Begreppet massövervakning har funnits i svensk debatt sedan FRA-lagen klubbades i juni 2008 och Edward Snowden kontaktade brittiska och amerikanska journalister fem år senare. På tolv år har ordet hunnit förlora skärpan. Det används om kameror i tunnelbanan, om Googles datainsamling, om kinesisk ansiktsigenkänning och om EU:s förslag att skanna chattmeddelanden. Allt är inte samma sak. Den här texten reder ut vad massövervakning är, hur den skiljer sig från riktad övervakning, vilka system som existerar i Sverige och Europa, och varför Europadomstolen i Strasbourg fällde den svenska staten den 25 maj 2021.
Vad är massövervakning?
Massövervakning är avlyssning och avläsning av all elektronisk kommunikation i ett område eller medium, utan föregående misstanke om brott mot enskilda individer. Det är motsatsen till riktad övervakning, som riktar sig mot namngivna personer efter rättsligt beslut. Skillnaden är inte teknisk utan rättslig: massövervakning samlar in först och sållar sedan.
Ung Pirat formulerar arbetsdefinitionen kort: “Sådan övervakning som tillåter en central aktör, stat eller företag, att kartlägga en persons liv, vanor, intressen etc är det vi menar när vi pratar om massövervakning.”
I praktiken handlar det om fyra parallella system. Det första är kameraövervakning, alltså kameror i det offentliga rummet. Det andra är datalagring, där telekomoperatörer registrerar vem som kommunicerar med vem, var och när. Det tredje är signalspaning, alltså avlyssning av fiberkablar och radiosignaler. Det fjärde, det yngsta, är skanning av meddelandetjänster på enhetsnivå, vilket EU-kommissionen föreslog i maj 2022 under namnet Chat Control.
Skillnaden mellan riktad övervakning och massövervakning
Riktad övervakning bygger på misstanke om brott och kräver rättsligt beslut. Polisen får avlyssna en specifik telefon, granska en specifik dator, läsa en specifik persons e-post, efter beslut från domstol eller åklagare. Säkerhetspolisen, allmänt kallad Säpo, följer namngivna säkerhetsrisker, en form av riktad spaning. Det är gammal polisteknik som funnits sedan telegrafen.
Massövervakning fungerar tvärtom. Alla medborgare i ett medium analyseras automatiskt, och datorprogrammen flaggar det som ser misstänkt ut. Wikipedia beskriver mekaniken: “Det är alldeles för mycket data på Internet för att människor ska kunna söka igenom allt. Därför är det automatiserade övervakningsdatorer som sållar bland den stora mängd av data för att identifiera och rapportera till de humana utredarna om vilket material som anses vara misstänksamt.”
Den juridiska brytpunkten heter brottsmisstanke. Vid riktad övervakning krävs misstanke om brott innan ingrepp får ske. Vid massövervakning sker ingreppet först. Misstanken konstrueras i efterhand, av en algoritm.
Snowden-avslöjandena 2013
Den 5 juni 2013 publicerade The Guardian ett hemligt domstolsbeslut som tvingade teleoperatören Verizon att lämna ut uppgifter till National Security Agency om miljontals amerikanska telefonsamtal, en omfattande avlyssning av telefonsamtal utan föregående brottsmisstanke. Fyra dagar senare trädde källan fram från ett hotellrum i Hongkong. Edward Snowden, då 29 år, hade arbetat som kontraktor åt NSA via konsultbolaget Booz Allen Hamilton och fört ut fyra datorer med topphemligt material.
Under sommaren och hösten 2013 publicerade The Guardian, Washington Post och tyska Der Spiegel hundratals dokument. Avslöjandena byggde upp ett mönster: massövervakning var inte ett enskilt program utan ett globalt samarbete mellan den engelskspråkiga världens underrättelsetjänsten och inkopplade europeiska partners, däribland Sverige.
Den 23 oktober 2013 avslöjades att NSA avlyssnat förbundskansler Angela Merkels mobiltelefon. Den 1 november rapporterade The Guardian att brittiska GCHQ samarbetade nära med underrättelsetjänster i Tyskland, Frankrike, Spanien och Sverige för att utveckla massövervakningens kapacitet. Den 16 januari 2014 fastslog samma tidning att NSA samlade in 200 miljoner sms varje dag.
Vad var PRISM och XKeyscore?
PRISM var NSA:s program för direktåtkomst till data hos Google, Facebook, Apple, Microsoft, Yahoo och fem andra amerikanska tjänster. Programmet startades 2007 under FISA Amendments Act. XKeyscore var sökverktyget, en databas där analytiker kunde söka i fritext, e-post, chatt och webbhistorik från övervakade fiberkablar. En NSA-analytiker behövde inte rättsligt beslut för att söka, bara en formulär-motivering.
Echelon, ett äldre system från 1960-talet, samlade in radio- och satellittrafik via ett nätverk av lyssningsstationer drivna av Five Eyes-länderna USA, Storbritannien, Kanada, Australien och Nya Zeeland. Echelon beräknas samla in omkring tre miljarder meddelanden per dygn.
Vad gjorde Sverige?
Snowden-dokumenten avslöjade att Sverige sedan 1954 ingått i underrättelsesamarbetet UKUSA, trots officiell alliansfrihet. Från 2004 hade Försvarets radioanstalt direkta bilaterala avtal med NSA. Från 2011 fick NSA omfattande tillgång till data från FRA:s kabelavlyssning, framförallt material rörande Ryssland och den baltiska regionen.
I december 2013 avslöjade SVT:s Uppdrag granskning att FRA också deltog i hacker-programmet Quantum tillsammans med NSA och GCHQ. Programmet ledde in datoranvändare till falska attackservrar som installerade spionprogram. I april 2013 rapporterade FRA att man genom Quantum styrt 100 mål till brittiska servrar. Generaldirektören Ingvar Åkesson möttes av NSA-chefen Keith Alexander två gånger om året.
Försvarets radioanstalt och FRA-lagen
FRA är en svensk civil myndighet under Försvarsdepartementet, baserad på Lovö utanför Stockholm. Uppgiften är försvarsunderrättelseverksamhet genom signalspaning. Lagstöd ges av lagen om signalspaning i försvarsunderrättelseverksamhet, i dagligt tal FRA-lagen, antagen av riksdagen den 18 juni 2008 och i kraft från den 1 januari 2009. Lagen kompletterades 2020 av lagen om hemlig dataavläsning, som ger polisen rätt att fjärrinstallera spionprogram på enskilda enheter.
Lagen ger FRA rätt att samla in elektronisk kommunikation som passerar Sveriges gränser via fiberkablar. Telekomoperatörerna är skyldiga att överföra trafiken till “samverkanspunkter” där FRA kan göra urval. Kabelinhämtning ska enligt lagen göras för att kartlägga yttre hot mot landet, och det är den formuleringen som markerar gränsen mot inrikes polisverksamhet.
I praktiken är gränsen porös. Eftersom internettrafik routas via internationella servrar passerar också svensk inhemsk kommunikation FRA:s urvalspunkter. Den som mejlar från Stockholm till Göteborg kan utan vidare ha sin trafik granskad om Gmail-servern ligger i Dublin. Säkerhetspolisen har sedan 2013 rätt att ge uppdrag till FRA om signalspaning, en konstruktion som i praktiken låter inrikes underrättelseverksamhet använda försvarslagstiftningens verktyg.
Europadomstolens dom mot Sverige 2021
Den juridiska prövningen kom utifrån, inte inifrån. Sommaren 2008, kort efter FRA-lagens antagande, anmälde stiftelsen Centrum för rättvisa Sverige till Europadomstolen i Strasbourg. Klagomålet gällde brott mot Europakonventionens artikel 8, rätten till privat- och familjeliv.
Den 19 juni 2018 gav en kammare med sju domare en första dom. Lagen bedömdes i stort godtagbar, men med brister. Centrum för rättvisa begärde överprövning. Den 5 februari 2019 hänskjöts målet till Europadomstolens högsta instans, Grand Chamber.
Den 25 maj 2021 fastslog Grand Chamber att FRA-lagen inte uppfyllde Europakonventionens krav på skydd för den personliga integriteten. Domstolen efterlyste tydligare rättssäkerhetsgarantier och bättre skydd för enskildas grundläggande fri- och rättigheter. Tre brister identifierades:
- Otillräckligt skydd när Sverige delar data med andra stater.
- Otillräckligt skydd för organisationers och företags kommunikation.
- Saknad effektiv kontroll av FRA:s verksamhet.
Fredrik Bergman, chef för Centrum för rättvisa, kommenterade domen: “Det här är en viktig dom som klargör vilka rättssäkerhetskrav som ska gälla för att hemlig massövervakning ska vara tillåten. Signalspaning kan vara ett användbart verktyg för att kartlägga och avslöja yttre hot mot landet, samtidigt är det viktigt att sådan verksamhet sker med bibehållen respekt för enskildas grundläggande fri- och rättigheter.”
Domen är vägledande för hela Europa. Försvarsutskottet behandlade åtgärder i betänkande 2023/24:FöU11.
EU:s datalagringsdirektiv och dess fall
På EU-nivå var datalagringsdirektivet 2006/24/EG den tidigaste storskaliga formen av påbjuden massövervakning. Direktivet tvingade telekomoperatörer att lagra metadata, alltså vem som ringt eller mejlat till vem, var och när, men inte innehåll, i sex till tjugofyra månader. Syftet var att underlätta brottsutredningar och terrorbekämpning.
Den 8 april 2014 ogiltigförklarade EU-domstolen direktivet i de förenade målen Digital Rights Ireland (C-293/12) och Seitlinger (C-594/12). Domstolen fann att generell lagring av trafikuppgifter om alla medborgare, utan brottsmisstanke, stred mot EU-stadgans artikel 7 (rätten till privatliv) och artikel 8 (skydd av personuppgifter).
Två år senare återkom EU-domstolen med Tele2 Sverige (C-203/15) som klargjorde att den svenska nationella datalagringslagen också var oförenlig med EU-rätten. Sverige har sedan dess byggt om systemet mot mer riktad lagring, men frågan har förblivit politiskt levande. EU-kommissionen presenterade våren 2025 ProtectEU-initiativet, som bland annat aktualiserar nya former av datalagring.
Chat Control: massövervakning i realtid
Den 11 maj 2022 lade EU-kommissionen, genom kommissionär Ylva Johansson, fram förslaget till så kallad CSAM-förordning. Förslaget kräver obligatorisk skanning hos leverantörer av meddelandetjänster, e-post, molnlagring och sociala medier, däribland WhatsApp och Signal, efter material som visar sexuella övergrepp mot barn. CSAM står för Child Sexual Abuse Material. I folkmun kallas förslaget Chat Control 2.0.
Den tekniska konstruktionen är klyvande. Skanningen ska ske på användarens enhet innan innehållet krypteras. Algoritmer jämför bilder mot databaser av kända övergreppshashar, och AI-modeller letar efter grooming-mönster i text. Eftersom skanningen sker före kryptering kringgår förslaget tekniskt totalsträckskryptering, end-to-end encryption på engelska. Resultatet är en backdoor i krypterad kommunikation, även om Kommissionen aldrig kallar det så. Effekten är densamma: krypterade meddelanden är inte längre privata.
Kritiken har varit kompakt och tvärpolitisk. Stefan Axelsson, professor i digital forensik vid Stockholms universitet, gav den hårdaste sammanfattningen: “Inte ens Östtysklands säkerhetspolis Stasi hade övervakning på den här nivån.” Jämförelsen med Östtyskland har återkommit i debatten, från flera oberoende experter.
Meredith Whittaker, vd för Signal-stiftelsen, har bekräftat att Signal kommer lämna EU-marknaden om förslaget antas i sin föreslagna form. Inom EU-kommissionen själv används Signal för internkommunikation.
Kritikens kärna består av sju invändningar. Förslaget bryter mot Europakonventionen om de mänskliga rättigheterna, särskilt artikel 8, och mot Barnkonventionen artikel 16. Automatiserad detektering ger massiva mängder falska positiva, alltså att automatiska system pekar ut oskyldigt material och därmed orsakar mer skada än nytta. Tekniken kan inte begränsas till sitt syfte, vilket ger ändamålsglidning. Bakdörren skapar säkerhetshål som kan utnyttjas av hackare och fientliga stater. Den hämmar yttrandefriheten genom så kallad chilling effect. Den slår oproportionerligt mot utsatta grupper, däribland Hbtqi-personer i länder med fientlig lagstiftning. Och den underminerar källskyddet för journalister och visselblåsare.
Den 14 oktober 2025 valde Tyskland att inte ta ställning i ministerrådet. Förslaget saknade då majoritet och togs av dagordningen, men är inte slutligt avskrivet.
Kinas Skynet och frågan om diktatur
Den jämförelse svenska kommentatorer regelbundet återvänder till är Kinas kameranätverk, internt benämnt Skynet, sammankopplat med ansiktsigenkänning och social scoring-system. Över 600 miljoner kameror täcker städerna. Beijing, Shanghai och Xinjiang är de tätaste områdena. Det är fullt utbyggd massövervakning i realtid.
Att jämföra Sveriges system med Kinas är politiskt frestande men juridiskt missvisande. Skillnaden är inte tekniken utan vad systemet får användas till. Ung Pirat formulerar den begränsningen: “Det är stor skillnad mellan länderna, framförallt så är Sverige ett demokratiskt land medans Kina är en diktatur. Detta är absolut viktigt att tänka på när man pratar om massövervakning, även om Sveriges regeringen utökar massövervakningen ännu mer så skulle det inte få samma konsekvenser som i Kina.”
Den juridiska likheten är samtidigt obekväm. När väl infrastrukturen finns på plats är det den politiska kontexten, inte tekniken, som avgör hur den används. Ett demokratiskt land med massövervakningskapacitet är ett demokratiskt land där varje val också handlar om vem som får tillgång till verktygen. Kinas övervakning är extrem just därför att kontrollmekanismerna är borta, inte därför att kameror eller algoritmer är annorlunda.
Privata aktörer och kommersiell övervakning
Statens övervakning är reglerad i lag. Privata aktörers övervakning regleras av GDPR och andra integritetsregler, men i praktiken förhandlas integriteten bort i användarvillkor som ingen läser. Det är inte ny information. Vad som däremot kan vara nytt är att svenska användare nu är mer oroad över kommersiell övervakning än statlig, även om båda väcker obehag.
I Internetstiftelsens undersökning Svenskarna och internet 2019 uppgav 45 procent av svenska internetanvändare att de kände sig övervakade på internet. Av dessa oroade sig 46 procent för storföretag som Google och Facebook. Motsvarande andel för oro över myndigheter var 21 procent. Sedan 2015 hade oron för storföretag ökat med 17 procentenheter.
Under coronapandemin 2020 steg oron ytterligare. I gruppen som arbetade hemifrån var 64 procent oroliga för övervakning, jämfört med 52 procent i hela vuxenpopulationen. Den som arbetar via en kommersiell tjänst på en hemmadator har dubbelarbete av oro: arbetsgivarens insyn och plattformens.
Vad effekten blir: chilling effect och självcensur
I forskningen om massövervakningens effekter återkommer ett uttryck, chilling effect, eller på svenska nedkylande effekt. Det betecknar att människor som vet att de övervakas ändrar sitt beteende, även när de inte gör något olagligt. De söker mindre på känsliga ord. De undviker vissa webbsidor. De ringer hellre än mejlar.
Effekten är dokumenterad i flera studier sedan 2013. Kommunikationen kring HIV, abort, depression, politisk dissidens och religiösa minoriteter sjönk mätbart i amerikanska Wikipedia-sökningar månaderna efter Snowden-avslöjandena. Journalister rapporterade samma år att källor blev svårare att få att tala på telefon.
Ung Pirat sätter ord på mekanismen: “Detta är den farligaste formen av censur, självcensur. Man tänker inte medvetet på att man censurerar sig själv.”
Självcensur är effektivare än statlig censur eftersom den inte syns och inte kostar något. Det är också anledningen till att integritetsskydd, även för människor som inte har något att dölja, är en demokratifråga snarare än en juridisk fråga.
Vad debatten om massövervakning egentligen handlar om
Den juridiska kärnan i alla domar från EU-domstolen och Europadomstolen är samma princip: proportionalitet. Står åtgärden i rimligt förhållande till sitt syfte? Är ingreppet nödvändigt i ett demokratiskt samhälle?
Det är där FRA-lagen föll i Strasbourg 2021. Det är där datalagringsdirektivet föll i Luxemburg 2014. Det är där Chat Control förlorade tysk omröstning i oktober 2025. Tekniskt är åtgärderna olika. Juridiskt är frågan densamma: när blir säkerhetsåtgärder så omfattande att de förstör den frihet de var avsedda att skydda?
Massövervakning är begreppet som beskriver den punkten i lagstiftningen där åtgärden vänder sig från att skydda medborgaren mot brott till att betrakta varje medborgare som potentiellt misstänkt. Vad det heter på ren juridisk svenska är inte massövervakning utan ingrepp utan brottsmisstanke. Det är samma sak.
Det är också den fråga som varje generation av politiker, efter varje terrorattack, varje våg av övergreppsbrott, varje ny teknik, kommer få ta ställning till på nytt. Det är därför Snowden-avslöjandena 2013 inte gick i graven när nyhetscykeln gick vidare. De definierade en konflikt som inte kan lösas tekniskt, bara avgöras politiskt, om och om igen.
