Forbrugerrådet og DI (Dansk Industri) har i forbindelse med den internationale databeskyttelsesdag udgivet debatbogen ”De overvågede – vores privatliv er truet men der findes løsningsmodeller” om den voksende registrering og overvågning af danskerne. I foromtalen understreges det, at bogens pointe ikke er et nej til digitale løsninger og ny it-teknologi, der kan være til gavn for borgerne – tværtimod – men at de offentlige systemer bør indrettes, så de respekterer privatlivets fred. I bogen giver en række it-eksperter konkrete bud på de løsninger, der allerede findes og kan anvendes, hvis myndighederne vil.
Bogen er en rigtig god ide og eftersom forfatterne er nogle af Danmarks førende IT- og privacyeksperter, så er det lødig og spændende læsning. Imidlertid er bogen på store træk meget teknologisk vinklet og vil derfor for de fleste være svært tilgængelig. Skal privacy ”ud over rampen” skal den næste bogudgave være langt mere i almindelig øjenhøjde, herunder med opmærksomhed på børn og unge samt andre marginaliserede. Det fortjener emnet også.
Der er en flot indledning om privacybegrebets definition. Jeg er enig i betragtningen at privacyvurderingen skal ligge hos borgeren og derfor som udgangspunkt bør være subjektivt, dvs. betinget af 2 faktorer:
1. Ret til kontrol over personlige data
2. Udøvelse af denne kontrol i henhold til egne interesser og værdier
Om dette kan efterleves i praksis er dog mere end tvivlsomt, men det er et godt ideal.
At privacy er trængt efter 11. 9. 2001 er jeg også enig i og mange af argumenterne er klare og rigtige, herunder det dilemma som der er i forhold til overvågning i forbindelse med terrorbekæmpelsen og i forholdet til vort ønske om bekvemmelighed. Det er en glimrende iagttagelse, når Henning Mortensen og Erik Valeur udtaler, at ”overvågning vil derfor i et vist omfang ensrette mennesker, så kreativitet og forskellighed ikke får tilstrækkeligt spillerum. Mennesker kommer i stedet til at bruge deres energi på at være ens og ikke skille sig ud fra mængden”.
Bogen påpeger ganske rigtigt at når security og privacy eller frihedsrettigheder støder sammen, behøver det ikke nødvendigvis at være en zero sum tradeoff. I almindelighed varetager man ikke frihedsrettigheder ved at eliminere bestemte security løsninger, men derimod ved at lade dem undergå domstolskontrol, begrænse fremtidig brug af persondata samt sikre at de udføres i en balanceret og kontrolleret måde. At undgå ineffektive security tiltag er ofte ikke blot en sejr for frihedsrettighederne, men også for security, eftersom bedre alternativer måske kan forfølges (Daniel Solove). Der er i det hele taget behov for en mere nuanceret og fornyet diskussion på Christiansborg om terrorbekæmpelsen og menneskerettighederne, herunder privacy med henblik på en revision af de såkaldte terrorlove. En terrorkommission er foreslået af de Radikale og i Norge har der været nedsat en privacykommission, som måske kunne tages op også i Danmark. Dansk Privacy Netværk anbefaler et omfattende forskningsprogram med temaer som der er orienteret om andet steds på bloggen. Bogens forfattere efterlyser også øget forskning, hvilket kunne indgå i den politiske beslutningsproces.
Afsnittet om ”Når overvågning ta´r magten” om 4 scenarier med venstrepolitikeren Ellen Trane Nørby, Enhedslistens Rune Lund, Tv-værten Kurt Strand og analysechef Thomas Roland, af Erik Valeur er nærværende og godt skruet sammen. Også tidligere PET chef Hans Jørgen Bonnichsens bidrag ”Big Brother eller Big Mother” er tankevækkende og forståelig for mange, omend noget pessimistisk og dermed i kontrast til bogens i øvrigt konstruktive og positive tilgang til temaet. Når vi nu taler om den kære familie, så vil jeg da ikke undlade at nævne Little Brother, der kan spille en rolle som vagthund. Big Brother dør nok ikke, men han har brug for en storebror, som holder ham i kort snor.
Et af bogens hovedteser er, at teknologien kan være med til at sikre privacy. Eksempelvis omtales krypteringsteknologier, som kan sikre anonymitet, dvs. at tillade individer at afsløre eller bevise information om dem selv til andre uden samtidig at afsløre deres fulde identitet. Stephan Engberg, en kollega der ved hvad han taler om, har nogle spændende betragtninger om dette emne med overskriften “Nøglen til fremtiden – pseudonymer og virtuelle identiteter”, herunder om biometri, idet det anerkendes at den ellers komplicerede teknologi har sin berettigelse, såfremt den designes som privacy biometrics eller krypteret biometri til specifikt brug.
Især fremhæves som overbegreb de såkaldte PET (privacy enchancing technology) løsninger. PETs defineres som et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket processing af persondata uden at miste datasystemets funktionalitet (Borking 1996). Der er ingen tvivl om, at PETs er en ganske udmærket metode til at sikre (den digitale) privacy, men det er efter min opfattelse ikke nok. I det hele taget synes jeg, at det er et af bogens mangler, at den for meget fokuserer på teknologiske løsninger. Det erkendes ikke tilstrækkeligt, at tekniske tiltag ikke kan løse alle privacyudfordringer og man har ikke nok øje for den menneskelige faktor. Det vil være fatalt alene at sætte sin lid til teknologien. Det vil være en sovepude og lige dét som hackere og kriminelle ønsker sig.
Derfor er det en vigtig pointe, at PETs bør være en en del af et samlet økosystem der er baseret på en privacy-styrkende kultur, hvori indgår en række discipliner som f.eks. governance, policies, best practices, processer samt implementeringer (human factors baseret design). At komme dertil forudsætter uden tvivl en holdningsændring, som dét der i længden skal sikre privacy og den opnås kun ved en løbende debat, lødige informationskampagner, aktive NGO´ere, læring samt uddannelse.
Men taler vi om teknologiløsninger, så er det værd at inddrage et yderligere værktøj, nemlig de såkaldte TETs (transparency enhancing tools) som har til hensigt at foregribe profilering (datamining) som måske kan anvendes på et bestemt data subjekt (brugeren). TETs giver brugeren adgang til information om ikke alene hans egne persondata, men ved hjælp af et profilerings- og rapporteringsværktøj også til eksterne datakilder, som tillader en vis indsigt med dataformidlerens aktiviteter. På denne måde vil brugeren kunne hindre profilering (counterprofiling). I modsætning til PETs, hvor princippet om dataminimering er det bærende element, tager TETs hele det data-intensive miljø i betragtning, hvor dataindsamlingen ikke nødvendigvis er relateret til den pågældende selv.
Påstanden er, at gennemsigtighed og bevis = tillid. Intet mindre. Gennemførelsen af TETs er kontroversiel, bl.a. fordi den forudsætter viden om forretningshemmeligheder, og betinger derfor en banebrydende nytænkning af den socio-tekniske infrastruktur og forholdet mellem borgere, industrien og myndighederne. Den personlige frihed kan ikke tages for givet, men forudsætter, at borgeren har en vis awareness om hvad der findes af viden om ham og af hvem.
De overvågede anbefales som grundlag for diskussioner på arbejdspladsen eller derhjemme ved spisebordet. Den er på 124 sider og kan i PDF format downloades gratis her.
danskprivacynet.wordpress.com 
Som medforfatter af et kapitel i bogen:
Interessant anmeldelse som fanger hovedbudskabet at der ikke er tale om naturlige modsætninger – man kan ved rettidig omhu og nøje fokus på balancerne opnå de forskellige apsekter samtidig.
Der bør dog tilknyttes 3 kommentarer.
a) Modsætningerne er ikke kun sikkerhedsmæssige, men også økonomiske. Hvis man fjerne styringen fra borgeren, så fører det til planøkonomi, ineffektivisering og et staidgt mindre innovative samfund. Kun hvis behovet styrer tilpasningsprocesserne kan man over tid opbygge velstand og dermed også velfærd.
Når f.eks. Finansierministeret bilder politikerne ind at de effektiviserer ved at centralisere, glemmer de den hastigt vokdense planøkonomiske regning fordi systemets fornyelsesevne falder kointinuert og statens one-size-fits-all modeller bliver stadigt dårligere til at dække de stadigt mere komplicerede og individuelle behov.
Den private sektor bliver kontinuert bedre til at dække behov, staten det modsatte hvormed den offentlige sektor relativt belaster samfundet mere og mere FORDI DEN ER FEJLORGANISERET uden at lytte til borgerne. (bemærk at det eksplicit IKKE er en økonomisk ideologiske diskussion – det drejer sig IKKE om privatisering eller skateniveauet, men hvad man får for skattepengene).
b) Det er en misforståelse at bogen kun taler om tekniske løsninger. Problemet er dobbelt idet juraen (f.eks. EUs Data Direktiv) egentlig er god nok men bare ikke opretholdes af f.eks. Datatilsynet som reducerer kravet om indbygget sikkerhed til noget pladder om policies og proportionalitet.
Reguleringen er nødt til at sætte minimumskrav til det teknologisk design på udviklingstidspunktet for at teknologien kan sikre overhodelse af reguleringen på transaktionstidspunktet.
c) Transparancy -sektionen er en grov misforståelse.
Transparancy drejer sig om INDHOLDET af magthavernes handlinger, ikke HVEM der begår handlingen.
Når man så har set at indholdet er kriminel, kan man skride til HVEM der har begået handlingen så f.eks. topembedsfolk ikke fortsat kan skjule sig for ansvar. Det er 100% parallelt med ansvarlighedsbudskabet i anden sammenhæng.
Som det fremlægges her, så svarer det til at sige at mere forurening kan løse forureningsproblemet, at man skal stjæle fra tyven for at stoppe kriminalitet og begå terror mod selvmordsterroristen for at stoppe terror.
Det er samme argument som det der slår sikkerheden ihjel “hvis du ikke har gjort noget galt, har du intet af skjule”. Det glemmer hensyn til magtbalancen (borgeren er den svage part relativt til både den kriminelle, kartellet, social gruppepres og voldsmonopolets magtmisbrug).
TET som det fremgår i det ovenstående er en del af problemet, ikke en del af løsningen. Det afspejler hverken en forståelse af privacy eller af transparancy.
Tak for dit indlæg, som jeg gerne vil kommentere for så vidt angår TET.
Med hensyn til TET, så har jeg kun haft til formål at nævne dette instrument helt overordnet, idet anledningen ikke tillod andet.
TET er en vision som er en del af FDIS konsortiets forskningsprogram. TETs drejer sig selvsagt om indhold, idet profilering simpelt hen nødvendiggør et fokusskift fra data til viden. Man kan sige, at PET har til formål at øge kontrollen med vore egne persondata, mens TET har til formål at sikre feedback. TET erstatter ikke PET. Tværtimod. En god IT løsning bør derfor være en integreret PET/TET løsning.
Men TET forudsætter også en ny og anderledes implementeret lovgivning, idet retsbeskyttelsen af en specifik teknologisk infrastruktur er artikuleret ind i selve den teknologiske arkitektur for at sikre effektivitet. For at beskytte sig selv mod “usynlig synlighed”, overvågning og social sortering er det nødvendigt med retsmidler, som giver ret til adgang til de profiler, som kan have indflydelse på ens liv. Forskellen i forhold til PET er her igen, at mens PET “tænker” på at beskytte persondata, “tænker” TET på beskyttelse imod usynlig profilering.
Der opereres med 2 typer af TETs:
A. lovgivningsmæssige og teknologiske instrumenter, som giver en ret til adgang (eller information om) data processing, der forudsætter en tranfer af viden fra datacontrolleren til datasubjektet, og/eller
B. Lovgivningsmæssige og teknologiske instrumenter, der giver en ret til at parere profilering i datamiljøet med henblik på at “gætte” hvordan ens data matcher relevante gruppeprofiler som kan influere på ens risici og muligheder.
Lad mig give et eksempel. Ved brug af adfærdsbestemt biometri, der i vidt omfang baserer sig på videodata som f.eks. ganganalyse (kendetegn for en persons gangart), skal TET sætte dig i stand til at finde ud af hvordan din gang korrelerer med en gruppeprofil på Parkinson´s syge.
Modstridende og uretmæssig brug af data fra datacontrolleren eller 3. mand er en anden sag.
Jeg medgiver, at TET er kompliceret og at det bestemt ikke kan udelukkes, at der vil dukke nye svagheder op. Yderligere forskning er nødvendig, herunder som fase 1 at udvikle prototyper i forbindelse med demonstrations- og proof of concept-projekter i et ambient intelligence miljø eksempelvis.
Som du beskriver TET er det præcis som jeg karakteriserer det – en forståelse som bygger på at man fra starten har undermineret sikkerheden og dermed er med til at forværre situationen uden at levere NOGET til at rette op på problemet.
FIDIS er slet ikke oppe på omgangshøjde. Deres TET-forståelse stammer fra deres analyserapport om RFID (D7.7), hvor de med al tydelighed demonstrerer at de mangler meget i forståelse af essensen i de digitale trusler og dermed også hvor og hvordan man skal addressere området for at at undgå at SKABE problemerne.
http://www.fidis.net/resources/deliverables/profiling/d770/doc/25/
FIDIS inddrager f.eks. ikke virtualisering på device-niveau selvom de faktisk VED det allerede er en realitet (fremgår af referencerne), dvs. de evner ikke at drage logiske konklusioner.
Jeg har for længe siden påpeget dette overfor FIDIS-gruppen – ikke mindst fordi de havde afholdt en workshop hvor jeg var inviteret til at komme med 2 indlæg om henholdsvis Identitetstyveri og måder at modgå dette på. Problemet er logiske fejlslutninger og mangel på konsekvens eksisterende viden i den videnskabelige process.
Click to access fidis-wp5-del5.2-workshop-report-final.pdf
Men du finder det i ekstrem grad hos folk som David Brin, der går helt amok i ren defaisme. “Vi skal overvåge os til privacy ved at du kan overvåge angriberen”
Den logiske fejlslutning kommer du også selv med.
“Lad mig give et eksempel. Ved brug af adfærdsbestemt biometri, der i vidt omfang baserer sig på videodata som f.eks. ganganalyse (kendetegn for en persons gangart), skal TET sætte dig i stand til at finde ud af hvordan din gang korrelerer med en gruppeprofil på Parkinson´s syge.”
Den stopper der – man bruger selvfølgelig ikke adfærdsbestemt biometri overvågning. Fuld stop. Det er og skal forblive ulovligt hvis vi skal opretholde demokrati og frie markeder – der er ikke mere at sige om den sag.
Problemet er blot at biometri-branchen ikke tager ansvar men blot fokuserer kynisk kortsigtet på profit fordi de ikke bærer omkostningerne ved de destruktive konsekvenser. Samme problem som vi ser for software med fejl. Giv dem liability a la flyselskaber og bilproducenter, så skal de bare se et skift.
Det er noget andet hvis du indgår i processen og selv er styrende i f.eks. en proces hos lægen, dvs. man har indbygget PETs i bunden så man aldrig skaber personhenførbare data på en server. Biometri er personhenførbart med mindre man eksplicit har designet sikkerhed ind i bunden.
Kort sagt. TET er en logisk analytisk misforståelse som skyldes at man ikke har sat sig tilstrækkelig ind i problemet. Ansvarlighed er et væsentligt tema i al sikkerhed, men overvågning er altid negativt for sikkerheden fordi det skaber større risici end det eliminerer. TET er kort sagt en dårlig undskyldning som forværrer problemet istedet for at tage ansvar.
P.S: Beklager at jeg er lidt hård, men gode hensigter som skyder langt under målet kan tit være værre end problemet selv.
Det ser vi f.eks. med Datatilsynet som groft formuleret har reduceret sig selv til blåstemplingssystem for overgreb ved ikke at varetage deres opgaver. Senest med DanId hvor de fejlede 100%, men vi ser det også på biometri-området, hvor de blåstempler desiderede overgreb på trods af at der er KENDTE løsnigner og lovgivningen klart siger at man skal vælge det mindst invasive.
Lad mig understrege, at jeg ikke er involveret i FDIS eller repræsenterer FDIS. Jeg har ikke en tilstrækkelig baggrund til at kunne vurdere de teknologiske problemstillinger,men jeg forholder mig i det væsentligste til egnede principper for god privacy og i denne sammenhæng, hvorledes teknologi kan være til gavn. Jeg er dog også bevidst om, at fejlfrie og usårlige løsninger forbliver en drøm. Det er du vel også enig med mig i.
Som jeg forstår TETs så er de interessante for så vidt som databrug har indflydelse på vort liv. Profiling (datamining) skaber en usynlig synlighed som tillader profiler, som kan manipulere mennesker. I det øjeblik mennesker bliver opmærksom på, hvorledes deres adfærd fortolkes, vil de være i stand til at få en vis grad af kontrol. På den baggrund er der fornuft i at udvikle smart teknologi som kan understøtte denne awareness.
Du har ret i, at privacy handler om kontrol, men privacy er meget mere og også mindre. Privacy drejer sig også om forhandling af grænser og finde modeller til at opbygge og opretholde disse grænser af jeget. For at gøre det behøver du en mulighed for at profilere dine omgivelser. Det er et faktum og der er intet nyt i det. Men i et miljø med profiling mekanismer, må du nødvendigvis skabe teknologier, som tillader ”modprofilering”. Ikke i betydningen af total overvågning, men i betydningen af 1) at give mulighed for foregribelse og 2) tillade brug af modvirkningsværktøjer.
Jeg siger ikke at TET kan løse alle udfordringer men vil tværtimod, som FDIS selv medgiver, kunne indebære andre alvorlige security og privacy risici. Det er nødvendigt med mere forskning i begge typer af TETs (A +B). Måske web 2.0 med dens lag af privacy og gennemsigtighed, er interessant i den sammenhæng.
Det er selvfølgelig en holdning at have, at adfærdsbiometri skal forbydes ved lov. Det er dog lidt sandsynligt al den stund at meget remote e-health afhænger af den og benyttes i forbindelse med politimæssig efterforskning, som faktisk har givet resultat. Men jeg er enig i dine betænkeligheder. Jeg ser blot en mulighed for at finde en konstruktiv løsningsmodel.
Jeg kan følge dig med hensyn til David Brin, som synes noget naiv i sit ønske om total gennemsigtighed og glemmer privacy og magtstrukturer.
Et af de mere interessante perspektiver af FDIS forskningen er konceptet om at sikre gennemsigtighed for retshåndhævelsen (kommerciel og offentlig) og ret til uigennemsigtighed for dem, som er afhængige af denne retshåndhævelse. I en situation, hvor virksomheder og myndigheder kan få en enorm informationsfordel, giver det umiddelbart mening, om end det er vanskeligt, at se på nye og fair retsmidler, som kan afveje denne ubalance.
Så jeg er ikke så afvisende overfor TET og FDIS, som du er. Men jeg synes at debatten er vigtig og relevant og hilser den velkommen.
Jeg efterlyser også debat, men vejen til helvede er som bekendt brolagt med gode intentioner som undskyldning for dårlige tiltag.
Remote eHealth afhænger ikke af invasion i privacy – det er en misforståelse som skyldes fejldesign ved at man gør det til overvågning istedet for lokal monitorering med alarmer. Hele den komplekse EPJ-problemstilling skal jeg gerne belyse nærmere, men det er pladsen ikke til her.
Videre er det fint at borgeren kan gennemskue udbyderen som et centralt element i forhandlingsprocessen. Men det betyder ikke at man skal acceptere privacy-invaderende modeller. “mod-overvågning” som du på glimrende David Brins kalder det er en illusion.
Du kan ikke få perfekt sikkerhed – du er f.eks. selv din egen værste fjende når du lækker enten detaljer som du efterfølgende fortryder eller – endnu værre – når du lægger identificerende information som gør alle opsamlede data misbrugbare og ødelægger balancerne.
Hvilken “privacy” og “transparans” i web 2.0? Der er ingen. Hele tankegangen udmærker sig ved at være promiskiøs på vegne af mennesker. Det er den stærkes ret – også hvis den stærke er hoben som uforudsigeligt overfalder både enkeltpersoner eller en fejlopfattelse breder sig blandt mennesker som ikke kan se forskel.
FIDIS lider som tidlilgere skrivebordsteoretiske arbejder på området såsom PISA m.m. under en række totalt naive antagelser. Det er velment, men selvdestruktivt for formålet.
Lidt som at lave Robinson listen – du skal identificeres for at jeg kan vide om jeg må spamme dig – og dermed giver du mig værktøjerne til at spamme dig. Det er det som vi i sikkerhedskredse kalder failure by design.
Præcis som med de biometriske pas, der er en sikkerhedsmæssig katastrofe.
Jeg henviser i øvrigt til citat fra et aktuelt svar fra Justitsministeriet til Retsudvalget som trækker tæppet væk under adskillige igangværende biometriske overgreb.
“Domstolen finder, at opbevaring af celleprøver, dna-profiler og fingeraftryk udgør et indgreb i retten til respekt for privatlivet i EMRK’s artikel 8’s forstand. I den forbindelse fremhæver Domstolen bl.a., at celleprøver indeholder følsomme oplysninger om den pågældende persons helbred, og at celleprøver indeholder en unik genetisk kode, der er af stor betydning for såvel det pågældende individ som hans eller hendes pårørende (præmis 72). Domstolen fremhæver også, at dna-profiler, der indeholder en mere begrænset mængde af personlige oplysninger i kodet form, som er udtrukket fra celleprøven, er et egnet middel til at identificere genetiske forhold mellem individer (præmis 75). Domstolen finder, at også opbevaring af fingeraftryk vedrørende et identificeret eller identificerbart individ udgør et indgreb i retten til respekt for privatlivet (præmis 85-86).”
http://www.ft.dk/samling/20081/almdel/REU/spm/254/svar/endeligt/20090220/646924.HTM
Jeg kan ikke helt overskue hvor stor den egentlige substantielle forskel er på det som du giver udtryk for og min egen tilgang til en yderligere kritisk forskning på området som baggrund for igangsætning af demonstrations-projekter.
Din henvisning til Justitsministeriets nylige svar til Folketingets retsudvalg på baggrund af sagen S. og Marper mod Storbritannien (afgørelsen kan downloades under ressource center), er interessant. Hvilke konsekvenser en ny dansk regulering vil få med hensyn til opbevaring af dna-profiler, celleprøver og fingeraftryk, herunder fingeraftryk i automatiseret digital version (biometri), er det imidlertid for tidligt at sige noget om på nuværende tidspunkt. Men givet er det, at Danish Biometrics som brancheorganisation samt Dansk Privacy Netværk og andre interessenter bør forholde sig til sagen og give deres mening til kende i en dialog med Justitsministeriet og Folketinget.
Jeg kan og skal ikke forsøge at sige hvad du prøver at give udtryk for. At skyde noget til frispark som “forskning” er et kendt trick som specielt EU har misbrugt i årevis – det er ren PR forpligter ingen og man kan ignorere problemerne imens.
Jeg kan kun sige at jeg endnu ikke er stødt på en substantiel problemstilling hvor man har grund til at gå på kompromis og underminere retssikkerheden. Nogen udfordringer er sværere end andre, men indsatsen må jo stå i relation til vigtigheden.
Visse af producenterne forsøger med en ansvarlig tilgang, men vi har endnu til gode at se specielt offentlige institutioner som indkøbere agere demokratisk og samfundsmæssigt ansvarligt. Mange kræfter har været fokuseret på at få Datatilsynet til på trods af lovgivningen at blåstemple det uforsvarlige og ulovlige – med stor og utilgivelig succes.
Der er løsninger – så alt andet er blot kommerciel og andre former for magtkynisme.
Jeg forsøger blot at have en konstruktiv indstilling til forskningen. Og forskningen stopper jo ikke fordi, der allerede findes løsninger, hvor gode de end synes at være. En opdagelse er jo heller ikke slutningen på en proces, men begyndelsen på en ny. Vore antagelser må og skal være a posteriori.
Når det kommer til stykket, så er jeg da overbevist om, at vi deler mange ens synspunkter om security og privacy.