En säker digital miljö?

I oktober 2024 försvarade doktoranden Jenna Andersson sin doktorsavhandling inför publiken vid Vasa universitet på institutionen för affärsrätt. Andersson är ekonomie magister. Temat för studien var informationssäkerhet i organisationer.^{(1)Andersson, Jenna Organisaation hyvä tietoturvan sääntelyjärjestelmä https://osuva.uwasa.fi/bitstream/handle/10024/18074/978-952-395-150-1.pdf?sequence=2&isAllowed=y}Hon hade avgränsat sitt forskningsämne till att analysera och utveckla god informationssäkerhetspraxis i organisationer. Trots denna begränsning omfattar boken drygt 400 sidor. Det är en längre avhandling än vad som är brukligt i Finland i dag. Jag hade äran och nöjet att vara opponent på den avhandlingen.

Andersson ställde två grundläggande frågor i sin avhandling. Hon frågade:

1. Är det nuvarande regelverket för informationssäkerhet i organisationer bra?

2. Finns det behov av en nationell lag om informationssäkerhet i Finland?

Den sistnämnda frågan påminner om ett viktigt skede i utvecklingen av den finska rättsinformatiken. År 1997 publicerade vi en omfattande rapport om samma fråga vid Institutet för rättsinformatik vid Lapplands universitet. Idén till denna rapport uppstod under förberedelserna inför implementeringen av EU:s personuppgiftsdirektiv. Den personifierades av en fråga till mig från Miliza Vasiljeff, regeringsråd vid finansministeriet. Frågan var: ”Ahti, varför stiftar vi bara lagar om dataskydd här? Borde vi inte också överväga behovet av lagstiftning om datasäkerhet?” Jag gick med på det, och med finansiering från finansministeriet inleddes sedan arbetet. Det var ett viktigt ämne.

Svaret var positivt. Det fanns ett verkligt behov av en allmän lag om informationssäkerhet. Det var inte tillräckligt att personuppgiftsdirektivet kortfattat föreskrev behovet av att skydda information. Detta visade de begåvade unga forskarna i sina goda texter.^{(2)Saarenpää, Ahti & Pöysti, Tuomas & Sarja, Mikko & Still, Viveca & Balboa Alcoreza, Ruxandra: Tietoturvallisuus ja laki: näkökohtia tietoturvallisuuden oikeudellisesta sääntelystä: tutkimusraportti Valtiovarainministeriö, hallinnon kehittämisosasto, Lapin yliopiston oikeusinformatiikan instituutti. Valtiovarainministeriö, (1997) 679 s.}

Trots att många upplysta parter – såsom riksdagens justitieombudsman och dataombudsmannen – stödde idén om en nationell informationssäkerhetslag ledde vårt förslag inte till något genombrott. Jag har förstått att det fanns tre olika huvudskäl till detta. För det första sågs informationssäkerhet vid den tidpunkten främst som en teknisk fråga. För det andra hade utvecklingen av informationssamhället bara börjat och en mer allmän förståelse för informationssäkerhet höll fortfarande på att ta form. Och för det tredje sågs personuppgiftsdirektivet som en tillräcklig garanti för datasäkerhet. Det fanns således många skäl till det negativa svaret från förvaltningen. Till dessa ska läggas de skilda åsikterna hos två viktiga ministerier – justitieministeriet och finansministeriet.

Frågan var: ”Ahti, varför stiftar vi bara lagar om dataskydd här? Borde vi inte också överväga behovet av lagstiftning om datasäkerhet?” Jag gick med på det, och med finansiering från finansministeriet inleddes sedan arbetet.

När Jenna Andersson nu återigen föreslår en nationell datasäkerhetslag som ett resultat av hennes forskning är situationen en helt annan. Vi lever i ett digitalt nätsamhälle och en digital rättsstat. Detta har också erkänts av Europeiska unionen, som inledningsvis intog en försiktighetsprincip när det gäller informationssäkerhet. Deklarationen från 2022 om rättigheter och principer för ett digitalt samhälle är mycket talande. EU vill främja en säker digital miljö.^{(3)Den europeiska förklaringen om digitala rättigheter och principer 15.12.2022.} Det är svårt att föreställa sig en sådan värld utan en stark koppling mellan dataskydd och datasäkerhet. Men framför allt är informationssäkerhet ännu bredare, mycket bredare än bara en nödvändig grundpelare för ett gott dataskydd.

Jenna Anderssons bok handlar också om det nya NIS2-direktivet^{(4)DIREKTIV (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet)}, som fokuserar på cybersäkerhet. Hon påpekar med rätta att det är viktigt att förstå sig på cybersäkerhet för att kunna etablera goda säkerhetsrutiner i organisationer. NIS2 är en lagstiftning som ligger rätt i tiden och som har blivit en bredare ersättning för bristerna i den tidigare, bara några år gamla NIS1. Och cybersäkerhet är naturligtvis en del av den bredare informationssäkerheten.

Jag har själv skrivit många gånger kort om digitala jurister. Min utgångspunkt är att alla goda jurister i dag också är digitala jurister. Den tid då vi undrade över informationsteknikens intåg i advokatlivet är sedan länge förbi. Peter Seipel och Jon Bing gjorde ett pionjärarbete för att skingra tidigare tvivel. I deras fotspår var det lättare för mig att sprida samma budskap i Finland.

Men vad kan man då förvänta sig av digitala jurister? Ethan Kash påpekade redan på 1990-talet att de måste ha en bredare bas än traditionella jurister som är snävt inriktade på enskilda rättsområden.^{(5)Katsh Law in a Digital World (1995) och nyförtiden https://blackwells.co.uk/bookshop/product/Law-in-a-Digital-World-by-M-Ethan-Katsh/9780195359855}Detta är utan tvekan fallet. Jag har själv nyligen argumenterat för att digitala jurister i dag bör förväntas ha tillräcklig kunskap om framför allt följande frågor:

1. God kunskap om informationssäkerhet

2. Goda kunskaper om skydd av personuppgifter

3. God kunskap om informationsvägar inom e-tjänster och informationshantering

4. God informationskompetens

5. God kunskap om rättsstatsprincipen

6. God kännedom om nätverkssamhällets infrastrukturer

7. God förmåga att identifiera de positiva och negativa effekterna av AI

Med andra ord är både våra metodologiska färdigheter och färdigheterna att vara ”rättsvetare” i vårt sammanhang tvungna att förnyas om och när vi vill vara goda jurister. Att identifiera sådana förändringar och belysa dem har varit och är fortfarande en av grundpelarna i rättsinformatiken. Vi kan verkligen tala om en framåtblickande disciplin.

Jag har tidigare framfört listan ovan i samband medskyddet av personuppgifter. ^{(6)Saarenpää The Digital Lawyer, Jusletter IT 26. Ferrera 2015.} En advokats arbete består ju i mycket stor utsträckning av behandling av personuppgifter. Men i dag anser jag att goda kunskaper om datasäkerhet bör vara den främsta prioriteringen. Det är vad vår digitala miljö kräver.

Men vår personliga förmåga till att möta förändring är ofta notoriskt blygsam. Tillåt mig att här kort belysa två förbryllande uttryck för långsamhet. De gäller för det första den ostadiga utvecklingen av skyddet av personuppgifter i praktiken, och för det andra den bisarra tanken att försöka bortförklara ett stort systemfelmed att det beror på mänskliga misstag. De båda är viktiga på samhällelig nivå.

Inledningsvis utvecklades skyddet av personuppgifter relativt snabbt i formella termer på lagstiftningsnivå under 1970- och 1980-talen, tack vare Tyskland och Sverige. Tiden var mogen för att reglera närmare den tidigare fria användningen av personlig information, vår personliga information. Men vi befinner oss fortfarande i en situation där man försöker göra personuppgifter till varor i olika former. Och vi befinner oss fortfarande i en situation där problem med dataskydd inte ens erkänns. Jag vill uppmärksamma läsarna av denna publikation på ett beslut som fattades för några år sedan av Finlands Advokatförbunds tillsynsnämnd som övervakar advokater.^{(7)13.11.2020 Seuraamuksen määräämättä jättäminen | 3. jaosto (på finska)}

Det handlade om en situation där advokaterna hade upphört att arbeta på ett gemensamt kontor. Den advokat som senare lämnade byrån fysiskt krävde att den andre advokaten skulle radera hans personuppgifter från byråns dator. Den senare vägrade med motiveringen att han inte hade någon skyldighet att radera uppgifterna. Den advokat som lämnat firman klagade till tillsynsnämnden. Nämnden fann, med stöd av artikel 17 i dataskyddsförordningen, att uppgifterna i fråga skulle ha raderats. Eftersom den advokat som hade begärt raderingen själv hade agerat olämpligt genom att lagra sina personliga personuppgifter på byråns dator, utdömdes emellertid ingen påföljd.

Jag kan inte frigöra mig från tanken att alla tre parter, både de två advokaterna och tillsynsnämden, handlade fel. Det som framför allt glömdes bort var skyddet av personuppgifter som en grundläggande rättighet. Perspektivet var för snävt.

Ett annat förbluffande uttryck för inkompetens är den långvariga tendensen att förklara dataintrång eller dataläckage som inget annat än mänskliga fel, som ofta framför allt verkar vara systemfel. Med andra ord har datasäkerheten misslyckats eftersom de lagstadgade riskbedömningarna inte har utförts och ett dataläckage eller ett dataintrång därför har möjliggjorts av enkla mänskliga misstag.^{(8)Saarenpää, Human Error and Data Security, Jusletter IT 25. Februar 2021}

Ett annat problem är avsaknaden av riskanalys vid planeringen av informationssystem. I den finska rättsinformatiken har jag lyft fram informationens väg som ett grundläggande teoretiskt juridiskt begrepp vid utformningen av informationssystem. Med informationens väg menar jag att man vid utformningen måste ta hänsyn till alla dem som har rätt att få tillgång till informationen i informationssystemet. Och den måste också ta hänsyn till i vilken form informationen tillhandahålls eller i vilken form mottagaren har tillgång till den. I den finska regleringen av skyddet för personuppgifter ingick informationsvägen i all sin enkelhet i genomförandet av personuppgiftsdirektivet. Den nuvarande nationella dataskyddslagen innehåller samma bestämmelse i följande form:

I den digitala miljön är tanken på ett dynamiskt dokument som kan omvandlas till ett dokument som behåller sitt bevisvärde för olika ändamål både naturlig och oumbärlig. Den statiska pappershandlingens tid torde vara förbi. Men vi stöter fortfarande på situationer där olika uppgifter i dokument svärtas ner och beroende på hur effektiv svärtningen är kan uppgifterna fortfarande vara mer eller mindre synliga. Säkerheten bör inte vara beroende av detta.

Jag ska ännu kort återkomma till Jenna Anderssons avhandling. En av hennes grundtankar är att skapa god praxis. Detta innebär naturligtvis en uppförandekod i enlighet med dataskyddslagstiftningen. Därmed kommer vi in på ett av de intressanta problemområdena med regelkommunikation. Vi måste med andra ord fråga oss hur vi ska kunna förenkla den stora mängden lagstiftning för att tillgodose yrkesutövarnas behov. Denna förenkling är en nödvändighet när vi kommer till gränszonerna mellan dataskydd och datasäkerhet.

Ett bra exempel är behandlingen av hälsouppgifter i olika former. GDPR har för närvarande 94 artiklar. Inom området hälso- och socialdata kompletteras den i Finland av lagen om behandling av kunduppgifter inom social- och hälsovården, som innehåller 102 paragrafer. Enbart dessa två författning skapar en sådan mängd lagstiftning som är som råmaterial problematisk även för jurister.

Därför är det oundvikligt att vi behöver uppförandekoder och praxis. Man har inte funderat så mycket på hur de ska utformas. Det finns anledning att göra det. Allt kan inte överlåtas till organisationernas dataskyddsombud. Denna ganska nya profession, som blivit ännu viktigare genom dataskyddsförordningen, är redan mycket vaksamt när det gäller att göra personrättsliga saker på rätt sätt.

Och den tvetydighet som fortfarande råder mellan enskildas privaträttsliga rätt till självbestämmande och förvaltningsrättslig behandling av uppgifter om enskilda, även i ljuset av dataskyddsförordningen, gör inte tolkningen mycket enklare. Därför behöver vi oundvikligen uppförandekoder och goda rutiner.

Andersson tar också upp frågan om standarder och certifieringar. Detta är i sig naturligt. Framför allt bör implementeringen av dataskydd inte reduceras till ett sagolikt hantverk. Men det finns utan tvekan faror i kvaliteten på certifieringen i synnerhet. Som Lee Bygrave träffande påpekat, bör inte inbyggd säkerhet (security by design) innebära att man cementerar vissa yrkens särintressen .^{(9)Bygrave, Lee A. Data Protection by Design and by Default (October 18, 2021). University of Oslo Faculty of Law Research Paper No. 2021-19, in ssrn.com/abstract=3944535}

Ännu en intressant fråga som Jenna Andersson tar upp förtjänar att nämnas just i denna publikation. I sitt arbete ifrågasätter hon om arbetet är en del av rättsinformatiken eller informationsrätten. Den reflektionen är i och för sig naturlig. En avhandlingsförfattare måste ju öppet kunna placera sitt arbete inom rättsvetenskapens område. Andersson placerar sin forskning inom informationsrätten. Jag dristar mig till att vara något oense. Det är ingalunda bara på lagstiftningsnivå som man rör sig i hennes arbete. Det finns också teori längs vägen till kunskap. Då kommer vi med nödvändighet att nå upp till rättsinformatikens nivå när det gäller forskningens källdjup. Lyckligtvis är det inte bara fråga om teorilös rättsvetenskap. Vi stöter alltför ofta på en sådan dogmatism i praktiken.

Det har snart gått fyra decennier sedan professor Asko Lehtonen som den första i Finland betonade informationsrättens betydelse som en del av undervisningen i och utvecklingen av rättsinformatik. Ämnet hade tidigare varit kontroversiellt. I dag är informationsrätten som en del av rättsinformatiken en ytterst viktig del av rättsinformatikens kärnområde. Detta bör man ha i åtanke när man läser EU:s deklaration om digitala rättigheter och principer för det digitala årtiondet, som redan nämnts ovan. Det är ett slags deklaration av allmänna läror. Det är synd att Jon Bing inte längre finns kvar för att se och uppleva den.

I Finland håller vi på att genomföra en omfattande reform av den nationella lagstiftningen om dataskydd.^{(10)Tietosuojalainsäädännön kokonaisuudistus: Koordinaatioryhmän väliraportti http://urn.fi/URN:ISBN:978-952-400-951-5} I detta sammanhang kommer vi förhoppningsvis att kunna göra oss av med den gamla, beklagliga administrativa och statliga bördan i de nuvarande nationella lagarna. Resultatet av denna börda har senast varit att den offentliga sektorn inte är föremål för de administrativa sanktionsavgifterna enligt dataskyddsförordningen. Men detta borde inte ha hänt. Medan dataskyddsförordningen representerar den rättsstatliga idén om dataskydd har det nationella handlingsutrymmet delvis använts för att uppnå föråldrade administrativa statliga mål. Och även i det reformarbete som planeras nu syns myndigheternas perspektiv vara centralt.

Lyckligtvis har rätts­informatiken inte alls bara varit ett intresse för en generation. I dagens värld måste alla goda jurister vara digitala jurister i en digital miljö.

Som jag hoppas att jag lyckats påvisa ovan, kan en enda bra avhandling i dag öppna upp ett belysande perspektiv på utvecklingen av den digitala miljön och rättsinformatiken. När jag fick möjlighet att delta i det första riktiga nordiska mötet om rättsinformatik i Oslo 1985 var jag redan väl medveten om den viktiga väg som Peter Seipeloch Jon Bing redan då var inne på. Lyckligtvis har rättsinformatiken inte alls bara varit ett intresse för en generation. I dagens värld måste alla goda jurister vara digitala juristeri en digital miljö.