EU fastholder at privacy skal have høj prioritet


I forbindelse med den 5.  ministerielle eGovernment Konference 2009, som blev afviklet 18. november 2009 i Malmø, har Ministerrådet offentliggjort en erklæring om EUs eGovernment strategi frem til 2015. 

De ministerielle eGovernment konferencer bliver afholdt hvert andet år af EU Kommissionen og det skiftende EU formandskab. Målet er at overvåge fremskridt og identificere politiske og forskningsmæssige fremtidige prioriteringer.

I en pressemeddelelse i forbindelse med offentliggørelsen udtaler Mats Odell, svensk minister for lokalstyre og finansielle markeder og den der ledede mødet: “Vi ønsker at arbejde sammen om at styrke vores borgere og skabe en mere åben offentlig administration. Vi vil gøre det lettere for europæiske borgere og virksomheder at bevæge sig på tværs af grænserne. Det skal være nemt at studere i Stockholm, arbejde i London, gå på pension i Italien og at gøre brug af mulighederne i det indre marked. Samtidig vil vi skabe en enklere og grønnere administration.”

I dag føler mange, at der er en kløft mellem stat og befolkning. eGovernment kan bruges til at genskabe kontakten mellem borgerne og deres valgte politiske repræsentanter. Erklæringens ånd er, at eGovernment skal bruges til at åbne døren til den offentlige forvaltning på en ny og innovativ måde.

Det fremgår afslutningsvis af pressemeddelelsen, at EU-Kommissionen opfordres til at koordinere medlemsstaternes aktiviteter og organisere styringen af gennemførelsen gennem en særlig styringsgruppe, der mødes regelmæssigt for at foreslå tilpasninger af de prioriterede områder.

Erklæringen er værd at hæfte sig ved i relation til privacy, fordi  det udtrykkeligt understreges, at e-Government visionen skal understøttes af national og europæisk lovgivning om privacy og databeskyttelse (punkt 7).

For så vidt angår målet om at reducere de administrative byrder for borgere og virksomheder, fremhæves respekten for privacy og databeskyttelse som afgørende for en styrkelse af tillid og tryghed.  For at borgerne og virksomhederne vil benytte sig af services, der baserer sig på elektronisk udveksling af informationer, skal tillid og sikkerhed være en integreret del af denne service (punkt 17).

Man kunne egentlig have ønsket sig en selvstændig fremhævelse af privacy i erklæringen og måske nok en noget større implementering siden Manchester-erklæringen fra 2005, men efter omstændighederne er denne markering fra EU tilfredsstillende. Det bemærkes i den sammenhæng at privacy og databeskyttelse blev forbigået i den foregående erklæring, der blev udfærdiget i Lisabon i 2007. Der sendes et politisk signal, som vil befordre den stigende opmærksomhed om privacy og databeskyttelse på europæisk plan og som givetvis vil få indflydelse også på dansk lovgivning.

Man kan eksempelvis med god grund opfatte den spritnye justitsministerielle instruks til chefen for Politiets Efterretningstjeneste sammen med nye retningslinjer for Politiets Efterretningstjenstes behandling af personoplysninger mv.  som et initiativ med det formål at styrke retssikkerheden og skabe større åbenhed omkring behandlingen af personoplysninger. Ganske vist er der i det væsentligste tale om en formalisering af en allerede knæsat praksis, men den politiske markering bør efter min opfattelse ikke undervurderes som en indikation på at yderligere tiltag til styrkelse af privacy og databeskyttelse er på vej.

Reklamer

EU: forbrugeren skal sige ja til cookies


cookies

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata). Det er altså ikke nok som  hidtil blot at informere om brugen af cookies herunder at et fravalg er muligt.

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

Mange vil måske mene, at en regulering af brugen af cookies er unødvendig og hæmmende for den digitale økonomiske og samfundsmæssige udvikling. Jeg er ikke enig.  De grundlæggende principper for privacy bør fastholdes. Det må være i alles interesse, at der sikres et reelt forbrugervalg og at der er åbenhed om virksomhedernes forretningsmodeller, for mindre gennemsigtighed øger risikoen for kontrol og det kan ikke accepteres i et demokrat. Økonomisk vækst, der befordrer, at forbrugere fristes over evne eller af forlokkende tilbud er ikke at foretrække. Men der er faktisk mere på spil. Efter min opfattelse vil en uhæmmet brug af cookies og andre digitale mekanismer være med til faktisk at hæmme den økonomiske udvikling, fordi der er risko for en indsnævring af den fri konkurrence gennem dannelse af digitale  monopoler og andre markedsbekrænsende arrangementer.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg og -kontrol synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det vanskeligere at bruge hjemmesider i fremtiden og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

EU-Rådet godkender notifikationspligt ved databrud


eulogo

På  et rådsmåde d. 26. oktober 2009 er det nu, blandt andre emner,  vedtaget at indføre en pligt til at offentliggøre brud på persondatasikkerheden.

Teknisk set er der tale om at styrke og forbedre forbrugerbeskyttel-sen i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation), som hidtil er blevet implementeret i dansk lov ved lov nr. 450 af 10. juni 2003 om konkurrence og forbrugerforhold på telemarkedet.

I den af EU-Rådet og Europa-Parlamentets fælles begrundelse for ændring af det oprindelige dirketiv slås det fast, “at det er nødvendigt at sikre, at der tilbydes forbrugerne og brugerne den samme beskyttelse af privacy og personoplysninger, uanset hvilken teknologi der anvendes til at levere en bestemt tjeneste.”

Herefter nævnes det, “at de kompetente nationale myndigheder bør fremme borgernes interesser og bl.a. bidrage til at sikre et højt niveau for beskyttelse af personoplysninger og privatlivets fred. Derfor bør de nationale myndigheder have de nødvendige midler til at udføre deres opgaver, herunder tilstrækkelige og pålidelige data om sikkerhedshændelser, der har bragt personlige oplysninger i fare. De bør overvåge serviceudbydernes foranstaltninger og udbrede best practice for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester. Udbyderne (ISP’ere) skal derfor registrere brud på datasikkerheden med henblik på en yderligere analyse og evaluering af myndighederne.

Fællesskabsretten [persondataloven i Danmark] pålægger den registeransvarlige pligter for behandling af personoplysninger, herunder en forpligtelse til at iværksætte fornøden teknisk og organisatorisk beskyttelse mod for eksempel tab af data. De krav til anmeldelse af databrud, som er indeholdt i direktiv 2002/58/EF (direktiv om privatlivets fred og elektronisk kommunikation) strukturerer hvorledes myndighederne og berørte personer skal underrettes, når  persondata er blevet kompromitteret.

Underretningspligten er begrænset til databrud for så vidt angår den elektroniske kommunikationssektor. Men underretning af sikkerhedsbrud afspejler borgernes generelle interesse i at blive informeret om sikkerhedssvigt, som kan resultere i at deres personlige data går tabt eller på anden måde kompromitteres, samt af de forholdsregler, der er eller bør være til rådighed med henblik på at minimere et muligt økonomisk eller socialt tab, der kunne være en følge af disse fejl.

Brugernes interesse i at blive underrettet er klart ikke begrænset til den elektroniske kommunikationssektor og derfor bør der eksplicit gælde et obligatorisk krav om notifikationanmeldelse for alle sektorer og bør derfor gennemføres som en prioritet på EU-niveau. Derfor bør Kommissionen i samråd med den Europæiske Tilsynsførende for Databeskyttelse, tage passende skridt til straks at tilskynde hele Fællesskabet til at anvende principperne om underretning af databrud som reguleret i direktiv 2002/58/EF, uanset hvilken sektor eller den type oplysninger der er tale om.

Et databrud kan, hvis det ikke adresseres rettidigt og på en hensigtsmæssig måde, resultere i store økonomiske tab og social skade, herunder identitetstyveri for den berørte person. Derfor skal internetserviceudbyderen, lige så snart han er blevet klar over, at et sådant brud har fundet sted, underrette dette til den relevante nationale myndighed. De personer hvis data og privacy kan blive berørt af bruddet, skal straks underrettes med henblik på at give dem mulighed for at træffe de nødvendige forholdsregler. Et brud skal betragtes som at have en negativ indvirkning på en persons data eller privacy, såfremt det kan resultere i f.eks. identitetstyveri, fysisk skade, ydmygelse eller tilsværtning af omdømme i forbindelse med brugen af kommunikationstjenesten. Notifikationen skal indeholde oplysninger om de foranstaltninger, som udbyderen har truffet for at håndtere bruddet, samt anbefalinger til den berørte person.”

Det fremhæves envidere “at myndigheder og domstole i medlemsstaterne ikke kun bør fortolke den nationale lovgivning i overensstemmelse med selve direktivet, men også sikre, at fortolkningen ikke strider mod de fundamentale frihedsrettigheder eller generelle fællesskabsretlige principper, såsom proportionalitetsprincippet.”

Rådets beslutning om indførelse af et krav om underretning ved databrud har været ventet et stykke tid efter at der først var opstået uenighed mellem Europa-Parlamentet og EU-Kommissionen om direktivets rette udformning. Processen er endvidere blevet fremskyndet på baggrund af en lang række aktuelle sager om databrud, som mere eller mindre tilfældigt er kommet til offentlighedens kendskab.

Der er imidlertid ikke i første omgang tale om et generelt krav, som mange ellers havde håbet på, og den omstændighed at f.eks. e-banking og online shopping ikke er omfattet, vil begrænse konsekvenserne af påkravet betydeligt. Men det er værd at bemærke, at den førnævnte hensigtserklæring om at arbejde for en mere generel notifikationspligt givetvis vil bane vejen for en mere omfattende regulering på sigt og dermed en strammere databeskyttelse i EU.   

Derudover henstår der stadig en udmyntning af principperne i konkret lovgivning. Der kan allerede nu rejses spørgsmål om hvorledes et databrud skal defineres, hvem og hvorledes der skal gives underretning osv.  Hvornår reglerne vil få virkning i Danmark er det svært at udtale sig om i dag,men det er højst tænkeligt at en endelig lovgivning vil afvente EU-Kommissionens policy-udspil i 2010 om at styrke internet- og informationssikkerheden, som sandsynligvis også vil omfatte en udvidet notifikationspligt ved databrud.

Der er tale om et første og vigtigt skridt, som fortalere for privacy vil anerkende. Der har imidlertid været udtrykt betænkeligheder fra industrien, som anser kravet som  bureaukratisk og fordyrende.

Om de relevante bevæggrunde for indførelse af en notifikationspligt ved databrud kan i det store og hele henvises til  Rådet for Større IT-Sikkerheds brev 25. maj 2009 til videnskabsminister Helge Sander.  Download direktivforslaget her.