Igår medverkade EU-kommissionär Ylva Johansson i SVT:s djupintervjuprogram 30 minuter. Massövervakningsförslaget Chat Control 2.0 var av förklarliga skäl på tapeten, inte minst eftersom Europaparlamentet nyligen rev upp stora delar av förslaget i en sällan skådad partigruppsöverskridande förslagssågning (se DN:s artikel Brett stöd i EU-parlamentet mot övervakning av krypterade chattar).
Intervjuaren, Anders Holmberg, gjorde en bra insats och ställde relevanta frågor, inklusive en inledande fråga om huruvida Johansson hade tagit till sig av kritiken mot förslaget. Holmberg tvingades att upprepa frågan eftersom Johansson först ignorerade den. Johansson påstod sig därefter ha lyssnat på kritiken, men hon har bevisligen inte hörsammat den. Tvärtom fortsätter hon att förespråka massövervakning som en lösning på barnövergreppsproblematiken trots avrådan från bland annat Libe-utskottet, Europaparlamentets expertgranskning, ministerrådets jurister, FN:s människorättskommissionär, Advokatsamfundet, Centrum för rättvisa, Integritetsskyddsmyndigheten, Journalistförbundet, Tidningsutgivarna och en enig IT-säkerhetsexpertis.
Holmbergs fråga om huruvida Johansson hade lyssnat på kritiken blev extra relevant under intervjuns gång eftersom Johansson upprepade flera av de lögner som sedan tidigare har avslöjats. Se exempelvis felaktigheterna i följande tidigare faktagranskningar.
- Faktagranskning av Johanssons påståenden i SVT Aktuellt (april 2023)
- Faktagranskning av Johanssons påståenden i Ekots lördagsintervju (juni 2023)
- Faktagranskning av Johanssons påståenden i Medierna i P1 (september 2023)
Korrigeringar av Johanssons påståenden
Trots en god insats från Holmberg lämnades flera av Johanssons lögner oemotsagda. Detta är förståeligt eftersom en journalist sällan kan ha den djupa sakkunskap som krävs för att kunna säga ifrån när personen som intervjuas blåljuger. Denna obalans gör intervjuer med Johansson problematiska i och med att hon inte drar sig från att självsäkert framföra lögner som om de vore världens självklarheter. Public Service skulle därför behöva anordna en debatt mellan Johansson och en påläst meningsmotståndare. Tyvärr har Johansson enbart ställt upp på en enda sådan debatt i svensk media, vilket var debatten mot mig i Svenska Dagbladets ledarpodd.
Med anledning av de oemotsagda lögnerna följer här korrigeringar av de felaktiga påståendena som Johansson framförde i intervjun. Tidskoderna länkar direkt till tidpunkterna i avsnittet då Johansson framförde påståendena. Avsnittet finns tillgängligt på SVT Play till och med åttonde mars 2025.
02.26 ”Vad många inte vet är ju att idag så skannar internetbolagen i princip all privat kommunikation.”
Detta påstående är en ren lögn. Bolagen som levererar totalsträckskrypterade (end-to-end-krypterade) kommunikationstjänster har inte ens teknisk möjlighet att skanna kommunikationen eftersom sådan skanning förutsätter bakdörrar i apparna.
03.16 ”Om vi inte får en ny lagstiftning på plats kommer all den här skanningen att stoppas /…/ och det betyder också att EU blir en fristad eftersom övrigt i världen gör man den här skanningen.”
Det sistnämnda i detta påstående är ren lögn. Skanning av totalsträckskrypterade konversationer sker ingenstans i världen eftersom det är tekniskt omöjligt utan bakdörrar.
Till skillnad från i Aktuellt-intervjun i april och i Lördagsintervjun i juni påstod Johansson inte att rapporteringen skulle upphöra utan just hennes förslag. Den här gången nöjde hon sig med att antyda detta genom formuleringen ”om vi inte får en ny lagstiftning”. Holmberg var dessutom snabb med att ifrågasätta om inte en förlängning av nuvarande lagstiftning vore ett alternativ, något Johansson erkände. Påståendet om att det skulle behövas ny lagstiftning är således enbart missvisande.
- FAQ: Är skanningen verkligen tillåten överallt förutom i EU?
- FAQ: Försvinner verkligen möjligheten till dagens skanning utan Chat Control 2.0?
- FAQ: Kommer Polisen verkligen att sluta få rapporter om Chat Control 2.0 inte blir verklighet?
05.34 ”Mycket av kritiken bygger på ett missförstånd av vad som är i mitt lagförslag. Till exempel påverkas ju källskyddet överhuvudtaget inte av min lagstiftning.”
Detta påstående är 100 % lögn. Till skillnad från Europaparlamentets kompromissförslag förutsätter Johanssons förslag (det vill säga EU-kommissionens förslag) att tjänsteleverantörer av totalsträckskrypterade tjänster installerar bakdörrar för att kunna skanna innehållet i konversationerna. Det innebär att journalister fråntas möjligheten att kommunicera oövervakat med sina källor via allmänt tillgängliga chattappar (till exempel Signal och Whatsapp). Det är framför allt av detta skäl som Journalistförbundet och Tidningsutgivarna riktar skarp kritik mot förslaget.
Nu måste vi fråga oss – vill vi ha chattkontroll även om det innebär ”journalistkontroll”? För oss på Journalistförbundet är svaret enkelt. Vi måste kunna införa regler som möjliggör för myndigheter att lagföra brott, utan att det äventyrar källskyddet. Så har vi gjort i Sverige tidigare och här har EU-kommissionen mycket att lära.
– Ulrika Hyllert (ordförande, Journalistförbundet) och Erika Wiman Snäll (ordförande, Journalistförbundets yttrandefrihetsgrupp) i DN Debatt, april 2023
FN:s människorättskommissionär nämner också specifikt riskerna som förslagets förutsatta teknik (klientsidesskanning) medför för journalister.
Even if, for current purposes, client-side screening is narrowly tailored, opening up devices for Government-mandated screening is likely to lead to future attempts to widen the scope of content that is the target of such measures. In particular, where the rule of law is weak and human rights are under threat, the impact of client-side screening could be much broader, for example it could be used to suppress political debate or to target opposition figures, journalists and human rights defenders.
– FN:s människorättskommissionär ”The right to privacy in the digital age”, augusti 2022
Frågan om hur Chat Control 2.0 påverkar källskyddet lyftes också i debatten mellan mig och Johansson i Svenska Dagbladets ledarpodd. Johansson hade inget svar på frågan om hur journalister skulle kunna kommunicera oövervakat utan att förövarna gavs samma möjlighet.
05.45 ”Den teknik som används är ju samma som används idag.”
Detta påstående är för det första ett missvisande sådant och för det andra en lögn. Den missvisande delen av påståendet är att tekniken skulle användas redan idag. Idag används teknik för att detektera barnövergreppsmaterial i okrypterad data. Meddelanden som skickas via totalsträckskrypterade tjänster skannas inte.
Därutöver stämmer det inte ens att tekniken som Johansson föreslår är samma som används idag för att skanna okrypterat material. Idag skannar många tjänsteleverantörer efter känt barnövergreppsmaterial, vilket de kan göra med låg felmarginal. En del tjänsteleverantörer skannar också ett potentiellt nytt barnövergreppsmaterial, vilket redan har lett till att oskyldiga personer polisanmälts på felaktiga grunder. Johansson vill göra förutsättningarna för skanning av nytt barnövergreppsmaterial obligatoriska. För att detektera sådant material ska artificiell intelligens användas, och detta är ny teknik som ska tillhandahållas av EU-centrumet.
- FAQ: Skannas verkligen totalsträckskrypterade konversationer redan idag?
- FAQ: Vill verkligen Chat Control 2.0 bara att skanningen som har pågått i tio års tid ska fortsätta?
- FAQ: Kan artificiell intelligens verkligen se skillnad på en minderårig 17-åring och en vuxen 18-åring?
- FAQ: Går det att skanna efter nytt barnövergreppsmaterial utan risk för feldetektering?
05.50 ”Med mitt lagförslag så blir det [skanningen] mer begränsat.”
Detta är ett missvisande påstående. Johanssons förslag har tydliga begränsningar för vad tjänsteleverantörerna får skanna efter. Problemet är att lagförslaget kräver borttagande av skyddet som begränsar vad tjänsteleverantörerna kan skanna efter. Johansson vill ersätta dagens tekniska skydd (som inte kan kringgås) med juridiska skydd (som kan ignoreras).
Efter Edward Snowdens avslöjanden är det synnerligen naivt att tro att amerikanska tjänsteleverantörer skulle skanna efter enbart det som vi i EU dikterar. Med det sagt behöver vi inte ens titta utanför EU:s gränser för att förstå hotet som denna typ av skanning utgör för HBTQ-communityn i flera av EU:s medlemsländer.
- FAQ: Har förslaget verkligen tillräckliga begränsningar för att undvika missbruk?
- FAQ: Är det möjligt att skanna efter enbart barnövergreppsmaterial?
05.52 ”Och man får bara använda det [skanningen] efter ett domstolsbeslut.”
Detta är ett missvisande påstående. Beslut om skanning ska enligt Johanssons förslag också kunna tas av en oberoende administrativ myndighet.
Johanssons frekventa upprepande av denna lögn om krav på domstolsbeslut är komiskt eftersom Johansson tidigare i intervjun påstod att förlagskritikerna hade dålig koll på vad som står i hennes förslag (05.24).
07.52 ”Det är viktigt att komma ihåg att också de här krypterade [kommunikationstjänsterna] skannar ju idag för att försäkra om att du inte skickar virus till mig.”
Detta påstående är en vansinnig lögn. Det är nämligen precis detta som de totalsträckskrypterade kommunikationstjänsterna saknar möjlighet att göra.
I takt med att vi skyddar alltmer av vår data med totalsträckskryptering ökar behovet av klientskydd (”antivirus”) eftersom det enbart är på klienterna (våra datorer, mobiler och surfplattor) som skadeprogramsskanning kan utföras. Jag skrev en krönika om detta i Aktuell Säkerhet 2022:1 för att påminna organisationer om hur totalsträckskrypteringstrenden förändrar skyddsbehovet.
08.22 ”Nej, nej, staten är överhuvudtaget inte inblandad”
Detta påstående är missvisande. För att tjänsteleverantörerna ska kunna skanna innehållet i konversationerna måste de först ha tillgång till innehållet (antingen på sina servrar eller på användarnas klienter genom bakdörrar i apparna). Om tjänsteleverantörerna upptäcker potentiellt barnövergreppsmaterial ska de enligt förslaget rapportera vidare detta till det nya EU-centrumet som är kopplat till Europol. Europol leds av medlemsstaterna.
Europol ska inte få direktåtkomst till alla skannade konversationer. Både EU-centrumet och tjänsteleverantörerna ska fungera som mellanliggande filter (och därmed även som potentiella dataläckor). Europol har däremot redan avslöjats med att önska direktåtkomst till allt material som rapporteras till EU-centrumet eftersom även ”oskyldiga bilder kan innehålla information som någon gång skulle kunna bli användbar för rättsväsendet” och att datan behövs för att träna algoritmerna. Ändamålsglidningen är alltså i rullning innan förslaget ens har gått igenom.
09.02 ”Vad man kan jämföra skanningen med är en polishund som luktar på alla paket på ett postkontor.”
Johanssons ständigt upprepade knarkhundsliknelse är fortfarande en lögn. Polishundar kan lukta sig fram till paket med narkotika eftersom narkotika lämnar spår efter sig. Korrekt totalsträckskrypterade konversationer läcker inga spår av innehållet.
Det enda som går att ”sniffa” i totalsträckskrypterade sammanhang är vem som skickar ett meddelande, vem som tar emot meddelandet och hur mycket data som avsändaren skickar till mottagaren. Korrekt totalsträckskrypterade konversationer läcker ingen information om innehållet. Skanning av innehåll i korrekt totalsträckskrypterade konversationer är omöjligt, har alltid varit omöjligt och kommer alltid att förbli omöjligt.
09.35 ”Den här har ju använts i över tio år, den här tekniken, och den blir bättre och bättre.”
Johansson gav detta påstående som ett svar på Holmbergs högst relevanta fråga om hur en apparat skulle kunna lukta sig till om någonting innehåller barnövergreppsmaterial. Hon fortsatte sin förklaring med att prata om hashat material, det vill säga ett av sätten som känt barnövergreppsmaterial kan detekteras i okrypterad data.
Eftersom filers hashvärden är oläsbara (rent av oidentifierbara) i totalsträckskrypterade konversationer kan vi konstatera att Johansson försökte avleda Holmberg genom att blanda ihop tekniken för avlyssning (klientsidesskanning) med tekniken för detektion. Holmbergs fråga handlade om hur någon teknik skulle kunna skanna innehållet i totalsträckskrypterade konversationer. Johanssons svar handlade däremot om hur tjänsteleverantörer kan skanna innehållet i okrypterade konversationer.
Holmberg pressade Johansson med följdfrågan om hur någon part utanför konversationen skulle kunna skanna innehållet. Johansson försökte först avleda med svaret ”det är bara internetbolaget som kan göra det”. Holmberg gav sig dock inte utan ställde frågan igen. Då erkände Johansson att innehållet måste skannas innan meddelandet krypteras eller efter att det har dekrypterats. Därefter upprepade hon att ”tekniken används idag och har använts väldigt länge”, vilket inte stämmer. Detektionstekniken har använts väldigt länge, men det var helt uppenbart avlyssningstekniken som frågorna handlade om.
10.58 ”Och om det inte blir tillåtet att använda det [klientsidesskanning] inom EU blir vi en fristad för de här övergreppen.”
Detta påstående är en ren lögn. Johansson antydde att klientsidesskanning redan användes i USA. Detta stämmer självfallet inte. Totalsträckskrypterade Signal har meddelat att de lämnar EU och Storbritannien ifall Chat Control 2.0 eller Storbritanniens motsvarighet blir verklighet. Signal är verksamma i USA eftersom USA inte har krävt några bakdörrar.
16.20 ”Och den här kommunikationen, mellan advokater eller med journalister, den har vi haft lång tid. Och all den kommunikationen har ju skannats. Och det är ju ingen som har tyckt att det varit ett problem.”
Detta är en ren lögn. Advokater och journalister använder i stor utsträckning totalsträckskrypterade kommunikationstjänster, det vill säga tjänster som inte övervakas. Det är bland annat på grund av EU-kommissionens krav på att dessa totalsträckskrypterade kommunikationstjänster ska övervakas som Advokatsamfundet och Centrum för rättvisa är kritiska till förslaget.
För det andra kommer förslaget i praktiken att omöjliggöra säkra krypterade kommunikationstjänster som till exempel Whatsapp eller Signal. Detta skulle i sin tur ha allvarlig påverkan på journalisters möjligheter att skydda sina källor och visselblåsares möjligheter att slå larm om missförhållanden. Förslaget gör det också möjligt för företag och myndigheter att ta del av särskilt känslig kommunikation vid vårdkontakter, religiös själavård eller mellan advokat och klient.
– Fredrik Bergman (chef för Centrum för rättvisa) i SvD Debatt, maj 2023
17.49 ”/…/ den här tekniken, den är av väldigt hög klass.”
Johansson gav detta påstående som svar på Holmbergs fråga om riskerna för feldetektering. Hennes påstående är inget direkt faktafel utan enbart en underlig åsikt. Det är sällan som teknik med felmarginal på över 80 % anses vara av ”hög klass”.
Schweiziska polisen har i många år rapporterat hur stor andel av rapporterna som de får in som faktiskt är kriminellt material. Andelen har aldrig legat över 20 %. Svenska polisen har enbart publicerat statistik från ett år men då var felmarginalen lika hög. Observera att den länkade rapporten ligger på vår server. Rapporten publicerades ursprungligen på EU-kommissionens webbplats men de har avpublicerat den (se arkivversion).
18.25 ”Att fientliga stater kan använda det för att övervaka sina befolkningar till exempel – tyvärr, de kan göra det ändå. De följer inte EU:s lagstiftning överhuvudtaget.”
Bortsett från delen om att fientliga stater inte följer EU:s lagstiftning är påståendet felaktigt. Dagens totalsträckskrypterade tjänster skyddar konversationerna så att fientliga stater inte kan övervaka sina befolkningar (eller andras befolkningar). Det är först ifall EU kräver att dagens tekniska skydd ersätts med juridiska skydd som fientliga stater ges möjlighet att göra just detta. Tekniska skydd är absoluta och kan inte kringgås. Juridiska krav kan ignoreras och, precis som Johansson påpekar, följer inte fientliga stater EU:s lagstiftning.
19.26 ”Vi övervakar inte.”
Intervjusegmentets avslutande kommentar från Johansson var ett oroväckande exempel på hur en verklig politiker använder Newspeak ur George Orwells fiktionella 1984-dystopi. Johansson försökte på fullaste allvar rätta Holmberg när Holmberg använde ordet ”övervakning” för att beskriva förslaget.
Övervakning är per definition vad förslaget syftar till. Chat Control 2.0-förslaget syftar rent av till införande av massövervakning. Chat Control 2.0 kräver att alla användares korrespondens ska kunna övervakas. Detta ska göras utan konkret brottsmisstanke.
En välbeprövad metod för brottsbekämpning är ”hitta brottet först, leta misstänkta sedan”. Chattkontroll gör motsatsen. Det utgår från data kopplade till kommunikation mellan individer, fullt ekvivalent med att läsa allas post eller avlyssna allas telefoner. Båda skulle onekligen underlätta polisens arbete väsentligt, men anses universellt vara så allvarliga övergrepp mot individen att korrespondenshemlighet ses som en mänsklig rättighet enligt FN och finns inskrivet i regeringsformen.
– Datasäkerhetsspecialisterna Anne-Marie Eklund Löwinder och Mikael Kullberg på DN Debatt, april 2023
Mer information om Chat Control 2.0
Mer information om Chat Control 2.0 finns på vår temawebbplats chatcontrol.se. Jag rekommenderar också att lyssna på följande två avsnitt av Bli säker-podden. I det första avsnittet diskuterar vi problemen med Chat Control 2.0. I det andra avsnittet diskuterar vi vad som går att göra för att faktiskt bekämpa problemet med barnövergreppsmaterial på nätet samt hur det kan göras utan att bryta mot Barnkonventionen eller utsätta barn för nya risker.
Förrförra månaden medverkade jag också i ett avsnitt av Loungepodden. Med anledning av gårdagens 30 minuter-inslag har Loungepodden idag publicerat hela avsnittet gratis, inklusive de tidigare Patreon-exklusiva delarna. Avsnittet är över tre timmar långt och vänder sig till dig som vill ha en djupdykning i Chat Control 2.0-problematiken.
Uppdatering 2023-12-03: korrigering av länk som enligt länktexten skulle ha gått till chatcontrol.se men som gick till en annan länkad i artikel i DN.
Uppdatering 2023-12-05: korrigering av stavfel. ”Förlagssågning” ändrat till ”förslagssågning”. ”Holmberg högst” ändrat till ”Holmbergs högst”.
Tack för att du tar dig tiden att korrigerar alla dessa falska påståenden! Hoppas verkligen att de lägger tillbaka detta förslaget i papperskorgen.
Tror att länken under rubriken “Mer information om Chat Control 2.0” till chatcontrol.se har blivit lite fel. Man kommer till DN.se när man klickar på den.
Tack för att du tog dig tid att rapportera. Jag har rättat länken.
Daniel Akenine är både styrelseledamot hos Ecpat Sverige och teknikchef på Microsoft Sverige (Microsoft levererar CSAM-detektionstjänsten Photo DNA). Han publicerade precis ett mycket läsvärt blogginlägg på Linkedin där han skriver: ”Ylva Johansson pratar i 30 minuter om teknik som redan används för att skanna krypterad information. Jag vet inte vad detta skulle vara för teknik”.
https://www.linkedin.com/pulse/om-skanning-av-csam-material-daniel-akenine-d1igf
Att inte ens Akenine vet vilken Johansson pratar om beror helt enkelt på att tekniken inte existerar. Eftersom den förutsätter något som är tekniskt omöjligt kommer den aldrig heller att existera.
Jag hoppas innerligt att Ecpat Sverige lyssnar på sin styrelseledamot. Om vi vill ta itu med CSAM-problematiken får vi inte låta massövervakningsindustrin och dess lobbyister stjäla fokus med vansinniga förslag som saknar verklighetsförankring.