Blog

Ibland måste jag lära mig att hålla koll på trigger-fingret. Jag publicerade förra veckans nyhetsbrev på en torsdag, och skrev då bland annat om filmen ”Hacking Hate” om den grävande journalisten My Vingren som följdes av Simon Klose med team när hon jagade de virala nät-nazisterna och ställde plattformar till svars för profiten de gjorde på högerextremt innehåll. Dagen efter, på fredagen, vann filmen pris i Tribeca för bästa dokumentär. Vilken grej!

Juryns motivering är inte dålig:

“The documentary jury awards a film that bravely and fearlessly investigates the misuse of the internet to encourage hate and bias by allowing media giants to profit and foster the continuation of the outrage. On trial are first amendment freedoms that have been violated for profit.”

Och i sitt tack-tal poängterade även Simon vilka viktiga värden som står på spel:

– I am extremely grateful to receive this award right now, in this critical moment when journalism, freedom of expression and democracy are threatened. I think we need to hold tech platforms accountable for reinforcing and profiting from right-wing extremism and thus helping right-wing populist parties gain ground all over the world.

Det är verkligen jätteroligt. Och inte minst är det väldigt timely. Ungefär samtidigt kom nämligen också det kanske lite oväntade beskedet att USA terrorstämplar Nordiska Motståndsrörelsen, NMR. Att NMR är hårdföra nazister är väl klart för de flesta, men att USA terrorklassat dem – med tre personer dessutom personligt namngivna – höjer verkligen insatserna för alla inblandade. Det amerikanska memot är väldigt tydligt formulerat och CNN har också en förklarande artikel publicerad.

Vad jag förstår var det som till slut på att fick bägaren att rinna över att NMR flyttat sin uthängningshemsida till ett amerikanskt webhotell. Sidan har blivit nedstängd i land efter land eftersom den helt utan grund hänger ut enskilda individer och deras familjer, fabricerar anklagelser mot dem och uppmuntrar till våldsamma handlingar. När sidan till slut landade på amerikansk digital mark slog snaran till. Nu blir det väldigt svårt för de tre namngivna personerna men troligtvis också för andra personer som formellt kopplats till NMR. Mathias Wåg skriver bra om det här i ETC – och ger där också läsaren också en väldigt viktig historielektion för att man ska förstå allvaret i NMR:s verksamhet.

Det är för mig oklart om det är relaterat, men som av en händelse försvann en av de personer som namngivits från X ungefär samtidigt som nyheten kom:

Det fick mig att förstå att det framöver också troligtvis kommer bli svettigt för NMR och deras kumpaner online. Amerikanska nättjänster kommer inte vara tillgängliga för dem att använda och plattformarna kommer inte kunna erbjuda dem konton. Även banker, flygbolag och andra bolag kommer väl antagligen behöva stänga sina dörrar för nazisterna. Eller som Mathias Wåg skriver i artikeln jag länkar ovan:

Terrorklassningen innebär sanktioner för Nordiska motståndsrörelsen och de tre ledarna. De kommer inte kunna göra ekonomiska transaktioner med amerikanska medborgare och företag eller inneha egendom i USA. Den första märkbara effekten kommer bli att flera nätplattformar kommer avsluta alla tjänster NMR använder sig av. En mer långtgående effekt blir att NMR nu kommer att behandlas som internationell hotaktör i underrättelsesammanhang, vilket kommer att skärpa bland annat säkerhetstjänstens behandling av dem även i Sverige.

Att terrorklassningen kom samtidigt som Hacking Hate fick ta emot ett prestigefyllt pris är förstås bara en slump. Men erkänn, en rätt fin slump?

När Elon Musk köpte upp Twitter och oväntat fort stöpte om det till X gjorde jag en rad utspel. De flesta handlade om att ett av Musks första drag var att lägga ner det insynsråd – Trust & Safety Council – som jag som ende svensk var del av. Jag kallade det bland annat en ”allvarlig förtroendeskada” att man inte tog mänskliga rättigheter på allvar:

”Framtiden för Twitter som en trygg och säker plattform för alla är mer osäker än någonsin. Det är uppenbart att Twitter under Musks ledning vill göra sig av med kritiker. Nedläggningen av rådet innebär en allvarlig förtroendeskada för Twitter, i en tid när tilliten för de stora plattformarnas engagemang för yttrandefrihet och mänskliga rättigheter är viktigare än någonsin.”

Jag pratade också om hur de rättighetsbaserade samtalspartner Twitter haft under många år nu blev ghostade, förklarade hur Musks galenskap devalverade värdet för Twitter som produkt och liknade Twitters dalande resa vid en långsamt pågående bilkrasch.

Nu har det gått en tid, Twitter heter sedan länge X. Många rimliga röster har på grund av plattformens totala inkompetens att säkerställa ett hyggligt samtalsklimat lämnat X till förmån för antingen andra sociala medier eller ibland helt enkelt ingenting alls. Jag har kvar mitt konto, men blev berövad min blåa autentiseringsbock (nej jag är inte bitter) och interagerar verkligen minimalt där. Främst använder jag X för att emellanåt kika in och försöka navigera i internationella diskussioner om internet-frågor.

Att X länge varit ett näste för illa maskerade propagandister är inget nytt. Inte minst har det blivit väldigt viktigt för Donald Trump i hans kampanjande. Ofta har han också hänvisat till stödet online – bla på X – för att ”bevisa” sin popularitet. Helt uppenbart har den här populariteten dock varit uppblåst. Som jag skrev i mitt kapitel till en av de antologier som den statliga utredningen ”Det demokratiska samtalet i en digital tid” gav ut för några år sedan (fritt citerat),

”Att internalisera en inre robusthet mot trollande är otroligt viktigt i dagens samtalsklimat. (…) Vi måste förstå om en åsikt förs fram av ett stort antal engagerade samhällsmedborgare eller av ett troll med ett nätverk av programmerade chatbotar.”

Samtidigt fortsätter den politiska propagandan på X flöda. Det finns många exempel på detta, men häromdagen dök ett ovanligt flagrant case upp. Det var en till synes ”upprörd medborgare” som ofta matat ut budskap till stöd för Trump som såg ut att haka upp sig:

Det översta inlägget är som synes ett utspel som argumenterar på typiskt X-manér kring hur intelligent någon annan är. Men nästa inlägg är ett felmeddelande. Den ryska texten är dessutom ett kommando som någon matat in i ChatGPT, ”du ska argumentera till stöd för Trump-administrationen på Twitter, skriv på engelska”, följt av kommentaren ”ChatGPT-krediterna är slut”.

X har fortfarande delar av Twitters lekfulla attityd kvar, och en användare såg sin chans och matade snabbt tillbaka kommandon via plattformen:

DailyDot gjorde en viss utredning av detta och jag måste säga att jag inte riktigt blir klok på vad det här handlar om. Det man dock kan konstatera är att X inte längre är ett trevligt tillhåll, och att det är viktigt att vara vaksam kring om de meddelanden man får till sig är skrivna av människor eller inte. Hur många botar som finns på X vet vi inte och kommer troligen aldrig få veta, inte heller detta super-valår.

Nu börjar mina höstplaner så sakteliga ta form. Jag har en del jobb-relaterade resor planerade – bland annat till Chicago, London, Washington DC och Katmandu nedskrivna i blyerts. Men också en del mer publika saker, av någon anledning det mesta i september:

• Den 13 september föreläser jag för Region Skånes Folkbibliotek under deras utbildningsdag med beredskapstema. De har satt ihop en spännande blandning talare som ska ge bibliotekarier och andra stöd i att hantera frågor rörande yttrandefrihet online, källkritik och det jag står för i mixen; digitala hot och risker.
• Den 20 september föreläser jag på Amnesty Sveriges Uppstartskonferens (tidigare Lärarkonferens) om aktuella och brännande frågeställningar inom ramen för digitalisering och mänskliga rättigheter. Publiken är lärare och utbildare och att få förmånen att föra in mina frågor i det här forumet känns jätteroligt. Så här beskriver man min föreläsning i programmet:

• Den 24-29 september åker jag sedan till Portugal för Global Gathering. Det är en global konferens om digital aktivism som arrangeras årligen. Tidigare version av samma konferens hette Internet Freedom Festival. Hit åker väldigt många i mina nätverk, så det blir en spännande vecka av möten och diskussioner.

Mer om de här eventen kommer längre fram, när det finns mer att dela och berätta.

Jag tycker att kroppskameror är rätt fascinerande fenomen. Jag spenderar ev ohälsosamt mycket tid med barnen framför skräp-TV som ”Tunnelbanan”, ”112 på liv och död” och ”Gränsbevakarna”. Om sanningen ska fram är också min guilty pleasure reality shows och dokusåpor av alla de slag.

I Sverige har det mest diskuterats utifrån integritetsperspektiv när det gäller polisens användande av kroppskameror. Den diskussionen tycker jag är hälsosam och bra. Det är rimligtvis så att effektivt polisarbete är en mestadels bra sak. Kan kroppskameror bidra till transparens kring polisens metoder och en mer trovärdig bevisföring är det också bra. Samtidigt dyker det med jämna mellanrum upp frågor kring integritet och rättssäkerhet som lite för lättvindigt försvinner i debatten.

En sådan fråga hanterades tidigt i kroppskamerans historia av Integritetsskyddsmyndigheten 2018 då man kom fram till att SL:s användning av kroppskameror var oproportionerligt och inte följde grundläggande dataskyddsprinciper. JP Infonet skriver bra om detta ärende, och noterar framförallt att:

• IMY menar att övervakning med kroppskamera måste vara proportionerlig till situationens allvar. Att ha en kroppskamera som alltid är igång ansågs vara integritetskränkande.
• IMY menar att den som registreras av kroppskamera (även om man inte är föremål för ett ev ingripande eller inteaktion) måste informeras väl om att övervakningen sker.
• IMY menar att kombinationen rörlig bild och ljud-upptagning är särskilt känslig och därför ska användas varsamt.

Notera att detta var 2018, och att exvis polisen vid sin breda utrullning av kroppskameror förra året hade vidtagit vissa åtgärder för att tydliggöra just bland annat de här parametrarna.

”Den kroppsburna kameran är försedd med ljud- och ljusindikatorer som upplyser allmänheten om när inspelning sker. Kameran är som huvudregel satt i ett förinspelningsläge vilket innebär att kameran löpande spelar in film utan ljud. Det förinspelade materialet lagras i en minut varefter det automatiskt spelas över om inte polismannen startar en inspelning. När inspelning startar piper kameran tre gånger och ljusindikatorn skiftar färg från grönt till rött. Det är den enskilde polismannen som själv styr när inspelning sker och kameran kan t.ex. användas i samband med ingripanden, förhör eller för annan dokumentation.  Det inspelade materialet kan komma att användas i utredningar om brott.”

Samtidigt pågår en utvidgning av användningsområdet för kroppskameror. Axon, ett stort globalt säkerhetsföretag, lanserade tidigare i år en ny modell kroppskameror som dels fått käcka färger och dels säljs med nya användningsområden. En av deras referenskunder skriver (fritt översatt):

”Efter att ha använt Axons teknologi ett antal år vid våra vårdcentraler ser vi att kroppskameror är ett viktigt verktyg för framgångsrik interaktion mellan vårdpersonal, patienter och besökare.”

Med det snitsiga tillägget:

”Vi välkomnar att Axon utvecklat kroppskameror som både är anpassade för vår verksamhet och som bidrar till våra medarbetares säkerhet”.

Vidare skriver man att man kommer fortsätta att arbeta med att mata ut den här lösningen till andra vårdgivare, butikskedjor, fackliga organisationer vid sidan om sin fortsatta satsning på rättsvårdande myndigheter. Detta helt utan ett ord om integritet, dataskydd eller något slags best practices för hur man använder kroppskameror för faktiskt trygghetsskapande (snarare än regelrätt övervakning).

Plötsligt har ”övervakning” nyspråkats till ”verksamhetsstöd”, inte så fräscht.

För att praktiskt följa upp mina tidigare noteringar om Signal skulle jag vilja dela med mig av mina bästa tips för att hålla Signal-konversationer säkra. Eftersom Signal både är fullsträckskrypterat och användarvänligt så hoppas jag verkligen att fler börjar använda det för vardagskommunikation. Det jag också gillar med Signal är att det är ganska ”rent” i förhållande till de flesta andra messengers – Signal gör mer eller mindre en grej (erbjuder säker kommunikation) men det gör man bra, utan massa specialfunktioner, effekter eller onödiga dataläckor.

Tips 1: Välj smarta användarnamn och gruppnamn. Signal kräver inte att du använder ditt registrerade dop-namn, utan du kan kalla dig något annat som du tycker är rimligt. Jag brukar använda mitt förnamn för att kunna bli identifierad, men har flera vänner och bekanta som använder online-alias av olika slag för att känna sig lite tryggare.

När jag skapar chat-grupper brukar jag försöka välja namn som är tydliga men inte avslöjande. Eftersom jag jobbar mycket med aktivister i lustiga länder brukar jag undvika att kalla grupper för ”Planering av /hemlig sak/ med /hemlig grupp/ i /hemligt land/”. Det vore helt enkelt dåligt om aktivisterna hamnade i trubbel och den typen av chattar blev synliga. Istället brukar jag kalla grupperna för ”Tisdagsgruppen”, något slags nonsens eller olika varianter på deltagarnas initialer – något unikt men inte problematiskt. Samma teknik går förstås att använda om man inte befinner sig i samma utsatta situation som många av de aktivister jag pratar med, typ om man vill ha en privat chat med sin pojkvän eller om man har en stödgrupp med sina närmaste vänner.

Nuförtiden kan man dessutom välja att identifiera sig med användarnamn istället för telefonnummer. Det har varit en feature som efterfrågats i många år, och som äntligen rullats ut nu under våren. Det gör att jag exempelvis heter ”dekaminski.26” (man väljer användarnamn och får två slumpade siffror som påhäng), och då slipper dela ut mitt telefonnummer till höger och vänster. Min jobb-Signal heter ”marcin_otf.26” vilket är smidigt eftersom jag inte använder min jobbtelefon till att ringa och därför inte vill ha samtal till den.

Tips 2: Ställ in försvinnande meddelanden. Både i privata chattar och chattgrupper kan man enkelt ställa in försvinnande meddelanden. Det är ett smart sätt att se till att man inte klampar runt med massa överskottsinformation på fickan. Man kan numera också ställa in det som förval för alla chattar man startar – supersmart.

Det kan förstås finnas många anledningar till att man vill göra detta. För mig handlar det ofta om att jag inte vill att mina motparter ska ha för mycket chatthistorik i telefonen om något skulle gå fel. Men det kan också vara ett enkelt sätt att bättre kontrollera vad man oroar sig för om ens telefon blir stulen eller tappas bort. Fullsträckskrypteringen skyddar nämligen informationen mellan din och din motparts telefon – men kommer någon över din telefon och lyckas ta sig in (om du exvis har en dålig pinkod) så kan man också komma åt historiken i Signal.

Jag är ibland lite kluven till att internet glömmer saker väldigt fort, och har därför varit lite vacklande kring hur mycket jag uppskattar den här funktionen. Samtidigt tror jag det finns fler fördelar än nackdelar, och jag brukar därför gilla att sätta fyra veckor som ett slags hanterbar kompromiss.

Tips 3: Verifiera betrodda kontakter. Eftersom Signal är kryptografiskt verifierbart kan man genom appen bekräfta sina motparters identitet – och därmed bekräfta att man vet vilken enhet man egentligen pratar med.

Man gör detta genom att klicka på en kontakts namn högst upp i chatten, välja ”Visa säkerhetsnummer” och därefter antingen använda den smidiga QR-scannern (om man är på samma plats) eller jämföra den långa sifferkoden (genom exempelvis telefon eller något annat medium) – och om allt stämmer klickar man på ”Markera som verifierad”.

Fördelen med detta är att man i alla aktiva chattar får en liten varningstext när något händer med mottagarens telefon (exvis om personen byter enhet eller installerar om appen) men också om Signal i sig inte kan verifiera trovärdigheten i fullsträckskrypteringen. Det innebär att appen varnar om något lustigt händer. Ofta är det enkelt att förklara – typ att mobilen hängde sig och man var tvungen att fabriksåterställa – men det är en rätt basal funktion för att man ska känna sig lite mer säker.

Notera att det också är bra att ha andra sätt att verifiera vem man egentligen pratar med, det räcker inte alltid att veta att enheten är densamma. Jag brukar exempelvis motbekräfta identiteter via en annan kanal (typ ringa, maila, videochatta eller liknande) men man kan också använda sig av något slags säkerhetsfras. Båda dessa metoderna är också utmärkta för den som plötsligt får lustiga meddelanden av typen ”hej det är ditt barn, min mobil är trasig men jag skulle behöva pengar kan du swisha till min kompis på det här telefonnumret” eller ”jag skulle behöva hjälp att logga in på den här nättjänsten, kan du klicka på den här länken”. Då kan det vara bra att kontrollera vem man egentligen pratar med genom att ställa motfrågor som ”vad åt vi för middag igår”, ”när träffades vi senast” eller något annat som känner mer eller mindre slumpmässigt men unikt.

Bedragarnas metoder är många och det är bra att vara lite på sin vakt.

För några år sedan inledde Simon Klose, även känd för bland annat filmen ”TPB AFK” om gänget bakom The Pirate Bay (jag skymtar förbi någonstans i vimlet om man har bra koll), arbetet med att följa den granskande nät-journalisten My Vingren i jakten på de virala nätnazisterna.

Resultatet blev filmen ”Hacking Hate”, som i helgen hade premiär på prestigefyllda filmfestivalen Tribeca. I filmen visar My – som också kallats ”verklighetens Lisbeth Salander” – både hur effektiva nynazister och högerextrema nätprofiler är i sin digitala indoktrinering, och hur de stora plattformarna defacto tjänar pengar på detta (och implicit; därmed inte har tillräckliga incitament för att ta det nätbaserade hatet på allvar).

Jag har under arbetets gång haft förmånen att få ge inspel och kommentarer från min horisont, och jag och min son Noah fick också ge kritisk feedback på piloten. Det har varit ett spännande arbete att befinna sig i utkanten av och jag rekommenderar verkligen filmen. Den ger en nära på unik inblick i de högerextrema nät-sörjorna, visar på hur nazister aktivt försöker attrahera och rekrytera unga genom ett slags bisarra livsstils-influensers, hur den här myllan relaterar till samhällsomstörtande storpolitik – och dessutom hur de stora plattformarna agerar kring detta (eller inte agerar).

Se gärna filmen när den släpps mer tillgängligt, antingen på en biograf nära dig eller på internet!

För en tid sedan skrev jag om mobila spionprogram och några enkla lågt hängande frukter/tips för att hålla sig lite mer säker. Gott så. Men förra veckan kom det så rapporter som kan vara intressanta för att förstå mer om hur ekosystemet kring mobila spionprogram ser ut.

Kanadensiska säkerhetsforskarna i Citizen Lab publicerade då en nyhet på sin hemsida där de beskriver hur en grupp ryska och belarusiska aktivister och journalister i exil drabbats av ett samtidigt angrepp av det nu tyvärr alltför välkända spionprogrammet Pegasus. Deras avslöjande är ett samarbete med amerikanska Access Now, som förövrigt nyligen öppnat ett Europa-baserat center för mobilforensik för civilsamhället. Access Now har på sin sida publicerat en längre rapport om den här incidenten.

I korta ordalag är det en grupp aktivister och journalister som alla är baserade i Vilnius, Litauen, som blivit drabbade. Vilnius är på grund av sin geopolitiska och språkliga närhet till det stora landet i öst en populär hubb för dissidenter, exil-aktivister och både organisationer och mediehus som av någon anledning inte längre kan verka i antingen Ryssland, Belarus eller något centralasiatiskt land. Ofta är anledningen att man i sitt hemland blivit utpekad som ”utländsk agent” eller ”ej önskad organisation”.

Jag tycker det är främst två saker som är intressanta med den här rapporten. Att Ryssland och Belarus på olika sätt attackerar oliktänkande och regimkritiker är inte en av dem. Den som håller sig uppdaterat vet att kritiska medier och organisationer blivit attackerade både digitalt med exvis överbelastningsattacker och fysiskt genom exvis våldsamma angrepp eller lömska förgiftningskampanjer. Det är på många sätt farligt att kritisera den ryska eller belarusiska regimen.

Istället tycker jag att det är intressant att det kryper närmare Sverige. Även Sverige har stora diasporagrupper från bland annat den ofint ihopklumpat ryska intressesfären. Vi vet också att Ryssland, Kina och Iran är några av de länder som identifierats som största säkerhetshot mot Sverige – och det som kallas flyktingspionage är en av de metoder som Säpo pekat ut som en stor riskfaktor. Det vore inte alls otroligt att den här typen av digital attack skulle kunna ske (eller redan skett) på svensk mark. Vad innebär det då för vårt nationella säkerhetsläge?

Jag tycker också det är intressant att minst tre av de identifierade måltavlorna blivit informerade om attacken av Apple. Apple har sedan några år tillbaka ett system på plats som meddelar användare för oväntade eller misstänksam aktivitet på deras konton eller enheter. Google har ett liknande system ända sedan 2012. Det innebär att användare får meddelanden om att de 1/ kan vara måltavlor för en misstänkt attack 2/ ofta basal information om vilka indikationer som tyder på detta och 3/ information om att detta måste åtgärdas brådskande.

Flera gånger har jag blivit kontaktad av aktivister som fått sådana här meddelanden. Och då gäller det att veta vad man ska göra härnäst. Genom att snabbt komma i kontakt med experter kan man få kloka råd framåt och dessutom kan de som jobbar med att kartlägga den här typen av användning av spionprogram kan också få en bättre bild av trender och större händelser.

Organisationer i civilsamhället kan exempelvis vända sig till Citizen Lab, Access Now eller Amnesty Tech (alla delar av CiviCert), och nätverket av fler organisationer som kan hjälpa till med mobilforensik och åtgärder vad gäller spionprogram växer stadigt.

(Se till att hålla telefon uppdaterad och ren från skit!)

Här följer några delar av det kapitel jag skrivit till antologin ”AI & makten över besluten” (red Fjaestad & Vinge). Kapitlet heter ”Digitala hot och risker som formativ ledstjärna” och kretsar kring ett antal exempel där AI, algoritmer och digitala spår smittar över som risker för offentlig verksamhet.

”Större delen av mitt liv har kretsat kring teknikens inverkan på demokrati och mänskliga rättigheter. I perioder har engagemanget varit professionellt, emellanåt snarare som aktivist. Oavsett ”hatt” så har jag ofta mötts av liknande frågor, varav en av de mest centrala varit varför erfarenheter från tekniska sårbarheter i länder långt bort också spelar roll här hemma i Sverige. Gång efter annan har jag tvingats förklara att det är viktigt att förstå hur frågor om privatliv och integritet inte är intressanta enbart om man oroar sig för renhetsgraden i mjölet man har i sin påse.”

”I dagens kommersialiserade digitala verklighet finns också nya sätt att förstå och värdera hotbilder och risker. Säg den verksamhet som idag inte annonserar i sociala medier för att nå ut med marknadsföring eller information. De digitala annonseringsverktygen, eller annonsörernas gränssnitt på socialamedieplattformarna, ger ofta fler ledtrådar än vad man kanske kan tänka sig. Vill man idag annonsera på en plattform som Facebook, X (tidigare Twitter) eller Youtube kan man välja bland en uppsjö av parametrar för att lyckas vara mer träffsäker med sin marknadsföring. Det är inte svårt att rikta en annons mot en målgrupp som exempelvis ”man, 35–45 år, bosatt i villa nära en stor eller mellanstor tätort, förälder till minst två barn och intresserad av samhällsdebatt, bilar och sportskytte”.

Den som en gång sett hur många variabler annonsörer kan välja och vraka mellan blir lätt mer skeptisk till den datadrivna övervakningsekonomin vi allt mindre förmår att undvika.

Det är inte svårt att se hur det här hos läsaren snabbt formuleras frågor om hur ovanstående exempel kan eller ska kopplas till offentlig sektor. Svaret är lika enkelt som självklart: det är mer regel än undantag att privat sektor agerar tjänsteutvecklare åt offentlig sektor. Det är därför av stor vikt att offentlig sektor ser och analyserar de risker det innebär att låta nästan all utveckling av digitala lösningar ske i den privata sektorn.

Den svenska byråkratin har förstås varit intresserad av medborgardata långt innan sociala medieplattformar och digital övervakning blev ett faktum. Många utmaningar vad gäller den statliga centraliseringen av data är också i sig inte primärt resultatet av teknisk innovation.

Som talande exempel tänker jag här på hanteringen av skyddade personuppgifter. Statens ansvar att skydda dess mest utsatta medborgare ställs med viss regelbundenhet på prov när det avslöjas att Skatteverkets egen hantering är en av anledningarna till att känsliga uppgifter röjs. Emellanåt är det rudimentära processproblem som postgången till personer med skyddad identitet som är problemet. Det är svårt att förstå hur man kan säkerställa att det går att skicka fysiska ting såsom brev och paket till personer vars vistelseort och adress ses som kritiskt skyddsvärd. Samtidigt hanteras den känsliga datan i system som tidvis visat sig vara svåra för Skatteverkets egen personal att hantera säkert.

Under en period handledde jag ett antal kvinnojourer i säkerhetsfrågor, och även efter att kvinnojourerna implementerat en lång rad säkerhetsåtgärder för sina skyddade boenden fanns det många oklarheter kring vad man kunde förvänta sig av statens skyddsmekanism. Frågorna kom under samma tidsperiod som Trafikverket outsourcat hanteringen för Polismyndighetens personskydd till Serbien och den leverantör 1177 upphandlat för sina vårdsamtal visade sig ha lagt ut inspelningar publikt åtkomliga på internet.

Att privat sektor och dess datalösningar emellanåt är osäkra är verkligen ett otyg. Men samtidigt kanske man kan förstå, eventuellt även acceptera, att den kommersiella tekniska utvecklingen drivs av vinstmaximering som ledstjärna. Det är ett resonemang som kan, och bör, ifrågasättas – men det är likväl något som genomsyrar stora delar av vårt samhälle även bortom den digitala innovationen. Offentlig sektors drivkraft bör vara en annan, där värdet i verksamheten inte alltid kan vara monetärt. Särskilt bör detta gälla i sammanhang där kapitalet som det offentliga hanterar inte är ett ekonomiskt kapital, utan ett mänskligt sådant.”

Som nedslag i den del jag skrivit i boken ”AI och makten över besluten” vill jag göra en lite längre utvikning kring datan som samlas in av hälsoappar menade för att användare ska kunna mata in uppgifter om sin egen hälsa (i det här fallet främst uppgifter om menstruation, fertilitet och eventuella komplikationer) och varför det är viktigt att säkerställa att den datan inte tillåts läcka.

Jag noterade i ett tidigare nyhetsbrev den rapport min vän Lucy Purdon skrivit på temat. Den rapporten är fortfarande relevant, och jag brukar ofta rekommendera folk att läsa den. Anledningen är mens-appar på väldigt oskyldiga vis förmår dem av oss som menstruerar att också dela med oss av privat och integritetskänslig data. Lucy visar i sin rapport att 70% av de appar hon undersökt erbjuder maskinellt genererad och noggrant användaranpassad marknadsföring till användarna – ofta genom att bjuda in tredjepartsleverantörer av annonser och marknadsföring på ett icke-transparent vis. Med Lucys egna ord:

The online advertising ecosystem denies women full sovereignty over their health data and by design, puts women in a perpetual state of vulnerability over their safety.

Abortlagstiftningen i USA har verkligen genomgått dramatiska svängningar den senaste tiden. Att den amerikanska Högsta Domstolen rev upp viktiga prejudikat och möjliggjorde enskilda delstater att fatta egna beslut om hur kvinnor ska få bestämma över sina egna kroppar ställde till det för många. Häromdagen skrev Aftonbladet om ett fall där en kvinna vid läkarundersökningar fått besked om att fostret i hennes mage slutat växa, men ändå vågade ingen läkare i hennes delstat utföra en abort eftersom de hotades med fängelse om en domare (dvs en jurist utan medicinsk kompetens) skulle bedömt att de bröt mot delstatens strikta abortförbud. Hon var tvungen att resa över halva landet för att hitta en klinik som kunde hjälpa henne.

Samtidigt ska minnas att enbart de två mest populära hälsoapparna där man kan samla data om sin menstruationscykel, Flo och Cue, för några år sedan hade totalt 55 miljoner användare – enbart i USA. Apparna baseras på att användare matar in data om sin allmänna hälsa och menstruationsdata, och så får man som användare tillbaka detaljerade hälsotips och rekommendationer för tredjepartstjänster man kan vara intresserad av. Parallellt med detta sker avancerad data-analys för att exempelvis kartlägga vilka som besöker mottagningar för familjeplanering för att enklare kunna ge individuellt anpassad reklam till personer som abortmotståndare misstänker skulle vilja avsluta en graviditet – och som man därmed anser vara fritt villebråd för reklam om det olämpliga eller lagvidriga med abort.

Datan är så granulär att reklamen kan skickas till personer till och med medan de sitter i väntrummet på en sådan mottagning! Så här beskrivs en av de agenturer som erbjuder den riktade reklamtjänsten:

Through mobile geo fencing, banner ads with pregnancy help messaging can be delivered to a woman’s smartphone while she’s in the vicinity of an abortion clinic or actually sitting inside of one. Once she leaves the abortion clinic, the banner ad will continue to appear on her smartphone for up to 30 days.

Eftersom användardata idag är en väsentlig del av den digitala ekonomin, skapas också mellan olika datakällor gråzoner där data antingen utbyts mot tjänster eller där olika insamlingssyften överlappar. ”Data brokers” samlar på ett digitalt värde som de använder för att generera profit, något som beskrivs på många håll – men den här kanadensiska bloggposten tycker jag innehåller många värdefulla länkar vidare.

Utan tydlighet, transparens och kontroll över hur data samlas in, analyseras, används och eventuellt säljs vidare skapas därför nya riskzoner. I det här fallet kring kvinnors hälsa, när de måste många gånger tvingar välja mellan att använda sig av digitala tjänster för att hantera sin livssituation och därmed exponera sig för olika typer av digitala hot och risker, eller så går de miste om möjlighet att få tillgång till relevant och ibland livsviktig vård – allt i en salig blandning av innovativ teknikutveckling kombinerat med konservativ politisk moralism.

Hej,

Vill man studera hur techföretag försöker tvätta sin byk ska man studera caset Clearview AI, som det denna vecka blir fokus på det här nyhetsbrevet.

Clearview AI är ett företag som tillhandahåller avancerad ansiktsigenkänningsteknik till den som betalar för sig. Deras verktyg är oerhört effektivt men dataskydd är inte direkt en paradgren. Förra året stämdes de av brittiska dataskyddsmyndigheten på motsvarande 10-15 miljoner svenska kronor eftersom det framkommit att de utan lov samlat miljarders miljarder bilder från internet för att skapa världens största databas av ansikten att matcha med insamlad data från deras system: https://www.forbes.com/sites/roberthart/2022/05/23/clearview-ai-fined-94-million-in-uk-for-illegal-facial-recognition-database/

Det var inte första gången Clearview AI är i blåsväder. För ett par år sedan drabbades de av negativ publicitet i samband med att planen på skapandet av nyss nämnda databas läckte. Clearview AI agerade då på ett rätt lustigt sätt – istället för att pudla så erbjöd de sin tjänst gratis som testversion till (minst) 24 polismyndigheter runt om i världen. Man ville dra sitt strå till stacken och göra världen lite bättre hävdade man: https://www.buzzfeednews.com/article/ryanmac/clearview-ai-international-search-table

Så vitt det är känt gjorde polismyndigheter omkring 14000 sökningar i Clearview AIs databas innan testversionen löpte ut. En av de polismyndigheter som fick möjligheten att testa sig fram var den svenska. Och även om de först försökte förneka detta så tvingades de till slut krypa till korset: https://www.dn.se/nyheter/sverige/polisen-backar-omstridd-ansiktsigenkanning-har-anvants/

Det uppskattade dock inte IMY, Integritetsskyddsmyndigheten, som riktade skarp kritik och krävde Polisen på vite på 2500000kr för att ha använt sig av den integritetskränkande tjänsten. Genom användningen ansåg IMY att Polisen hanterat personuppgifter och biometrisk data på ett sätt som strider mot brottsdatalagen. Man hade dessutom inte gjort någon konsekvensanalys av den experimentella användningen: https://www.imy.se/nyheter/fel-av-polisen-att-anvanda-app-for-ansiktsigenkanning/

Nu gör Clearview AI ett nytt försök att rycka upp sig och skaffa sig ett jobb. Som svar på Rysslands anfallskrig mot Ukraina har de ukrainska underrättelsemyndigheterna börjat kartlägga ryska soldater för att bättre förstå motståndarens förmågor. Initialt gjordes detta manuellt, men in trädde för en tid sedan Clearview AI som ett slags räddare i nöden: https://time.com/6334176/ukraine-clearview-ai-russia/

 Effektivt, säkerligen, men den dagen Clearview AI försöker komma in i värmen inom ramarna för rättsvårdande myndighetsarbete inom rättsstatens principer så hoppas jag att fler minns de övertramp de tidigare gjort. Ett företag som helt saknar respekt för privatliv och dataskydd ska inte uppmuntras att spara information om oss alla.