Er adfærdskodeks vejen frem til beskyttelse af privatlivets fred ?


I den løbende debat om regelsættet for persondata- og privacybeskyttelsen er et af stridspunkterne, hvorvidt selvregulering i modsætning til offentlig regulering mere eller mindre kan træde i stedet for egentlig lovregulering.

Det essentielle ved selvregulering er, at den regulerende og de regulerede er en og samme organisation og at de regler der styrer organisationens adfærd er vedtaget frivilligt. Senest er spørgsmålet om detail-udmøntning ved selvregulering (eller udarbejdelse af adfærdskodeks) blevet aktuelt i forbindelse med cookie-direktivet og det danske udkast til bekendtgørelse, der træder i kraft 25. maj 2011. I sin kerne udvider bekendtgørelsen begrebet privatsfære udover hvad der følger af den gældende persondatalov. Af andre tiltag i IT-branchen i de senere år kan i øvrigt henvises til branchekodeks om håndtering af ulovlig adfærd på internettet, jfr. IT- og Telestyrelsens rapport fra september 2005 og branchekodeks fra IT-Brancheforeningen og Telekommunikationsindustrien i Danmark.

Selvregulering (sædvaner, kutymer, adfærdskodeks og uformel ret) eller decentral retsdannelse er et kendetegn for velfærdsstatens regulering i nyere tid og spiller en stor og tilsyneladende større og større rolle i forhold til Folketinget. Vi ser også denne udvikling afspejlet ved den øgede indflydelse som Menneskerettighedsdomstolen i Strasbourg og EF-domstolen i Luxemborg har opnået i de seneste årtier. Det påpeges fra flere sider, at nationalstatens rolle som ramme for og udsteder af reguleringen er under forandring og at det ikke længere kun er jurister, som vedtager hvad der skal være lov og ret i samfundet.

Man kan med rette stille det spørgsmål om brancheinitiativer til selvregulering blot er staffage for at tækkes offentligheden og undgå offentlig regulering eller om baren faktisk sættes tilstrækkelig højt og i realiteten opfylder lovgivers krav og samfundets forventninger ?

Svaret afhænger naturligvis af en konkret vurdering.

For så vidt angår “cookie-loven” er der ikke nogen tvivl om, at branchen har lobbyet EU-Kommissionen med det formål at undgå en omfattende offentlig regulering, men EU-Kommissionen har også klart og utvetydigt tilkendegivet, at såfremt branchen ikke ved selvregulering lever op til intentionerne i direktivet, så vil EU-Kommissionen ikke tøve med en efterfølgende yderligere regulering. Denne trussel vil uden tvivl medvirke til at fremme innovationer indenfor privatlivsfremmende teknologier og services.

For en selvregulering i alt fald i første omgang taler følgende:

  • høj kvalitet og innovation i de teknologiske løsninger forudsætter en viden, som branchen og ikke myndighederne ligger inde med
  • omkostninger til formidling og gennmførelse samt monitorering er mindre ved selvregulering
  • usikkerhed ved en offentlig regulerings indvirkning især på et marked, der skifter hurtigt og som ikke tidligere har været reguleret
  • Selvreguleringsarrangementer er mindre rigide og kan hurtigere tilpasses markedsændringer, ny teknologi og forbrugernes krav og ønsker

På minussiden for en selvregulering kan anføres:

  • der synes at være en stor uoverensstemmelse mellem leverandørernes og forbrugernes interesser
  • der er tale om en situation med asymmetrisk information mellem leverandør og forbruger med hensyn til de kvalitative og adækvate løsninger
  • monitorering og retshåndhævelse er mindre effektiv
  • risiko for konkurrenceforvridning

Disse negative aspekter af selvregulering kan imidlertid helt eller delvist elimineres ved, at

  • selvreguleringen skal overholde det rammeværk, som fremgår af direktivet og eventuelt supplerende administrativt fastsatte bestemmelser
  • informations- og gennemsigtighedsniveaet skal være meget højt
  • forbrugeren sikres reel indflydelse på regelsættets udformning, herunder at der etableres et forbrugerankenævn
  • de teknologiske løsninger skal understøtte regelsættets krav samt overholdelsen af disse krav (kontrol af compliance)
  • en kodeks omfatter den overvejende del af branchens udbydere

Det første punkt synes at være eller undervejs til at blive opfyldt, mens de fire andre punkter endnu for tiden er uafklaret.

Det siger sig selv at en adfærdskodeks bør baseres på de grundlæggende principper i persondataloven og virksomhedernes samfundsansvar (CSR) samt garantere et højt troværdighedsniveau og forbrugertillid. Selvreguleringens effektivitet og gennemslagskraft vil forudsætte at et af branchen nedsat permanent dialogforum og forbrugerankenævn har en bred repræsentation og at den selvregulerende mekanisme nøje tilgodeser brugernes behov samt er åben overfor alle relevante aktører.

Der findes ingen reel sikkerhed eller privatlivsbeskyttelse og dermed ingen mirakelkur. Det centrale vil altid være kontinuerligt at identificere, vurdere, begrænse og håndtere bestemte privacy-risici, jfr. definitionen af privacy-begrebet. Netop derfor vil – efter min personlige opfattelse – selve processen med inddragelse af relevante interessenter være et imperativ for “bæredygtige” løsninger, fordi den er lige så værdifuld som selve resultatet.

Der er ikke nogen grund til at skjule at der indholdsmæssigt er meget på spil for branchen i og med at de såkaldte cookies er en meget vigtig bestanddel af mediebranchens internetomsætning. Det vil nok ikke være forkert at hævde, at branchen ikke har ønsket nogen regulering overhovedet, for selve målet med en regulering er at få folk til at gøre noget andet, end de ellers ville have gjort. Efter at udkast til bekendtgørelse er offentliggjort har debatten herefter for det meste kredset omkring fortolkningen af “et informeret samtykke” og om en eller anden form for proaktiv handling fra brugerens side er nødvendig, se f.eks. Cookies og regler: Er et klik nødvendigt?. Man kan ikke betænke branchen i, at arbejde for, at status quo bevares så meget som muligt og at regelsættet bliver så lidt indgribende i branchens virke som muligt. Der er imidlertid nok ikke nogen tvivl om, at et forudgående udtrykkeligt samtykke af forbrugeren vil være en betingelse. Hvilken form dette samtykke skal have samt hvor mange gange dette samtykke skal gives og i hvor lang tid og i hvilken sammenhæng et samtykke er gældende er et andet spørgsmål, der i høj grad er betinget af tekniske og praktiske omstændigheder. Det står givetvis klart for alle, at balancegangen mellem hvad der er strengt nødvendigt for at opfylde bekendtgørelsens bestemmelser og hvad der kan lade sig gøre i praksis er “cookie-loven”s ganske særlige udfordring.

Det skal blive spændende at se, hvorledes branchen formår at leve op til sit sociale og etiske ansvar og evner at vise at den godt kan selv og ikke mindst er i stand til at sikre disciplin og selvjustits blandt de tilsluttede virksomheder til gavn for forbrugerne. Et første skridt på europæisk plan er taget med IAB Europe´s udgivelse af retningslinjer for en mærkningsordning for online-annoncører, der bl.a. bakkes op af FDIM.

Er “retten til at blive glemt” det nye privacy mantra ?


I forbindelse med den igangværende revision af EU´s persondatadirektiv, der har udviklet sig til en lidt langstrakt affære, er der allerede kommet en række udmeldinger fra EU-Kommissionen, der indikerer en række stramninger af det fremtidige direktiv.

Således har Viviane Reding, EU’s kommissær for retlige anliggender, på en nylig afholdt konference i Brussels med en henvisning til Den Europæiske Unions charter om grundlæggende rettigheder slået fast, at EU-borgerens privacy-rettigheder skal bygge på fire piller:

  1. “retten til at blive glemt”
  2. “gennemsigtighed”
  3. “privacy som standardinstilling”
  4. “beskyttelse uanset hvor data er placeret”

Det er princippet om “retten til at blive glemt” (the “Right To Be Forgotten”), som der vil blive set lidt nærmere på her. For god ordens skyld skal det understreges at princippet  ikke udelukkende er møntet på persondata, som defineret i persondatadirektivet og som allerede statuerer en lang række rettigheder til beskyttelse af enkeltpersoners personlige oplysninger.

Retten til at blive glemt er oprindelig en fransk idè, og kan konstrueres på to måder. Den ene har sammenhæng med, at der i fransk lov er et forbud mod ubestemt lagring af persondata, således at den dataansvarlige skal fastsætte en datalagringsperiode, der er forenelig med formålet. Retten til at blive glemt relaterer sig til de yderst sjældne tilfælde, hvor det er nødvendigt at slette persondata. Den anden betydning vedrører retten til berigtigelse og indsigelse. Disse to rettigheder pålægger den dataansvarlige at slette data i de tilfælde, hvor de er ukorrekte, forældede eller hvor dataindsamling slet og ret er forbudt. Det er således ud fra den oprindelige forståelse af begrebet en misforståelse, at man til hver en tid kan kræve, at den dataansvarlige skal slette vedkommendes persondata.

Disse rettigheder følger dog  allerede af den danske persondatalov, herunder at den registrerede til hver en tid  kan tilbagekalde sit samtykke (§ 38), men det vil bero på en konkret vurdering, om oplysningerne skal slettes eller blot blokeres.

Men her går Viviane Reding et skridt videre med en præcisering af, at EU-borgeren ikke alene skal have en mulighed for, men en ret til at tilbagekalde et tidligere givet samtykke til databehandling. Bevisbyrden for at opbevaring af persondata er nødvendig, skal ligge hos den dataansvarlige. Redings talsmand Matthew Newman udtaler endda, “at der ikke må være den mindste flig af information tilbage på en server et eller andet sted. Det er dine data og de bør være væk for evigt.” { “there shouldn’t even be a ghost of your data left in some server somewhere. It’s your data and it should be gone for good.”} Neelie Kroes, EU-kommissær for den digital dagsorden har endvidere i en tale sidste år nuanceret begrebet ved at fremhæve, at det ikke kun er et spørgsmål om at slette data. “Ligesom i det virkelige liv kan man ikke gå ud fra, at der ikke eksisterer optegnelser over ens tidligere aktiviteter. Det der betyder noget er, at disse data uigenkaldeligt anonymiseres, før der gøres brug af dem.”

Ønsket om at blive glemt korresponderer med det synspunkt, at den digitale historik, som vi skaber online, både med vilje og nogle gange uforvarende, skal have lov til at forsvinde gennem en proces, der kaldes for datanedbrydning. Om sidstnævnte princip kan henvises til Data Degradation: Making Private Data Less Sensitive Over Time. Der vil være tale om en betragtelig mængde af elektroniske spor, som man aflægger på kryds og tværs på internettet.

Det er højst tvivlsomt om retten til at blive glemt vil blive en international standard og dermed et slagkraftigt princip uden videre. Eksempelvis garanterer som bekendt Den amerikanske forfatning ikke direkte privatlivets fred, selvom den amerikanske højesteret imidlertid i en række domme har slået fast, at andre garantier implicit sikrer privacy, som dog i visse tilfælde begrænses af den forfatningssikrede ytringsfrihed i First Amendment. Konceptet om “frihed til at observere” processer og data hyldes i udpræget grad ligesom det er en gængs amerikansk opfattelse, at “persondata er magt” og opfattes som en decideret vare (intellektuel rettighed).

I skærende modsætning hertil vil en europæisk debat om beskyttelse af privacy tage udgangspunkt i et menneskerettighedsmæssigt perspektiv, hvilket jeg personligt bifalder fuldt ud. Man kan ikke tale om kommerciel ejendomsret i forbindelse med privacy, fordi privacy er knyttet til det at være et menneske som sådan. Denne ret kan ikke fraviges eller overføres til andre (enten kommercielt eller af andre grunde). Man kan også udtrykke det således, at menneskerettighederne udgør og opretholder en persons personlige integritet og at privacy er en ret (værdi), som man bliver nødt til at beskytte, fordi privacy styrker tillid og tryghed blandt mennesker. Som udgangspunkt ejer man derfor selv sine personlige data. Om ejerskab og ophavsret til persondata kan i øvrigt henvises til Hvem “ejer” dine data?

Med dette tankesæt på plads giver det mening med princippet om retten til at blive glemt. Der er behov for at give forbrugeren flere universelle online-rettigheder og retten til at blive glemt er et perspektivrigt almengyldigt privacy by design-princip, såfremt det får retsvirkning i både den private som offentlige sektor. Men før dette princip kan realiseres er der imidlertid behov for at præcisere begrebet. I den forbindelse kan det overvejes at gøre princippet flerstrenget ved bl.a. at inkorporere det franske koncept. Endvidere er det væsentligt at gøre retten til at blive glemt operationelt som en såkaldt privatlivsfremmende teknologi i tilknytning til passende modeller for retshåndhævelse. Når data er lagt ud i offentlig domæne vi det være teknisk meget vanskeligt effektivt at indfange, eftersom data kan være tilgængelig på adskillige servere verden over. Dette problem synes at blive aktualiseret i yderligere grad i forbindelse med cloud computing, hvor det kan frygtes, at formidling og overlapning af personlige oplysninger vil medføre, at man aldrig rigtig kan være sikker på, at en udrensning vil hindre at data alligevel dukker op før eller siden. Hertil kommer, at princippets globale rækkevidde og dermed dets egentlige nyskabende værdi forudsætter en international implementering også uden for EU og det har efter alt at dømme lange udsigter.

EU-Kommissionen opstiller strategi til styrkelse af EU´s databeskyttelsesregler


At vi hver især kan kontrollere og få adgang til samt ændre eller slette vore egne personlige data er grundlæggende rettigheder, som skal garanteres i nutidens digitale verden. Brugergennemsigtighed eller oplysning om, hvad der sker med ens personlige data, hvordan det sker og hvem der forestår behandlingen, går naturligt hånd i hånd med brugerkontrol.

Med henblik på at løse disse problemer har EU-Kommissionen for nylig opstillet en strategi for hvordan den enkeltes personlige data kan beskyttes indenfor alle policy-områder, herunder retshåndhævelsen, og samtidig reducere erhvervslivets administrative byrder og garantere informationsfriheden i Europa. Denne revision af politikområdet vil blive anvendt af Kommissionen sammen med resultaterne af den offentlige høring af EU’s databeskyttelsesdirektiv fra 1995. Kommissionen vil derefter fremsætte forslag til lovgivning i 2011. Desuden vil Kommissionen undersøge andre foranstaltninger, såsom fremme af oplysningskampagner om databeskyttelsesrettigheder og mulige selvregulerende initiativer fra industrien (adfærdskodeks).

“Beskyttelsen af personoplysninger er en fundamental rettighed,” udtaler Viviane Reding, kommissær for retlige anliggender, grundlæggende rettigheder og EU-borgerskab. “For at garantere denne ret, har vi brug for klare og sammenhængende databeskyttelsesregler. Vi er også nødt til at bringe vore love ajour med de udfordringer, som er en følge af nye teknologier og globaliseringen.”

I pressemeddelelsen fremhæves 5 forslag til hvordan EU´s rammeværk for databeskyttelse kan moderniseres ved hjælp af nogle centrale målsætninger:

  • Styrkelse af de individuelle rettigheder (dataminimering, information og gennemsigtighed, brugersamtykke, “retten til at blive glemt”)
  • Styrkelse af EU´s indre marked (begrænsning af virksomhedernes administrative byrder, lige markedsvilkår)
  • Revision af databeskyttelsesreglerne i forhold til politisamarbejde og strafferet (sammenhængende regelsæt i henhold til Lissabontraktaten, datalogningsdirektivet)
  • Sikring af et højt beskyttelsesniveau for overførsel af persondata til lande uden for EU ( strømlining af procedurer og global standarder)
  • En mere effektiv retshåndhævelse (harmonisering af myndighedernes beføjelser, bedre samarbejde og koordinering i hele det indre marked)

Udmeldingen fra Kommissionen om en generel styrkelse af privacy er yderst prisværdig og den seneste i en perlerække af erklæringer, konferenceindlæg og rapporter udsendt respektive afgivet af ikke alene EU-Kommissionen og EU-Parlamentet, men også en række EU-organer, som f.eks. Den Europæiske Tilsynsførende for Databeskyttelse og WG-29 arbejdsgruppen samt Europarådet. Men man tør roligt sige, at det er en stor udfordring at få det hele til at gå op i en højere enhed.

Monique Goyens, generaldirektør for Den Europæiske Forbrugerorganisation, kendt under den franske forkortelse, BEUC udtaler i forbindelse med pressemeddelelsen følgende: “Kommissionen har plantet et flag der viser, at forbrugernes ret til privatlivets fred ikke bør undermineres blot fordi det er blevet nemmere og mere rentabelt at bryde den i den virtuelle verden”.

Derimod fastslår advokat Wim Nauwelaerts fra Hunton & Williams, Bruxelles, der besidder betydelig international ekspertise i privacy og databeskyttelse : “Det ser ud til, at Europa-Kommissionen ikke forventer en større revision af de eksisterende databeskyttelsesregler, men den har ret i behovet for en harmonisering”.

Bemærkningen skal tilsyneladende ses i lyset af, at Kommissionens meddelelse ikke er særlig konkret og bl.a. ikke allerede nu præciserer, hvorvidt internetvirksomheder skal have brugerens udtrykkelige tilladelse før de gør brug af eller deler vedkommendes personlige oplysninger.

Om der skal være et krav om tilvalg eller fravalg for forbrugeren af information og/eller onlinetjenester, der indebærer indsamling og behandling af personoplysninger, er et traditionelt kernestridspunkt i forholdet mellem privacy-fortalere på den ene side og internetvirksomheder på den anden side. Industrien gør gældende, at en regel om tilvalg af onlinereklamer vil hæmme udviklingen af tjenester, der tilpasser online-annoncering med webbrugerens personlige interesser, som afspejlet i de websteder han eller hun besøger eller de præferencer han eller hun giver udtryk for i sociale netværk og andre online fora. Ud fra et markedføringssmæssigt synspunkt kan det være med til at udvande en af internettets absolutte fordele i forhold til de gammelkendte reklamemedier. Det hævdes, at annoncører foretrækker et fravalg for forbrugeren, fordi denne option simpelt hen ikke forventes at ville blive benyttet. Sidstnævnte hænger uden tvivl sammen med, at forbrugerne i stort omgang ikke er klar over, at de bliver sporet.

Sikkert under indtryk af, at reklamebranchen er en af de brancher, der booster hurtigst efter finanskrisen og under indtryk af at for restriktive privacy-regler kan hæmme amerikanske virksomheders vækst og innovation, har FTC i følge en rapport fra 2009 godkendt en løsning baseret på en branchekodeks med en form for fremtrædende online advarsel og opt-out-valg til forbrugeren som tilstrækkelig indtil videre.

Det er ikke til at sige hvordan de europæiske regler på dette punkt i sidste ende vil blive, men mon ikke databeskyttelsen for den europæiske forbruger vil blive styrket og bedre i forhold til det amerikanske regelsæt. Når det er sagt, synes en almengyldig, obligatorisk og ufleksibel tilvalgsregel efter min opfattelse næppe at være gennemførlig simpelt hen fordi den vil være teknisk umulig at implementere og retshåndhæve effektivt. Meget kunne imidlertid tale for at det regelsæt for krav til tilvalg/fravalg, som den canadiske privacy kommissær generelt  har fastsat, er et udmærket udgangspunkt for et europæisk reglement, der vil kunne bestå af  dels retlige minimumskrav og dels selvregulerende brancheadfærdskodekser samt en forbrugermærkningsordning og anvendelse af privatlivsfremmende teknologier, tilpasset specielt til internettet.

Det er min klare opfattelse, at det i det lange løb vil tjene den seriøse del af reklamebranchen og internetvirksomhederne, herunder sociale netværkstjenester som Facebook, bedst at medvirke til at respektere privatsfæren og garantere forbrugeren en sikker og tryg oplevelse ved at gå på internettet og at anerkende en åben og ærlig kommunikation/introduktion af branchegodkendte privacyikoner over for potentielle kunder og brugere i stedet for at forsøge at “manipulere sig til” et salg af varer og tjenesteydelser, for nu at sige det lige ud.

Et andet emne, som synes at være i alles interesse er ens regler for databeskyttelse i hele EU. Mange forskellige fortolkninger af eksisterende lovgivning på tværs af EU-landene er til skade for det indre marked og hæmmer udviklingen af cloud computing-tjenester, hvor personoplysninger krydser nationale grænser.

At der er behov for et samlet regulatorisk rammeværk for privacy og databeskyttelse i Europa, der fastsætter klare regler for ansvar og forpligtelser, har i gennem længere tid været efterlyst af især globale virksomheder. Senest har Microsofts koncernchef Steve Ballmer fremsat bemærkninger herom under en rundbordssamtale ved Government Leaders Forum, en event sponsoreret af Microsoft og som fandt sted i London 4.11. 2010.

Sidst men ikke mindst er det værd at fremhæve strategimålsætningen med hensyn til en ny udformning af logningsdirektivet som den danske logningsbekendtgørelse hviler på. Det synes nærliggende at antage at persondatabeskyttelsen vil blive styrket med hensyn til f.eks. hvor og hvordan teledata opbevares, samtidig med at der sker en større EU-harmonisering, herunder hvor længe teledata skal opbevares.

Link til pressemeddelelsen her.

Afslut med fingeren


Af: Andreas Dohn, Journaliststuderende ved Syddansk Universitet

Fingeraftryk i centrale databaser er en cocktail, der før har mødt modstand fra borgere og privacy-fortalere. Men når bloddonorerne på Odense Universitetshospital skriver under med fingeren, skal de ikke frygte for datasikkerheden, siger blodbankens ledende overlæge.

De ruller frivilligt ærmet op og lader nålen trænge gennem huden. Sådan har det altid været. Men fremover vil donorerne på Odense Universitetshospital (OUH) også blive tvunget til at afgive et fingeraftryk, når de besøger blodbanken.

Odense Universitetshospital har som det første sted i landet indført elektroniske spørgeskemaer, som donorerne skal underskrive med pegefingeren, før de giver blod: ”Fordelen ved fingeraftryk er, at vi kan identificere donoren fra gang til gang og vide, at det er den rigtige donor, vi har fat i,” siger Jørgen Georgsen, ledende overlæge i blodbanken på Odense Universitetshospital.

Kun en kode

Det har tidligere skabt debat, når diskoteker og lufthavne indfører fingeraftryk eller irisskanning som adgangskontrol. Men Jørgen Georgsen mener ikke, at donorerne skal frygte for deres datasikkerhed, når de sætter pegefingeren på blodbankens scanner.

Fingeraflæseren danner en unik kode ud fra nogle bestemte punkter i fingeraftrykket. Og det er dén kode, som blodbanken gemmer i sin database sammen med donorens personnummer. Ikke et billede af selve fingeraftrykket, forklarer han:

”Det fingeraftryk, vi tager, er ikke sammenligneligt med det, politiet arbejder med, så det vil ikke kunne bruges i politiets efterforskning.”

Når donoren møder til næste tapning og indtaster sit personnummer, vil systemet automatisk hente den gemte kode og sammenligne den med donorens ’nye’ fingeraftryk.

”Det er ikke sådan, at aflæseren går ned i en stor database og leder alle vores 13.000 donorer igennem og kigger på deres fingeraftryk,” siger Jørgen Georgsen:

”Den sammenligner bare Bjarnes nuværende fingeraftryk med det fra tidligere. Og hvis de ikke passer sammen, så er det ikke Bjarne, der er her nu. Mere kan den ikke sige. Den kan ikke sige, at det er Peter, der er her i stedet for eller sådan noget.”

”Smartcard en bedre løsning”

Frederik Kortbæk er netværkskoordinator i Dansk Privacy Netværk, der har forskere med interesse for overvågning og privatlivsbeskyttelse på medlemslisten. Han roser først og fremmest blodbanken for at tage fingeraftrykket i brug:

”Formålet er at sikre, at blod tilhører en bestemt person og kun denne person. Der er tale om en sikkerhed, som både er i brugerens og blodbankens interesse.”

Frederik Kortbæk er dog generelt betænkelig over for fingeraftryk i centrale databaser, og han mener, at blodbankens system kunne gøres endnu mere sikkert:

”Den mest optimale privacyløsning ville være at gemme det digitaliserede fingeraftryk i krypteret form på et smartcard i stedet for i en central database,” forklarer Frederik Kortbæk.

Et smartcard er et lille plastikkort, der indeholder oplysninger om kortholderens fingeraftryk, og det har samtidig en scanner indbygget. Når en person forsøger at bruge kortet, sammenlignes hans fingeraftryk med det, der ligger gemt.

Frederik Kortbæk mener, at donoren på den måde vil være bedre sikret mod misbrug, fordi fingeraftrykket ikke er gemt andre steder end på selve kortet.

”Det er den løsning, som de europæiske datatilsyn generelt anbefaler,” siger han.

Mange flere oplysninger i blodprøven

Jørgen Georgsen mener dog ikke, at et smartcard er den bedste løsning for blodbanken. Dels er kortene alt for dyre, og dels kan donoren ikke blive tappet, hvis han glemmer kortet derhjemme:

”Det, synes vi, er dårlig service over for donorerne, hvis de er kommet helt her ud,” siger han og påpeger, at blodbanken i forvejen ligger inde med en masse personfølsomme oplysninger om donorerne – i modsætning til diskoteker og motionscentre.

”Der er mange flere oplysninger i den blodprøve, man giver, end i fingeraftrykket. Og der er rigtig mange donorer, vi har gemt DNA på. Det er faktisk en større risiko, som folk ikke tænker så meget på,” forklarer Jørgen Georgsen.

Uden om Datatilsynet

Det er Datatilsynet, som fører tilsyn med persondataloven og vejleder myndigheder og virksomheder om behandling af personoplysninger. Chefkonsulent Jakob Lundsager oplyser, at blodbanken ikke har rettet henvendelse til Datatilsynet, før fingeraftrukket blev indført. Og derfor har tilsynet ikke beskæftiget sig med det specifikke system.

Men Jakob Lundsager skønner, at blodbankens normale omgang med personfølsomme oplysninger kan være et argument for, at det også er forsvarligt at indføre fingeraftryk som identifikation.

Lever op til loven

I blodbanken føler man sig godt dækket ind. Jørgen Georgsen understreger, at systemet lever op til de gældende regler.

”Vi oplyser donorerne om alt det, vi gemmer, første gang de er her,” siger han og forklarer, at det altid kræver donorernes tilladelse, hvis blodbanken skal give oplysninger videre.

Derfor kan donorerne roligt give det elektroniske spørgeskema fingeren.

EU: forbrugeren skal sige ja til cookies


cookies

I det direktivudkast, der blev vedtaget på rådsmødet d. 26. oktober og omtalt i blogindlægget d. 3. november, præciseres borgerens privacy ved at fastslå, at navne, emailadresser og bankoplysninger, data om alle telefonsamtaler og internetsessioner, skal opbevares sikkert med henblik på at undgå uheld eller at disse data med vilje falder i de forkertes hænder. Det fremgår også, at brugeren skal have klar og fyldestgørende besked om hvorledes der er forholdt med hans data og at han skal give sit samtykke til at hans data gemmes og at andre kan få adgang til disse data.

Dette er på engelsk formuleret således i udkastet: ” Member States shall ensure that the storing of information, or the gaining of access to information already stored, in the terminal equipment of a subscriber or user is only allowed on condition that the subscriber or user concerned has given his or her consent, having been provided with clear and comprehensive information, in accordance with Directive 95/46/EC…”

Denne revision af EU´s databeskyttelsesdirektiv kan vise sig at få en endog meget stor negativ indvirkning på online-annoncering med kravet om, at annoncører på forhånd skal indhente brugerens samtykke før de kan placere de såkaldte cookies på deres servere med det formål at effektivisere reklamepraksis ved at gennemføre en målrettet kommunikation og markedsføring ( personligt identificerbare forbrugerdata). Det er altså ikke nok som  hidtil blot at informere om brugen af cookies herunder at et fravalg er muligt.

En cookie er betegnelsen for en tekst-fil, der for en bestemt tidsperiode er gemt på en klient på vegne af en server. Servere gør normalt brug af cookies til at gemme brugeridentifikation, brugeradfærd og indkøbsvaner. Cookie´en bliver sendt tilbage til serveren ved senere forespørgsler fra klienten.

Mange vil måske mene, at en regulering af brugen af cookies er unødvendig og hæmmende for den digitale økonomiske og samfundsmæssige udvikling. Jeg er ikke enig.  De grundlæggende principper for privacy bør fastholdes. Det må være i alles interesse, at der sikres et reelt forbrugervalg og at der er åbenhed om virksomhedernes forretningsmodeller, for mindre gennemsigtighed øger risikoen for kontrol og det kan ikke accepteres i et demokrat. Økonomisk vækst, der befordrer, at forbrugere fristes over evne eller af forlokkende tilbud er ikke at foretrække. Men der er faktisk mere på spil. Efter min opfattelse vil en uhæmmet brug af cookies og andre digitale mekanismer være med til faktisk at hæmme den økonomiske udvikling, fordi der er risko for en indsnævring af den fri konkurrence gennem dannelse af digitale  monopoler og andre markedsbekrænsende arrangementer.

EU-Kommissionen har gentagne gange udtrykt bekymring over indsamling af forbrugerdata til brug i online-annoncering og samtidig slået fast, at den ikke vil tøve med at gribe ind, såfremt branchen ikke selv aftaler et regelsæt, jfr. eksempelvis EU-lovgivning om online-annoncering på vej. Med det foreslåede direktivudkast synes EU-Kommissionen ikke mere at afvente en tilfredsstillende branchekodeks. Forholdet er det, at flere branche-organisationer har udarbejdet adfærdskodeks for online-annoncering, men de giver kun forbrugeren en opt-out og ikke en opt-in mulighed (forbrugersamtykke). Principperne om gennemsigtighed og forbrugervalg og -kontrol synes derfor ikke at være opfyldt.

Meget kunne tyde på, at direktivukastet som en del af “telepakken” vil blive endelig vedtaget af EU-Rådet og EU-Parlamentet inden årets udgang med den konsekvens, at ISP´ere, som f.eks. Google og Microsoft samt en en lang række annoncenetværk vil blive tvunget til at indhente brugerens samtykke, før indsamling af data med henblik på brugerens interaktion. Cookies vil kun være tilladt uden direkte brugerens samtykke, såfremt de er “strengt nødvendige” for at yde en service brugeren “udtrykkeligt” har bedt om, som f.eks. at gemme indkøb via hjemmesider for nethandel.

Det er i skrivende stund imidlertid uklart, hvorledes de enkelte EU-lande, herunder Danmark, vælger at implementere direktivet i konkret lovgivning, men det synes at være udelukket, at komme uden om kravet om forbrugerens samtykke til oprettelse af cookies. Det vil uden tvivl gøre det vanskeligere at bruge hjemmesider i fremtiden og man kan stille sig selv det spørgsmål, om udbydere vil risikere at se bort fra loven i det håb at loven ikke vil kunne håndhæves i praksis ?

Branchen er sat under pres, men mon ikke den under alle omstændigheder vil kunne nå at udarbejde en kodeks, som i det væsentligste opfylder direktivudkastet og at man dermed undgår en lovregulering, som kan vise sig at blive mere rigoristisk og mindre adræt og alligevel ikke effektiv nok.

Berlinmuren 1961-1989


berlinmuren

I dag er det 20 år siden at Berlinmuren faldt. Det verdenskendte symbol på ikke alene den kolde krig og jerntæppet, men også for en stats totale kontrol og en befolknings undertrykkelse eksisterer ikke mere.

Det er værd at holde en lille pause fra hverdagens sysler og lade tankerne om denne i grunden epokegørende begivenhed få audiens.

At tænke sig at millioner af mennesker uden større blodsudgydelser under parolen “vi er folket” med ét oplever følelsen af frihed og er del af en fælles eufori og glæde som fører med sig, at DDR, et af de mest overvågede samfund i verden, faldt i grus med en dominoeffekt for hele det daværende Østeuropa er ganske enestående. Jeg tror at mange ligesom jeg selv blev revet med af den frihedsbegejstring, som tyskerne og senere stort set alle østeuropæerne gav udtryk for i de dage og i tiden derefter.

For dem som har oplevet at blive overvåget og leve i evig utryghed vil glæden over frihed være overvældende. Vi andre, der i det meste af vores voksenliv, betragter frihed og tryghed som en selvfølgelighed, har nok svært ved virkelig at fornemme den tilstand. Det er faktisk synd. Ikke kun for selve oplevelsens skyld, men også fordi begivenheden sætter sig dybe spor i ethvert menneske.

Mange andre har dog haft den samme erfaring på befrielsesdagen 4. maj 1945 om aftenen. På ruinerne af 2. verdenskrig blev De Forenede Nationer grundlagt 24. oktober 1945 og Menneskerettighedserklæringen blev vedtaget 10. december 1948. To flotte resultater af menneskets skabertrang og empati på næsten 6 års smertende og selvdestruktive handlinger.

For os alle gælder det imidlertid at minde os selv om, at frihed og menneskerettigheder, herunder privacy ikke er naturlove og derfor skal vi fejre en dag som i dag. Vi må aldrig miste idealet og synet på bolden, hvilket er så meget desto større en udfordring, når tilværelsen i et moderne samfund er uhyre kompliceret. Det er krævende at leve i et demokrati. Det forudsætter en aktiv medleven af os alle og det er jo desværre ikke tilfældet i en udstrækning, som man kunne ønske sig det. Eksemplevis viser undersøgelser, at mange føler sig som tilskuere i forhold til den teknologiske udvikling. Det kan true demokratiet.

Et samfund i balance og harmoni forudsætter engagement, information og debat. Det vi især skal være opmærksomme på er den “snigende” kontrol og overvågning og at vi som individ har kontrol og til bunds kender de informationsteknologiske muligheder og konsekvenser. At udvikle informationsteknologien,så den er enkel, gennemskuelig og i brugerens kontrol er i den sammenhæng relevante pejlemærker.

Det er et tema, som man ud fra et privacy synspunkt kunne bruge anledningen til i dag at reflektere over.

glasbygning

Stor opbakning til The Civil Society Madrid Declaration


thepublicvoice

The Public Voice coalition afholder d. 3. november 2009 i Madrid en konference  med titlen “Global Privacy Standards for a Global World”. Konferencen vil blive afholdt i forbindelse med International Conference of Data Protection and Privacy.

Blandt de vigtigste resultater for konferencen vil være frigivelsen af The Civil Society Madrid Declaration, der er et dokument udarbejdet af organisationskomiteen bag  konferencen. Madrid-erklæringen er et omfattende dokument, der bekræfter internationale instrumenter til beskyttelse af privatlivets fred, identificerer nye udfordringer og anbefaler specifikke tiltag: http://www.thepublicvoice.org/madrid-declaration

Erklæringen indeholder generelle synspunkter og principper for privacy, som burde finde bred opbakning og den internationale støtte som erklæringen indtil videre har fået vil givetvis bidrage til at målrette privacy dagsordenen  om mere forbrugerbeskyttelse og sende et klart signal til de nationale datatilsyn og dermed også medvirke til at påvirke lovgivning og forvaltningspraksis i hele verden. Det gælder også i Danmark selvom flere af  rekommendationerne allerede efterleves idag, at et par stykker synes mindre realistiske (især rekommentation nr. 9 om et teknologi-moratorium) og/eller forekommer mindre væsentlige i en dansk sammenhæng og til trods for at den danske  persondatalov ikke er så ringe endda.  

Der er stadig mulighed for at underskrive erklæringen enten på vegne en organisation eller på egne vegne hvilket hermed er en opfordring. Jeg har selv underskrevet erklæringen på egne vegne.

Privacy skal ikke hæmme men fremme internetbaserede sociale netværk


netvc3a6rk

Sociale netværk er in globalt og Danmark er sammen med Canada, de to lande i verden med forholdsvist flest Facebook-profiler. 33 procent af befolkningen eller 1.779.380 i Danmark er aktive brugere af netværket (ifølge Politiken, januar 2009).

Der er ingen tvivl om, at internetbaserede netværk vil blive en integreret del af vor hverdag og det uanset om det er i forbindelse med arbejdet eller i fritiden. Og vi har kun set begyndelsen til en udvikling hvor det vi i dag oplever som real life vil blive sammensmeltet med den virtuelle verden. Vi vil opdage, at den måde vi indtil nu har opført os overfor hinanden på vil udvikle sig på en ny måde, hvor vi vil erkende, at vi ikke uden videre kan adoptere gammeldags omgangsformer til internettet. Definition af privacy vil ikke alene være et spørgsmål om at fastslå hvad der er personlige data, men også hvorledes f.eks.  “det offentlige rum” og “den personlige integritet” fastlægges i forhold til arbejdsgiver, kollega, ven, barn, forældre og organisation.      

Det betyder så også, at vore traditionelle normer og værdier må tilpasses den måde vi interagerer socialt og det vil så også påvirke hele vor livsførelse i fremtiden. Det er mit udgangspunkt, at internettets potentiale er den største demokratiske nyskabelse nogensinde. Retten til internetadgang skal derfor fastholdes for det enkelte menneske. Men internettet stiller samtidig nye udfordringer til sikkerhed og beskyttelse af privacy. Disse udfordringer er i første omgang komplicerede fordi de forudsætter nytænkning. Nytænkning som afbalancerer netværkets sammenhængskraft, engagement og innovation og beskyttelsen af den enkeltes privacy og frihedsrettigheder baseret på fuld brugerkontrol.

Man kan tilgå problemet ud fra 3 niveauer.

etisk
lovgivningsmæssigt og
teknologisk

Lovgivning er sikkert nødvendig og både persondataloven så vel som markedsføringsloven regulerer allerede i dag i vidt omgang de sociale netværk for så vidt angår Danmark, men lovens jurisdiktion og retshåndhævelse kan være usikker. Derfor vil en gennemgribende og ikke mindst effektiv lovgivning kræve et internationalt regelsæt. Men lovgivningen vil altid halse bagefter den informationsteknologiske udvikling og kan i sagens natur kun regulere de mest grelle scenaria.  Om de juridiske aspekter i relation til FaceBook henvises til et tidligere blogindlæg af Martin Jørgensen, cand. jur. ,Senior Consultant, Deloitte/ Security & Privacy. Teknologiske løsninger som f.eks. “opt in”- mekanismer eller PET (Privacy Enhancing Technologies) kan anbefales, men en optimal udnyttelse forudsætter global tilslutning. Sidst men ikke mindst vil udvikling af såkaldte etiske adfærdskodeks være en, efter min opfattelse, udmærket metode til at sikre en effektiv forbrugerbeskyttelse, der samtidig synes at være tilstrækkelig fleksibel til at kunne tilpasse sig den pulserende udvikling af internettet. Adfærdskodeks har så også den fordel at de ikke alene vil være baseret på eksisterende national lovgivning, men vil også kunne gå et skridt videre og samtidig kunne fastsætte teknologiske kriterier for privacy.

Adfærdskodeks (code of conduct) er desuden en god ide, fordi alle, som tilslutter sig, har en interesse i leve op til retningslinjerne. Om der derudover skal indføres en eller anden form for kontrolmekanisme kan imidlertid ikke udelukkes.

Arbejdsgivere følger med i medarbejdernes sociale netværk, og det er kommet frem, at ansatte er blevet fyret på grund af deres online aktiviteter.  De tider er forbi. hvor du vil kunne slippe af sted med at lyve, hvor du opholder dig, hvem du er sammen med eller hvad du foretager dig, såfremt der bare er én tilstede, som har en kameramobil og en Facebook profil. Og når dine arbejdskollegaer tilføjer dig som ven på dit sociale netværk, er det ikke sådan lige til, at chatte om alle de tossede ting du foretog dig lørdag aften. Sådan oplever mange det i dag. Men behøver det at være sådan ?

Læg hertil, at det vil være naturligt at antage, at de fleste arbejdsgivere frygter en overdreven brug af online sociale netværk, som yderligere vil medvirke til en øget overvågning og/eller begrænsning af adgangen til internettet. Således viser en survey fra marts 2008 af det engelske advokatfirma Charles Russell i samarbejde med nyheds-sitet Personnel Today med deltagelse af 220 engelske HR direktører, at 69% af virksomhederne ønsker mere kontrol med brugen af Internettet. Arbejdsgiverne er bekymret for, at personalet spilder deres tid på hjemmesider i løbet af dagen, hvilket kan svække produktiviteten og betyde en øget sikkerhedsrisiko, fordi data deles eksternt.

I undersøgelsen advarer nogle HR direktører imod et totalt forbud mod brug af sociale netværk, fordi det vil skade medarbejderens engagement. Således udtales det, at “ved at behandle vores medarbejdere som voksne giver det os mulighed for at have åbne diskussioner om, hvordan balancen mellem arbejdsliv og det at være social i arbejdstiden skal være”

Hvordan vil arbejdsgiverne reagere ifølge undersøgelsen ?

50% vil begrænse personlig brug af internettet til frokostpausen
33% vil overveje et totalforbud
70% vil overveje disciplinære foranstaltninger, hvis de opdager upassende fotos på online sociale netværk, som  identificerer arbejdsgiveren
25% vil søge efter online sociale netværk som et ansættelses-værktøj
90% vil ikke søge efter upassende kommentarer på online sociale netværk

At problematikken også er yderst relevant i Danmark viser en aktuel sag hos Nordjyllands Politi, hvor 12 betjente har været medlemmer af Facebookgruppen ‘Ryd 1000fryd’, jfr. artikel i Politiken Chefen må blande sig i din Facebook.

Der har især været fokus og debat om børns sociale netværk og det har været fremme at indføre forskellige teknologiske løsninger til beskyttelse af børn, når de er online, f. eks. ved at indføre en “privacy lås”.

Selv for ansvarsbevidste forældre, er grænsen mellem det at være social, at snage og bryde privatlivets fred som oftest en gråzone.

Lad mig indledningsvis pege på en engelsk undersøgelse offentliggjort af  Timesonline i april 2008 og foretaget af Ofcom, en uafhængig engelsk tilsynsmyndighed for kommunikation. Her viser undersøgelsen, at 2 1/2 million børn mellem 8 og 17 har oprettet en profil på et socialt netværk. Undersøgelsen fremhæver, at forældre ikke er opmærksomme på, at dårlig sikkerhed betyder, at omkring fire ud af ti personlige sider er åbne for alle.

Undersøgelsen fastslår, at selv om de tre vigtigste sociale netværk, Bebo, Facebook og MySpace, påstår at have en minimums aldersgrænse på 13 eller 14, så siger 1/4 af alle børn med internetadgang i alderen mellem 8 og 11, at de har en side på et social netværk. Undersøgelsen viser også, at 33% af forældrene gik med til ikke at opstille regler for deres børns brug af online sociale netværk, mens 43% af børnene har sagt, at deres forældre havde undladt at angive nogen regler for deres brug af online sociale netværk. Noget kunne hermed tyde på, i alt fald efter den engelske undersøgelse, at alt for mange forældre ignorerer de risici der er forbundet med disse websteder.

Frygt for børns sikkerhed fremhæves som en voksende bekymring, herunder tilfælde af opmuntring til selvmord, mobning og pædofili.

For at imødegå problemet har det engelske indenrigsministerium i 2008 offentliggjort en frivillig adfærdskodeks for sociale netværk. Bebo, MySpace og Facebook er enige om, at når børn under 18 opretter en profil vil være omfattet af en høj standard indtilling for privacy beskyttelse.

I et sammendrag fra konferencen Privatliv på profilen om borgernes adfærd på online sociale netværkstjenester d. 11 november 2008 arrangeret af It-sikkerhedskomitéen, blev der bl.a. efterlyst klarhed over den retstilstand, der gælder for udbydere og brugere. Der blev også stillet spørgsmål om forbrugerlovgivningen er på niveau med moderne krav til it-sikkerhed, og om der er behov for en bedre beskyttelse af borgernes privatliv. Desuden blev der udtrykt ønske om at få en afklaring af, i hvilket omfang dansk lovgivning kan håndhæves overfor online sociale netværkstjenester, der retter sig mod et dansk marked og danske brugere.

Det kom også frem, at der hvor der mangler regler, vil der opstå erfaringsbaseret kodeks for god etik og moral. Det ser man også i forhold til brugerne på online sociale netværkstjenester, ikke mindst blandt børn og unge. På netværkstjenesterne holder brugerne øje med hinanden og informerer tjenesteadministrator, som det fremgår af It- og Telestyrelsens kommentar.

Forbrugerrådet har taget et godt initiativ og offentliggjort Gode råd til facebookbrugere.  Forbrugerrådet har imidlertid i snart et halvt år peget på, at FaceBook overtræder den danske persondatalov, men medgiver at et EU indgreb er nødvendigt. En nylig undersøgelse af Forbrugerrådet viser, at  Brugerne er utilfredse med beskyttelsen på Facebook.

Lad mig først slå fast, at erfaring fra udlandet viser, at det vil være både praktisk og juridisk umuligt helt at afskære medarbejderes brug af sociale netværk.  Det vil efter min opfattelse også være tåbeligt. Selvfølgelig bør man ikke bruge unødig tid på sit arbejde på internetbaerede sociale netværk, men de kan selv for en virksomhed tjene en legitim forretningsmæssig generering og netværkssamarbejde udover at udvikle medarbejderens trivsel og engagement.

Det er min opfattelse, at det vil være en fordel for både arbejdsgiver og medarbejder, at en offentliggjort adfærdskodeks fastsætter retningslinjer for brug af sociale netværk. En adfærdskodeks demonstrerer et etisk ansvar ved at tage stilling til klart definerede problemstillinger.

Også i forhold til forældre og børn giver det god mening at anbefale en adfærdskodeks og man kan udmærket  tage udgangspunkt i den engelske adfærdskodeks som viser afprøvede og fornuftige metoder til at holde sig sikker online og som kan udfylde et muligt gab mellem lovgivning og konkret praksis. En adfærdskodeks vil under alle omstændigheder være et fornuftigt første skridt, fordi det uden tvivl vil være kompliceret at lovgive om online sociale netværk, al den stund det ville være meget vanskeligt at skelne dem fra andre websteder.

Så vidt så godt. Imidlertid består der en opgave, som antydet indledningsvis, i klart at definere privacy beskyttelsen på online sociale netværk. Det vil i den forbindelse være nærliggende at antage, at internettet ikke bør opfattes som et unikt separat rum, men som en udvidelse af det virkelige liv. En netop offentliggjort artikel i Berlingske Tidende Nej tak til forældre på Facebook påpeger dette på glimrende vis med nogle interessante betragtninger af professor  Niels Ole Finneman.

EU-lovgivning om online-annoncering på vej


forbrugerprofilering

Dansk Privacy Netværk omtalte i februar måned en rapport fra Den amerikanske Federal Trade Commission om brug af online sporing og forbrugeradfærdsdata i reklameøjemed og anbefalede på den baggrund, at man i Danmark undersøgte behovet for at indføre en adfærdskodeks.

Nu har Meglena Kuneva, EU-kommissær for forbrugeranliggender, i en tale for erhvervsfolk og analytikere i Bruxelles d. 31. 3. signaleret nye regler for at bekæmpe profilering af internetbrugere og krænkelse af privacy i forbindelse med markedsføring. Meglena Kuneva anfører, at persondata er blevet ” internettets olie og den nye valuta i den digitale verden”. Hun advarer, at internetbrugeres privatlivs-rettigheder bliver misbrugt, når personlige oplysninger  indsamles og leveres til annoncører, der målretter reklamer til personer uden at de er klar over det. ” Baseret på kommerciel kommunikation  tegner world wide web til at blive the world wild west. Det kan blive meget skadeligt. Forbrugernes rettigheder skal tilpasses teknologien, ikke knuses af den. Den nuværende situation med hensyn til privatlivets fred, profilering, og målretning er ikke tilfredsstillende.” Kommissæren skitserede den europæiske lovgivning om beskyttelse af privacy, om kommercielle kontrakter og om modvirkning af  diskrimination, og oplyste, at reglerne ikke holder trit med med tempoet i udviklingen af internettet.

Hun opfordrer online reklamebranchen til at  komme med en frivillig adfærdskodeks for at beskytte forbrugernes privacy, men gør det samtidig klart, at EU sandsynligvis vil blive nødt til at lovgive på området for at modvirke misbrug. Mængden af personlige data, der indsamles på internettet, vokser eksponentielt, og bliver i stigende grad brugt til kommercielle formål ved at spore brugeres internetvaner ved hjælp af cookies, og ved at gøre oplysningerne tilgængelige for individuel profilering og målretning af forbrugerne, som hun udtrykker det.

Eftersom den personlige annoncering er tilpasset den enkeltes interesser og online shopping vaner, ” bør der nu udvikles værktøjer, som afvejer erhvervslivets og forbrugernes interesser”, siger Kuneva.

Den bulgarske kommissær tilføjer, at hun har bestilt forskning i brugen af internettet, som viser, at personer under 25 år og som er dem, der er mest vant til at bruge internettet, også er dem, som er mest mistænksomme og sammenlignede deres brug af internettet, som når man drikker, man ved er en smule forgiftet. “Vi vil ikke tillade en sådan markedssituation eksisterer for vand, kosmetik eller legetøj” siger hun.

Omkring 80% af unge internetbrugere tror, at deres personoplysninger bliver delt med tredjeparter og brugt uden deres viden. “De har ret,” siger Kuneva. “Den nye virkelighed er, at forbrugerne betaler for tjenester med deres personlige data og deres eksponering for annoncer.” Hun lægger op til den samme fairness og gennemsigtighed, som gælder for kommercielle kontrakter. “Børn og unge er særligt sårbare over for de markedsføringsstrategier for markedsføring, der anvendes af online-annoncører, som også vil være i stand til at udnytte de privilegerede oplysninger om enkeltpersoner med henblik på forskelsbehandling. ” Den nuværende lovgivning forbyder annoncer, der opfordrer børn til at bestorme deres forældre, men vi siger ikke noget til annoncer, der beder dem om, at bestorme deres venner”,  sagde Kuneva.

Denne udmelding fra EU kommissær  Meglena Kuneva, som indeholder mange gode pointer, bør nu få branchen til at reagere før det er for sent. Det vil alt andet lige være bedst om branchen selv kan blive enige om en adfærdskodeks, i stedet for en lovgivning, som ofte vil blive rigoristisk og bureaukratisk.

I øvrigt henvises til en nylig rapport In Defense of Data: Information and the Costs of Privacy, som er udgivet af The Technology Policy Institute, der er en kommerciel tænketank. I rapporten anføres det,  at der ikke foreligger detaileret information om fordelene ved mere privacy og at privacy-fortalere ignorerer de omkostninger og trade-offs (mindre information), som er forbundet med øget privacy. Rapportens fokus på fordelene ved brug af forbrugerbestemte adfærdsdata, er relevant og argumenterne bør indgå i overvejelserne om hvordan en hensigtsmæssig regulering, enten som adfærdskodeks eller lovgivning, bør være. Rapporten synes imidlertid at overse den væsentlige pointe, at forbrugertillid er en essentiel driver for væksten i det digitale marked og at tilliden i høj grad forudsætter gennemsigtighed og valgfrihed, jfr. således f. eks. rapporten Digital Confidence – Securing the Next Wave of Digital Growth.

Federal Trade Commission reviderer online reklame principper


onlineshopping

Den amerikanske Federal Trade Commission (kan sammenlignes med forbrugerombudsmands-institutionen) har for nylig udsendt en rapport om brug af online sporing og forbrugeradfærdsdata i reklameøjemed ( consumer behavioral targeting) og angiver reviderede principper for frivillig brancheregulering på dette område. Det centrale spørgsmål er, hvordan online-annoncører bedst kan beskytte forbrugernes privacy, når de indsamler oplysninger om deres online aktiviteter.

Behovet for at styre anvendelsen af reklamer baseret på forbrugerens adfærdsdata afspejler samfundets had/kærligheds forhold til markedsføring, der skræddersys til en forbrugers online aktiviteter. Forskning viser, at forbrugerne i almindelighed foretrækker at se meddelelser om brands, som de er vant til. Samtidig er mange forbrugere mistænksomme overfor værktøjer, der efter deres opfattelse kan hjælpe marketingfirmaer med at snage i deres personlige liv.

 Over det sidste årti, har FTC regelmæssigt undersøgt forbrugernes privatliv i forbindelse med online reklame baseret på adfærdsdata, som i korthed går ud på at spore individuelle online aktiviteter med henblik på at levere reklamer, der er skræddersyet til forbrugerens interesser. FTC har senest undersøgt denne praksis i november 2007. Som svar på en offentlig debat om behovet for at adressere privacy bekymringer, har FTC sendt et sæt af principper i offentlig høring for at opmuntre og vejlede branchen med henblik på selvregulering. Rapporten med titlen “Self-Regulatory Principles for Online Behavioral Advertising,” opsummerer og besvarer de vigtigste spørgsmål som fremgår af mere end 60 modtagne kommentarer.

Rapporten indeholder desuden reviderede principper. Rapporten diskuterer de potentielle fordele ved reklamer baseret på forbrugerens adfærdsdata, herunder gratis online-indhold, som reklamer generelt støtter samt personaliseret kommunikation som mange forbrugere tilsyneladende synes om. Desuden diskuteres de privacy bekymringer, som denne praksis rejser, herunder den for forbrugeren usynlige dataindsamling og risikoen for, at de indsamlede oplysninger, der i blandt følsomme oplysninger om sundhed, økonomi, eller børn, vil kunne falde i de forkerte hænder eller blive anvendt til uforudsete formål.

I overensstemmelse med FTC’s overordnede tilgang til forbrugernes privatliv, søger rapporten at afveje de potentielle fordele ved reklame baseret på adfærdsdata mod de privacy risici den rejser, og tilskynder at beskytte personlige oplysninger samtidig med at opretholde et konkurrencepræget marked. Rapporten påpeger, at de fleste af de offentlige kommentarer, som FTC har modtaget vedrører omfanget af de foreslåede principper. F.eks. diskuteres, hvorvidt det er nødvendigt at yde beskyttelse af personlige oplysninger for data, der er ikke personligt identificerbare. Som svar fastslår rapporten, at beskyttelse af personlige oplysninger bør dække alle data, der med rimelighed kan være forbundet med en særlig forbruger eller computer eller anden enhed.

Kommentatorer har desuden sat spørgsmålstegn ved behovet for at anvende principperne i tilfælde, hvor (1) “den direkte part” anvender reklame baseret på adfærdsdata, hvor webstedet indsamler forbrugeroplysninger til at levere målrettet annoncering på selve site, men uden at dele nogen af disse oplysninger med tredjeparter, og (2) indholdsbestemt annoncering, som er rettet mod reklamer baseret på den webside, som en forbruger har klikket ind på eller en søgning forbrugeren har foretaget, og ikke involverer datalagring overhovedet eller kun i ringe omfang. Rapporten konkluderer, at der kan være færre privacy bekymringer forbundet med “den direkte part” og “indholdsbestemt ” reklame end med anden annoncering baseret på forbrugerens adfærdsdata, og konkluderer derfor , at det ikke er nødvendigt at medtage sådanne reklamer som omfattet af principperne.

Rapporten konstaterer imidlertid, at uanset princippernes rækkevidde, så skal virksomheder stadig overholde gældende lovgivning om privatlivets fred, som i øvrigt kan opstille krav, der indgår i de opstillede principper.

De fire principper er:

1. Gennemsigtighed og forbrugerkontrol 
2. Rimelig security og begrænset brug af forbrugernes data
3. Udtrykkelig bekræftelse af forbrugeren ved indholdsmæssig ændring af eksisterende privacy tilsagn
4. Udtrykkelig bekræftelse af forbrugeren ved brug (eller ikke brug) af følsomme data til brug for reklame baseret på adfærdsdata.

Rapporten giver også yderligere vejledning om hver af de fire principper. Det første princip, gennemsigtighed og forbrugerkontrol , er uændret i forhold til de foreslåede princip. Det forventes derfor, at websteder fremover klart og tydeligt oplyser, dels om reklame baseret på forbrugerens adfærdsdata, dels om en let tilgængelig måde hvorpå forbrugeren kan vælge, om han ønsker at få sine oplysninger indsamlet til disse formål. Med opmærksomhed på, at privacy retningslinjer på virksomhedernes websteder ofte er lange og vanskelige at forstå, tilskynder rapporten virksomhederne til at designe kreative og effektive disclosure mekanismer, der er adskilt fra deres privacy policies.

Rapporten fastslår også, at virksomheder, der indsamler oplysninger uden for en almindelig webside sammenhæng, for eksempel via en mobiltelefon eller en internetudbyder, bør udvikle disclosure mekanismer, der er forståelige og effektive i disse sammenhænge. Hertil kommer, at rapporten fortsat tilskynder virksomhederne til at tilvejebringe en rimelig sikkerhed for alle oplysninger, de indsamler med relation til reklame baseret på forbrugerens adfærdsdata, og til kun at opbevare data kun så længe det er nødvendigt for at opfylde et legitimt forretningsmæssigt eller retligt behov. Med hensyn til princippet om indholdsmæssige ændringer, præciserer rapporten, at dets fokus er på ændringer med tilbagevirkende kraft, eksempelvis indholdsmæssige ændringer med hensyn til en privacy policy, som har indvirkning på informationer, en virksomhed har indsamlet forud for ændringerne. Som følge heraf, er dette princip blevet revideret for at afspejle denne præcisering.

Rapporten erkender, at fremtidige ændringer kræver en mere fleksibel tilgang, og at alt efter omstændighederne, en eller anden form for fremhævet advarsel samt opt-out-valg kan være tilstrækkelig. På grund af den forøgede bekymring for privacy i forbindelse med indsamling og anvendelse af forbrugernes følsomme oplysninger, tilskynder rapporten forsat branchen til at indhente udtrykkelig bekræftelse fra forbrugeren før indsamling af disse data til brug for reklamer baseret på forbrugerens adfærdsdata. I rapporten hedder det, at FTC traditionelt anser følsomme oplysninger som finansielle oplysninger, oplysninger om børn og sundhed Rapporten konstaterer, at der fortsat er behov for en betydelig indsats på dette område, og at FTC vil fortsætte den offentlige dialog om privacy.

I forbindelse med rapportens offentliggørelse har 2 kommissionærer afgivet hver deres supplerende udtalelse. “Om end rapporten er anbefalelsesværdig, så har den et for snævert fokus” udtaler kommisær Pamela Jones Harbour i forbindelse med offentliggørelsen . “Trusler mod forbrugernes privacy bugner, både online og offline, og reklamer baseret på forbrugerens adfærdsdata, udgør blot ét aspekt af den mangesidige privacy gåde om dataindsamling og -brug. Jeg vil foretrække, at Kommissionen har en mere overordnet tilgang til privatlivets fred og evaluerer reklamen baseret på forbrugerens adfærdsdata i denne bredere sammenhæng.”

“Industrien bør gøre et bedre stykke arbejde på meningsfuld og streng selvkontrol, ellers vil kongressen helt sikkert føle sig foranlediget til at indføre en rigoristisk lovgivning, siger ligeledes kommissær Jon Leibowitz. “Kort sagt, det kan være den sidste oplagte chance for at vise, at selvregulering kan og vil være en effektiv beskyttelse af forbrugernes privacy i et dynamisk online-marked”.

Forbrugergrupper har allerede været ude og sige, at FTC´s foreslåede retningslinjer ikke er vidtgående nok til at beskytte oplysninger om forbrugernes indsamlede web surfing vaner. Retningslinjer kan være et skridt i den rigtige retning for at beskytte privacy, men forbrugerorganisationer siger, at regeringen er nødt til at vedtage en følgelovgivning der regulerer brug af reklamer baseret på forbrugerens adfærdsdata. Især påpeges, at definitionen af følsomme oplysninger, herunder sundhedsdata ikke er tilstrækkelig.

I øvrigt har adskillige websites allerede eksperimenteret med nogle af de anbefalinger, som FTC er kommet med. For eksempel er eBay begyndt med at knytte et “Om” til alle annoncer på deres website. Linket åbner et vindue, der forklarer, hvilke annoncenetværk som har placeret annoncen, hvilken type information som netværket gør brug af samt en tjekboks, som giver brugeren mulighed for at fravælge målrettede annoncer. Scott Shipman, eBay’s globale privacy officer siger, at selskabet begyndte at udvikle funktionen tidligt i 2007 som reaktion på en stigende bekymring for privacy. Yahoo har forkortet perioden fra 6 til 3 måneder i hvilken de ligger inde med data indsamlet fra internet-søgninger. Hos Bluekai kan brugerne se hvilke former for data der er indsamlet om dem på de forskellige online butikker de besøger.

Flere organisationer bl.a. Association of National Advertisers og Direct Marketing Association er på vej med branchestandarder som en direkte foranledning af FTC´s opfordring.

Reklamer baseret på forbrugerens adfærdsdata er et emne som ikke har været meget berørt i Danmark i forhold til privacy. Men der kan givetvis nu være god anledning til at beskæftige sig med emnet, herunder vurdere om det vil være en god idé for branchen at lave en kodeks a la den adfærdskodeks som ISP Sikkerhedsforum udarbejdede i 2005 om nedbringelse af spam.

Spørgsmålet har været behandlet af Forbrugerombudsmanden tilbage i 2000 med et forslag til vejledning om handel og privatliv, men branchen var dengang ikke indstillet på en selvregulering på området.

Download rapporten her.

A pro pos emnet i almindelighed kan i øvrigt henvises til en artikel 15.2 2009 i The New York Times As Data Collecting Grows, Privacy Erodes.

Endvidere kan henvises til 2008 Study: Consumer Attitudes about Behavioral Targeting,  en nylig survey undersøgelse om sporing af internetvaner foretaget af organisationen eTrust