Dansk Privacy Netværk

Borgerettighedsgrupper herunder European Digital Rights (EDRi) opfordrer EU til at ophæve det såkaldte logningsdirektiv. Såfremt direktivet ikke bliver ophævet kræves det, at der introduceres en opt-out ret, så det overlades de enkelte EU-lande, hvorvidt man vil forlange opbevaring af datakommunikationen.  

I en redegørelse offentliggjort 1.12. 2009 fremhæves det, at direktivet har resulteret i mindre frihed den enkelte borger med en konstant trussel om, at personlige kontaktoplysninger, bevægelser via mobiltelefonen og brug af internettet, kan sælges, mistes eller på anden måde forårsage skade, så vel som højere priser for telekommunikation og mindre konkurrence.

I en klage mod direktivet til EF-Domstolen, som Irland indgav allerede i 2006, påpeges det, at mange EU-lande i første omgang ikke forlangt datalogning og at “intet spørgsmål vedrørende det indre marked kan begrunde et pålæg til en medlemsstat med et krav om, at teleoperatørerne skal opbevare data (…), så længe en sådan forpligtigelse ikke allerede eksisterede i henhold til lovgivningen i denne stat “.

I flere medlemsstater har domstole afgjort eller er ved at afgøre sager indgivet af borgere og teleoperatører med påstand om, at en vilkårlig indsamling af kommunikationsdata krænker privatlivets fred. Forfatningsdomstolen i Rumænien og Bulgarien har allerede fastslået, at datalogning er forfatningsstridig. Den tyske forfatningsdomstol vil i indeværende måned tage stilling til en klage indgivet af 34.000 borgere. En anden sag er under behandling i Irland, mens en ansøgning til forfatningsdomstolen i Tjekkiet er under udarbejdelse.

Endvidere hedder det i redegørelsen: “I en skelsættende afgørelse truffet sidste år, fastslår den Europæiske Menneskerettighedsdomstol, at den britiske database for DNA og fingeraftryk er ulovlig og statuerer, ”at de omfattende og vilkårlige beføjelser for opbevaring (…) udgør et uforholdsmæssigt indgreb i “privacy og kan ikke betragtes som nødvendigt i et demokratisk samfund. “. ”Det samme er tilfældet med den omfattende og vilkårlige indsamling af personlige kontaktoplysninger, bevægelser via mobiltelefonen og brug af internettet” udtaler juridisk ekspert Patrick Breyer. “Anonymitet er uundværlig for et væld af aktiviteter i en demokratisk stat. At underkaste alle borgere for en konstant registrering af hvem de er i kontakt med, truer med at underminere eller endog ødelægge demokratiet, til trods for angiveligt at forsvare det. Kommissionen skal sætte en stopper for denne Big Brother lov nu.”

 ”EDRi og dets medlemmer har i årevis kæmpet imod dette direktiv med påstand om, at en sådan datalogning er farlig og krænkende. Meryem Marzouki (EDRi) minder om, at kommunikationsdata er langt mere en bare logning af hvem vi kontakter og hvornår. Teledata kan bruges til at danne sig et billede af en persons relationer og endnu vigtigere et billede af en persons aktivitet og hensigt. Med den stigende anvendelse af omfattende nationale databaser, og de aktuelle planer henimod interoperabilitet på EU-plan og fuld adgang til politimæssige formål, baner logningsdirektivet vejen for yderligere udvidelser af et formål, hvor data oprindeligt er indsamlet til strik opfyldelse af en given service, bliver brugt til overvågning og social kontrol af borgerne. Det er ikke acceptabelt i et demokratisk samfund, og bør slutte nu.”

Link til pressemeddelelsen her. 

Om en stigende østrigsk modstand mod logningsdirektivet kan henvises til følgende link (på tysk). 

Også i Danmark er der rejst stigende kritik af logningsdirektivet og den i Danmark udstedte logningsbekendtgørelse. På det seneste har Restsikkerhedsfonden sat fokus på den digitale overvågning i forbindelse med en afholdt konference 25. 11. 2009.  Jeg har også selv til Computerworld udtalt om en revision af bekendtgørelsen under den præmis, at bekendtgørelsen ikke vil blive afskaffet.  

Med statsminister Lars Løkke Rasmussens nylige erklæring til bl.a. Retssikkerhedsfonden om, at se nærmere på reglernes anvendelse og de praktiske erfaringer, er der grund til at være optimistisk. At foruddiskontere en evaluering er måske utidigt, men det vil nok være for meget at håbe på at bekendtgørelsen kan afskaffes med det første, da den er udstedt i henhold til et EU direktiv. Derimod er der god grund til at forvente som et minimum, at styrke retssikkerheden i forbindelse med en overordnet revision af hele den danske antiterrorlovgivning, som gennemført ved opstramninger i diverse love i 2001 0g 2006.

Det rykker for privacy- og databeskyttelsen for tiden.

På den netop afsluttede  31th International Conference for Data Protection and Privacy Commissioners, der blev afholdt 3-5 november i Madrid og med deltagelse af mere end 100 repræsentanter for statslige datatilsyn og de såkaldte data-kommissærer fra mere end 50 lande samt en lang række virksomheder som f.eks. Google og Facebook , er der indgået en international aftale til bedre beskyttelse af personoplysninger og privacy.

International Standards on the Protection of Personal Data and Privacy fastslår som et princip, at databehandling kun er tilladt inden for og på tværs af landegrænser efter akcept af “datasubjektet” (personen hvis data det drejer sig om).  Det er på engelsk formuleret som “free, unambiguous and informed consent” og kan på dansk oversættes til: et klart, utvetydigt og formuleret samtykke.

Det fastlås også, at databehandlingen bør kun være i drift så længe det er nødvendigt til opfyldelse af det specifikke formål data er indsamlet samt, at databehandlingen kun bør ske på tværs af internationale grænser, såfremt den pågældende  jurisdiktion som et minimum opfylder minimumskravet til databeskyttelse i henhold til aftalen.

Aftalen som den foreligger er ganske vist ikke bindende, men det er underskrivernes hensigt at gennemføre en international bindende aftale sandsynligvis via FN og det forventes at det aktuelle dokument vil være vejledende for det endelige udkast.

Det er ikke tilfældigt at en sådan aftale presser sig på nu samtidig med at nye forretningsmodeller som f.eks. cloud computing bliver kraftigt markedsført. Hertil kommer den øgede interesse for sociale netværk blandt både personer og virksomheder, brug af søgemaskiner, internet handel osv.

Sidst der blev lavet en international aftale om overførsel og beskyttelse af data var i forbindelse med udfærdigelsen af de såkaldte Safe Harbour principper mellem EU og USA. Men med en globaliseret økonomi kan en bilateral aftale mellem EU og USA ikke stå alene og virksomhederne har efterhånden erkendt at data ikke bare kan være frit tilgængelig og at forbrugeren ikke  blot skal affinde sig med, at virksomheden  vil tage sig af sikkerheden. 

Især Google og Facebook er kommet under et stort internationalt pres for at ændre deres databrug og praksis. Således er Facebook for nylig gået med til globalt at ændre behandlingen af personoplysninger i forbindelse med en klage fra den canadiske privacy kommissær. Google har ligeledes flere gange revideret sin egen praksis for håndtering og opbevaring af personoplysninger i forbindelse med klager fra Europa-Kommissionen.

Virksomheder som bl.a. Microsoft, Google, Facebook har været ret aktive i Madrid, fordi de ser en interesse i at have en klar aftale om datamanagement og dataoverførsel, eftersom det giver et stabilt marked på lige konkurrencevilkår. Man har indset, at enslydende restriktioner med et klart præciseret ansvar i en lang række vigtige markeder, både kommercielt så vel som økonomisk er at foretrække, frem for færre påbud og større usikkerhed.  

Netop opbakningen blandt de globale operatører samt datamyndigheder fra en lang række lande med en hidtidig uset aktiv medvirken af NGO´ere og privacyfortalere giver aftalen, der lægger sig tæt op ad EU´s databeskyttelsesdirektiv,  gennemslagskraft til trods for at den ikke er juridisk bindende. Der arbejdes nu videre med aftalen i en arbejdsgruppe med det sigte at opnå en international bindende aftale.

Kilde til nyheden kan hentes her.

Aftalen giver ny mening til den i 2001 lancerede vision om ”One World, One Privacy” og befordrer den af Ontario privacy kommissær Ann Cavoukian i 2005 introducerede Global Privacy Standard. Tendensen for at arbejde for et ensartet regelsæt er ligeledes for ganske nylig kommet til udtryk i to forslag til en føderal privacy lov i USA til erstatning for det kludetæppe af  delstatslovgivninger, som volder virksomhederne et stort besvær.

Den større internationale forståelse vil uden tvivl gøde jorden for mere ensrettet international retsregulering og standardisering for privacy og databeskyttelse og EU vil uden tvivl komme til at spille en væsentlig rolle i dette arbejde. En vigtig forudsætning vil være, at den forestående opdatering af EU´s nuværende rammedirektiv om databeskyttelse, som for tiden er i offentlig konsultation, vil være i stand til at tage højde for det næste årtis samfundsmæssige udfordringer og teknologiske udvikling.

I den sammenhæng vil det uden tvivl være nødvendigt med en langt større forståelse for privacy (og i og for sig for alle menneskerettighederne) som allerede bør starte i skolen. Samtidig bør der lanceres obligatoriske kursusforløb i privacy og databehandling for medarbejdere i private og offentlige virksomheder ligesom der bør introduceres en relevant bachelor- eller diplomuddannelse. Disse initiativer kunne Danmark sagtens stå i spidsen for.

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata).

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det meget vanskeligt at bruge hjemmesider og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

I dag er det 20 år siden at Berlinmuren faldt. Det verdenskendte symbol på ikke alene den kolde krig og jerntæppet, men også for en stats totale kontrol og en befolknings undertrykkelse eksisterer ikke mere.

Det er værd at holde en lille pause fra hverdagens sysler og lade tankerne om denne i grunden epokegørende begivenhed få audiens.

At tænke sig at millioner af mennesker med ét oplever følelsen af frihed og er del af en fælles eufori og glæde som fører med sig, at DDR, et af de mest overvågende samfund i verden, faldt i grus med en dominoeffekt for hele det daværende Østeuropa er ganske enestående. Jeg tror at mange ligesom jeg selv blev revet med af den frihedsbegejstring, som tyskerne og senere østeuropæerne gav udtryk for i de dage.

For dem som har oplevet at blive overvåget og leve i evig utryghed vil glæden over frihed være overvældende. Vi andre, der i det meste af vores voksenliv, betragter frihed og tryghed som en selvfølgelighed, har nok svært ved virkelig at fornemme den tilstand. Det er faktisk synd. Ikke kun for selve oplevelsens skyld, men også fordi begivenheden sætter sig dybe spor i ethvert menneske.

Mange af os har dog haft den samme oplevelse på befrielsesdagen d. 4. maj 1945 om aftenen. I ruinerne af 2. verdenskrig blev De Forenede Nationer grundlagt 24. oktober 1945 og Menneskerettighedserklæringen blev vedtaget 10. december 1948. To flotte resultater af menneskets skabertrang på års desktruktive handlinger.

For os alle gælder det imidlertid at minde os selv om, at frihed og menneskerettigheder. herunder privacy ikke er naturlove og derfor skal vi fejre en dag som i dag. Vi må aldrig miste idealet og synet på bolden, hvilket er så meget desto større en udfordring, når tilværelsen i et moderne samfund er uhyre kompliceret. Det er krævende at leve i et demokrati. Det forudsætter en aktiv medleven af os alle og det er jo desværre ikke tilfældet i en udstrækning, som man kunne ønske sig det. Eksemplevis viser undersøgelser, at mange føler sig som tilskuere i forhold til den teknologiske udvikling. Det kan true demokratiet.

Et samfund i balance og harmoni forudsætter engagement, information og debat. Det vi især skal være opmærksome på er den “snigende” kontrol og overvågning og at vi som individ har kontrol og til bunds kender de informationsteknologiske muligheder og konsekvenser. At udvikle informationsteknologien,så den er enkel, gennemskuelig og i brugerens kontrol er i den sammenhæng relevante pejlemærker.

Det er et tema, som man ud fra et privacy synspunkt kunne bruge anledningen til i dag at reflektere over.

På  et rådsmåde d. 26. oktober 2009 er det nu, blandt andre emner,  vedtaget at indføre en pligt til at offentliggøre brud på persondatasikkerheden.

Teknisk set er der tale om at styrke og forbedre forbrugerbeskyttel-sen i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation), som hidtil er blevet implementeret i dansk lov ved lov nr. 450 af 10. juni 2003 om konkurrence og forbrugerforhold på telemarkedet.

I den af EU-Rådet og Europa-Parlamentets fælles begrundelse for ændring af det oprindelige dirketiv slås det fast, ”at det er nødvendigt at sikre, at der tilbydes forbrugerne og brugerne den samme beskyttelse af privacy og personoplysninger, uanset hvilken teknologi der anvendes til at levere en bestemt tjeneste.”

Herefter nævnes det, “at de kompetente nationale myndigheder bør fremme borgernes interesser og bl.a. bidrage til at sikre et højt niveau for beskyttelse af personoplysninger og privatlivets fred. Derfor bør de nationale myndigheder have de nødvendige midler til at udføre deres opgaver, herunder tilstrækkelige og pålidelige data om sikkerhedshændelser, der har bragt personlige oplysninger i fare. De bør overvåge serviceudbydernes foranstaltninger og udbrede best practice for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester. Udbyderne (ISP’ere) skal derfor registrere brud på datasikkerheden med henblik på en yderligere analyse og evaluering af myndighederne.

Fællesskabsretten [persondataloven i Danmark] pålægger den registeransvarlige pligter for behandling af personoplysninger, herunder en forpligtelse til at iværksætte fornøden teknisk og organisatorisk beskyttelse mod for eksempel tab af data. De krav til anmeldelse af databrud, som er indeholdt i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation) strukturerer hvorledes myndighederne og berørte personer skal underrettes, når  persondata er blevet kompromitteret.

Underretningspligten er begrænset til databrud for så vidt angår den elektroniske kommunikationssektor. Men underretning af sikkerhedsbrud afspejler borgernes generelle interesse i at blive informeret om sikkerhedssvigt, som kan resultere i at deres personlige data går tabt eller på anden måde kompromitteres, samt af de forholdsregler, der er eller bør være til rådighed med henblik på at minimere et muligt økonomisk eller socialt tab, der kunne være en følge af disse fejl.

Brugernes interesse i at blive underrettet er klart ikke begrænset til den elektroniske kommunikationssektor og derfor bør der eksplicit gælde et obligatorisk krav om notifikationanmeldelse for alle sektorer og bør derfor gennemføres som en prioritet på EU-niveau. Derfor bør Kommissionen i samråd med den Europæiske Tilsynsførende for Databeskyttelse, tage passende skridt til straks at tilskynde hele Fællesskabet til at anvende principperne om underretning af databrud som reguleret i direktiv 2002/58/EF, uanset hvilken sektor eller den type oplysninger der er tale om.

Et databrud kan, hvis det ikke adresseres rettidigt og på en hensigtsmæssig måde, resultere i store økonomiske tab og social skade, herunder identitetstyveri for den berørte person. Derfor skal internetserviceudbyderen, lige så snart han er blevet klar over, at et sådant brud har fundet sted, underrette dette til den relevante nationale myndighed. De personer hvis data og privacy kan blive berørt af bruddet, skal straks underrettes med henblik på at give dem mulighed for at træffe de nødvendige forholdsregler. Et brud skal betragtes som at have en negativ indvirkning på en persons data eller privacy, såfremt det kan resultere i f.eks. identitetstyveri, fysisk skade, ydmygelse eller tilsværtning af omdømme i forbindelse med brugen af kommunikationstjenesten. Notifikationen skal indeholde oplysninger om de foranstaltninger, som udbyderen har truffet for at håndtere bruddet, samt anbefalinger til den berørte person.”

Det fremhæves envidere “at myndigheder og domstole i medlemsstaterne ikke kun bør fortolke den nationale lovgivning i overensstemmelse med selve direktivet, men også sikre, at fortolkningen ikke strider mod de fundamentale frihedsrettigheder eller generelle fællesskabsretlige principper, såsom proportionalitetsprincippet.”

Rådets beslutning om indførelse af et krav om underretning ved databrud har været ventet et stykke tid efter at der først var opstået uenighed mellem Europa-Parlamentet og EU-Kommissionen om direktivets rette udformning. Processen er endvidere blevet fremskyndet på baggrund af en lang række aktuelle sager om databrud, som mere eller mindre tilfældigt er kommet til offentlighedens kendskab.

Der er imidlertid ikke i første omgang tale om et generelt krav, som mange ellers havde håbet på, og den omstændighed at f.eks. e-banking og online shopping ikke er omfattet, vil begrænse konsekvenserne af påkravet betydeligt. Men det er værd at bemærke, at den førnævnte hensigtserklæring om at arbejde for en mere generel notifikationspligt givetvis vil bane vejen for en mere omfattende regulering på sigt og dermed en strammere databeskyttelse i EU.   

Derudover henstår der stadig en udmyntning af principperne i konkret lovgivning. Der kan allerede nu rejses spørgsmål om hvorledes et databrud skal defineres, hvem og hvorledes der skal gives underretning osv.  Hvornår reglerne vil få virkning i Danmark er det svært at udtale sig om i dag,men det er højst tænkeligt at en endelig lovgivning vil afvente EU-Kommissionens policy-udspil i 2010 om at styrke internet- og informationssikkerheden, som sandsynligvis også vil omfatte en udvidet notifikationspligt ved databrud.

Der er tale om et første og vigtigt skridt, som fortalere for privacy vil anerkende. Der har imidlertid været udtrykt betænkeligheder fra industrien, som anser kravet som  bureaukratisk og fordyrende.

Om de relevante bevæggrunde for indførelse af en notifikationspligt ved databrud kan i det store og hele henvises til  Rådet for Større IT-Sikkerheds brev 25. maj 2009 til videnskabsminister Helge Sander.  Download direktivforslaget her.

Ifølge PricewaterhouseCoopers årlige Global State of Information Security Survey, der netop er offentliggjort i samarbejde med CIO og CSO Magazines, fremgår det, at flere virksomheder, herunder offentlige myndigheder, bekymrer sig om datasikkerheden.

Således viser undersøgelsen, der er baseret på interviews af 7.200 globale ledere, at i forhold til sidste år, har 41% af virksomhederne nu ansat en IT-sikkerhedschef (CSO) sammenlignet med blot 27% sidste år. Stillinger som CISO (Chief Information Security Officer), der bedst kan oversættes som den ansvarlige for informationssikkerhed og som Chief Privacy officer (CPO), der på dansk kan betegnes som den ansvarlige for privatlivsbeskyttelse er også skudt i vejret. CISOs er nu ansat i 44% af de adspurgte virksomheder, sammenlignet med 29% sidste år, og 30% af virksomhederne gør nu brug af en CPO sammenlignet med 21% for et år siden. Hertil kommer at yderligere 32% af virksomhederne siger, at de har planer om at oprette en stilling som CISO eller CSO.

Ifølge Mark Lobel fra PricewaterhouseCoopers, der i anledning af offentliggørelsen har udtalt sig til Forbes, kan den øgede opmærksomhed på security og privacy hos direktionen, til dels tilskrives den globale økonomiske afmatning. Antagelsen om, at økonomisk tilbagegang udmønter sig i øget cyberkriminalitet sammen med en risiko for utilfredse tidligere medarbejdere, der har været udsat for massefyringer, har tilsyneladende skabt ny frygt for datasikkerheden, hævder Lobel.

Og han fortsætter: “I sådanne nedgangstider oplever folk, at store risici er på vej. Hvis dit security budget ikke beskæres, har du brug for en chef, som kan udnytte budgettet effektivt og fornuftigt”

Det fremgår endvidere af undersøgelsen, at 38% af de adspurgte planlæggger at øge udgifterne til IT-sikkerhed sammenlignet med 12%, som har til hensigt at skære ned på budgettet. Det er et tegn på, at sikkerheden forbliver vigtig i nedgangstider omend af mindre betydning i starten af den økonomiske nedtur. I den samme undersøgelse sidste år, svarede 44% af de adspurgte, at de havde til hensigt at øge udgifterne til IT-sikkehed, mens kun 5% planlagde at skære ned.

Selvom der ikke foreligger oplysninger om, hvor mange danske virksomheder, der har deltaget i undersøgelsen, er der imidlertid ikke noget der tyder på, at udviklingen ikke også i en vis udstrækning vil gøre sig gældende i Danmark. At IT-sikkerhed stadig er vigtigst underbygges således af en dansk IDG undersøgelse, der også netop er offentliggjort og omtalt af Computerworld.

Download hele undersøgelsen, der behandler en lang række andre IT-temaer, her.

The Public Voice coalition afholder d. 3. november 2009 i Madrid en konference  med titlen “Global Privacy Standards for a Global World”. Konferencen vil blive afholdt i forbindelse med International Conference of Data Protection and Privacy.

Blandt de vigtigste resultater for konferencen vil være frigivelsen af The Civil Society Madrid Declaration, der er et dokument udarbejdet af organisationskomiteen bag  konferencen. Madrid-erklæringen er et omfattende dokument, der bekræfter internationale instrumenter til beskyttelse af privatlivets fred, identificerer nye udfordringer og anbefaler specifikke tiltag: http://www.thepublicvoice.org/madrid-declaration. 

Erklæringen indeholder generelle synspunkter og principper for privacy, som burde finde bred opbakning og den internationale støtte som erklæringen indtil videre har fået vil givetvis bidrage til at målrette privacy dagsordenen  om mere forbrugerbeskyttelse og sende et klart signal til de nationale datatilsyn og dermed også medvirke til at påvirke lovgivning og forvaltningspraksis i hele verden. Det gælder også i Danmark selvom flere af  rekommendationerne allerede efterleves idag, at et par stykker synes mindre realistiske (især rekommentation nr. 9 om et teknologi-moratorium) og/eller forekommer mindre væsentlige i en dansk sammenhæng og til trods for at den danske  persondatalov ikke er så ringe endda.  

Der er stadig mulighed for at underskrive erklæringen enten på vegne en organisation eller på egne vegne hvilket hermed er en opfordring. Jeg har selv underskrevet erklæringen på egne vegne.

Det fremføres ofte i debatten, at biometri er offentlig tilgængelig information. Vi aflægger vore fingeraftryk alle vegne (på ølglas, dørhåndtag osv.) og vore ansigter afbildes på fotos, der lægges på internettet endda uden at vi selv ved af det.

Men denne uafvendelige kendsgerning udelukker ikke, at biometriske kendetegn er og bliver unikke. De er bare ikke hemmelige. Udfordringen for leverandørernes forskning- og udviklingsafdelinger består i, at gøre dem hemmelige. Og hvorfor det ? Fordi en kompromitteret biometri ikke kan erstattes. Du kan ganske vist designe et biometrisk system med substituering af op til ni fingre og en iris (alle dine fingeraftryk er forskellige og selv din venstre iris er forskellig fra din højre). Men en forfalsket biometri er tabt for altid.

Det er også en kendt sag, at især fingeraftryksbiometri kan hackes eller spoofes. Hvorledes dette kan lade sig gøre har den tyske Chaos Computer Club bl.a. givet tips om i en videosekvens. For fuldstændighedens skyld skal det imidlertid anføres, at disse angreb ofte gennemføres i laboratorier, på baggrund af en forud indhøstet indgående viden om det biometriske system og hvor positive tests ofte først lykkes efter mange forsøg. Men selv om det i den virkelige verden vil være endog meget svært at gennemføre en hacking, så udelukker det dog ikke, at det principielt er muligt.

Derfor tages disse eksempler alvorligt og er faktisk med til løbende at forbedre teknologien. Hidtil er dette sket ved at raffinere sensorerne (f.eks. med anvendelse af multispektral billedanalyse), at fusionere flere forskellige biometriske modaliteter (f.eks. fingeraftryk og iris), at supplere med PIN-koder mm.

Når det er sagt, så hersker der heller ikke nogen tvivl om, at passwords (eller noget du ved) og smartcards alene eller i kombination heller ikke giver sikker autentificering, eftersom de enten kan glemmes eller tabes og ydermere ikke effektivt kan bindes til en person, hvorved systemet ikke kan differentiere mellem en legitim bruger og angriber.

Når nu biometri ikke er hemmelig,hvorfor så ikke dels kryptere disse data og derudover benytte biometri som en krypteringsnøgle ? At kryptere den biometriske template i en database kan lade sig gøre på sædvanlig vis og vil forbedre systemets security, men spørgsmålet om privacy er uløst, i de tilfælde hvor kontrollen med krypteringsnøglerne og dermed af de biometriske data er hos ejeren af en centraldatabase (i modsætning til en lokaldatabase). Det andet spørgsmål kan imidlertid ikke umiddelbart lade sig gøre, fordi de biometriske data (templates) er forskellige af natur. Hvert nyt realtime fingeraftryk er forskelligt og konventionel kryptering tolererer ikke en eneste bitfejl. Derfor koncentrerer nyere forskning sig i stedet for at udvikle metoder til at binde en krypteringsnøgle til de biometriske data, således at nøglen hele tiden kan regenereres.

Forskningen kaldes for biometrisk kryptering og defineres som en proces, der på en sikker måde binder (ikke indlejrer) en PIN eller en krypteringsnøgle til biometrisk data, så hverken nøglen eller de biometriske data kan udledes fra den gemte template. Nøglen kan kun dekrypteres med den registrerede persons realtime biometriske data, f.eks. et fingeraftryk. Hermed kan man dekryptere en PIN, et password eller en alfanumerisk streng for adskillige applikationer.

Det vil føre for vidt at komme nærmere ind på de forskellige modeller for biometrisk kryptering i denne omgang, men temaet vil blive taget op ved en senere lejlighed. Nogle hovedprincipper kan dog anføres:

• brug af biometriske eksemplarer (f.eks. friske fingeraftryk) og biometriske templates anvendes kun for at danne samt verificere bestemte pseudo-identiteter (som ikke må indeholde biometriske data) og det biometriske eksemplar så vel som den biometriske template må ikke gemmes overhovedet.
• undgå at biometriske data eller andre data kan benyttes til at udlede en bestemt persons identitet
• undgå at biometriske data eller andre data kan bruges til at linke personer (data-subjekter) på tværs af databaser (function creep)
• begrænse processen af persondata til et absolut minimum
• slette det biometriske eksemplar og den biometriske template (rodidentitet) så hurtigt som muligt efter processen, såfremt disse ikke er nødvendige til brug for processens formål
• udelukke rekonstruktion af det biometriske eksemplar fra den biometriske template (uden reverse engineering)
• gøre brug af lokal database samt verifikationsfunktion og gemme persondata på en device under kontrol af data-subjektet (match-on-card eller system-on-card)
• undgå at nogen yderligere persondata er direkte linket til de biometriske data (til brug for den midlertidige proces), såfremt dette ikke er nødvendigt for processens formål
• informere brugeren (datasubjektet) om systemets formål, funktion og proces
• såfremt det kræves, at enhver bestemt pseudoidentitet genereres fra et nyt (frisk) biometrisk eksemplar med henblik på at øge gennemsigtighed
• generering af forskellige pseudoidentiteter, som til enhver tid kan tilbagekaldes af datasubjektet, til forskellige applikationer

Lad os forestille os et scenarie med brug af en biometrisk krypteringsløsning i forbindelse med eksempelvis receptudskrivning.

1. Patienten (datasubjektet) besøger sin læge, der skriver en recept. Recepten sendes til patientens indbakke på den landsdækkende receptserver.
2. Derhjemme, bruger patienten sin personlige computer til at få adgang til receptserveren. Via en sikker forbindelse, autentificerer receptserveren sig overfor patientens smartcard, og som ved denne autentificering ved, hvilken indbakke, der skal åbnes. I indbakken er gemt de yderligere data, der kræves for at udføre hybridverifikationen. Patientens realtime biometriske data bruges sammen med de supplerende oplysninger til at oprette en midlertidig pseudo-identitet (PI1*). Denne bliver herefter sendt til den centrale applikation og sammenlignes med en tidligere (ved registreringen) gemt pseudo-identitet (PI1). Eftersom der er en match får patienten adgang.
3. Herefter finder patienten den pågældende recept i indbakken og tildeler apoteket adgang til den. Dette sker ved at etablere et link mellem recepten og den pseudo-identitet, som patienten gør brug af på apoteket.
4. På apoteket bruger patienten sit personlige smart card i forbindelse med apotekets terminal ( indstiks- eller berøringsfri læser). Terminalen autentificerer sig selv og får adgang til sin indbakke på patientens smartcard, hvor yderligere data til brug for verifikationsprocessen er gemt. Ved at bruge patientens realtime biometriske data (via en scanner på f.eks. selve patientens smartcard) sammen med de supplerende oplysninger, kreeres en midlertidig pseudo-identitet (PI2*), der sammenlignes med den oprindelige (PI2), der er gemt på patientens smartcard ved registreringen. Apoteket’s system sammenligner de to pseudo-identiteter, og eftersom der er et match, kan systemet nu bruge pseudo-identiteten til at søge efter linkede recepter.
5. Den recept, der er linket til patientens ”apotek-pseudo-identitet” bliver fundet og patienten kan få sin medicin. Apoteket opdaterer recepten med bemærkning om hvilken medicin der er blevet udleveret.

Biometrisk kryptering kan således både sikre security og privacy. Sådan som de biometriske data indgår i processen ved kun at blive anvendt ved registreringen af en person, hvorefter de transformeres til pseudoidentiteter, kan man faktisk ikke mere definere biometri som “noget du er”, men mere som “noget du har”, nemlig unikke pseudoidentiteter.

Det komplette koncept kan i øvrigt også indeholde “noget du ved” (hybridverifikation), hvorefter der sker en effektiv integration af alle hidtil kendte autentifiseringsmetoder. Man kan med rette tale om den højeste grad af en privacy enhancing technology-løsning.

Biometrisk kryptering bør være en obligatorisk feature for et fremtidigt dansk borgerservicekort.

På Danish Biometrics blog i undermenuen biometrisk kryptering kan man finde yderligere information om biometrisk kryptering.

Art. 29-gruppen (repræsentanter fra datatilsynene i EU) har lanceret en offentlig Consultation on the legal framework for the fundamental right to protection of personal data, hvor alle kan bidrage – dvs. privatpersoner, organisationer og offentlige myndigheder.

Persondataloven fra 2000 er baseret på EU´s datadirektiv fra 1995, som det er på tale at opdatere, især på baggrund af de indførte ”terror-love” efter 11.9. 2001, men også i lyset af den teknologiske udvikling og udbredelsen af online sociale netværk som f.eks. Facebook.

Til belysning af temaet henvises til den nyligt offentliggjort Rand Europe rapport ”Review of the European Data Protection Directive”, som kommer med en lang række anbefalinger på hvordan man kan forbedre databeskyttelsesregimet for borgere i de europæiske lande. Tjek:
http://danskprivacynet.files.wordpress.com/2009/05/review_of_eu_dp_directive.pdf.
Rapporten er bl.a. omtalt her: http://danskprivacynet.wordpress.com/2009/05/19/eu%c2%b4s-databeskyttelsesdirektiv-b%c3%b8r-updates/

Dansk Privacy Netværk opfordrer alle til at bidrage og netværket vil også gerne medvirke til at lave en fælles dansk og meget gerne fælles europæisk udtalelse. WG29 vil uden tvivl lægge vægt på en udtalelse, som bakkes op af en bred vifte af interesseorganisationer, offentlige myndigheder, politikere, opinionsdannere og enkeltpersoner.

Et koordinerende setup vil blive lanceret så snart som muligt. I mellemtiden er alle velkommen til at rette direkte henvendelse til Dansk Privacy Netværk  eller sende en kommentar.

Frist til aflevering af bidrag er 31.12. 2009.