EU-ekspertrapport anbefaler en grundlæggende tilgang til databeskyttelse


Europa-Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed har netop offentliggjort en ekspert-rapport der på ny understreger, at en revision af EU´s persondatadirektiv skal leve op kravene i henhold til den europæiske menneskerettighedskonvention og medlemsstaternes forfatninger. Det fremhæves i rapportens resumé, at persondatadirektivets principper, bestemmelser og kriterier er en del af de grundlæggende menneskerettigheder, og at de har bestået sin prøve, selvom de i visse henseender har et behov for at blive styrket.

Rapporten fremhæver også det i den løbende debat tidligere fremførte argument, at persondatadirektivet til trods herfor  ikke har været tilstrækkelig implementeret og håndhævet og det er den teknologiske udvikling, der er årsag hertil,omend visse nye teknologier kan medvirke til en bedre gennemførelse af direktivet.

Eksperterne mener, at databeskyttelseslovgivningen i EU derfor fortsat bør være baseret på principperne i direktivet og at implementeringen af disse bredt formulerede standarder skal præciseres, hvorimod der ikke er behov for en egentlig revision. Tværtimod udtrykker rapporten, “at direktivet reflekterer europæiske og nationale standarder for forfatnings- og menneskerettigheder, som der er et tvingende behov for at få genbekræftet”. Herefter opstilles en række anbefalinger som følger:

  • Databeskyttelsesprincipperne bør umiddelbart udstrækkes til alle områder, som før har været omfattet af de forskellige EU søjler, herunder søjle 3 aktiviteter [kriminalitetsbekæmpelse]
  • Standardindstillingerne for sociale netværkstjenester bør være privacyvenlige
  • Klarere regler for hvad der er gældende lovgivning for virksomheder inden for og uden for EU/EEA
  • Mere harmonisering baseret på fortolkninger og formulering af “best practice” af WP29 i konsultation med EU-Kommisisonen
  • Mere samarbejde med ikke-EU-lande
  •  Behov for at sikre en langt større overensstemmelse med eksisterende lovgivning ved hjælp af PIA´s, privacy audits eller privacy seals
  • Behov for at styrke individets rettigheder og retshåndhævelsesmidler (muligvis sammen med eller gennem relevante  NGO´ere) og
  • Behov for at videreudvikle supplerende og alternative foranstaltninger (og samtidig forstå indbyggede begrænsninger og praktiske restriktioner for sådanne foranstaltninger) på baggrund af realistiske og tekniske undersøgelser

Hovedbidragene til rapporten er forfattet af  Dr. Ian Brown, University College London og professor Douwe Korff, London Metropolitan University. Specielle ekspertbidrag er bl.a. professor Chris Hoofnagle, University of California og professor Peter Blume fra Københavns Universitet.  Professor Ross Anderson, University of Cambridge og privacy strategist Caspar Bowden, Microsoft har blandt andre fungeret som rådgivere.

Rapporten er et vægtigt stykke arbejde, hvis anbefalinger er i harmoni med tidligere bidrag fra andre eksperter og som efter min personlige opfattelse fuldt ud kan tiltrædes.  Rapportens perspektivering i relation til de europæiske forfatnings- og menneskerettigheder er god og væsentlig.

Af rapportens mange interessante temaer og vurderinger vil jeg alene knytte nogle yderligere kommentarer til teknologiaspektet, netop fordi rapportens forfattere fremhæver, at   spørgsmålet om datasikkerhed også hænger sammen med spørgsmålet om de såkaldte privacy enhancing technologies (privatlivsfremmende teknologier). Disse databeskyttelsesværktøjer bør klart være en lovmæssig integreret del af  defaults for opsætning af parametre til internet brug.

Rapporten fremhæver eksempelvis, at det franske datatilsyn, CNIL i lang tid har anbefalet indførelsen af privacy enhancing technologies og har et tæt samarbejde med erhvervslivet. Ifølge fransk lovgivning har CNIL nu mulighed for at fremkomme med en udtalelse om en bestemt PET-løsning overholder gældende lov og yder reel beskyttelse. På denne måde kan CNIL “blåstemple” bestemte produkter (eller tilbageholde en sådan godkendelse).

Det er en udmærket ide at overveje nedsættelsen af et særligt organ af databeskyttelsesmyndigheder i EU/EEA (European Economic Area) i tæt samarbejde med artikel 29- arbejdsgruppen og EU-Kommissionen vedrørende spørgsmål om European Privacy Seal, europæiske adfærdskodeks og de såkaldte Binding Corporate Rules (BCR). ekspertholdet har her ladet sig inspirere af den praksis der har udviklet sig i den tyske delstat Schleswig-Holstein, hvor det anerkendte Unabhängiges Landeszentrum für Datenschutz (ULD) er koordinator på EuroPriSe Project  (The European Privacy Seal). Der er endnu ikke blevet certificeret eksperter (teknisk/juridisk) fra Danmark.

Rapportens undersøgelse af de potentielle fordele og begrænsninger og konstateringen af det manglende markedsgennembrud for PETs er yderst relevant. Løsningsforslagene er et centralt punkt i rapporten. Jeg er helt enig i, at yderligere lovgivning, f.eks. et krav om notifikation og straf ved databrud [der foreløbig er på vej i EU gældende for telekommunikationsbranchen], helt sikkert vil medvirke til at gøre det økonomisk attraktivt at beskytte privacy. Ligeledes er det sund fornuft at fremme PETs i forbindelse med offentlige udbudskrav, udstedelse af privacy-certificeringer (privacy seals) samt indførelsen af en regel om, at bevisbyrden for databeskyttelse placeres hos den, der bedst er i stand til at sikre databeskyttelsen i stedet for at sende regningen videre til forbrugeren.

Desuden vil jeg gerne fremhæve, at standardiseringsarbejdet indenfor privacy forceres og udbygges. For så vidt angår en lov om notifikation ved databrud er det min personlige opfattelse, at en sådan regel skal være obligatorisk for alle ( virksomheder, organisationer og myndigheder) og at man bør vægte notifikationspligten højere end de pønale hensyn.  En kombination af nye lovkrav, selv- eller medregulering og supplerende mekanismer synes at være vejen frem.

Det står efterhånden klart, at det danske datatilsyn bør have tilført yderligere ressourcer og teknisk ekspertise til en mere aktiv rolle. I den forbindelse har jeg selv ved flere lejligheder foreslået et nærmere samarbejde mellem en række aktører og Datatilsynet, præcis som ekspertrapporten plæderer for (på linje med Rand-rapporten fra sidste år).  På dette sted giver det også mening på ny at opfordre relevante private organisationer og erhvervslivet til aktivt at arbejde for udbredelsen af diverse adfærdskodeks, som persondataloven åbner mulighed for.

Download den endelige rapport her. Som bilag til rapporten er udfærdiget 2 arbejdsdokumenter, henholdsvis  The challenges to European data protection laws and principles og  Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments. Rapporten omfatter også en række landestudier, herunder af Danmark, som professor Blume har stået for.  Der findes også et sammendrag af rapporten.

Reklamer

Skal vi have en privacy-ombudsmand ?


En ombudsmand er oprindelig en svensk opfindelse, der går helt tilbage til 1810. Sidenhen er embedet i forskellige udgaver ligesom selve ordet blevet kopieret i omkring 120 lande verden over. I Danmark blev Folketingets ombudsmandsinstitution, der er en kontrolinstans i forhold til den offentlige forvaltning, oprettet i 1954 og den første ombudsmand var den navnkundige professor dr. jur. Stephan Hurwitz.

Forbrugerombudsmanden blev introduceret i 1975 og fører bl.a. tilsyn med at markedsføringsloven overholdes.

Af andre ombudsmandsinstitutioner kan fremhæves Den Europæiske Ombudsmand, der behandler klager over fejl og forsømmelser i Den Europæiske Unions institutioner og organer. Hvis man er statsborger i en af Unionens medlemsstater eller har fast bopæl i en medlemsstat, kan man indgive klage til Den Europæiske Ombudsmand. Virksomheder, foreninger og andre organer med hjemsted i Unionen kan også klage til ombudsmanden.

Konkret i relation til privacy og persondatabeskyttelse har EU i 2001 endvidere oprettet en  stilling som europæisk tilsynsførende for databeskyttelse. Den europæiske tilsynsførende for databeskyttelse skal sikre, at alle EU-institutioner og organer overholder reglerne om beskyttelse af personer i forbindelse med behandling af personoplysninger. Den europæiske tilsynsførende for databeskyttelse arbejder sammen med de databeskyttelsesansvarlige i de enkelte EU-institutioner eller organer for at sikre, at reglerne om privatlivets fred anvendes.

Ideen om at en uafhængig embedsmand, med kompetence til at undersøge klager fra almindelige borgere, kan kritisere ulovlig, unfair eller forkert myndighedsudøvelse og fremkomme med anbefalinger, er ikke ukendt i andre lande. Således har man f. eks. i det islamiske retssystem fra gammel tid kendt til de såkaldte “Diwan al Mazalim”-institutioner, hvis funktion var at undersøge klager indbragt af borgere mod embedsmænd.

Oprettelsen af ombudsmandsinstitutioner, som især tog fart i 2. halvår af 1900 skyldes tilsyneladende 2 omstændigheder. Dels et behov for retssikkerhed i forhold til en stadig stigende offentlig administration, dels udbredelsen af nye demokratier og menneskerettigheder.

Formålet med en ombudsmand er kort og godt, at fremme retssikkerheden, menneskerettigheder samt god offentlig sagsbehandling. Karakteristisk for en ombudsmand er, at embedet er personligt (eller udgøres af en gruppe personer) og at denne person er udpeget af et parlament for at understrege, at hans autoritet udspringer af folkets repræsentanter. En ombudsmand skal nyde stor respekt og integritet og derfor varetages hvervet som regel af personer med en dommer- eller juraprofessorbaggrund.

Med henblik på at varetage sin primære arbejdsopgave at beskytte rettighederne for den, der mener at være udsat for en ulovlig eller uretfærdig behandling af det offentlige, så er det vigtigt at enhver person kan kontakte ombudsmanden direkte uden formaliteter og uden omkostninger af betydning. Ombudsmanden kan også på eget initiativ tage en sag op og det skal sikres, at institutionen har vide beføjelser til at gennemføre en undersøgelse.

Ombudsmanden betragtes af mange som “den lille mands advokat”, men det er ikke helt korrekt for så vidt angår den danske ombudsmand, der foretager en klassisk domstolslignende sagsgennemgang. Stephan Hurwitz udtrykte det på den måde, at enhver sag har to parter, en klager og én der klages over, og begge parter har krav på en ordentlig og fair behandling.

Det er dog værd at fremhæve, at en af ombudsmanden udtrykt kritik og især hvordan en sag burde være håndteret, kan have stor betydning for den enkelte borger. I andre lande afgør ombudsmanden en egentlig tvist og kan her komme med et forslag til en mindelig løsning mellem borgeren og den offentlige myndighed. I disse tilfælde fungerer ombudsmanden mere som repræsentant for den enkelte borger end som uafhængig dommer. Men under alle omstændigheder er ombudsmandens afgørelse kun at betragte som en anbefaling, som den pågældende myndighed bør følge, men ikke er forpligtet til, som hvis det havde været en domsafgørelse. Værdien i ombudsmandens afgørelse hviler derfor alene på de gode argumenter og den respekt ombudsmandsinstitutionen nyder. Fordi det ofte vil være forbundet med store omkostninger og tidskrævende at anlægge en retssag, betragtes ombudsmanden som et udmærket supplerende retsligt alternativ. Erfaringen synes at vise, at en ombudsmandsinstitution bidrager til stabiliteten i samfundet.

Fra tid til anden fremkommer der forslag om at udnævne en sagsspecifik ombudsmand, f.eks. en børneombudsmand eller ældreombudsmand. Bevæggrunden er at styrke retsstillingen for samfundsgrupper, som opleves at blive overhørt af beslutningstagere og myndigheder.

Op til det seneste valg til Europa-Parlamentet i juni 2009 præsenterede det socialdemokratiske medlem, Christel Schaldemose, et forslag om at oprette en europæisk privacy ombudsmand. Ideen er udsprunget af behovet for en større privacy-beskyttelse i forbindelse med de sociale netværk, som f.eks. Facebook og som ifølge EU-parlamentsmedlemmet kræver EU-lovgivning. Et tilsvarende forslag er anbefalet af Karin Riis-Jørgensen, forkvinde for European Privacy Association, i forbindelse med It-sikkerhedskomitéens konference ”Privatliv på profilen” i november 2008.

Efter min opfattelse er betegnelsen “ombudsmand” ikke beskyttet og der eksisterer heller ikke en entydig definition af en “ombudsmand”s beføjelser og funktioner. Så vidt jeg har kunnet konstatere, findes der ikke et embede i verden med generelle kompetencer, der benævnes som privacy-ombudsmand. Dog er der flere steder indført en privacy-ombudsmand indenfor specifikke sagsområder. Således har Norsk samfunnsvitenskapelig datatjeneste en såkaldt personvernombudet for forskning, der på engelsk benævnes privacy ombudsman og som har fået uddelegeret kompetance fra det norske datatilsyn i forbindelse med spørgsmål om persondata i forskningsprojekter. I henhold til The Bankruptcy Abuse Prevention and Consumer Protection Act of 2005, kan en amerikansk domstol udmelde en såkaldt consumer privacy ombudsman i konkurssager, hvor der kan blive tale om at sælge eller udlåne personlige oplysninger.

Derudover kan det konstateres, at der eksisterer organer rundt omkring i verden, som har beføjelser og funktioner, der i større eller mindre grad udmærket kan sammenlignes med en klassisk ombudsmandsinstitution, men blot hedder noget andet. Eksempelvis har Office of the Privacy Commissioner of Canada et mandat og en mission der i store træk minder om de arbejdsopgaver der traditionelt er knyttet til  en ombudsmand med tyngde på advokat-rollen blot i relation til privacy. Der er dog den interessante forskel, at kommissionæren, der er ansat af parlamentet og rapporterer til de to folkevalgte kamre, kan anlægge sag ved de almindelige domstole i sager, som ikke er blevet løst. De enkelte canadiske provinser har hver deres egne institutioner for privacy fastsat i henhold til lov, der i det væsentligste minder om embedet for Office of the Privacy Commissioner of Canada. Dog med mindre undtagelser. Eksempelvis kan afgørelser af Office of the Information and Privacy Commissioner of Ontario, der for tiden beklædes af den højt respekterede  Ann Cavoukian, i visse tilfælde indbringes for de almindelige domstole. At kommissionæren i almindelighed kan træffe bindende afgørelser, der er inappellable, kan derfor snarere sammenlignes med de kompetencer Datatilsynet besider. I Yukon, en anden canadisk provins, har man valgt en ordning, hvorefter embederne, som både Ombudsman (der svarer til en traditionel ombudsmand) og Information & Privacy Commissioner, der er reguleret i henhold til forskellige love, varetages af én og samme person.

Henset til den førnævnte beskrivelse af ombudsmandsinstitutionen, så kan jeg udmærket godt forstå hvorfor ideen om en privacy-ombudsmand lanceres. Ombudsmanden er et stærkt brand. Men spørgsmålet er, om der reelt er brug for en europæisk eller dansk privacy-ombudsmand ?

Der er ikke nogen tvivl om at privacy som en menneskeret er under stigende pres både nationalt som globalt og at en international regulering efterlyses. Det er også uomtvisteligt, at privacy- og persondatabeskyttelsen er kompliceret at håndhæve især i forbindelse med introduktionen af flere og flere digitale tjenester og teknologier. Der er, som det er nævnt i et tidligere indlæg her på bloggen, derfor behov for en opdatering af persondatadirektivet og eventuelt anden særlovgivning både indholdsnæssigt og med hensyn til fuldbyrdelsesinstrumenter.

Ved implementeringen af persondatadirektivet er det op til hvert enkelt EU-land at organisere tilsynsmyndigheden. Nogle lande, herunder Tyskland, har ligesom Canada valgt en konstruktion med udnævnelse af en kommissær for databeskyttelse og informationsfrihed dels for hele Tyskland og dels for hver af de 16 tyske delstater, jfr. f.eks.  Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Det tyske embede er klart inspireret af den klassiske ombudsmandsinstitution, idet kommissæren er personligt udpeget af den tyske forbundsregering respektive de enkelte delstaters regeringer og valgt af henholdsvis det tyske Forbundsparlament respektive de enkelte delstaters parlamenter.

The Information Commissioner’s Office i Storbritanien, der er organiseret som en “non-departmental public body” (svarer til en dansk styrelse) under justitsministeriet, rapporterer direkte til parlamentet, og kan stort set sammenlignes med Datatilsynets opbygning, rolle og ansvar.

En fortegnelse over de nationale organer for databeskyttelse i EU, EFTA, EU-kandidatlande og visse tredjelande kan findes her.

I Danmark er Datatilsynet (indtil 2002 benævnt Registertilsynet) at betragte som en uafhængig statslig myndighed, der har til opgave at føre tilsyn med, at reglerne i persondataloven, der gennemfører EU-direktivet, overholdes. Datatilsynets opgaver består i at rådgive, vejlede samt behandle klager (også fra almindelige borgere) og foretage inspektioner hos myndigheder og virksomheder. Selvom Datatilsynet organisatorisk  henhører under Justitsministeriet, så har ministeriet ingen instruktionsbeføjelse over myndigheden. Der er således alene tale om en formel forskel i strukturen og ikke en reel forskel i substansen (persondatadirektivet) i forhold til eksempelvis den tyske ordning og det er trods alt det som man bør hæfte sig ved i hele denne her diskussion.

Funktionerne kunne således i princippet sagtens blive varetaget af en ombudsmand, men nu ligger de faktisk hos Datatilsynet og det vil derfor umiddelbart være mere hensigtsmæssigt at styrke Datatilsynets organisation på en række punkter. Som jeg andetsteds har opfordret til, så bør Datatilsynet både have tilført flere økonomiske midler og flere faglige kompetencer og det er også muligt at Datatilsynet skal have flere sagskompetencer og bedre retshåndhævelsesmidler samt en pligt til at indgå i et mere formaliseret samarbejde med relevante samarbejdspartnere.

For så vidt angår en europæisk privacy-ombudsmand, så kan en sådan kun fungere effektivt og i overensstemmelse med institutionens intention, såfremt der tilføres eksorbitante midler, men der er desuagtet alvorlig risiko for, at en fælles-europæisk institution vil drukne i bureaukrati, især henset til at lovgivningsindhold og lovgivningspraksis ikke er ens i EU. Sidstnævnte forsøger de nationale datatilsyn at koordinere via WG-29 arbejdsgruppen. Det er muligt at denne konstruktion kan forbedres, men det må afvente den revision af EU´s juridiske referenceramme om databeskyttelse, der omfatter persondatadirektivet, e-privacy direktivet samt Rådets rammeafgørelse 2008/977 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager og som tidligst forventes afsluttet primo 2011. Man kan med en vis ret hævde, at når alt kommer til alt, så er det snarere en mere effektiv EU-regulering og sikrende retsmidler baseret på nærhedsprincippet, der er brug for, end at en europæisk privacy-ombudsmand afgiver rekommandationer, der ikke kan fuldbyrdes.

En dansk privacy-ombudsmand synes heller ikke at være gangbar, fordi det ikke vil være hensigtsmæssigt endsige nødvendigt at nedlægge Datatilsynet for at opbygge en ny institution, hvor stort set kun indpakningen er forskellig, medmindre man ønsker, at embedet alene skal fremkomme med anbefalinger og ikke, som det er i dag, hvor Datatilsynets afgørelser har umiddelbar retsvirkning. Det har den konsekvens, at overtrædelse kan medføre straf- eller erstatningsansvar og at Datatilsynets  afgørelser efter persondataloven ikke kan indbringes for anden administrativ myndighed, men selvfølgelig altid kan prøves ved en domstol. Denne sagsbehandling kunne godt gøres mere smidig uden nødvendigvis at ændre på Datatilsynets retskompetence, idet en rolle som mediatoradvokat næppe vil være valid. Derimod kan argumentet om, at selve udnævnelsesproceduren har en yderligere tillidsskabende virkning, muligvis overvejes nærmere samt i forlængelse heraf eventuelt at lægge tilsynet direkte under Folktetinget, for at sikre en yderligere uafhængighed i forhold til regeringen.

Det vil ikke gøre nogen forskel, såfremt en privacy-ombudsmand skulle fungere ved siden af Datatilsynet med nye funktioner, idet det uundværligt vil føre til kompetencestridigheder. Der har i øvrigt allerede rodfæstet sig en forvaltningspraksis, hvorefter persondataspørgsmål henvises til Datatilsynet. Det gælder således også i relation til spørgsmål om f.eks. forbrugerbeskyttelse og målrettet reklame, som ellers umiddelbart kunne tænkes at høre under Forbrugerombudsmandens ressortområde.

Selvom det lyder besnærende, så skal man nøje og nøgternt overveje behovet for en ny ombudsmandsinstitution og ikke lade sig rive med af et ellers prisværdigt engagement og en øjeblikkelig omend velbegrundet stemning for at styrke en bestemt befolkningsgruppes interesser eller et specifikt rets- eller principområde. Privacy er kun en af 30 menneskerettigheder , der er fastsat i FN’s menneskerettighedserklæring og Den Europæiske Menneskerettighedskonvention. De er alle ligeværdige og staterne kan ikke vælge nogen rettigheder ud som mere beskyttelsesværdige eller respektable end andre. Et perspektiv med 30 sagsspecifikke ombudsmænd ved siden af Folketingets ombudsmand forekommer omsonst, især når der allerede findes organer, både nationalt som internationalt,  der mere eller mindre tager sig af de berørte problemstillinger.

Der synes derfor ikke efter min opfattelse at være vægtige grunde, der taler for at oprette en privacy-ombudsmandsinstitution.

Afslut med fingeren


Af: Andreas Dohn, Journaliststuderende ved Syddansk Universitet

Fingeraftryk i centrale databaser er en cocktail, der før har mødt modstand fra borgere og privacy-fortalere. Men når bloddonorerne på Odense Universitetshospital skriver under med fingeren, skal de ikke frygte for datasikkerheden, siger blodbankens ledende overlæge.

De ruller frivilligt ærmet op og lader nålen trænge gennem huden. Sådan har det altid været. Men fremover vil donorerne på Odense Universitetshospital (OUH) også blive tvunget til at afgive et fingeraftryk, når de besøger blodbanken.

Odense Universitetshospital har som det første sted i landet indført elektroniske spørgeskemaer, som donorerne skal underskrive med pegefingeren, før de giver blod: ”Fordelen ved fingeraftryk er, at vi kan identificere donoren fra gang til gang og vide, at det er den rigtige donor, vi har fat i,” siger Jørgen Georgsen, ledende overlæge i blodbanken på Odense Universitetshospital.

Kun en kode

Det har tidligere skabt debat, når diskoteker og lufthavne indfører fingeraftryk eller irisskanning som adgangskontrol. Men Jørgen Georgsen mener ikke, at donorerne skal frygte for deres datasikkerhed, når de sætter pegefingeren på blodbankens scanner.

Fingeraflæseren danner en unik kode ud fra nogle bestemte punkter i fingeraftrykket. Og det er dén kode, som blodbanken gemmer i sin database sammen med donorens personnummer. Ikke et billede af selve fingeraftrykket, forklarer han:

”Det fingeraftryk, vi tager, er ikke sammenligneligt med det, politiet arbejder med, så det vil ikke kunne bruges i politiets efterforskning.”

Når donoren møder til næste tapning og indtaster sit personnummer, vil systemet automatisk hente den gemte kode og sammenligne den med donorens ’nye’ fingeraftryk.

”Det er ikke sådan, at aflæseren går ned i en stor database og leder alle vores 13.000 donorer igennem og kigger på deres fingeraftryk,” siger Jørgen Georgsen:

”Den sammenligner bare Bjarnes nuværende fingeraftryk med det fra tidligere. Og hvis de ikke passer sammen, så er det ikke Bjarne, der er her nu. Mere kan den ikke sige. Den kan ikke sige, at det er Peter, der er her i stedet for eller sådan noget.”

”Smartcard en bedre løsning”

Frederik Kortbæk er netværkskoordinator i Dansk Privacy Netværk, der har forskere med interesse for overvågning og privatlivsbeskyttelse på medlemslisten. Han roser først og fremmest blodbanken for at tage fingeraftrykket i brug:

”Formålet er at sikre, at blod tilhører en bestemt person og kun denne person. Der er tale om en sikkerhed, som både er i brugerens og blodbankens interesse.”

Frederik Kortbæk er dog generelt betænkelig over for fingeraftryk i centrale databaser, og han mener, at blodbankens system kunne gøres endnu mere sikkert:

”Den mest optimale privacyløsning ville være at gemme det digitaliserede fingeraftryk i krypteret form på et smartcard i stedet for i en central database,” forklarer Frederik Kortbæk.

Et smartcard er et lille plastikkort, der indeholder oplysninger om kortholderens fingeraftryk, og det har samtidig en scanner indbygget. Når en person forsøger at bruge kortet, sammenlignes hans fingeraftryk med det, der ligger gemt.

Frederik Kortbæk mener, at donoren på den måde vil være bedre sikret mod misbrug, fordi fingeraftrykket ikke er gemt andre steder end på selve kortet.

”Det er den løsning, som de europæiske datatilsyn generelt anbefaler,” siger han.

Mange flere oplysninger i blodprøven

Jørgen Georgsen mener dog ikke, at et smartcard er den bedste løsning for blodbanken. Dels er kortene alt for dyre, og dels kan donoren ikke blive tappet, hvis han glemmer kortet derhjemme:

”Det, synes vi, er dårlig service over for donorerne, hvis de er kommet helt her ud,” siger han og påpeger, at blodbanken i forvejen ligger inde med en masse personfølsomme oplysninger om donorerne – i modsætning til diskoteker og motionscentre.

”Der er mange flere oplysninger i den blodprøve, man giver, end i fingeraftrykket. Og der er rigtig mange donorer, vi har gemt DNA på. Det er faktisk en større risiko, som folk ikke tænker så meget på,” forklarer Jørgen Georgsen.

Uden om Datatilsynet

Det er Datatilsynet, som fører tilsyn med persondataloven og vejleder myndigheder og virksomheder om behandling af personoplysninger. Chefkonsulent Jakob Lundsager oplyser, at blodbanken ikke har rettet henvendelse til Datatilsynet, før fingeraftrukket blev indført. Og derfor har tilsynet ikke beskæftiget sig med det specifikke system.

Men Jakob Lundsager skønner, at blodbankens normale omgang med personfølsomme oplysninger kan være et argument for, at det også er forsvarligt at indføre fingeraftryk som identifikation.

Lever op til loven

I blodbanken føler man sig godt dækket ind. Jørgen Georgsen understreger, at systemet lever op til de gældende regler.

”Vi oplyser donorerne om alt det, vi gemmer, første gang de er her,” siger han og forklarer, at det altid kræver donorernes tilladelse, hvis blodbanken skal give oplysninger videre.

Derfor kan donorerne roligt give det elektroniske spørgeskema fingeren.

EU fastholder at privacy skal have høj prioritet


I forbindelse med den 5.  ministerielle eGovernment Konference 2009, som blev afviklet 18. november 2009 i Malmø, har Ministerrådet offentliggjort en erklæring om EUs eGovernment strategi frem til 2015. 

De ministerielle eGovernment konferencer bliver afholdt hvert andet år af EU Kommissionen og det skiftende EU formandskab. Målet er at overvåge fremskridt og identificere politiske og forskningsmæssige fremtidige prioriteringer.

I en pressemeddelelse i forbindelse med offentliggørelsen udtaler Mats Odell, svensk minister for lokalstyre og finansielle markeder og den der ledede mødet: “Vi ønsker at arbejde sammen om at styrke vores borgere og skabe en mere åben offentlig administration. Vi vil gøre det lettere for europæiske borgere og virksomheder at bevæge sig på tværs af grænserne. Det skal være nemt at studere i Stockholm, arbejde i London, gå på pension i Italien og at gøre brug af mulighederne i det indre marked. Samtidig vil vi skabe en enklere og grønnere administration.”

I dag føler mange, at der er en kløft mellem stat og befolkning. eGovernment kan bruges til at genskabe kontakten mellem borgerne og deres valgte politiske repræsentanter. Erklæringens ånd er, at eGovernment skal bruges til at åbne døren til den offentlige forvaltning på en ny og innovativ måde.

Det fremgår afslutningsvis af pressemeddelelsen, at EU-Kommissionen opfordres til at koordinere medlemsstaternes aktiviteter og organisere styringen af gennemførelsen gennem en særlig styringsgruppe, der mødes regelmæssigt for at foreslå tilpasninger af de prioriterede områder.

Erklæringen er værd at hæfte sig ved i relation til privacy, fordi  det udtrykkeligt understreges, at e-Government visionen skal understøttes af national og europæisk lovgivning om privacy og databeskyttelse (punkt 7).

For så vidt angår målet om at reducere de administrative byrder for borgere og virksomheder, fremhæves respekten for privacy og databeskyttelse som afgørende for en styrkelse af tillid og tryghed.  For at borgerne og virksomhederne vil benytte sig af services, der baserer sig på elektronisk udveksling af informationer, skal tillid og sikkerhed være en integreret del af denne service (punkt 17).

Man kunne egentlig have ønsket sig en selvstændig fremhævelse af privacy i erklæringen og måske nok en noget større implementering siden Manchester-erklæringen fra 2005, men efter omstændighederne er denne markering fra EU tilfredsstillende. Det bemærkes i den sammenhæng at privacy og databeskyttelse blev forbigået i den foregående erklæring, der blev udfærdiget i Lisabon i 2007. Der sendes et politisk signal, som vil befordre den stigende opmærksomhed om privacy og databeskyttelse på europæisk plan og som givetvis vil få indflydelse også på dansk lovgivning.

Man kan eksempelvis med god grund opfatte den spritnye justitsministerielle instruks til chefen for Politiets Efterretningstjeneste sammen med nye retningslinjer for Politiets Efterretningstjenstes behandling af personoplysninger mv.  som et initiativ med det formål at styrke retssikkerheden og skabe større åbenhed omkring behandlingen af personoplysninger. Ganske vist er der i det væsentligste tale om en formalisering af en allerede knæsat praksis, men den politiske markering bør efter min opfattelse ikke undervurderes som en indikation på at yderligere tiltag til styrkelse af privacy og databeskyttelse er på vej.

Et vigtigt skridt er taget på vejen mod en international aftale om databeskyttelse


globalaftale

Det rykker for privacy- og databeskyttelsen for tiden.

På den netop afsluttede  31th International Conference for Data Protection and Privacy Commissioners, der blev afholdt 3-5 november i Madrid og med deltagelse af mere end 100 repræsentanter for statslige datatilsyn og de såkaldte data-kommissærer fra mere end 50 lande samt en lang række virksomheder som f.eks. Google og Facebook , er der indgået en international aftale til bedre beskyttelse af personoplysninger og privacy.

International Standards on the Protection of Personal Data and Privacy fastslår som et princip, at databehandling kun er tilladt inden for og på tværs af landegrænser efter akcept af “datasubjektet” (personen hvis data det drejer sig om).  Det er på engelsk formuleret som “free, unambiguous and informed consent” og kan på dansk oversættes til: et klart, utvetydigt og formuleret samtykke.

Det fastlås også, at databehandlingen bør kun være i drift så længe det er nødvendigt til opfyldelse af det specifikke formål data er indsamlet samt, at databehandlingen kun bør ske på tværs af internationale grænser, såfremt den pågældende  jurisdiktion som et minimum opfylder minimumskravet til databeskyttelse i henhold til aftalen.

Aftalen som den foreligger er ganske vist ikke bindende, men det er underskrivernes hensigt at gennemføre en international bindende aftale sandsynligvis via FN og det forventes at det aktuelle dokument vil være vejledende for det endelige udkast.

Det er ikke tilfældigt at en sådan aftale presser sig på nu samtidig med at nye forretningsmodeller som f.eks. cloud computing bliver kraftigt markedsført. Hertil kommer den øgede interesse for sociale netværk blandt både personer og virksomheder, brug af søgemaskiner, internet handel osv.

Sidst der blev lavet en international aftale om overførsel og beskyttelse af data var i forbindelse med udfærdigelsen af de såkaldte Safe Harbour principper mellem EU og USA. Men med en globaliseret økonomi kan en bilateral aftale mellem EU og USA ikke stå alene og virksomhederne har efterhånden erkendt at data ikke bare kan være frit tilgængelig og at forbrugeren ikke  blot skal affinde sig med, at virksomheden  vil tage sig af sikkerheden. 

Især Google og Facebook er kommet under et stort internationalt pres for at ændre deres databrug og praksis. Således er Facebook for nylig gået med til globalt at ændre behandlingen af personoplysninger i forbindelse med en klage fra den canadiske privacy kommissær. Google har ligeledes flere gange revideret sin egen praksis for håndtering og opbevaring af personoplysninger i forbindelse med klager fra Europa-Kommissionen.

Virksomheder som bl.a. Microsoft, Google, Facebook har været ret aktive i Madrid, fordi de ser en interesse i at have en klar aftale om datamanagement og dataoverførsel, eftersom det giver et stabilt marked på lige konkurrencevilkår. Man har indset, at enslydende restriktioner med et klart præciseret ansvar i en lang række vigtige markeder, både kommercielt så vel som økonomisk er at foretrække, frem for færre påbud og større usikkerhed.  

Netop opbakningen blandt de globale operatører samt datamyndigheder fra en lang række lande med en hidtidig uset aktiv medvirken af NGO´ere og privacyfortalere giver aftalen, der lægger sig tæt op ad EU´s databeskyttelsesdirektiv,  gennemslagskraft til trods for at den ikke er juridisk bindende. Der arbejdes nu videre med aftalen i en arbejdsgruppe med det sigte at opnå en international bindende aftale.

Kilde til nyheden kan hentes her.

Aftalen giver ny mening til den i 2001 lancerede vision om “One World, One Privacy” og befordrer den af Ontario privacy kommissær Ann Cavoukian i 2005 introducerede Global Privacy Standard. Tendensen for at arbejde for et ensartet regelsæt er ligeledes for ganske nylig kommet til udtryk i to forslag til en føderal privacy lov i USA til erstatning for det kludetæppe af  delstatslovgivninger, som volder virksomhederne et stort besvær.

Den større internationale forståelse vil uden tvivl gøde jorden for mere ensrettet international retsregulering og standardisering for privacy og databeskyttelse og EU vil uden tvivl komme til at spille en væsentlig rolle i dette arbejde. En vigtig forudsætning vil være, at den forestående opdatering af EU´s nuværende rammedirektiv om databeskyttelse, som for tiden er i offentlig konsultation, vil være i stand til at tage højde for det næste årtis samfundsmæssige udfordringer og teknologiske udvikling.

I den sammenhæng vil det uden tvivl være nødvendigt med en langt større forståelse for privacy (og i og for sig for alle menneskerettighederne) som allerede bør starte i skolen. Samtidig bør der lanceres obligatoriske kursusforløb i privacy og databehandling for medarbejdere i private og offentlige virksomheder ligesom der bør introduceres en relevant bachelor- eller diplomuddannelse. Disse initiativer kunne Danmark sagtens stå i spidsen for.

EU: forbrugeren skal sige ja til cookies


cookies

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata). Det er altså ikke nok som  hidtil blot at informere om brugen af cookies herunder at et fravalg er muligt.

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

Mange vil måske mene, at en regulering af brugen af cookies er unødvendig og hæmmende for den digitale økonomiske og samfundsmæssige udvikling. Jeg er ikke enig.  De grundlæggende principper for privacy bør fastholdes. Det må være i alles interesse, at der sikres et reelt forbrugervalg og at der er åbenhed om virksomhedernes forretningsmodeller, for mindre gennemsigtighed øger risikoen for kontrol og det kan ikke accepteres i et demokrat. Økonomisk vækst, der befordrer, at forbrugere fristes over evne eller af forlokkende tilbud er ikke at foretrække. Men der er faktisk mere på spil. Efter min opfattelse vil en uhæmmet brug af cookies og andre digitale mekanismer være med til faktisk at hæmme den økonomiske udvikling, fordi der er risko for en indsnævring af den fri konkurrence gennem dannelse af digitale  monopoler og andre markedsbekrænsende arrangementer.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg og -kontrol synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det vanskeligere at bruge hjemmesider i fremtiden og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

EU-Rådet godkender notifikationspligt ved databrud


eulogo

På  et rådsmåde d. 26. oktober 2009 er det nu, blandt andre emner,  vedtaget at indføre en pligt til at offentliggøre brud på persondatasikkerheden.

Teknisk set er der tale om at styrke og forbedre forbrugerbeskyttel-sen i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation), som hidtil er blevet implementeret i dansk lov ved lov nr. 450 af 10. juni 2003 om konkurrence og forbrugerforhold på telemarkedet.

I den af EU-Rådet og Europa-Parlamentets fælles begrundelse for ændring af det oprindelige dirketiv slås det fast, “at det er nødvendigt at sikre, at der tilbydes forbrugerne og brugerne den samme beskyttelse af privacy og personoplysninger, uanset hvilken teknologi der anvendes til at levere en bestemt tjeneste.”

Herefter nævnes det, “at de kompetente nationale myndigheder bør fremme borgernes interesser og bl.a. bidrage til at sikre et højt niveau for beskyttelse af personoplysninger og privatlivets fred. Derfor bør de nationale myndigheder have de nødvendige midler til at udføre deres opgaver, herunder tilstrækkelige og pålidelige data om sikkerhedshændelser, der har bragt personlige oplysninger i fare. De bør overvåge serviceudbydernes foranstaltninger og udbrede best practice for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester. Udbyderne (ISP’ere) skal derfor registrere brud på datasikkerheden med henblik på en yderligere analyse og evaluering af myndighederne.

Fællesskabsretten [persondataloven i Danmark] pålægger den registeransvarlige pligter for behandling af personoplysninger, herunder en forpligtelse til at iværksætte fornøden teknisk og organisatorisk beskyttelse mod for eksempel tab af data. De krav til anmeldelse af databrud, som er indeholdt i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation) strukturerer hvorledes myndighederne og berørte personer skal underrettes, når  persondata er blevet kompromitteret.

Underretningspligten er begrænset til databrud for så vidt angår den elektroniske kommunikationssektor. Men underretning af sikkerhedsbrud afspejler borgernes generelle interesse i at blive informeret om sikkerhedssvigt, som kan resultere i at deres personlige data går tabt eller på anden måde kompromitteres, samt af de forholdsregler, der er eller bør være til rådighed med henblik på at minimere et muligt økonomisk eller socialt tab, der kunne være en følge af disse fejl.

Brugernes interesse i at blive underrettet er klart ikke begrænset til den elektroniske kommunikationssektor og derfor bør der eksplicit gælde et obligatorisk krav om notifikationanmeldelse for alle sektorer og bør derfor gennemføres som en prioritet på EU-niveau. Derfor bør Kommissionen i samråd med den Europæiske Tilsynsførende for Databeskyttelse, tage passende skridt til straks at tilskynde hele Fællesskabet til at anvende principperne om underretning af databrud som reguleret i direktiv 2002/58/EF, uanset hvilken sektor eller den type oplysninger der er tale om.

Et databrud kan, hvis det ikke adresseres rettidigt og på en hensigtsmæssig måde, resultere i store økonomiske tab og social skade, herunder identitetstyveri for den berørte person. Derfor skal internetserviceudbyderen, lige så snart han er blevet klar over, at et sådant brud har fundet sted, underrette dette til den relevante nationale myndighed. De personer hvis data og privacy kan blive berørt af bruddet, skal straks underrettes med henblik på at give dem mulighed for at træffe de nødvendige forholdsregler. Et brud skal betragtes som at have en negativ indvirkning på en persons data eller privacy, såfremt det kan resultere i f.eks. identitetstyveri, fysisk skade, ydmygelse eller tilsværtning af omdømme i forbindelse med brugen af kommunikationstjenesten. Notifikationen skal indeholde oplysninger om de foranstaltninger, som udbyderen har truffet for at håndtere bruddet, samt anbefalinger til den berørte person.”

Det fremhæves envidere “at myndigheder og domstole i medlemsstaterne ikke kun bør fortolke den nationale lovgivning i overensstemmelse med selve direktivet, men også sikre, at fortolkningen ikke strider mod de fundamentale frihedsrettigheder eller generelle fællesskabsretlige principper, såsom proportionalitetsprincippet.”

Rådets beslutning om indførelse af et krav om underretning ved databrud har været ventet et stykke tid efter at der først var opstået uenighed mellem Europa-Parlamentet og EU-Kommissionen om direktivets rette udformning. Processen er endvidere blevet fremskyndet på baggrund af en lang række aktuelle sager om databrud, som mere eller mindre tilfældigt er kommet til offentlighedens kendskab.

Der er imidlertid ikke i første omgang tale om et generelt krav, som mange ellers havde håbet på, og den omstændighed at f.eks. e-banking og online shopping ikke er omfattet, vil begrænse konsekvenserne af påkravet betydeligt. Men det er værd at bemærke, at den førnævnte hensigtserklæring om at arbejde for en mere generel notifikationspligt givetvis vil bane vejen for en mere omfattende regulering på sigt og dermed en strammere databeskyttelse i EU.   

Derudover henstår der stadig en udmyntning af principperne i konkret lovgivning. Der kan allerede nu rejses spørgsmål om hvorledes et databrud skal defineres, hvem og hvorledes der skal gives underretning osv.  Hvornår reglerne vil få virkning i Danmark er det svært at udtale sig om i dag,men det er højst tænkeligt at en endelig lovgivning vil afvente EU-Kommissionens policy-udspil i 2010 om at styrke internet- og informationssikkerheden, som sandsynligvis også vil omfatte en udvidet notifikationspligt ved databrud.

Der er tale om et første og vigtigt skridt, som fortalere for privacy vil anerkende. Der har imidlertid været udtrykt betænkeligheder fra industrien, som anser kravet som  bureaukratisk og fordyrende.

Om de relevante bevæggrunde for indførelse af en notifikationspligt ved databrud kan i det store og hele henvises til  Rådet for Større IT-Sikkerheds brev 25. maj 2009 til videnskabsminister Helge Sander.  Download direktivforslaget her.