Fakta­granskning av Ylva Johanssons 30 minuter

Igår medverkade EU-kommissionär Ylva Johansson i SVT:s djupintervju­program 30 minuter. Massövervaknings­förslaget Chat Control 2.0 var av förklarliga skäl på tapeten, inte minst eftersom Europa­parlamentet nyligen rev upp stora delar av förslaget i en sällan skådad partigrupps­överskridande förslags­sågning (se DN:s artikel Brett stöd i EU-parlamentet mot övervakning av krypterade chattar).

Intervjuaren, Anders Holmberg, gjorde en bra insats och ställde relevanta frågor, inklusive en inledande fråga om huruvida Johansson hade tagit till sig av kritiken mot förslaget. Holmberg tvingades att upprepa frågan eftersom Johansson först ignorerade den. Johansson påstod sig därefter ha lyssnat på kritiken, men hon har bevisligen inte hörsammat den. Tvärtom fortsätter hon att förespråka massövervakning som en lösning på barnövergrepps­problematiken trots avrådan från bland annat Libe-utskottet, Europa­parlamentets expertgranskning, ministerrådets jurister, FN:s människorätts­kommissionär, Advokat­samfundet, Centrum för rättvisa, Integritetsskydds­myndigheten, Journalistförbundet, Tidningsutgivarna och en enig IT-säkerhets­expertis.

Holmbergs fråga om huruvida Johansson hade lyssnat på kritiken blev extra relevant under intervjuns gång eftersom Johansson upprepade flera av de lögner som sedan tidigare har avslöjats. Se exempelvis felaktigheterna i följande tidigare faktagranskningar.

Korrigeringar av Johanssons påståenden

Trots en god insats från Holmberg lämnades flera av Johanssons lögner oemotsagda. Detta är förståeligt eftersom en journalist sällan kan ha den djupa sakkunskap som krävs för att kunna säga ifrån när personen som intervjuas blåljuger. Denna obalans gör intervjuer med Johansson problematiska i och med att hon inte drar sig från att självsäkert framföra lögner som om de vore världens själv­klarheter. Public Service skulle därför behöva anordna en debatt mellan Johansson och en påläst menings­motståndare. Tyvärr har Johansson enbart ställt upp på en enda sådan debatt i svensk media, vilket var debatten mot mig i Svenska Dagbladets ledarpodd.

Med anledning av de oemotsagda lögnerna följer här korrigeringar av de felaktiga påståendena som Johansson framförde i intervjun. Tidskoderna länkar direkt till tidpunkterna i avsnittet då Johansson framförde påståendena. Avsnittet finns tillgängligt på SVT Play till och med åttonde mars 2025.

02.26 ”Vad många inte vet är ju att idag så skannar internet­bolagen i princip all privat kommunikation.”

Detta påstående är en ren lögn. Bolagen som levererar totalsträcks­krypterade (end-to-end-krypterade) kommunikations­tjänster har inte ens teknisk möjlighet att skanna kommunikationen eftersom sådan skanning förutsätter bakdörrar i apparna.

03.16 ”Om vi inte får en ny lagstiftning på plats kommer all den här skanningen att stoppas /…/ och det betyder också att EU blir en fristad eftersom övrigt i världen gör man den här skanningen.”

Det sistnämnda i detta påstående är ren lögn. Skanning av totalsträcks­krypterade konversationer sker ingenstans i världen eftersom det är tekniskt omöjligt utan bakdörrar.

Till skillnad från i Aktuellt-intervjun i april och i Lördagsintervjun i juni påstod Johansson inte att rapporteringen skulle upphöra utan just hennes förslag. Den här gången nöjde hon sig med att antyda detta genom formuleringen ”om vi inte får en ny lagstiftning”. Holmberg var dessutom snabb med att ifrågasätta om inte en förlängning av nuvarande lagstiftning vore ett alternativ, något Johansson erkände. Påståendet om att det skulle behövas ny lagstiftning är således enbart missvisande.

05.34 ”Mycket av kritiken bygger på ett missförstånd av vad som är i mitt lagförslag. Till exempel påverkas ju källskyddet överhuvud­taget inte av min lagstiftning.”

Detta påstående är 100 % lögn. Till skillnad från Europa­parlamentets kompromiss­förslag förutsätter Johanssons förslag (det vill säga EU-kommissionens förslag) att tjänste­leverantörer av totalsträcks­krypterade tjänster installerar bakdörrar för att kunna skanna innehållet i konversationerna. Det innebär att journalister fråntas möjligheten att kommunicera oövervakat med sina källor via allmänt tillgängliga chattappar (till exempel Signal och Whatsapp). Det är framför allt av detta skäl som Journalist­förbundet och Tidnings­utgivarna riktar skarp kritik mot förslaget.

Nu måste vi fråga oss – vill vi ha chattkontroll även om det innebär ”journalistkontroll”? För oss på Journalistförbundet är svaret enkelt. Vi måste kunna införa regler som möjliggör för myndigheter att lagföra brott, utan att det äventyrar källskyddet. Så har vi gjort i Sverige tidigare och här har EU-kommissionen mycket att lära.

Ulrika Hyllert (ordförande, Journalist­förbundet) och Erika Wiman Snäll (ordförande, Journalist­förbundets yttrandefrihets­grupp) i DN Debatt, april 2023

FN:s människorättskommissionär nämner också specifikt riskerna som förslagets förutsatta teknik (klientsides­skanning) medför för journalister.

Even if, for current purposes, client-side screening is narrowly tailored, opening up devices for Government-mandated screening is likely to lead to future attempts to widen the scope of content that is the target of such measures. In particular, where the rule of law is weak and human rights are under threat, the impact of client-side screening could be much broader, for example it could be used to suppress political debate or to target opposition figures, journalists and human rights defenders.

FN:s människorättskommissionär ”The right to privacy in the digital age”, augusti 2022

Frågan om hur Chat Control 2.0 påverkar källskyddet lyftes också i debatten mellan mig och Johansson i Svenska Dagbladets ledarpodd. Johansson hade inget svar på frågan om hur journalister skulle kunna kommunicera oövervakat utan att förövarna gavs samma möjlighet.

05.45 ”Den teknik som används är ju samma som används idag.”

Detta påstående är för det första ett missvisande sådant och för det andra en lögn. Den missvisande delen av påståendet är att tekniken skulle användas redan idag. Idag används teknik för att detektera barnövergrepps­material i okrypterad data. Meddelanden som skickas via totalsträcks­krypterade tjänster skannas inte.  

Därutöver stämmer det inte ens att tekniken som Johansson föreslår är samma som används idag för att skanna okrypterat material. Idag skannar många tjänste­leverantörer efter känt barnövergrepps­material, vilket de kan göra med låg felmarginal. En del tjänste­leverantörer skannar också ett potentiellt nytt barnövergrepps­material, vilket redan har lett till att oskyldiga personer polisanmälts på felaktiga grunder. Johansson vill göra förutsättningarna för skanning av nytt barnövergrepps­material obligatoriska. För att detektera sådant material ska artificiell intelligens användas, och detta är ny teknik som ska tillhanda­hållas av EU-centrumet.

05.50 ”Med mitt lagförslag så blir det [skanningen] mer begränsat.”

Detta är ett missvisande påstående. Johanssons förslag har tydliga begränsningar för vad tjänste­leverantörerna får skanna efter. Problemet är att lagförslaget kräver borttagande av skyddet som begränsar vad tjänste­leverantörerna kan skanna efter. Johansson vill ersätta dagens tekniska skydd (som inte kan kringgås) med juridiska skydd (som kan ignoreras).

Efter Edward Snowdens avslöjanden är det synnerligen naivt att tro att amerikanska tjänste­leverantörer skulle skanna efter enbart det som vi i EU dikterar. Med det sagt behöver vi inte ens titta utanför EU:s gränser för att förstå hotet som denna typ av skanning utgör för HBTQ-communityn i flera av EU:s medlems­länder.

05.52 ”Och man får bara använda det [skanningen] efter ett domstols­beslut.”

Detta är ett missvisande påstående. Beslut om skanning ska enligt Johanssons förslag också kunna tas av en oberoende administrativ myndighet.

Johanssons frekventa upprepande av denna lögn om krav på domstolsbeslut är komiskt eftersom Johansson tidigare i intervjun påstod att förlags­kritikerna hade dålig koll på vad som står i hennes förslag (05.24).

07.52 ”Det är viktigt att komma ihåg att också de här krypterade [kommunikations­tjänsterna] skannar ju idag för att försäkra om att du inte skickar virus till mig.”

Detta påstående är en vansinnig lögn. Det är nämligen precis detta som de totalsträcks­krypterade kommunikations­tjänsterna saknar möjlighet att göra.

I takt med att vi skyddar alltmer av vår data med totalsträcks­kryptering ökar behovet av klientskydd (”antivirus”) eftersom det enbart är på klienterna (våra datorer, mobiler och surfplattor) som skadeprograms­skanning kan utföras. Jag skrev en krönika om detta i Aktuell Säkerhet 2022:1 för att påminna organisationer om hur totalsträcks­krypterings­trenden förändrar skyddsbehovet.

08.22 ”Nej, nej, staten är överhuvud­taget inte inblandad”

Detta påstående är missvisande. För att tjänste­leverantörerna ska kunna skanna innehållet i konversationerna måste de först ha tillgång till innehållet (antingen på sina servrar eller på användarnas klienter genom bakdörrar i apparna). Om tjänste­leverantörerna upptäcker potentiellt barnövergrepps­material ska de enligt förslaget rapportera vidare detta till det nya EU-centrumet som är kopplat till Europol. Europol leds av medlems­staterna.

Europol ska inte få direkt­åtkomst till alla skannade konversationer. Både EU-centrumet och tjänste­leverantörerna ska fungera som mellanliggande filter (och därmed även som potentiella dataläckor). Europol har däremot redan avslöjats med att önska direkt­åtkomst till allt material som rapporteras till EU-centrumet eftersom även ”oskyldiga bilder kan innehålla information som någon gång skulle kunna bli användbar för rätts­väsendet” och att datan behövs för att träna algoritmerna. Ändamåls­glidningen är alltså i rullning innan förslaget ens har gått igenom.

09.02 ”Vad man kan jämföra skanningen med är en polishund som luktar på alla paket på ett postkontor.”

Johanssons ständigt upprepade knarkhunds­liknelse är fortfarande en lögn. Polishundar kan lukta sig fram till paket med narkotika eftersom narkotika lämnar spår efter sig. Korrekt totalsträcks­krypterade konversationer läcker inga spår av innehållet.

Det enda som går att ”sniffa” i totalsträcks­krypterade sammanhang är vem som skickar ett meddelande, vem som tar emot meddelandet och hur mycket data som avsändaren skickar till mottagaren. Korrekt totalsträcks­krypterade konversationer läcker ingen information om innehållet. Skanning av innehåll i korrekt totalsträcks­krypterade konversationer är omöjligt, har alltid varit omöjligt och kommer alltid att förbli omöjligt.

09.35 ”Den här har ju använts i över tio år, den här tekniken, och den blir bättre och bättre.”

Johansson gav detta påstående som ett svar på Holmbergs högst relevanta fråga om hur en apparat skulle kunna lukta sig till om någonting innehåller barnövergrepps­material. Hon fortsatte sin förklaring med att prata om hashat material, det vill säga ett av sätten som känt barnövergrepps­material kan detekteras i okrypterad data.

Eftersom filers hashvärden är oläsbara (rent av oidentifier­bara) i totalsträcks­krypterade konversationer kan vi konstatera att Johansson försökte avleda Holmberg genom att blanda ihop tekniken för avlyssning (klientsides­skanning) med tekniken för detektion. Holmbergs fråga handlade om hur någon teknik skulle kunna skanna innehållet i totalsträcks­krypterade konversationer. Johanssons svar handlade däremot om hur tjänste­leverantörer kan skanna innehållet i okrypterade konversationer.

Holmberg pressade Johansson med följdfrågan om hur någon part utanför konversationen skulle kunna skanna innehållet. Johansson försökte först avleda med svaret ”det är bara internet­bolaget som kan göra det”. Holmberg gav sig dock inte utan ställde frågan igen. Då erkände Johansson att innehållet måste skannas innan meddelandet krypteras eller efter att det har dekrypterats. Därefter upprepade hon att ”tekniken används idag och har använts väldigt länge”, vilket inte stämmer. Detektions­tekniken har använts väldigt länge, men det var helt uppenbart avlyssnings­tekniken som frågorna handlade om.

10.58 ”Och om det inte blir tillåtet att använda det [klientsides­skanning] inom EU blir vi en fristad för de här övergreppen.”

Detta påstående är en ren lögn. Johansson antydde att klientsides­skanning redan användes i USA. Detta stämmer självfallet inte. Totalsträcks­krypterade Signal har meddelat att de lämnar EU och Stor­britannien ifall Chat Control 2.0 eller Stor­britanniens motsvarighet blir verklighet. Signal är verksamma i USA eftersom USA inte har krävt några bakdörrar.

16.20 ”Och den här kommunikationen, mellan advokater eller med journalister, den har vi haft lång tid. Och all den kommunikationen har ju skannats. Och det är ju ingen som har tyckt att det varit ett problem.”

Detta är en ren lögn. Advokater och journalister använder i stor utsträckning totalsträcks­krypterade kommunikations­tjänster, det vill säga tjänster som inte övervakas. Det är bland annat på grund av EU-kommissionens krav på att dessa totalsträcks­krypterade kommunikations­tjänster ska övervakas som Advokat­samfundet och Centrum för rättvisa är kritiska till förslaget.

För det andra kommer förslaget i praktiken att omöjliggöra säkra krypterade kommunikations­­tjänster som till exempel Whatsapp eller Signal. Detta skulle i sin tur ha allvarlig påverkan på journalisters möjligheter att skydda sina källor och vissel­­blåsares möjligheter att slå larm om miss­förhållanden. Förslaget gör det också möjligt för företag och myndigheter att ta del av särskilt känslig kommunikation vid vård­kontakter, religiös själavård eller mellan advokat och klient.

Fredrik Bergman (chef för Centrum för rättvisa) i SvD Debatt, maj 2023

17.49 ”/…/ den här tekniken, den är av väldigt hög klass.”

Johansson gav detta påstående som svar på Holmbergs fråga om riskerna för feldetektering. Hennes påstående är inget direkt faktafel utan enbart en underlig åsikt. Det är sällan som teknik med felmarginal på över 80 % anses vara av ”hög klass”.

Schweiziska polisen har i många år rapporterat hur stor andel av rapporterna som de får in som faktiskt är kriminellt material. Andelen har aldrig legat över 20 %. Svenska polisen har enbart publicerat statistik från ett år men då var felmarginalen lika hög. Observera att den länkade rapporten ligger på vår server. Rapporten publicerades ursprungligen på EU-kommissionens webbplats men de har avpublicerat den (se arkivversion).

18.25 ”Att fientliga stater kan använda det för att övervaka sina befolkningar till exempel – tyvärr, de kan göra det ändå. De följer inte EU:s lagstiftning överhuvudtaget.”

Bortsett från delen om att fientliga stater inte följer EU:s lagstiftning är påståendet felaktigt. Dagens totalsträcks­krypterade tjänster skyddar konversationerna så att fientliga stater inte kan övervaka sina befolkningar (eller andras befolkningar). Det är först ifall EU kräver att dagens tekniska skydd ersätts med juridiska skydd som fientliga stater ges möjlighet att göra just detta. Tekniska skydd är absoluta och kan inte kringgås. Juridiska krav kan ignoreras och, precis som Johansson påpekar, följer inte fientliga stater EU:s lagstiftning.

19.26 ”Vi övervakar inte.”

Intervjusegmentets avslutande kommentar från Johansson var ett oroväckande exempel på hur en verklig politiker använder Newspeak ur George Orwells fiktionella 1984-dystopi. Johansson försökte på fullaste allvar rätta Holmberg när Holmberg använde ordet ”övervakning” för att beskriva förslaget.

Övervakning är per definition vad förslaget syftar till. Chat Control 2.0-förslaget syftar rent av till införande av mass­övervakning. Chat Control 2.0 kräver att alla användares korrespondens ska kunna övervakas. Detta ska göras utan konkret brotts­misstanke.

En välbeprövad metod för brotts­­bekämpning är ”hitta brottet först, leta misstänkta sedan”. Chattkontroll gör motsatsen. Det utgår från data kopplade till kommunikation mellan individer, fullt ekvivalent med att läsa allas post eller avlyssna allas telefoner. Båda skulle onekligen underlätta polisens arbete väsentligt, men anses universellt vara så allvarliga övergrepp mot individen att korrespondens­hemlighet ses som en mänsklig rättighet enligt FN och finns inskrivet i regeringsformen.

Datasäkerhets­specialisterna Anne-Marie Eklund Löwinder och Mikael Kullberg på DN Debatt, april 2023

Mer information om Chat Control 2.0

Mer information om Chat Control 2.0 finns på vår temawebbplats chatcontrol.se. Jag rekommenderar också att lyssna på följande två avsnitt av Bli säker-podden. I det första avsnittet diskuterar vi problemen med Chat Control 2.0. I det andra avsnittet diskuterar vi vad som går att göra för att faktiskt bekämpa problemet med barnövergrepps­material på nätet samt hur det kan göras utan att bryta mot Barn­konventionen eller utsätta barn för nya risker.

Förrförra månaden medverkade jag också i ett avsnitt av Loungepodden. Med anledning av gårdagens 30 minuter-inslag har Loungepodden idag publicerat hela avsnittet gratis, inklusive de tidigare Patreon-exklusiva delarna. Avsnittet är över tre timmar långt och vänder sig till dig som vill ha en djupdykning i Chat Control 2.0-problematiken.

Uppdatering 2023-12-03: korrigering av länk som enligt länktexten skulle ha gått till chatcontrol.se men som gick till en annan länkad i artikel i DN.

Uppdatering 2023-12-05: korrigering av stavfel. ”Förlagssågning” ändrat till ”förslagssågning”. ”Holmberg högst” ändrat till ”Holmbergs högst”.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

  1. Jonathan Johansson

    Tack för att du tar dig tiden att korrigerar alla dessa falska påståenden! Hoppas verkligen att de lägger tillbaka detta förslaget i papperskorgen.
    Tror att länken under rubriken “Mer information om Chat Control 2.0” till chatcontrol.se har blivit lite fel. Man kommer till DN.se när man klickar på den.

  2. Karl Emil Nikka

    Daniel Akenine är både styrelseledamot hos Ecpat Sverige och teknikchef på Microsoft Sverige (Microsoft levererar CSAM-detektionstjänsten Photo DNA). Han publicerade precis ett mycket läsvärt blogginlägg på Linkedin där han skriver: ”Ylva Johansson pratar i 30 minuter om teknik som redan används för att skanna krypterad information. Jag vet inte vad detta skulle vara för teknik”.

    https://www.linkedin.com/pulse/om-skanning-av-csam-material-daniel-akenine-d1igf

    Att inte ens Akenine vet vilken Johansson pratar om beror helt enkelt på att tekniken inte existerar. Eftersom den förutsätter något som är tekniskt omöjligt kommer den aldrig heller att existera.

    Jag hoppas innerligt att Ecpat Sverige lyssnar på sin styrelseledamot. Om vi vill ta itu med CSAM-problematiken får vi inte låta massövervakningsindustrin och dess lobbyister stjäla fokus med vansinniga förslag som saknar verklighetsförankring.

Kommentar