EU-rapport understøtter behovet for mere information om brug af personlige oplysninger


Rapporten, der netop er blevet  udgivet af Eurobarometer, er resultatet af den hidtil største undersøgelse om den enkelte EU-borgers adfærd og holdning til bgrugeradministration (identity management), databeskyttelse samt privacy.

Det konkluderes i rapporten: “I lyset af den stadigt stigende rolle digitale teknologier har spillet i samfundet i løbet af det sidste årti og den hidtil usete store indsamling, opbevaring og behandling af personoplysninger, er formålet med undersøgelsen, at få indsigt i europæernes videregivelse af personlige oplysninger, med særlig fokus på Internettet. Mere specifikt, omhandler rapporten europæernes faktiske offentliggørelse af personlig information, deres forståelse af og opfattelse af kontrol over deres personlige data, deres måder at beskytte personoplysninger på og hvorledes de gerne ser databeskyttelsen udformet. Indsigt i disse spørgsmål kan være en hjælp til at udvikle reguleringen og skræddersy den til europæernes særlige behov og sårbarheder med hensyn til beskyttelse af personoplysninger.”

Nogle af hovedresultaterne af undersøgelsen viser, at

  • 74 % af europæerne anser afsløring af personlige oplysninger som en stigende del af det moderne liv
  • oplysninger først og fremmest betragtes som personlige, når der er tale om finansielle oplysninger (75 %), medicinske oplysninger (74 %), nationale ID-numre eller kort samt pas (73 %)
  • et klart flertal af europæerne (75 %) ønsker at slette personlige oplysninger på en hjemmeside, når de beslutter sig for det (princippet om “retten til at blive glemt”)
  • Selvom et flertal af europæiske internetbrugere selv føler sig ansvarlige for håndtering af deres egne personlige oplysninger, går næsten alle europæere ind for ens databeskyttelsesregler i hele EU (90 %)
  • et flertal mener, at deres personlige oplysninger vil være bedre beskyttet i store virksomheder, såfremt disse virksomheder er forpligtet til at have en databeskyttelsesansvarlig person (88 %)
  • Europæernes meninger er delte med hensyn til de omstændigheder, hvorunder politiet skal have adgang til personlige data. Til gengæld er næsten alle enige om, at mindreårige bør beskyttes mod (95%) og advares om videregivelse af personoplysninger (96%), og et stort flertal er for en særlig beskyttelse af genetiske data (88%).

De adspurgte i undersøgelsen kan kategoriseres i to grupper af såkaldt digitale eksperter, som viser markante forskelle i besvarelserne. Den første gruppe betegnes som “digital natives”, som vel nærmest kan oversættes som “børn af den digitale tidsalder” dvs. unge mennesker i alderen 15-24 år, som er studenter og født under og efter introduktionen af den digitale teknologi. Den anden gruppe benævnes i rapporten som “digital initiates”, som kan oversættes til “personer med tillærte erfaringer”. De er ikke unge per definition og har fået deres viden om med den digitale teknologi gennem f.eks. uddannelse eller arbejde og har andre synspunkter end “børn af den digitale tidsalder”.

Eksempelvis deles synspunktet om, at afsløring af personlige oplysninger ikke er et stort problem af 43 % i den første gruppe (EU 33 %). Endvidere fremgår det, at der i denne gruppe er 48 % som ikke har noget imod at afsløre personlig information til gengæld for fri online servicees , f..eks. en gratis e-mail adresse (EU 29 %) og at 41 % føler sig forpligtet til at afsløre personlige oplysninger på internettet (EU 28 %).

Med hensyn til den anden gruppe, så er det tydeligt, at de er mindst tilbøjelige til at føle kontrol over personlige data, f.eks. mulighed for at slette, rette eller ændre disse oplysninger i forbindelse med online shopping eller når de benytter sociale netværkssteder. Og i modsætning til den første gruppe er de mest tilbøjelige til at beskytte deres identitet i det daglige og på nettet og er som ofte bekymret med hensyn til oplysninger om dem selv, som opbevares af virksomheder.

For så vidt angår Danmark er der anledning til at fremhæve nogle tal fra rapporten. Eksempelvis betragter 91 % af de adspurgte danskere, finansielle oplysninnger som løn, bank- og kreditkortoplysninger for at være personlige. Det er også interessant at bemærke, at de lande, hvor Internetbrugere er mere tilbøjelige til at mene, at finansielle oplysninger er personlige også har en højere andel af respondenter, der handler online. Således køber 81 % af internetbrugerne i Danmark online. Danmark scorer også højt i vurderingen af at medicindata (87 %) og at CPR-nummer og pasnr. (89 %) er personlige oplysninger. Derimod rangeres f.eks. navn (23 %) og adresse (36 %) lavt som en personlig oplysning. Den højeste procent af svar, som siger, at afsløring af personlige oplysninger ikke er et problem er fra Danmark (51 %). På spørgsmålet om man føler sig forpligtet til at afsløre personlinge oplysninger på internettet viser undersøgelsen, at de danske svar topper med 47 % mod 44%, der er uenig. Danmark ligger i toppen sammen med 3 andre nordiske lande med 72 %-besvarelser, der giver udtryk for ikke at være bekymret for at ens adfærd vil blive registreret på et privat sted som f.eks. restaurant, bar, klubber eller kontorer. Ligeledes afspejler de danske svar, at 78 % er ubekymret for at deres adfærd bliver registreret i det offentlige rum, hvilken procent ligger på linje med EU-gennemsnittet. Med hensyn til placering af de strategier de enkelte borger vælger til at beskytte sin identitet i det daglige viser, at 78 % af danskerne, hvilket e i top, foretrækker at give et minimum af forlangte oplysninger og ikke afslører bankoplysninger eller PIN-kode.

Nederlandene, Luxembourg og Danmark skiller sig ud som de EU-lande, der har det største antal af internetbrugere, som benytter en vifte af forskellige strategier til beskyttelse af deres identitet på nettet. Danmark scorer ikke uventet meget højt på tilid til at f.eks. sundhed- og skattesmyndigheder samt finansielle institutioner beskytter personlig information. I modsætning hertil ligger lande som Grækenland, Rumænien og Polen med den laveste tillidsniveau.
Om den er begrundet er en anden sag.

En tankevækkende iagttagelse er det forhold, at den højeste procentdel, der siger, at de gerne vil slette deres data, når de stopper med at benytte en service (princippet om retten til at blive glemt), er at finde i Danmark (50%), Sverige (48%) og Nederlandene (43%).

Et specielt tema i forhold til undersøgelsen vil lige blive berørt, fordi det for tiden er aktuelt i den danske offentlige debat. Det drejer sig om identitetstyveri. Af undersøgelsen fremgår det, at der er en udbredt opmærksomhed om identitetstyveri og datatab i EU omend den personlige erfaring forbliver marginal. 44 % af alle europæere har svaret at de hverken har hørt eller oplevet omstændigheder I forbindelse med datatab og id-tyveri. En sociodemografisk analyse påpeger, at det er aldersgruppen 55+ (50 %), den mindst uddannede (54 %) og som aldrig bruger internettet (53 %), der er dem som mest sandsynligt ikke har hørt om eller er blevet konfronteret med forhold om datatab og identitetstyveri.

I de lande hvor respondenterne højst sansynligt har hørt om (via fjernsyn, radio, aviser eller internettet) eller haft erfaring med forhold i forbindelse med datatab eller identitetstyveri, er de lande med den laveste procentdel, der siger nej, nemlig Letland (26%), Sverige (27%), Irland (28%), Danmark (29%), Finland (31%) og Storbritannien (34%).

JyllandsPosten har i en dybdeboende og omfattende temaserie sat identitetstyveri på dagsordenen med en række konkrete sager, som klart illustrerer problemets sociale og økonomiske konsekvenser. Det er Dansk Privacy Netværks opfattelse, at det netop er et sådant initiativ, der kan være med til at skabe større forståelse for et ellers kompliceret emne. Dansk Privacy Netværk og flere af dets medlemmer og samarbejdspartnere har i øvrigt bidraget med input til artikelserien samt i forbindelse med en opfølgning i bl.a. DR Update og TV AVISEN.

Mere om identitetstyveri og hvad den enkelte borger kan gøre for at undgå at miste kontrol med egne data kan findes her: Identitetstyveri – også i Danmark? Det understreges af Datatilsynet, at mere information til både borgerne, virksomheder og myndigheder om forsvarlig brug af personoplysninger, er nødvendig. Sidstnævnte er også rapportens generelle anbefaling.

Eurobarometer har bedrevet et glimrende stykke analysearbejde om EU-borgernes holding til databeskyttelse og elektronisk identitet som viser nogle interessante resultater, herunder at der tegner sig et broget indtryk af danskernes forståelse for persondatabeskyttelse.

Afslutningsvis glæder det mig, at undersøgelsen fastslår at et flertal af de adspurgte mener det vil forbedre beskyttelsen af personoplysninger, såfremt virksomheder af en vis størrelse udpeger en databeskyttelsesansvarlig person (Data Protection Officer), fordi det netop har været et hovedønske, der er blevet fremført af bl.a. mig selv i forbindelse med revisionen af persondatadirektivet. Positionen må ikke forveksles med den dataansvarlige eller databehandleren, som i henhold til den nugældende lovgivning både kan være en person eller myndighed. Så mon ikke det bliver en af flere nye bestemmelser i det reviderede persondatadirektiv, der vist forventes i 2014. ?

Rapporten “Special Eurobarometer 359 – Attitudes on Data Protection and Electronic Identity in the European Union” (330 sider) kan downloades her.

Reklamer

Er “retten til at blive glemt” det nye privacy mantra ?


I forbindelse med den igangværende revision af EU´s persondatadirektiv, der har udviklet sig til en lidt langstrakt affære, er der allerede kommet en række udmeldinger fra EU-Kommissionen, der indikerer en række stramninger af det fremtidige direktiv.

Således har Viviane Reding, EU’s kommissær for retlige anliggender, på en nylig afholdt konference i Brussels med en henvisning til Den Europæiske Unions charter om grundlæggende rettigheder slået fast, at EU-borgerens privacy-rettigheder skal bygge på fire piller:

  1. “retten til at blive glemt”
  2. “gennemsigtighed”
  3. “privacy som standardinstilling”
  4. “beskyttelse uanset hvor data er placeret”

Det er princippet om “retten til at blive glemt” (the “Right To Be Forgotten”), som der vil blive set lidt nærmere på her. For god ordens skyld skal det understreges at princippet  ikke udelukkende er møntet på persondata, som defineret i persondatadirektivet og som allerede statuerer en lang række rettigheder til beskyttelse af enkeltpersoners personlige oplysninger.

Retten til at blive glemt er oprindelig en fransk idè, og kan konstrueres på to måder. Den ene har sammenhæng med, at der i fransk lov er et forbud mod ubestemt lagring af persondata, således at den dataansvarlige skal fastsætte en datalagringsperiode, der er forenelig med formålet. Retten til at blive glemt relaterer sig til de yderst sjældne tilfælde, hvor det er nødvendigt at slette persondata. Den anden betydning vedrører retten til berigtigelse og indsigelse. Disse to rettigheder pålægger den dataansvarlige at slette data i de tilfælde, hvor de er ukorrekte, forældede eller hvor dataindsamling slet og ret er forbudt. Det er således ud fra den oprindelige forståelse af begrebet en misforståelse, at man til hver en tid kan kræve, at den dataansvarlige skal slette vedkommendes persondata.

Disse rettigheder følger dog  allerede af den danske persondatalov, herunder at den registrerede til hver en tid  kan tilbagekalde sit samtykke (§ 38), men det vil bero på en konkret vurdering, om oplysningerne skal slettes eller blot blokeres.

Men her går Viviane Reding et skridt videre med en præcisering af, at EU-borgeren ikke alene skal have en mulighed for, men en ret til at tilbagekalde et tidligere givet samtykke til databehandling. Bevisbyrden for at opbevaring af persondata er nødvendig, skal ligge hos den dataansvarlige. Redings talsmand Matthew Newman udtaler endda, “at der ikke må være den mindste flig af information tilbage på en server et eller andet sted. Det er dine data og de bør være væk for evigt.” { “there shouldn’t even be a ghost of your data left in some server somewhere. It’s your data and it should be gone for good.”} Neelie Kroes, EU-kommissær for den digital dagsorden har endvidere i en tale sidste år nuanceret begrebet ved at fremhæve, at det ikke kun er et spørgsmål om at slette data. “Ligesom i det virkelige liv kan man ikke gå ud fra, at der ikke eksisterer optegnelser over ens tidligere aktiviteter. Det der betyder noget er, at disse data uigenkaldeligt anonymiseres, før der gøres brug af dem.”

Ønsket om at blive glemt korresponderer med det synspunkt, at den digitale historik, som vi skaber online, både med vilje og nogle gange uforvarende, skal have lov til at forsvinde gennem en proces, der kaldes for datanedbrydning. Om sidstnævnte princip kan henvises til Data Degradation: Making Private Data Less Sensitive Over Time. Der vil være tale om en betragtelig mængde af elektroniske spor, som man aflægger på kryds og tværs på internettet.

Det er højst tvivlsomt om retten til at blive glemt vil blive en international standard og dermed et slagkraftigt princip uden videre. Eksempelvis garanterer som bekendt Den amerikanske forfatning ikke direkte privatlivets fred, selvom den amerikanske højesteret imidlertid i en række domme har slået fast, at andre garantier implicit sikrer privacy, som dog i visse tilfælde begrænses af den forfatningssikrede ytringsfrihed i First Amendment. Konceptet om “frihed til at observere” processer og data hyldes i udpræget grad ligesom det er en gængs amerikansk opfattelse, at “persondata er magt” og opfattes som en decideret vare (intellektuel rettighed).

I skærende modsætning hertil vil en europæisk debat om beskyttelse af privacy tage udgangspunkt i et menneskerettighedsmæssigt perspektiv, hvilket jeg personligt bifalder fuldt ud. Man kan ikke tale om kommerciel ejendomsret i forbindelse med privacy, fordi privacy er knyttet til det at være et menneske som sådan. Denne ret kan ikke fraviges eller overføres til andre (enten kommercielt eller af andre grunde). Man kan også udtrykke det således, at menneskerettighederne udgør og opretholder en persons personlige integritet og at privacy er en ret (værdi), som man bliver nødt til at beskytte, fordi privacy styrker tillid og tryghed blandt mennesker. Som udgangspunkt ejer man derfor selv sine personlige data. Om ejerskab og ophavsret til persondata kan i øvrigt henvises til Hvem “ejer” dine data?

Med dette tankesæt på plads giver det mening med princippet om retten til at blive glemt. Der er behov for at give forbrugeren flere universelle online-rettigheder og retten til at blive glemt er et perspektivrigt almengyldigt privacy by design-princip, såfremt det får retsvirkning i både den private som offentlige sektor. Men før dette princip kan realiseres er der imidlertid behov for at præcisere begrebet. I den forbindelse kan det overvejes at gøre princippet flerstrenget ved bl.a. at inkorporere det franske koncept. Endvidere er det væsentligt at gøre retten til at blive glemt operationelt som en såkaldt privatlivsfremmende teknologi i tilknytning til passende modeller for retshåndhævelse. Når data er lagt ud i offentlig domæne vi det være teknisk meget vanskeligt effektivt at indfange, eftersom data kan være tilgængelig på adskillige servere verden over. Dette problem synes at blive aktualiseret i yderligere grad i forbindelse med cloud computing, hvor det kan frygtes, at formidling og overlapning af personlige oplysninger vil medføre, at man aldrig rigtig kan være sikker på, at en udrensning vil hindre at data alligevel dukker op før eller siden. Hertil kommer, at princippets globale rækkevidde og dermed dets egentlige nyskabende værdi forudsætter en international implementering også uden for EU og det har efter alt at dømme lange udsigter.

EU-Kommissionen opstiller strategi til styrkelse af EU´s databeskyttelsesregler


At vi hver især kan kontrollere og få adgang til samt ændre eller slette vore egne personlige data er grundlæggende rettigheder, som skal garanteres i nutidens digitale verden. Brugergennemsigtighed eller oplysning om, hvad der sker med ens personlige data, hvordan det sker og hvem der forestår behandlingen, går naturligt hånd i hånd med brugerkontrol.

Med henblik på at løse disse problemer har EU-Kommissionen for nylig opstillet en strategi for hvordan den enkeltes personlige data kan beskyttes indenfor alle policy-områder, herunder retshåndhævelsen, og samtidig reducere erhvervslivets administrative byrder og garantere informationsfriheden i Europa. Denne revision af politikområdet vil blive anvendt af Kommissionen sammen med resultaterne af den offentlige høring af EU’s databeskyttelsesdirektiv fra 1995. Kommissionen vil derefter fremsætte forslag til lovgivning i 2011. Desuden vil Kommissionen undersøge andre foranstaltninger, såsom fremme af oplysningskampagner om databeskyttelsesrettigheder og mulige selvregulerende initiativer fra industrien (adfærdskodeks).

“Beskyttelsen af personoplysninger er en fundamental rettighed,” udtaler Viviane Reding, kommissær for retlige anliggender, grundlæggende rettigheder og EU-borgerskab. “For at garantere denne ret, har vi brug for klare og sammenhængende databeskyttelsesregler. Vi er også nødt til at bringe vore love ajour med de udfordringer, som er en følge af nye teknologier og globaliseringen.”

I pressemeddelelsen fremhæves 5 forslag til hvordan EU´s rammeværk for databeskyttelse kan moderniseres ved hjælp af nogle centrale målsætninger:

  • Styrkelse af de individuelle rettigheder (dataminimering, information og gennemsigtighed, brugersamtykke, “retten til at blive glemt”)
  • Styrkelse af EU´s indre marked (begrænsning af virksomhedernes administrative byrder, lige markedsvilkår)
  • Revision af databeskyttelsesreglerne i forhold til politisamarbejde og strafferet (sammenhængende regelsæt i henhold til Lissabontraktaten, datalogningsdirektivet)
  • Sikring af et højt beskyttelsesniveau for overførsel af persondata til lande uden for EU ( strømlining af procedurer og global standarder)
  • En mere effektiv retshåndhævelse (harmonisering af myndighedernes beføjelser, bedre samarbejde og koordinering i hele det indre marked)

Udmeldingen fra Kommissionen om en generel styrkelse af privacy er yderst prisværdig og den seneste i en perlerække af erklæringer, konferenceindlæg og rapporter udsendt respektive afgivet af ikke alene EU-Kommissionen og EU-Parlamentet, men også en række EU-organer, som f.eks. Den Europæiske Tilsynsførende for Databeskyttelse og WG-29 arbejdsgruppen samt Europarådet. Men man tør roligt sige, at det er en stor udfordring at få det hele til at gå op i en højere enhed.

Monique Goyens, generaldirektør for Den Europæiske Forbrugerorganisation, kendt under den franske forkortelse, BEUC udtaler i forbindelse med pressemeddelelsen følgende: “Kommissionen har plantet et flag der viser, at forbrugernes ret til privatlivets fred ikke bør undermineres blot fordi det er blevet nemmere og mere rentabelt at bryde den i den virtuelle verden”.

Derimod fastslår advokat Wim Nauwelaerts fra Hunton & Williams, Bruxelles, der besidder betydelig international ekspertise i privacy og databeskyttelse : “Det ser ud til, at Europa-Kommissionen ikke forventer en større revision af de eksisterende databeskyttelsesregler, men den har ret i behovet for en harmonisering”.

Bemærkningen skal tilsyneladende ses i lyset af, at Kommissionens meddelelse ikke er særlig konkret og bl.a. ikke allerede nu præciserer, hvorvidt internetvirksomheder skal have brugerens udtrykkelige tilladelse før de gør brug af eller deler vedkommendes personlige oplysninger.

Om der skal være et krav om tilvalg eller fravalg for forbrugeren af information og/eller onlinetjenester, der indebærer indsamling og behandling af personoplysninger, er et traditionelt kernestridspunkt i forholdet mellem privacy-fortalere på den ene side og internetvirksomheder på den anden side. Industrien gør gældende, at en regel om tilvalg af onlinereklamer vil hæmme udviklingen af tjenester, der tilpasser online-annoncering med webbrugerens personlige interesser, som afspejlet i de websteder han eller hun besøger eller de præferencer han eller hun giver udtryk for i sociale netværk og andre online fora. Ud fra et markedføringssmæssigt synspunkt kan det være med til at udvande en af internettets absolutte fordele i forhold til de gammelkendte reklamemedier. Det hævdes, at annoncører foretrækker et fravalg for forbrugeren, fordi denne option simpelt hen ikke forventes at ville blive benyttet. Sidstnævnte hænger uden tvivl sammen med, at forbrugerne i stort omgang ikke er klar over, at de bliver sporet.

Sikkert under indtryk af, at reklamebranchen er en af de brancher, der booster hurtigst efter finanskrisen og under indtryk af at for restriktive privacy-regler kan hæmme amerikanske virksomheders vækst og innovation, har FTC i følge en rapport fra 2009 godkendt en løsning baseret på en branchekodeks med en form for fremtrædende online advarsel og opt-out-valg til forbrugeren som tilstrækkelig indtil videre.

Det er ikke til at sige hvordan de europæiske regler på dette punkt i sidste ende vil blive, men mon ikke databeskyttelsen for den europæiske forbruger vil blive styrket og bedre i forhold til det amerikanske regelsæt. Når det er sagt, synes en almengyldig, obligatorisk og ufleksibel tilvalgsregel efter min opfattelse næppe at være gennemførlig simpelt hen fordi den vil være teknisk umulig at implementere og retshåndhæve effektivt. Meget kunne imidlertid tale for at det regelsæt for krav til tilvalg/fravalg, som den canadiske privacy kommissær generelt  har fastsat, er et udmærket udgangspunkt for et europæisk reglement, der vil kunne bestå af  dels retlige minimumskrav og dels selvregulerende brancheadfærdskodekser samt en forbrugermærkningsordning og anvendelse af privatlivsfremmende teknologier, tilpasset specielt til internettet.

Det er min klare opfattelse, at det i det lange løb vil tjene den seriøse del af reklamebranchen og internetvirksomhederne, herunder sociale netværkstjenester som Facebook, bedst at medvirke til at respektere privatsfæren og garantere forbrugeren en sikker og tryg oplevelse ved at gå på internettet og at anerkende en åben og ærlig kommunikation/introduktion af branchegodkendte privacyikoner over for potentielle kunder og brugere i stedet for at forsøge at “manipulere sig til” et salg af varer og tjenesteydelser, for nu at sige det lige ud.

Et andet emne, som synes at være i alles interesse er ens regler for databeskyttelse i hele EU. Mange forskellige fortolkninger af eksisterende lovgivning på tværs af EU-landene er til skade for det indre marked og hæmmer udviklingen af cloud computing-tjenester, hvor personoplysninger krydser nationale grænser.

At der er behov for et samlet regulatorisk rammeværk for privacy og databeskyttelse i Europa, der fastsætter klare regler for ansvar og forpligtelser, har i gennem længere tid været efterlyst af især globale virksomheder. Senest har Microsofts koncernchef Steve Ballmer fremsat bemærkninger herom under en rundbordssamtale ved Government Leaders Forum, en event sponsoreret af Microsoft og som fandt sted i London 4.11. 2010.

Sidst men ikke mindst er det værd at fremhæve strategimålsætningen med hensyn til en ny udformning af logningsdirektivet som den danske logningsbekendtgørelse hviler på. Det synes nærliggende at antage at persondatabeskyttelsen vil blive styrket med hensyn til f.eks. hvor og hvordan teledata opbevares, samtidig med at der sker en større EU-harmonisering, herunder hvor længe teledata skal opbevares.

Link til pressemeddelelsen her.

EU fastholder at privacy skal have høj prioritet


I forbindelse med den 5.  ministerielle eGovernment Konference 2009, som blev afviklet 18. november 2009 i Malmø, har Ministerrådet offentliggjort en erklæring om EUs eGovernment strategi frem til 2015. 

De ministerielle eGovernment konferencer bliver afholdt hvert andet år af EU Kommissionen og det skiftende EU formandskab. Målet er at overvåge fremskridt og identificere politiske og forskningsmæssige fremtidige prioriteringer.

I en pressemeddelelse i forbindelse med offentliggørelsen udtaler Mats Odell, svensk minister for lokalstyre og finansielle markeder og den der ledede mødet: “Vi ønsker at arbejde sammen om at styrke vores borgere og skabe en mere åben offentlig administration. Vi vil gøre det lettere for europæiske borgere og virksomheder at bevæge sig på tværs af grænserne. Det skal være nemt at studere i Stockholm, arbejde i London, gå på pension i Italien og at gøre brug af mulighederne i det indre marked. Samtidig vil vi skabe en enklere og grønnere administration.”

I dag føler mange, at der er en kløft mellem stat og befolkning. eGovernment kan bruges til at genskabe kontakten mellem borgerne og deres valgte politiske repræsentanter. Erklæringens ånd er, at eGovernment skal bruges til at åbne døren til den offentlige forvaltning på en ny og innovativ måde.

Det fremgår afslutningsvis af pressemeddelelsen, at EU-Kommissionen opfordres til at koordinere medlemsstaternes aktiviteter og organisere styringen af gennemførelsen gennem en særlig styringsgruppe, der mødes regelmæssigt for at foreslå tilpasninger af de prioriterede områder.

Erklæringen er værd at hæfte sig ved i relation til privacy, fordi  det udtrykkeligt understreges, at e-Government visionen skal understøttes af national og europæisk lovgivning om privacy og databeskyttelse (punkt 7).

For så vidt angår målet om at reducere de administrative byrder for borgere og virksomheder, fremhæves respekten for privacy og databeskyttelse som afgørende for en styrkelse af tillid og tryghed.  For at borgerne og virksomhederne vil benytte sig af services, der baserer sig på elektronisk udveksling af informationer, skal tillid og sikkerhed være en integreret del af denne service (punkt 17).

Man kunne egentlig have ønsket sig en selvstændig fremhævelse af privacy i erklæringen og måske nok en noget større implementering siden Manchester-erklæringen fra 2005, men efter omstændighederne er denne markering fra EU tilfredsstillende. Det bemærkes i den sammenhæng at privacy og databeskyttelse blev forbigået i den foregående erklæring, der blev udfærdiget i Lisabon i 2007. Der sendes et politisk signal, som vil befordre den stigende opmærksomhed om privacy og databeskyttelse på europæisk plan og som givetvis vil få indflydelse også på dansk lovgivning.

Man kan eksempelvis med god grund opfatte den spritnye justitsministerielle instruks til chefen for Politiets Efterretningstjeneste sammen med nye retningslinjer for Politiets Efterretningstjenstes behandling af personoplysninger mv.  som et initiativ med det formål at styrke retssikkerheden og skabe større åbenhed omkring behandlingen af personoplysninger. Ganske vist er der i det væsentligste tale om en formalisering af en allerede knæsat praksis, men den politiske markering bør efter min opfattelse ikke undervurderes som en indikation på at yderligere tiltag til styrkelse af privacy og databeskyttelse er på vej.

EU: forbrugeren skal sige ja til cookies


cookies

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata). Det er altså ikke nok som  hidtil blot at informere om brugen af cookies herunder at et fravalg er muligt.

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

Mange vil måske mene, at en regulering af brugen af cookies er unødvendig og hæmmende for den digitale økonomiske og samfundsmæssige udvikling. Jeg er ikke enig.  De grundlæggende principper for privacy bør fastholdes. Det må være i alles interesse, at der sikres et reelt forbrugervalg og at der er åbenhed om virksomhedernes forretningsmodeller, for mindre gennemsigtighed øger risikoen for kontrol og det kan ikke accepteres i et demokrat. Økonomisk vækst, der befordrer, at forbrugere fristes over evne eller af forlokkende tilbud er ikke at foretrække. Men der er faktisk mere på spil. Efter min opfattelse vil en uhæmmet brug af cookies og andre digitale mekanismer være med til faktisk at hæmme den økonomiske udvikling, fordi der er risko for en indsnævring af den fri konkurrence gennem dannelse af digitale  monopoler og andre markedsbekrænsende arrangementer.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg og -kontrol synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det vanskeligere at bruge hjemmesider i fremtiden og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

EU-Rådet godkender notifikationspligt ved databrud


eulogo

På  et rådsmåde d. 26. oktober 2009 er det nu, blandt andre emner,  vedtaget at indføre en pligt til at offentliggøre brud på persondatasikkerheden.

Teknisk set er der tale om at styrke og forbedre forbrugerbeskyttel-sen i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation), som hidtil er blevet implementeret i dansk lov ved lov nr. 450 af 10. juni 2003 om konkurrence og forbrugerforhold på telemarkedet.

I den af EU-Rådet og Europa-Parlamentets fælles begrundelse for ændring af det oprindelige dirketiv slås det fast, “at det er nødvendigt at sikre, at der tilbydes forbrugerne og brugerne den samme beskyttelse af privacy og personoplysninger, uanset hvilken teknologi der anvendes til at levere en bestemt tjeneste.”

Herefter nævnes det, “at de kompetente nationale myndigheder bør fremme borgernes interesser og bl.a. bidrage til at sikre et højt niveau for beskyttelse af personoplysninger og privatlivets fred. Derfor bør de nationale myndigheder have de nødvendige midler til at udføre deres opgaver, herunder tilstrækkelige og pålidelige data om sikkerhedshændelser, der har bragt personlige oplysninger i fare. De bør overvåge serviceudbydernes foranstaltninger og udbrede best practice for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester. Udbyderne (ISP’ere) skal derfor registrere brud på datasikkerheden med henblik på en yderligere analyse og evaluering af myndighederne.

Fællesskabsretten [persondataloven i Danmark] pålægger den registeransvarlige pligter for behandling af personoplysninger, herunder en forpligtelse til at iværksætte fornøden teknisk og organisatorisk beskyttelse mod for eksempel tab af data. De krav til anmeldelse af databrud, som er indeholdt i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation) strukturerer hvorledes myndighederne og berørte personer skal underrettes, når  persondata er blevet kompromitteret.

Underretningspligten er begrænset til databrud for så vidt angår den elektroniske kommunikationssektor. Men underretning af sikkerhedsbrud afspejler borgernes generelle interesse i at blive informeret om sikkerhedssvigt, som kan resultere i at deres personlige data går tabt eller på anden måde kompromitteres, samt af de forholdsregler, der er eller bør være til rådighed med henblik på at minimere et muligt økonomisk eller socialt tab, der kunne være en følge af disse fejl.

Brugernes interesse i at blive underrettet er klart ikke begrænset til den elektroniske kommunikationssektor og derfor bør der eksplicit gælde et obligatorisk krav om notifikationanmeldelse for alle sektorer og bør derfor gennemføres som en prioritet på EU-niveau. Derfor bør Kommissionen i samråd med den Europæiske Tilsynsførende for Databeskyttelse, tage passende skridt til straks at tilskynde hele Fællesskabet til at anvende principperne om underretning af databrud som reguleret i direktiv 2002/58/EF, uanset hvilken sektor eller den type oplysninger der er tale om.

Et databrud kan, hvis det ikke adresseres rettidigt og på en hensigtsmæssig måde, resultere i store økonomiske tab og social skade, herunder identitetstyveri for den berørte person. Derfor skal internetserviceudbyderen, lige så snart han er blevet klar over, at et sådant brud har fundet sted, underrette dette til den relevante nationale myndighed. De personer hvis data og privacy kan blive berørt af bruddet, skal straks underrettes med henblik på at give dem mulighed for at træffe de nødvendige forholdsregler. Et brud skal betragtes som at have en negativ indvirkning på en persons data eller privacy, såfremt det kan resultere i f.eks. identitetstyveri, fysisk skade, ydmygelse eller tilsværtning af omdømme i forbindelse med brugen af kommunikationstjenesten. Notifikationen skal indeholde oplysninger om de foranstaltninger, som udbyderen har truffet for at håndtere bruddet, samt anbefalinger til den berørte person.”

Det fremhæves envidere “at myndigheder og domstole i medlemsstaterne ikke kun bør fortolke den nationale lovgivning i overensstemmelse med selve direktivet, men også sikre, at fortolkningen ikke strider mod de fundamentale frihedsrettigheder eller generelle fællesskabsretlige principper, såsom proportionalitetsprincippet.”

Rådets beslutning om indførelse af et krav om underretning ved databrud har været ventet et stykke tid efter at der først var opstået uenighed mellem Europa-Parlamentet og EU-Kommissionen om direktivets rette udformning. Processen er endvidere blevet fremskyndet på baggrund af en lang række aktuelle sager om databrud, som mere eller mindre tilfældigt er kommet til offentlighedens kendskab.

Der er imidlertid ikke i første omgang tale om et generelt krav, som mange ellers havde håbet på, og den omstændighed at f.eks. e-banking og online shopping ikke er omfattet, vil begrænse konsekvenserne af påkravet betydeligt. Men det er værd at bemærke, at den førnævnte hensigtserklæring om at arbejde for en mere generel notifikationspligt givetvis vil bane vejen for en mere omfattende regulering på sigt og dermed en strammere databeskyttelse i EU.   

Derudover henstår der stadig en udmyntning af principperne i konkret lovgivning. Der kan allerede nu rejses spørgsmål om hvorledes et databrud skal defineres, hvem og hvorledes der skal gives underretning osv.  Hvornår reglerne vil få virkning i Danmark er det svært at udtale sig om i dag,men det er højst tænkeligt at en endelig lovgivning vil afvente EU-Kommissionens policy-udspil i 2010 om at styrke internet- og informationssikkerheden, som sandsynligvis også vil omfatte en udvidet notifikationspligt ved databrud.

Der er tale om et første og vigtigt skridt, som fortalere for privacy vil anerkende. Der har imidlertid været udtrykt betænkeligheder fra industrien, som anser kravet som  bureaukratisk og fordyrende.

Om de relevante bevæggrunde for indførelse af en notifikationspligt ved databrud kan i det store og hele henvises til  Rådet for Større IT-Sikkerheds brev 25. maj 2009 til videnskabsminister Helge Sander.  Download direktivforslaget her.