The European Security Research and Innovation Forum (ESRIF) underlines human rights and privacy

European Security Research and Innovation Forum (ESRIF) has released its final findings a 323 page report on aspects of European Research and Innovation to enhancing the security of European citizens.

From a human rights and privacy perspective the reports main statements and recommendations raises hope for a new sustainable agenda of immense importance for European and global security. These aspects are pointed out several places in the report. For instance with this message (on page 12):

“Protecting the EU’s population and infrastructure must resonate with good governance, common economic sense, and respect for fundamental rights and Europe’s cultural values. For ESRIF, gaining a competitive advantage and leadership position in the global security market for Europe must reflect European values.”

And further on page 21: ” Surveillance is increasingly a central element of security management and takes place through a number of means, from closed circuit television to various biometric tools. As these tools are developed, the impact on European values of the relation between surveillance and civil and human rights, the place of new technologies in society role, their role in security crises and their consequences for the individual remain poorly understood. Future research and innovation should carefully assess these societal questions and their links with Europe’s security”.

In the public debate security and privacy is often characterized as a zero-sum trade off in the sense that any gain by one side is offset by an equal loss on the other side. But this is not necessarily true for tradeoffs between privacy and security and the report challenge this presumable dicthomy. In this connection I would like to highlight this passage:

“A primary task of ESRIF is to develop criteria and guidelines for security technologies and measures in line with human rights in general and with the protection of privacy. Security technologies that are consistent with and enhance privacy should allow the security industry to develop widely acceptable security products. Integrating privacy in the design of new security technologies and systems will be a competitive advantage for the European security industry. It should be possible to implement them in such a way that in the future more security does not imply a loss of privacy.”

Further it is stated that ESRIF advocates implementation of a ‘privacy by design’ data protection approach that should be part of an information system’s architecture from the start. “To ensure real effectiveness, this privacy-by-design” protection should combine general privacy controls, a separation of data of different streams, privacy management systems, and effective ‘anonymisation’ of personal data. Research in these areas must be pursued to ensure that effective solutions are available as soon as possible” (page 31).

ESRIF also have as a key message “the promotion of a security by design approach in any newly developed complex system or product, ensuring that security is addressed at the point of conception, as it has been the case for safety by design”.

This could be considered as a new research and innovation challenge embedding from scratch both privacy and security instruments being of equal importance and necessity in the process from concept and design to system development and operation. Maybe it would call for a new term to clarify this research and innovation approach ? For instance: “privacy and security integration by design” ?

From the report I would also like to mention the key message that “education and scenario-based training contribute significantly to the overall acknowledgement and recognition that security is a common responsibility of all stakeholders, especially, policymakers, regulators and citizens.” In a recent post I have pinpointed the importance of education and learning in regard to privacy and data protection due to the same reasons.

I have also given special attention to the reports statements about biometrics in a post (in Danish) on the blog of Danish Biometrics appreciating in particular the message that ” The EU Commission itself has classified biometrics as a privacy enhancing technology and it is understood that the Commission would wish biometric technologies to be developed more towards the preservation of users’ privacy”.

I highly recommend reading the report which can be downloaded here.

Read the preliminary reaction of the EU Commission to the ESRIF final report here.

Consultation on the legal framework for the fundamental right to protection of personal data

There are many issues which could be addressed in order to improve the European privacy and data protection framework. As it has my special concern I have today on my behalf taken the opportunity to forward the following recommandation to the EU Directorate Justice, Freedom and Security.

You may approach data protection/privacy in four different ways:
Legal
Ethical
Technological and
Educational

In my opinion there is a strong need for a comprehensive Pan-European academic as well as industrial learning and education program in privacy and data protection. Therefore I would like to recommend  a feasibility study regarding the establishment of an European privacy learning and education programme at EU.

In order to strengthen awareness and accountability I would like also to recommend a new rule  that every public or private entity with at least 50 employees should appoint a data protection/privacy officer who should attend a certified data protection/privacy course.

I have taken the liberty to mention that The European Privacy Institute  would be able to contribute with exceptional knowledge and expertise taking into account that the scientific advisory board has representation in all European countries.

About the joint reaction of the Article 29 Working Party (WP29) and the Working Party on Police and Justice (WPPJ) to this consultation, please check The Future of Privacy adopted 1th December 2009.

 

“Learning without thought is labour lost; thought without learning is perilous”   Confucius

EU fastholder at privacy skal have høj prioritet

I forbindelse med den 5.  ministerielle eGovernment Konference 2009, som blev afviklet 18. november 2009 i Malmø, har Ministerrådet offentliggjort en erklæring om EUs eGovernment strategi frem til 2015. 

De ministerielle eGovernment konferencer bliver afholdt hvert andet år af EU Kommissionen og det skiftende EU formandskab. Målet er at overvåge fremskridt og identificere politiske og forskningsmæssige fremtidige prioriteringer.

I en pressemeddelelse i forbindelse med offentliggørelsen udtaler Mats Odell, svensk minister for lokalstyre og finansielle markeder og den der ledede mødet: “Vi ønsker at arbejde sammen om at styrke vores borgere og skabe en mere åben offentlig administration. Vi vil gøre det lettere for europæiske borgere og virksomheder at bevæge sig på tværs af grænserne. Det skal være nemt at studere i Stockholm, arbejde i London, gå på pension i Italien og at gøre brug af mulighederne i det indre marked. Samtidig vil vi skabe en enklere og grønnere administration.”

I dag føler mange, at der er en kløft mellem stat og befolkning. eGovernment kan bruges til at genskabe kontakten mellem borgerne og deres valgte politiske repræsentanter. Erklæringens ånd er, at eGovernment skal bruges til at åbne døren til den offentlige forvaltning på en ny og innovativ måde.

Det fremgår afslutningsvis af pressemeddelelsen, at EU-Kommissionen opfordres til at koordinere medlemsstaternes aktiviteter og organisere styringen af gennemførelsen gennem en særlig styringsgruppe, der mødes regelmæssigt for at foreslå tilpasninger af de prioriterede områder.

Erklæringen er værd at hæfte sig ved i relation til privacy, fordi  det udtrykkeligt understreges, at e-Government visionen skal understøttes af national og europæisk lovgivning om privacy og databeskyttelse (punkt 7).

For så vidt angår målet om at reducere de administrative byrder for borgere og virksomheder, fremhæves respekten for privacy og databeskyttelse som afgørende for en styrkelse af tillid og tryghed.  For at borgerne og virksomhederne vil benytte sig af services, der baserer sig på elektronisk udveksling af informationer, skal tillid og sikkerhed være en integreret del af denne service (punkt 17).

Man kunne egentlig have ønsket sig en selvstændig fremhævelse af privacy i erklæringen og måske nok en noget større implementering siden Manchester-erklæringen fra 2005, men efter omstændighederne er denne markering fra EU tilfredsstillende. Det bemærkes i den sammenhæng at privacy og databeskyttelse blev forbigået i den foregående erklæring, der blev udfærdiget i Lisabon i 2007. Der sendes et politisk signal, som vil befordre den stigende opmærksomhed om privacy og databeskyttelse på europæisk plan og som givetvis vil få indflydelse også på dansk lovgivning.

Man kan eksempelvis med god grund opfatte den spritnye justitsministerielle instruks til chefen for Politiets Efterretningstjeneste sammen med nye retningslinjer for Politiets Efterretningstjenstes behandling af personoplysninger mv.  som et initiativ med det formål at styrke retssikkerheden og skabe større åbenhed omkring behandlingen af personoplysninger. Ganske vist er der i det væsentligste tale om en formalisering af en allerede knæsat praksis, men den politiske markering bør efter min opfattelse ikke undervurderes som en indikation på at yderligere tiltag til styrkelse af privacy og databeskyttelse er på vej.

Øget pres på EUs logningsdirektiv

Borgerettighedsgrupper herunder European Digital Rights (EDRi) opfordrer EU til at ophæve det såkaldte logningsdirektiv. Såfremt direktivet ikke bliver ophævet kræves det, at der introduceres en opt-out ret, så det overlades de enkelte EU-lande, hvorvidt man vil forlange opbevaring af datakommunikationen.  

I en redegørelse offentliggjort 1.12. 2009 fremhæves det, at direktivet har resulteret i mindre frihed den enkelte borger med en konstant trussel om, at personlige kontaktoplysninger, bevægelser via mobiltelefonen og brug af internettet, kan sælges, mistes eller på anden måde forårsage skade, så vel som højere priser for telekommunikation og mindre konkurrence.

I en klage mod direktivet til EF-Domstolen, som Irland indgav allerede i 2006, påpeges det, at mange EU-lande i første omgang ikke forlangt datalogning og at “intet spørgsmål vedrørende det indre marked kan begrunde et pålæg til en medlemsstat med et krav om, at teleoperatørerne skal opbevare data (…), så længe en sådan forpligtigelse ikke allerede eksisterede i henhold til lovgivningen i denne stat “.

I flere medlemsstater har domstole afgjort eller er ved at afgøre sager indgivet af borgere og teleoperatører med påstand om, at en vilkårlig indsamling af kommunikationsdata krænker privatlivets fred. Forfatningsdomstolen i Rumænien og Bulgarien har allerede fastslået, at datalogning er forfatningsstridig. Den tyske forfatningsdomstol vil i indeværende måned tage stilling til en klage indgivet af 34.000 borgere. En anden sag er under behandling i Irland, mens en ansøgning til forfatningsdomstolen i Tjekkiet er under udarbejdelse.

Endvidere hedder det i redegørelsen: “I en skelsættende afgørelse truffet sidste år, fastslår den Europæiske Menneskerettighedsdomstol, at den britiske database for DNA og fingeraftryk er ulovlig og statuerer, ”at de omfattende og vilkårlige beføjelser for opbevaring (…) udgør et uforholdsmæssigt indgreb i “privacy og kan ikke betragtes som nødvendigt i et demokratisk samfund. “. ”Det samme er tilfældet med den omfattende og vilkårlige indsamling af personlige kontaktoplysninger, bevægelser via mobiltelefonen og brug af internettet” udtaler juridisk ekspert Patrick Breyer. “Anonymitet er uundværlig for et væld af aktiviteter i en demokratisk stat. At underkaste alle borgere for en konstant registrering af hvem de er i kontakt med, truer med at underminere eller endog ødelægge demokratiet, til trods for angiveligt at forsvare det. Kommissionen skal sætte en stopper for denne Big Brother lov nu.”

 ”EDRi og dets medlemmer har i årevis kæmpet imod dette direktiv med påstand om, at en sådan datalogning er farlig og krænkende. Meryem Marzouki (EDRi) minder om, at kommunikationsdata er langt mere en bare logning af hvem vi kontakter og hvornår. Teledata kan bruges til at danne sig et billede af en persons relationer og endnu vigtigere et billede af en persons aktivitet og hensigt. Med den stigende anvendelse af omfattende nationale databaser, og de aktuelle planer henimod interoperabilitet på EU-plan og fuld adgang til politimæssige formål, baner logningsdirektivet vejen for yderligere udvidelser af et formål, hvor data oprindeligt er indsamlet til strik opfyldelse af en given service, bliver brugt til overvågning og social kontrol af borgerne. Det er ikke acceptabelt i et demokratisk samfund, og bør slutte nu.”

Link til pressemeddelelsen her. 

Om en stigende østrigsk modstand mod logningsdirektivet kan henvises til følgende link (på tysk). Endvidere henledes opmærksomheden på en nylig udtalelse fra  The Irish Council for Civil Liberties om den tilsvarende irske logningsbekendtgørelse. 

Også i Danmark er der rejst stigende kritik af logningsdirektivet og den i Danmark udstedte logningsbekendtgørelse. På det seneste har Restsikkerhedsfonden sat fokus på den digitale overvågning i forbindelse med en afholdt konference 25. 11. 2009.  Jeg har også selv til Computerworld udtalt om en revision af bekendtgørelsen under den præmis, at bekendtgørelsen ikke vil blive afskaffet.  

Med statsminister Lars Løkke Rasmussens nylige erklæring til bl.a. Retssikkerhedsfonden om, at se nærmere på reglernes anvendelse og de praktiske erfaringer, er der grund til at være optimistisk. At foruddiskontere en evaluering er måske utidigt, men det vil nok være for meget at håbe på at bekendtgørelsen kan afskaffes med det første, da den er udstedt i henhold til et EU direktiv. Derimod er der god grund til at forvente som et minimum, at styrke retssikkerheden i forbindelse med en i løbet af 2010 forventet overordnet revision af  af hele den danske antiterrorlovgivning, som gennemført ved opstramninger i diverse love i 2001 og 2006.

Et vigtigt skridt er taget på vejen mod en international aftale om databeskyttelse

Det rykker for privacy- og databeskyttelsen for tiden.

På den netop afsluttede  31th International Conference for Data Protection and Privacy Commissioners, der blev afholdt 3-5 november i Madrid og med deltagelse af mere end 100 repræsentanter for statslige datatilsyn og de såkaldte data-kommissærer fra mere end 50 lande samt en lang række virksomheder som f.eks. Google og Facebook , er der indgået en international aftale til bedre beskyttelse af personoplysninger og privacy.

International Standards on the Protection of Personal Data and Privacy fastslår som et princip, at databehandling kun er tilladt inden for og på tværs af landegrænser efter akcept af “datasubjektet” (personen hvis data det drejer sig om).  Det er på engelsk formuleret som “free, unambiguous and informed consent” og kan på dansk oversættes til: et klart, utvetydigt og formuleret samtykke.

Det fastlås også, at databehandlingen bør kun være i drift så længe det er nødvendigt til opfyldelse af det specifikke formål data er indsamlet samt, at databehandlingen kun bør ske på tværs af internationale grænser, såfremt den pågældende  jurisdiktion som et minimum opfylder minimumskravet til databeskyttelse i henhold til aftalen.

Aftalen som den foreligger er ganske vist ikke bindende, men det er underskrivernes hensigt at gennemføre en international bindende aftale sandsynligvis via FN og det forventes at det aktuelle dokument vil være vejledende for det endelige udkast.

Det er ikke tilfældigt at en sådan aftale presser sig på nu samtidig med at nye forretningsmodeller som f.eks. cloud computing bliver kraftigt markedsført. Hertil kommer den øgede interesse for sociale netværk blandt både personer og virksomheder, brug af søgemaskiner, internet handel osv.

Sidst der blev lavet en international aftale om overførsel og beskyttelse af data var i forbindelse med udfærdigelsen af de såkaldte Safe Harbour principper mellem EU og USA. Men med en globaliseret økonomi kan en bilateral aftale mellem EU og USA ikke stå alene og virksomhederne har efterhånden erkendt at data ikke bare kan være frit tilgængelig og at forbrugeren ikke  blot skal affinde sig med, at virksomheden  vil tage sig af sikkerheden. 

Især Google og Facebook er kommet under et stort internationalt pres for at ændre deres databrug og praksis. Således er Facebook for nylig gået med til globalt at ændre behandlingen af personoplysninger i forbindelse med en klage fra den canadiske privacy kommissær. Google har ligeledes flere gange revideret sin egen praksis for håndtering og opbevaring af personoplysninger i forbindelse med klager fra Europa-Kommissionen.

Virksomheder som bl.a. Microsoft, Google, Facebook har været ret aktive i Madrid, fordi de ser en interesse i at have en klar aftale om datamanagement og dataoverførsel, eftersom det giver et stabilt marked på lige konkurrencevilkår. Man har indset, at enslydende restriktioner med et klart præciseret ansvar i en lang række vigtige markeder, både kommercielt så vel som økonomisk er at foretrække, frem for færre påbud og større usikkerhed.  

Netop opbakningen blandt de globale operatører samt datamyndigheder fra en lang række lande med en hidtidig uset aktiv medvirken af NGO´ere og privacyfortalere giver aftalen, der lægger sig tæt op ad EU´s databeskyttelsesdirektiv,  gennemslagskraft til trods for at den ikke er juridisk bindende. Der arbejdes nu videre med aftalen i en arbejdsgruppe med det sigte at opnå en international bindende aftale.

Kilde til nyheden kan hentes her.

Aftalen giver ny mening til den i 2001 lancerede vision om ”One World, One Privacy” og befordrer den af Ontario privacy kommissær Ann Cavoukian i 2005 introducerede Global Privacy Standard. Tendensen for at arbejde for et ensartet regelsæt er ligeledes for ganske nylig kommet til udtryk i to forslag til en føderal privacy lov i USA til erstatning for det kludetæppe af  delstatslovgivninger, som volder virksomhederne et stort besvær.

Den større internationale forståelse vil uden tvivl gøde jorden for mere ensrettet international retsregulering og standardisering for privacy og databeskyttelse og EU vil uden tvivl komme til at spille en væsentlig rolle i dette arbejde. En vigtig forudsætning vil være, at den forestående opdatering af EU´s nuværende rammedirektiv om databeskyttelse, som for tiden er i offentlig konsultation, vil være i stand til at tage højde for det næste årtis samfundsmæssige udfordringer og teknologiske udvikling.

I den sammenhæng vil det uden tvivl være nødvendigt med en langt større forståelse for privacy (og i og for sig for alle menneskerettighederne) som allerede bør starte i skolen. Samtidig bør der lanceres obligatoriske kursusforløb i privacy og databehandling for medarbejdere i private og offentlige virksomheder ligesom der bør introduceres en relevant bachelor- eller diplomuddannelse. Disse initiativer kunne Danmark sagtens stå i spidsen for.

EU: forbrugeren skal sige ja til cookies

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata).

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det meget vanskeligt at bruge hjemmesider og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

Berlinmuren 1961-1989

I dag er det 20 år siden at Berlinmuren faldt. Det verdenskendte symbol på ikke alene den kolde krig og jerntæppet, men også for en stats totale kontrol og en befolknings undertrykkelse eksisterer ikke mere.

Det er værd at holde en lille pause fra hverdagens sysler og lade tankerne om denne i grunden epokegørende begivenhed få audiens.

At tænke sig at millioner af mennesker med ét oplever følelsen af frihed og er del af en fælles eufori og glæde som fører med sig, at DDR, et af de mest overvågende samfund i verden, faldt i grus med en dominoeffekt for hele det daværende Østeuropa er ganske enestående. Jeg tror at mange ligesom jeg selv blev revet med af den frihedsbegejstring, som tyskerne og senere østeuropæerne gav udtryk for i de dage.

For dem som har oplevet at blive overvåget og leve i evig utryghed vil glæden over frihed være overvældende. Vi andre, der i det meste af vores voksenliv, betragter frihed og tryghed som en selvfølgelighed, har nok svært ved virkelig at fornemme den tilstand. Det er faktisk synd. Ikke kun for selve oplevelsens skyld, men også fordi begivenheden sætter sig dybe spor i ethvert menneske.

Mange af os har dog haft den samme oplevelse på befrielsesdagen d. 4. maj 1945 om aftenen. I ruinerne af 2. verdenskrig blev De Forenede Nationer grundlagt 24. oktober 1945 og Menneskerettighedserklæringen blev vedtaget 10. december 1948. To flotte resultater af menneskets skabertrang på års desktruktive handlinger.

For os alle gælder det imidlertid at minde os selv om, at frihed og menneskerettigheder. herunder privacy ikke er naturlove og derfor skal vi fejre en dag som i dag. Vi må aldrig miste idealet og synet på bolden, hvilket er så meget desto større en udfordring, når tilværelsen i et moderne samfund er uhyre kompliceret. Det er krævende at leve i et demokrati. Det forudsætter en aktiv medleven af os alle og det er jo desværre ikke tilfældet i en udstrækning, som man kunne ønske sig det. Eksemplevis viser undersøgelser, at mange føler sig som tilskuere i forhold til den teknologiske udvikling. Det kan true demokratiet.

Et samfund i balance og harmoni forudsætter engagement, information og debat. Det vi især skal være opmærksome på er den “snigende” kontrol og overvågning og at vi som individ har kontrol og til bunds kender de informationsteknologiske muligheder og konsekvenser. At udvikle informationsteknologien,så den er enkel, gennemskuelig og i brugerens kontrol er i den sammenhæng relevante pejlemærker.

Det er et tema, som man ud fra et privacy synspunkt kunne bruge anledningen til i dag at reflektere over.

EU-Rådet godkender notifikationspligt ved databrud

På  et rådsmåde d. 26. oktober 2009 er det nu, blandt andre emner,  vedtaget at indføre en pligt til at offentliggøre brud på persondatasikkerheden.

Teknisk set er der tale om at styrke og forbedre forbrugerbeskyttel-sen i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation), som hidtil er blevet implementeret i dansk lov ved lov nr. 450 af 10. juni 2003 om konkurrence og forbrugerforhold på telemarkedet.

I den af EU-Rådet og Europa-Parlamentets fælles begrundelse for ændring af det oprindelige dirketiv slås det fast, ”at det er nødvendigt at sikre, at der tilbydes forbrugerne og brugerne den samme beskyttelse af privacy og personoplysninger, uanset hvilken teknologi der anvendes til at levere en bestemt tjeneste.”

Herefter nævnes det, “at de kompetente nationale myndigheder bør fremme borgernes interesser og bl.a. bidrage til at sikre et højt niveau for beskyttelse af personoplysninger og privatlivets fred. Derfor bør de nationale myndigheder have de nødvendige midler til at udføre deres opgaver, herunder tilstrækkelige og pålidelige data om sikkerhedshændelser, der har bragt personlige oplysninger i fare. De bør overvåge serviceudbydernes foranstaltninger og udbrede best practice for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester. Udbyderne (ISP’ere) skal derfor registrere brud på datasikkerheden med henblik på en yderligere analyse og evaluering af myndighederne.

Fællesskabsretten [persondataloven i Danmark] pålægger den registeransvarlige pligter for behandling af personoplysninger, herunder en forpligtelse til at iværksætte fornøden teknisk og organisatorisk beskyttelse mod for eksempel tab af data. De krav til anmeldelse af databrud, som er indeholdt i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation) strukturerer hvorledes myndighederne og berørte personer skal underrettes, når  persondata er blevet kompromitteret.

Underretningspligten er begrænset til databrud for så vidt angår den elektroniske kommunikationssektor. Men underretning af sikkerhedsbrud afspejler borgernes generelle interesse i at blive informeret om sikkerhedssvigt, som kan resultere i at deres personlige data går tabt eller på anden måde kompromitteres, samt af de forholdsregler, der er eller bør være til rådighed med henblik på at minimere et muligt økonomisk eller socialt tab, der kunne være en følge af disse fejl.

Brugernes interesse i at blive underrettet er klart ikke begrænset til den elektroniske kommunikationssektor og derfor bør der eksplicit gælde et obligatorisk krav om notifikationanmeldelse for alle sektorer og bør derfor gennemføres som en prioritet på EU-niveau. Derfor bør Kommissionen i samråd med den Europæiske Tilsynsførende for Databeskyttelse, tage passende skridt til straks at tilskynde hele Fællesskabet til at anvende principperne om underretning af databrud som reguleret i direktiv 2002/58/EF, uanset hvilken sektor eller den type oplysninger der er tale om.

Et databrud kan, hvis det ikke adresseres rettidigt og på en hensigtsmæssig måde, resultere i store økonomiske tab og social skade, herunder identitetstyveri for den berørte person. Derfor skal internetserviceudbyderen, lige så snart han er blevet klar over, at et sådant brud har fundet sted, underrette dette til den relevante nationale myndighed. De personer hvis data og privacy kan blive berørt af bruddet, skal straks underrettes med henblik på at give dem mulighed for at træffe de nødvendige forholdsregler. Et brud skal betragtes som at have en negativ indvirkning på en persons data eller privacy, såfremt det kan resultere i f.eks. identitetstyveri, fysisk skade, ydmygelse eller tilsværtning af omdømme i forbindelse med brugen af kommunikationstjenesten. Notifikationen skal indeholde oplysninger om de foranstaltninger, som udbyderen har truffet for at håndtere bruddet, samt anbefalinger til den berørte person.”

Det fremhæves envidere “at myndigheder og domstole i medlemsstaterne ikke kun bør fortolke den nationale lovgivning i overensstemmelse med selve direktivet, men også sikre, at fortolkningen ikke strider mod de fundamentale frihedsrettigheder eller generelle fællesskabsretlige principper, såsom proportionalitetsprincippet.”

Rådets beslutning om indførelse af et krav om underretning ved databrud har været ventet et stykke tid efter at der først var opstået uenighed mellem Europa-Parlamentet og EU-Kommissionen om direktivets rette udformning. Processen er endvidere blevet fremskyndet på baggrund af en lang række aktuelle sager om databrud, som mere eller mindre tilfældigt er kommet til offentlighedens kendskab.

Der er imidlertid ikke i første omgang tale om et generelt krav, som mange ellers havde håbet på, og den omstændighed at f.eks. e-banking og online shopping ikke er omfattet, vil begrænse konsekvenserne af påkravet betydeligt. Men det er værd at bemærke, at den førnævnte hensigtserklæring om at arbejde for en mere generel notifikationspligt givetvis vil bane vejen for en mere omfattende regulering på sigt og dermed en strammere databeskyttelse i EU.   

Derudover henstår der stadig en udmyntning af principperne i konkret lovgivning. Der kan allerede nu rejses spørgsmål om hvorledes et databrud skal defineres, hvem og hvorledes der skal gives underretning osv.  Hvornår reglerne vil få virkning i Danmark er det svært at udtale sig om i dag,men det er højst tænkeligt at en endelig lovgivning vil afvente EU-Kommissionens policy-udspil i 2010 om at styrke internet- og informationssikkerheden, som sandsynligvis også vil omfatte en udvidet notifikationspligt ved databrud.

Der er tale om et første og vigtigt skridt, som fortalere for privacy vil anerkende. Der har imidlertid været udtrykt betænkeligheder fra industrien, som anser kravet som  bureaukratisk og fordyrende.

Om de relevante bevæggrunde for indførelse af en notifikationspligt ved databrud kan i det store og hele henvises til  Rådet for Større IT-Sikkerheds brev 25. maj 2009 til videnskabsminister Helge Sander.  Download direktivforslaget her.

Flere virksomheder har fokus på datasikkerhed

Ifølge PricewaterhouseCoopers årlige Global State of Information Security Survey, der netop er offentliggjort i samarbejde med CIO og CSO Magazines, fremgår det, at flere virksomheder, herunder offentlige myndigheder, bekymrer sig om datasikkerheden.

Således viser undersøgelsen, der er baseret på interviews af 7.200 globale ledere, at i forhold til sidste år, har 41% af virksomhederne nu ansat en IT-sikkerhedschef (CSO) sammenlignet med blot 27% sidste år. Stillinger som CISO (Chief Information Security Officer), der bedst kan oversættes som den ansvarlige for informationssikkerhed og som Chief Privacy officer (CPO), der på dansk kan betegnes som den ansvarlige for privatlivsbeskyttelse er også skudt i vejret. CISOs er nu ansat i 44% af de adspurgte virksomheder, sammenlignet med 29% sidste år, og 30% af virksomhederne gør nu brug af en CPO sammenlignet med 21% for et år siden. Hertil kommer at yderligere 32% af virksomhederne siger, at de har planer om at oprette en stilling som CISO eller CSO.

Ifølge Mark Lobel fra PricewaterhouseCoopers, der i anledning af offentliggørelsen har udtalt sig til Forbes, kan den øgede opmærksomhed på security og privacy hos direktionen, til dels tilskrives den globale økonomiske afmatning. Antagelsen om, at økonomisk tilbagegang udmønter sig i øget cyberkriminalitet sammen med en risiko for utilfredse tidligere medarbejdere, der har været udsat for massefyringer, har tilsyneladende skabt ny frygt for datasikkerheden, hævder Lobel.

Og han fortsætter: “I sådanne nedgangstider oplever folk, at store risici er på vej. Hvis dit security budget ikke beskæres, har du brug for en chef, som kan udnytte budgettet effektivt og fornuftigt”

Det fremgår endvidere af undersøgelsen, at 38% af de adspurgte planlæggger at øge udgifterne til IT-sikkerhed sammenlignet med 12%, som har til hensigt at skære ned på budgettet. Det er et tegn på, at sikkerheden forbliver vigtig i nedgangstider omend af mindre betydning i starten af den økonomiske nedtur. I den samme undersøgelse sidste år, svarede 44% af de adspurgte, at de havde til hensigt at øge udgifterne til IT-sikkehed, mens kun 5% planlagde at skære ned.

Selvom der ikke foreligger oplysninger om, hvor mange danske virksomheder, der har deltaget i undersøgelsen, er der imidlertid ikke noget der tyder på, at udviklingen ikke også i en vis udstrækning vil gøre sig gældende i Danmark. At IT-sikkerhed stadig er vigtigst underbygges således af en dansk IDG undersøgelse, der også netop er offentliggjort og omtalt af Computerworld.

Download hele undersøgelsen, der behandler en lang række andre IT-temaer, her.

Stor opbakning til The Civil Society Madrid Declaration

The Public Voice coalition afholder d. 3. november 2009 i Madrid en konference  med titlen “Global Privacy Standards for a Global World”. Konferencen vil blive afholdt i forbindelse med International Conference of Data Protection and Privacy.

Blandt de vigtigste resultater for konferencen vil være frigivelsen af The Civil Society Madrid Declaration, der er et dokument udarbejdet af organisationskomiteen bag  konferencen. Madrid-erklæringen er et omfattende dokument, der bekræfter internationale instrumenter til beskyttelse af privatlivets fred, identificerer nye udfordringer og anbefaler specifikke tiltag: http://www.thepublicvoice.org/madrid-declaration. 

Erklæringen indeholder generelle synspunkter og principper for privacy, som burde finde bred opbakning og den internationale støtte som erklæringen indtil videre har fået vil givetvis bidrage til at målrette privacy dagsordenen  om mere forbrugerbeskyttelse og sende et klart signal til de nationale datatilsyn og dermed også medvirke til at påvirke lovgivning og forvaltningspraksis i hele verden. Det gælder også i Danmark selvom flere af  rekommendationerne allerede efterleves idag, at et par stykker synes mindre realistiske (især rekommentation nr. 9 om et teknologi-moratorium) og/eller forekommer mindre væsentlige i en dansk sammenhæng og til trods for at den danske  persondatalov ikke er så ringe endda.  

Der er stadig mulighed for at underskrive erklæringen enten på vegne en organisation eller på egne vegne hvilket hermed er en opfordring. Jeg har selv underskrevet erklæringen på egne vegne.