Er “retten til at blive glemt” det nye privacy mantra ?


I forbindelse med den igangværende revision af EU´s persondatadirektiv, der har udviklet sig til en lidt langstrakt affære, er der allerede kommet en række udmeldinger fra EU-Kommissionen, der indikerer en række stramninger af det fremtidige direktiv.

Således har Viviane Reding, EU’s kommissær for retlige anliggender, på en nylig afholdt konference i Brussels med en henvisning til Den Europæiske Unions charter om grundlæggende rettigheder slået fast, at EU-borgerens privacy-rettigheder skal bygge på fire piller:

  1. “retten til at blive glemt”
  2. “gennemsigtighed”
  3. “privacy som standardinstilling”
  4. “beskyttelse uanset hvor data er placeret”

Det er princippet om “retten til at blive glemt” (the “Right To Be Forgotten”), som der vil blive set lidt nærmere på her. For god ordens skyld skal det understreges at princippet  ikke udelukkende er møntet på persondata, som defineret i persondatadirektivet og som allerede statuerer en lang række rettigheder til beskyttelse af enkeltpersoners personlige oplysninger.

Retten til at blive glemt er oprindelig en fransk idè, og kan konstrueres på to måder. Den ene har sammenhæng med, at der i fransk lov er et forbud mod ubestemt lagring af persondata, således at den dataansvarlige skal fastsætte en datalagringsperiode, der er forenelig med formålet. Retten til at blive glemt relaterer sig til de yderst sjældne tilfælde, hvor det er nødvendigt at slette persondata. Den anden betydning vedrører retten til berigtigelse og indsigelse. Disse to rettigheder pålægger den dataansvarlige at slette data i de tilfælde, hvor de er ukorrekte, forældede eller hvor dataindsamling slet og ret er forbudt. Det er således ud fra den oprindelige forståelse af begrebet en misforståelse, at man til hver en tid kan kræve, at den dataansvarlige skal slette vedkommendes persondata.

Disse rettigheder følger dog  allerede af den danske persondatalov, herunder at den registrerede til hver en tid  kan tilbagekalde sit samtykke (§ 38), men det vil bero på en konkret vurdering, om oplysningerne skal slettes eller blot blokeres.

Men her går Viviane Reding et skridt videre med en præcisering af, at EU-borgeren ikke alene skal have en mulighed for, men en ret til at tilbagekalde et tidligere givet samtykke til databehandling. Bevisbyrden for at opbevaring af persondata er nødvendig, skal ligge hos den dataansvarlige. Redings talsmand Matthew Newman udtaler endda, “at der ikke må være den mindste flig af information tilbage på en server et eller andet sted. Det er dine data og de bør være væk for evigt.” { “there shouldn’t even be a ghost of your data left in some server somewhere. It’s your data and it should be gone for good.”} Neelie Kroes, EU-kommissær for den digital dagsorden har endvidere i en tale sidste år nuanceret begrebet ved at fremhæve, at det ikke kun er et spørgsmål om at slette data. “Ligesom i det virkelige liv kan man ikke gå ud fra, at der ikke eksisterer optegnelser over ens tidligere aktiviteter. Det der betyder noget er, at disse data uigenkaldeligt anonymiseres, før der gøres brug af dem.”

Ønsket om at blive glemt korresponderer med det synspunkt, at den digitale historik, som vi skaber online, både med vilje og nogle gange uforvarende, skal have lov til at forsvinde gennem en proces, der kaldes for datanedbrydning. Om sidstnævnte princip kan henvises til Data Degradation: Making Private Data Less Sensitive Over Time. Der vil være tale om en betragtelig mængde af elektroniske spor, som man aflægger på kryds og tværs på internettet.

Det er højst tvivlsomt om retten til at blive glemt vil blive en international standard og dermed et slagkraftigt princip uden videre. Eksempelvis garanterer som bekendt Den amerikanske forfatning ikke direkte privatlivets fred, selvom den amerikanske højesteret imidlertid i en række domme har slået fast, at andre garantier implicit sikrer privacy, som dog i visse tilfælde begrænses af den forfatningssikrede ytringsfrihed i First Amendment. Konceptet om “frihed til at observere” processer og data hyldes i udpræget grad ligesom det er en gængs amerikansk opfattelse, at “persondata er magt” og opfattes som en decideret vare (intellektuel rettighed).

I skærende modsætning hertil vil en europæisk debat om beskyttelse af privacy tage udgangspunkt i et menneskerettighedsmæssigt perspektiv, hvilket jeg personligt bifalder fuldt ud. Man kan ikke tale om kommerciel ejendomsret i forbindelse med privacy, fordi privacy er knyttet til det at være et menneske som sådan. Denne ret kan ikke fraviges eller overføres til andre (enten kommercielt eller af andre grunde). Man kan også udtrykke det således, at menneskerettighederne udgør og opretholder en persons personlige integritet og at privacy er en ret (værdi), som man bliver nødt til at beskytte, fordi privacy styrker tillid og tryghed blandt mennesker. Som udgangspunkt ejer man derfor selv sine personlige data. Om ejerskab og ophavsret til persondata kan i øvrigt henvises til Hvem “ejer” dine data?

Med dette tankesæt på plads giver det mening med princippet om retten til at blive glemt. Der er behov for at give forbrugeren flere universelle online-rettigheder og retten til at blive glemt er et perspektivrigt almengyldigt privacy by design-princip, såfremt det får retsvirkning i både den private som offentlige sektor. Men før dette princip kan realiseres er der imidlertid behov for at præcisere begrebet. I den forbindelse kan det overvejes at gøre princippet flerstrenget ved bl.a. at inkorporere det franske koncept. Endvidere er det væsentligt at gøre retten til at blive glemt operationelt som en såkaldt privatlivsfremmende teknologi i tilknytning til passende modeller for retshåndhævelse. Når data er lagt ud i offentlig domæne vi det være teknisk meget vanskeligt effektivt at indfange, eftersom data kan være tilgængelig på adskillige servere verden over. Dette problem synes at blive aktualiseret i yderligere grad i forbindelse med cloud computing, hvor det kan frygtes, at formidling og overlapning af personlige oplysninger vil medføre, at man aldrig rigtig kan være sikker på, at en udrensning vil hindre at data alligevel dukker op før eller siden. Hertil kommer, at princippets globale rækkevidde og dermed dets egentlige nyskabende værdi forudsætter en international implementering også uden for EU og det har efter alt at dømme lange udsigter.

Reklamer

Privacy International: Privatlivsbeskyttelsen halter i Danmark som i resten af Europa


Den engelske vagthunds-organisation Privacy International (PI)  har med egne ord  i over 20 år været en kraftig fortaler for beskyttelsen af det enkelte menneskes privatliv i forhold til regeringer og virksomheder. PI betragtes af mange som verdens mest markante og kompetente privacy NGO.

Privacy International har netop taget temperaturen på Europas privacy med udgivelsen  på databeskyttelsesdagen 28. januar af  en omfattende rapport under titlen “European Privacy and Human Rights (EPHR) 2010”. Rapporten, støttet af EU-Kommissionen, undersøger det europæiske landskab for de enkelte landes love og regler for privacy og databeskyttelse samt eventuelle andre love eller den seneste faktiske udvikling, der har haft indvirkning på privatlivets fred i de seneste to år. Udover  analyserne land for land indeholder undersøgelsen også en komparativ analyse af vigtige privacy emner samt et afsnit med alle større ændringer land for land. En privacy-rangfølge viser i  fugleperspektiv den væsentligste udvikling og opsummerer med en klassificering af privacy-status i hver enkelt land, fra dem, der “konsekvent beskytter menneskerettighedsnormerne” (bedste klassificering) til dem, hvor “endemisk overvågning” {i betydningen omfattende overvågning} hersker (laveste klassificering). Her imellem ligger lande, der  har “tilstrækkelige garantier mod misbrug” (tilfredsstillende klsssificering), præsterer en “systemisk svigt i at  efterleve sikkerhedskontrol” (utilstrækkelig klassificering) eller viser tegn på “en omfattende overvågning” (meget dårlig klassificering).

Nøgleresultaterne viser derefter de enkelte lande på en karakterskala, som de “gode” (“europæiske demokratier (…) der besidder et godt helbred “, med et” flertal af lande, der har en forfatningsmæssig beskyttelse”), eller dem, hvor  der har fundet en “heroisk ” advokering, kampagner eller protester sted, der har forsinket eller forhindret indskrænkning af privatlivet eller overvågning fra statens side.

Som Privacy International fastslår, så er Europa i front i verden med hensyn til privacy beskyttelse, men fremadrettet bekymrer denne førerposition Privacy International. PI´s synspunkt er selvsagt, at dukserollen forpligter.

I  sammenfatningen af rapportens nøgleresultater fremgår det, at til trods for at databeskyttelsesdirektivet er implementeret i EU-landene og andre europæiske lande, så er regelsættet ikke harmoniseret. Undtagelser og smuthuller under dække af “national sikkerhed” hæmmer privacy praksis, minimerer privacy beskyttelsen og forhindrer et effektivt tilsyn med privacy.

Hovedkonklusionen er, at situationen er uensartet og det er ifølge Privacy International uholdbart og ikke overbevisende.

Herefter omtaler undersøgelsen en række begivenheder, som har fået privacy-barometrets kviksand til enten at stige eller falde. Hvad der blandt andet betegnes som godt i rapporten er, at flertallet af de europæiske lande har en forfatningsmæssig beskyttelse af privacy og at de europæiske tilsynsmyndigheder får flere og flere klager, hvilket PI tager som et tegn på øget bevidsthed om privacy og tilsynsmyndighedernes opgaver. At 34.000 borgere i Tyskland indgav en klage for forfatningsdomstolen mod datalogning og at en NGO-kampagne har medført at den nye regering i Storbritannien har ophævet indførelsen af ID-kort, det biometriske pas 2.0, DNA-praksis og store databaser, bliver endog udråbt som heroisk.

Derimod benævnes det som akavet, at eksempelvis implementering af biometriske pas og datalogning er fragmenteret og at indgreb uden dommerkendelse stadig eksisterer i alt for mange lande, f.eks. i Irland, Malta, og Storbritannien. Endvidere er det dårligt, at f.eks. Tyskland, og Schweiz har beføjelser til at foretage hemmelig ransagning af computere og at e-sundhedssystemer har sikkerhedsproblemer og/eller centrale databaser i Frankrig, Tyskland, Italien, Nederlandene. Af deciderede grimme ting fremdrages bl.a. manglende evne til revision og evaluering af  efterretningstjenesters aktiviteter   f.eks.  i Litauen, Kroatien, Estland, Ungarn, Sverige samt etableringen af medicinske databaser med centrale registre i  Kroatien, Tjekkiet, Danmark, Sverige, Norge og Storbritannien.

I henhold til rapporten placeres Danmark samlet set i kategorien “systemisk svigt i at  efterleve sikkerhedskontrol” og opnår dermed en utilstrækkelig klassificering. Det skyldes først og fremmest den gældende logningsbekendtgørelse, de centrale sundhedsregistre, efterretningstjenesternes dataadgang samt andre EU-medlemsstaters elektroniske adgang omend begrænset til de danske dna- og fingeraftryksregistre. Danmark deler hermed skæbne med størstedelen af de europæiske lande. En ringe trøst vil mange mene. Kun Grækenland og Cypern har en bedre rating, men intet europæisk land opnår  forventelig nok en topplacering, mens derimod Tyrkiet, som det eneste land betragtes som et udpræget overvågningssamfund.

Souschef Christoffer Badse, Institut for Menneskerettigheder og advokat Michael Hopp, Plesner advokatfirma, har medvirket ved udarbejdelsen af den danske undersøgelse, hvortil der her henvises til den engelske version, da den danske oversættelse sine steder er mangelfuld.  Der  er en ganske glimrende oversigt over love samt administrativ- og retspraksis på området, som er nyttig for enhver der beskæftiger sig med privacy og persondatabeskyttelse. Rapporten vil uden tvivl bidrage til større forståelse for privacy i den løbende danske debat. At rapporten bl.a. roser den almindelige tyskers  kritiske engagement og  bevågenhed, der dog til dels kan begrundes i Tysklands forhistorie, er velvalgt. Man kan kun håbe at det også i Danmark på sigt vil være muligt at arrangere demonstrationer og kampagner med en mediedækning i selv den bedste tv-sendetid. Således er det sikkert, at næsten 250.000 tyskeres krav om pixelering af deres ejendom i Google´s Street View service, vil få indflydelse på Google´s forretningsmodel ikke alene i Tyskland men også i resten af Europa.

Rapporten er helt sikkert det mest omfattende dokumentationsmateriale om privacy- og databeskyttelse i verden til dato. Det er en rigtig god ide at sætte privacy og databeskyttelse i en referenceramme for menneskerettigheder og er faktisk selvindlysende efter at den Europæiske Menneskerettighedskonvention (EMRK) med Lissabontraktaten er blevet en del af  EU`s charter om grundlæggende rettigheder, og dermed har direkte  retsvirkning i EU medlemslandene. Danmarks placering er der sådan set ikke noget at sige til. Den overrasker ikke og kan ikke blive bedre, men heller ikke værre. Det er dog værd at hæfte sig ved, at en række privacyforbedrende tiltag i EU-regi er på vej og de vil uden tvivl blive gennemført i Danmark så vel som i de andre EU-lande. Der tænkes her først og fremmest på en forventelig styrkelse af den generelle persondatabeskyttelse med revisionen af EU´s persondatadirektiv så vel som en begrænsning af indsamlingen af trafikdata i henhold til logningsdirektivet.

Nedenfor anføres links til selve rapporten samt yderligere ressourcer.

The European Privacy & Human Rights 2010 (EPHR).

Introduktionsvideo “EPHR” projektet samt en kort præsentation af undersøgelsen.

EU-Kommissionen opstiller strategi til styrkelse af EU´s databeskyttelsesregler


At vi hver især kan kontrollere og få adgang til samt ændre eller slette vore egne personlige data er grundlæggende rettigheder, som skal garanteres i nutidens digitale verden. Brugergennemsigtighed eller oplysning om, hvad der sker med ens personlige data, hvordan det sker og hvem der forestår behandlingen, går naturligt hånd i hånd med brugerkontrol.

Med henblik på at løse disse problemer har EU-Kommissionen for nylig opstillet en strategi for hvordan den enkeltes personlige data kan beskyttes indenfor alle policy-områder, herunder retshåndhævelsen, og samtidig reducere erhvervslivets administrative byrder og garantere informationsfriheden i Europa. Denne revision af politikområdet vil blive anvendt af Kommissionen sammen med resultaterne af den offentlige høring af EU’s databeskyttelsesdirektiv fra 1995. Kommissionen vil derefter fremsætte forslag til lovgivning i 2011. Desuden vil Kommissionen undersøge andre foranstaltninger, såsom fremme af oplysningskampagner om databeskyttelsesrettigheder og mulige selvregulerende initiativer fra industrien (adfærdskodeks).

“Beskyttelsen af personoplysninger er en fundamental rettighed,” udtaler Viviane Reding, kommissær for retlige anliggender, grundlæggende rettigheder og EU-borgerskab. “For at garantere denne ret, har vi brug for klare og sammenhængende databeskyttelsesregler. Vi er også nødt til at bringe vore love ajour med de udfordringer, som er en følge af nye teknologier og globaliseringen.”

I pressemeddelelsen fremhæves 5 forslag til hvordan EU´s rammeværk for databeskyttelse kan moderniseres ved hjælp af nogle centrale målsætninger:

  • Styrkelse af de individuelle rettigheder (dataminimering, information og gennemsigtighed, brugersamtykke, “retten til at blive glemt”)
  • Styrkelse af EU´s indre marked (begrænsning af virksomhedernes administrative byrder, lige markedsvilkår)
  • Revision af databeskyttelsesreglerne i forhold til politisamarbejde og strafferet (sammenhængende regelsæt i henhold til Lissabontraktaten, datalogningsdirektivet)
  • Sikring af et højt beskyttelsesniveau for overførsel af persondata til lande uden for EU ( strømlining af procedurer og global standarder)
  • En mere effektiv retshåndhævelse (harmonisering af myndighedernes beføjelser, bedre samarbejde og koordinering i hele det indre marked)

Udmeldingen fra Kommissionen om en generel styrkelse af privacy er yderst prisværdig og den seneste i en perlerække af erklæringer, konferenceindlæg og rapporter udsendt respektive afgivet af ikke alene EU-Kommissionen og EU-Parlamentet, men også en række EU-organer, som f.eks. Den Europæiske Tilsynsførende for Databeskyttelse og WG-29 arbejdsgruppen samt Europarådet. Men man tør roligt sige, at det er en stor udfordring at få det hele til at gå op i en højere enhed.

Monique Goyens, generaldirektør for Den Europæiske Forbrugerorganisation, kendt under den franske forkortelse, BEUC udtaler i forbindelse med pressemeddelelsen følgende: “Kommissionen har plantet et flag der viser, at forbrugernes ret til privatlivets fred ikke bør undermineres blot fordi det er blevet nemmere og mere rentabelt at bryde den i den virtuelle verden”.

Derimod fastslår advokat Wim Nauwelaerts fra Hunton & Williams, Bruxelles, der besidder betydelig international ekspertise i privacy og databeskyttelse : “Det ser ud til, at Europa-Kommissionen ikke forventer en større revision af de eksisterende databeskyttelsesregler, men den har ret i behovet for en harmonisering”.

Bemærkningen skal tilsyneladende ses i lyset af, at Kommissionens meddelelse ikke er særlig konkret og bl.a. ikke allerede nu præciserer, hvorvidt internetvirksomheder skal have brugerens udtrykkelige tilladelse før de gør brug af eller deler vedkommendes personlige oplysninger.

Om der skal være et krav om tilvalg eller fravalg for forbrugeren af information og/eller onlinetjenester, der indebærer indsamling og behandling af personoplysninger, er et traditionelt kernestridspunkt i forholdet mellem privacy-fortalere på den ene side og internetvirksomheder på den anden side. Industrien gør gældende, at en regel om tilvalg af onlinereklamer vil hæmme udviklingen af tjenester, der tilpasser online-annoncering med webbrugerens personlige interesser, som afspejlet i de websteder han eller hun besøger eller de præferencer han eller hun giver udtryk for i sociale netværk og andre online fora. Ud fra et markedføringssmæssigt synspunkt kan det være med til at udvande en af internettets absolutte fordele i forhold til de gammelkendte reklamemedier. Det hævdes, at annoncører foretrækker et fravalg for forbrugeren, fordi denne option simpelt hen ikke forventes at ville blive benyttet. Sidstnævnte hænger uden tvivl sammen med, at forbrugerne i stort omgang ikke er klar over, at de bliver sporet.

Sikkert under indtryk af, at reklamebranchen er en af de brancher, der booster hurtigst efter finanskrisen og under indtryk af at for restriktive privacy-regler kan hæmme amerikanske virksomheders vækst og innovation, har FTC i følge en rapport fra 2009 godkendt en løsning baseret på en branchekodeks med en form for fremtrædende online advarsel og opt-out-valg til forbrugeren som tilstrækkelig indtil videre.

Det er ikke til at sige hvordan de europæiske regler på dette punkt i sidste ende vil blive, men mon ikke databeskyttelsen for den europæiske forbruger vil blive styrket og bedre i forhold til det amerikanske regelsæt. Når det er sagt, synes en almengyldig, obligatorisk og ufleksibel tilvalgsregel efter min opfattelse næppe at være gennemførlig simpelt hen fordi den vil være teknisk umulig at implementere og retshåndhæve effektivt. Meget kunne imidlertid tale for at det regelsæt for krav til tilvalg/fravalg, som den canadiske privacy kommissær generelt  har fastsat, er et udmærket udgangspunkt for et europæisk reglement, der vil kunne bestå af  dels retlige minimumskrav og dels selvregulerende brancheadfærdskodekser samt en forbrugermærkningsordning og anvendelse af privatlivsfremmende teknologier, tilpasset specielt til internettet.

Det er min klare opfattelse, at det i det lange løb vil tjene den seriøse del af reklamebranchen og internetvirksomhederne, herunder sociale netværkstjenester som Facebook, bedst at medvirke til at respektere privatsfæren og garantere forbrugeren en sikker og tryg oplevelse ved at gå på internettet og at anerkende en åben og ærlig kommunikation/introduktion af branchegodkendte privacyikoner over for potentielle kunder og brugere i stedet for at forsøge at “manipulere sig til” et salg af varer og tjenesteydelser, for nu at sige det lige ud.

Et andet emne, som synes at være i alles interesse er ens regler for databeskyttelse i hele EU. Mange forskellige fortolkninger af eksisterende lovgivning på tværs af EU-landene er til skade for det indre marked og hæmmer udviklingen af cloud computing-tjenester, hvor personoplysninger krydser nationale grænser.

At der er behov for et samlet regulatorisk rammeværk for privacy og databeskyttelse i Europa, der fastsætter klare regler for ansvar og forpligtelser, har i gennem længere tid været efterlyst af især globale virksomheder. Senest har Microsofts koncernchef Steve Ballmer fremsat bemærkninger herom under en rundbordssamtale ved Government Leaders Forum, en event sponsoreret af Microsoft og som fandt sted i London 4.11. 2010.

Sidst men ikke mindst er det værd at fremhæve strategimålsætningen med hensyn til en ny udformning af logningsdirektivet som den danske logningsbekendtgørelse hviler på. Det synes nærliggende at antage at persondatabeskyttelsen vil blive styrket med hensyn til f.eks. hvor og hvordan teledata opbevares, samtidig med at der sker en større EU-harmonisering, herunder hvor længe teledata skal opbevares.

Link til pressemeddelelsen her.

The Honourable Justice Michael Kirby appointed honorary member of Dansk Privacy Netværk


The Hon Michael Kirby AC CMG, former Justice of the High Court of Australia, serving from 1996 to 2009, has been appointed honorary member of Dansk Privacy Netværk (Danish Privacy Network). In his role as honorary member, Michael Kirby will advise the network on international privacy and human rights issues and joining Dansk Privacy Network in promoting the importance of privacy and data protection in a globalized world.

“Michael Kirby´s dedication and activism has over a sustained period of time made significant impact on human rights and privacy and for this he has been recognized worldwide.  We are truly honored to have the pleasure to work with  Michael Kirby in the future”, said Frederik Kortbæk, LL.M. and coordinator of Dansk Privacy Netværk.

As a contribution Michael Kirby is pleased to post one of his two speeches he gave at the OECD in Paris in March 2010, on the 30th anniversary of the OECD Guidelines on Privacy as follows:

THE OECD REVISITED
One does not normally think of the OECD as a sentimental organisation, afflicted by nostalgia.  It was therefore a surprise to be invited back to the Chateau de la Muette to join in this reflection on the 30th anniversary of the adoption of the OECD Guidelines on Trans-border Data Flows and the Protection of Privacy of 1980 (the “Guidelines”).

I chaired the expert group established under DSTI/ICCP which was tasked with preparing the Guidelines in less than two years.  The final meeting that adopted the Guidelines and recommended them, ultimately to the Council of the OECD, took place in this room of the Chateau.  Before the magnificent new conference centre was built, adjoining the Chateau, we did not ordinarily meet in such congenial venues.  Normally, we were consigned to a large meeting room in a dungeon in the Secretariat building.  This isolated us from the beauties of Paris and civilisation, we had no alternative but to concentrate on our work and to get it completed as quickly as we could.  When we concluded our work, it was like a scene from Fidelio.  We were like prisoners, released into the sunlight of the Chateau, photographed on its steps and collected under the flags of the OECD nations, then fewer in number than is the case today.  Essentially, at that time, the OECD was confined to the democratic market economies of Western Europe, North America, Japan and Australasia.  So I return with pleasure to this room that is full of memories of the remarkable personalities who worked to achieve the success that the Guidelines have undoubtedly proved to be.

I am specially glad to return to this room and the meeting of the Working Party on Information Security and Privacy (WPISP), chaired by a fellow Australian, Keith Besgrove.  I am not sure how he was elected to his high office.  Indeed, I am not sure how that privilege fell to me.  I was sent to Paris in 1978 because the Australian Law Reform Commission, of which I was then Chairman, was mandated by the Australian government to prepare new federal laws on privacy protection.  Dialogue with experts from countries with similar legal and economic circumstances was considered useful to our task.  That is how I made it to Paris.  I can only assume that my election to chair the expert group came about because the member countries outside Western Europe were deeply suspicious of the bureaucratic tendencies of the European culture.  For their part, the Europeans could not tolerate the idea of a non-European chair for the expert group, at least not one from a nation of significant economic and political power.  I presume that that is how the choice fell to me.  Perhaps like Chairman Besgrove, it is best not to enquire too closely as to how the electoral process in OECD delivered our respective names.

A trans-continental committee of experts thus began its enquiry 32 years ago.  It was stimulated by outstanding assistance from the OECD Secretariat, led in this instance by Mr. Hanspeter Gassmann, assisted by Professor Peter Seipel (Sweden) as consultant, and by Miss Alice Frank, also of the Secretariat.  I pay tribute to the assistance of the OECD officials.  Since 1980, I have worked in many United Nations and international organisations.  None can boast of a more talented team of officials than the OECD.

THE INTERNATIONAL BACKGROUND
Why did the OECD establish such a group?  This is not generally an institution devoted to human rights concerns, such as the protection of individual privacy.  Generally speaking, basic rights, the rule of law and democratic governance are broad assumptions upon which the OECD operates for the provision of technical advice and assistance, mainly on economic and technological issues.  There have been exceptions, such as the important work of the Organisation to confront international corruption and to address issues of nuclear power and climate change.  But, ordinarily, this is not a house concerned with human rights protection.  That task is generally left to other bodies, including UNESCO, whose seat is established on the other side of this city.  So why the sudden interest of the OECD in protecting privacy in the context of trans-border data flows (TBDF)?

The answer to that question can be derived from the historical background to the establishment of the expert group and the commonalities of the technology that lay behind the need for international guidelines.  So far as the background was concerned, it can be traced to the recognition, after the Second World War, in human rights instruments such as the Universal Declaration of Human Rights (Art.12), of the basic right to privacy.  Elaborations of that notion followed in the 1960s in academic writing (such as that of Alan Westin, Paul Sieghart and Professors Rule and Cate of the United States), and in official reports (such as those of Kenneth Younger (UK) and Bernard Tricot (France)) addressed to the particular problems of privacy in the context of the new technology for automated data processing.  The capacity of this technology to expand and expedite the analysis of personal data and to create connections not otherwise perceived was recognised as presenting new problems for privacy as that notion was to be understood in its wider, modern sense.  That recognition led to initiatives in various international bodies that provided the background for the OECD’s work:
 In the Nordic Council in 1971, where the Scandinavian member states of the OECD built upon the early work on legislation for privacy protection in Sweden, beginning in 1969, reported in 1972 and resulting in one of the first data protection laws in 1973;
 The Council of Europe, in turn, drew upon the foregoing in the development of ministerial resolutions in 1973 and 1974 and in the design of a Convention (No.108) addressed to the various consequences of automated personal data;
 The Commission of the European Economic Community (as the European Union was then named) also began work that would ultimately bear fruit as the influential European Union Directive on privacy; and
 Other international bodies also became interested, including UNESCO, and, by 2000, the Asia-Pacific Economic Co-Operation Organisation (APEC) with its Privacy Framework addressed to the member states in that fast-growing region of the world.

Some of the foregoing developments lay in the future as we met for the first time at OECD in 1978.  But this much was already clear.  The technology of informatics was fast changing.  Even by 1978, it was apparent that the technology was increasingly transnational.  Its social consequences could not be exhaustively dealt with by national laws.  TBDF were becoming an established feature of the application of informatics.  There was therefore a need for commonality in the approaches adopted by member states of the OECD.  Otherwise, the beneficial advantage of TBDF for freedom in the flow of facts and opinions and for creative ideas for economic and social development, might be impeded.

Within Western Europe, by 1978, it was possible to bind the approaches of member states of the Council of Europe to a binding treaty, agreed amongst those states to reflect the highest common denominator of their collective opinions.  But, by 1978, it was already obvious that the largest player in the processing of automated data (including for airlines, hotels, business, insurance and banking information) was the United States of America.  Securing the agreement of that major economic player to a binding treaty faced two apparently inseparable obstacles.  The first was the need, in the ratification of any such treaty, for the concurrence of the United States Senate, traditionally suspicious of such engagements.  And the second was the strong affirmation of free flows of information expressed in the First Amendment to the United States Constitution.  This provision created a bedrock of support for flows of data, to the largest extent possible, unimpeded by governmental regulation (“Congress shall make no law …”).  The possibility of the United States subscribing to a European Convention on this subject was bleak.  These realities defined the boundaries of any successful enterprise within the OECD, designed to encourage as high a level of consensus about the applicable principles as could be reached among the participants without resort to be a binding treaty.

MUTUAL DOUBTS AND CONCERNS
To the foregoing obstacles to progress had to be added other deep concerns, bordering on suspicions, which were often unexpressed; but every now and again came to the surface.  They revealed a chasm, seemingly deeper than the Atlantic Ocean, between the underlying values reflected in the developments occurring in Europe, on the one hand, and the legal and social culture of the non-European nations, especially the United States, on the other:
 For the European nations, the memory of the misuse of personal data by security police, the military and other officials in the mid-20th century was still fresh.  For them, this was not a theoretical problem. It was an urgent task to establish controls on the potential of the newly automated personal data to enhance the power of the over-mighty state and to diminish the liberties of ordinary citizens.  It must be remembered that in 1978, the world was still faced by the Cold War and the divisions symbolised physically by the Berlin Wall.  It is a privilege today to return to the OECD, with the Russian Federation sitting at the table of WPISP.  None of us should forget the contributions of the Red Army and the Soviet peoples in the Second World War to the defeat of fascism and to the creation of the circumstances in which Europe could flourish and democratic governance could emerge and expand;
 On the other hand, the United States experts, in particular, were deeply suspicious of some of approaches of the European nations, participating in the work of the Council of Europe.  In particular, they were anxious about the suggested inclination of the European states to create large bureaucracies empowered to impede TBDF.  Occasionally, they hinted darkly that these were initiatives with an ulterior motive.  This was to impede the all too obvious success of United States technology and to provide protective walls behind which the European technology of informatics might grow and compete.  The Europeans, for their part, sometimes speculated that the American devotion to free flows of data and First Amendment values was actually underpinned by the then current pre-eminence of United States information technology.

Finding a bridge between these competing attitudes, laws and interests was a great challenge.  It was a much greater challenge than that faced in securing common agreement within the Council of Europe or the European Communities.  It was the challenge which the OECD expert group accepted, addressed and eventually surmounted.

LESSONS FROM THE GUIDELINES
By inviting a reflection on the 1980 Guidelines, and their impact on the development of law and policy in so many countries, not only within the OECD, it must be assumed that a purpose was to derive lessons for the current work of WPISP and indeed of DSTI and ICCP within the OECD.  Looking back at the achievements and influence of the OECD Guidelines on privacy of 1980, what are some of the lessons that I can suggest?
 International principles:  Well into the latter part of the twentieth century, law was basically a discipline of nation states.  Ordinarily, it applied within their geographic limitations.  International law, and international principles and policy, were sometimes important for nation states in dealings with one another.  But they were rarely of significance to the natural and legal persons operating within such states.  All of this has now changed.  The growth of the impact of international law and policy on the legal discipline is the greatest change that has come upon the law in my professional lifetime.  A development encouraging this advance has been the spread of global technology.  With that technology have come new problems that cross borders and are sometimes insusceptible to effective local solutions.  It is this phenomenon that has stimulated the need for international law, principles and policy to fill the gaps left in the spaces between the operation of national regulation.  Today, even the most powerful nation states recognise this.  It was already recognised as we entered the OECD in 1978 to embark on the task of preparing the Guidelines on privacy;
 Conventions and guidelines:  Part of the response to such international needs has been evidenced by the growth of treaty law and of international customary law which binds member states.  Yet in some instances, the development of treaty law is difficult, painstaking and extremely slow.  Meantime, the technological and other problems race ahead.  To do nothing is to make a decision.  Recognising the near impossibility, certainly in the short run, of securing adherence of the United States of America (and other non-European nations) to a binding convention on TBDF, imposed on the OECD expert group the discipline of looking to another solution.  That solution was the elaboration of guidelines that would help import into non-European practice such of the transnational principles that were being developed in Europe as were also accepted in the democratic market economies of non-European OECD member countries;
 Information policy:  It was also recognised, virtually at the outset, that there was a special problem of regulating national practice in respect of information policy in the United States.  This was because of the First Amendment values that lie deep in the responses of United States politicians, officials and lawyers to any regulation that endeavours to impose restrictions on free flows of information.  As well, the European tendency to create data protection authorities with large vetting and pre-authorisation powers, ran into two specific problems within the expert group.  The first was the general inclination of common law countries to avoid bureaucratic solutions of that kind and to rely instead upon a remedial structure, utilising broad principles established as precedents by the decisions of superior courts.  By 1978, there were also moves in the democratic debates of North America, Japan and Australasia to reduce the expansion of government and to contain the growth of bureaucracy.  These developments made the adoption of recommendations for the creation of large data protection authorities outside Europe, effectively unthinkable.  They demanded that the mode of implementation of the principles agreed in the Guidelines should be left by the OECD to the local legal tradition and culture;
 TBDF and their implications:  It was the international character of TBDF that afforded the OECD, at once, its challenge and its opportunity.  A European Convention was important.  But of its nature, it could only go so far.  Countries outside the European area would be influenced by its rules.  But not bound by them outside the European sphere.  Securing a means of addressing the international character of data flow provided the stimulus for an intercontinental solution.  Effectively, only the OECD could provide this.  And provide it, it did.
 General guidelines:  Obviously, the adoption of “soft” international principles rather than binding international law meant that any product of the OECD would lack the precision and immediate effectiveness of a binding treaty.  On the other hand, because on an inter-continental level, such a binding treaty was out of the question (certainly in the short term) guidelines became the best that could be achieved.  To the extent that such guidelines influenced local law, official policy and business practice, they could help harmonise the European system of law with the legal regimes applicable in advanced economies outside Europe.  In this way, the guidelines solution (and their use of the verb “should” rather than “shall”), became a positive strength of the OECD Guidelines.  The Guidelines (in para.19) left it to member countries to “establish legal, administrative and other procedures and institutions for the protection of privacy and individual liberties in respect of personal data” in the various ways mentioned and encouraged them to engage in international co-operation (para.20-22).  They therefore imposed duties of imperfect obligation.  But they were duties nonetheless.  And, on the whole, have been taken seriously by the countries that are parties to the OECD Convention.  The commonalities between those countries in matters of governance and economic co-operation have helped to promote what seemed, on their face, to be weak general rules into a substantial stimulus to legislative, executive and judicial action.  In this way, the Guidelines have provided an important impetus to harmonisation of the law, policy and practice.  This was the result envisaged by the participants in the OECD expert group.
 Don’t give up on privacy:  Finally, although the OECD Guidelines have had a considerable influence in the thirty years since they were adopted, it must be accepted that technological developments that were not then known have added to the complexity of the world in which the Guidelines must now operate.  1980 was a time before the emergence of the internet, with its huge implications for the distribution of personal information.  Ahead lay the many technological developments that would add to the challenges to privacy protection:  including biometrics; smart cards; location detection technology; social networks; use of radio frequencies and so.  I do not pretend that the OECD Guidelines solve every problem that this new technology presents.  Indeed, I concede that some of the capacities of information technology since 1980 present new challenges that we did not consider or even know of when we drafted the Guidelines and adopted them in 1980.

In particular, the use limitation principle in para.10 of the Guidelines may need re-consideration.  That paragraph states:
“10. Personal data should not be disclosed, made available or otherwise used for purposes other than those specified in accordance with paragraph 9 except:
a) With the consent of the data subject; or
b) By the authority of law.”

In para.9, it is provided that personal data should be collected by reference to specified purposes and subsequently used only for those purposes or others compatible with them.  This was an accurate privacy principle at the time of its adoption.  However, the capacity of search engines to utilise old, even very old, personal data for a purpose quite different from that for which the information was originally collected and provided, presents a difficulty in treating those paragraphs as a full explanation of the governing principle or policy.

No-one could suggest that search engines and the internet, with their marvellous capacity to enhance human knowledge, should be forbidden or pre-controlled.  Certainly not by OECD member countries.  However, there may be a need to reconsider how the purpose specification and use limitation principles in paras.9 and 10 of the 1980 Guidelines are to apply in a new century utilising radically new technology.  As well, the notion of “consent” referred to in para.10 needs a lot of attention.  To what extent does the data subject truly have a power to consent or to withhold consent where, as is now often the case, the data subject is so heavily dependent on the internet for the provision of goods, services and government facilities?

Most of us today have internet profiles, available to varying extents for use by others who make decisions concerning our lives.  In 1980, it was still substantially possible to “live down” erroneous public attacks or false allegations.  In the print media of those times, it was often said that false accusations would be wrapping the fish and chips in the following week.  But no more.  Electronic personal data will, ordinarily, exist forever unless the law imposes limitations because of the risks of use of out-of-date, false and damaging materials or unless technology itself affords new means of effective expungement of such data.

The fundamental principle of the OECD Guidelines, expressed in para.13, was the right of the individual to retain control over the data penumbra concerning himself or herself.  If that core principle is kept in mind, it should be possible to develop additional guidelines, practices or elaborations to make sure that the basic idea of personal autonomy and self-control that lay behind the 1980 Guidelines is preserved in the context of radically different technology of today.

CONCLUSION
I thank this working party for providing an opportunity to recount something of the history of the OECD Guidelines of 1980.  It was a privilege to be part of their development.  I pay tribute to the OECD Secretariat and to my colleagues on the expert group.  Their spirits are alive in the Chateau today as we remember this notable achievement of the OECD.

Download the speech as PDF here.

Ny amerikansk forskning: Unge er lige så bekymrede for privacy som ældre


To nylige amerikanske forskningsrapporter viser samstemmende, at der ikke er belæg for påstanden om, at unge ikke bekymrer sig om privacy.

Den ene rapport, How different are young adults from older Adults when it comes to information privacy attitudes & policies?, er udarbejdet af  University of California, Berkeley og University of Pennsylvania. Den anden, Youth, Privacy and Reputation, er udgivet af  The Berkman Center for Internet & Society, Harvard University. 

Konklusionen i den første rapport er, “at især de unge voksne (i alderen 18-24) ikke er ligeglade med deres privacy. De indsamlede data viser, at der er mere der samler end der skiller de ældre unge og de ældre med hensyn til emner om privacy”. Forfatterne udlægger det som, “at unge voksne amerikanere har et ønske om øget beskyttelse af privatlivets fred selv når de deltager i en online verden, der er optimeret til at frigive personlige oplysninger.” For fuldstændighedens skyld bemærkes, at ungegruppen, som rapporten har analyseret, ikke uden videre kan betragtes som én homogen gruppe, fordi der mangler huller i den empiriske forskning. 

“Derfor bør den offentlige debat ikke starte med en påstand om,  at unge voksne er ligeglade med privacy og at der derfor ikke er behov for retsregulering og andre sikkerhedsforanstaltninger. Man bør i stedet erkende, at de nuværende forretningsmodeller sammen med andre faktorer til tider tilskynder de unge voksne til at udlevere personlige oplysninger for at opleve social integration selv om de i deres mest rationelle øjeblikke burde handle efter mere konservative normer.

Uddannelse kan være nyttig. Selv om der findes mange uddannelsesprogrammer om internettet for unge voksne, så er fokus for disse programmer mere på den personlige sikkerhed i forhold til online-svindlere og cybermobning med ringe vægt på informationssikkerhed og privacy.

Unge voksnes viden om privacy lovgivning er sikkert forskellig fra ældre voksnes. De er mere tilbøjelige til at tro , at loven beskytter dem både online og offline. Denne mangel på viden i et fristende miljø, snarere end en arrogant og manglende bekymring for privacy, kan være en vigtig årsag til, at et stort antal af de unge voksne engagerer sig på en ubekymret måde i den digitale verden.

Men uddannelse alene er formentlig ikke nok til at de unge voksne opnår en højere grad af forståelse for privacy. Der er højst sandsynligt behov for forskellige former for hjælp fra flere sider af samfundet, herunder måske lovgivning, med henblik på at håndtere de komplekse online strømninger, der står i modsætning til de unge voksnes bedste privacy instinkter.”

Fra rapporten kan det specifikt fremhæves, at “med vigtige undtagelser er en stor procentdel af de unge voksne i harmoni med ældre amerikanere, når det drejer sig om bekymring omkring online privacy…”. Endvidere fremgår det,  at et stort flertal af unge voksne vil nægte at give oplysninger til en virksomhed i de tilfælde, hvor de føler, at det er for personligt eller ikke nødvendigt samt at enhver, først skal få en tilladelse, før han eller hun kan uploade et billede af den pågældende, selv hvis det er taget i det offentlige rum. Det fremgår også, at de unge voksne mener, at der bør være en lov, der giver brugeren ret til at kende alle de personhenførbare oplysninger, der bliver indsamlet om den pågældende og at der bør være en lov, der forpligter websitet til at slette alle de  personrelaterede oplysninger, som er gemt om hans person hos operatøren.

I et efter min opfattelse vigtigt afsnit i den anden forskningsrapport fra The Berkman Center for Internet & Society  om at understøtte de unges adfærd, fremhæves betydningen af forskellige koncepter af privacy. Der peges på, “at studier gentagne gange har vist, at privacy og anonymitet ikke er synonymt med mange unge mennesker.I stedet for at betragte det offentlige og den private rum, som to skarpt adskilt verdener, viser børn og teenagere en mere nuanceret og finmasket forståelse af informationsformidling og kontrol.”

Endvidere fremhæves det, at “voksne ofte forvirres af, at mange unge ikke anser internettet som et offentligt rum. MySpace og Facebook opfattes som private sociale rum, hvor de unge kan engagere sig i personlig chat, sladre, “hænge ud”, flirte, dele hemmeligheder og foretage alle de andre sociale aktiviteter, som de gør, når de er offline med deres jævnaldrende. Omfanget af online-netværks integration børns og teensgers sociale liv er ofte undervurderet. Et fravalg eller at forblive anonym online kan være en social katastrofe for børn, når deres referencegrupper bruger IM, Facebook, MySpace, Xbox Live, YouTube osv. Venskaber starter og slutter ved hjælp af internettets kommunikationsteknologier, og udlevering af personlige oplysninger er en måde at skabe tillid på mellem jævnaldrende.”

Rapportens forfattere nævner herefter behovet for at tage ansvar. Især at voksne har et ansvar for at anerkende deres egne roller i at krænke børn og unges privacy. Endvidere fremdrages det, at der helt sikkert er en rolle for mere privacy uddannelse for unge mennesker.  Som det også er diskuteret i denne rapport, er der ikke meget der tyder på, at teenagere er ligeglade med privacy og endda endnu mindre dokumentation for, at de ikke forstår, hvordan internettet fungerer. Derfor vil “en tilgang til uddannelse, der bygger på at overdrive risici være ineffektiv og sandsynligvis gøre mere skade end gavn”. Vigtigst af alt skal en forståelse af de unges normer være omfattende, før der gennemføres et striks regelsæt.

Forfatterne anbefaler også udvikling af mere privacy-venlige interfaces og kontrolmekanismer (også kaldet privacy enhancing technologies), “fordi privacy i den digitale tidsalder ikke reguleres ved lov eller på baggrund af et informeret brugervalg, men som Lawrence Lessig så berømt har bemærket ved hjælp af computerkoder.”

Til slut diskutterer rapporten fordele og ulemper ved de såkaldte default-settings.

Fra konklusionen i forskningsrapporten kan det fremhæves, at ” unge er stærkt overvåget i hjemmet, i skolen, og i offentlig-heden af en række forskellige overvågningsteknologier. Børn og unge ønsker private sfærer for socialisering, udforskning og eksperimentering væk fra voksne øjne. At lægge personlige oplysninger på nettet  er en måde for de unge til dels, at udtrykke sig selv på, dels at være i kontakt med jævnaldrende samt at øge ens popularitet og forbindelse med venner og grupper af jævnaldrene. I forlængelse heraf ønsker de unge mennesker, at være i stand til at begrænse oplysningerne online på i en nuanceret og differentieret måde.

Populær litteratur (og en del forskning) omfatter beskrivelser af de unge, online teknologier og privacy, der ikke afspejler realiteterne i de fleste børns og teenagers liv. Men dette giver rige muligheder for fremtidig forskning på dette område. Selv om der i rapporten henvises til flere kvalitative og etnografiske studier af unges privacy-praksis og holdninger, er der behov for mere forskningsarbejde på dette område for fuldt ud at forstå ligheder og forskelle i denne aldersgruppe, især inden for selve aldersgrupperne, på tværs af socioøkonomiske klasser, mellem kønnene osv.

I en kommentar til rapporterne er det indledningsvis vigtigt at påpege, at der er tale om amerikansk og tildels europæisk (engelsksproget) forskning, der delvis samler op på hidtil udført forskning. Men desuagtet kan jeg ikke se, hvorfor mange analyser og pointer ikke også vil kunne bruges i en  dansk kontekst. Først og fremmest er det interessant at fastslå, at den tilsyneladende almindelig anerkendte bebrejdelse af  de unge, som at de er ligeglade med pricvacy ikke holder. Der er nu evidens for, at i alt fald de unge i alderen 18-24 år i ligeså høj grad som de ældre er interesseret i privacy, men at det samtidig kan slås fast, at  de opfører sig mere skødesløst online, fordi de tror, at loven giver dem mere beskyttelse end den faktisk gør. Konklusionen synes klart at være i modstrid med Facebook grundlægger Mark Zuckerberg´s udtalelse tidligere på året om, at privacy ikke længere er en “social norm”.

Begge rapporter lægger op til yderligere forskning med henblik på afdækning af brugeradfærd og udvikling af nye brugervenlige og privacybeskyttende teknologier og det kan der kun varmt støttes op om. En væsentlig pointe, som fremhæves i en af rapporterne, er at anlægge et ungeperspektiv for forskningen og ikke betragte de unges online adfærd som eksotisk med anvendelse af en “generationsskifte”-retorik  som forfladiger og overser de unges oplevelser i forskellige sammenhænge. Ligeledes er det værd at have for øje, at idéen om to forskellige sfærer, en “offentlig” og en “privat” på mange måder er en forældet tankegang i forhold til nutidens unge.

Mindsettet om en mere brugerorienteret innovation er i pagt med demokratisk teknologiudvikling, som i en globaliseret verden er vigtigere en nogensinde.  Problemstillingen er eksempelvis taget op i et blogindlæg om biometri og demokrati.

OECD´s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger fylder 30 år i år


23. september 1980 blev OECD’s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) vedtaget. I den forbindelse er der 10. marts 2010, som en første af tre arrangementer til festligholdelse af jubilæet, afholdt en konference i Paris med titlen “30 år efter: konsekvenserne af OECD`s privacy retningslinjer”.

Allerede tilbage i begyndelsen af 1970´erne var man i OECD klar over, at en større og større forskel i nationale love udgjorde en risiko for den frie udveksling af oplysninger mellem landene (trans border data flow i det følgende benævnt TBDF). I 1978 gik man i gang med at udarbejde fælles retningslinjer i tæt samarbejde med Europarådet, som var ved at forberede konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. Ved at sikre visse minimumsstandarder for beskyttelse af privacy og de individuelle frihedsrettigheder med hensyn til personlige data, var det håbet at mindske behovet for regulering af eksport af persondata samt minimere problemer i forbindelse med lovkonflikter.

En række internationale eksperter har givet deres bud de historiske udfordringer og de spørgsmål, der motiverede udviklingen af retningslinjerne. Af særlig interesse kan fremhæves en keynote af The Hon. Michael Kirby AC CMG, der i din tid var formand for OECD Expert Group on Transborder Data Barriers and Privacy Protection. Michael Kirby fratrådte som højesteretsdømmer i Australien i 2009, men er stadig en meget aktiv fortaler for menneskerettigheder og privacy. Han modtog tidligere i år Electronic Privacy Information Centers Privacy Champion Award som anerkendelse for sine meritter.

Michael Kirby fremhæver indledningsvis, at det var interessen for den fri udveksling af data som drivkraft for  økonomisk effektivitet og dermed for demokrati og god regeringsførelse og den fri markedsøkonomi, der i første omgang tiltrak OECD´s opmærksomhed.  OECD´s analyse var, at europæiske regeringers og institutioners bekymring for privacy ville indebære en retslig og økonomisk hindring for en fri grænseoverskridende informationsudveksling, som i høj grad blev promoveret af USA. I Europa var brud på privacy ikke blot en teoretisk fare med erfaringer under 2. verdensskrig om misbrug af persondata fra myndighedernes side stadig i 1978 i stærk erindring. På den anden side anså mange ikke-europæiske lande, at traktatvejen til beskyttelse af privacy var bureaukratisk, dyr at gennemføre, hæmmende for TBDF samt muligvis udtryk for protektionisme. Løsningen på dette dilemma blev, at man i stedet for at udarbejde en traktat, ville opstille generelle principper, som basis for national lovgivning med det håb, at disse principper vil bidrage til en reduktion af  hindringer for gennemførelsen af OECD´s formål.    

Kirby gør det klart, at det ikke har været ekspertudvalgets opgave at “opfinde den dybe tallerken igen”, men at bygge videre på tidligere bidrag af Nordisk Råd, Europarådet, EU samt akademia  og indarbejde de fra denne kontekst nye principper i en interkontinental applikation, der omfatter andre af OECD´s medlemslande, som f.eks. USA, Canada, Storbritannien, Japan, Australian og New Zealand.

Resultaterne af OECD´s retningslinjer falder ifølge Michael Kirby i 4 kategorier:

  • de bygger oven på tidligere arbejde
  • merværdi tilført af OECD, f.eks. teknologineutralitet og klar ansvarstildeling
  • fleksibel implementering
  • deres overlevelse   

Til sidst stiller Michael Kirby spørgsmålet: “hvad med fremtiden?” Skal retningslinjerne fortsat have relevans og betydning, så lægger Kirby vægt på, at man skal være realistisk. Samtidig med at man bør anerkende den objektive værdi af TBDF, skal man være bevidst om, at ” fordelene ved informationsteknologien selvfølgelig kan nå et omfang som forringer det enkelte menneskes mulighed for at kontrollere sin  egen penumbra [læs: sfære] af information.” Et spørgsmål man i relation til OECD bl.a. kan stille er: “Vil den marginale nytteværdi af at forsøge at hindre TBDF, med henblik på at beskytte privacy, opveje de marginale omkostninger ved en sådan indblanding i driften af  TBDF ?”. Det er nødvendigt at forholde sig oprigtigt til dette dilemma og diskutere det åbent, så beslutninger kan træffes i fuld åbenhed. Selvom det må erkendes, at der er visse begrænsninger i den personlige kontrol over data og privacy, så er det vigtigt ikke at opgive beskyttelsen af privacy, “som er en værdi, der dybt rodfæstet i mennesket og som påvirker dets værdighed og integritet”. Betydningen af empiri fremhæves også, fordi retningslinjerne og øvrig lovgivning og rutiner kun kan være effektive, såfremt de    baseres på en præcis og grundig forståelse af den relevante teknologis operation. Derudover er der  spørgsmål om rekonceptualisering. Hermed menes, at OECD påtager sig en rolle med at sikre, at den løbende tilgang til specielle problemer som spam, cybercrime, malware osv. er i harmoni med hinanden og være på vagt overfor en fragmenteret tilgang til hvad der dybest set er integrerede sociale og etiske problemer.  Endelig peges der på nye udfordringer i forhold til masseovervågning, biometri, RFID tags, krop scannere osv. og at privacy-fortalere hele tiden bør være på udkig efter PET-løsninger (privacy enhancing technologies). Som de sidste 3 punkter omtales værdien af det grænseoverskridende samarbejde,  nødvendigheden af slutbruger læring og uddannelse for at opretholde samfundets bevidsthed om værdien af privacy samt spørgsmålet om hvad OECD bør gøre for at inkludere repræsentative holdninger om privacy  fra verdens udviklingslande ?

Afslutningsvis roser Michael Kirby NGO`ere, offentlige institutioner, forskere og enkeltpersoner der arbejder med privacy og informationssikkerhed, fordi graden af  kontrol over den enkeltes personoplysninger i fremtiden vil afhænge af deres indsats.

Download hele talen her.

Jeg er meget enig i Michael Kirby´s synspunkter og fremtidsvurderinger både i forhold til OECD´s position og i forhold til beskyttelse af privacy i almindelighed. OECD er et magtfuldt organ og den måde man har håndteret privacy på er prisværdigt og visionært. Det er uomtvisteligt, at retningslinjerne, der med start i 2011 vil blive gået efter i sømmene i henhold til den såkaldte Seoul Declaration fra 2008, har haft og vil få stor central betydning for privacy og persondatabeskyttelse i fremtiden, forudsat at man betræder erfaringens sti og ikke mister sine  pejlemærker.  

Privacy er et brandaktiv, fastslår amerikansk undersøgelse


Ponemon Institute, der gennemfører uafhængig forskning i privacy, databeskyttelse og informationssikkerhed, har for nylig offentliggjort en undersøgelse om de tyve virksomheder, der har den mest troværdige privacy.

Ponemon Instituttet slår fast, at i et år der betegnes som et turbulent privacy-år, med offentliggørelse af mange fejl og fejltrin, bevarer American Express støt og roligt sin førsteplads på listen over brands,som de amerikanske forbrugere har mest tillid til.  

Det er femte år i træk, at American Express topper listen. IBM, Johnson & Johnson, Hewlett Packard, og E-Bay besætter de fire følgende pladser.
 
Placeringerne er baseret på svar fra 6.627 amerikanere og undersøgelsen har omfattet omkring 38.000 virksomheder af hvilke 229 er blevet rangeret mindst 20 gange. Blandt de brands, der ikke tidligere har været med i top 20 er Google, Weight Watchers, Walmart og AT & T. Derimod er Facebook, AOL, og eLoan ikke med på listen.

Ingen små og mellemstore virksomheder kom med på top 20 og spørgsmålet der kan stilles er, om det skyldes at 56 procent af de små og mellemstore  virksomheder end ikke har en privatlivspolitik offentliggjort på deres hjemmesider? Undersøgelsen viser imidlertid klart, at selvom Facebook har en privacy politik, så kom de ikke med i toppen, hvilket helt sikkert skyldes at 2009 afslørede alvorlige brud på privacy og sikkerheden hos Facebook, der gav anledning til stor offentlig debat om deres privay-settings, siger Larry Ponemon fra institutet. Han udtaler endvidere i rapporten: “Facebook tiltrak sig stor opmærksomhed, da de valgte at forny deres privacy-politik på en meget synlig måde. Mens de blev belønnet for deres indsats sidste år, havde forbrugerne mindre tillid til Facebook i år, hvilket blot viser, hvor vigtigt beskyttelse af privatlivets fred er som et brand-aktiv.”

Mike Spinney, senior analytiker hos Ponemon, mener, at Facebook kan vende tilbage til top 20 listen, ved at have en åben tilgang til privacy. “Det vil tjene virksomheden godt i det lange løb, at reagere på kommentarer fra offentligheden”

Undersøgelsen viser også, at forbrugernes oplevelse af at have kontrol over deres personlige oplysninger er faldet støt: 41 procent i 2010, et fald fra 45 procent i 2009, hvilket var et fald fra 56 procent i 2006, det første år undersøgelsen er blevet gennemført.

Blandt undersøgelsens markante resultater kan fremhæves følgende.

Identitetstyveri er et vigtigt anliggende for de adspurgte. Næsten 60 procent af de adspurgte vurderer, at emnet er væsentlig faktor for hvor meget de har tillid til et brand, og 50 procent udtalte, at notifikation af databrud er en faktor af betydning. Andre trusler mod tilliden til et brand er misbrug af borgerlige frihedsrettigheder og irriterende “baggrundschat” på offentlige sites. Læs: drop unødvendige Twitter og Facebook opdateringer.

Privacy “features” bidrager til at skabe brandtillid. Stor securitybeskyttelse blev identificeret som tillidsskabende af 60 procent af forbrugerne, mens 53 procent siger, at  præcis dataindsamling og brug er vigtig for tilliden. Andre væsentlige positive faktorer er dataminimering samt online-anonymitet. 

Ponemon fremhæver i rapporten, at dataindsamling også omfatter markedsføring og advarer, at virksomhederne skal være forsigtige med brugen af kundeoplysninger.

“Hver gang kunder er udsat for markedsføring, som er irrelevant eller irriterende, er det et spørgsmål om privatlivets fred for dem,” udtaler Ponemon.

 Top-tyve virksomhederne for beskyttelse af privacy i 2010 er:
 
1 American Express (1)
2 IBM (3)
3 Johnson & Johnson (5)
4 Hewlett Packard (6)
5 E-bay (2)
6 U. S. Postal Service (6)
7 Procter & Gamble (7) 
8 Amazon (4) 
8 Nationwide (9)
9 USAA (11) 
10 WebMD (13)
11 Intuit (12)
12 Apple (8)
12 Disney (16)
13 Google (ikke i top 20 sidste år)
14 Verizon (17)
15 US Bank (19)
15 Charles Schwab (10)
16 Weight Watchers (ikke i top 20 sidste år)
17 Yahoo! (14)
18 FedEx (18)
19 Walmart (ikke i top 20 sidate år)
20 AT & T (ikke i top 20 sidste år)
20 Dell (20)

Undersøgelsen har nogle pointer, som efter min opfattelse også vil være relevante i forhold til danske virksomheder og for den sags skyld også offentlige myndigheder. Det er åbenlyst, at privacybranding bør inkorporeres med henblik på at skabe en langsigtet corporate brandværdi. En gennemtænkt holistisk privacypolitik, der er synlig for enhver, kan anbefales.   

Uden at der er tale om en videnskabelig undersøgelse, så viser en stikprøvevis gennemgang af diverse danske hjemmesider, at mange virksomheder og organisationer har en egentlig privacy policy, selvom indholdet varierer meget. Det kan afgjort tages som udtryk for at privacy beskyttelse tages alvorligt og at man er opmærksom på, at den udøver indflydelse på brandingen og markedsføringen af virksomheden og organisationen. Men der er helt klart behov for relevant forskning på området, herunder en lignende dansk undersøgelse af forbrugerforventninger som Ponemon Instituttet har gennemført. 

I 1999 udtalte Scott McNealy, Sun Microsystems chief executive, “You have zero privacy anyway. Get over it.” Og i januar 2010 blev Facebook´s grundlægger Mark Zuckerberg citeret for: “Privacy is dead – get over it”. Man skal selvfølgelig være varsom med generaliseringer og de nævnte smarte “heiku digte” er alt for unuancerede endsige retvisende. Jeg medgiver at privacy er kompliceret og begrebet undergår uomtvisteligt store forandringer i disse år, men i nærværende sammenhæng kan det i alt fald med rette fremføres, at amerikanske forbrugere lægger vægt på privacy og at det kan betale sig for virksomheder og organisationer at have et sæt privacy retningslinjer. Om de så er let forståelige og faktisk sikrer den enkelte forbrugers privacy er et andet spørgsmål. En væsentlig pointe er, at virksomheder og organisationer, har en åben og gennemsigtig politik, der oplyser om det konkrete formål for en dataindsamling og hvorledes persondata vil blive opbevaret og behandlet, herunder hvilke teknikker der er anvendt for at sikre dette. Et reelt brugervalg der sikrer brugerkontrol er at foretrække. At nå dertil er der endnu et stort stykke vej. Information og uddannelse er nøgleord.

Hertil kommer at offentlige myndigheders privacy policy altid bør inkludere det bredest mulige publikum, herunder også borgere, der er skeptiske  overfor den offentlige administration og som har mistillid til den teknologiske udvikling.