Er overvågning et gode for det enkelte menneske ?


Ja, det kan det være, men kun helt undtagelsesvist og forudsætningen er, at enhver overvågning eller observation skal have hjemmel i loven,. Om hvilke regler der gælder ved tv-overvågning henvises til pjece udgivet af Justitsministeriet og Datatilsynet. Om retsvirkningerne mellem de to hovedlove på området henvises til artiklen: Persondataloven og lov om tv-overvågning – gennemtænkt samspil?. For så vidt angår betragtninger om overvågningens rækkevidde kan f.eks. henvises til Forbrugerrådets høringssvar: Tv-overvågningsloven og lov om personoplysninger i forbindelse med det seneste forslag til lovændring, Afvejninger mellem overvågning og databeskyttelse og privacy fremgår eksempelvis af det afsluttende communique fra den 28. Internationale databeskyttelses- og privacykonference i London i 2006.

Enhver lovregulering bør helt grundlæggende være baseret på en nøje afvejning af proportionalitet og nødvendighed.

Hovedreglen i et demokratisk samfund som anerkender de universelle friheds- og menneskerettigheder, er, at det enkelte individ har fuldstændig kontrol og gennemsigtighed med en hvilken som helst overvågning. Derfor bør al overvågning som udgangspunkt være ikke-personhenførbar. Der gælder selvsagt undtagelser i forbindelse med en konkret politimæssig efterforskning, som imidlertid også skal kunne domstolsprøves efterfølgende.

En reel persondatabeskyttelse kan kun lade sig gøre, såfremt den digitale identitet opbygges som en del af et globalt tillidsskabende it-rammeværk (trusted framework). Et sådant rammeværk, der faktisk er et system af systemer (privacy-rammeværk, identitets-rammeværk, kontrol-rammeværk, notifikations-rammeværk osv.) kan defineres som et netværk af binære tillidsrelationer mellem alle parter (eksempelvis helt op til 10 parter med skiftende roller) i en transaktion og som forholder sig til de forsikringer, som er nødvendige for at hver af partnerne kan stole på de andre relevante parter med hensyn til hvert enkelt tillidselement. Flere internationale private organisationer arbejder med forskellige modeller. Processen er kompliceret, omfattende og tidskrævende.

Et af de mere interessante initiativer er taget af Kantara Initiative, der er en sammenslutning af en lang række internationale  virksomheder og organisationer samt nationale myndigheder, der forpligter sig til åbne standarder og at systemer eller processer har  mulighed for at samvirke med hinanden med henblik på at online-netværk bliver mere privacy beskyttende og med indbyggede tillidsskabende elementer i it-miljøerne.

Rammeværket skal naturligvis baseres på egentlige retsgarantier for den enkelte (datasubjektet). Spørgsmålet vil om føje år blive højaktuelt i forbindelse med den større og større udbredelse af pervasive computing, eller ”IT i alting”, dvs. et altomfattende netværk af ”ting” (tøj, biler, smartphones osv.), der er koblet sammen via trådløse forbindelser (RFID, NFC, WiFi, 4G osv.) Et spændende bidrag til hvorledes en effektiv lovgivning kan forenes med den teknologiske udvikling er leveret af professor Mireille Hildebrandt fra Erasmus University i Rotterdam. Hun påpeger med begrebet Ambient Law, at demokratiet er i fare, medmindre  vi finder nye måder på at formulere de retlige rammer for demokratiet og retsstaten som en integreret del af den teknologiske arkitektur, som det er formålet at regulere. Jeg forstår visionen således, at borgerens retsbeskyttelse skal designes direkte ind i teknologi- og computerkoderne.

En meget sigende og vil mange mene skræmmende illustration af overvågning er det af filmkunstneren Chris Oakley producerede videoklip “The Catalogue” fra 2004 som udkrystalliserer en vision om “os set af dem” ved at simulere RFID og CCTV. “The Catalogue” viser hvordan virksomheder kodificerer mennekser. Ved hjælp af manipulation af dagligdagens detailhandel placeres beskueren I en position som et eksternt og lidenskabsløst organ, der observerer menneskeheden som en serie af enheder, hvis værdi er defineret ud fra deres forbrugskapacitet og fremtidige behov.

Skjult overvågning og profilering med henblik på målrettet markedsføring kan ikke accepteres. Selvom der på forhånd er indhentet samtykke af forbrugeren bør beslutningsgrundlaget være meget højt, især fordi business intelligence systemer idag er så avancerede, at man er i stand til at profilere en forbruger mere og mere ud fra færre og færre oplysninger. Mange vil sikkert spørge: “jamen, hvori ligger problemet ?” Problemet er, at der er en stor risiko for, at mange forbrugere ubevidst bliver påtvunget køb, som de, når det kommer til stykket, slet ikke er interesseret i og som i værste fald kan bringe forbrugeren i økonomisk uføre. Cookie-direktivet er bl.a. baseret på disse bevæggrunde. Det bemærkes, at selvom økonomisk kategorisering kan opleves som en uretfærdig stigmatisering af bestemte befolkningsgrupper, så er der ikke umiddelbart tale om diskrimination i lovens forstand, sålænge forskelsbehandlingen ikke relaterer sig til alder, handicap, køn, etnicitet, tro, seksuel orientering, social oprindelse eller en anden specifik diskriminationsgrund.

Samtykke eller ej, så er det efter min opfattelse  heller ikke i orden, at eksempelvis et forsikringsselskab kan tilbyde sine kunder en rabat på bilforsikringen, såfremt bilen bliver forsynet med en GPS, der overfor forsikringsselskabet kan bekræfte, om bilen har været brugt i højrisikosituationer, som f.eks. i forbindelse med pendlertrafik. Udover at forsikringsselskabet betinger sig en total overvågning af forsikringstagerens bilkørsel, så kan man i øvrigt anføre, at forsikringspræmier bør baseres på så objektive kriterier som muligt. Det er til fordel for forbrugeren og vil tjene den samlede forsikringsbranche bedst i længden. Jeg mener ikke, at et sådant forsikringsvilkår  bør kunne  aftales overhovedet.

Men der skal ikke herske nogen tvivl om, at privacy ikke er økonomisk omkostningsfrit i snæver forstand. Hvis der var 100 % overvågning døgnet rundt ude og hjemme vil det sikkert eksempelvis reducere raten af indbrudstyverier og røverier. Mindre bekvemmelighed, færre rabatter og sociale ydelser er den pris vi betaler for større privacy og den pris er værd at betale i længden. Det bør som nævnt kun ved lov og effektiv demokratisk kontrol kunne bestemmes at indskrænke privatlivsbeskyttelsen eller privatsfæren i betydningen det fysiske rum.

Er “retten til at blive glemt” det nye privacy mantra ?


I forbindelse med den igangværende revision af EU´s persondatadirektiv, der har udviklet sig til en lidt langstrakt affære, er der allerede kommet en række udmeldinger fra EU-Kommissionen, der indikerer en række stramninger af det fremtidige direktiv.

Således har Viviane Reding, EU’s kommissær for retlige anliggender, på en nylig afholdt konference i Brussels med en henvisning til Den Europæiske Unions charter om grundlæggende rettigheder slået fast, at EU-borgerens privacy-rettigheder skal bygge på fire piller:

  1. “retten til at blive glemt”
  2. “gennemsigtighed”
  3. “privacy som standardinstilling”
  4. “beskyttelse uanset hvor data er placeret”

Det er princippet om “retten til at blive glemt” (the “Right To Be Forgotten”), som der vil blive set lidt nærmere på her. For god ordens skyld skal det understreges at princippet  ikke udelukkende er møntet på persondata, som defineret i persondatadirektivet og som allerede statuerer en lang række rettigheder til beskyttelse af enkeltpersoners personlige oplysninger.

Retten til at blive glemt er oprindelig en fransk idè, og kan konstrueres på to måder. Den ene har sammenhæng med, at der i fransk lov er et forbud mod ubestemt lagring af persondata, således at den dataansvarlige skal fastsætte en datalagringsperiode, der er forenelig med formålet. Retten til at blive glemt relaterer sig til de yderst sjældne tilfælde, hvor det er nødvendigt at slette persondata. Den anden betydning vedrører retten til berigtigelse og indsigelse. Disse to rettigheder pålægger den dataansvarlige at slette data i de tilfælde, hvor de er ukorrekte, forældede eller hvor dataindsamling slet og ret er forbudt. Det er således ud fra den oprindelige forståelse af begrebet en misforståelse, at man til hver en tid kan kræve, at den dataansvarlige skal slette vedkommendes persondata.

Disse rettigheder følger dog  allerede af den danske persondatalov, herunder at den registrerede til hver en tid  kan tilbagekalde sit samtykke (§ 38), men det vil bero på en konkret vurdering, om oplysningerne skal slettes eller blot blokeres.

Men her går Viviane Reding et skridt videre med en præcisering af, at EU-borgeren ikke alene skal have en mulighed for, men en ret til at tilbagekalde et tidligere givet samtykke til databehandling. Bevisbyrden for at opbevaring af persondata er nødvendig, skal ligge hos den dataansvarlige. Redings talsmand Matthew Newman udtaler endda, “at der ikke må være den mindste flig af information tilbage på en server et eller andet sted. Det er dine data og de bør være væk for evigt.” { “there shouldn’t even be a ghost of your data left in some server somewhere. It’s your data and it should be gone for good.”} Neelie Kroes, EU-kommissær for den digital dagsorden har endvidere i en tale sidste år nuanceret begrebet ved at fremhæve, at det ikke kun er et spørgsmål om at slette data. “Ligesom i det virkelige liv kan man ikke gå ud fra, at der ikke eksisterer optegnelser over ens tidligere aktiviteter. Det der betyder noget er, at disse data uigenkaldeligt anonymiseres, før der gøres brug af dem.”

Ønsket om at blive glemt korresponderer med det synspunkt, at den digitale historik, som vi skaber online, både med vilje og nogle gange uforvarende, skal have lov til at forsvinde gennem en proces, der kaldes for datanedbrydning. Om sidstnævnte princip kan henvises til Data Degradation: Making Private Data Less Sensitive Over Time. Der vil være tale om en betragtelig mængde af elektroniske spor, som man aflægger på kryds og tværs på internettet.

Det er højst tvivlsomt om retten til at blive glemt vil blive en international standard og dermed et slagkraftigt princip uden videre. Eksempelvis garanterer som bekendt Den amerikanske forfatning ikke direkte privatlivets fred, selvom den amerikanske højesteret imidlertid i en række domme har slået fast, at andre garantier implicit sikrer privacy, som dog i visse tilfælde begrænses af den forfatningssikrede ytringsfrihed i First Amendment. Konceptet om “frihed til at observere” processer og data hyldes i udpræget grad ligesom det er en gængs amerikansk opfattelse, at “persondata er magt” og opfattes som en decideret vare (intellektuel rettighed).

I skærende modsætning hertil vil en europæisk debat om beskyttelse af privacy tage udgangspunkt i et menneskerettighedsmæssigt perspektiv, hvilket jeg personligt bifalder fuldt ud. Man kan ikke tale om kommerciel ejendomsret i forbindelse med privacy, fordi privacy er knyttet til det at være et menneske som sådan. Denne ret kan ikke fraviges eller overføres til andre (enten kommercielt eller af andre grunde). Man kan også udtrykke det således, at menneskerettighederne udgør og opretholder en persons personlige integritet og at privacy er en ret (værdi), som man bliver nødt til at beskytte, fordi privacy styrker tillid og tryghed blandt mennesker. Som udgangspunkt ejer man derfor selv sine personlige data. Om ejerskab og ophavsret til persondata kan i øvrigt henvises til Hvem “ejer” dine data?

Med dette tankesæt på plads giver det mening med princippet om retten til at blive glemt. Der er behov for at give forbrugeren flere universelle online-rettigheder og retten til at blive glemt er et perspektivrigt almengyldigt privacy by design-princip, såfremt det får retsvirkning i både den private som offentlige sektor. Men før dette princip kan realiseres er der imidlertid behov for at præcisere begrebet. I den forbindelse kan det overvejes at gøre princippet flerstrenget ved bl.a. at inkorporere det franske koncept. Endvidere er det væsentligt at gøre retten til at blive glemt operationelt som en såkaldt privatlivsfremmende teknologi i tilknytning til passende modeller for retshåndhævelse. Når data er lagt ud i offentlig domæne vi det være teknisk meget vanskeligt effektivt at indfange, eftersom data kan være tilgængelig på adskillige servere verden over. Dette problem synes at blive aktualiseret i yderligere grad i forbindelse med cloud computing, hvor det kan frygtes, at formidling og overlapning af personlige oplysninger vil medføre, at man aldrig rigtig kan være sikker på, at en udrensning vil hindre at data alligevel dukker op før eller siden. Hertil kommer, at princippets globale rækkevidde og dermed dets egentlige nyskabende værdi forudsætter en international implementering også uden for EU og det har efter alt at dømme lange udsigter.

Den internationale databeskyttelsesdag 28. januar 2011


Den europæiske konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (også kaldet konvention nr. 108) blev udfærdiget 28. Januar 1981 og i øvrigt ratificeret af Danmark 6. oktober 1989.

Eftersom konventionen er en hjørnesten i europæisk databeskyttelse og privacy og forløberen for EU´s databeskyttelsesdirektiv fra 1995 markerer Europarådet hvert år siden 2007 på netop 28. januar den såkaldte databeskyttelsesdag. Formålet er at fremme databeskyttelse som en grundlæggende rettighed og at skabe større forståelse for privatlivsbeskyttelse blandt Europarådets 47 medlemslande. Udenfor Europa gennemføres dagen som Data Privacy Day, bl.a. i USA. På dagen arrangerer Europarådet i samarbejde med EU-Kommissionen i år en konference i Brussels med titlen “Everyone has the right to the protection of personal data concerning him or her” for at festligholde konventionens 30 års jubilæum. Europarådet opfordrer hvert år de enkelte medlemslande til at gennemføre passende aktiviteter på databeskyttelsesdagen.

Når Europarådet og EU forener kræfterne for at skabe større opmærksomhed om databeskyttelse og privacy, så sker det ud fra en klar erkendelse af, at der er en nøje sammmenhæng mellem at sikre de fundamentale menneskerettigheder (informationssikkerhed/privatlivsbeskyttelse) og befolkningernes velfærd og tryghed i Europa.

Når det kommer til stykket, så kerer vi os faktisk om vort privatliv og personlige oplysninger. Men er der egentlig grund til at fejre noget som helst i 2011, når man ser tilbage på de skærpede terrorlove efter 11. september 2001, logningsbekendtgørelsens ikrafttræden, indførelsen af det biometriske pas, udpræget sporing af internetvaner, udbredelsen af sociale netværk, den generelle teknologiske udvikling osv. ?

Ja, det er der bestemt efter min opfattelse. Lad mig nævne nogle dugfriske eksempler på privacystyrkende tiltag i flæng. Den danske regering finder ifølge en redegørelse i efteråret 2010 ingen anledning til en yderligere skærpelse af anti-terrorpakkerne. De nye regler om swift/udveksling af data samt passagerdata (PNR) mellem USA og EU sikrer en bedre persondatabeskyttelse. En ny dansk bekendtgørelse baseret på EU-regulering er på vej, som regulerer brug af cookies på nettet med udvidet forbrugersamtykke og bedre information. En revision af EU´s logningsdirektiv forventes at indføre en større harmonisering, herunder en ensartet opbevaringsfrist. Efter de udmeldinger der indtil nu er fremkommet, kan man se frem til, at EU´s persondatadirektiv vil blive opdateret med bl.a. klarere regler for ansvarsfordeling samt præcisering af teknologiske principper for privacy by design. For nylig har IT- og Telestyrelsen præsenteret et diskussionsoplæg til nye digitale sikkerhedsmodeller med et hidtil uset fokus på et privacydesign.

Men fremfor alt er det mit indtryk, at flere og flere virksomheder, myndigheder, organisationer, udbydere af onlinetjenester samt forskningen er blevet mere interesseret og bevidt om privatlivsbeskyttelse og udvikling af produkter og løsninger, som beskytter borgerens persondata.

Andre steder på bloggen kan man læse mere om bl.a. EU´s tilgang til persondatabekyttelse og forskellige internationale forskningsrapporter om privacy. Under ressource center findes i øvrigt vel nok Danmarks største samling af alsidig og tværfaglig information om privacy.

Den offentlige debat har uden tvivl haft sin positive indflydelse på lovgiverne og andre opinionsdannere. Man kan sagtens mene, at det slet ikke er nok og at vi stadig lever i et decideret overvågningssamfund, hvor der står meget tilbage at ønske. Fremfor alt sløses der alt for meget med personlige oplysninger overalt, så en holdningsændring er grundlæggende nødvendig. Men det er dog skridt i den rigtige retning og der er god anledning til at rose f.eks. IT- og Telestyrelsen for fremsyn og også tidligere videnskabsminister Hele Sander, som i 2006 tog initiativ til at nedsætte det såkaldte Privacy Forum. I bund og grund er det vel egentlig bedst at være optimistisk af natur.

Som en kærkommen lejlighed vil jeg gerne opfordre alle til at sætte persondata- og privatlivsbeskyttelse på dagsordenen 28. januar. Afsæt f.eks. en halv time på jeres arbejdplads, på cafeen eller derhjemme ved middagsbordet med hele familien til at diskuttere hvordan I hver især oplever den beskyttelse og behandling, der er knyttet til jeres helt personlige oplysninger i forhold til f. eks. jeres arbejdsgiver, når I handler i en butik eller køber ind online , rejser, benytter sundhedsvæsenet eller når I surfer på nettet eller bruger Facebook. Nogle spørgsmål man kan stille sig i debatten kan f.eks. være: Har jeres arbejdsgiver udarbejdet retningslinjer for brug af sociale netværk i arbejdstiden ? Er der nogen der har været udsat for identitetstyveri eller krænkelse af privatsfæren ? Snager medierne for meget i personers privatliv ? Oplever I videoovervågning som et problem eller er synspunktet om at “jeg ikke har noget at skjule” godt nok ? Skal man som bruger have effektiv kontrol med hvad man lægger ud på internettet og  mulighed for at korrigere, tilbagekalde eller slette det (retten til at blive glemt på nettet) ?

For at lave konkret branding af temadagen har Dansk Privacy Netværk fået lavet et logo som hermed stilles til fri rådighed og som kan benyttes af enhver der afvikler en relevant aktivitet eller begivenhed på databeskyttelsesdagen nu og fremover. Tjek nærmere regler for brug af logo og download logoet her.

Datatilsynet gennemfører i dagens anledning en række spændende events. For nærmere oplysning henvises til tilsynets hjemmeside. Læs også EU-Kommissionens pressemeddelse Databeskyttelsesdag: garantier for beskyttelsen af privatlivets fred.

Dansk Privacy Netværk ønsker alle en rigtig god og udbytterig databeskyttelsesdag !

“Eo Romam iterum crucifigi”


Overskriften hedder på dansk: “Jeg er på vej til Rom for at blive korsfæstet igen” og er ifølge den oldkirkelige tradition Jesus Kristus svar til apostlen Peters berømte spørgsmål: ” Quo vadis?” eller: hvor går du hen, herre?  Jesus Kristus skal ind til Rom for at blive korsfæstet igen, denne gang på Peters vegne, så Peter vender om og går tilbage til sin korsfæstelse i Neros cirkus.

Jeg tillader mig at opfordre regeringen til at stille sig selv det samme legendariske spørgsmål, efter at anti-terrorpakke I og anti-terrorpakke II blev gennemført i henholdsvis 2002 og 2006. Anledningen er, at  Justitsministeriet 9. september 2010 har offentliggjort en redegørelse om erfaringerne med denne lovgivning, der har til formål at sikre en tilstrækkelig effektiv indsats mod terrorisme. Til brug for redegørelsen har Justitsministeriet i det væsentligste indhentet udtalelser fra Rigsadvokaten, Rigspolitiet og Politiets Efterretningstjeneste.

Med det kommissorium og de deltagende høringsparter er det ikke overraskende, at redegørelsen ret ukritisk har fokus på lovenes forebyggende og efterforskningsmæssige effekt. Det er der i princippet ikke noget forkert i, men jeg er nu helt enig i den kritik, som chefjurist Jacob Mchangama, Cepos giver udtryk for i et notat 7. oktober 2010. Der er behov for en langt mere afbalanceret afvejning af de modsatrettede hensyn i forbindelse med terrorbekæmpelsen og specifikt i forhold til privatlivsbeskyttelsen.

Men det kan jo nås endnu. Regeringen kunne i øvrigt lade sig inspirere af den britiske indenrigsminister Theresa May, som i forbindelse med en revision af dele af den engelske terrorlovgivning bl.a. har inviteret den private non-profit organisation Liberty til at komme med et bidrag. Liberty´s formål er at fremme værdier som værdighed, ligebehandling og fairness for det enkelte menneske, som grundlaget for et demokratisk samfund.

Liberty´s svar med den sigende titel: From “war” to law, fremhæver i forordet, “at  det er en vital opgave for regeringen, politi og anklagemyndighed at beskytte liv og en demokratisk livsførelse og at rammeværket for de fundamentale friheds- og menneskerettigheder udgør den underliggende filosofi, der adskiller os fra tyranner og terrorister. Det er robust og tilstrækkelig fleksibelt til at modstå voldelige og ideologiske trusler og binder et forskelligartet samfund sammen og giver inspiration og modstandskraft i svære tider”.

Det skal understreges at den engelske terrorlovgivning på flere punkter er langt mere vidtrækkende end den danske, men rapporten tjener alligevel efter min opfattelse til at være en øjenåbner for de principielle overvejelser for og imod mere anti-terrorlovgivning og overvågning.

Privatlivsbeskyttelsen fremhæves flere steder i rapporten med henvisning til Den europæiske Menneskerettighedskonventions artikel 8 om ret til respekt for privatliv og familieliv. Det pointeres, at der er tale om en “kvalificeret og balanceret” ret, men enhver indgriben bør være nødvendig, proportional og i henhold til lov. Rapporten nævner eksempelvis, at adgang til kommunikationsdata, der tilsyneladende opleves som en af de mindst intruderende overvågningsmetoder, imidlertid  kan have en alvorlig indvirkning på privatlivsbeskyttelsen, fordi det er muligt at opbygge et detaljeret billede af et menneskes aktiviteter, livsstil og referencer.

Om logningsbekendtgørelsen, der som bekendt pålægger teleudbydere at registrere og opbevare oplysninger om tele- og internetdata (dog ikke pakkedata), er der tidligere blevet fremsat europæisk og dansk kritik, herunder fra Retssikkerhedsfonden.

Det kan forekomme en smule overraskende at Justitsministeriet ikke i højere grad i sin redegørelse har inddraget den kommende revision af EU-persondatadirektivet samt den skærpelse af privacy, som for tiden er genstand for overvejelser i EU-Kommissionen og hvor netop  Lissabontraktaten nu giver EU mulighed for at fastsætte omfattende og sammenhængende regler om databeskyttelse for alle sektorer, herunder politi og strafferet. Sidstnævnte omstændighed vil netop kunne få betydning for en fremtidig revision af logningsdirektivet. I et offentliggjort kommuniké 20.7. 2010 fra EU-Kommissionen til Europa-Parlamentet om resultater og fremtidige udfordringer for EU´s anti-terror policy fremgår det, at udfordringen består i at sørge for, at instrumenter til dataudveksling dækker reelle behov, således at medlemsstaterne kan udveksle den information, der er nødvendig til at hindre og bekæmpe terroranslag og samtidig sikre fuld respekt for retten til privatliv og databeskyttelse.

I en rapport fra ESRIF, der har debatteret aspekter af europæisk forskning og innovation med det formål at styrke borgerens sikkerhed, fremgår det   “at beskyttelse af EU’s befolkning og infrastruktur skal afspejle god regeringsførelse, økonomisk fornuft og respekt for grundlæggende rettigheder og Europas kulturelle værdier”.

Det er naturligvis ikke en let opgave at sikre anti-terrorbekæmpelsen og privatlivsbeskyttelsen på én og samme tid, men det kan og skal lade sig gøre i et demokratisk samfund. Det er sagt før, men kan godt gentages: effektiv sikkerhed og privatlivsbeskyttelse er begge med til at give borgeren tryghed. Der er ikke tale om et enten eller, men om et både og. Konkret skal der foretages en vurdering af et indgrebs proportionalitet og nødvendighed i forhold til privatlivsbeskyttelsen (og de øvrige friheds- og menneskerettigheder). Den nugældende anti-terror lovgivning har jo virket, så der er efter min mening ingen anledning til at tildele yderligere beføjelser til de retshåndhævende myndigheder, men snarere at begrænse dem.  Eksempelvis kunne kriterierne for domstolsprøvelsen præciseres  skarpere samt efterretningstjenestens efterforskningsmidler afgrænses mere i forhold til selve afværgelsen af terrorhandlingen. Der er derfor heller ingen grund til at mere terrorbekæmpelse sker på demokratiets og retsstatens bekostning. Nok er nok. Det er sådan set også regeringens holdning og det er jo altid noget. Men det er imidlertid nødvendigt med en forbedring af privacy og retsbeskyttelsen for den enkelte på en række specifikke områder og den kan gennemføres med god samvittighed.

Danmark bør gå i front med CSR-innovation i menneskerettigheder


Danmark og CSR

I Forsk2015 kataloget (maj 2008), der identificerer og prioriterer Danmarks strategiske forskningstemaer, fremhæves virksomhedernes evne til at innovere som en central udfordring og at en strategisk forskningsindsats skal tilvejebringe et forbedret videngrundlag for virksomhedsledere, medarbejdere og politikere omkring den måde, hvorpå innovationsprocesser ledes, organiseres og fremmes bedst muligt. Målet er at bringe Danmark op blandt de mest innovative lande i verden.

Regeringen har i sin handlingsplan for virksomheders samfundsansvar (maj 2008) sat sig et visionært mål om, at udbrede forretningsdrevet samfundsansvar blandt både store og mindre virksomheder.

Om forretningsdrevet samfundsansvar foreslår regeringen for eksempel, at virksomhederne kan udvikle nye produkter eller ydelser, der indeholder en social eller miljømæssig dimension.

I forbindelse med et af de fire indsatsområder i handlingsplanen om udbredelse af forretningsdrevet samfundsansvar vil regeringen bl.a. øge rådgivningen om innovation og samfundsansvar til små og mellemstore virksomheder i de regionale væksthuse.

I tilknytning til denne aktivitet har Center for Samfundsansvar netop stået i spidsen for et nordisk projekt om CSR-drevet innovation, der har til formål at støtte en innovationsproces, der med udgangspunkt i sociale eller miljømæssige hensyn bidrager til udvikling af en service eller et produkt, der er økonomisk rentabelt samtidigt med, at det gavner medarbejdere, miljø eller samfund på nye måder.

Endvidere har Europa-kommissionen med den “Europæiske Alliance for CSR” til hensigt at medvirke til at få de europæiske virksomheder til at acceptere Corporate Social Responsibility og at øge støtten til og anerkendelsen af CSR som et bidrag til en overordnet bæredygtig udvikling og til Europæisk vækst og beskæftigelse. Alliancens medlem- mer har bl.a. identificeret et prioritetsområde baseret på samfundsmæssige behov, at fremme innovation inden for bæredygtig teknologi, produkter og services samt at skabe innovation på miljøområdet med specifikt fokus på at integrere den miljømæssige nyttevirkning og energibesparelser i produkt- og service udviklingsprocessen.

Danmark og IKT

Det fremgår ligeledes af FORSK2015 kataloget, at visionen er, at Danmark i 2015 er ledende inden for udvikling af nye innovative IKT-baserede produkter og services samtidig med, at samfundets behov og den generelle IKT udvikling i højere grad sammentænkes. En central passage i kataloget er følgende: ” Der vil i en række sammenhænge også være behov for at indtænke emner som sikkerhed, pålidelighed, tryghed og privacy i forskningen.”

I 2008 rangerer FN’s E-Government Survey Danmark blandt de øverste to lande i offentlig e-parathed kun overgået af USA. Endvidere er Danmark placeret blandt de fem første lande på globalt plan i indeks om e-parathed (EIU 2008). Hertil kommer, at  EIU World Investment Prospects anser Danmark for at have det mest erhvervsvenlige miljø i perioden 2007-2011.

Europa-Kommissionens Digital Competitiveness Report (august 2009) viser, at Danmark er blandt de bedste nationer for de fleste i2010 indikatorer og er en klar frontløber i udviklingen af informations-samfundet. Med en handlingsplan for grøn IT lanceret i 2008, er Danmark også i front med hensyn til miljøvenlig anvendelse af IKT.

Selvom Danmark på det seneste på visse punkter har mistet lidt af sin førerposition, så vidner tal som disse om, at Danmark er en verdensklasse IKT-klynge, og at regionen besidder et enormt forretningspotentiale for internationale IKT-aktører. Danmark har en stor koncentration af virksomheder, der arbejder inden for IKT-området, og den største IKT-klynge i Danmark er placeret i det Storkøbenhavnske område og spænder over den sydlige del af Sverige.

Denne grænseoverskridende IKT klynge har en arbejdsstyrke på 100.000 IKT-medarbejdere og fungerer som en fremragende indgang til den skandinaviske IKT-industri.

Danmark og CSR-IKT innovation

En virksomheds samfundsansvar drejer sig også om at respektere og fremme de grundlæggende menneskerettigheder. 6 af FN´s 10 principper for samfundsansvar for virksomheder (Global Compact) fremhæver, at virksomheder bør støtte og respektere internationalt erklærede menneskerettigheder; samt sikre, at den ikke medvirker til krænkelser.

Imidlertid er der ikke den store fokus på at udvikle nye produkter eller serviceydelser, der indeholder en menneskeretlig dimension. CSR-innovation og design i menneskerettigheder kan på samme måde som et  miljømæssigt engagement være knyttet til en virksomheds forretning og forretningsmodel, til processer og teknologier og til bestemte produkter og services med henblik på at fremme en udvikling af de grundlæggende menneskerettigheder.

Som udgangspunkt vil der kunne opnås en særlig synergieffekt ved at fokusere på  menneskerettigheder, som har en særlig betydning for IKT området, såsom informations- og ytringsfriheden, retten til at deltage i teknologisk udvikling samt retten til privatlivets fred.

CSR-innovation og design i menneskerettigheder (eller CSR-innovation and design in human rights) vil ikke alene kunne være rettet mod løsning af bestemte menneskerettighedsmæssige problemer båret af et samfundsmæssigt hensyn men også være specifikt markedsorienteret. Et paradigmeskift med forretningsmodeller, teknologier, samarbejdsmodeller, idéskabelse og iværksætteri i et menneskeret-tighedsmæssigt perspektiv vil befordre en ny almengyldig og fundamental tilgang til ansvarlig innovation.

Den ekspansive udvikling af overvågningsteknologier som f.eks. RFID, biometri, GPS, CCTV, MEMS, smart ID-kort osv. især efter 11/9, har samtidig medført ny og spændende forskning og udvikling i privacy enhancing technologies (PET). Disse PET løsninger er et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket behandling af persondata uden at miste datasystemets funktionalitet, Business casen viser, at der kan designes teknologier til beskyttelse af privatlivets fred, som jo er en basal menneskeret (Menneskerettigheds-erklæringens artikel 12).

CSR innovation og design i menneskerettigheder skal være med til at udvikle nye teknologier ( f.eks. ambient intelligence i sammenhæng med embedded system design), videnskoncepter og videnskompetencer. Mange relevante nøgleteknologier eksisterer allerede, men skal videreudvikles og forfines til specifikke formål i en ny kontekst (teknologisk konvergens) i sammenhæng med udvikling af nye forbrugerorienterede markedsmekanismer. CSR innovation and design in human rights er ikke kun en ny trendy public relation idé, men et helhedsorienteret, nytænkende og skelsættende koncept med en forretningsmæssig forankring, som skal bidrage til at eliminere den tilsyneladende dikotomi mellem profit og etiske principper ved at gøre investeringer i human rights profitable i både snæver og bredere forstand.

Danmark er verdens mest innovative land med hensyn til virksomheders samfundsansvar (CSR) også kaldet samfundsansvarlig virksomhedsinnovation eller CSI. Der er mange gode grunde til at fastholde og udbygge denne førerposition ved at udnytte etablerede ressourcer, kompetencer og synergieffekter til at satse på det hidtil ret oversete aspekt af CSR, der synes at have et signifikant globalt potentiale. Om brugerdreven innovation og demokratisk teknologiudvikling, der ligger i forlængelse af CSR, henvises til et blogindlæg om biometri.

Forskellige initiativer med en række aktører vil derfor blive undersøgt i den kommende tid.  Eventuelt interesserede er velkommen til at rette henvendelse til Dansk Privacy netværk´s sekretariat.

EU-ekspertrapport anbefaler en grundlæggende tilgang til databeskyttelse


Europa-Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed har netop offentliggjort en ekspert-rapport der på ny understreger, at en revision af EU´s persondatadirektiv skal leve op kravene i henhold til den europæiske menneskerettighedskonvention og medlemsstaternes forfatninger. Det fremhæves i rapportens resumé, at persondatadirektivets principper, bestemmelser og kriterier er en del af de grundlæggende menneskerettigheder, og at de har bestået sin prøve, selvom de i visse henseender har et behov for at blive styrket.

Rapporten fremhæver også det i den løbende debat tidligere fremførte argument, at persondatadirektivet til trods herfor  ikke har været tilstrækkelig implementeret og håndhævet og det er den teknologiske udvikling, der er årsag hertil,omend visse nye teknologier kan medvirke til en bedre gennemførelse af direktivet.

Eksperterne mener, at databeskyttelseslovgivningen i EU derfor fortsat bør være baseret på principperne i direktivet og at implementeringen af disse bredt formulerede standarder skal præciseres, hvorimod der ikke er behov for en egentlig revision. Tværtimod udtrykker rapporten, “at direktivet reflekterer europæiske og nationale standarder for forfatnings- og menneskerettigheder, som der er et tvingende behov for at få genbekræftet”. Herefter opstilles en række anbefalinger som følger:

  • Databeskyttelsesprincipperne bør umiddelbart udstrækkes til alle områder, som før har været omfattet af de forskellige EU søjler, herunder søjle 3 aktiviteter [kriminalitetsbekæmpelse]
  • Standardindstillingerne for sociale netværkstjenester bør være privacyvenlige
  • Klarere regler for hvad der er gældende lovgivning for virksomheder inden for og uden for EU/EEA
  • Mere harmonisering baseret på fortolkninger og formulering af “best practice” af WP29 i konsultation med EU-Kommisisonen
  • Mere samarbejde med ikke-EU-lande
  •  Behov for at sikre en langt større overensstemmelse med eksisterende lovgivning ved hjælp af PIA´s, privacy audits eller privacy seals
  • Behov for at styrke individets rettigheder og retshåndhævelsesmidler (muligvis sammen med eller gennem relevante  NGO´ere) og
  • Behov for at videreudvikle supplerende og alternative foranstaltninger (og samtidig forstå indbyggede begrænsninger og praktiske restriktioner for sådanne foranstaltninger) på baggrund af realistiske og tekniske undersøgelser

Hovedbidragene til rapporten er forfattet af  Dr. Ian Brown, University College London og professor Douwe Korff, London Metropolitan University. Specielle ekspertbidrag er bl.a. professor Chris Hoofnagle, University of California og professor Peter Blume fra Københavns Universitet.  Professor Ross Anderson, University of Cambridge og privacy strategist Caspar Bowden, Microsoft har blandt andre fungeret som rådgivere.

Rapporten er et vægtigt stykke arbejde, hvis anbefalinger er i harmoni med tidligere bidrag fra andre eksperter og som efter min personlige opfattelse fuldt ud kan tiltrædes.  Rapportens perspektivering i relation til de europæiske forfatnings- og menneskerettigheder er god og væsentlig.

Af rapportens mange interessante temaer og vurderinger vil jeg alene knytte nogle yderligere kommentarer til teknologiaspektet, netop fordi rapportens forfattere fremhæver, at   spørgsmålet om datasikkerhed også hænger sammen med spørgsmålet om de såkaldte privacy enhancing technologies (privatlivsfremmende teknologier). Disse databeskyttelsesværktøjer bør klart være en lovmæssig integreret del af  defaults for opsætning af parametre til internet brug.

Rapporten fremhæver eksempelvis, at det franske datatilsyn, CNIL i lang tid har anbefalet indførelsen af privacy enhancing technologies og har et tæt samarbejde med erhvervslivet. Ifølge fransk lovgivning har CNIL nu mulighed for at fremkomme med en udtalelse om en bestemt PET-løsning overholder gældende lov og yder reel beskyttelse. På denne måde kan CNIL “blåstemple” bestemte produkter (eller tilbageholde en sådan godkendelse).

Det er en udmærket ide at overveje nedsættelsen af et særligt organ af databeskyttelsesmyndigheder i EU/EEA (European Economic Area) i tæt samarbejde med artikel 29- arbejdsgruppen og EU-Kommissionen vedrørende spørgsmål om European Privacy Seal, europæiske adfærdskodeks og de såkaldte Binding Corporate Rules (BCR). ekspertholdet har her ladet sig inspirere af den praksis der har udviklet sig i den tyske delstat Schleswig-Holstein, hvor det anerkendte Unabhängiges Landeszentrum für Datenschutz (ULD) er koordinator på EuroPriSe Project  (The European Privacy Seal). Der er endnu ikke blevet certificeret eksperter (teknisk/juridisk) fra Danmark.

Rapportens undersøgelse af de potentielle fordele og begrænsninger og konstateringen af det manglende markedsgennembrud for PETs er yderst relevant. Løsningsforslagene er et centralt punkt i rapporten. Jeg er helt enig i, at yderligere lovgivning, f.eks. et krav om notifikation og straf ved databrud [der foreløbig er på vej i EU gældende for telekommunikationsbranchen], helt sikkert vil medvirke til at gøre det økonomisk attraktivt at beskytte privacy. Ligeledes er det sund fornuft at fremme PETs i forbindelse med offentlige udbudskrav, udstedelse af privacy-certificeringer (privacy seals) samt indførelsen af en regel om, at bevisbyrden for databeskyttelse placeres hos den, der bedst er i stand til at sikre databeskyttelsen i stedet for at sende regningen videre til forbrugeren.

Desuden vil jeg gerne fremhæve, at standardiseringsarbejdet indenfor privacy forceres og udbygges. For så vidt angår en lov om notifikation ved databrud er det min personlige opfattelse, at en sådan regel skal være obligatorisk for alle ( virksomheder, organisationer og myndigheder) og at man bør vægte notifikationspligten højere end de pønale hensyn.  En kombination af nye lovkrav, selv- eller medregulering og supplerende mekanismer synes at være vejen frem.

Det står efterhånden klart, at det danske datatilsyn bør have tilført yderligere ressourcer og teknisk ekspertise til en mere aktiv rolle. I den forbindelse har jeg selv ved flere lejligheder foreslået et nærmere samarbejde mellem en række aktører og Datatilsynet, præcis som ekspertrapporten plæderer for (på linje med Rand-rapporten fra sidste år).  På dette sted giver det også mening på ny at opfordre relevante private organisationer og erhvervslivet til aktivt at arbejde for udbredelsen af diverse adfærdskodeks, som persondataloven åbner mulighed for.

Download den endelige rapport her. Som bilag til rapporten er udfærdiget 2 arbejdsdokumenter, henholdsvis  The challenges to European data protection laws and principles og  Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments. Rapporten omfatter også en række landestudier, herunder af Danmark, som professor Blume har stået for.  Der findes også et sammendrag af rapporten.

OECD´s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger fylder 30 år i år


23. september 1980 blev OECD’s retningslinjer om beskyttelse af privatlivets fred og grænseoverskridende overførsel af personoplysninger (OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) vedtaget. I den forbindelse er der 10. marts 2010, som en første af tre arrangementer til festligholdelse af jubilæet, afholdt en konference i Paris med titlen “30 år efter: konsekvenserne af OECD`s privacy retningslinjer”.

Allerede tilbage i begyndelsen af 1970´erne var man i OECD klar over, at en større og større forskel i nationale love udgjorde en risiko for den frie udveksling af oplysninger mellem landene (trans border data flow i det følgende benævnt TBDF). I 1978 gik man i gang med at udarbejde fælles retningslinjer i tæt samarbejde med Europarådet, som var ved at forberede konventionen om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger. Ved at sikre visse minimumsstandarder for beskyttelse af privacy og de individuelle frihedsrettigheder med hensyn til personlige data, var det håbet at mindske behovet for regulering af eksport af persondata samt minimere problemer i forbindelse med lovkonflikter.

En række internationale eksperter har givet deres bud de historiske udfordringer og de spørgsmål, der motiverede udviklingen af retningslinjerne. Af særlig interesse kan fremhæves en keynote af The Hon. Michael Kirby AC CMG, der i din tid var formand for OECD Expert Group on Transborder Data Barriers and Privacy Protection. Michael Kirby fratrådte som højesteretsdømmer i Australien i 2009, men er stadig en meget aktiv fortaler for menneskerettigheder og privacy. Han modtog tidligere i år Electronic Privacy Information Centers Privacy Champion Award som anerkendelse for sine meritter.

Michael Kirby fremhæver indledningsvis, at det var interessen for den fri udveksling af data som drivkraft for  økonomisk effektivitet og dermed for demokrati og god regeringsførelse og den fri markedsøkonomi, der i første omgang tiltrak OECD´s opmærksomhed.  OECD´s analyse var, at europæiske regeringers og institutioners bekymring for privacy ville indebære en retslig og økonomisk hindring for en fri grænseoverskridende informationsudveksling, som i høj grad blev promoveret af USA. I Europa var brud på privacy ikke blot en teoretisk fare med erfaringer under 2. verdensskrig om misbrug af persondata fra myndighedernes side stadig i 1978 i stærk erindring. På den anden side anså mange ikke-europæiske lande, at traktatvejen til beskyttelse af privacy var bureaukratisk, dyr at gennemføre, hæmmende for TBDF samt muligvis udtryk for protektionisme. Løsningen på dette dilemma blev, at man i stedet for at udarbejde en traktat, ville opstille generelle principper, som basis for national lovgivning med det håb, at disse principper vil bidrage til en reduktion af  hindringer for gennemførelsen af OECD´s formål.    

Kirby gør det klart, at det ikke har været ekspertudvalgets opgave at “opfinde den dybe tallerken igen”, men at bygge videre på tidligere bidrag af Nordisk Råd, Europarådet, EU samt akademia  og indarbejde de fra denne kontekst nye principper i en interkontinental applikation, der omfatter andre af OECD´s medlemslande, som f.eks. USA, Canada, Storbritannien, Japan, Australian og New Zealand.

Resultaterne af OECD´s retningslinjer falder ifølge Michael Kirby i 4 kategorier:

  • de bygger oven på tidligere arbejde
  • merværdi tilført af OECD, f.eks. teknologineutralitet og klar ansvarstildeling
  • fleksibel implementering
  • deres overlevelse   

Til sidst stiller Michael Kirby spørgsmålet: “hvad med fremtiden?” Skal retningslinjerne fortsat have relevans og betydning, så lægger Kirby vægt på, at man skal være realistisk. Samtidig med at man bør anerkende den objektive værdi af TBDF, skal man være bevidst om, at ” fordelene ved informationsteknologien selvfølgelig kan nå et omfang som forringer det enkelte menneskes mulighed for at kontrollere sin  egen penumbra [læs: sfære] af information.” Et spørgsmål man i relation til OECD bl.a. kan stille er: “Vil den marginale nytteværdi af at forsøge at hindre TBDF, med henblik på at beskytte privacy, opveje de marginale omkostninger ved en sådan indblanding i driften af  TBDF ?”. Det er nødvendigt at forholde sig oprigtigt til dette dilemma og diskutere det åbent, så beslutninger kan træffes i fuld åbenhed. Selvom det må erkendes, at der er visse begrænsninger i den personlige kontrol over data og privacy, så er det vigtigt ikke at opgive beskyttelsen af privacy, “som er en værdi, der dybt rodfæstet i mennesket og som påvirker dets værdighed og integritet”. Betydningen af empiri fremhæves også, fordi retningslinjerne og øvrig lovgivning og rutiner kun kan være effektive, såfremt de    baseres på en præcis og grundig forståelse af den relevante teknologis operation. Derudover er der  spørgsmål om rekonceptualisering. Hermed menes, at OECD påtager sig en rolle med at sikre, at den løbende tilgang til specielle problemer som spam, cybercrime, malware osv. er i harmoni med hinanden og være på vagt overfor en fragmenteret tilgang til hvad der dybest set er integrerede sociale og etiske problemer.  Endelig peges der på nye udfordringer i forhold til masseovervågning, biometri, RFID tags, krop scannere osv. og at privacy-fortalere hele tiden bør være på udkig efter PET-løsninger (privacy enhancing technologies). Som de sidste 3 punkter omtales værdien af det grænseoverskridende samarbejde,  nødvendigheden af slutbruger læring og uddannelse for at opretholde samfundets bevidsthed om værdien af privacy samt spørgsmålet om hvad OECD bør gøre for at inkludere repræsentative holdninger om privacy  fra verdens udviklingslande ?

Afslutningsvis roser Michael Kirby NGO`ere, offentlige institutioner, forskere og enkeltpersoner der arbejder med privacy og informationssikkerhed, fordi graden af  kontrol over den enkeltes personoplysninger i fremtiden vil afhænge af deres indsats.

Download hele talen her.

Jeg er meget enig i Michael Kirby´s synspunkter og fremtidsvurderinger både i forhold til OECD´s position og i forhold til beskyttelse af privacy i almindelighed. OECD er et magtfuldt organ og den måde man har håndteret privacy på er prisværdigt og visionært. Det er uomtvisteligt, at retningslinjerne, der med start i 2011 vil blive gået efter i sømmene i henhold til den såkaldte Seoul Declaration fra 2008, har haft og vil få stor central betydning for privacy og persondatabeskyttelse i fremtiden, forudsat at man betræder erfaringens sti og ikke mister sine  pejlemærker.  

Skal vi have en privacy-ombudsmand ?


En ombudsmand er oprindelig en svensk opfindelse, der går helt tilbage til 1810. Sidenhen er embedet i forskellige udgaver ligesom selve ordet blevet kopieret i omkring 120 lande verden over. I Danmark blev Folketingets ombudsmandsinstitution, der er en kontrolinstans i forhold til den offentlige forvaltning, oprettet i 1954 og den første ombudsmand var den navnkundige professor dr. jur. Stephan Hurwitz.

Forbrugerombudsmanden blev introduceret i 1975 og fører bl.a. tilsyn med at markedsføringsloven overholdes.

Af andre ombudsmandsinstitutioner kan fremhæves Den Europæiske Ombudsmand, der behandler klager over fejl og forsømmelser i Den Europæiske Unions institutioner og organer. Hvis man er statsborger i en af Unionens medlemsstater eller har fast bopæl i en medlemsstat, kan man indgive klage til Den Europæiske Ombudsmand. Virksomheder, foreninger og andre organer med hjemsted i Unionen kan også klage til ombudsmanden.

Konkret i relation til privacy og persondatabeskyttelse har EU i 2001 endvidere oprettet en  stilling som europæisk tilsynsførende for databeskyttelse. Den europæiske tilsynsførende for databeskyttelse skal sikre, at alle EU-institutioner og organer overholder reglerne om beskyttelse af personer i forbindelse med behandling af personoplysninger. Den europæiske tilsynsførende for databeskyttelse arbejder sammen med de databeskyttelsesansvarlige i de enkelte EU-institutioner eller organer for at sikre, at reglerne om privatlivets fred anvendes.

Ideen om at en uafhængig embedsmand, med kompetence til at undersøge klager fra almindelige borgere, kan kritisere ulovlig, unfair eller forkert myndighedsudøvelse og fremkomme med anbefalinger, er ikke ukendt i andre lande. Således har man f. eks. i det islamiske retssystem fra gammel tid kendt til de såkaldte “Diwan al Mazalim”-institutioner, hvis funktion var at undersøge klager indbragt af borgere mod embedsmænd.

Oprettelsen af ombudsmandsinstitutioner, som især tog fart i 2. halvår af 1900 skyldes tilsyneladende 2 omstændigheder. Dels et behov for retssikkerhed i forhold til en stadig stigende offentlig administration, dels udbredelsen af nye demokratier og menneskerettigheder.

Formålet med en ombudsmand er kort og godt, at fremme retssikkerheden, menneskerettigheder samt god offentlig sagsbehandling. Karakteristisk for en ombudsmand er, at embedet er personligt (eller udgøres af en gruppe personer) og at denne person er udpeget af et parlament for at understrege, at hans autoritet udspringer af folkets repræsentanter. En ombudsmand skal nyde stor respekt og integritet og derfor varetages hvervet som regel af personer med en dommer- eller juraprofessorbaggrund.

Med henblik på at varetage sin primære arbejdsopgave at beskytte rettighederne for den, der mener at være udsat for en ulovlig eller uretfærdig behandling af det offentlige, så er det vigtigt at enhver person kan kontakte ombudsmanden direkte uden formaliteter og uden omkostninger af betydning. Ombudsmanden kan også på eget initiativ tage en sag op og det skal sikres, at institutionen har vide beføjelser til at gennemføre en undersøgelse.

Ombudsmanden betragtes af mange som “den lille mands advokat”, men det er ikke helt korrekt for så vidt angår den danske ombudsmand, der foretager en klassisk domstolslignende sagsgennemgang. Stephan Hurwitz udtrykte det på den måde, at enhver sag har to parter, en klager og én der klages over, og begge parter har krav på en ordentlig og fair behandling.

Det er dog værd at fremhæve, at en af ombudsmanden udtrykt kritik og især hvordan en sag burde være håndteret, kan have stor betydning for den enkelte borger. I andre lande afgør ombudsmanden en egentlig tvist og kan her komme med et forslag til en mindelig løsning mellem borgeren og den offentlige myndighed. I disse tilfælde fungerer ombudsmanden mere som repræsentant for den enkelte borger end som uafhængig dommer. Men under alle omstændigheder er ombudsmandens afgørelse kun at betragte som en anbefaling, som den pågældende myndighed bør følge, men ikke er forpligtet til, som hvis det havde været en domsafgørelse. Værdien i ombudsmandens afgørelse hviler derfor alene på de gode argumenter og den respekt ombudsmandsinstitutionen nyder. Fordi det ofte vil være forbundet med store omkostninger og tidskrævende at anlægge en retssag, betragtes ombudsmanden som et udmærket supplerende retsligt alternativ. Erfaringen synes at vise, at en ombudsmandsinstitution bidrager til stabiliteten i samfundet.

Fra tid til anden fremkommer der forslag om at udnævne en sagsspecifik ombudsmand, f.eks. en børneombudsmand eller ældreombudsmand. Bevæggrunden er at styrke retsstillingen for samfundsgrupper, som opleves at blive overhørt af beslutningstagere og myndigheder.

Op til det seneste valg til Europa-Parlamentet i juni 2009 præsenterede det socialdemokratiske medlem, Christel Schaldemose, et forslag om at oprette en europæisk privacy ombudsmand. Ideen er udsprunget af behovet for en større privacy-beskyttelse i forbindelse med de sociale netværk, som f.eks. Facebook og som ifølge EU-parlamentsmedlemmet kræver EU-lovgivning. Et tilsvarende forslag er anbefalet af Karin Riis-Jørgensen, forkvinde for European Privacy Association, i forbindelse med It-sikkerhedskomitéens konference ”Privatliv på profilen” i november 2008.

Efter min opfattelse er betegnelsen “ombudsmand” ikke beskyttet og der eksisterer heller ikke en entydig definition af en “ombudsmand”s beføjelser og funktioner. Så vidt jeg har kunnet konstatere, findes der ikke et embede i verden med generelle kompetencer, der benævnes som privacy-ombudsmand. Dog er der flere steder indført en privacy-ombudsmand indenfor specifikke sagsområder. Således har Norsk samfunnsvitenskapelig datatjeneste en såkaldt personvernombudet for forskning, der på engelsk benævnes privacy ombudsman og som har fået uddelegeret kompetance fra det norske datatilsyn i forbindelse med spørgsmål om persondata i forskningsprojekter. I henhold til The Bankruptcy Abuse Prevention and Consumer Protection Act of 2005, kan en amerikansk domstol udmelde en såkaldt consumer privacy ombudsman i konkurssager, hvor der kan blive tale om at sælge eller udlåne personlige oplysninger.

Derudover kan det konstateres, at der eksisterer organer rundt omkring i verden, som har beføjelser og funktioner, der i større eller mindre grad udmærket kan sammenlignes med en klassisk ombudsmandsinstitution, men blot hedder noget andet. Eksempelvis har Office of the Privacy Commissioner of Canada et mandat og en mission der i store træk minder om de arbejdsopgaver der traditionelt er knyttet til  en ombudsmand med tyngde på advokat-rollen blot i relation til privacy. Der er dog den interessante forskel, at kommissionæren, der er ansat af parlamentet og rapporterer til de to folkevalgte kamre, kan anlægge sag ved de almindelige domstole i sager, som ikke er blevet løst. De enkelte canadiske provinser har hver deres egne institutioner for privacy fastsat i henhold til lov, der i det væsentligste minder om embedet for Office of the Privacy Commissioner of Canada. Dog med mindre undtagelser. Eksempelvis kan afgørelser af Office of the Information and Privacy Commissioner of Ontario, der for tiden beklædes af den højt respekterede  Ann Cavoukian, i visse tilfælde indbringes for de almindelige domstole. At kommissionæren i almindelighed kan træffe bindende afgørelser, der er inappellable, kan derfor snarere sammenlignes med de kompetencer Datatilsynet besider. I Yukon, en anden canadisk provins, har man valgt en ordning, hvorefter embederne, som både Ombudsman (der svarer til en traditionel ombudsmand) og Information & Privacy Commissioner, der er reguleret i henhold til forskellige love, varetages af én og samme person.

Henset til den førnævnte beskrivelse af ombudsmandsinstitutionen, så kan jeg udmærket godt forstå hvorfor ideen om en privacy-ombudsmand lanceres. Ombudsmanden er et stærkt brand. Men spørgsmålet er, om der reelt er brug for en europæisk eller dansk privacy-ombudsmand ?

Der er ikke nogen tvivl om at privacy som en menneskeret er under stigende pres både nationalt som globalt og at en international regulering efterlyses. Det er også uomtvisteligt, at privacy- og persondatabeskyttelsen er kompliceret at håndhæve især i forbindelse med introduktionen af flere og flere digitale tjenester og teknologier. Der er, som det er nævnt i et tidligere indlæg her på bloggen, derfor behov for en opdatering af persondatadirektivet og eventuelt anden særlovgivning både indholdsnæssigt og med hensyn til fuldbyrdelsesinstrumenter.

Ved implementeringen af persondatadirektivet er det op til hvert enkelt EU-land at organisere tilsynsmyndigheden. Nogle lande, herunder Tyskland, har ligesom Canada valgt en konstruktion med udnævnelse af en kommissær for databeskyttelse og informationsfrihed dels for hele Tyskland og dels for hver af de 16 tyske delstater, jfr. f.eks.  Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit. Det tyske embede er klart inspireret af den klassiske ombudsmandsinstitution, idet kommissæren er personligt udpeget af den tyske forbundsregering respektive de enkelte delstaters regeringer og valgt af henholdsvis det tyske Forbundsparlament respektive de enkelte delstaters parlamenter.

The Information Commissioner’s Office i Storbritanien, der er organiseret som en “non-departmental public body” (svarer til en dansk styrelse) under justitsministeriet, rapporterer direkte til parlamentet, og kan stort set sammenlignes med Datatilsynets opbygning, rolle og ansvar.

En fortegnelse over de nationale organer for databeskyttelse i EU, EFTA, EU-kandidatlande og visse tredjelande kan findes her.

I Danmark er Datatilsynet (indtil 2002 benævnt Registertilsynet) at betragte som en uafhængig statslig myndighed, der har til opgave at føre tilsyn med, at reglerne i persondataloven, der gennemfører EU-direktivet, overholdes. Datatilsynets opgaver består i at rådgive, vejlede samt behandle klager (også fra almindelige borgere) og foretage inspektioner hos myndigheder og virksomheder. Selvom Datatilsynet organisatorisk  henhører under Justitsministeriet, så har ministeriet ingen instruktionsbeføjelse over myndigheden. Der er således alene tale om en formel forskel i strukturen og ikke en reel forskel i substansen (persondatadirektivet) i forhold til eksempelvis den tyske ordning og det er trods alt det som man bør hæfte sig ved i hele denne her diskussion.

Funktionerne kunne således i princippet sagtens blive varetaget af en ombudsmand, men nu ligger de faktisk hos Datatilsynet og det vil derfor umiddelbart være mere hensigtsmæssigt at styrke Datatilsynets organisation på en række punkter. Som jeg andetsteds har opfordret til, så bør Datatilsynet både have tilført flere økonomiske midler og flere faglige kompetencer og det er også muligt at Datatilsynet skal have flere sagskompetencer og bedre retshåndhævelsesmidler samt en pligt til at indgå i et mere formaliseret samarbejde med relevante samarbejdspartnere.

For så vidt angår en europæisk privacy-ombudsmand, så kan en sådan kun fungere effektivt og i overensstemmelse med institutionens intention, såfremt der tilføres eksorbitante midler, men der er desuagtet alvorlig risiko for, at en fælles-europæisk institution vil drukne i bureaukrati, især henset til at lovgivningsindhold og lovgivningspraksis ikke er ens i EU. Sidstnævnte forsøger de nationale datatilsyn at koordinere via WG-29 arbejdsgruppen. Det er muligt at denne konstruktion kan forbedres, men det må afvente den revision af EU´s juridiske referenceramme om databeskyttelse, der omfatter persondatadirektivet, e-privacy direktivet samt Rådets rammeafgørelse 2008/977 om beskyttelse af personoplysninger i forbindelse med politisamarbejde og retligt samarbejde i kriminalsager og som tidligst forventes afsluttet primo 2011. Man kan med en vis ret hævde, at når alt kommer til alt, så er det snarere en mere effektiv EU-regulering og sikrende retsmidler baseret på nærhedsprincippet, der er brug for, end at en europæisk privacy-ombudsmand afgiver rekommandationer, der ikke kan fuldbyrdes.

En dansk privacy-ombudsmand synes heller ikke at være gangbar, fordi det ikke vil være hensigtsmæssigt endsige nødvendigt at nedlægge Datatilsynet for at opbygge en ny institution, hvor stort set kun indpakningen er forskellig, medmindre man ønsker, at embedet alene skal fremkomme med anbefalinger og ikke, som det er i dag, hvor Datatilsynets afgørelser har umiddelbar retsvirkning. Det har den konsekvens, at overtrædelse kan medføre straf- eller erstatningsansvar og at Datatilsynets  afgørelser efter persondataloven ikke kan indbringes for anden administrativ myndighed, men selvfølgelig altid kan prøves ved en domstol. Denne sagsbehandling kunne godt gøres mere smidig uden nødvendigvis at ændre på Datatilsynets retskompetence, idet en rolle som mediatoradvokat næppe vil være valid. Derimod kan argumentet om, at selve udnævnelsesproceduren har en yderligere tillidsskabende virkning, muligvis overvejes nærmere samt i forlængelse heraf eventuelt at lægge tilsynet direkte under Folktetinget, for at sikre en yderligere uafhængighed i forhold til regeringen.

Det vil ikke gøre nogen forskel, såfremt en privacy-ombudsmand skulle fungere ved siden af Datatilsynet med nye funktioner, idet det uundværligt vil føre til kompetencestridigheder. Der har i øvrigt allerede rodfæstet sig en forvaltningspraksis, hvorefter persondataspørgsmål henvises til Datatilsynet. Det gælder således også i relation til spørgsmål om f.eks. forbrugerbeskyttelse og målrettet reklame, som ellers umiddelbart kunne tænkes at høre under Forbrugerombudsmandens ressortområde.

Selvom det lyder besnærende, så skal man nøje og nøgternt overveje behovet for en ny ombudsmandsinstitution og ikke lade sig rive med af et ellers prisværdigt engagement og en øjeblikkelig omend velbegrundet stemning for at styrke en bestemt befolkningsgruppes interesser eller et specifikt rets- eller principområde. Privacy er kun en af 30 menneskerettigheder , der er fastsat i FN’s menneskerettighedserklæring og Den Europæiske Menneskerettighedskonvention. De er alle ligeværdige og staterne kan ikke vælge nogen rettigheder ud som mere beskyttelsesværdige eller respektable end andre. Et perspektiv med 30 sagsspecifikke ombudsmænd ved siden af Folketingets ombudsmand forekommer omsonst, især når der allerede findes organer, både nationalt som internationalt,  der mere eller mindre tager sig af de berørte problemstillinger.

Der synes derfor ikke efter min opfattelse at være vægtige grunde, der taler for at oprette en privacy-ombudsmandsinstitution.

Berlinmuren 1961-1989


berlinmuren

I dag er det 20 år siden at Berlinmuren faldt. Det verdenskendte symbol på ikke alene den kolde krig og jerntæppet, men også for en stats totale kontrol og en befolknings undertrykkelse eksisterer ikke mere.

Det er værd at holde en lille pause fra hverdagens sysler og lade tankerne om denne i grunden epokegørende begivenhed få audiens.

At tænke sig at millioner af mennesker uden større blodsudgydelser under parolen “vi er folket” med ét oplever følelsen af frihed og er del af en fælles eufori og glæde som fører med sig, at DDR, et af de mest overvågede samfund i verden, faldt i grus med en dominoeffekt for hele det daværende Østeuropa er ganske enestående. Jeg tror at mange ligesom jeg selv blev revet med af den frihedsbegejstring, som tyskerne og senere stort set alle østeuropæerne gav udtryk for i de dage og i tiden derefter.

For dem som har oplevet at blive overvåget og leve i evig utryghed vil glæden over frihed være overvældende. Vi andre, der i det meste af vores voksenliv, betragter frihed og tryghed som en selvfølgelighed, har nok svært ved virkelig at fornemme den tilstand. Det er faktisk synd. Ikke kun for selve oplevelsens skyld, men også fordi begivenheden sætter sig dybe spor i ethvert menneske.

Mange andre har dog haft den samme erfaring på befrielsesdagen 4. maj 1945 om aftenen. På ruinerne af 2. verdenskrig blev De Forenede Nationer grundlagt 24. oktober 1945 og Menneskerettighedserklæringen blev vedtaget 10. december 1948. To flotte resultater af menneskets skabertrang og empati på næsten 6 års smertende og selvdestruktive handlinger.

For os alle gælder det imidlertid at minde os selv om, at frihed og menneskerettigheder, herunder privacy ikke er naturlove og derfor skal vi fejre en dag som i dag. Vi må aldrig miste idealet og synet på bolden, hvilket er så meget desto større en udfordring, når tilværelsen i et moderne samfund er uhyre kompliceret. Det er krævende at leve i et demokrati. Det forudsætter en aktiv medleven af os alle og det er jo desværre ikke tilfældet i en udstrækning, som man kunne ønske sig det. Eksemplevis viser undersøgelser, at mange føler sig som tilskuere i forhold til den teknologiske udvikling. Det kan true demokratiet.

Et samfund i balance og harmoni forudsætter engagement, information og debat. Det vi især skal være opmærksomme på er den “snigende” kontrol og overvågning og at vi som individ har kontrol og til bunds kender de informationsteknologiske muligheder og konsekvenser. At udvikle informationsteknologien,så den er enkel, gennemskuelig og i brugerens kontrol er i den sammenhæng relevante pejlemærker.

Det er et tema, som man ud fra et privacy synspunkt kunne bruge anledningen til i dag at reflektere over.

glasbygning

Et holistisk helhedssyn er påkrævet


balancevægt

I den offentlige debat stilles overvågning ofte i modsætning til privacy. Jo mere overvågning jo mindre privacy. Det er en total misforståelse for overvågning og privacy er ikke et hverken eller, men et både og. Der er ikke eller rettere, der behøver ikke mere, at være tale om en dikotomi. Man kan også udtrykke det således: security og privacy er to sider af samme mønt.

Overvågning har ligesom privacy nytteværdi for den enkelte og for samfundet som helhed, fordi begge begreber i bund og grund har det samme formål: at skabe tryghed. Hvem vil ikke stoppe terroristen eller pædofilisten ? Der er vel heller ikke mange som oplever trafik- eller miljøovervågning som noget negativt. Men der er jo ikke grund til unødvendig overvågning !

Udfordringen er selvfølgelig at foretage en nærmere etisk, juridisk og teknisk vurdering af den konkrete sammenhæng hvor overvågning ønskes iværksat og privacy samtidig vil blive krænket. Der vil være tale om at afbalancere de forskellige hensyn.

Imidlertid må det konstateres, at der efter 11/9 har været mange eksempler på lovgivning, hvor lodderne til fordel for en ren sikkerhedsbetragtning, har vejet tungest. Det behøver ikke at være sådan og det bør der rettes op på, så der kommer mere balance i tingene.

Denne holdning deles efterhånden af en lang række opinionsdannere, eksperter og politikere og er bl.a. kommet til udtryk i diskussioner i forbindelse med forberedelsen af arbejdsprogrammet for det svenske EU formandskab i 2. halvår 2009. I et referat af en konference i Bruges i marts 2009 ararrangeret af Det Europæiske Råd om en strategisk dagsorden for frihed, sikkerhed og retfærdighed , refereres f.eks. den tjekiske indenrigsminister Ivan Langer, specifikt for at understrege “the importance of finding a balance between security and privacy, hinting that there today is a tendency in Europe to focus too much on security. Freedom, privacy and mobility is however as important and has been left outside the focal point lately”.

Det er ikke altid en let opgave, men det er ikke desto mindre en fremgangsmåde, som er nødvendig og som vil stille store krav til myndigheder, interesseorganisationer og NGO´erne. Ja, i en tidsalder hvor konflikter og teknologi bliver mere og mere kompliceret, må vi også hver især som enkeltindivid være meget mere engagerede i hverdagen.

De principper vi bygger vort samfund på skal vi værne om, men debatten viser med al ønskelig tydelighed, at der mangler en grundlæggende forståelse af vort værdisæt. Når det af mange udtales, at man ikke har noget at skjule og at man faktisk gerne vil have overvågning, så er det ikke en overraskende holdning. Vi lever – trods alt – i et af de mest trygge samfund i verden med en social velværd, som de fleste nyder godt af. Vi har samtidig, det viser jævnlige undersøgelser, en offentlig sektor, som er en af verdens mindst korrupte.

Men desværre bygger holdningen også på stor uvidenhed og mange vil måske mene direkte naivitet. Misbrug finder sted, det ved vi. Den korrupte embedsmand findes, det ved vi også. Det er godt at vi kan benytte os af de teknologiske muligheder til at sikre mennesker og værdier, men teknologien kan også misbruges. Jeg plejer at sige, at der ikke findes hverken god eller dårlig teknologi. Opgaven består i at designe den teknologiske løsning efter det konkrete behov. Teknologiske mekanismer som f.eks. “privacy by design” herunder “revocable privacy” og “revocable anonymity” (konceptideer) samt “best available techniques” og “human factors design”  kan være til stor hjælp i sammenhæng med anvendelsen af moralske principper som eksempelvis “forsigtighedsprincippet” (the precausionary principle). Udvikling af en IT-infrastruktur, hvori proces og krav direkte implementeres (embeddes) uden mulighed for senere ændring, kan også være en løsningsmodel.

Eksemplerne skal illustere, hvorledes teknologien kan sikre både privacy og security ved opbygning af informationssystemer. Eller med andre ord kan teknologien gøre det muligt for både sikkerheds-hardlinere og frontkæmpere for menneskerettigheder at mødes !

Med ”internet of things” vil især WiFi- og RFID-teknologierne gøre det muligt at forbinde alle mulige ting med hinanden fra bøger til biler og fra elektriske apparater til fødevarer. Det giver os mennesker fantastiske muligheder for at understøtte og forbedre hverdagen, men samtidig kan teknologien opsamle en masse information om vores gøren og laden 24 timer i døgnet. Løsningen må som udgangspunkt være, at brugeren har kontrol og valgmulighed, hvilket igen forudsætter gennemsigtighed. Et nyligt notat fra EU Kommissionen Internet of Things – An action plan for Europe sætter fokus på denne fremtid.

Det forventes at politikere og embedsværket vil være i stand til at træffe de rigtige afgørelser ud fra et samfundsmæssigt helhedssyn. Man kan ikke betænke organisationer eller myndigheder i at varetage de interesser eller opgaver de nu er sat til at varetage.

Men hvorledes sikrer vi os den afbalancerede afvejning af ofte modsatrettede hensyn, som der i en globaliseret verden mere end nogensinde er behov for?

Mere tværfaglig forskning hilses velkommen lige som generelle informationskampagner er vigtige.  Der synes også at være anledning til at gennemføre en videnskabelig undersøgelse af hvorledes vi i grunden stiller os til overvågning og privatlivsbeskyttelse, vore værdier og holdninger til menneskerettighederne.

Men derudover er der måske grund til at overveje etablering af et ”visdomsråd”, som skal forholde sig kritisk men holistisk til alle samfundets udfordringer og som forener videnskab med en dybere forståelse af de menneskelige værdier og samfundets sammenhængskraft og bæredygtighed i videst muligt omfang.

Ideen er faktisk så gammel som demokratiet, idet der i det antikke Grækenland fandtes et symposium af 7 vise mænd, som skulle assistere samfundet med forslag til løsninger af komplicerede spørgsmål både personlige og sociale og som kom til at få stor indflydelse på opbygningen af et oplyst og avanceret samfund.

Er disse gamle visdomsord i øvrigt ikke eviggyldige og relevante ikke bare i diskussionen mellem øget overvågning og privacy men i alle sammenhænge:

“All things in moderation”

“Nothing in excess”