Naiv vårdslöshet med privat information i offentliga system
Det varnas nästan dagligen om hur de globala jättarna i sociala medier är obetänksamma med vår privata information. Att demokratin hotas i sina grundvalar. Tyvärr tar det gärna fokus från läckorna som händer nära oss – där vi hela tiden tänker att vi är säkra. När samhälleliga tjänster regelbundet brister i säkerhet måste den digitala tryggheten adresseras på nationell nivå.
Nu har det än en gång visat sig hur ett offentligt system misslyckas med att skydda den information de har ansvar för att skydda. Namn, personnummer och omdömen för 140 000 barn i Stockholm har gått att nå för den som själv har varit inloggad i skolplattformen och haft grundläggande förståelse för hur information om namn och scheman hämtas.
Det här följer på en rad avslöjanden om oförsiktighet med privat information i offentliga verktyg. Och det kommer inte att vara den sista gången.
Har våra offentliga och statliga verksamheter kompetensen som krävs för att göra rätt? Eller hindrar omständigheter som upphandlingar, prispress, tidsstress och otydliga mål dem från att göra ett bra jobb – och skydda oss?
Utvecklare förstår inte koden
Det finns nämligen en historia till i den här härvan som medierna har missat. En av utvecklarna som bidragit till skolplattformen, antingen direkt eller indirekt, har skrivit en kommentar i koden, en förklaring för att hjälpa andra att göra rätt.
Min förenklade översättning av kommentaren:
Våga inte använda den här delen eftersom jag inte har en aning om var i gyttjan den passar.
Skärmdump från föräldern som gjorde avslöjandet:
Det här är uppseendeväckande och borde leda till brådskande utredningar.
Om utvecklarna – som står för ett säkert system – själva inte kan redovisa hur trådarna hänger ihop, då har vi omfattande problem. Kände de som var medvetna om kommentaren tryggheten att kunna säga ifrån, att räcka upp handen och protestera? Och om någon gjorde det, fanns det beslutsfattare som lyssnade?
Vilseledande försvar
Förtroendet grusas ytterligare när Stockholms stad går i försvarsställning för sin plattform som de själva vet är förföljd av brister. Det pratas om att man måste “ändra i programmeringskoden” för att få ut informationen. Det är fel. Om någon kunde ändra i koden skulle vi ha ett ännu större problem.
Föräldern som upptäckte säkerhetsbristen säger själv:
Reagerar på att ansvarig på staden säger att jag ‘ändrat i programmeringskoden’. Det är väldigt vilseledande. Det jag gjorde var mer som om jag skulle måla över en av siffrorna på mitt bankkort med en annan siffra och plötsligt dras pengarna på nån annans konto.
Programmering börjar bli en alltmer utbredd kompetens. Vi är hundratusentals som förstår att det inte var svårt att få tillgång till all information via plattformen. Ge gymnasieelever en checklista och de klarar av det på tio minuter.
Så hur försäkrar vi oss mot offentliga verksamheters naiva vårdslöshet? Svaret är givetvis att vi måste sluta ge dem vårt förtroende om de inte ger oss sin transparens tillbaka. De måste – på riktigt – förstå allvaret när de brister i sitt ansvar. Dessutom måste de – på riktigt – erkänna hur allvarligt det är.
Vem säkerställer medborgarnas skydd?
Dataskyddsförordningen har gett oss rätt att bli bortglömda, att avlägsna vår information från system och plattformar vi inte litar på. Rätten till skyddad information har blivit en mänsklig rättighet. Men om våra statliga system är källan till läckorna – och de systemen dessutom är obligatoriska – hur säkerställs då våra mänskliga rättigheter?
Digitaliseringsrådet, med Anders Ygeman i spetsen, ska hjälpa regeringen med strategiska analyser och rekommendationer. Digital trygghet är ett av sex delmål i digitaliseringsstrategin för Sverige, eftersom det måste “finnas goda förutsättningar för tillit och förtroende i ett digitalt samhälle”. Här är “höga krav på säkerhet” ett av de viktigaste områdena.
Samtidigt som den digitala tryggheten, och förtroendet för landets tjänster, lider bakslag kan vi konstatera att Digitaliseringsrådet har haft exakt NOLL formella möten hittills under 2019. Det håller inte.
Att vi oroar oss för främmande makt är en sak, men det är beklämmande att vi också behöver oroa oss över hur dåligt skyddade vi är från informationsläckor i våra egna samhällstjänster.
Det är dags för Digitaliseringsrådet att kalla till möte. Och det är dags att medborgare varnas för riskerna med de tjänster som samhället fyller med information om oss och våra barn, och sedan tvingar på oss utan att behöva fråga om lov.
Läs också:
- Skolplattformen i Stockholm har stora säkerhetshål • axbom.blog
- Den största informationsläckan i landets historia • axbom.blog
- Skolplattformen i Stockholm Stad – Marcus Österberg
- Transportstyrelsens IT-upphandling – Wikipedia
- 1177 Vårdguiden incidenter – Wikipedia
- Rådsmöten – Digitaliseringsrådet
- Digital trygghet – Digitaliseringsrådet
- “Är Sveriges första sanktion enligt GDPR en papperstiger?” | Dagens Juridik
- Norrköping backar om digital barntillsyn | SVT Nyheter