”Vårdguiden måste se till att drabbade informeras”

"Jag har kollat med vår it och det kan inte hända," sa företagets vd och lade på luren i örat på journalisten från Computer Sweden som upptäckt en stor dataläcka. Tiotusentals privatpersoners samtal till 1177 Vårdguiden har legat åtkomliga för vem som helst på internet. Men förnekelse tar oss ingenstans. Vill vi ha bättre säkerhet krävs en ny approach.

Vid första anblick är jag inte övertygad om att reportern Lars Dobos på Computer Sweden uppdagat något spektakulärt eller ovanligt. En webbserver som borde varit skyddad var inte skyddad. Det ser ut som ett slarvfel snarare än som illvilja.

Det är bra att det uppdagas så att problemet kan lösas: slarvfel kan vara dyra och tråkiga att ta tag i. Men lite medialt sprak motiverar att ta tjuren vid hornen.

Denna sorts fadäser är vanligare än vad de flesta vill tro. För varje nyhetsartikel går ytterligare nittionio slarvfel orapporterade. Vår data ligger oskyddad och tillgänglig på servrar runt om i världen. När företag och myndigheter inte själva vill ta ansvar, har vi få sätt att utkräva det av dem.

EU:s dataskyddsförordning (GDPR) har förvisso givit privatpersoner ett visst skydd. Genom den har vi ibland rätten att få reda på när vi blivit drabbade av en dataläcka. Men tyvärr har Datainspektionen valt en restriktiv hållning till när information ska nå drabbade. De bedömer att det är en säkerhetsrisk att vi får reda på när företag och myndigheter schabblat.

Därtill gör IT-brottslagstiftningen det olagligt att använda IT-system på ett sätt som systemägaren inte hade tänkt sig. Och Davide Nyblom, vd på underleveratören Medicall, hade med stor sannolikhet inte kunnat föreställa sig att någon skulle tanka ned 1177-samtal.

Både den knappa informationen till privatpersoner vid dataläckor och bestämmelserna om dataintrång bottnar i en snedvriden definition av juridisk säkerhet. Vår lagstiftning utgår ifrån staters och företags behov av allmänhetens förtroende (jämför SOU 2013:39) och att förtroendet kan skadas om säkerhetsproblem uppdagas.

Vad vi förväntar oss i våra dagliga liv är i stället att våra behov av teknisk säkerhet tillgodoses. Och för att vår tekniska säkerhet ska kunna tillgodoses måste säkerhetsproblemen uppmärksammas och åtgärdas. Kan myndigheter och företag konsekvenslöst springa ifrån tjuren i stället för att stångas med den, kommer de att göra det. De är inte mer än människor, trots allt.

Det är en typisk intressekonflikt. För myndigheter och företag är det enklast att lägga locket på och hoppas att man kommer undan med brister. Lagstiftningen som uppmuntrar sådant strutsbeteende är stark.

För privatpersoner är det tryggast om myndigheter och företag är öppna med säkerhetsproblem och bra på att åtgärda dem. Lagstiftning som uppmuntrar denna sorts proaktivitet är dock fortfarande bristfällig.

Medicall bör se detta som en möjlighet att visa hur snabbt de kan åtgärda även allvarliga säkerhetsbrister. De bör snarast se till att de som drabbats kan informeras, och deras uppdragsgivare, 1177, bör hjälpa dem. Tiotusentals svenskar svävar nu i obehaglig ovisshet och det förtroendet kan bara återfås om de ansvariga aktörerna kan visa att de bryr sig om att lösa problem.

I det större perspektivet behöver svenska myndigheter också fundera på hur de ska vinna förtroende i det långa loppet. Sannolikt behöver de ge upp tanken på att det är mörkläggning och hymmel som är den bästa, långsiktiga garanten för medborgarnas förtroende. Utanför Pamplona är det ingen som blir imponerad av människor som flyr från tjurar.

Amelia Andersdotter, ordförande Dataskydd.net