EU och Schengenländerna lagrar allt mer personuppgifter i stora databaser – information som fördjupar klyftorna mellan dem som anses pålitliga nog att få komma över gränsen och dem som lämnas utanför. Men att samla in data utan att veta vad de ska användas till riskerar att sätta demokratiska principer i gungning.
I dag lagras information i digitala moln istället för i fysiska register och arkiv. Längd, digitala foton, ursprung, fingeravtryck och ålder är några av de personuppgifter som EU och Schengenländerna de senaste 25 åren sparat och lagrat i allt högre utsträckning.
Att information som denna finns sparad formuleras ofta som en garant för vår säkerhet eller för att öka effektiviteten vid exempelvis en gräns. Men förutom att lagringsutrymmet rent tekniskt måste öka i takt med att mer information lagras finns också utmaningar kopplade till integritet, mänskliga rättigheter och vilken typ av samhälle vi vill leva i om fem, sju eller femton år.
För 25 år sedan fanns ett informationssystem, Schengens informationssystem (SIS). I dag har Schengenländerna snart sex operativa system med uppgifter om tredjelandsmedborgare. I de sex databaserna lagras information, bland annat biometriska data, om miljoner och åter miljoner individer från tredje länder. Minst 500 000 människor med inreseförbud i Schengen finns listade i systemet. Antalet växer hela tiden.
Tanken med SIS, och många av de andra informationssystem som tillkommit, var och är att öka säkerheten inom EU. I dag har EU och Schengen mycket mer information lagrad om icke-EU-medborgare än om sina egna medborgare.
Evelien Brouwer är senior forskare på Vrije universitet i Amsterdam och forskar, väldigt förkortat, om hur tredjelandsmedborgares rättigheter påverkas av ny teknik och systematiskt ökade kontroller på EU och Schengens gränser.
– Ett av mina huvudsakliga skäl till att följa den här utvecklingen är att det finns så många mekanismer för massövervakning av tredjelandsmedborgare som inte omfattar EU-medborgare, säger Evelien Brouwer.
Att göra skillnad på människor utan legitim anledning kan leda till etnisk profilering och diskriminering.
– Det fördjupar klyftan mellan de betrodda människorna, och de som inte är det. Polis och gränsvakter kan kolla fingeravtryck och det finns skillnader i tillvägagångssätten som har en stigmatiserande eller diskriminerande effekt, säger Evelien Brouwer.
Teknik kan förtrycka
Mycket av det vi i dag tar för givet och accepterar utan att blinka var inte ens påtänkt för bara 25 år sedan. Ny, smart teknik och artificiell intelligens har snabbt förändrat samhället.
– Att man har jättestora lager med uppgifter som bara ligger där och som kan användas på olika sätt väcker många frågor. Det här är ett område som behöver regleras i högre utsträckning – det går ju inte att få stopp på det, det känns ju helt osannolikt, säger Madelaine Seidlitz, jurist på Amnesty, och fortsätter:
– Om man samlar data utan att veta varför kan den användas på olika sätt i framtiden. Och då beror ju det på i vilka sammanhang det finns tillåtelse att använda den. Då kan det också användas för att diskriminera personer från exempelvis en gräns – får personen komma in eller inte?
Gränskontroll har de senaste åren blivit en allt mer politiskt laddad fråga.
– Vi ser att teknik och information används för att förtrycka människor, rent faktiskt, och att det används och kan användas på sätt som i dag leder till och som riskerar att leda till kränkningar av mänskliga rättigheter, säger Madelaine Seidlitz.
Forskaren Evelien Brouwer refererar till ett exempel där en svart eller utländsk person som kör en dyr bil i Nederländerna tycks bli stoppad oftare än en vit person. Om mer information lagras i de här fallen – oavsett om personen är oskyldig – kommer databaserna snart innehålla mer information om personer med en specifik etnisk bakgrund.
Flera länder i det annars passfria Schengen har de senaste åren infört inre gränskontroller. Sverige är ett av dem. ”Kontrollerna ska anpassas till vad som är nödvändigt för att värna allmän ordning och inre säkerhet”, skrev justitiedepartementet i höstas när de förlängdes till den 12 maj 2020.
I en lagrådsremiss föreslog regeringen nyligen att polisen ska få ta bilder och fingeravtryck vid utlänningskontroller. Om personen saknar tillstånd att vistas i Sverige ska uppgifterna lagras i ett register, rapporterade bland annat TT.
Risker för etnisk diskriminering i och med ökad kontroll har diskuterats vid upprepade tillfällen. Det slumpmässiga urvalet är inte alltid slumpmässigt.
– Det vi är rädda för är ju det som inom citationstecken är ”det främmande”. Och då är de grupper som drabbas de personer som rent fysiskt inte ser ut eller beter sig som oss själva. Ofta då utsatta grupper och individer, som utifrån ursprung, etnicitet eller religion drabbas och diskrimineras, säger Madelaine Seidlitz.
Explosion av databaser
Evelien Brouwer har följt utvecklingen av EU:s informationssystem i över två decennium. Hon skrev sin avhandling 2007 om den första generationen av Schengens informationssystem (SIS) och förklarar hur annorlunda det var då.
Det som oroar henne mest är att det i dag görs stor skillnad mellan EU- och Schengenmedborgare och människor från andra länder.
– Det finns också stora brister när det kommer till att bevisa effektiviteten i förhållande till kostnaderna för mänskliga rättigheter, säger Evelien Brouwer.
När Schengensamarbetet startade år 1995 blev första generationen av Schengens gemensamma informationssystem (SIS), i dag SIS II, operativt. Syftet med SIS II är relativt oförändrat, men många fler kategorier data inklusive biometriska data lagras i dag. Flera informationssystem om tredjelandsmedborgare har också tillkommit.
– Sättet att göra skillnad på människor är något som oroar mig. Sen kan du säga att ”ja, det finns ett syfte i att vi måste kontrollera våra gränser”. Men frågan är om EU-lagstiftaren har bevisat effektiviteten och nödvändigheten av databaserna på ett tillfredsställande sätt, säger Evelien Brouwer.
Två vågor restriktioner
För att förstå var vi befinner oss i dag är det nödvändigt att backa bandet. Evelien Brouwer pekar ut två olika händelser de senaste två decennierna som lett till vågor av ökad kontroll och åtstramningar.
En var 9/11-attackerna i USA.
– Sedan var det även attacker i EU-städerna Bryssel, Paris och London. Det ökade incitamenten för gränskontroll och övervakning ytterligare, säger Evelien Brouwer.
Den andra vågen åtstramningar följde på flyktingströmmarna under 2015 och 2016. Asylsökande från krigsdrabbade länder, som Syrien och Irak, kom till Europa.
Islamiska staten var vid den här tiden aktiv i båda länderna och flera blodiga terrorattentat hade skakat Europa.
Om Schengens informationssystem SIS II är relativt oförändrat gäller det motsatta för Eurodac, den databas som behandlar uppgifter om asylsökande.
När Eurodac infördes var syftet med den lagrade informationen mycket snävt. Den skulle bara användas för att kunna avgöra i vilket land som den asylsökandes ansökan skulle behandlas enligt Dublinförordningen.
Men snart samlades mer information in – inte bara fingeravtryck och ett registreringsnummer – utan även bild, namn och information om familjemedlemmar. Sedan 2013 har uppgifterna lagrade i Eurodac kunnat användas av brottsbekämpande myndigheter vid grova brott. 2015 utökades användandet ytterligare.
– Det rättfärdigades genom att många av de asylsökande som kom hit vid den här tiden var från Syrien och Irak. Med inflödet av flyktingar från Syrien kunde det komma asylsökande som var terrorister. Resonemanget var att vi behöver kunna använda datan om asylsökande också för att kunna upptäcka möjliga terrorister. Det var ett sätt att rättfärdiga det, säger Evelien Brouwer.
Madelaine Seidlitz menar att rädsla och oro ibland fått problematiska följder för mänskliga rättigheter:
– Det var som att folkrätten bara försvann ett tag, eller försvann är att ta i, men det var mycket som hände under en period. Acceptansen för tortyr efter den elfte september är ett exempel, säger Madelaine Seidlitz.
När information samlas in måste alltid syftet för hur den ska användas vara tydligt. Men syftet är inte längre tydligt när det kommer till EU och Schengens databaser, enligt Evelien Brouwer. De sex informationssystemen som antagits har inte tydligt avgränsade användningsområden.
– Syftet med att samla in informationen har suddas ut, säger Evelien Brouwer.
Risk för diskriminering
När två nya EU-förordningar om interoperabilitet börjar tillämpas 2021 kan ännu mer information delas mellan EU:s informationssystem. Förordningarna antogs i maj 2019 av EU-kommissionen och Europeiska rådet.
I pressmeddelandet förklaras ”Hur driftskompatibla databaser kommer att öka Europas säkerhet”. Bland annat genom att de ”effektiviserar åtkomst till data om icke-EU-medborgare”.
”Ett enklare informationsutbyte kommer att förbättra säkerheten i EU avsevärt, göra kontrollerna vid EU:s yttre gränser effektivare, förbättra spårningen av multipla identiteter och bidra till att förebygga och bekämpa olaglig migration. Samtidigt skyddas de grundläggande rättigheterna”, står det om förordningarnas syfte i ett pressmeddelande.
– Det finns många tvivel kring nödvändigheten och proportionen av de nya förordningarna, säger Evelien Brouwer.
Europeiska unionens byrå för grundläggande rättigheter (FRA) skrev i en utvärdering av de nya förordningarna från 2017 att ”datan i informationssystemen kan användas för riskanalys eller profilering”. FRA skrev samtidigt att ”interoperabilitet involverar både risker och möjligheter för fundamentala rättigheter”.
FRA pekar också ut att all form av etnisk profilering är olagligt inom EU och Schengenområdet. Eventuellt automatiserade verktyg för att analysera risker och människor måste därför baseras på algoritmer som är korrekt tränade och inte diskriminerar. Men forskning visar att felmarginalerna är stora.
Driftskompatibla system som delar känsliga uppgifter om till exempel kön, sexualitet och etnicitet kan leda till en ökad risk för diskriminerande profilering. FRA lyfter också flera fördelar med att göra de olika systemen kompatibla med varandra. Det kan bli lättare att upptäcka falska eller multipla identiteter och hitta försvunna barn. Samtidigt kan det utgöra ett problem om informationen om de multipla identiteterna är felaktig.
Vem äger informationen?
När så många länder har tillgång till enorma databaser med information är det svårt att veta hur tillförlitliga uppgifterna är. Om länder inom EU och Schengen sedan väljer att kopiera data från de sex databaserna är det inte helt lätt att veta om informationen är korrekt – något som kan få stora konsekvenser för den enskilda individen. Det är inte heller enkelt för alla tredjelandsmedborgare att påpeka felaktigheter – även om de på pappret har rätt till det.
Det kan handla om anledningen till att någon nekats inträdde i Schengen, att ett visum inte utfärdats eller att ett namn stavas fel och en förväxling uppstått. Risken för dataintrång är också något som oroar och som kan få allt större konsekvenser desto mer känsliga data det finns samlat.
– Så många databaser och medlemsländer är involverade. Vem är den ansvariga ägaren av informationen? frågar forskaren Evelien Brouwer retoriskt.
När den ukrainska människorättsaktivisten Lyudmyla Kozlovska reste till Belgien från Polen den 13 augusti 2018 stoppades hon på flygplatsen i Bryssel. Kozlovska är ordförande för den polska ickestatliga organisationen Open dialogue foundation (ODF) och har varit bosatt i Polen i tio år. Hennes organisation har öppet kritiserat det polska regeringspartiet Lag och rättvisa för att undergräva demokratin och rättsstatens principer i Polen.
Polens säkerhetstjänst hävdade när Kozlovska greps i Bryssel att de belagt henne med inreseförbud på grund av oegentligheter med organisationens ekonomi. Själv menade hon att det var av politiska skäl.
– Det är omöjligt för mig att resa till ett SIS-land. Och även mina amerikanska och brittiska visum riskerar att återkallas eftersom Polen har markerat mig som någon … särskilt farlig. Utan förklaring, sa Kozlovska till Euractiv i augusti 2018.
Den belgiska EU-parlamentarikern Guy Verhofstadt sa att Polens agerande var ovärdigt ett EU-land och att svartlista demokratiaktivister är någonting som auktoritära regimer gör. Lyudmyla Kozlovska beviljades senare uppehållstillstånd i Belgien. Hon hade en stor plattform, bra advokater och ett nätverk runt omkring sig. Många människor saknar de resurserna.
Lagstiftning släpar efter
Det finns en uppfattning om att alla länder i EU är rättssäkra och etablerade demokratier. Om ett land inom Schengenområdet till exempel utlyser en internationell arresteringsorder ska personen överföras till det land som kräver det. Detsamma gäller med inreseförbud. Det får dock inte användas för politiska syften som Polen gjorde – något landet kritiserats hårt för.
– Visst finns det risker. Jag tror vi ska vara uppmärksamma på att det inte är något som är hugget i sten eller att Sverige alltid kommer att ha en i alla meningar demokratisk regering på det sätt som vi är vana vid, säger Madelaine Seidlitz.
All informationslagring måste enligt Madelaine Seidlitz vägas mot rättsstatens grundläggande principer och de lagar som finns. En viktig del i det är möjligheten till upprättelse:
– I vissa fall är det väldigt tydligt att lagstiftningen inte hänger med. Finns det ingen lagstiftning som täcker både vad man får och inte får göra så finns det inte heller en möjlighet för den person som utsätts att få upprättelse, eller i alla fall blir det oerhört mycket svårare. Så allt det här hänger ihop med rättsstatens grundläggande principer, säger Madelaine Seidlitz.
EU och Schengensländernas informationssystem
•Schengens informationssystem, (Schengen Information System), SIS II. Tillkom i och med Schengensamarbetet 1995. Syftet är att ha ett gemensamt system för gränskontroll. Här kan varningar, inreseförbud och information om eftersökta personer delas. SIS II är till för att gemensamt kunna kontrollera den yttre gränsen.
• Informationssystemet för viseringar, (Visa information system), VIS. För att lagra uppgifter om de som söker visum för inresa i Schengenområdet. Om en individ nekas visum i ett Schengenland ska systemet förhindra att ett annat land inom Schengen beviljar personen visum och därigenom hindrar vad som kallas för visumshopping.
• Eurodac. Här lagras sedan 2003 uppgifter och biometriska data om asylsökande. Syftet är att kunna tillämpning Dublinförordningen, som säger att en asylsökande ska söka asyl i det land hen först anlände till.
I dag delvis operativa informationssystem
• In- och utresesystemet (Entry exit system), EES. Innehåller information om när alla resenärer som behöver visum, samt de tredjelandsmedborgare som inte behöver visum, reser in och ut i Schengenområdet. I dag får resenärer stämplar i passen, men under 2020 ska det göras digitalt.
• Europeiska systemet för reseuppgifter och resetillstånd, ETIAS. Tredjelandsmedborgare som inte behöver visum, men saknar uppehållstillstånd eller motsvarande tillstånd, kommer inför att de anländer till ett Schengenland behöva ansöka om inresetillstånd genom ETIAS. ETIAS trädde i kraft 2018 men kommer att börja användas först 2021.
• The European criminal records information system, Ecris –TCN. I Ecris – TCN kommer uppgifter om tredjelandsmedborgare som dömts för brott lagras och delas mellan Schengenländerna. Ett sådant system för EU-medborgare finns redan i dag, Ecris.
Schengen och EU
EU-länder som är med i Schengensamarbetet är:
Belgien, Estland, Danmark, Italien, Frankrike, Finland, Grekland, Lettland, Litauen, Luxemburg, Malta, Nederländerna, Polen, Slovakien, Portugal, Slovenien, Sverige, Spanien, Tjeckien, Tyskland, Ungern och Österrike.
Länder som är med i Schengensamarbetet men inte EU är:
Schweiz, Liechtenstein, Norge och Island. Fem EU-länder är inte heller med i Schengensamarbetet, en del då de fortfarande måste uppfylla vissa krav – andra för att de inte vill gå med. Irland har valt att stå utanför samarbetet och Bulgarien, Cypern, Kroatien och Rumänien väntar på att få delta i Schengensamarbetet.
(EU-länderna som står utanför Schengensamarbetet har delvis tillgång till informationssystemen via speciella avtal.)
