Er adfærdskodeks vejen frem til beskyttelse af privatlivets fred ?


I den løbende debat om regelsættet for persondata- og privacybeskyttelsen er et af stridspunkterne, hvorvidt selvregulering i modsætning til offentlig regulering mere eller mindre kan træde i stedet for egentlig lovregulering.

Det essentielle ved selvregulering er, at den regulerende og de regulerede er en og samme organisation og at de regler der styrer organisationens adfærd er vedtaget frivilligt. Senest er spørgsmålet om detail-udmøntning ved selvregulering (eller udarbejdelse af adfærdskodeks) blevet aktuelt i forbindelse med cookie-direktivet og det danske udkast til bekendtgørelse, der træder i kraft 25. maj 2011. I sin kerne udvider bekendtgørelsen begrebet privatsfære udover hvad der følger af den gældende persondatalov. Af andre tiltag i IT-branchen i de senere år kan i øvrigt henvises til branchekodeks om håndtering af ulovlig adfærd på internettet, jfr. IT- og Telestyrelsens rapport fra september 2005 og branchekodeks fra IT-Brancheforeningen og Telekommunikationsindustrien i Danmark.

Selvregulering (sædvaner, kutymer, adfærdskodeks og uformel ret) eller decentral retsdannelse er et kendetegn for velfærdsstatens regulering i nyere tid og spiller en stor og tilsyneladende større og større rolle i forhold til Folketinget. Vi ser også denne udvikling afspejlet ved den øgede indflydelse som Menneskerettighedsdomstolen i Strasbourg og EF-domstolen i Luxemborg har opnået i de seneste årtier. Det påpeges fra flere sider, at nationalstatens rolle som ramme for og udsteder af reguleringen er under forandring og at det ikke længere kun er jurister, som vedtager hvad der skal være lov og ret i samfundet.

Man kan med rette stille det spørgsmål om brancheinitiativer til selvregulering blot er staffage for at tækkes offentligheden og undgå offentlig regulering eller om baren faktisk sættes tilstrækkelig højt og i realiteten opfylder lovgivers krav og samfundets forventninger ?

Svaret afhænger naturligvis af en konkret vurdering.

For så vidt angår “cookie-loven” er der ikke nogen tvivl om, at branchen har lobbyet EU-Kommissionen med det formål at undgå en omfattende offentlig regulering, men EU-Kommissionen har også klart og utvetydigt tilkendegivet, at såfremt branchen ikke ved selvregulering lever op til intentionerne i direktivet, så vil EU-Kommissionen ikke tøve med en efterfølgende yderligere regulering. Denne trussel vil uden tvivl medvirke til at fremme innovationer indenfor privatlivsfremmende teknologier og services.

For en selvregulering i alt fald i første omgang taler følgende:

  • høj kvalitet og innovation i de teknologiske løsninger forudsætter en viden, som branchen og ikke myndighederne ligger inde med
  • omkostninger til formidling og gennmførelse samt monitorering er mindre ved selvregulering
  • usikkerhed ved en offentlig regulerings indvirkning især på et marked, der skifter hurtigt og som ikke tidligere har været reguleret
  • Selvreguleringsarrangementer er mindre rigide og kan hurtigere tilpasses markedsændringer, ny teknologi og forbrugernes krav og ønsker

På minussiden for en selvregulering kan anføres:

  • der synes at være en stor uoverensstemmelse mellem leverandørernes og forbrugernes interesser
  • der er tale om en situation med asymmetrisk information mellem leverandør og forbruger med hensyn til de kvalitative og adækvate løsninger
  • monitorering og retshåndhævelse er mindre effektiv
  • risiko for konkurrenceforvridning

Disse negative aspekter af selvregulering kan imidlertid helt eller delvist elimineres ved, at

  • selvreguleringen skal overholde det rammeværk, som fremgår af direktivet og eventuelt supplerende administrativt fastsatte bestemmelser
  • informations- og gennemsigtighedsniveaet skal være meget højt
  • forbrugeren sikres reel indflydelse på regelsættets udformning, herunder at der etableres et forbrugerankenævn
  • de teknologiske løsninger skal understøtte regelsættets krav samt overholdelsen af disse krav (kontrol af compliance)
  • en kodeks omfatter den overvejende del af branchens udbydere

Det første punkt synes at være eller undervejs til at blive opfyldt, mens de fire andre punkter endnu for tiden er uafklaret.

Det siger sig selv at en adfærdskodeks bør baseres på de grundlæggende principper i persondataloven og virksomhedernes samfundsansvar (CSR) samt garantere et højt troværdighedsniveau og forbrugertillid. Selvreguleringens effektivitet og gennemslagskraft vil forudsætte at et af branchen nedsat permanent dialogforum og forbrugerankenævn har en bred repræsentation og at den selvregulerende mekanisme nøje tilgodeser brugernes behov samt er åben overfor alle relevante aktører.

Der findes ingen reel sikkerhed eller privatlivsbeskyttelse og dermed ingen mirakelkur. Det centrale vil altid være kontinuerligt at identificere, vurdere, begrænse og håndtere bestemte privacy-risici, jfr. definitionen af privacy-begrebet. Netop derfor vil – efter min personlige opfattelse – selve processen med inddragelse af relevante interessenter være et imperativ for “bæredygtige” løsninger, fordi den er lige så værdifuld som selve resultatet.

Der er ikke nogen grund til at skjule at der indholdsmæssigt er meget på spil for branchen i og med at de såkaldte cookies er en meget vigtig bestanddel af mediebranchens internetomsætning. Det vil nok ikke være forkert at hævde, at branchen ikke har ønsket nogen regulering overhovedet, for selve målet med en regulering er at få folk til at gøre noget andet, end de ellers ville have gjort. Efter at udkast til bekendtgørelse er offentliggjort har debatten herefter for det meste kredset omkring fortolkningen af “et informeret samtykke” og om en eller anden form for proaktiv handling fra brugerens side er nødvendig, se f.eks. Cookies og regler: Er et klik nødvendigt?. Man kan ikke betænke branchen i, at arbejde for, at status quo bevares så meget som muligt og at regelsættet bliver så lidt indgribende i branchens virke som muligt. Der er imidlertid nok ikke nogen tvivl om, at et forudgående udtrykkeligt samtykke af forbrugeren vil være en betingelse. Hvilken form dette samtykke skal have samt hvor mange gange dette samtykke skal gives og i hvor lang tid og i hvilken sammenhæng et samtykke er gældende er et andet spørgsmål, der i høj grad er betinget af tekniske og praktiske omstændigheder. Det står givetvis klart for alle, at balancegangen mellem hvad der er strengt nødvendigt for at opfylde bekendtgørelsens bestemmelser og hvad der kan lade sig gøre i praksis er “cookie-loven”s ganske særlige udfordring.

Det skal blive spændende at se, hvorledes branchen formår at leve op til sit sociale og etiske ansvar og evner at vise at den godt kan selv og ikke mindst er i stand til at sikre disciplin og selvjustits blandt de tilsluttede virksomheder til gavn for forbrugerne. Et første skridt på europæisk plan er taget med IAB Europe´s udgivelse af retningslinjer for en mærkningsordning for online-annoncører, der bl.a. bakkes op af FDIM.

Reklamer

Er “retten til at blive glemt” det nye privacy mantra ?


I forbindelse med den igangværende revision af EU´s persondatadirektiv, der har udviklet sig til en lidt langstrakt affære, er der allerede kommet en række udmeldinger fra EU-Kommissionen, der indikerer en række stramninger af det fremtidige direktiv.

Således har Viviane Reding, EU’s kommissær for retlige anliggender, på en nylig afholdt konference i Brussels med en henvisning til Den Europæiske Unions charter om grundlæggende rettigheder slået fast, at EU-borgerens privacy-rettigheder skal bygge på fire piller:

  1. “retten til at blive glemt”
  2. “gennemsigtighed”
  3. “privacy som standardinstilling”
  4. “beskyttelse uanset hvor data er placeret”

Det er princippet om “retten til at blive glemt” (the “Right To Be Forgotten”), som der vil blive set lidt nærmere på her. For god ordens skyld skal det understreges at princippet  ikke udelukkende er møntet på persondata, som defineret i persondatadirektivet og som allerede statuerer en lang række rettigheder til beskyttelse af enkeltpersoners personlige oplysninger.

Retten til at blive glemt er oprindelig en fransk idè, og kan konstrueres på to måder. Den ene har sammenhæng med, at der i fransk lov er et forbud mod ubestemt lagring af persondata, således at den dataansvarlige skal fastsætte en datalagringsperiode, der er forenelig med formålet. Retten til at blive glemt relaterer sig til de yderst sjældne tilfælde, hvor det er nødvendigt at slette persondata. Den anden betydning vedrører retten til berigtigelse og indsigelse. Disse to rettigheder pålægger den dataansvarlige at slette data i de tilfælde, hvor de er ukorrekte, forældede eller hvor dataindsamling slet og ret er forbudt. Det er således ud fra den oprindelige forståelse af begrebet en misforståelse, at man til hver en tid kan kræve, at den dataansvarlige skal slette vedkommendes persondata.

Disse rettigheder følger dog  allerede af den danske persondatalov, herunder at den registrerede til hver en tid  kan tilbagekalde sit samtykke (§ 38), men det vil bero på en konkret vurdering, om oplysningerne skal slettes eller blot blokeres.

Men her går Viviane Reding et skridt videre med en præcisering af, at EU-borgeren ikke alene skal have en mulighed for, men en ret til at tilbagekalde et tidligere givet samtykke til databehandling. Bevisbyrden for at opbevaring af persondata er nødvendig, skal ligge hos den dataansvarlige. Redings talsmand Matthew Newman udtaler endda, “at der ikke må være den mindste flig af information tilbage på en server et eller andet sted. Det er dine data og de bør være væk for evigt.” { “there shouldn’t even be a ghost of your data left in some server somewhere. It’s your data and it should be gone for good.”} Neelie Kroes, EU-kommissær for den digital dagsorden har endvidere i en tale sidste år nuanceret begrebet ved at fremhæve, at det ikke kun er et spørgsmål om at slette data. “Ligesom i det virkelige liv kan man ikke gå ud fra, at der ikke eksisterer optegnelser over ens tidligere aktiviteter. Det der betyder noget er, at disse data uigenkaldeligt anonymiseres, før der gøres brug af dem.”

Ønsket om at blive glemt korresponderer med det synspunkt, at den digitale historik, som vi skaber online, både med vilje og nogle gange uforvarende, skal have lov til at forsvinde gennem en proces, der kaldes for datanedbrydning. Om sidstnævnte princip kan henvises til Data Degradation: Making Private Data Less Sensitive Over Time. Der vil være tale om en betragtelig mængde af elektroniske spor, som man aflægger på kryds og tværs på internettet.

Det er højst tvivlsomt om retten til at blive glemt vil blive en international standard og dermed et slagkraftigt princip uden videre. Eksempelvis garanterer som bekendt Den amerikanske forfatning ikke direkte privatlivets fred, selvom den amerikanske højesteret imidlertid i en række domme har slået fast, at andre garantier implicit sikrer privacy, som dog i visse tilfælde begrænses af den forfatningssikrede ytringsfrihed i First Amendment. Konceptet om “frihed til at observere” processer og data hyldes i udpræget grad ligesom det er en gængs amerikansk opfattelse, at “persondata er magt” og opfattes som en decideret vare (intellektuel rettighed).

I skærende modsætning hertil vil en europæisk debat om beskyttelse af privacy tage udgangspunkt i et menneskerettighedsmæssigt perspektiv, hvilket jeg personligt bifalder fuldt ud. Man kan ikke tale om kommerciel ejendomsret i forbindelse med privacy, fordi privacy er knyttet til det at være et menneske som sådan. Denne ret kan ikke fraviges eller overføres til andre (enten kommercielt eller af andre grunde). Man kan også udtrykke det således, at menneskerettighederne udgør og opretholder en persons personlige integritet og at privacy er en ret (værdi), som man bliver nødt til at beskytte, fordi privacy styrker tillid og tryghed blandt mennesker. Som udgangspunkt ejer man derfor selv sine personlige data. Om ejerskab og ophavsret til persondata kan i øvrigt henvises til Hvem “ejer” dine data?

Med dette tankesæt på plads giver det mening med princippet om retten til at blive glemt. Der er behov for at give forbrugeren flere universelle online-rettigheder og retten til at blive glemt er et perspektivrigt almengyldigt privacy by design-princip, såfremt det får retsvirkning i både den private som offentlige sektor. Men før dette princip kan realiseres er der imidlertid behov for at præcisere begrebet. I den forbindelse kan det overvejes at gøre princippet flerstrenget ved bl.a. at inkorporere det franske koncept. Endvidere er det væsentligt at gøre retten til at blive glemt operationelt som en såkaldt privatlivsfremmende teknologi i tilknytning til passende modeller for retshåndhævelse. Når data er lagt ud i offentlig domæne vi det være teknisk meget vanskeligt effektivt at indfange, eftersom data kan være tilgængelig på adskillige servere verden over. Dette problem synes at blive aktualiseret i yderligere grad i forbindelse med cloud computing, hvor det kan frygtes, at formidling og overlapning af personlige oplysninger vil medføre, at man aldrig rigtig kan være sikker på, at en udrensning vil hindre at data alligevel dukker op før eller siden. Hertil kommer, at princippets globale rækkevidde og dermed dets egentlige nyskabende værdi forudsætter en international implementering også uden for EU og det har efter alt at dømme lange udsigter.

EU-Kommissionen opstiller strategi til styrkelse af EU´s databeskyttelsesregler


At vi hver især kan kontrollere og få adgang til samt ændre eller slette vore egne personlige data er grundlæggende rettigheder, som skal garanteres i nutidens digitale verden. Brugergennemsigtighed eller oplysning om, hvad der sker med ens personlige data, hvordan det sker og hvem der forestår behandlingen, går naturligt hånd i hånd med brugerkontrol.

Med henblik på at løse disse problemer har EU-Kommissionen for nylig opstillet en strategi for hvordan den enkeltes personlige data kan beskyttes indenfor alle policy-områder, herunder retshåndhævelsen, og samtidig reducere erhvervslivets administrative byrder og garantere informationsfriheden i Europa. Denne revision af politikområdet vil blive anvendt af Kommissionen sammen med resultaterne af den offentlige høring af EU’s databeskyttelsesdirektiv fra 1995. Kommissionen vil derefter fremsætte forslag til lovgivning i 2011. Desuden vil Kommissionen undersøge andre foranstaltninger, såsom fremme af oplysningskampagner om databeskyttelsesrettigheder og mulige selvregulerende initiativer fra industrien (adfærdskodeks).

“Beskyttelsen af personoplysninger er en fundamental rettighed,” udtaler Viviane Reding, kommissær for retlige anliggender, grundlæggende rettigheder og EU-borgerskab. “For at garantere denne ret, har vi brug for klare og sammenhængende databeskyttelsesregler. Vi er også nødt til at bringe vore love ajour med de udfordringer, som er en følge af nye teknologier og globaliseringen.”

I pressemeddelelsen fremhæves 5 forslag til hvordan EU´s rammeværk for databeskyttelse kan moderniseres ved hjælp af nogle centrale målsætninger:

  • Styrkelse af de individuelle rettigheder (dataminimering, information og gennemsigtighed, brugersamtykke, “retten til at blive glemt”)
  • Styrkelse af EU´s indre marked (begrænsning af virksomhedernes administrative byrder, lige markedsvilkår)
  • Revision af databeskyttelsesreglerne i forhold til politisamarbejde og strafferet (sammenhængende regelsæt i henhold til Lissabontraktaten, datalogningsdirektivet)
  • Sikring af et højt beskyttelsesniveau for overførsel af persondata til lande uden for EU ( strømlining af procedurer og global standarder)
  • En mere effektiv retshåndhævelse (harmonisering af myndighedernes beføjelser, bedre samarbejde og koordinering i hele det indre marked)

Udmeldingen fra Kommissionen om en generel styrkelse af privacy er yderst prisværdig og den seneste i en perlerække af erklæringer, konferenceindlæg og rapporter udsendt respektive afgivet af ikke alene EU-Kommissionen og EU-Parlamentet, men også en række EU-organer, som f.eks. Den Europæiske Tilsynsførende for Databeskyttelse og WG-29 arbejdsgruppen samt Europarådet. Men man tør roligt sige, at det er en stor udfordring at få det hele til at gå op i en højere enhed.

Monique Goyens, generaldirektør for Den Europæiske Forbrugerorganisation, kendt under den franske forkortelse, BEUC udtaler i forbindelse med pressemeddelelsen følgende: “Kommissionen har plantet et flag der viser, at forbrugernes ret til privatlivets fred ikke bør undermineres blot fordi det er blevet nemmere og mere rentabelt at bryde den i den virtuelle verden”.

Derimod fastslår advokat Wim Nauwelaerts fra Hunton & Williams, Bruxelles, der besidder betydelig international ekspertise i privacy og databeskyttelse : “Det ser ud til, at Europa-Kommissionen ikke forventer en større revision af de eksisterende databeskyttelsesregler, men den har ret i behovet for en harmonisering”.

Bemærkningen skal tilsyneladende ses i lyset af, at Kommissionens meddelelse ikke er særlig konkret og bl.a. ikke allerede nu præciserer, hvorvidt internetvirksomheder skal have brugerens udtrykkelige tilladelse før de gør brug af eller deler vedkommendes personlige oplysninger.

Om der skal være et krav om tilvalg eller fravalg for forbrugeren af information og/eller onlinetjenester, der indebærer indsamling og behandling af personoplysninger, er et traditionelt kernestridspunkt i forholdet mellem privacy-fortalere på den ene side og internetvirksomheder på den anden side. Industrien gør gældende, at en regel om tilvalg af onlinereklamer vil hæmme udviklingen af tjenester, der tilpasser online-annoncering med webbrugerens personlige interesser, som afspejlet i de websteder han eller hun besøger eller de præferencer han eller hun giver udtryk for i sociale netværk og andre online fora. Ud fra et markedføringssmæssigt synspunkt kan det være med til at udvande en af internettets absolutte fordele i forhold til de gammelkendte reklamemedier. Det hævdes, at annoncører foretrækker et fravalg for forbrugeren, fordi denne option simpelt hen ikke forventes at ville blive benyttet. Sidstnævnte hænger uden tvivl sammen med, at forbrugerne i stort omgang ikke er klar over, at de bliver sporet.

Sikkert under indtryk af, at reklamebranchen er en af de brancher, der booster hurtigst efter finanskrisen og under indtryk af at for restriktive privacy-regler kan hæmme amerikanske virksomheders vækst og innovation, har FTC i følge en rapport fra 2009 godkendt en løsning baseret på en branchekodeks med en form for fremtrædende online advarsel og opt-out-valg til forbrugeren som tilstrækkelig indtil videre.

Det er ikke til at sige hvordan de europæiske regler på dette punkt i sidste ende vil blive, men mon ikke databeskyttelsen for den europæiske forbruger vil blive styrket og bedre i forhold til det amerikanske regelsæt. Når det er sagt, synes en almengyldig, obligatorisk og ufleksibel tilvalgsregel efter min opfattelse næppe at være gennemførlig simpelt hen fordi den vil være teknisk umulig at implementere og retshåndhæve effektivt. Meget kunne imidlertid tale for at det regelsæt for krav til tilvalg/fravalg, som den canadiske privacy kommissær generelt  har fastsat, er et udmærket udgangspunkt for et europæisk reglement, der vil kunne bestå af  dels retlige minimumskrav og dels selvregulerende brancheadfærdskodekser samt en forbrugermærkningsordning og anvendelse af privatlivsfremmende teknologier, tilpasset specielt til internettet.

Det er min klare opfattelse, at det i det lange løb vil tjene den seriøse del af reklamebranchen og internetvirksomhederne, herunder sociale netværkstjenester som Facebook, bedst at medvirke til at respektere privatsfæren og garantere forbrugeren en sikker og tryg oplevelse ved at gå på internettet og at anerkende en åben og ærlig kommunikation/introduktion af branchegodkendte privacyikoner over for potentielle kunder og brugere i stedet for at forsøge at “manipulere sig til” et salg af varer og tjenesteydelser, for nu at sige det lige ud.

Et andet emne, som synes at være i alles interesse er ens regler for databeskyttelse i hele EU. Mange forskellige fortolkninger af eksisterende lovgivning på tværs af EU-landene er til skade for det indre marked og hæmmer udviklingen af cloud computing-tjenester, hvor personoplysninger krydser nationale grænser.

At der er behov for et samlet regulatorisk rammeværk for privacy og databeskyttelse i Europa, der fastsætter klare regler for ansvar og forpligtelser, har i gennem længere tid været efterlyst af især globale virksomheder. Senest har Microsofts koncernchef Steve Ballmer fremsat bemærkninger herom under en rundbordssamtale ved Government Leaders Forum, en event sponsoreret af Microsoft og som fandt sted i London 4.11. 2010.

Sidst men ikke mindst er det værd at fremhæve strategimålsætningen med hensyn til en ny udformning af logningsdirektivet som den danske logningsbekendtgørelse hviler på. Det synes nærliggende at antage at persondatabeskyttelsen vil blive styrket med hensyn til f.eks. hvor og hvordan teledata opbevares, samtidig med at der sker en større EU-harmonisering, herunder hvor længe teledata skal opbevares.

Link til pressemeddelelsen her.

Afslut med fingeren


Af: Andreas Dohn, Journaliststuderende ved Syddansk Universitet

Fingeraftryk i centrale databaser er en cocktail, der før har mødt modstand fra borgere og privacy-fortalere. Men når bloddonorerne på Odense Universitetshospital skriver under med fingeren, skal de ikke frygte for datasikkerheden, siger blodbankens ledende overlæge.

De ruller frivilligt ærmet op og lader nålen trænge gennem huden. Sådan har det altid været. Men fremover vil donorerne på Odense Universitetshospital (OUH) også blive tvunget til at afgive et fingeraftryk, når de besøger blodbanken.

Odense Universitetshospital har som det første sted i landet indført elektroniske spørgeskemaer, som donorerne skal underskrive med pegefingeren, før de giver blod: ”Fordelen ved fingeraftryk er, at vi kan identificere donoren fra gang til gang og vide, at det er den rigtige donor, vi har fat i,” siger Jørgen Georgsen, ledende overlæge i blodbanken på Odense Universitetshospital.

Kun en kode

Det har tidligere skabt debat, når diskoteker og lufthavne indfører fingeraftryk eller irisskanning som adgangskontrol. Men Jørgen Georgsen mener ikke, at donorerne skal frygte for deres datasikkerhed, når de sætter pegefingeren på blodbankens scanner.

Fingeraflæseren danner en unik kode ud fra nogle bestemte punkter i fingeraftrykket. Og det er dén kode, som blodbanken gemmer i sin database sammen med donorens personnummer. Ikke et billede af selve fingeraftrykket, forklarer han:

”Det fingeraftryk, vi tager, er ikke sammenligneligt med det, politiet arbejder med, så det vil ikke kunne bruges i politiets efterforskning.”

Når donoren møder til næste tapning og indtaster sit personnummer, vil systemet automatisk hente den gemte kode og sammenligne den med donorens ’nye’ fingeraftryk.

”Det er ikke sådan, at aflæseren går ned i en stor database og leder alle vores 13.000 donorer igennem og kigger på deres fingeraftryk,” siger Jørgen Georgsen:

”Den sammenligner bare Bjarnes nuværende fingeraftryk med det fra tidligere. Og hvis de ikke passer sammen, så er det ikke Bjarne, der er her nu. Mere kan den ikke sige. Den kan ikke sige, at det er Peter, der er her i stedet for eller sådan noget.”

”Smartcard en bedre løsning”

Frederik Kortbæk er netværkskoordinator i Dansk Privacy Netværk, der har forskere med interesse for overvågning og privatlivsbeskyttelse på medlemslisten. Han roser først og fremmest blodbanken for at tage fingeraftrykket i brug:

”Formålet er at sikre, at blod tilhører en bestemt person og kun denne person. Der er tale om en sikkerhed, som både er i brugerens og blodbankens interesse.”

Frederik Kortbæk er dog generelt betænkelig over for fingeraftryk i centrale databaser, og han mener, at blodbankens system kunne gøres endnu mere sikkert:

”Den mest optimale privacyløsning ville være at gemme det digitaliserede fingeraftryk i krypteret form på et smartcard i stedet for i en central database,” forklarer Frederik Kortbæk.

Et smartcard er et lille plastikkort, der indeholder oplysninger om kortholderens fingeraftryk, og det har samtidig en scanner indbygget. Når en person forsøger at bruge kortet, sammenlignes hans fingeraftryk med det, der ligger gemt.

Frederik Kortbæk mener, at donoren på den måde vil være bedre sikret mod misbrug, fordi fingeraftrykket ikke er gemt andre steder end på selve kortet.

”Det er den løsning, som de europæiske datatilsyn generelt anbefaler,” siger han.

Mange flere oplysninger i blodprøven

Jørgen Georgsen mener dog ikke, at et smartcard er den bedste løsning for blodbanken. Dels er kortene alt for dyre, og dels kan donoren ikke blive tappet, hvis han glemmer kortet derhjemme:

”Det, synes vi, er dårlig service over for donorerne, hvis de er kommet helt her ud,” siger han og påpeger, at blodbanken i forvejen ligger inde med en masse personfølsomme oplysninger om donorerne – i modsætning til diskoteker og motionscentre.

”Der er mange flere oplysninger i den blodprøve, man giver, end i fingeraftrykket. Og der er rigtig mange donorer, vi har gemt DNA på. Det er faktisk en større risiko, som folk ikke tænker så meget på,” forklarer Jørgen Georgsen.

Uden om Datatilsynet

Det er Datatilsynet, som fører tilsyn med persondataloven og vejleder myndigheder og virksomheder om behandling af personoplysninger. Chefkonsulent Jakob Lundsager oplyser, at blodbanken ikke har rettet henvendelse til Datatilsynet, før fingeraftrukket blev indført. Og derfor har tilsynet ikke beskæftiget sig med det specifikke system.

Men Jakob Lundsager skønner, at blodbankens normale omgang med personfølsomme oplysninger kan være et argument for, at det også er forsvarligt at indføre fingeraftryk som identifikation.

Lever op til loven

I blodbanken føler man sig godt dækket ind. Jørgen Georgsen understreger, at systemet lever op til de gældende regler.

”Vi oplyser donorerne om alt det, vi gemmer, første gang de er her,” siger han og forklarer, at det altid kræver donorernes tilladelse, hvis blodbanken skal give oplysninger videre.

Derfor kan donorerne roligt give det elektroniske spørgeskema fingeren.

EU: forbrugeren skal sige ja til cookies


cookies

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata). Det er altså ikke nok som  hidtil blot at informere om brugen af cookies herunder at et fravalg er muligt.

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

Mange vil måske mene, at en regulering af brugen af cookies er unødvendig og hæmmende for den digitale økonomiske og samfundsmæssige udvikling. Jeg er ikke enig.  De grundlæggende principper for privacy bør fastholdes. Det må være i alles interesse, at der sikres et reelt forbrugervalg og at der er åbenhed om virksomhedernes forretningsmodeller, for mindre gennemsigtighed øger risikoen for kontrol og det kan ikke accepteres i et demokrat. Økonomisk vækst, der befordrer, at forbrugere fristes over evne eller af forlokkende tilbud er ikke at foretrække. Men der er faktisk mere på spil. Efter min opfattelse vil en uhæmmet brug af cookies og andre digitale mekanismer være med til faktisk at hæmme den økonomiske udvikling, fordi der er risko for en indsnævring af den fri konkurrence gennem dannelse af digitale  monopoler og andre markedsbekrænsende arrangementer.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg og -kontrol synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det vanskeligere at bruge hjemmesider i fremtiden og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

Berlinmuren 1961-1989


berlinmuren

I dag er det 20 år siden at Berlinmuren faldt. Det verdenskendte symbol på ikke alene den kolde krig og jerntæppet, men også for en stats totale kontrol og en befolknings undertrykkelse eksisterer ikke mere.

Det er værd at holde en lille pause fra hverdagens sysler og lade tankerne om denne i grunden epokegørende begivenhed få audiens.

At tænke sig at millioner af mennesker uden større blodsudgydelser under parolen “vi er folket” med ét oplever følelsen af frihed og er del af en fælles eufori og glæde som fører med sig, at DDR, et af de mest overvågede samfund i verden, faldt i grus med en dominoeffekt for hele det daværende Østeuropa er ganske enestående. Jeg tror at mange ligesom jeg selv blev revet med af den frihedsbegejstring, som tyskerne og senere stort set alle østeuropæerne gav udtryk for i de dage og i tiden derefter.

For dem som har oplevet at blive overvåget og leve i evig utryghed vil glæden over frihed være overvældende. Vi andre, der i det meste af vores voksenliv, betragter frihed og tryghed som en selvfølgelighed, har nok svært ved virkelig at fornemme den tilstand. Det er faktisk synd. Ikke kun for selve oplevelsens skyld, men også fordi begivenheden sætter sig dybe spor i ethvert menneske.

Mange andre har dog haft den samme erfaring på befrielsesdagen 4. maj 1945 om aftenen. På ruinerne af 2. verdenskrig blev De Forenede Nationer grundlagt 24. oktober 1945 og Menneskerettighedserklæringen blev vedtaget 10. december 1948. To flotte resultater af menneskets skabertrang og empati på næsten 6 års smertende og selvdestruktive handlinger.

For os alle gælder det imidlertid at minde os selv om, at frihed og menneskerettigheder, herunder privacy ikke er naturlove og derfor skal vi fejre en dag som i dag. Vi må aldrig miste idealet og synet på bolden, hvilket er så meget desto større en udfordring, når tilværelsen i et moderne samfund er uhyre kompliceret. Det er krævende at leve i et demokrati. Det forudsætter en aktiv medleven af os alle og det er jo desværre ikke tilfældet i en udstrækning, som man kunne ønske sig det. Eksemplevis viser undersøgelser, at mange føler sig som tilskuere i forhold til den teknologiske udvikling. Det kan true demokratiet.

Et samfund i balance og harmoni forudsætter engagement, information og debat. Det vi især skal være opmærksomme på er den “snigende” kontrol og overvågning og at vi som individ har kontrol og til bunds kender de informationsteknologiske muligheder og konsekvenser. At udvikle informationsteknologien,så den er enkel, gennemskuelig og i brugerens kontrol er i den sammenhæng relevante pejlemærker.

Det er et tema, som man ud fra et privacy synspunkt kunne bruge anledningen til i dag at reflektere over.

glasbygning

Stor opbakning til The Civil Society Madrid Declaration


thepublicvoice

The Public Voice coalition afholder d. 3. november 2009 i Madrid en konference  med titlen “Global Privacy Standards for a Global World”. Konferencen vil blive afholdt i forbindelse med International Conference of Data Protection and Privacy.

Blandt de vigtigste resultater for konferencen vil være frigivelsen af The Civil Society Madrid Declaration, der er et dokument udarbejdet af organisationskomiteen bag  konferencen. Madrid-erklæringen er et omfattende dokument, der bekræfter internationale instrumenter til beskyttelse af privatlivets fred, identificerer nye udfordringer og anbefaler specifikke tiltag: http://www.thepublicvoice.org/madrid-declaration

Erklæringen indeholder generelle synspunkter og principper for privacy, som burde finde bred opbakning og den internationale støtte som erklæringen indtil videre har fået vil givetvis bidrage til at målrette privacy dagsordenen  om mere forbrugerbeskyttelse og sende et klart signal til de nationale datatilsyn og dermed også medvirke til at påvirke lovgivning og forvaltningspraksis i hele verden. Det gælder også i Danmark selvom flere af  rekommendationerne allerede efterleves idag, at et par stykker synes mindre realistiske (især rekommentation nr. 9 om et teknologi-moratorium) og/eller forekommer mindre væsentlige i en dansk sammenhæng og til trods for at den danske  persondatalov ikke er så ringe endda.  

Der er stadig mulighed for at underskrive erklæringen enten på vegne en organisation eller på egne vegne hvilket hermed er en opfordring. Jeg har selv underskrevet erklæringen på egne vegne.