INTERVJU: ”Vägen till helvetet är kantad av goda intentioner”

Publicerad: 2021-10-15
STEFAN WAHLBERG
https://www.dagensjuridik.se/nyheter/intervju-vagen-till-helvetet-ar-kantad-av-goda-intentioner/?utm_source=apsis&utm_medium=email&utm_campaign=211016

Den senaste tiden har svenska domstolar gett grönt ljus för utländsk IT-bevisning som hade varit olaglig att ta fram i Sverige.
Samtidigt slåss polischefer och politiker om vem som kan formulera de skarpaste kraven på mer övervakning medan stora delar av befolkningen hejar på.
”Vägen till helvetet är kantad av goda intentioner”, säger advokaten och IT-rättsexperten Conny Larsson som också förklarar sin egen roll i det hemligaste av det hemliga: FRA-domstolen.

Conny Larsson var IT-rättsexpert redan innan begreppet ”IT” ens var uppfunnet. Efter sin juristexamen 1989 började han arbeta som verksjurist på det som då hette Televerket Radio och som långt senare kom att bli först Telia Mobitel och senare övergå i olika bolag i Teliakoncernen.

– Det var tider det… Vi hade ett analogt mobilnät, NMT 450, och till dem som inte var med på den tiden kan jag säga att mobiltelefoner var någonting ovanligt, exklusivt och tungt som enbart kunde användas för att prata i.

– Bland alla licensavtal och tillståndsfrågor hamnade jag redan från början mitt i den juridik som utvecklades till att vi på Televerket Radio skulle anpassa vår teknik för att aktörer som Säkerhetspolisen och FRA skulle kunna verkställa sina hemliga tvångsåtgärder i form av avlyssning och signalspaning mot våra kunder i våra nät.

Hur upplevde du det som nykläckt jurist?

– Faktiskt ungefär som jag gör ännu idag: att den här typen av verksamhet är nödvändig för att de myndigheter som har till uppgift att skydda oss medborgare också ska kunna bekämpa de onda krafter som finns där ute  – men att denna verksamhet samtidigt måste omgärdas av tydliga regelverk och kontrollfunktioner.

– I grunden handlar det om att kunna göra vettiga och korrekta proportionalitetsbedömningar – att ställa den reella hotbilden mot integritetsintresset och att inte låta detta bli en chimär eller illusorisk fråga.

Idag, drygt 30 år senare, har krypterade IT-system som Encrochat och Anom ställt inte bara tekniken utan också juridiken på sin spets när de åberopas av åklagare i domstolar. Hur ser du på att svenska domstolar tillåter utländsk bevisning som skulle ha varit olaglig att ta fram i Sverige?

– Det har ju från vissa håll hävdats att det borde vara olagligt att använda detta som bevisning i svensk domstol – att den helt enkelt borde avvisas. Jag delar inte den uppfattningen. Vi har fri bevisprövning i svensk rätt och jag vill inte införa någon form av legal bevisteori i dessa frågor.

– Däremot anser jag att den här typen av bevisning normalt får ett kraftigt reducerat bevisvärde.

Varför?

– Därför att rättssäkra domar bygger på att bevisvärdets styrka avgörs av i vilken omfattning bevisningen, och inte minst dess tillkomst, kan underkastas kontroll och insyn.

– I de här fallen har varken försvaret eller domstolen, och kanske inte ens åklagaren och polisen, samma möjlighet att kontrollera hur det egentligen gick till när bevisningen togs fram som om det hade skett under kontrollerade former här i Sverige.

– Kvalitetsstämpeln faller alltså bort och bevisvärdet reduceras därmed så mycket att den här typen av bevisning normalt inte borde kunna vara ensamt fällande men däremot användas som stödbevisning.

I Sverige krävs det ju en konkret misstanke om brott mot en viss person för att få använda sig av hemlig dataavläsning. Borde Sverige ändra lagen så att den här typen av dekryptering ”på bred front” kunde bli tillåtet även här?

– Om vi hade levt i ett samhälle som är så farligt att vi i parti och minut riskerade att utsättas för grova brott, vilket debatten idag ger sken av, så hade mitt svar på den frågan varit ja.

– Men då måste vi stanna upp och fråga oss om det verkligen är så illa och om vi är beredda att efterge våra mänskliga rättigheter och tillåta en godtycklig massövervakning eftersom det verkligen behövs. Om det egentligen inte finns ett så stort behov säger jag nej.

Det handlar alltså, enligt din uppfattning, inte om någon absolut principfråga utan om en glidande bedömning som måste få göras utifrån situationen?

– Exakt! Det handlar om proportionalitetsbedömningar. Men då måste man också väva in flera andra viktiga aspekter.

Kan du ge exempel på sådana?

Foto: Fredrik Sandberg/TT

– I tider då befolkningen känner sig alltmer hotad blir benägenheten att vilja utöka statens befogenheter större eftersom vi vill att staten ska skydda oss. Till slut har vi passerat en gräns som i och för sig, ur ett strikt skyddsperspektiv, kan vara befogad. Men när den gränsen är passerad är det ett bevis för att det är så illa ställt att vi måste fråga oss hur vi hamnade i den situationen – om vi verkligen har fortsatt förtroende för dem som är ansvariga för att vi hamnade där.

– Å andra sidan: om den arsenal av övervakning och befogenheter som har byggts upp visar sig vara avsevärt överdimensionerad så har vi ju skrämts upp i onödan, kanske rent av blivit lurade… Och sådana politiker och myndigheter vill vi ju givetvis inte heller ha.

– Detta är viktiga aspekter att ta hänsyn till för alla inblandade parter.

Hur har den praktiska tillgängligheten till digital information påverkat polisens krav och önskemål gentemot lagstiftaren?

– Mycket! Sedan ett antal år tillbaka nöjer man sig ju inte med att ha en laglig rätt att få ta del av kommunikationen i våra operatörers IT-system. Man har också fått laglig rätt att kräva att privata aktörer ska bli polisens förlängda arm och till och med kunna tvingas att bli angivare.

Kan du ge exempel?

– Först kom datalagringsdirektivet som ju innebär att operatörerna måste spara trafikdata i sina system i upp till sex månader så att polisen i efterhand ska kunna ta del av den.

– Detta riskerar att sudda ut gränserna för vem som egentligen har ansvaret för brottsbekämpningen. Är det polisen eller den teleoperatör som jag är kund hos? I ett större perspektiv är detta principiellt problematiskt eftersom samhällets olika aktörer får luddiga och svårbegripliga roller och lojaliteter.

Kan du ge exempel på detta med angivare?

– Det senaste är ju reglerna om bevarandeföreläggande som ger polisen rätt att beordra enskilda personer att i maximalt 180 dagar bevara olika uppgifter om all digital kommunikation som sker med en person som polisen är intresserad av. Den som tvingas spara uppgifterna kan också beläggas med tystnadsplikt.

– Det här är en farlig utveckling. Det innebär alltså att polisen i Sverige har en laglig rätt att kräva att till och med privatpersoner, lite tillspetsat, ska lura och ange sina vänner. Utifrån detta är det svårt att kunna förutse vad nästa steg skulle kunna bli.

Ser du några andra risker med detta än ”bara” de integritetsmässiga”?

– Ja. När sådant här normaliseras så kommer de kriminella individer som dessa arrangemang egentligen är till för att bekämpa att göra allt för att hitta andra sätt att kommunicera på – till exempel genom system som Encrochat. Och då har vi i praktiken fått en motsatt effekt av våra lagar så att polisen får ännu svårare att komma åt de kriminella.

– Jag är förvånad över att reglerna om bevarandeföreläggande kunde smygas igenom utan någon egentlig offentlig debatt. Det var ju bara Dagens Juridik och någon annan som lyfte frågan. Dessutom skrev jag själv remissyttrandet för Advokatsamfundets räkning.

Vad beror bristen på debatt kring sådana här frågor på?

– Vägen till helvetet är kantad av goda intentioner och det är som att trilla ner från ett höghus: Du lever tills du träffar marken… Vi har inte träffat marken ännu men jag är rädd att vi gör det förr eller senare.

Om vi blir mer konkreta… Vad finns det för juridiska problem med IT-bevisning generellt sett?

– I vissa fall är det uppenbart – till exempel att ett digitalt bevis för att en viss mobiltelefon har befunnit sig på en viss plats vid en viss tidpunkt inte nödvändigtvis bevisar vem som höll i telefonen vid tillfället. Och det är ju oftast nödvändigt att kunna styrka sådant vid en rättegång.

– Men i andra fall är det betydligt mer komplicerat än så och då är det viktigt att alla i rättssalen kan förstå vad ett visst IT-forensiskt spår faktiskt innebär och bevisar. Det är inte alltid vare sig enkelt eller glasklart.

Behärskar domstolarna detta?

– Nej, det är nog ärligt talat ofta ganska dåligt med den saken. Inte heller åklagare och advokater är några mästare i ämnet. De som behärskar det bäst inom rättsväsendet är nog de poliser som arbetar med frågorna.

Foto: Anders Wiklund/TT

– Risken är att man överskattar bevisvärdet eftersom man har som utgångspunkt att tekniken inte ljuger utan är objektiv och opartisk. I själva verket behövs det ofta både sakkunniga som kan förklara vad det handlar om och en kompletterande bevisning av helt annat slag för att fullt ut kunna styrka det som är syftet med bevisningen.

Du är själv förordnad av regeringen som integritetsskyddsombud i det hemligaste av det hemliga – nämligen Försvarsunderrättelsedomstolen, även kallad FRA-domstolen. Berätta...

– Jag kan ju tyvärr inte berätta särskilt mycket och anledningen är lika enkel som godtagbar: vissa saker måste få vara hemliga för att kunna bekämpa de onda krafter som finns där ute och som vill oss illa. Detta är aktörer som struntar fullkomligt i sådant som lagar och mänskliga rättigheter Och med sådana motparter gäller det att undvika att hamna i underläge… Då måste vissa saker få vara hemliga.

– I de här sammanhangen måste medborgarna lita på att de myndigheter som har till uppgift att skydda oss faktiskt gör sitt jobb. För säkerhets skull har man satt en sådan som mig mitt i verksamheten för att ha insyn och övervaka att allting går rätt till. Dessutom finns ju SIUN (Statens inspektion för försvarsunderrättelseverksamhet, reds. anm.).

Fungerar systemet då?

– Ja, i stort sett. Jag har i varje fall inte behövt utnyttja den möjlighet som jag har att gå till någon av tillsynsmyndigheterna med klagomål.

– Jag ska vara allmänhetens representant inom denna strikt reglerade och hemliga verksamhet. Vi är sex integritetsskyddsombud, advokater och domare, och ingen av oss skulle gå med på att sitta där enbart som någon form av alibi.

Hur fungerar domstolen rent praktiskt?

– Ärendena avgörs bakom stängda dörrar. FRA lägger fram sina yrkanden om signalbärare, alltså till exempel vilka kablar man vill kontrollera, och vilka så kallade sökbegrepp man vill avgränsa sig till att använda i sin signalspaning.

– Vi integritetsombud granskar detta, ställer frågor och kan komma med invändningar om det behövs och domstolen fattar sedan beslut i frågan.

FRA. Foto: Gunnar Lundmark/TT

Hur ofta avslås FRA:s yrkanden?

– Jag kan inte alls svara på frågor som närmare beskriver vad som äger rum i domstolen. Svaret kan tyckas vara tråkigt, men underrättelseverksamhet måste få lov att ha hemliga inslag för att kunna fungera.

Men händer det överhuvudtaget?

– Det kan jag inte heller svara på.

Vad får signalspaningen avse?

– Ja, det framgår av lagen. Den får bara avse utrikes förhållanden, inte vara riktad mot någon specifik person och inte användas inom ramen för en förundersökning. Det handlar alltså om ren underrättelseverksamhet där de myndigheter som enligt lag har rätt att vända sig till FRA för att få signalspaning verkställd arbetar med att ligga ”steget före” för att kunna avvärja allvarliga hot.

– Information som eventuellt snappas upp från digital kommunikation inom Sverige får däremot inte användas utan måste förstöras. Om den ena parten befinner sig utomlands får informationen dock användas.

När GDPR slog ner som en bomb framställdes den som en universallösning på den digitaliserade världens integritetsproblem. Blev det så?

– Nej, inte riktigt…  Jag vill säga att intentionerna var och är goda med GDPR. Det är primärt ett skydd för sådant som vi just har pratat om – den personliga integriteten. Och ett sådant skydd behövs.

– För den enskilde blev GDPR dock något av en tandlös tiger…

Hur då?

– Chansen att få Integritetsskyddsmyndigheten (IMY) att ta upp en anmälan från en enskild person är endast någon procent. Det blir ett lotteri där det inte är värt att anlita ett juridiskt ombud för att tillvarata sin rätt.

– Så var det inte tänkt att fungera och man kan kraftigt ifrågasätta om Sverige och IMY:s verksamhet verkligen lever upp till de krav som GDPR ställer.

Möjligheten för den enskilde att gå till direkt till domstol då?

– Den är i verkligheten avsevärt mycket mindre än den är för till exempel dig och mig… Vanliga människor behöver ofta en advokat som kan föra deras talan i domstol och sådant kostar pengar. Om man då beaktar att Högsta domstolen har slagit fast att en vanlig personuppgiftskränkning är värd 3 000 till 5 000 kronor i skadestånd så förstår man att det snabbt blir en förlustaffär.

– Eftersom det är så låga skadeståndsnivåer handlar det dessutom om så kallade förenklade tvistemål och då har ingen av parterna rätt att få ersättning för mer än maximalt en timmes juridisk rådgivning, även om man vinner.

Vilken verkan har GDPR fått ”i andra änden” – alltså när det gäller tillsyn och sanktionsavgifter för de personuppgiftsansvariga?

– Det har blivit ganska märkligt där också. IMY har varit snabba med att besluta om väldigt höga sanktionsavgifter på mångmiljonbelopp i frågor där rättsläget fortfarande är oklart och där man kan ifrågasätta bristen på tydlighet i regelverket. Enligt min uppfattning borde man ha arbetat mycket mer med råd och anvisningar inledningsvis.

Kan du ge exempel på sådana otydligheter som du nämner?

Det ligger i sakens natur att sådana här regelverk har ett stort behov av flexibilitet. Ta till exempel artikel 32 i GDPR som slår fast att man ska hålla ”en lämplig säkerhetsnivå” i sina system, utan att ange vad detta egentligen innebär.

– Samtidigt kan man alltså drabbas av en sanktionsavgift om man inte håller en ”lämplig säkerhetsnivå”, vad nu det innebär… Detta är högst tveksamt ur ett legalitetsperspektiv eftersom det faktiskt är oklart vilka krav man måste uppfylla för att göra rätt och därmed undgå sanktionsavgift.

Vad kan det få för praktiska följder?

Foto: IMY

– Om jag säger så här: IMY – sluta upp med att besluta om sanktionsavgifter för aktörer som inte har gjort det som ni inte har talat om för dem hur de ska göra…

– Tyvärr riskerar det här att skada förtroendet för någonting som har ett gott syfte att inte bara tillvarata den personliga integriteten utan att också åstadkomma en rimlig fri rörlighet av information inom unionen.

Hur ser framtiden ut på IT-rättens område?

– Lagstiftningen är inte speciellt snabb, juridiken håller snigelfart medan informationstekniken utvecklas med blixtens hastighet… Inte bara sådana som jag utan också andra måste arbeta för att bygga en brygga mellan teknik och juridik.

– Tekniker är väldigt bra på att åstadkomma lösningar på problem som människor har medan vi jurister är minst lika bra på att hitta problem som gör att dessa lösningar inte lagligen kan användas…

Det låter krasst…

– Nja.. Jag vill bara understryka vikten av att vi måste försöka förstå varandra och våra olika roller i detta. IT-rätten har givetvis framtiden för sig. Allt annat vore märkligt.


FAKTA – advokaten Conny Larsson

Född 1957 i Arvika, Värmland
Jur. kand. Stockholms universitet 1989
Magisterexamen i IT-rätt, Stockholms universitet 2001
Ledamot av Advokatsamfundet 2011

Sitter i styrelsen för informations-säkerhetsföretaget Sig Security samt för Svenska föreningen för IT och Juridik

Bor i villa från 1920-talet i Roslagen

Familj: sambon Susanna, en hund, två katter och ett varierande antal frigående höns…

Senaste bok: Det är två stycken. Diamant Salihus ”Tills alla dör” och André Catrys ”Honungsapan”

Senaste film: Ser sällan film men däremot gärna på SVT:s serie Deg

Musik: Allätare – allt från barockmusik till 10 cc och Queen och vidare till heavy metal…

%d bloggare gillar detta: