Nu får vi ordning på Sverige – gällande integritetsfrågor?

”Hej Pierre,

Den 11 september är det val. Jag har spelat in en personlig hälsning till dig för att berätta hur vi tillsammans kan få ordning på Sverige.

Hälsningar, Ulf Kristersson

Nyfiken tryckte jag på länken och en video öppnades. Kristersson tittade på mig rakt i ögonen: “Hej Pierre!”

Jag var helt chockad. Av vilken trollkonst hade Ulf Kristersson spelat in en hälsning just för mig? Mitt i videon dök även upp min kommuns borgmästare Per Grannfalk. Ulf visste alltså mitt namn, var jag bodde och hade lyckats skicka hälsningen till min e-postadress som jag var säker aldrig delades med Moderaterna.

Ett snabbt sök på Internet visade att jag inte var ensam som undrade. Många hade fått en personlig hälsning av Ulf, vissa med ett SMS, andra med ett brev… Även medier som Resume.se, Expressen hade skrivit om det.

“Ulf har personligt spelat in ett par tusen namn”

När jag började gräva blev jag först imponerad. Enligt Martin Borgs, Moderaternas kommunikationschef hade alltså Ulf suttit och spelat in “ett par tusen namn”. Hur lång tid måste inte det ha tagit?

Jag skrev ett litet skript som gick igenom Sveriges vanligaste förnamn och försökte hämta alla dessa “Hej {namn}”. Jag fick ungefär 900 av dem, vilket motsvarar en 15-minuters video.

Det tog förmodligen närmare en halv dag för honom. Han fick även spela in en mening för varje land där flest utlandssvenskar bor och ett antal kommunpolitiker skickade också meddelanden för att göra videorna lokalanpassade.

Alla dessa video-bitar slogs sedan ihop med en gemensam del för att skapa en video som blir (nästan unik) för varje person.

Moderaternas underleverantör för denna kampanj var norska företaget Seen.io som har gjort liknande kampanjer för Naturskyddsföreningen, norska socialdemokraterna och flera andra. Deras idé är enkel och beprövad. Att skicka personliga meddelanden får ett bättre resultat än ett generiskt, icke anpassat innehåll. Enligt Martin Borgs blev resultatet över förväntningarna för Moderaterna också! Filmerna sågs sex gånger i genomsnitt.

Nu när valet är slut är det bara att ge beröm till Moderaterna för att de använde sig av en innovativ metod för att övertyga väljare att kampanja och rösta för dem. Eller?

Även under valrörelsen finns det lagar

En grej är att skapa roliga videor för personer som har bett om dem, t.ex. partimedlemmar. En annan grej är att hämta personuppgifter från hundratusentals personer och att behandla dem utan deras samtycke.

I det här fallet har dessa videor skapats för:

• 160 till 200 000 utlandssvenskar
• De som fick SMS (troligtvis tusentals)
• De som fick ett mejl efter en vän tipsade om dem (troligtvis också ganska många)
• De som anmälde sig själv för att få en video
• Moderaternas partimedlemmar

Jag bedömer att det skapades ungefär 400 000 videor till hundratusentals människor, och bara vissa av dem fick även ge sitt samtycke. Dessutom har jag även kunnat se med ett snabbt gräv att Moderaternas underleverantör sannolikt har överfört personuppgifterna till USA (mer om det i rutan nere), vilket skulle ha drabbat även de som var villiga att skapa och sprida denna video.

Moderaterna är faktiskt långt ifrån de första som gör det här. Just under denna valrörelse skickade Kristdemokraterna och Sverigedemokraterna SMS till tusentals människor. Och tittar man lite längre bakåt gjorde Centerpartiet det 2010, Socialdemokraterna och Vänsterpartiet 2018 och 2019.

Händelsen anmäldes då, bl.a. av Forum för Dataskydd men jag hittade inget beslut från Integritetsskyddsmyndigheten (IMY). Inte så konstigt, för enligt IMYs årsberättelse slutar mindre än 5% med ett tillsyn (offentligt beslut). I de flesta fall får organisationen som anmäls ett allmänt informationsbrev eller klagomålet får avslag.

Det känns som att problemet aldrig kommer lösas. Varje valrörelse blir hundratusentals upprörda för att de får oönskade SMS (och nu obehagliga hälsningar från Ulf). IMY skickar ett infobrev och allt fortsätter som vanligt. Till slut börjar även partier som ville respektera GDPR (som Moderaterna) att bryta mot det för att inte tappa mark mot de andra.

Men hur kan vi se till att de respekteras?

Situationen är idag ohållbar och även om man kan hoppas att IMY kommer bli mer reaktiv under de kommande åren behöver de hjälp. Integritetsskyddsmyndigheten är bara en av 27 europeiska dataskyddsmyndigheter (ett per land) och det är intressant att titta på vad som händer utomlands. Sedan dataskyddsförordningen infördes 2018 (och även innan för vissa) har dessa myndigheter lyckats åstadkomma olika mycket.

I mitt hemland Frankrike har CNIL, Integritetsskyddsmyndighetens franska motsvarighet, rönt uppmärksamhet efter flera kända fall mot amerikanska internetjättar: Google, Facebook, Amazon … och många nationella bolag. Nyligen nämnde en visselblåsare från Twitter hur den franska CNIL hade blivit mer skrämmande för hans företag än den amerikanska FTC (som inte är helt mjukt heller). Med flera andra systermyndigheter från t.ex. Tyskland, Irland, Luxemburg har CNIL konsekvent fattat ambitiösa beslut för att säkerställa att både företag och offentlig sektor respekterar medborgarnas integritet, även när dessa beslut kändes helt orimliga. Detta leder till ett klimat där dessa aktörer bryr sig på en helt annan nivå än det jag kan se i Sverige.

Bild från Tingey Injury Law Firm (Unsplash)

Är den franska CNIL bättre än den svenska IMY då? Svaret är för mig lite mer komplicerat. Eftersom dessa myndigheter inte lever i ett vakuum påverkas de av olika faktorer.

I Frankrike finns det en stor mängd av organisationer som lobbar hårt för mer dataskydd och dessa pushar konstant den offentliga sektorn att vara mer reaktiv. I Sverige är kulturen en helt annan. Organisationer som Forum för Dataskydd och eldsjälar gör sitt bästa men i ett samhälle där allt finns redan på Ratsit är det otroligt svårt att kämpa för mer integritet. Inte minst när staten själv säljer sina medborgares personuppgifter till kommersiella aktörer. Sverige är ett ganska unikt exempel i världen där användning av personuppgifter utan rättslig grund har normaliserats.

Det tycker jag Lena Lindgren Schelin berättade, generaldirektör på IMY, väldigt väl i sin intervju med Dagens Media nyligen. Och hennes svar angående utgivningsbevis ger mig hopp för framtiden. Men de kommer helt enkelt inte klara denna kamp utan hjälp.

Därför har jag skapat hejulf.se för att göra det lättare för alla som har drabbats att skicka ett klagomål till Integritetsskyddsmyndigheten! Och som en del av det här har jag även slagit ihop en satirisk video för att uppmana folk att verkligen anmäla.

Min förhoppning är att ju fler skickar ett klagomål, desto tydligare kommer meddelandet vara att folk i Sverige bryr sig om sin integritet. Och myndigheten kommer få ett starkare mandat för att agera kraftfullt i detta ärende och andra.

Detta sätt att provocera förändring är ingen ny uppfinning. Det har använts framgångsrikt i många år av organisationer som noyb.eu . Helt nyligen skickade La Quadrature du Net en gruppanmälan mot den franska polismyndigheten (fr.olxpraca.com/the-cnil-seized-of-a-collective-action-against-the-technopolice/ hade en sammanfattning på engelska). Över 15 000 undertecknade.

Kan det fungera i Sverige? Det återstår att se. Men om du har fått en personlig hälsning från Moderaterna uppmanar jag dig att skicka ett klagomål till IMY. Det tar nämligen bara en minut och webbsidan är byggd på ett sätt som helt respekterar din integritet.

Lag och ordning, äntligen?

Det är svårt att avsluta detta inlägg utan att be om ursäkt till Moderaterna. Ulf, Martin, Anders (dataskyddsombud), det kanske känns orättvist att det hamnar på er när också alla andra gör det.

Jag blev berörd när jag såg er deklaration 2019 efter Socialdemokraternas SMS-utskick.

”Vi valde att inte göra ett generellt utskick dels för att inte bryta mot GDPR. Vi utgår från att alla andra partier också håller sig till lagen när de bedriver valkampanj.”

Varför valde ni den här gången att strunta i det? Var det för att ni fick nog att se alla andra partier göra det?

Oavsett hoppas jag att maktskiftet kommer leda till en förändring och att ni kommer vara tuffare mot de som bryter mot dataskyddsförordningen. Precis som er kollega Lars Beckman efterfrågade i Riksdagen 2019:

”Anser ministern att det är lämpligt att politiska partier skickar sms-reklam till barn och vuxna utan att GDPR respekteras, och vilka åtgärder avser statsrådet att vidta för att säkerställa att våra myndigheter granskar även politiska partier som bryter mot GDPR-lagstiftningen?”

Lag och ordning, helt enkelt.