna på ett panelsamtal med Amelia och några andra om just elektronisk identifiering.
Förtydligande: Lagen kräver att datainspektionen ska hålla uppsikt över de databaser som skapas. Problemet är att de har mycket små möjligheter att göra detta i de flesta fall registren finns hos företag baserade i andra länder. Där tillsynsmyndigheterna är svaga, och ibland korrumperade. (Och gissa var ett företag som vill använda uppgifterna vidare placerar sig …) Och där säkerhetstjänster i en del fall har stort inflytande.
Henrik B 
Suck.. Och sen undrar dom varför folk känner sig överkörda och maktlösa.. Vansinne det myndigheterna håller på med..
För dom av er som inte vill identifiera er hos Facebook för att ta del om informationen om paneldebatten, se http://ameliaandersdotter.eu/2013/05/23/paneldebatt-om-e-identifikation-i-stockholm-pa-fredag-den-24-maj/
Bingo Linus. Tack för att du letade upp länken, jag var lite i tidsnöd.
Otydligt avslut på förtydligandet. =)
”Och där säkerhetstjänster i en del fall sällan har stort inflytande.”
Tack Jon. Skrivfel rättat.
Visserligen blev jag mot min vilja utslängd från BankID för några år sedan, när Linux ansågs ”osäkert” (för vem?). Men en viktig användning för att jag sedan heller inte gjort några ansträngningar att skaffa det, utan låter myndigheter hantera handskrivet ifylld deklaration, är att jag hela tiden ansett BankID och e-leg som trojaner, sedan de blev program som exekveras på den egna datorn.
Nu bekräftas alltså att övervakning var avsikten med den ”säkerhets”-lösningen. Och alldeles säkert kommer sniffprogram att bakas in i den maliciösa koden. Not a bug, but a feature alltså att utesluta Linuxanvändare (men bjuda in Ubuntuister i efterhand med armbågen).
Vi behöver absolut ett statligt system för legitimering över Nätet, att användas vid kontakter med myndigheter, banker med mera där det faktiskt är motiverat att kräva legitimation. Det rimliga vore att myndigheten som sköter folkbokföringen, det vill säga Skatteverket, utfärdar personliga certifikat enligt någon av standarderna X.509 och OpenPGP. Att blanda in företag som ”leverantörer” av identifiering trasslar till det hela helt i onödan, och varje ytterligare komplikation öppnar nya möjligheter till säkerhetshål.
Certifikatutfärdandet bör alltså ske centralt på den ansvariga myndigheten, men legitimeringen kan med fördel ske helt decentraliserat. Det är inte tekniskt nödvändigt att ha en central identifieringstjänst som kan få betalt per tillfälle. Utan en central identifieringstjänst finns det heller ingen central loggning, utan varje myndighet kan bara logga vilka som legitimerar sig hos den myndigheten.
Så skulle ett vettigt system se ut, men när har en regering någonsin valt en vettig lösning på ett tekniskt problem?
BankID är illa konstruerat på olika sätt, men numera finns det åtminstone en fri implementation så att den som vill själv kan leta efter trojaner: https://fribid.se/ FriBID är förstås inte rätt lösning, utan en nödlösning för att bättre kunna leva med ett illa konstruerat system.