Det är sannerligen inte enkelt att balansera olika intressen. Försvarsmakten behöver verktyg som förhindrar insyn, gemene man behöver verktyg för att värna om våra fri- och rättigheter. Samtidigt anser brottsbekämpande myndigheter att de behöver ännu en bakdörr för att bekämpa den grova brottsligheten. Detta ska ses i en tid där vem som är god och vem som är ond kan skifta över en natt. Det ska också ses i en era där vi sedan länge har lämnat dåtidens sätt att kommunicera, men där lagstiftaren tyvärr lever kvar i en tid av nummerbaserade tjänster såsom sms och telefoni.
Regeringen beslutade den 5 augusti 2021 att se över den lagstiftning som medför en skyldighet för tillhandahållare av elektroniska kommunikationstjänster att lagra uppgifter om elektronisk kommunikation samt myndigheternas tillgång till uppgifterna. Den 30 maj 2024 presenterades utredningen Datalagring och åtkomst till elektronisk information (SOU 2023:22) och den 22 november 2024 kom utkastet till lagrådsremiss. Utkastet uttrycker att den som tillhandahåller en allmänt tillgänglig nummeroberoende interpersonell kommunikationstjänst ska lagra uppgifter om Säkerhetspolisen begär det.
I lagrådsremissen uttrycks att tillhandahållaren ska kunna göra uppgifterna tillgängliga för brottsbekämpande myndigheter i läsbar form. Försvarsmaktens enda kommentar till lagrådsremissen är att “...kravet på anpassningsskyldighet av nummeroberoende interpersonella kommunikationstjänster inte kommer att kunna uppfyllas utan att införa sårbarheter och bakdörrar som kan komma att nyttjas av tredje part.”
Om lagrådsremissen blir verklighet innebär det i klartext att totalsträckskryptering inte längre är möjligt, eller åtminstone inte lagligt. De illvilliga bryr sig som bekant inte om lagen så vad blir egentligen effekten? En effekt är att Signal lämnar Sverige enligt intervju i SVT med Meredith Whittaker, ordförande för Signal Foundation. Sannolikt lämnar fler tillhandahållare av totalsträckskryptering.
Lagrådsremissen får inte bara hård kritik från remissinstanserna och aktörerna, förslaget går också stick i stäv med NIS2-direktivet som i skäl 98 skickar en tydlig signal till lagstiftaren att “Användningen av totalsträckskryptering bör förenas med medlemsstaternas befogenheter att säkerställa skyddet av sina väsentliga säkerhetsintressen och sin allmänna säkerhet och att möjliggöra förebyggande, utredning, upptäckt och lagföring av brott i enlighet med unionsrätten. Detta bör dock inte försvaga totalsträckskrypteringen, som är en kritisk teknik för ett effektivt dataskydd, integritet och kommunikationssäkerhet.”
Apropå Försvarsmakten och Signal, den 11 februari 2025 beslutade Försvarsmakten en instruktion (FM2025-61:1) som anger att alla Försvarsmaktens telefonsamtal och meddelanden ska använda en totalsträckskrypterad applikation i form av Signal med motparter i och utanför Försvarsmakten som har den möjligheten.
Av Försvarsmaktens instruktion framgår att det är tillåtet att använda Signal för samtal och meddelanden som innehåller sekretessbelagda uppgifter som inte är säkerhetsskyddsklassificerade. Det är dock inte tillåtet att använda Signal för att hantera filer som innehåller sekretessbelagda uppgifter.
En undran som väcks är varför man får skicka meddelanden med sekretessbelagda uppgifter men inte hantera filer som innehåller sekretessbelagda uppgifter? Rättsligt är såväl en fil som ett meddelande att betrakta som en handling i form av en upptagning. Om upptagningen inkommit till eller skickats från myndigheten så är den dessutom allmän. Därmed inte sagt att den är offentlig – sekretess kan såklart ändå råda. Handlingar som omfattas av sekretess måste registreras av myndigheten så snart de kommit in eller expedierats.
En fråga som också väcks, och som förstärks av lagrådsremissen, är varför Försvarsmakten inte själva tar den öppna källkoden och använder Signalprotokollet i egen applikation? Då skulle Försvarsmakten behålla sin information om användarna och dessutom få information om vilka andra som vill kommunicera säkrare med Försvarsmakten. Detta är en önskvärd väg fram oavsett lagrådsremissen för att undvika bakdörrar och för att inte vila i händerna på en en amerikansk stiftelse, Signal Technology Foundation (Stiftelsen Signal).
Noterbart är att varken Stiftelsen Signal eller Signal Messenger Limited Liability company (LLC) är anslutna till Data Pricacy Frameworks (DPF) Program enligt den lista över självcertifierade företag som därmed omfattas av kommissionens genomförandebeslut (EU) 2023/1795 om adekvat skydd av personuppgifter enligt ramen för dataskydd mellan EU och Förenta staterna.
Tillbaka till det föreslagna förbudet mot totalsträckskryptering. Ett viktigt inspel är att dagens tvångsmedel redan medger att utnyttja det faktum att det finns och har funnits brister i Signal-appen. Exempelvis möjligheten att ta ut pinkoden till Signal eller att meddelanden i databasens flaggades som borttagna istället för att de raderades under en tid. Att dessa tvångsmedel inte skulle vara tillräckliga är inte någon överraskning, men när lagförslaget om hemlig dataavläsning var i ropet så beskrevs det som ovärderliga verktyg, återigen på bekostnad av den personliga integriteten.
Vad är sannolikheten för att det kommer nya ljusskygga appar som realiserar totalsträckskryptering vid sidan av de som idag öppet tillhandahåller en allmänt tillgänglig nummeroberoende interpersonell kommunikationstjänst? Lagrådsremissen kommer främst att motverka ambitionerna i bland annat NIS2 där totalsträckskryptering är en viktig pusselbit för att värna om ett effektivt dataskydd, integritet, kommunikationssäkerhet och för att värna de goda krafterna.
Vägen fram är färre sårbarheter, inte fler!
Thomas Nilsson
