EU-rapport understøtter behovet for mere information om brug af personlige oplysninger


Rapporten, der netop er blevet  udgivet af Eurobarometer, er resultatet af den hidtil største undersøgelse om den enkelte EU-borgers adfærd og holdning til bgrugeradministration (identity management), databeskyttelse samt privacy.

Det konkluderes i rapporten: “I lyset af den stadigt stigende rolle digitale teknologier har spillet i samfundet i løbet af det sidste årti og den hidtil usete store indsamling, opbevaring og behandling af personoplysninger, er formålet med undersøgelsen, at få indsigt i europæernes videregivelse af personlige oplysninger, med særlig fokus på Internettet. Mere specifikt, omhandler rapporten europæernes faktiske offentliggørelse af personlig information, deres forståelse af og opfattelse af kontrol over deres personlige data, deres måder at beskytte personoplysninger på og hvorledes de gerne ser databeskyttelsen udformet. Indsigt i disse spørgsmål kan være en hjælp til at udvikle reguleringen og skræddersy den til europæernes særlige behov og sårbarheder med hensyn til beskyttelse af personoplysninger.”

Nogle af hovedresultaterne af undersøgelsen viser, at

  • 74 % af europæerne anser afsløring af personlige oplysninger som en stigende del af det moderne liv
  • oplysninger først og fremmest betragtes som personlige, når der er tale om finansielle oplysninger (75 %), medicinske oplysninger (74 %), nationale ID-numre eller kort samt pas (73 %)
  • et klart flertal af europæerne (75 %) ønsker at slette personlige oplysninger på en hjemmeside, når de beslutter sig for det (princippet om “retten til at blive glemt”)
  • Selvom et flertal af europæiske internetbrugere selv føler sig ansvarlige for håndtering af deres egne personlige oplysninger, går næsten alle europæere ind for ens databeskyttelsesregler i hele EU (90 %)
  • et flertal mener, at deres personlige oplysninger vil være bedre beskyttet i store virksomheder, såfremt disse virksomheder er forpligtet til at have en databeskyttelsesansvarlig person (88 %)
  • Europæernes meninger er delte med hensyn til de omstændigheder, hvorunder politiet skal have adgang til personlige data. Til gengæld er næsten alle enige om, at mindreårige bør beskyttes mod (95%) og advares om videregivelse af personoplysninger (96%), og et stort flertal er for en særlig beskyttelse af genetiske data (88%).

De adspurgte i undersøgelsen kan kategoriseres i to grupper af såkaldt digitale eksperter, som viser markante forskelle i besvarelserne. Den første gruppe betegnes som “digital natives”, som vel nærmest kan oversættes som “børn af den digitale tidsalder” dvs. unge mennesker i alderen 15-24 år, som er studenter og født under og efter introduktionen af den digitale teknologi. Den anden gruppe benævnes i rapporten som “digital initiates”, som kan oversættes til “personer med tillærte erfaringer”. De er ikke unge per definition og har fået deres viden om med den digitale teknologi gennem f.eks. uddannelse eller arbejde og har andre synspunkter end “børn af den digitale tidsalder”.

Eksempelvis deles synspunktet om, at afsløring af personlige oplysninger ikke er et stort problem af 43 % i den første gruppe (EU 33 %). Endvidere fremgår det, at der i denne gruppe er 48 % som ikke har noget imod at afsløre personlig information til gengæld for fri online servicees , f..eks. en gratis e-mail adresse (EU 29 %) og at 41 % føler sig forpligtet til at afsløre personlige oplysninger på internettet (EU 28 %).

Med hensyn til den anden gruppe, så er det tydeligt, at de er mindst tilbøjelige til at føle kontrol over personlige data, f.eks. mulighed for at slette, rette eller ændre disse oplysninger i forbindelse med online shopping eller når de benytter sociale netværkssteder. Og i modsætning til den første gruppe er de mest tilbøjelige til at beskytte deres identitet i det daglige og på nettet og er som ofte bekymret med hensyn til oplysninger om dem selv, som opbevares af virksomheder.

For så vidt angår Danmark er der anledning til at fremhæve nogle tal fra rapporten. Eksempelvis betragter 91 % af de adspurgte danskere, finansielle oplysninnger som løn, bank- og kreditkortoplysninger for at være personlige. Det er også interessant at bemærke, at de lande, hvor Internetbrugere er mere tilbøjelige til at mene, at finansielle oplysninger er personlige også har en højere andel af respondenter, der handler online. Således køber 81 % af internetbrugerne i Danmark online. Danmark scorer også højt i vurderingen af at medicindata (87 %) og at CPR-nummer og pasnr. (89 %) er personlige oplysninger. Derimod rangeres f.eks. navn (23 %) og adresse (36 %) lavt som en personlig oplysning. Den højeste procent af svar, som siger, at afsløring af personlige oplysninger ikke er et problem er fra Danmark (51 %). På spørgsmålet om man føler sig forpligtet til at afsløre personlinge oplysninger på internettet viser undersøgelsen, at de danske svar topper med 47 % mod 44%, der er uenig. Danmark ligger i toppen sammen med 3 andre nordiske lande med 72 %-besvarelser, der giver udtryk for ikke at være bekymret for at ens adfærd vil blive registreret på et privat sted som f.eks. restaurant, bar, klubber eller kontorer. Ligeledes afspejler de danske svar, at 78 % er ubekymret for at deres adfærd bliver registreret i det offentlige rum, hvilken procent ligger på linje med EU-gennemsnittet. Med hensyn til placering af de strategier de enkelte borger vælger til at beskytte sin identitet i det daglige viser, at 78 % af danskerne, hvilket e i top, foretrækker at give et minimum af forlangte oplysninger og ikke afslører bankoplysninger eller PIN-kode.

Nederlandene, Luxembourg og Danmark skiller sig ud som de EU-lande, der har det største antal af internetbrugere, som benytter en vifte af forskellige strategier til beskyttelse af deres identitet på nettet. Danmark scorer ikke uventet meget højt på tilid til at f.eks. sundhed- og skattesmyndigheder samt finansielle institutioner beskytter personlig information. I modsætning hertil ligger lande som Grækenland, Rumænien og Polen med den laveste tillidsniveau.
Om den er begrundet er en anden sag.

En tankevækkende iagttagelse er det forhold, at den højeste procentdel, der siger, at de gerne vil slette deres data, når de stopper med at benytte en service (princippet om retten til at blive glemt), er at finde i Danmark (50%), Sverige (48%) og Nederlandene (43%).

Et specielt tema i forhold til undersøgelsen vil lige blive berørt, fordi det for tiden er aktuelt i den danske offentlige debat. Det drejer sig om identitetstyveri. Af undersøgelsen fremgår det, at der er en udbredt opmærksomhed om identitetstyveri og datatab i EU omend den personlige erfaring forbliver marginal. 44 % af alle europæere har svaret at de hverken har hørt eller oplevet omstændigheder I forbindelse med datatab og id-tyveri. En sociodemografisk analyse påpeger, at det er aldersgruppen 55+ (50 %), den mindst uddannede (54 %) og som aldrig bruger internettet (53 %), der er dem som mest sandsynligt ikke har hørt om eller er blevet konfronteret med forhold om datatab og identitetstyveri.

I de lande hvor respondenterne højst sansynligt har hørt om (via fjernsyn, radio, aviser eller internettet) eller haft erfaring med forhold i forbindelse med datatab eller identitetstyveri, er de lande med den laveste procentdel, der siger nej, nemlig Letland (26%), Sverige (27%), Irland (28%), Danmark (29%), Finland (31%) og Storbritannien (34%).

JyllandsPosten har i en dybdeboende og omfattende temaserie sat identitetstyveri på dagsordenen med en række konkrete sager, som klart illustrerer problemets sociale og økonomiske konsekvenser. Det er Dansk Privacy Netværks opfattelse, at det netop er et sådant initiativ, der kan være med til at skabe større forståelse for et ellers kompliceret emne. Dansk Privacy Netværk og flere af dets medlemmer og samarbejdspartnere har i øvrigt bidraget med input til artikelserien samt i forbindelse med en opfølgning i bl.a. DR Update og TV AVISEN.

Mere om identitetstyveri og hvad den enkelte borger kan gøre for at undgå at miste kontrol med egne data kan findes her: Identitetstyveri – også i Danmark? Det understreges af Datatilsynet, at mere information til både borgerne, virksomheder og myndigheder om forsvarlig brug af personoplysninger, er nødvendig. Sidstnævnte er også rapportens generelle anbefaling.

Eurobarometer har bedrevet et glimrende stykke analysearbejde om EU-borgernes holding til databeskyttelse og elektronisk identitet som viser nogle interessante resultater, herunder at der tegner sig et broget indtryk af danskernes forståelse for persondatabeskyttelse.

Afslutningsvis glæder det mig, at undersøgelsen fastslår at et flertal af de adspurgte mener det vil forbedre beskyttelsen af personoplysninger, såfremt virksomheder af en vis størrelse udpeger en databeskyttelsesansvarlig person (Data Protection Officer), fordi det netop har været et hovedønske, der er blevet fremført af bl.a. mig selv i forbindelse med revisionen af persondatadirektivet. Positionen må ikke forveksles med den dataansvarlige eller databehandleren, som i henhold til den nugældende lovgivning både kan være en person eller myndighed. Så mon ikke det bliver en af flere nye bestemmelser i det reviderede persondatadirektiv, der vist forventes i 2014. ?

Rapporten “Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union” (330 sider) kan downloades her.

Reklamer

Privacy International: Privatlivsbeskyttelsen halter i Danmark som i resten af Europa


Den engelske vagthunds-organisation Privacy International (PI)  har med egne ord  i over 20 år været en kraftig fortaler for beskyttelsen af det enkelte menneskes privatliv i forhold til regeringer og virksomheder. PI betragtes af mange som verdens mest markante og kompetente privacy NGO.

Privacy International har netop taget temperaturen på Europas privacy med udgivelsen  på databeskyttelsesdagen 28. januar af  en omfattende rapport under titlen “European Privacy and Human Rights (EPHR) 2010”. Rapporten, støttet af EU-Kommissionen, undersøger det europæiske landskab for de enkelte landes love og regler for privacy og databeskyttelse samt eventuelle andre love eller den seneste faktiske udvikling, der har haft indvirkning på privatlivets fred i de seneste to år. Udover  analyserne land for land indeholder undersøgelsen også en komparativ analyse af vigtige privacy emner samt et afsnit med alle større ændringer land for land. En privacy-rangfølge viser i  fugleperspektiv den væsentligste udvikling og opsummerer med en klassificering af privacy-status i hver enkelt land, fra dem, der “konsekvent beskytter menneskerettighedsnormerne” (bedste klassificering) til dem, hvor “endemisk overvågning” {i betydningen omfattende overvågning} hersker (laveste klassificering). Her imellem ligger lande, der  har “tilstrækkelige garantier mod misbrug” (tilfredsstillende klsssificering), præsterer en “systemisk svigt i at  efterleve sikkerhedskontrol” (utilstrækkelig klassificering) eller viser tegn på “en omfattende overvågning” (meget dårlig klassificering).

Nøgleresultaterne viser derefter de enkelte lande på en karakterskala, som de “gode” (“europæiske demokratier (…) der besidder et godt helbred “, med et” flertal af lande, der har en forfatningsmæssig beskyttelse”), eller dem, hvor  der har fundet en “heroisk ” advokering, kampagner eller protester sted, der har forsinket eller forhindret indskrænkning af privatlivet eller overvågning fra statens side.

Som Privacy International fastslår, så er Europa i front i verden med hensyn til privacy beskyttelse, men fremadrettet bekymrer denne førerposition Privacy International. PI´s synspunkt er selvsagt, at dukserollen forpligter.

I  sammenfatningen af rapportens nøgleresultater fremgår det, at til trods for at databeskyttelsesdirektivet er implementeret i EU-landene og andre europæiske lande, så er regelsættet ikke harmoniseret. Undtagelser og smuthuller under dække af “national sikkerhed” hæmmer privacy praksis, minimerer privacy beskyttelsen og forhindrer et effektivt tilsyn med privacy.

Hovedkonklusionen er, at situationen er uensartet og det er ifølge Privacy International uholdbart og ikke overbevisende.

Herefter omtaler undersøgelsen en række begivenheder, som har fået privacy-barometrets kviksand til enten at stige eller falde. Hvad der blandt andet betegnes som godt i rapporten er, at flertallet af de europæiske lande har en forfatningsmæssig beskyttelse af privacy og at de europæiske tilsynsmyndigheder får flere og flere klager, hvilket PI tager som et tegn på øget bevidsthed om privacy og tilsynsmyndighedernes opgaver. At 34.000 borgere i Tyskland indgav en klage for forfatningsdomstolen mod datalogning og at en NGO-kampagne har medført at den nye regering i Storbritannien har ophævet indførelsen af ID-kort, det biometriske pas 2.0, DNA-praksis og store databaser, bliver endog udråbt som heroisk.

Derimod benævnes det som akavet, at eksempelvis implementering af biometriske pas og datalogning er fragmenteret og at indgreb uden dommerkendelse stadig eksisterer i alt for mange lande, f.eks. i Irland, Malta, og Storbritannien. Endvidere er det dårligt, at f.eks. Tyskland, og Schweiz har beføjelser til at foretage hemmelig ransagning af computere og at e-sundhedssystemer har sikkerhedsproblemer og/eller centrale databaser i Frankrig, Tyskland, Italien, Nederlandene. Af deciderede grimme ting fremdrages bl.a. manglende evne til revision og evaluering af  efterretningstjenesters aktiviteter   f.eks.  i Litauen, Kroatien, Estland, Ungarn, Sverige samt etableringen af medicinske databaser med centrale registre i  Kroatien, Tjekkiet, Danmark, Sverige, Norge og Storbritannien.

I henhold til rapporten placeres Danmark samlet set i kategorien “systemisk svigt i at  efterleve sikkerhedskontrol” og opnår dermed en utilstrækkelig klassificering. Det skyldes først og fremmest den gældende logningsbekendtgørelse, de centrale sundhedsregistre, efterretningstjenesternes dataadgang samt andre EU-medlemsstaters elektroniske adgang omend begrænset til de danske dna- og fingeraftryksregistre. Danmark deler hermed skæbne med størstedelen af de europæiske lande. En ringe trøst vil mange mene. Kun Grækenland og Cypern har en bedre rating, men intet europæisk land opnår  forventelig nok en topplacering, mens derimod Tyrkiet, som det eneste land betragtes som et udpræget overvågningssamfund.

Souschef Christoffer Badse, Institut for Menneskerettigheder og advokat Michael Hopp, Plesner advokatfirma, har medvirket ved udarbejdelsen af den danske undersøgelse, hvortil der her henvises til den engelske version, da den danske oversættelse sine steder er mangelfuld.  Der  er en ganske glimrende oversigt over love samt administrativ- og retspraksis på området, som er nyttig for enhver der beskæftiger sig med privacy og persondatabeskyttelse. Rapporten vil uden tvivl bidrage til større forståelse for privacy i den løbende danske debat. At rapporten bl.a. roser den almindelige tyskers  kritiske engagement og  bevågenhed, der dog til dels kan begrundes i Tysklands forhistorie, er velvalgt. Man kan kun håbe at det også i Danmark på sigt vil være muligt at arrangere demonstrationer og kampagner med en mediedækning i selv den bedste tv-sendetid. Således er det sikkert, at næsten 250.000 tyskeres krav om pixelering af deres ejendom i Google´s Street View service, vil få indflydelse på Google´s forretningsmodel ikke alene i Tyskland men også i resten af Europa.

Rapporten er helt sikkert det mest omfattende dokumentationsmateriale om privacy- og databeskyttelse i verden til dato. Det er en rigtig god ide at sætte privacy og databeskyttelse i en referenceramme for menneskerettigheder og er faktisk selvindlysende efter at den Europæiske Menneskerettighedskonvention (EMRK) med Lissabontraktaten er blevet en del af  EU`s charter om grundlæggende rettigheder, og dermed har direkte  retsvirkning i EU medlemslandene. Danmarks placering er der sådan set ikke noget at sige til. Den overrasker ikke og kan ikke blive bedre, men heller ikke værre. Det er dog værd at hæfte sig ved, at en række privacyforbedrende tiltag i EU-regi er på vej og de vil uden tvivl blive gennemført i Danmark så vel som i de andre EU-lande. Der tænkes her først og fremmest på en forventelig styrkelse af den generelle persondatabeskyttelse med revisionen af EU´s persondatadirektiv så vel som en begrænsning af indsamlingen af trafikdata i henhold til logningsdirektivet.

Nedenfor anføres links til selve rapporten samt yderligere ressourcer.

The European Privacy & Human Rights 2010 (EPHR).

Introduktionsvideo “EPHR” projektet samt en kort præsentation af undersøgelsen.

“Eo Romam iterum crucifigi”


Overskriften hedder på dansk: “Jeg er på vej til Rom for at blive korsfæstet igen” og er ifølge den oldkirkelige tradition Jesus Kristus svar til apostlen Peters berømte spørgsmål: ” Quo vadis?” eller: hvor går du hen, herre?  Jesus Kristus skal ind til Rom for at blive korsfæstet igen, denne gang på Peters vegne, så Peter vender om og går tilbage til sin korsfæstelse i Neros cirkus.

Jeg tillader mig at opfordre regeringen til at stille sig selv det samme legendariske spørgsmål, efter at anti-terrorpakke I og anti-terrorpakke II blev gennemført i henholdsvis 2002 og 2006. Anledningen er, at  Justitsministeriet 9. september 2010 har offentliggjort en redegørelse om erfaringerne med denne lovgivning, der har til formål at sikre en tilstrækkelig effektiv indsats mod terrorisme. Til brug for redegørelsen har Justitsministeriet i det væsentligste indhentet udtalelser fra Rigsadvokaten, Rigspolitiet og Politiets Efterretningstjeneste.

Med det kommissorium og de deltagende høringsparter er det ikke overraskende, at redegørelsen ret ukritisk har fokus på lovenes forebyggende og efterforskningsmæssige effekt. Det er der i princippet ikke noget forkert i, men jeg er nu helt enig i den kritik, som chefjurist Jacob Mchangama, Cepos giver udtryk for i et notat 7. oktober 2010. Der er behov for en langt mere afbalanceret afvejning af de modsatrettede hensyn i forbindelse med terrorbekæmpelsen og specifikt i forhold til privatlivsbeskyttelsen.

Men det kan jo nås endnu. Regeringen kunne i øvrigt lade sig inspirere af den britiske indenrigsminister Theresa May, som i forbindelse med en revision af dele af den engelske terrorlovgivning bl.a. har inviteret den private non-profit organisation Liberty til at komme med et bidrag. Liberty´s formål er at fremme værdier som værdighed, ligebehandling og fairness for det enkelte menneske, som grundlaget for et demokratisk samfund.

Liberty´s svar med den sigende titel: From “war” to law, fremhæver i forordet, “at  det er en vital opgave for regeringen, politi og anklagemyndighed at beskytte liv og en demokratisk livsførelse og at rammeværket for de fundamentale friheds- og menneskerettigheder udgør den underliggende filosofi, der adskiller os fra tyranner og terrorister. Det er robust og tilstrækkelig fleksibelt til at modstå voldelige og ideologiske trusler og binder et forskelligartet samfund sammen og giver inspiration og modstandskraft i svære tider”.

Det skal understreges at den engelske terrorlovgivning på flere punkter er langt mere vidtrækkende end den danske, men rapporten tjener alligevel efter min opfattelse til at være en øjenåbner for de principielle overvejelser for og imod mere anti-terrorlovgivning og overvågning.

Privatlivsbeskyttelsen fremhæves flere steder i rapporten med henvisning til Den europæiske Menneskerettighedskonventions artikel 8 om ret til respekt for privatliv og familieliv. Det pointeres, at der er tale om en “kvalificeret og balanceret” ret, men enhver indgriben bør være nødvendig, proportional og i henhold til lov. Rapporten nævner eksempelvis, at adgang til kommunikationsdata, der tilsyneladende opleves som en af de mindst intruderende overvågningsmetoder, imidlertid  kan have en alvorlig indvirkning på privatlivsbeskyttelsen, fordi det er muligt at opbygge et detaljeret billede af et menneskes aktiviteter, livsstil og referencer.

Om logningsbekendtgørelsen, der som bekendt pålægger teleudbydere at registrere og opbevare oplysninger om tele- og internetdata (dog ikke pakkedata), er der tidligere blevet fremsat europæisk og dansk kritik, herunder fra Retssikkerhedsfonden.

Det kan forekomme en smule overraskende at Justitsministeriet ikke i højere grad i sin redegørelse har inddraget den kommende revision af EU-persondatadirektivet samt den skærpelse af privacy, som for tiden er genstand for overvejelser i EU-Kommissionen og hvor netop  Lissabontraktaten nu giver EU mulighed for at fastsætte omfattende og sammenhængende regler om databeskyttelse for alle sektorer, herunder politi og strafferet. Sidstnævnte omstændighed vil netop kunne få betydning for en fremtidig revision af logningsdirektivet. I et offentliggjort kommuniké 20.7. 2010 fra EU-Kommissionen til Europa-Parlamentet om resultater og fremtidige udfordringer for EU´s anti-terror policy fremgår det, at udfordringen består i at sørge for, at instrumenter til dataudveksling dækker reelle behov, således at medlemsstaterne kan udveksle den information, der er nødvendig til at hindre og bekæmpe terroranslag og samtidig sikre fuld respekt for retten til privatliv og databeskyttelse.

I en rapport fra ESRIF, der har debatteret aspekter af europæisk forskning og innovation med det formål at styrke borgerens sikkerhed, fremgår det   “at beskyttelse af EU’s befolkning og infrastruktur skal afspejle god regeringsførelse, økonomisk fornuft og respekt for grundlæggende rettigheder og Europas kulturelle værdier”.

Det er naturligvis ikke en let opgave at sikre anti-terrorbekæmpelsen og privatlivsbeskyttelsen på én og samme tid, men det kan og skal lade sig gøre i et demokratisk samfund. Det er sagt før, men kan godt gentages: effektiv sikkerhed og privatlivsbeskyttelse er begge med til at give borgeren tryghed. Der er ikke tale om et enten eller, men om et både og. Konkret skal der foretages en vurdering af et indgrebs proportionalitet og nødvendighed i forhold til privatlivsbeskyttelsen (og de øvrige friheds- og menneskerettigheder). Den nugældende anti-terror lovgivning har jo virket, så der er efter min mening ingen anledning til at tildele yderligere beføjelser til de retshåndhævende myndigheder, men snarere at begrænse dem.  Eksempelvis kunne kriterierne for domstolsprøvelsen præciseres  skarpere samt efterretningstjenestens efterforskningsmidler afgrænses mere i forhold til selve afværgelsen af terrorhandlingen. Der er derfor heller ingen grund til at mere terrorbekæmpelse sker på demokratiets og retsstatens bekostning. Nok er nok. Det er sådan set også regeringens holdning og det er jo altid noget. Men det er imidlertid nødvendigt med en forbedring af privacy og retsbeskyttelsen for den enkelte på en række specifikke områder og den kan gennemføres med god samvittighed.

Ny amerikansk forskning: Unge er lige så bekymrede for privacy som ældre


To nylige amerikanske forskningsrapporter viser samstemmende, at der ikke er belæg for påstanden om, at unge ikke bekymrer sig om privacy.

Den ene rapport, How different are young adults from older Adults when it comes to information privacy attitudes & policies?, er udarbejdet af  University of California, Berkeley og University of Pennsylvania. Den anden, Youth, Privacy and Reputation, er udgivet af  The Berkman Center for Internet & Society, Harvard University. 

Konklusionen i den første rapport er, “at især de unge voksne (i alderen 18-24) ikke er ligeglade med deres privacy. De indsamlede data viser, at der er mere der samler end der skiller de ældre unge og de ældre med hensyn til emner om privacy”. Forfatterne udlægger det som, “at unge voksne amerikanere har et ønske om øget beskyttelse af privatlivets fred selv når de deltager i en online verden, der er optimeret til at frigive personlige oplysninger.” For fuldstændighedens skyld bemærkes, at ungegruppen, som rapporten har analyseret, ikke uden videre kan betragtes som én homogen gruppe, fordi der mangler huller i den empiriske forskning. 

“Derfor bør den offentlige debat ikke starte med en påstand om,  at unge voksne er ligeglade med privacy og at der derfor ikke er behov for retsregulering og andre sikkerhedsforanstaltninger. Man bør i stedet erkende, at de nuværende forretningsmodeller sammen med andre faktorer til tider tilskynder de unge voksne til at udlevere personlige oplysninger for at opleve social integration selv om de i deres mest rationelle øjeblikke burde handle efter mere konservative normer.

Uddannelse kan være nyttig. Selv om der findes mange uddannelsesprogrammer om internettet for unge voksne, så er fokus for disse programmer mere på den personlige sikkerhed i forhold til online-svindlere og cybermobning med ringe vægt på informationssikkerhed og privacy.

Unge voksnes viden om privacy lovgivning er sikkert forskellig fra ældre voksnes. De er mere tilbøjelige til at tro , at loven beskytter dem både online og offline. Denne mangel på viden i et fristende miljø, snarere end en arrogant og manglende bekymring for privacy, kan være en vigtig årsag til, at et stort antal af de unge voksne engagerer sig på en ubekymret måde i den digitale verden.

Men uddannelse alene er formentlig ikke nok til at de unge voksne opnår en højere grad af forståelse for privacy. Der er højst sandsynligt behov for forskellige former for hjælp fra flere sider af samfundet, herunder måske lovgivning, med henblik på at håndtere de komplekse online strømninger, der står i modsætning til de unge voksnes bedste privacy instinkter.”

Fra rapporten kan det specifikt fremhæves, at “med vigtige undtagelser er en stor procentdel af de unge voksne i harmoni med ældre amerikanere, når det drejer sig om bekymring omkring online privacy…”. Endvidere fremgår det,  at et stort flertal af unge voksne vil nægte at give oplysninger til en virksomhed i de tilfælde, hvor de føler, at det er for personligt eller ikke nødvendigt samt at enhver, først skal få en tilladelse, før han eller hun kan uploade et billede af den pågældende, selv hvis det er taget i det offentlige rum. Det fremgår også, at de unge voksne mener, at der bør være en lov, der giver brugeren ret til at kende alle de personhenførbare oplysninger, der bliver indsamlet om den pågældende og at der bør være en lov, der forpligter websitet til at slette alle de  personrelaterede oplysninger, som er gemt om hans person hos operatøren.

I et efter min opfattelse vigtigt afsnit i den anden forskningsrapport fra The Berkman Center for Internet & Society  om at understøtte de unges adfærd, fremhæves betydningen af forskellige koncepter af privacy. Der peges på, “at studier gentagne gange har vist, at privacy og anonymitet ikke er synonymt med mange unge mennesker.I stedet for at betragte det offentlige og den private rum, som to skarpt adskilt verdener, viser børn og teenagere en mere nuanceret og finmasket forståelse af informationsformidling og kontrol.”

Endvidere fremhæves det, at “voksne ofte forvirres af, at mange unge ikke anser internettet som et offentligt rum. MySpace og Facebook opfattes som private sociale rum, hvor de unge kan engagere sig i personlig chat, sladre, “hænge ud”, flirte, dele hemmeligheder og foretage alle de andre sociale aktiviteter, som de gør, når de er offline med deres jævnaldrende. Omfanget af online-netværks integration børns og teensgers sociale liv er ofte undervurderet. Et fravalg eller at forblive anonym online kan være en social katastrofe for børn, når deres referencegrupper bruger IM, Facebook, MySpace, Xbox Live, YouTube osv. Venskaber starter og slutter ved hjælp af internettets kommunikationsteknologier, og udlevering af personlige oplysninger er en måde at skabe tillid på mellem jævnaldrende.”

Rapportens forfattere nævner herefter behovet for at tage ansvar. Især at voksne har et ansvar for at anerkende deres egne roller i at krænke børn og unges privacy. Endvidere fremdrages det, at der helt sikkert er en rolle for mere privacy uddannelse for unge mennesker.  Som det også er diskuteret i denne rapport, er der ikke meget der tyder på, at teenagere er ligeglade med privacy og endda endnu mindre dokumentation for, at de ikke forstår, hvordan internettet fungerer. Derfor vil “en tilgang til uddannelse, der bygger på at overdrive risici være ineffektiv og sandsynligvis gøre mere skade end gavn”. Vigtigst af alt skal en forståelse af de unges normer være omfattende, før der gennemføres et striks regelsæt.

Forfatterne anbefaler også udvikling af mere privacy-venlige interfaces og kontrolmekanismer (også kaldet privacy enhancing technologies), “fordi privacy i den digitale tidsalder ikke reguleres ved lov eller på baggrund af et informeret brugervalg, men som Lawrence Lessig så berømt har bemærket ved hjælp af computerkoder.”

Til slut diskutterer rapporten fordele og ulemper ved de såkaldte default-settings.

Fra konklusionen i forskningsrapporten kan det fremhæves, at ” unge er stærkt overvåget i hjemmet, i skolen, og i offentlig-heden af en række forskellige overvågningsteknologier. Børn og unge ønsker private sfærer for socialisering, udforskning og eksperimentering væk fra voksne øjne. At lægge personlige oplysninger på nettet  er en måde for de unge til dels, at udtrykke sig selv på, dels at være i kontakt med jævnaldrende samt at øge ens popularitet og forbindelse med venner og grupper af jævnaldrene. I forlængelse heraf ønsker de unge mennesker, at være i stand til at begrænse oplysningerne online på i en nuanceret og differentieret måde.

Populær litteratur (og en del forskning) omfatter beskrivelser af de unge, online teknologier og privacy, der ikke afspejler realiteterne i de fleste børns og teenagers liv. Men dette giver rige muligheder for fremtidig forskning på dette område. Selv om der i rapporten henvises til flere kvalitative og etnografiske studier af unges privacy-praksis og holdninger, er der behov for mere forskningsarbejde på dette område for fuldt ud at forstå ligheder og forskelle i denne aldersgruppe, især inden for selve aldersgrupperne, på tværs af socioøkonomiske klasser, mellem kønnene osv.

I en kommentar til rapporterne er det indledningsvis vigtigt at påpege, at der er tale om amerikansk og tildels europæisk (engelsksproget) forskning, der delvis samler op på hidtil udført forskning. Men desuagtet kan jeg ikke se, hvorfor mange analyser og pointer ikke også vil kunne bruges i en  dansk kontekst. Først og fremmest er det interessant at fastslå, at den tilsyneladende almindelig anerkendte bebrejdelse af  de unge, som at de er ligeglade med pricvacy ikke holder. Der er nu evidens for, at i alt fald de unge i alderen 18-24 år i ligeså høj grad som de ældre er interesseret i privacy, men at det samtidig kan slås fast, at  de opfører sig mere skødesløst online, fordi de tror, at loven giver dem mere beskyttelse end den faktisk gør. Konklusionen synes klart at være i modstrid med Facebook grundlægger Mark Zuckerberg´s udtalelse tidligere på året om, at privacy ikke længere er en “social norm”.

Begge rapporter lægger op til yderligere forskning med henblik på afdækning af brugeradfærd og udvikling af nye brugervenlige og privacybeskyttende teknologier og det kan der kun varmt støttes op om. En væsentlig pointe, som fremhæves i en af rapporterne, er at anlægge et ungeperspektiv for forskningen og ikke betragte de unges online adfærd som eksotisk med anvendelse af en “generationsskifte”-retorik  som forfladiger og overser de unges oplevelser i forskellige sammenhænge. Ligeledes er det værd at have for øje, at idéen om to forskellige sfærer, en “offentlig” og en “privat” på mange måder er en forældet tankegang i forhold til nutidens unge.

Mindsettet om en mere brugerorienteret innovation er i pagt med demokratisk teknologiudvikling, som i en globaliseret verden er vigtigere en nogensinde.  Problemstillingen er eksempelvis taget op i et blogindlæg om biometri og demokrati.

Privacy er et brandaktiv, fastslår amerikansk undersøgelse


Ponemon Institute, der gennemfører uafhængig forskning i privacy, databeskyttelse og informationssikkerhed, har for nylig offentliggjort en undersøgelse om de tyve virksomheder, der har den mest troværdige privacy.

Ponemon Instituttet slår fast, at i et år der betegnes som et turbulent privacy-år, med offentliggørelse af mange fejl og fejltrin, bevarer American Express støt og roligt sin førsteplads på listen over brands,som de amerikanske forbrugere har mest tillid til.  

Det er femte år i træk, at American Express topper listen. IBM, Johnson & Johnson, Hewlett Packard, og E-Bay besætter de fire følgende pladser.
 
Placeringerne er baseret på svar fra 6.627 amerikanere og undersøgelsen har omfattet omkring 38.000 virksomheder af hvilke 229 er blevet rangeret mindst 20 gange. Blandt de brands, der ikke tidligere har været med i top 20 er Google, Weight Watchers, Walmart og AT & T. Derimod er Facebook, AOL, og eLoan ikke med på listen.

Ingen små og mellemstore virksomheder kom med på top 20 og spørgsmålet der kan stilles er, om det skyldes at 56 procent af de små og mellemstore  virksomheder end ikke har en privatlivspolitik offentliggjort på deres hjemmesider? Undersøgelsen viser imidlertid klart, at selvom Facebook har en privacy politik, så kom de ikke med i toppen, hvilket helt sikkert skyldes at 2009 afslørede alvorlige brud på privacy og sikkerheden hos Facebook, der gav anledning til stor offentlig debat om deres privay-settings, siger Larry Ponemon fra institutet. Han udtaler endvidere i rapporten: “Facebook tiltrak sig stor opmærksomhed, da de valgte at forny deres privacy-politik på en meget synlig måde. Mens de blev belønnet for deres indsats sidste år, havde forbrugerne mindre tillid til Facebook i år, hvilket blot viser, hvor vigtigt beskyttelse af privatlivets fred er som et brand-aktiv.”

Mike Spinney, senior analytiker hos Ponemon, mener, at Facebook kan vende tilbage til top 20 listen, ved at have en åben tilgang til privacy. “Det vil tjene virksomheden godt i det lange løb, at reagere på kommentarer fra offentligheden”

Undersøgelsen viser også, at forbrugernes oplevelse af at have kontrol over deres personlige oplysninger er faldet støt: 41 procent i 2010, et fald fra 45 procent i 2009, hvilket var et fald fra 56 procent i 2006, det første år undersøgelsen er blevet gennemført.

Blandt undersøgelsens markante resultater kan fremhæves følgende.

Identitetstyveri er et vigtigt anliggende for de adspurgte. Næsten 60 procent af de adspurgte vurderer, at emnet er væsentlig faktor for hvor meget de har tillid til et brand, og 50 procent udtalte, at notifikation af databrud er en faktor af betydning. Andre trusler mod tilliden til et brand er misbrug af borgerlige frihedsrettigheder og irriterende “baggrundschat” på offentlige sites. Læs: drop unødvendige Twitter og Facebook opdateringer.

Privacy “features” bidrager til at skabe brandtillid. Stor securitybeskyttelse blev identificeret som tillidsskabende af 60 procent af forbrugerne, mens 53 procent siger, at  præcis dataindsamling og brug er vigtig for tilliden. Andre væsentlige positive faktorer er dataminimering samt online-anonymitet. 

Ponemon fremhæver i rapporten, at dataindsamling også omfatter markedsføring og advarer, at virksomhederne skal være forsigtige med brugen af kundeoplysninger.

“Hver gang kunder er udsat for markedsføring, som er irrelevant eller irriterende, er det et spørgsmål om privatlivets fred for dem,” udtaler Ponemon.

 Top-tyve virksomhederne for beskyttelse af privacy i 2010 er:
 
1 American Express (1)
2 IBM (3)
3 Johnson & Johnson (5)
4 Hewlett Packard (6)
5 E-bay (2)
6 U. S. Postal Service (6)
7 Procter & Gamble (7) 
8 Amazon (4) 
8 Nationwide (9)
9 USAA (11) 
10 WebMD (13)
11 Intuit (12)
12 Apple (8)
12 Disney (16)
13 Google (ikke i top 20 sidste år)
14 Verizon (17)
15 US Bank (19)
15 Charles Schwab (10)
16 Weight Watchers (ikke i top 20 sidste år)
17 Yahoo! (14)
18 FedEx (18)
19 Walmart (ikke i top 20 sidate år)
20 AT & T (ikke i top 20 sidste år)
20 Dell (20)

Undersøgelsen har nogle pointer, som efter min opfattelse også vil være relevante i forhold til danske virksomheder og for den sags skyld også offentlige myndigheder. Det er åbenlyst, at privacybranding bør inkorporeres med henblik på at skabe en langsigtet corporate brandværdi. En gennemtænkt holistisk privacypolitik, der er synlig for enhver, kan anbefales.   

Uden at der er tale om en videnskabelig undersøgelse, så viser en stikprøvevis gennemgang af diverse danske hjemmesider, at mange virksomheder og organisationer har en egentlig privacy policy, selvom indholdet varierer meget. Det kan afgjort tages som udtryk for at privacy beskyttelse tages alvorligt og at man er opmærksom på, at den udøver indflydelse på brandingen og markedsføringen af virksomheden og organisationen. Men der er helt klart behov for relevant forskning på området, herunder en lignende dansk undersøgelse af forbrugerforventninger som Ponemon Instituttet har gennemført. 

I 1999 udtalte Scott McNealy, Sun Microsystems chief executive, “You have zero privacy anyway. Get over it.” Og i januar 2010 blev Facebook´s grundlægger Mark Zuckerberg citeret for: “Privacy is dead – get over it”. Man skal selvfølgelig være varsom med generaliseringer og de nævnte smarte “heiku digte” er alt for unuancerede endsige retvisende. Jeg medgiver at privacy er kompliceret og begrebet undergår uomtvisteligt store forandringer i disse år, men i nærværende sammenhæng kan det i alt fald med rette fremføres, at amerikanske forbrugere lægger vægt på privacy og at det kan betale sig for virksomheder og organisationer at have et sæt privacy retningslinjer. Om de så er let forståelige og faktisk sikrer den enkelte forbrugers privacy er et andet spørgsmål. En væsentlig pointe er, at virksomheder og organisationer, har en åben og gennemsigtig politik, der oplyser om det konkrete formål for en dataindsamling og hvorledes persondata vil blive opbevaret og behandlet, herunder hvilke teknikker der er anvendt for at sikre dette. Et reelt brugervalg der sikrer brugerkontrol er at foretrække. At nå dertil er der endnu et stort stykke vej. Information og uddannelse er nøgleord.

Hertil kommer at offentlige myndigheders privacy policy altid bør inkludere det bredest mulige publikum, herunder også borgere, der er skeptiske  overfor den offentlige administration og som har mistillid til den teknologiske udvikling.

Flere virksomheder har fokus på datasikkerhed


dv278004

Ifølge PricewaterhouseCoopers årlige Global State of Information Security Survey, der netop er offentliggjort i samarbejde med CIO og CSO Magazines, fremgår det, at flere virksomheder, herunder offentlige myndigheder, bekymrer sig om datasikkerheden.

Således viser undersøgelsen, der er baseret på interviews af 7.200 globale ledere, at i forhold til sidste år, har 41% af virksomhederne nu ansat en IT-sikkerhedschef (CSO) sammenlignet med blot 27% sidste år. Stillinger som CISO (Chief Information Security Officer), der bedst kan oversættes som den ansvarlige for informationssikkerhed og som Chief Privacy officer (CPO), der på dansk kan betegnes som den ansvarlige for privatlivsbeskyttelse er også skudt i vejret. CISOs er nu ansat i 44% af de adspurgte virksomheder, sammenlignet med 29% sidste år, og 30% af virksomhederne gør nu brug af en CPO sammenlignet med 21% for et år siden. Hertil kommer at yderligere 32% af virksomhederne siger, at de har planer om at oprette en stilling som CISO eller CSO.

Ifølge Mark Lobel fra PricewaterhouseCoopers, der i anledning af offentliggørelsen har udtalt sig til Forbes, kan den øgede opmærksomhed på security og privacy hos direktionen, til dels tilskrives den globale økonomiske afmatning. Antagelsen om, at økonomisk tilbagegang udmønter sig i øget cyberkriminalitet sammen med en risiko for utilfredse tidligere medarbejdere, der har været udsat for massefyringer, har tilsyneladende skabt ny frygt for datasikkerheden, hævder Lobel.

Og han fortsætter: “I sådanne nedgangstider oplever folk, at store risici er på vej. Hvis dit security budget ikke beskæres, har du brug for en chef, som kan udnytte budgettet effektivt og fornuftigt”

Det fremgår endvidere af undersøgelsen, at 38% af de adspurgte planlæggger at øge udgifterne til IT-sikkerhed sammenlignet med 12%, som har til hensigt at skære ned på budgettet. Det er et tegn på, at sikkerheden forbliver vigtig i nedgangstider omend af mindre betydning i starten af den økonomiske nedtur. I den samme undersøgelse sidste år, svarede 44% af de adspurgte, at de havde til hensigt at øge udgifterne til IT-sikkehed, mens kun 5% planlagde at skære ned.

Selvom der ikke foreligger oplysninger om, hvor mange danske virksomheder, der har deltaget i undersøgelsen, er der imidlertid ikke noget der tyder på, at udviklingen ikke også i en vis udstrækning vil gøre sig gældende i Danmark. At IT-sikkerhed stadig er vigtigst underbygges således af en dansk IDG undersøgelse, der også netop er offentliggjort og omtalt af Computerworld.

Download hele undersøgelsen, der behandler en lang række andre IT-temaer, her.