EU-ekspertrapport anbefaler en grundlæggende tilgang til databeskyttelse


Europa-Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed har netop offentliggjort en ekspert-rapport der på ny understreger, at en revision af EU´s persondatadirektiv skal leve op kravene i henhold til den europæiske menneskerettighedskonvention og medlemsstaternes forfatninger. Det fremhæves i rapportens resumé, at persondatadirektivets principper, bestemmelser og kriterier er en del af de grundlæggende menneskerettigheder, og at de har bestået sin prøve, selvom de i visse henseender har et behov for at blive styrket.

Rapporten fremhæver også det i den løbende debat tidligere fremførte argument, at persondatadirektivet til trods herfor  ikke har været tilstrækkelig implementeret og håndhævet og det er den teknologiske udvikling, der er årsag hertil,omend visse nye teknologier kan medvirke til en bedre gennemførelse af direktivet.

Eksperterne mener, at databeskyttelseslovgivningen i EU derfor fortsat bør være baseret på principperne i direktivet og at implementeringen af disse bredt formulerede standarder skal præciseres, hvorimod der ikke er behov for en egentlig revision. Tværtimod udtrykker rapporten, “at direktivet reflekterer europæiske og nationale standarder for forfatnings- og menneskerettigheder, som der er et tvingende behov for at få genbekræftet”. Herefter opstilles en række anbefalinger som følger:

  • Databeskyttelsesprincipperne bør umiddelbart udstrækkes til alle områder, som før har været omfattet af de forskellige EU søjler, herunder søjle 3 aktiviteter [kriminalitetsbekæmpelse]
  • Standardindstillingerne for sociale netværkstjenester bør være privacyvenlige
  • Klarere regler for hvad der er gældende lovgivning for virksomheder inden for og uden for EU/EEA
  • Mere harmonisering baseret på fortolkninger og formulering af “best practice” af WP29 i konsultation med EU-Kommisisonen
  • Mere samarbejde med ikke-EU-lande
  •  Behov for at sikre en langt større overensstemmelse med eksisterende lovgivning ved hjælp af PIA´s, privacy audits eller privacy seals
  • Behov for at styrke individets rettigheder og retshåndhævelsesmidler (muligvis sammen med eller gennem relevante  NGO´ere) og
  • Behov for at videreudvikle supplerende og alternative foranstaltninger (og samtidig forstå indbyggede begrænsninger og praktiske restriktioner for sådanne foranstaltninger) på baggrund af realistiske og tekniske undersøgelser

Hovedbidragene til rapporten er forfattet af  Dr. Ian Brown, University College London og professor Douwe Korff, London Metropolitan University. Specielle ekspertbidrag er bl.a. professor Chris Hoofnagle, University of California og professor Peter Blume fra Københavns Universitet.  Professor Ross Anderson, University of Cambridge og privacy strategist Caspar Bowden, Microsoft har blandt andre fungeret som rådgivere.

Rapporten er et vægtigt stykke arbejde, hvis anbefalinger er i harmoni med tidligere bidrag fra andre eksperter og som efter min personlige opfattelse fuldt ud kan tiltrædes.  Rapportens perspektivering i relation til de europæiske forfatnings- og menneskerettigheder er god og væsentlig.

Af rapportens mange interessante temaer og vurderinger vil jeg alene knytte nogle yderligere kommentarer til teknologiaspektet, netop fordi rapportens forfattere fremhæver, at   spørgsmålet om datasikkerhed også hænger sammen med spørgsmålet om de såkaldte privacy enhancing technologies (privatlivsfremmende teknologier). Disse databeskyttelsesværktøjer bør klart være en lovmæssig integreret del af  defaults for opsætning af parametre til internet brug.

Rapporten fremhæver eksempelvis, at det franske datatilsyn, CNIL i lang tid har anbefalet indførelsen af privacy enhancing technologies og har et tæt samarbejde med erhvervslivet. Ifølge fransk lovgivning har CNIL nu mulighed for at fremkomme med en udtalelse om en bestemt PET-løsning overholder gældende lov og yder reel beskyttelse. På denne måde kan CNIL “blåstemple” bestemte produkter (eller tilbageholde en sådan godkendelse).

Det er en udmærket ide at overveje nedsættelsen af et særligt organ af databeskyttelsesmyndigheder i EU/EEA (European Economic Area) i tæt samarbejde med artikel 29- arbejdsgruppen og EU-Kommissionen vedrørende spørgsmål om European Privacy Seal, europæiske adfærdskodeks og de såkaldte Binding Corporate Rules (BCR). ekspertholdet har her ladet sig inspirere af den praksis der har udviklet sig i den tyske delstat Schleswig-Holstein, hvor det anerkendte Unabhängiges Landeszentrum für Datenschutz (ULD) er koordinator på EuroPriSe Project  (The European Privacy Seal). Der er endnu ikke blevet certificeret eksperter (teknisk/juridisk) fra Danmark.

Rapportens undersøgelse af de potentielle fordele og begrænsninger og konstateringen af det manglende markedsgennembrud for PETs er yderst relevant. Løsningsforslagene er et centralt punkt i rapporten. Jeg er helt enig i, at yderligere lovgivning, f.eks. et krav om notifikation og straf ved databrud [der foreløbig er på vej i EU gældende for telekommunikationsbranchen], helt sikkert vil medvirke til at gøre det økonomisk attraktivt at beskytte privacy. Ligeledes er det sund fornuft at fremme PETs i forbindelse med offentlige udbudskrav, udstedelse af privacy-certificeringer (privacy seals) samt indførelsen af en regel om, at bevisbyrden for databeskyttelse placeres hos den, der bedst er i stand til at sikre databeskyttelsen i stedet for at sende regningen videre til forbrugeren.

Desuden vil jeg gerne fremhæve, at standardiseringsarbejdet indenfor privacy forceres og udbygges. For så vidt angår en lov om notifikation ved databrud er det min personlige opfattelse, at en sådan regel skal være obligatorisk for alle ( virksomheder, organisationer og myndigheder) og at man bør vægte notifikationspligten højere end de pønale hensyn.  En kombination af nye lovkrav, selv- eller medregulering og supplerende mekanismer synes at være vejen frem.

Det står efterhånden klart, at det danske datatilsyn bør have tilført yderligere ressourcer og teknisk ekspertise til en mere aktiv rolle. I den forbindelse har jeg selv ved flere lejligheder foreslået et nærmere samarbejde mellem en række aktører og Datatilsynet, præcis som ekspertrapporten plæderer for (på linje med Rand-rapporten fra sidste år).  På dette sted giver det også mening på ny at opfordre relevante private organisationer og erhvervslivet til aktivt at arbejde for udbredelsen af diverse adfærdskodeks, som persondataloven åbner mulighed for.

Download den endelige rapport her. Som bilag til rapporten er udfærdiget 2 arbejdsdokumenter, henholdsvis  The challenges to European data protection laws and principles og  Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments. Rapporten omfatter også en række landestudier, herunder af Danmark, som professor Blume har stået for.  Der findes også et sammendrag af rapporten.

Reklamer

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out /  Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out /  Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out /  Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out /  Skift )

w

Connecting to %s