Kryptering är ingen skyddsåtgärd, eller?

2021-04-30
Snart går tiden ut för att lämna synpunkter på delbetänkandet från it-driftsutredningen - Säker och kostnadseffektiv it-drift – rättsliga förutsättningar för utkontraktering (SOU 2021:1).

Läs delbetänkandet HÄR

– remissvaren ska vara regeringen tillhanda senast 7 maj. Det finns en del spännande skrivningar i utredningen, bland annat att uppgifter är röjda enligt offentlighets- och sekretesslagen  (2009:400) (OSL).

Eftersom ett utlämnande är en form av röjande oavsett om uppgifterna har skyddats med exempelvis kryptering och att det “finns inga nu kända säkerhetsåtgärder som gör det helt, både i teori och praktik, omöjligt för en tjänsteleverantör att ta del av uppgifterna.” (s. 282 f.).

Det är känt för de flesta att även krypterade personuppgifter fortfarande är att betrakta som personuppgifter och därför omfattas av reglerna för 3:e landsöverföring enligt dataskyddsförordningen (GDPR). Däremot är kryptering en möjlig teknisk skyddsåtgärd (kompletterande åtgärd) som i kombination med administrativa och organisatoriska åtgärder skulle kunna användas vid överföring av personuppgifter till ett 3:e land där lagstiftningen inte ger ett tillräckligt skydd, (europeiska dataskyddsstyrelsens utkast till rekommendation om åtgärder som komplement till överföringsverktyg för att säkerställa överensstämmelsen med EU-nivån för skydd av personuppgifter). It-driftsutredningen hänvisar bland annat till dataskyddsstyrelsens utkast till rekommendation, men det framgår inte tydligt att resonemangen avser det fall där tjänsteleverantören är i besittning av nyckelmaterialet. Det finns också andra exempel att referera till där tjänsteleverantören inte är i besittning av nyckelmaterialet och det är inte svårt att dra slutsatsen det är en bättre skyddsåtgärd. Varför valde utredaren ett av de sämre exemplen?

Just det faktum att krypton vittrar sönder över tid är allmänt känt sedan urminnes tider och det är därför av största vikt att rulla nyckelmaterial med lämplig periodicitet, tillse förmåga att ha en robust och kvalitativ livscykelprocess för kryptonycklar och inte minst att ha förmåga att byta ut bristfälliga implementationer och algoritmer över tid. Det är naturliga inslag när vi talar om krypto som skyddsåtgärd. När man talar om att alla krypton kan komma att knäckas måste man därför också samtidigt beakta att tekniken och verktygen för att skydda information kommer att utvecklas. Annars kan vi lägga ner verksamheten och återgå till det analoga pappers-samhället.

Enligt OSL gäller sekretess för uppgift som lämnar eller kan bidra till upplysning om chiffer, kod eller liknande metod, om det kan antas att syftet med metoden motverkas om uppgiften röjs och metoden (exempelvis kryptering) har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts, (18 kap. 9 § OSL). Här påkallas alltså kryptering som en skyddsåtgärd att använda för att sekretessbelagda uppgifter ska kunna skickas (befordran) eller i övrigt hanteras av obehörig utan att uppgiften röjs. När utredaren påstår att uppgifterna är röjda bara för att den krypterade informationen finns i någon annans besittning rimmar det illa med lagstiftarens intentioner här.

I det fall det är säkerhetsskyddsklassificerade uppgifter som ska skyddas framgår bland annat av 3 kap. 5 § i säkerhetsskyddsförordningen (2018:658) att uppgifter som ska kommuniceras till ett informationssystem utanför verksamhetsutövarens kontroll ska skyddas med hjälp av kryptografiska funktioner som har godkänts av Försvarsmakten. Just denna reglering var för övrigt en av de bärande diskussionerna i fadäsen hos Transportstyrelsen 2017. I samma förordning anges att för försändelser till och från utlandet med säkerhetsskyddsklassificerade handlingar och som inte skyddas av kryptografiska funktioner enligt 3 kap. 5 §, ska Utrikesdepartementets kurirförbindelser anlitas, (3 kap. 10 § säkerhetsskyddsförordningen).

Det är en slagsida i utredningen där utredaren lagt mycket kraft kring OSL och röjandebegreppet för att sedan landa i en något märklig slutsats som går mot annan reglering på området. Om resonemanget i utredningen blir vägledande innebär det att trycket blir hårt på kurirförbindelser framgent. Utredaren har inte lagt samma kraft på annan lagstiftning som exempelvis dataskyddsförordningen vilket gör att utredarens tolkningar grumlar ett redan grumligt läge ytterligare. Det kan inte ha varit regeringens syfte med utredningen.

Utredarens slutsats med en sekretessbrytande bestämmelse är ett rimligt resultat vilket sannolikt kommer att landa på riksdagens bord i slutet av året. Flera av remissvaren kommer säkerligen att präglas av det faktum att utredaren lyckades grumla bilden ytterligare när det var klarheter som efterfrågades. Utredningens innehåll kommer dock inte att påverkas av remissvaren utan det blev just vad det blev. Grumligare!