Privatlivsfremmende teknologier – er der noget at komme efter ?


10. september 2010 blev PrivatTek 2010 afviklet i den lyse og stilfulde Landstingssal på Christiansborg. De lidt over 90 deltagere blev foran Landstingssalen mødt af 14 portrætter af Danmarks tidligere statsministre fra Thorvald Stauning, der blev statsminister i 1924, til Poul Nyrup Rasmussen, der var statsminister 1993-2001.

De ydre rammer for konferencen kunne derfor ikke siges at være bedre med henblik på italesættelsen af persondatabeskyttelsen i sammenhæng med privatlivsfremmende teknologier, som var et af arrangementets hovedformål. 

De privatlivsfremmende teknologier blev belyst i relation til:

  • It-sikkerhedskomiteens indsatsområder 
  • Persondataloven
  • I forbindelse med videoovervågning
  • En integreret del af en innovativ it-arkitektur 
  • Et visionært teknologidesign
  • EU´s kommende 7. call under IKT-programmet og sidst men ikke mindst
  • I en debat med et bredt sammensat panel

Det var netop hensigten at komme vidt omkring emnet ved at berøre teknologikonceptets teoretiske, praktiske, tværfaglige, politiske, økonomiske og etiske aspekter. Ved samtidig at gøre dette på et jordnært, elementært niveau er det håbet at tage mystikken af teknologibegrebet og få en bredere kreds af offentligheden i tale. At f.eks. CenSec og Sikkerhedsbranchen er officielle medarrangører af PrivatTek 2010 er allerede i sig selv en manifestation af disse organisationers øgede interesse for privacy.

Det er min klare opfattelse at denne mission er lykkedes. Det viser den store interesse op til PrivatTek 2010 og bredden af deltagerne, som talte både repræsentanter for en række ministerier og styrelser, forskere og studerende fra en række forskellige universiteter, advokater, repræsentanter for en lang række erhvervsbrancher, herunder finanssektoren og it-sikkerhedsleverandører. 

 At jurister får en større forståelse for de privatlivsfremmende teknologier samtidig med at it-udviklere sætter sig mere ind i lovgivning om persondatabeskyttelse og privacy-principper er en grundforudsætning for bæredygtige løsninger. Derfor opfordrede jeg selv i min velkomst etableringen af tværfaglige forsknings- og udviklingsmiljøer med privatlivsfremmende teknologier for øje.   

PrivatTek 2010 nød godt af en engageret deltagelse af Yildiz Akdogan, Socialdemokraternes it- ordfører og konferencens officielle vært. Arrangørerne havde dog set frem til en større politisk bevågenhed, især fordi en positiv udvikling af teknologien, som bl.a. påpeget af flere nylige rapporter udgivet af EU-Kommissionen, forudsætter mere direkte lovgivning og diverse soft law-instrumenter.    

Der er i den forbindelse anledning til at fremhæve, at der i lige så høj grad er behov for en øget certificering og standardisering, som lektor Christian Damsgaard Jensen kom ind på i sit indlæg og som blev problematiseret under indlægget om video i teknisk og retligt perspektiv af direktør Kasper Mikkkelsen fra Sikkerhedsbranchen. Det er muligt, at det er en større teknologisk udfordring, at ekstrahere semantisk information med henblik på beskyttelse (scrampling) for så vidt angår multimedier end med hensyn til tekstdata eller kategoriske data. Selv om  Sikkerhedsbranchen i øvrigt på eget initiativ har indført en godkendelsesprocedure for installatører, mangler der imidlertid en eller anden form for effektiv kontrol med at produkterne lever op til det de lover for at skabe reel tryghed for borgeren.

Sidste år stødte jeg på en glimrende artikel Without fear of trespass på guardian.co.uk skrevet af Julian Baggini. Den og debattråden  berører ikke de teknologiske muligheder, men det er alligevel tankevækkende at forestille sig, hvorledes teknologiløsninger kan og bør være med til at fjerne almindelige menneskers behov for at forsvare deres privacy i det offentlige rum. 

Den etiske dimension blev også taget op under paneldebatten af direktør Lars Klüver fra Teknologirådet. Det er klart at værdidebatten er fundamental for hele samfundsudviklingen. Man kan definere etik som kritisk refleksion på menneskets handlinger (moral) og al teknologidesign bør naturligvis være baseret på klart formulerede etiske principper. Det er altid godt at tage emnet op i enhver sammenhæng og det var mit klare indtryk at forsamlingen var opmærksom herpå.   

De deltagere, som jeg har talt med efterfølgende udtrykte alle, at de synes det var en interessant og udbytterig event. I øvrigt kan jeg henvise til Jan Horsagers inspirerende blogindlæg 14.9 2010: Hvem skal bestemme, hvad der er fortroligt? og dagens opfølgende artikel på Computerworld online: Hvem vil certificere privacy? samt yderligere kommentarer om konferencen og om privacy i almindelighed på Danish Biometrics og  her.

Á propos temaets aktualitet kan desuden henvises til den åbningstale, som Viviane Reding, EU-kommissær for retlige anliggender, grundlæggende rettigheder og EU-borgerskab, holdt i forbindelse med the digital single market Conference i Brussels 16. 9. 2010 og som var organiseret af the Lisbon Council. I talen opfordrede Reding til udvikling af nye teknologier baseret på privacy by design og “at databeskyttelsen bør indlejres i teknologiernes og procedurernes hele livscyklus”.

Under alle omstændigheder blev der sat fokus på privatlivsbeskyttelsen. Det er jo en opgave, som der hele tiden skal afsættes ressourcer til. Der er ikke nogen tvivl om, at der tegner sig nogle yderst interessante perspektiver i udviklingen af privatlivsfremmende teknologier og derfor vil PrivatTek som koncept blive videreudviklet i forbindelse med kommende arrangementer.

Reklamer

Danmark bør gå i front med CSR-innovation i menneskerettigheder


Danmark og CSR

I Forsk2015 kataloget (maj 2008), der identificerer og prioriterer Danmarks strategiske forskningstemaer, fremhæves virksomhedernes evne til at innovere som en central udfordring og at en strategisk forskningsindsats skal tilvejebringe et forbedret videngrundlag for virksomhedsledere, medarbejdere og politikere omkring den måde, hvorpå innovationsprocesser ledes, organiseres og fremmes bedst muligt. Målet er at bringe Danmark op blandt de mest innovative lande i verden.

Regeringen har i sin handlingsplan for virksomheders samfundsansvar (maj 2008) sat sig et visionært mål om, at udbrede forretningsdrevet samfundsansvar blandt både store og mindre virksomheder.

Om forretningsdrevet samfundsansvar foreslår regeringen for eksempel, at virksomhederne kan udvikle nye produkter eller ydelser, der indeholder en social eller miljømæssig dimension.

I forbindelse med et af de fire indsatsområder i handlingsplanen om udbredelse af forretningsdrevet samfundsansvar vil regeringen bl.a. øge rådgivningen om innovation og samfundsansvar til små og mellemstore virksomheder i de regionale væksthuse.

I tilknytning til denne aktivitet har Center for Samfundsansvar netop stået i spidsen for et nordisk projekt om CSR-drevet innovation, der har til formål at støtte en innovationsproces, der med udgangspunkt i sociale eller miljømæssige hensyn bidrager til udvikling af en service eller et produkt, der er økonomisk rentabelt samtidigt med, at det gavner medarbejdere, miljø eller samfund på nye måder.

Endvidere har Europa-kommissionen med den “Europæiske Alliance for CSR” til hensigt at medvirke til at få de europæiske virksomheder til at acceptere Corporate Social Responsibility og at øge støtten til og anerkendelsen af CSR som et bidrag til en overordnet bæredygtig udvikling og til Europæisk vækst og beskæftigelse. Alliancens medlem- mer har bl.a. identificeret et prioritetsområde baseret på samfundsmæssige behov, at fremme innovation inden for bæredygtig teknologi, produkter og services samt at skabe innovation på miljøområdet med specifikt fokus på at integrere den miljømæssige nyttevirkning og energibesparelser i produkt- og service udviklingsprocessen.

Danmark og IKT

Det fremgår ligeledes af FORSK2015 kataloget, at visionen er, at Danmark i 2015 er ledende inden for udvikling af nye innovative IKT-baserede produkter og services samtidig med, at samfundets behov og den generelle IKT udvikling i højere grad sammentænkes. En central passage i kataloget er følgende: ” Der vil i en række sammenhænge også være behov for at indtænke emner som sikkerhed, pålidelighed, tryghed og privacy i forskningen.”

I 2008 rangerer FN’s E-Government Survey Danmark blandt de øverste to lande i offentlig e-parathed kun overgået af USA. Endvidere er Danmark placeret blandt de fem første lande på globalt plan i indeks om e-parathed (EIU 2008). Hertil kommer, at  EIU World Investment Prospects anser Danmark for at have det mest erhvervsvenlige miljø i perioden 2007-2011.

Europa-Kommissionens Digital Competitiveness Report (august 2009) viser, at Danmark er blandt de bedste nationer for de fleste i2010 indikatorer og er en klar frontløber i udviklingen af informations-samfundet. Med en handlingsplan for grøn IT lanceret i 2008, er Danmark også i front med hensyn til miljøvenlig anvendelse af IKT.

Selvom Danmark på det seneste på visse punkter har mistet lidt af sin førerposition, så vidner tal som disse om, at Danmark er en verdensklasse IKT-klynge, og at regionen besidder et enormt forretningspotentiale for internationale IKT-aktører. Danmark har en stor koncentration af virksomheder, der arbejder inden for IKT-området, og den største IKT-klynge i Danmark er placeret i det Storkøbenhavnske område og spænder over den sydlige del af Sverige.

Denne grænseoverskridende IKT klynge har en arbejdsstyrke på 100.000 IKT-medarbejdere og fungerer som en fremragende indgang til den skandinaviske IKT-industri.

Danmark og CSR-IKT innovation

En virksomheds samfundsansvar drejer sig også om at respektere og fremme de grundlæggende menneskerettigheder. 6 af FN´s 10 principper for samfundsansvar for virksomheder (Global Compact) fremhæver, at virksomheder bør støtte og respektere internationalt erklærede menneskerettigheder; samt sikre, at den ikke medvirker til krænkelser.

Imidlertid er der ikke den store fokus på at udvikle nye produkter eller serviceydelser, der indeholder en menneskeretlig dimension. CSR-innovation og design i menneskerettigheder kan på samme måde som et  miljømæssigt engagement være knyttet til en virksomheds forretning og forretningsmodel, til processer og teknologier og til bestemte produkter og services med henblik på at fremme en udvikling af de grundlæggende menneskerettigheder.

Som udgangspunkt vil der kunne opnås en særlig synergieffekt ved at fokusere på  menneskerettigheder, som har en særlig betydning for IKT området, såsom informations- og ytringsfriheden, retten til at deltage i teknologisk udvikling samt retten til privatlivets fred.

CSR-innovation og design i menneskerettigheder (eller CSR-innovation and design in human rights) vil ikke alene kunne være rettet mod løsning af bestemte menneskerettighedsmæssige problemer båret af et samfundsmæssigt hensyn men også være specifikt markedsorienteret. Et paradigmeskift med forretningsmodeller, teknologier, samarbejdsmodeller, idéskabelse og iværksætteri i et menneskeret-tighedsmæssigt perspektiv vil befordre en ny almengyldig og fundamental tilgang til ansvarlig innovation.

Den ekspansive udvikling af overvågningsteknologier som f.eks. RFID, biometri, GPS, CCTV, MEMS, smart ID-kort osv. især efter 11/9, har samtidig medført ny og spændende forskning og udvikling i privacy enhancing technologies (PET). Disse PET løsninger er et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket behandling af persondata uden at miste datasystemets funktionalitet, Business casen viser, at der kan designes teknologier til beskyttelse af privatlivets fred, som jo er en basal menneskeret (Menneskerettigheds-erklæringens artikel 12).

CSR innovation og design i menneskerettigheder skal være med til at udvikle nye teknologier ( f.eks. ambient intelligence i sammenhæng med embedded system design), videnskoncepter og videnskompetencer. Mange relevante nøgleteknologier eksisterer allerede, men skal videreudvikles og forfines til specifikke formål i en ny kontekst (teknologisk konvergens) i sammenhæng med udvikling af nye forbrugerorienterede markedsmekanismer. CSR innovation and design in human rights er ikke kun en ny trendy public relation idé, men et helhedsorienteret, nytænkende og skelsættende koncept med en forretningsmæssig forankring, som skal bidrage til at eliminere den tilsyneladende dikotomi mellem profit og etiske principper ved at gøre investeringer i human rights profitable i både snæver og bredere forstand.

Danmark er verdens mest innovative land med hensyn til virksomheders samfundsansvar (CSR) også kaldet samfundsansvarlig virksomhedsinnovation eller CSI. Der er mange gode grunde til at fastholde og udbygge denne førerposition ved at udnytte etablerede ressourcer, kompetencer og synergieffekter til at satse på det hidtil ret oversete aspekt af CSR, der synes at have et signifikant globalt potentiale. Om brugerdreven innovation og demokratisk teknologiudvikling, der ligger i forlængelse af CSR, henvises til et blogindlæg om biometri.

Forskellige initiativer med en række aktører vil derfor blive undersøgt i den kommende tid.  Eventuelt interesserede er velkommen til at rette henvendelse til Dansk Privacy netværk´s sekretariat.

EU-ekspertrapport anbefaler en grundlæggende tilgang til databeskyttelse


Europa-Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed har netop offentliggjort en ekspert-rapport der på ny understreger, at en revision af EU´s persondatadirektiv skal leve op kravene i henhold til den europæiske menneskerettighedskonvention og medlemsstaternes forfatninger. Det fremhæves i rapportens resumé, at persondatadirektivets principper, bestemmelser og kriterier er en del af de grundlæggende menneskerettigheder, og at de har bestået sin prøve, selvom de i visse henseender har et behov for at blive styrket.

Rapporten fremhæver også det i den løbende debat tidligere fremførte argument, at persondatadirektivet til trods herfor  ikke har været tilstrækkelig implementeret og håndhævet og det er den teknologiske udvikling, der er årsag hertil,omend visse nye teknologier kan medvirke til en bedre gennemførelse af direktivet.

Eksperterne mener, at databeskyttelseslovgivningen i EU derfor fortsat bør være baseret på principperne i direktivet og at implementeringen af disse bredt formulerede standarder skal præciseres, hvorimod der ikke er behov for en egentlig revision. Tværtimod udtrykker rapporten, “at direktivet reflekterer europæiske og nationale standarder for forfatnings- og menneskerettigheder, som der er et tvingende behov for at få genbekræftet”. Herefter opstilles en række anbefalinger som følger:

  • Databeskyttelsesprincipperne bør umiddelbart udstrækkes til alle områder, som før har været omfattet af de forskellige EU søjler, herunder søjle 3 aktiviteter [kriminalitetsbekæmpelse]
  • Standardindstillingerne for sociale netværkstjenester bør være privacyvenlige
  • Klarere regler for hvad der er gældende lovgivning for virksomheder inden for og uden for EU/EEA
  • Mere harmonisering baseret på fortolkninger og formulering af “best practice” af WP29 i konsultation med EU-Kommisisonen
  • Mere samarbejde med ikke-EU-lande
  •  Behov for at sikre en langt større overensstemmelse med eksisterende lovgivning ved hjælp af PIA´s, privacy audits eller privacy seals
  • Behov for at styrke individets rettigheder og retshåndhævelsesmidler (muligvis sammen med eller gennem relevante  NGO´ere) og
  • Behov for at videreudvikle supplerende og alternative foranstaltninger (og samtidig forstå indbyggede begrænsninger og praktiske restriktioner for sådanne foranstaltninger) på baggrund af realistiske og tekniske undersøgelser

Hovedbidragene til rapporten er forfattet af  Dr. Ian Brown, University College London og professor Douwe Korff, London Metropolitan University. Specielle ekspertbidrag er bl.a. professor Chris Hoofnagle, University of California og professor Peter Blume fra Københavns Universitet.  Professor Ross Anderson, University of Cambridge og privacy strategist Caspar Bowden, Microsoft har blandt andre fungeret som rådgivere.

Rapporten er et vægtigt stykke arbejde, hvis anbefalinger er i harmoni med tidligere bidrag fra andre eksperter og som efter min personlige opfattelse fuldt ud kan tiltrædes.  Rapportens perspektivering i relation til de europæiske forfatnings- og menneskerettigheder er god og væsentlig.

Af rapportens mange interessante temaer og vurderinger vil jeg alene knytte nogle yderligere kommentarer til teknologiaspektet, netop fordi rapportens forfattere fremhæver, at   spørgsmålet om datasikkerhed også hænger sammen med spørgsmålet om de såkaldte privacy enhancing technologies (privatlivsfremmende teknologier). Disse databeskyttelsesværktøjer bør klart være en lovmæssig integreret del af  defaults for opsætning af parametre til internet brug.

Rapporten fremhæver eksempelvis, at det franske datatilsyn, CNIL i lang tid har anbefalet indførelsen af privacy enhancing technologies og har et tæt samarbejde med erhvervslivet. Ifølge fransk lovgivning har CNIL nu mulighed for at fremkomme med en udtalelse om en bestemt PET-løsning overholder gældende lov og yder reel beskyttelse. På denne måde kan CNIL “blåstemple” bestemte produkter (eller tilbageholde en sådan godkendelse).

Det er en udmærket ide at overveje nedsættelsen af et særligt organ af databeskyttelsesmyndigheder i EU/EEA (European Economic Area) i tæt samarbejde med artikel 29- arbejdsgruppen og EU-Kommissionen vedrørende spørgsmål om European Privacy Seal, europæiske adfærdskodeks og de såkaldte Binding Corporate Rules (BCR). ekspertholdet har her ladet sig inspirere af den praksis der har udviklet sig i den tyske delstat Schleswig-Holstein, hvor det anerkendte Unabhängiges Landeszentrum für Datenschutz (ULD) er koordinator på EuroPriSe Project  (The European Privacy Seal). Der er endnu ikke blevet certificeret eksperter (teknisk/juridisk) fra Danmark.

Rapportens undersøgelse af de potentielle fordele og begrænsninger og konstateringen af det manglende markedsgennembrud for PETs er yderst relevant. Løsningsforslagene er et centralt punkt i rapporten. Jeg er helt enig i, at yderligere lovgivning, f.eks. et krav om notifikation og straf ved databrud [der foreløbig er på vej i EU gældende for telekommunikationsbranchen], helt sikkert vil medvirke til at gøre det økonomisk attraktivt at beskytte privacy. Ligeledes er det sund fornuft at fremme PETs i forbindelse med offentlige udbudskrav, udstedelse af privacy-certificeringer (privacy seals) samt indførelsen af en regel om, at bevisbyrden for databeskyttelse placeres hos den, der bedst er i stand til at sikre databeskyttelsen i stedet for at sende regningen videre til forbrugeren.

Desuden vil jeg gerne fremhæve, at standardiseringsarbejdet indenfor privacy forceres og udbygges. For så vidt angår en lov om notifikation ved databrud er det min personlige opfattelse, at en sådan regel skal være obligatorisk for alle ( virksomheder, organisationer og myndigheder) og at man bør vægte notifikationspligten højere end de pønale hensyn.  En kombination af nye lovkrav, selv- eller medregulering og supplerende mekanismer synes at være vejen frem.

Det står efterhånden klart, at det danske datatilsyn bør have tilført yderligere ressourcer og teknisk ekspertise til en mere aktiv rolle. I den forbindelse har jeg selv ved flere lejligheder foreslået et nærmere samarbejde mellem en række aktører og Datatilsynet, præcis som ekspertrapporten plæderer for (på linje med Rand-rapporten fra sidste år).  På dette sted giver det også mening på ny at opfordre relevante private organisationer og erhvervslivet til aktivt at arbejde for udbredelsen af diverse adfærdskodeks, som persondataloven åbner mulighed for.

Download den endelige rapport her. Som bilag til rapporten er udfærdiget 2 arbejdsdokumenter, henholdsvis  The challenges to European data protection laws and principles og  Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments. Rapporten omfatter også en række landestudier, herunder af Danmark, som professor Blume har stået for.  Der findes også et sammendrag af rapporten.

Privacy er et brandaktiv, fastslår amerikansk undersøgelse


Ponemon Institute, der gennemfører uafhængig forskning i privacy, databeskyttelse og informationssikkerhed, har for nylig offentliggjort en undersøgelse om de tyve virksomheder, der har den mest troværdige privacy.

Ponemon Instituttet slår fast, at i et år der betegnes som et turbulent privacy-år, med offentliggørelse af mange fejl og fejltrin, bevarer American Express støt og roligt sin førsteplads på listen over brands,som de amerikanske forbrugere har mest tillid til.  

Det er femte år i træk, at American Express topper listen. IBM, Johnson & Johnson, Hewlett Packard, og E-Bay besætter de fire følgende pladser.
 
Placeringerne er baseret på svar fra 6.627 amerikanere og undersøgelsen har omfattet omkring 38.000 virksomheder af hvilke 229 er blevet rangeret mindst 20 gange. Blandt de brands, der ikke tidligere har været med i top 20 er Google, Weight Watchers, Walmart og AT & T. Derimod er Facebook, AOL, og eLoan ikke med på listen.

Ingen små og mellemstore virksomheder kom med på top 20 og spørgsmålet der kan stilles er, om det skyldes at 56 procent af de små og mellemstore  virksomheder end ikke har en privatlivspolitik offentliggjort på deres hjemmesider? Undersøgelsen viser imidlertid klart, at selvom Facebook har en privacy politik, så kom de ikke med i toppen, hvilket helt sikkert skyldes at 2009 afslørede alvorlige brud på privacy og sikkerheden hos Facebook, der gav anledning til stor offentlig debat om deres privay-settings, siger Larry Ponemon fra institutet. Han udtaler endvidere i rapporten: “Facebook tiltrak sig stor opmærksomhed, da de valgte at forny deres privacy-politik på en meget synlig måde. Mens de blev belønnet for deres indsats sidste år, havde forbrugerne mindre tillid til Facebook i år, hvilket blot viser, hvor vigtigt beskyttelse af privatlivets fred er som et brand-aktiv.”

Mike Spinney, senior analytiker hos Ponemon, mener, at Facebook kan vende tilbage til top 20 listen, ved at have en åben tilgang til privacy. “Det vil tjene virksomheden godt i det lange løb, at reagere på kommentarer fra offentligheden”

Undersøgelsen viser også, at forbrugernes oplevelse af at have kontrol over deres personlige oplysninger er faldet støt: 41 procent i 2010, et fald fra 45 procent i 2009, hvilket var et fald fra 56 procent i 2006, det første år undersøgelsen er blevet gennemført.

Blandt undersøgelsens markante resultater kan fremhæves følgende.

Identitetstyveri er et vigtigt anliggende for de adspurgte. Næsten 60 procent af de adspurgte vurderer, at emnet er væsentlig faktor for hvor meget de har tillid til et brand, og 50 procent udtalte, at notifikation af databrud er en faktor af betydning. Andre trusler mod tilliden til et brand er misbrug af borgerlige frihedsrettigheder og irriterende “baggrundschat” på offentlige sites. Læs: drop unødvendige Twitter og Facebook opdateringer.

Privacy “features” bidrager til at skabe brandtillid. Stor securitybeskyttelse blev identificeret som tillidsskabende af 60 procent af forbrugerne, mens 53 procent siger, at  præcis dataindsamling og brug er vigtig for tilliden. Andre væsentlige positive faktorer er dataminimering samt online-anonymitet. 

Ponemon fremhæver i rapporten, at dataindsamling også omfatter markedsføring og advarer, at virksomhederne skal være forsigtige med brugen af kundeoplysninger.

“Hver gang kunder er udsat for markedsføring, som er irrelevant eller irriterende, er det et spørgsmål om privatlivets fred for dem,” udtaler Ponemon.

 Top-tyve virksomhederne for beskyttelse af privacy i 2010 er:
 
1 American Express (1)
2 IBM (3)
3 Johnson & Johnson (5)
4 Hewlett Packard (6)
5 E-bay (2)
6 U. S. Postal Service (6)
7 Procter & Gamble (7) 
8 Amazon (4) 
8 Nationwide (9)
9 USAA (11) 
10 WebMD (13)
11 Intuit (12)
12 Apple (8)
12 Disney (16)
13 Google (ikke i top 20 sidste år)
14 Verizon (17)
15 US Bank (19)
15 Charles Schwab (10)
16 Weight Watchers (ikke i top 20 sidste år)
17 Yahoo! (14)
18 FedEx (18)
19 Walmart (ikke i top 20 sidate år)
20 AT & T (ikke i top 20 sidste år)
20 Dell (20)

Undersøgelsen har nogle pointer, som efter min opfattelse også vil være relevante i forhold til danske virksomheder og for den sags skyld også offentlige myndigheder. Det er åbenlyst, at privacybranding bør inkorporeres med henblik på at skabe en langsigtet corporate brandværdi. En gennemtænkt holistisk privacypolitik, der er synlig for enhver, kan anbefales.   

Uden at der er tale om en videnskabelig undersøgelse, så viser en stikprøvevis gennemgang af diverse danske hjemmesider, at mange virksomheder og organisationer har en egentlig privacy policy, selvom indholdet varierer meget. Det kan afgjort tages som udtryk for at privacy beskyttelse tages alvorligt og at man er opmærksom på, at den udøver indflydelse på brandingen og markedsføringen af virksomheden og organisationen. Men der er helt klart behov for relevant forskning på området, herunder en lignende dansk undersøgelse af forbrugerforventninger som Ponemon Instituttet har gennemført. 

I 1999 udtalte Scott McNealy, Sun Microsystems chief executive, “You have zero privacy anyway. Get over it.” Og i januar 2010 blev Facebook´s grundlægger Mark Zuckerberg citeret for: “Privacy is dead – get over it”. Man skal selvfølgelig være varsom med generaliseringer og de nævnte smarte “heiku digte” er alt for unuancerede endsige retvisende. Jeg medgiver at privacy er kompliceret og begrebet undergår uomtvisteligt store forandringer i disse år, men i nærværende sammenhæng kan det i alt fald med rette fremføres, at amerikanske forbrugere lægger vægt på privacy og at det kan betale sig for virksomheder og organisationer at have et sæt privacy retningslinjer. Om de så er let forståelige og faktisk sikrer den enkelte forbrugers privacy er et andet spørgsmål. En væsentlig pointe er, at virksomheder og organisationer, har en åben og gennemsigtig politik, der oplyser om det konkrete formål for en dataindsamling og hvorledes persondata vil blive opbevaret og behandlet, herunder hvilke teknikker der er anvendt for at sikre dette. Et reelt brugervalg der sikrer brugerkontrol er at foretrække. At nå dertil er der endnu et stort stykke vej. Information og uddannelse er nøgleord.

Hertil kommer at offentlige myndigheders privacy policy altid bør inkludere det bredest mulige publikum, herunder også borgere, der er skeptiske  overfor den offentlige administration og som har mistillid til den teknologiske udvikling.

Et holistisk helhedssyn er påkrævet


balancevægt

I den offentlige debat stilles overvågning ofte i modsætning til privacy. Jo mere overvågning jo mindre privacy. Det er en total misforståelse for overvågning og privacy er ikke et hverken eller, men et både og. Der er ikke eller rettere, der behøver ikke mere, at være tale om en dikotomi. Man kan også udtrykke det således: security og privacy er to sider af samme mønt.

Overvågning har ligesom privacy nytteværdi for den enkelte og for samfundet som helhed, fordi begge begreber i bund og grund har det samme formål: at skabe tryghed. Hvem vil ikke stoppe terroristen eller pædofilisten ? Der er vel heller ikke mange som oplever trafik- eller miljøovervågning som noget negativt. Men der er jo ikke grund til unødvendig overvågning !

Udfordringen er selvfølgelig at foretage en nærmere etisk, juridisk og teknisk vurdering af den konkrete sammenhæng hvor overvågning ønskes iværksat og privacy samtidig vil blive krænket. Der vil være tale om at afbalancere de forskellige hensyn.

Imidlertid må det konstateres, at der efter 11/9 har været mange eksempler på lovgivning, hvor lodderne til fordel for en ren sikkerhedsbetragtning, har vejet tungest. Det behøver ikke at være sådan og det bør der rettes op på, så der kommer mere balance i tingene.

Denne holdning deles efterhånden af en lang række opinionsdannere, eksperter og politikere og er bl.a. kommet til udtryk i diskussioner i forbindelse med forberedelsen af arbejdsprogrammet for det svenske EU formandskab i 2. halvår 2009. I et referat af en konference i Bruges i marts 2009 ararrangeret af Det Europæiske Råd om en strategisk dagsorden for frihed, sikkerhed og retfærdighed , refereres f.eks. den tjekiske indenrigsminister Ivan Langer, specifikt for at understrege “the importance of finding a balance between security and privacy, hinting that there today is a tendency in Europe to focus too much on security. Freedom, privacy and mobility is however as important and has been left outside the focal point lately”.

Det er ikke altid en let opgave, men det er ikke desto mindre en fremgangsmåde, som er nødvendig og som vil stille store krav til myndigheder, interesseorganisationer og NGO´erne. Ja, i en tidsalder hvor konflikter og teknologi bliver mere og mere kompliceret, må vi også hver især som enkeltindivid være meget mere engagerede i hverdagen.

De principper vi bygger vort samfund på skal vi værne om, men debatten viser med al ønskelig tydelighed, at der mangler en grundlæggende forståelse af vort værdisæt. Når det af mange udtales, at man ikke har noget at skjule og at man faktisk gerne vil have overvågning, så er det ikke en overraskende holdning. Vi lever – trods alt – i et af de mest trygge samfund i verden med en social velværd, som de fleste nyder godt af. Vi har samtidig, det viser jævnlige undersøgelser, en offentlig sektor, som er en af verdens mindst korrupte.

Men desværre bygger holdningen også på stor uvidenhed og mange vil måske mene direkte naivitet. Misbrug finder sted, det ved vi. Den korrupte embedsmand findes, det ved vi også. Det er godt at vi kan benytte os af de teknologiske muligheder til at sikre mennesker og værdier, men teknologien kan også misbruges. Jeg plejer at sige, at der ikke findes hverken god eller dårlig teknologi. Opgaven består i at designe den teknologiske løsning efter det konkrete behov. Teknologiske mekanismer som f.eks. “privacy by design” herunder “revocable privacy” og “revocable anonymity” (konceptideer) samt “best available techniques” og “human factors design”  kan være til stor hjælp i sammenhæng med anvendelsen af moralske principper som eksempelvis “forsigtighedsprincippet” (the precausionary principle). Udvikling af en IT-infrastruktur, hvori proces og krav direkte implementeres (embeddes) uden mulighed for senere ændring, kan også være en løsningsmodel.

Eksemplerne skal illustere, hvorledes teknologien kan sikre både privacy og security ved opbygning af informationssystemer. Eller med andre ord kan teknologien gøre det muligt for både sikkerheds-hardlinere og frontkæmpere for menneskerettigheder at mødes !

Med ”internet of things” vil især WiFi- og RFID-teknologierne gøre det muligt at forbinde alle mulige ting med hinanden fra bøger til biler og fra elektriske apparater til fødevarer. Det giver os mennesker fantastiske muligheder for at understøtte og forbedre hverdagen, men samtidig kan teknologien opsamle en masse information om vores gøren og laden 24 timer i døgnet. Løsningen må som udgangspunkt være, at brugeren har kontrol og valgmulighed, hvilket igen forudsætter gennemsigtighed. Et nyligt notat fra EU Kommissionen Internet of Things – An action plan for Europe sætter fokus på denne fremtid.

Det forventes at politikere og embedsværket vil være i stand til at træffe de rigtige afgørelser ud fra et samfundsmæssigt helhedssyn. Man kan ikke betænke organisationer eller myndigheder i at varetage de interesser eller opgaver de nu er sat til at varetage.

Men hvorledes sikrer vi os den afbalancerede afvejning af ofte modsatrettede hensyn, som der i en globaliseret verden mere end nogensinde er behov for?

Mere tværfaglig forskning hilses velkommen lige som generelle informationskampagner er vigtige.  Der synes også at være anledning til at gennemføre en videnskabelig undersøgelse af hvorledes vi i grunden stiller os til overvågning og privatlivsbeskyttelse, vore værdier og holdninger til menneskerettighederne.

Men derudover er der måske grund til at overveje etablering af et ”visdomsråd”, som skal forholde sig kritisk men holistisk til alle samfundets udfordringer og som forener videnskab med en dybere forståelse af de menneskelige værdier og samfundets sammenhængskraft og bæredygtighed i videst muligt omfang.

Ideen er faktisk så gammel som demokratiet, idet der i det antikke Grækenland fandtes et symposium af 7 vise mænd, som skulle assistere samfundet med forslag til løsninger af komplicerede spørgsmål både personlige og sociale og som kom til at få stor indflydelse på opbygningen af et oplyst og avanceret samfund.

Er disse gamle visdomsord i øvrigt ikke eviggyldige og relevante ikke bare i diskussionen mellem øget overvågning og privacy men i alle sammenhænge:

“All things in moderation”

“Nothing in excess”

Anmeldelse: de overvågede – vores privatliv er truet men der findes løsningsmodeller


de overvågede

Forbrugerrådet og DI (Dansk Industri) har i forbindelse med den internationale databeskyttelsesdag udgivet debatbogen ”De overvågede – vores privatliv er truet men der findes løsningsmodeller” om den voksende registrering og overvågning af danskerne. I foromtalen understreges det, at bogens pointe ikke er et nej til digitale løsninger og ny it-teknologi, der kan være til gavn for borgerne – tværtimod – men at de offentlige systemer bør indrettes, så de respekterer privatlivets fred. I bogen giver en række it-eksperter konkrete bud på de løsninger, der allerede findes og kan anvendes, hvis myndighederne vil.

Bogen er en rigtig god ide og eftersom forfatterne er nogle af Danmarks førende IT- og privacyeksperter, så er det lødig og spændende læsning. Imidlertid er bogen på store træk meget teknologisk vinklet og vil derfor for de fleste være svært tilgængelig.   Skal privacy ”ud over rampen” skal den næste bogudgave være langt mere i almindelig øjenhøjde, herunder med opmærksomhed på børn og unge samt andre marginaliserede. Det fortjener emnet også.

Der er en flot indledning om privacybegrebets definition. Jeg er enig i betragtningen at privacyvurderingen skal ligge hos borgeren og derfor som udgangspunkt bør være subjektivt, dvs. betinget af 2 faktorer:

1. Ret til kontrol over personlige data
2. Udøvelse af denne kontrol i henhold til egne interesser og værdier

Om dette kan efterleves i praksis er dog mere end tvivlsomt, men det er et godt ideal.

At privacy er trængt efter 11. 9. 2001 er jeg også enig i og mange af argumenterne er klare og rigtige, herunder det dilemma som der er i forhold til overvågning i forbindelse med terrorbekæmpelsen og i forholdet til vort ønske om bekvemmelighed. Det er en glimrende iagttagelse, når Henning Mortensen og Erik Valeur udtaler, at ”overvågning vil derfor i et vist omfang ensrette mennesker, så kreativitet og forskellighed ikke får tilstrækkeligt spillerum. Mennesker kommer i stedet til at bruge deres energi på at være ens og ikke skille sig ud fra mængden”.

Bogen påpeger ganske rigtigt at når security og privacy eller frihedsrettigheder støder sammen, behøver det ikke nødvendigvis at være en zero sum tradeoff.  I almindelighed varetager man ikke frihedsrettigheder ved at eliminere bestemte security løsninger, men derimod ved at lade dem undergå domstolskontrol, begrænse fremtidig brug af persondata samt sikre at de udføres i en balanceret og kontrolleret måde. At undgå ineffektive security tiltag er ofte ikke blot en sejr for frihedsrettighederne, men også for security, eftersom bedre alternativer måske kan forfølges (Daniel Solove).   Der er i det hele taget behov for en mere nuanceret og fornyet diskussion på Christiansborg om terrorbekæmpelsen og menneskerettighederne, herunder privacy med henblik på en revision af de såkaldte terrorlove. En terrorkommission er foreslået af de Radikale og i Norge har der været nedsat en privacykommission, som måske kunne tages op også i Danmark. Dansk Privacy Netværk anbefaler et omfattende forskningsprogram med temaer som der er orienteret om andet steds på bloggen. Bogens forfattere efterlyser også øget forskning, hvilket kunne indgå i den politiske beslutningsproces.

Afsnittet om ”Når overvågning ta´r magten” om 4 scenarier med venstrepolitikeren Ellen Trane Nørby, Enhedslistens Rune Lund, Tv-værten Kurt Strand og analysechef Thomas Roland, af Erik Valeur er nærværende og godt skruet sammen. Også tidligere PET chef Hans Jørgen Bonnichsens bidrag ”Big Brother eller Big Mother” er tankevækkende og forståelig for mange, omend noget pessimistisk og dermed i kontrast til bogens i øvrigt konstruktive og positive tilgang til temaet.  Når vi nu taler om den kære familie, så vil jeg da ikke undlade at nævne Little Brother, der kan spille en rolle som vagthund. Big Brother dør nok ikke, men han har brug for en storebror, som holder ham i kort snor.

Et af bogens hovedteser er, at teknologien kan være med til at sikre privacy. Eksempelvis omtales krypteringsteknologier, som kan sikre anonymitet, dvs. at tillade individer at afsløre eller bevise information om dem selv til andre uden samtidig at afsløre deres fulde identitet. Stephan Engberg, en kollega der ved hvad han taler om, har nogle spændende betragtninger om dette emne med overskriften “Nøglen til fremtiden – pseudonymer og virtuelle identiteter”, herunder om biometri, idet det anerkendes at den ellers komplicerede teknologi har sin berettigelse, såfremt den designes som privacy biometrics eller krypteret biometri til specifikt brug.

Især fremhæves som overbegreb de såkaldte PET (privacy enchancing technology) løsninger. PETs defineres som et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket processing af persondata uden at miste datasystemets funktionalitet (Borking 1996).  Der er ingen tvivl om, at PETs er en ganske udmærket metode til at sikre (den digitale) privacy, men det er efter min opfattelse ikke nok. I det hele taget synes jeg, at det er et af bogens mangler, at den for meget fokuserer på teknologiske løsninger. Det erkendes ikke tilstrækkeligt, at tekniske tiltag ikke kan løse alle privacyudfordringer og man har ikke nok øje for den menneskelige faktor.  Det vil være fatalt alene at sætte sin lid til teknologien. Det vil være en sovepude og lige dét som hackere og kriminelle ønsker sig.

Derfor er det en vigtig pointe, at PETs bør være en en del af et samlet økosystem der er baseret på en privacy-styrkende kultur, hvori indgår en række discipliner som f.eks. governance, policies, best practices, processer samt implementeringer (human factors baseret design).  At komme dertil forudsætter uden tvivl en holdningsændring, som dét der i længden skal sikre privacy og den opnås kun ved en løbende debat, lødige informationskampagner, aktive NGO´ere, læring samt uddannelse.

Men taler vi om teknologiløsninger, så er det værd at inddrage et yderligere værktøj, nemlig de såkaldte TETs (transparency enhancing tools) som har til hensigt at foregribe profilering (datamining) som måske kan anvendes på et bestemt data subjekt (brugeren).  TETs giver brugeren adgang til information om ikke alene hans egne persondata, men ved hjælp af et profilerings- og rapporteringsværktøj også til eksterne datakilder, som tillader en vis indsigt med dataformidlerens aktiviteter.  På denne måde vil brugeren kunne hindre profilering (counterprofiling).  I modsætning til PETs, hvor princippet om dataminimering er det bærende element, tager TETs hele det data-intensive miljø i betragtning, hvor dataindsamlingen ikke nødvendigvis er relateret til den pågældende selv.

Påstanden er, at gennemsigtighed og bevis = tillid. Intet mindre. Gennemførelsen af TETs er kontroversiel, bl.a. fordi den forudsætter viden om forretningshemmeligheder, og betinger derfor en banebrydende nytænkning af den socio-tekniske infrastruktur og forholdet mellem borgere, industrien og myndighederne. Den personlige frihed kan ikke tages for givet, men forudsætter, at borgeren har en vis awareness om hvad der findes af viden om ham og af hvem.

De overvågede anbefales som grundlag for diskussioner på arbejdspladsen eller derhjemme ved spisebordet. Den er på 124 sider og kan i PDF format downloades gratis her.

221491782

Privacy skal gøres til et offentligt anliggende og tiden er inde nu


træpåplæne 

Jeg ser meget gerne, at privacy sættes i et større perspektiv som den menneskeret den er og at vi sætter en ny dagsorden. En dagsorden med en holistisk tilgang til menneskerettighederne forfatningsmæssigt, lovgivningsmæssigt og sidst men ikke mindst etisk.

Det er vigtigt både med en moderne og konsekvent lovgivning, men også en ajourført grundlov, som kan udtrykke nationens grundholdninger (og modvirke lunefulde politikere). Forfatningen bør desuden ikke alene tage højde for de især efter 2. Verdenskrig gennemførte internationale konventioner, men også være på forkant med den teknologiske og til dels samfundsmæssige udvikling. En proaktiv eller progressiv retsindstilling er nødvendig fordi samfundet udvikler sig med rivende fart, kulturelt, politisk, økonomisk og teknologisk. Selvom det bliver sagt gang på gang og på trods af den aktuelle diskussion om global opvarmning, klimaforandringer, økonomiske konsekvenser af finanskrisen, den internationale terrorisme, de daglige krænkelser af menneskerettighederne verden over, så tror jeg ikke at det er gået op for ret mange af os, at vi faktisk lever i en globaliseret verden, hvor dét der sker på den anden side af jordkloden kan få umiddelbar indflydelse på vor egen hverdag.

Men det er ikke nok alene med en retsregulering medmindre det etiske grundlag også manifesteres. Det forudsætter efter min mening en ny bevidsthedsgørelse af hver af os og vor egen menneskelige værdighed. En sådan erkendelse er allerede at spore og er selvsagt en løbende proces, som kun kan holdes i gang og stimuleres, såfremt vi hver især som individ hele tiden er vort ansvar bevidst. Vi må ikke glemme, at selvom menneskerettighederne i sagens natur er rettigheder, så betyder det ikke at vi kan fralægge os et ansvar for vor moralske adfærd. Vi må så at sige tage skæbnen i egen hånd. Når alt kommer til alt vil erkendelsen være dét som bærer os videre mod et mere civiliseret og bæredygtigt samfund som vi kan være stolte af for nu at være lidt højtidelig her ved årsskiftet til 2009. Det burde jo være sådan at vi handler fordi vi mener det er moralsk rigtigt og ikke fordi det står i loven alene. Det er selvfølgelig en relativ urealistisk og i manges øjne naiv idealisme, men at tjene et ideal behøver ikke nødvendigvis at være forbundet med himmelflugt, sålænge man gør sit bedste for at efterleve idealet i hverdagen uden at forfalde til fanatisme eller fantasteri. Det er indlysende nødvendigt med gode love, men et eller andet sted føles det alligevel som et nederlag for et samfund, når vi skal slå hinanden i hovedet med paragraffer for at få ret. Hermed være utalt om denne ret så også vil blive opfattet som retfærdig, når det kommer til stykket.

Jeg anbefaler derfor en folkelig debat som en del af en national handlingsplan, der også skal inkludere et nyt målrettet forsknings-, udrednings- og rådgivningsprogram, som sætter fokus på privacy med temaer som:

• Udvikling af metodologi, idet begreber og definitioner er alt for diffuse og usammenhængende.
• Udvikling af generelle privacy principper til brug for enhver organisation (Fair Information Principles).
• Udvikling af værktøjer til brug for privacy konsekvensanalyser (Privacy  Impact Assessment) for al fremtidig
lovgivning og reformarbejde, som involverer persondata.
• Udvikling af principper for Identity Management (IdM) i relation til privacy og databeskyttelse.
• Udvikling af designværktøjer og samtidig igangsætning af konkrete dokumentations- og proof of concept-projekter om Privacy Enhancing Technologies (PETs eller privatlivsfremmende teknologier)
og Transparency Enhancing Tools (TETs) med særligt henblik på ambient intelligence (AmI). Ideen er at PETs og TETs ikke skal boltes på, men være en indbygget del af ICT løsningen fra start (“baked in” privacy). Disse forskningsprojekter har det overordnede mål at gøde jorden for udvikling af en ny dansk vækstindustri.
• Deltagelse i en surveyundersøgelse til afdækning af danskernes grundlæggende holdninger og værdier til menneskerettighederne.
• Deltagelse i forskningsprojekter som opstiller principper for sikring af menneskerettighederne og deres hybriddiskurser i forhold til kampen mod terror og den generelle kriminalitetsbekæmpelse. Et konkret bidrag kan være en videreudvikling af konsekvensanalyser som ikke alene tager højde for informationsprocessen, men går videre med henblik på at konfigurere værdier ved hjælp af en såkaldt overvågnings-konsekvensanalyse.  Hermed menes en proces som identificerer, forudser og  forholder sig til en potentiel privacy indflydelse på en konkret overvågningsoperation.

Det sidste tema anses som yderst aktuelt og relevant for Dansk Privacy Netværk, som med sine tværfaglige eksperter kan deltage med lødig viden og innovation. Temaet vil være et glimrende bidrag til den vigtige værdikamp og være inspirator for den overordnede politiske og ikke mindst folkelige debat om menneskerettighedernes rette placering i samfundet.

Afslutningsvis kan jeg ikke undlade at bemærke, at dagen idag bærer i sig historiens vingesus, idet Isaac Newton blev født d. 4. januar i 1643 (GC). Med sit værk  Mathematical Principles of Natural Philosophy (1687) viste Isaac Newton, at kun en tålmodig og skeptisk forskning kunne frembringe resultater. Han gjorde dermed op med datidens religiøse dogmer og åbenbaringer og blev en energikilde for hele oplysningstiden.   

Knowing trees, I understand the meaning of patience. Knowing grass, I can appreciate persistence. Hal Borland, American, Author