Liberalernas partisekreterare Simona Mohamsson använder Googles tjänster för såväl sin privata mejl som kalender. Det skulle inte förvåna mig om hon har det gemensamt med ett par miljoner svenskar. Men hon har också gett åtkomst för vem som helst att se inte bara när hon är uppbokad, utan också namnet på aktiviteten och vem hon träffar. Alla personer hon lagt in i sin kalender de senaste 15 åren har alltså också haft sina aktiviteter läsbara för allmänheten. Och det är inte bara privata möten som ligger där.

DN:s avslöjande låter kanske först som en sur men överkomlig fadäs. Att råka klicka i någon checkruta och öppna upp en kalender. Slarvigt, absolut, men hur allvarligt är det egentligen?

Rejält allvarligt, tänker jag.

På en direkt fråga från DN säger Simona Mohamsson att hon inte aktivt valt att dela sin kalender öppet. Det är förstås alldeles uppåt väggarna. Antingen har hon gjort det medvetet eller omedvetet, eller så har hon gett någon annan tillgång till att öppna upp hennes kalender. Jag vill vara tydlig: Google gör inte kalendrar läsbara för vem som helst utan att du gör ett aktivt val.

Att göra en kalender så öppen som Mohamsson har gjort kräver två steg:

  1. Först måste Mohamsson välja att kalendern över huvud taget ska kunna nås av någon annan via en publik länk. En sådan länk visar free/busy-information, alltså om personen är upptagen en viss tid, men inte något information om själva aktiviteten. Det här är vanligt i tjänstebranschen när man vill kunna låta kunder veta vilka tider man är tillgänglig, utan att avslöja något annat.
  2. I nästa steg måste Mohamsson välja att öppna upp även information om varje aktivitet, så kallad ”Full access”. I det engelskspråkiga gränssnittet jag använder heter det ”See all event details”. På svenska: ”Se alla uppgifter om händelser”.
Exempel på de två inställningarna som krävs för att dela en Google-kalender publikt.

Kan Mohamsson verkligen vara omedveten om att ha gjort dessa två(2) inställningar? Kanske, för det finns en möjlighet till. En som jag tänker är mer trolig: Att Mohamsson har installerat eller aktiverat en smart eller rolig tjänst som har frågat om full åtkomst till hennes kalender och som gjort inställningarna ”åt” henne. Google frågar i sådana fall om du verkligen vill ge tjänsten de exakta behörigheter jag skriver om ovan, men inte många orkar förstås läsa de där texterna. Och vips så har någon full access till 15 års möten och bokningsuppgifter.

Vilken tjänst det kan vara fråga om i så fall är omöjligt att veta, men det är känt att många människor är oerhört tanklösa med vilka tjänster de väljer att lita på, och som kan vara byggda av vilken aktör som helst som man inte har någon kännedom om alls. Det kan exemplifieras med ”kuliga” verktyg som begär tillgång till ditt Facebook-konto för att låtsas lista ut vilken karaktär i Game of Thrones som du är mest lik. Eller appar som människor laddar ner för att experimentera med hur de skulle se ut som gamla, omedvetna om att de ger bort den biometriska informationen om sitt ansikte till en övervakningstjänst.

Vad Mohamssons ”fadäs” innebär

Om jag nu påstår att det här tilltaget innebär säkerhetsrisker, vad är det egentligen jag menar?

  • Alla Mohamssons vänner och kollegor som hon haft möten med genom åren kan ha fått uppgifter röjda i och med att såväl e-postadresser som personnamn och beskrivningar av aktiviteter funnits tillgängliga.
  • Genom att tid och plats och till exempel bokningsdetaljer och referensummer för resor och hotell funnits inlagda har potentialen för att utsätta såväl Mohamsson och de personer som funnits i hennes kalender för bedrägerier, hot och våld (genom att till exempel dyka upp där de vet att personen ska vara).
  • Om det finns uppgifter som kan uppfattas som känsliga eller skyddsvärda finns underlag för att utöva utpressning. Till exempel om att Mohamsson (och/eller de hon träffat) har besökt specifika platser eller träffat specifika personer.
  • Om information eller beslut funnits i kalendern som obehöriga kommit åt innan de har rätt till dem så kan hemligheter ha röjts. Ibland ligger det ju till exempel en agenda med en kalenderbokning som kan avslöja mycket av det som är tänkt att sägas.

Tyvärr går det ju inte att se hur många, eller hur många gånger, någon läst information från Mohamssons kalender, och säkert verkar ingen veta (förutom Google) hur länge kalendern legat öppen. Men det finns ett gäng frågor kvar att ställa till henne och hennes överordnade.

  1. Varför har Mohamsson använt sin privata adress i kontakt med myndigheter?
  2. Varför har Mohamsson använt sin privata kalender för arbetsrelaterade möten?
  3. Vilka offentliga personers uppgifter har röjts (det här vet förstås DN)? Det går också att svara på eftersom kalendern nu satts till privat igen men aktiviteterna ligger förstås kvar och läsbara för Mohamsson själv – och alla andra (vem som helst) som laddat ner den.
  4. Hur ser säkerhetsutbildningen ut när det gäller digital hantering av personuppgifter (sina egna såväl som andras) och har Mohamsson brutit mot någon policy, eller till och med lag?
  5. Hur ska medborgare ha förtroende för allt prat om integritet inom digitalisering när politiker själva har en så här otillräcklig förståelse för hur data måste hanteras och skyddas?

Medan jag suttit och skrivit detta har Olle Pettersson, avdelningsjurist på Integritetsskyddsmyndigheten hunnit uttala sig i DN:

Att oavsiktligt sprida mötesuppgifter om andra till en obegränsad krets kan strida mot flera krav i dataskyddsreglerna. Till exempel kravet på att informera de berörda. De kan ju försättas i en knepig situation genom att det blir möjligt att kartlägga dem.

Den som misstänker ha fått sina uppgifter röjda på det här sättet kan anmäla det till IMY via deras e-tjänst.

Så tar jag reda på om min kalender kan läsas av andra

Runtom i Sverige sitter förstås många och undrar hur de själva kan känna sig säkra på att deras Google-kalender inte går att läsa av andra. Så här gör du:

  1. Logga in på calendar.google.com
  2. Hitta din kalender i vänsterkanten (ofta heter kalendern samma som ditt namn)
  3. Markera kalendern, klicka på de tre prickarna för att öppna en meny och välj ”Settings and sharing”, eller ”Inställningar och delning” på svenska.
  4. Bläddra ner till rubriken ”Access permissions for events” / ”Åtkomstbehörigheter för händelser” – eller välj den i vänstermenyn.
  5. Bekräfta att inställningarna där är som du vill ha dem, och spara.
  6. Om du har fler kalendrar kan du behöva upprepa detta för varje kalender.

Jag kan bara konstatera att det är en bit kvar till tekniktrygghet för de flesta. Och de som styr har en bit kvar också. Jag hoppas kunna bidra med mer skrivande som hjälper fler att få kontroll över den här stökiga digitala världen vi byggt in oss i.

Bli Supporter
CTA Image

Nu kan du som har möjlighet backa mitt arbete. Som Supporter bidrar du med 60kr per månad.

Visa alternativ

Läs mer

Föreslagna partiledarens kalender låg öppen för hela världen
DN kan nu avslöja att Simona Mohamsson delar sin Googlekalender med känsliga uppgifter helt öppet på nätet.
Dagens Nyheter
Experten om Simona Mohamsson: Säkerhetsrisk att dela sin kalender
DN avslöjar att Simona Mohamsson har öppen kalender. Det kan utnyttjas av kriminella och utsätta personer för säkerhetsrisker, enligt expert.
Dagens NyheterText Åsa Erlandsson, Hugo Lindkvist och Josefin Sköld
Säkra dina konton och lösenord online
Det behöver inte vara så att någon är ute efter just dig. Det behöver inte vara så att du har något att dölja. Men personliga identiteter säljs på Dark Web för 50-100kr alldeles oavsett vem du är. Automatiserade metoder för att skrapa fram personliga data kommer förr eller senare nå
AxbomPer Axbom
Spärra ombud och adressändring
Visste du att svindlare kan få möjlighet att företräda dig som privatperson i skattefrågor, och bli ombud för ditt eventuella företag, genom att skicka in en pappersblankett till Skatteverket? Visste du att de även kan skicka in en blankett om adressändring och ändra adressen du är skriven på? Det finns
AxbomPer Axbom