Fördjupad informationssäkerhet i bakgrundskontroller

16 april, 2024

Utgivningsbevis har under de senaste åren fått ett tydligt strålkastarljus på sig, på regeringsnivå och i Högsta domstolen, gällande problem med GDPR  och informationssäkerhet. Så sent som i början av september lämnade Svenska Bankföreningen in en framställan till regeringen angående utgivningsbevisens existensberättigande.

Svenska Bankföreningen belyser att företag som innehar utgivningsbevis kan underlätta för kriminella att inhämta information för olagliga ändamål, såsom att identifiera måltavlor och penningtvätt.

Elisabeth Tallström, affärsområdeschef och Oskar Olsson, Operativ Chef inom Human Risk Management på säkerhetsföretaget 2Secure, är starkt kritiska till vilka krav som ställs på de som ansöker och hur utgivningsbeviset nyttjas.

2Secure’s perspektiv på utgivningsbevis och informationssäkerhet: balansera säkerhet och personlig integritet

Inledningsvis är det viktigt att framföra att vår ståndpunkt på 2Secure är att utgivningsbevis fortsatt bör existera, men med det mycket viktiga tillägget att de endast ska utfärdas för journalistiska ändamål. Vi inom säkerhetsbranschen klarar oss ändå och kan göra som vi alltid har gjort – till exempel kontakta domstolarna direkt när vi gör bakgrundskontroller.

Den här diskussionen handlar främst om integriteten för de som förekommer i databaserna. Tyvärr är det så att inom många branscher, säkerhetsbranschen inkluderad, så förekommer det ofta en inställning som säger att verksamhetens behov går först och den personliga integriteten ibland måste sättas åt sidan.

Vi har genom åren stött på många säkerhetschefer som tycker att man kan använda verktyg som till exempel Mr Koll, Hitta.se, Ratsit.se Bakgrundskollen.se, Verifiera.se etc. och att det är ok så länge det bara sker på säkerhetsavdelningen, för här vet man vad man gör, säger Elisabeth.

”Att man inte sällan bryter mot GDPR tycks ofta komma i andra hand”, tillägger Oskar.

”En vändning tycks dock vara på gång”, avslutar Elisabeth med.

Att följa GDPR är inte en omöjlighet

2Secure är övertygade om att det går att följa GDPR och jobba med informationssäkerhet fullt ut, samtidigt som man tillgodoser verksamhetens behov. Instrumenten för det finns. För ungefär ett år sedan fick 2Secure tillstånd från IMY som har kombinerats med ett flertal villkor, som ger de kontrollerade ett starkt skydd för sin personliga integritet. Tillståndet ger 2Secure rätt att behandla uppgifter om lagöverträdelser i samband med de bakgrundskontroller företaget genomför.

Många andra säkerhetsföretag har nu valt att gå samma väg och ansöka om tillstånd hos IMY. IMY har också inlett ett arbete för att förenkla för vissa företag att behandla uppgifter om lagöverträdelser. Just nu finns ett förslag ute på remiss som ger finansföretag och företag som exporterar krigsmateriel möjlighet att kontrollera sanktionslistor.

Med det sagt, databaserna som finns är på många sätt väldigt bra och behoven finns i säkerhetsarbetet. Dock har utgivningsbeviset som det är utformat idag, och det sätt det används på, flertalet brister.

Grundkrav för utgivningsbevis idag lågt ställda

Det finns krav, dock låga sådana och det är ett problem. Inträdeskraven för att erhålla ett utgivningsbevis från Myndigheten för press, radio och TV i dag, uppfylls av de flesta aktörer som ansöker, då kraven för att få beviset nästintill är obefintliga.

När utgivningsbevis väl tilldelas, blir webbplatsen eller databasen grundlagsskyddad enligt Yttrandefrihetsgrundlagen (YGL).

Kraven för att ansöka och erhålla ett utgivningsbevis behöver ses över

Vi anser att verksamheter som ansöker om utgivningsbevis måste behovsprövas. Handläggarna behöver fråga sig om verksamheten tillgodoser ett samhälleligt behov av journalistiska ändamål eller på annat sätt bidrar till att försvara det fria ordet och vårt demokratiska samhälle, till exempel genom att göra det säkrare.

Denna fråga behöver lyftas och prövas av den utredning som svenska bankföreningen vill få till stånd.

De som innehar utgivningsbevis äger rätten att bestämma om du ska tas bort eller inte

I den form som utgivningsbevis används i dag är det ett sätt att runda GDPR. Konkret innebär det att de som idag har utgivningsbevis, bland annat Mr Koll, Hitta.se, Ratsit.se, Bakgrundskollen.se, Verifiera.se med flera, äger rätten till den information de lagrat om dig.

Du kan vända dig till en sajt med utgivningsbevis och be att dina uppgifter tas bort. Den rådande tolkningen av lagstiftningen är att sajterna inte behöver följa bestämmelserna i dataskyddsförordningen (GDPR) om det skulle strida mot det grundlagsskydd som utgivningsbeviset ger. Det innebär att de som har utgivningsbevis inte är skyldig att radera de uppgifter de har lagrat om dig.

Det finns fall där enskilda individer tar strid

Till exempel har Mr Koll blivit stämda av en kvinna men fallet ledde till förlikning i Högsta domstolen och kvinnan blev borttagen från databasen. Beklagligt med förlikningen är att vi nu inte får fallet prövat. När fall inte leder till dom har vi ingen aning om hur många andra förlikningar som har träffats som vi inte känner till. Mr Koll och andra borde vara transparenta här. Hur många har de plockat bort från sina databaser. För är det något vi vet så är det att buset alltid är steget före.

Tvivelaktig validitet i rättsdatabaserna när det går att bli raderad

När de människor som vill dölja sin identitet nu vet att det går att träffa en förlikning, och möjligen bli borttagen, så kommer de att vända sig till alla databaser med utgivningsbevis som de kan hitta med en begäran om att bli borttagna. Det här är en förtroendefråga för dessa databaser och något som borde adresseras. Bevisligen är tjänsterna beredda att gå med på en förlikning att radera de personer som inte vill ha sina personuppgifter i databasen. En retorisk fundering man kan ha är hur många kriminella som har valt att bli raderade?

Vem som helst kan inhämta information om dig när som helst

För din personliga integritet innebär nyttjandet av utgivningsbevisets hos dessa berörda sajter att vem som helst, när som helst kan inhämta information om dig, bland annat folkbokföringsadress, vem som bor på din adress, vilken typ av bostad du innehar samt rättslig information. Det sistnämnda, för en billig peng, beställer du om det finns eventuella domar på individen du vill kontrollera.

Och all denna information kan som sagt vem som helst när som helst få ut om dig och utan att du gett ditt godkännande. Du har således ingen vetskap om att du blivit kontrollerad.

Vi ifrågasätter om det här var tanken med utgivningsbevis?

Vi vill vara tydliga med att göra tillägget att utgivningsbeviset i sig är avgörande för tryckfriheten, för att tillhandahålla information för verksamheter som har rätt att behandla personuppgifter, till exempel där syftet är kopplat till journalistik.

En annan aspekt är att säkerheten för den personliga integriteten står på spel när oseriösa aktörer hanterar personuppgifter som tillhandahålls av webbaserade söktjänster.

Att det nu sätts extra strålkastarljus på frågan är mycket välkommet och 2Secure ser fram emot att följa frågan och den fortsatta debatten.

Problem med utgivningsbevis:

 

  • Minimalt skydd för den personliga integriteten

    Vi har ett skydd för den personliga integriteten genom GDPR men dessa databaser försöker gå runt det. Inte bara individer utan mängder av företag gör dagligen sökningar i dessa databaser utan att den registrerade informeras.

  • Riksdagen vill förbjuda

    och uttalade redan för flera år sedan (rskr. 2017/18:336) att ”söktjänster som tillhandahåller sådana personuppgifter utgör ett allvarligt ingrepp i enskildas personliga integritet”. När frågan var uppe till prövning i höstas så uttalade justitieutskottet att det ”i dag finns databaser med utgivningsbevis som i praktiken kan liknas vid privata belastningsregister. Utskottet delar därför regeringens bedömning att den nuvarande regleringen ger ett otillräckligt skydd för integritetskränkningar”. Att det inte blev någon lagändring i höstas beror endast på att riksdagen inte tyckte att regeringens förslag var tillräckligt avgränsat. Att både Riksdag och Regering vill ha en ändring till stånd råder det inget tvivel om.

  • Databaserna frångår syftet med utgivningsbevis

    – Det tycker även våra lagstiftare. Regeringen anser vidare att verksamheter som offentliggör personuppgifter om lagöverträdelser kan sägas ligga långt från själva kärnan för det område som grundlagarna är tänkta att omfatta. (prop. 2017/18:49 s. 145)

  • Det går inte att lita på databaserna

    Mr Koll träffade en förlikning med en kvinna som hade stämt dem och hon tycks inte längre finnas i deras databas. Hur många andra har plockats bort från deras databas som vi inte känner till? Det är allmänt känt att buset alltid ligger steget före och vi kan räkna med att många redan har begärt att blir raderade från Mr Koll, Verifiera och liknande.Källa: (SVT 25 MAJ 2023)

https://www.svt.se/kultur/mrkoll-malet-stalls-in

Även om utgivningsbeviset är nödvändigt för tryckfrihet och journalistik, lyfter vi på 2Secure fram flera problem med dess nuvarande användning. Dessa inkluderar minimalt skydd för personlig integritet, tvivelaktig validitet i rättsdatabaser och möjlighet för vem som helst att hämta information om en individ utan deras vetskap.

Vi välkomnar det ökade fokuset på utgivningsbevisen och ser fram emot fortsatta diskussioner och förändringar. Läs hela artikeln i Aktuell Säkerhet.
Källa: (Aktuell Säkerhet 2023:6 sid 30-31)

 

TILL ARTIKELN