Privatlivsfremmende teknologier – er der noget at komme efter ?


10. september 2010 blev PrivatTek 2010 afviklet i den lyse og stilfulde Landstingssal på Christiansborg. De lidt over 90 deltagere blev foran Landstingssalen mødt af 14 portrætter af Danmarks tidligere statsministre fra Thorvald Stauning, der blev statsminister i 1924, til Poul Nyrup Rasmussen, der var statsminister 1993-2001.

De ydre rammer for konferencen kunne derfor ikke siges at være bedre med henblik på italesættelsen af persondatabeskyttelsen i sammenhæng med privatlivsfremmende teknologier, som var et af arrangementets hovedformål. 

De privatlivsfremmende teknologier blev belyst i relation til:

  • It-sikkerhedskomiteens indsatsområder 
  • Persondataloven
  • I forbindelse med videoovervågning
  • En integreret del af en innovativ it-arkitektur 
  • Et visionært teknologidesign
  • EU´s kommende 7. call under IKT-programmet og sidst men ikke mindst
  • I en debat med et bredt sammensat panel

Det var netop hensigten at komme vidt omkring emnet ved at berøre teknologikonceptets teoretiske, praktiske, tværfaglige, politiske, økonomiske og etiske aspekter. Ved samtidig at gøre dette på et jordnært, elementært niveau er det håbet at tage mystikken af teknologibegrebet og få en bredere kreds af offentligheden i tale. At f.eks. CenSec og Sikkerhedsbranchen er officielle medarrangører af PrivatTek 2010 er allerede i sig selv en manifestation af disse organisationers øgede interesse for privacy.

Det er min klare opfattelse at denne mission er lykkedes. Det viser den store interesse op til PrivatTek 2010 og bredden af deltagerne, som talte både repræsentanter for en række ministerier og styrelser, forskere og studerende fra en række forskellige universiteter, advokater, repræsentanter for en lang række erhvervsbrancher, herunder finanssektoren og it-sikkerhedsleverandører. 

 At jurister får en større forståelse for de privatlivsfremmende teknologier samtidig med at it-udviklere sætter sig mere ind i lovgivning om persondatabeskyttelse og privacy-principper er en grundforudsætning for bæredygtige løsninger. Derfor opfordrede jeg selv i min velkomst etableringen af tværfaglige forsknings- og udviklingsmiljøer med privatlivsfremmende teknologier for øje.   

PrivatTek 2010 nød godt af en engageret deltagelse af Yildiz Akdogan, Socialdemokraternes it- ordfører og konferencens officielle vært. Arrangørerne havde dog set frem til en større politisk bevågenhed, især fordi en positiv udvikling af teknologien, som bl.a. påpeget af flere nylige rapporter udgivet af EU-Kommissionen, forudsætter mere direkte lovgivning og diverse soft law-instrumenter.    

Der er i den forbindelse anledning til at fremhæve, at der i lige så høj grad er behov for en øget certificering og standardisering, som lektor Christian Damsgaard Jensen kom ind på i sit indlæg og som blev problematiseret under indlægget om video i teknisk og retligt perspektiv af direktør Kasper Mikkkelsen fra Sikkerhedsbranchen. Det er muligt, at det er en større teknologisk udfordring, at ekstrahere semantisk information med henblik på beskyttelse (scrampling) for så vidt angår multimedier end med hensyn til tekstdata eller kategoriske data. Selv om  Sikkerhedsbranchen i øvrigt på eget initiativ har indført en godkendelsesprocedure for installatører, mangler der imidlertid en eller anden form for effektiv kontrol med at produkterne lever op til det de lover for at skabe reel tryghed for borgeren.

Sidste år stødte jeg på en glimrende artikel Without fear of trespass på guardian.co.uk skrevet af Julian Baggini. Den og debattråden  berører ikke de teknologiske muligheder, men det er alligevel tankevækkende at forestille sig, hvorledes teknologiløsninger kan og bør være med til at fjerne almindelige menneskers behov for at forsvare deres privacy i det offentlige rum. 

Den etiske dimension blev også taget op under paneldebatten af direktør Lars Klüver fra Teknologirådet. Det er klart at værdidebatten er fundamental for hele samfundsudviklingen. Man kan definere etik som kritisk refleksion på menneskets handlinger (moral) og al teknologidesign bør naturligvis være baseret på klart formulerede etiske principper. Det er altid godt at tage emnet op i enhver sammenhæng og det var mit klare indtryk at forsamlingen var opmærksom herpå.   

De deltagere, som jeg har talt med efterfølgende udtrykte alle, at de synes det var en interessant og udbytterig event. I øvrigt kan jeg henvise til Jan Horsagers inspirerende blogindlæg 14.9 2010: Hvem skal bestemme, hvad der er fortroligt? og dagens opfølgende artikel på Computerworld online: Hvem vil certificere privacy? samt yderligere kommentarer om konferencen og om privacy i almindelighed på Danish Biometrics og  her.

Á propos temaets aktualitet kan desuden henvises til den åbningstale, som Viviane Reding, EU-kommissær for retlige anliggender, grundlæggende rettigheder og EU-borgerskab, holdt i forbindelse med the digital single market Conference i Brussels 16. 9. 2010 og som var organiseret af the Lisbon Council. I talen opfordrede Reding til udvikling af nye teknologier baseret på privacy by design og “at databeskyttelsen bør indlejres i teknologiernes og procedurernes hele livscyklus”.

Under alle omstændigheder blev der sat fokus på privatlivsbeskyttelsen. Det er jo en opgave, som der hele tiden skal afsættes ressourcer til. Der er ikke nogen tvivl om, at der tegner sig nogle yderst interessante perspektiver i udviklingen af privatlivsfremmende teknologier og derfor vil PrivatTek som koncept blive videreudviklet i forbindelse med kommende arrangementer.

Danmark bør gå i front med CSR-innovation i menneskerettigheder


Danmark og CSR

I Forsk2015 kataloget (maj 2008), der identificerer og prioriterer Danmarks strategiske forskningstemaer, fremhæves virksomhedernes evne til at innovere som en central udfordring og at en strategisk forskningsindsats skal tilvejebringe et forbedret videngrundlag for virksomhedsledere, medarbejdere og politikere omkring den måde, hvorpå innovationsprocesser ledes, organiseres og fremmes bedst muligt. Målet er at bringe Danmark op blandt de mest innovative lande i verden.

Regeringen har i sin handlingsplan for virksomheders samfundsansvar (maj 2008) sat sig et visionært mål om, at udbrede forretningsdrevet samfundsansvar blandt både store og mindre virksomheder.

Om forretningsdrevet samfundsansvar foreslår regeringen for eksempel, at virksomhederne kan udvikle nye produkter eller ydelser, der indeholder en social eller miljømæssig dimension.

I forbindelse med et af de fire indsatsområder i handlingsplanen om udbredelse af forretningsdrevet samfundsansvar vil regeringen bl.a. øge rådgivningen om innovation og samfundsansvar til små og mellemstore virksomheder i de regionale væksthuse.

I tilknytning til denne aktivitet har Center for Samfundsansvar netop stået i spidsen for et nordisk projekt om CSR-drevet innovation, der har til formål at støtte en innovationsproces, der med udgangspunkt i sociale eller miljømæssige hensyn bidrager til udvikling af en service eller et produkt, der er økonomisk rentabelt samtidigt med, at det gavner medarbejdere, miljø eller samfund på nye måder.

Endvidere har Europa-kommissionen med den “Europæiske Alliance for CSR” til hensigt at medvirke til at få de europæiske virksomheder til at acceptere Corporate Social Responsibility og at øge støtten til og anerkendelsen af CSR som et bidrag til en overordnet bæredygtig udvikling og til Europæisk vækst og beskæftigelse. Alliancens medlem- mer har bl.a. identificeret et prioritetsområde baseret på samfundsmæssige behov, at fremme innovation inden for bæredygtig teknologi, produkter og services samt at skabe innovation på miljøområdet med specifikt fokus på at integrere den miljømæssige nyttevirkning og energibesparelser i produkt- og service udviklingsprocessen.

Danmark og IKT

Det fremgår ligeledes af FORSK2015 kataloget, at visionen er, at Danmark i 2015 er ledende inden for udvikling af nye innovative IKT-baserede produkter og services samtidig med, at samfundets behov og den generelle IKT udvikling i højere grad sammentænkes. En central passage i kataloget er følgende: ” Der vil i en række sammenhænge også være behov for at indtænke emner som sikkerhed, pålidelighed, tryghed og privacy i forskningen.”

I 2008 rangerer FN’s E-Government Survey Danmark blandt de øverste to lande i offentlig e-parathed kun overgået af USA. Endvidere er Danmark placeret blandt de fem første lande på globalt plan i indeks om e-parathed (EIU 2008). Hertil kommer, at  EIU World Investment Prospects anser Danmark for at have det mest erhvervsvenlige miljø i perioden 2007-2011.

Europa-Kommissionens Digital Competitiveness Report (august 2009) viser, at Danmark er blandt de bedste nationer for de fleste i2010 indikatorer og er en klar frontløber i udviklingen af informations-samfundet. Med en handlingsplan for grøn IT lanceret i 2008, er Danmark også i front med hensyn til miljøvenlig anvendelse af IKT.

Selvom Danmark på det seneste på visse punkter har mistet lidt af sin førerposition, så vidner tal som disse om, at Danmark er en verdensklasse IKT-klynge, og at regionen besidder et enormt forretningspotentiale for internationale IKT-aktører. Danmark har en stor koncentration af virksomheder, der arbejder inden for IKT-området, og den største IKT-klynge i Danmark er placeret i det Storkøbenhavnske område og spænder over den sydlige del af Sverige.

Denne grænseoverskridende IKT klynge har en arbejdsstyrke på 100.000 IKT-medarbejdere og fungerer som en fremragende indgang til den skandinaviske IKT-industri.

Danmark og CSR-IKT innovation

En virksomheds samfundsansvar drejer sig også om at respektere og fremme de grundlæggende menneskerettigheder. 6 af FN´s 10 principper for samfundsansvar for virksomheder (Global Compact) fremhæver, at virksomheder bør støtte og respektere internationalt erklærede menneskerettigheder; samt sikre, at den ikke medvirker til krænkelser.

Imidlertid er der ikke den store fokus på at udvikle nye produkter eller serviceydelser, der indeholder en menneskeretlig dimension. CSR-innovation og design i menneskerettigheder kan på samme måde som et  miljømæssigt engagement være knyttet til en virksomheds forretning og forretningsmodel, til processer og teknologier og til bestemte produkter og services med henblik på at fremme en udvikling af de grundlæggende menneskerettigheder.

Som udgangspunkt vil der kunne opnås en særlig synergieffekt ved at fokusere på  menneskerettigheder, som har en særlig betydning for IKT området, såsom informations- og ytringsfriheden, retten til at deltage i teknologisk udvikling samt retten til privatlivets fred.

CSR-innovation og design i menneskerettigheder (eller CSR-innovation and design in human rights) vil ikke alene kunne være rettet mod løsning af bestemte menneskerettighedsmæssige problemer båret af et samfundsmæssigt hensyn men også være specifikt markedsorienteret. Et paradigmeskift med forretningsmodeller, teknologier, samarbejdsmodeller, idéskabelse og iværksætteri i et menneskeret-tighedsmæssigt perspektiv vil befordre en ny almengyldig og fundamental tilgang til ansvarlig innovation.

Den ekspansive udvikling af overvågningsteknologier som f.eks. RFID, biometri, GPS, CCTV, MEMS, smart ID-kort osv. især efter 11/9, har samtidig medført ny og spændende forskning og udvikling i privacy enhancing technologies (PET). Disse PET løsninger er et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket behandling af persondata uden at miste datasystemets funktionalitet, Business casen viser, at der kan designes teknologier til beskyttelse af privatlivets fred, som jo er en basal menneskeret (Menneskerettigheds-erklæringens artikel 12).

CSR innovation og design i menneskerettigheder skal være med til at udvikle nye teknologier ( f.eks. ambient intelligence i sammenhæng med embedded system design), videnskoncepter og videnskompetencer. Mange relevante nøgleteknologier eksisterer allerede, men skal videreudvikles og forfines til specifikke formål i en ny kontekst (teknologisk konvergens) i sammenhæng med udvikling af nye forbrugerorienterede markedsmekanismer. CSR innovation and design in human rights er ikke kun en ny trendy public relation idé, men et helhedsorienteret, nytænkende og skelsættende koncept med en forretningsmæssig forankring, som skal bidrage til at eliminere den tilsyneladende dikotomi mellem profit og etiske principper ved at gøre investeringer i human rights profitable i både snæver og bredere forstand.

Danmark er verdens mest innovative land med hensyn til virksomheders samfundsansvar (CSR) også kaldet samfundsansvarlig virksomhedsinnovation eller CSI. Der er mange gode grunde til at fastholde og udbygge denne førerposition ved at udnytte etablerede ressourcer, kompetencer og synergieffekter til at satse på det hidtil ret oversete aspekt af CSR, der synes at have et signifikant globalt potentiale. Om brugerdreven innovation og demokratisk teknologiudvikling, der ligger i forlængelse af CSR, henvises til et blogindlæg om biometri.

Forskellige initiativer med en række aktører vil derfor blive undersøgt i den kommende tid.  Eventuelt interesserede er velkommen til at rette henvendelse til Dansk Privacy netværk´s sekretariat.

EU-ekspertrapport anbefaler en grundlæggende tilgang til databeskyttelse


Europa-Kommissionen, Generaldirektoratet for Retfærdighed, Frihed og Sikkerhed har netop offentliggjort en ekspert-rapport der på ny understreger, at en revision af EU´s persondatadirektiv skal leve op kravene i henhold til den europæiske menneskerettighedskonvention og medlemsstaternes forfatninger. Det fremhæves i rapportens resumé, at persondatadirektivets principper, bestemmelser og kriterier er en del af de grundlæggende menneskerettigheder, og at de har bestået sin prøve, selvom de i visse henseender har et behov for at blive styrket.

Rapporten fremhæver også det i den løbende debat tidligere fremførte argument, at persondatadirektivet til trods herfor  ikke har været tilstrækkelig implementeret og håndhævet og det er den teknologiske udvikling, der er årsag hertil,omend visse nye teknologier kan medvirke til en bedre gennemførelse af direktivet.

Eksperterne mener, at databeskyttelseslovgivningen i EU derfor fortsat bør være baseret på principperne i direktivet og at implementeringen af disse bredt formulerede standarder skal præciseres, hvorimod der ikke er behov for en egentlig revision. Tværtimod udtrykker rapporten, “at direktivet reflekterer europæiske og nationale standarder for forfatnings- og menneskerettigheder, som der er et tvingende behov for at få genbekræftet”. Herefter opstilles en række anbefalinger som følger:

  • Databeskyttelsesprincipperne bør umiddelbart udstrækkes til alle områder, som før har været omfattet af de forskellige EU søjler, herunder søjle 3 aktiviteter [kriminalitetsbekæmpelse]
  • Standardindstillingerne for sociale netværkstjenester bør være privacyvenlige
  • Klarere regler for hvad der er gældende lovgivning for virksomheder inden for og uden for EU/EEA
  • Mere harmonisering baseret på fortolkninger og formulering af “best practice” af WP29 i konsultation med EU-Kommisisonen
  • Mere samarbejde med ikke-EU-lande
  •  Behov for at sikre en langt større overensstemmelse med eksisterende lovgivning ved hjælp af PIA´s, privacy audits eller privacy seals
  • Behov for at styrke individets rettigheder og retshåndhævelsesmidler (muligvis sammen med eller gennem relevante  NGO´ere) og
  • Behov for at videreudvikle supplerende og alternative foranstaltninger (og samtidig forstå indbyggede begrænsninger og praktiske restriktioner for sådanne foranstaltninger) på baggrund af realistiske og tekniske undersøgelser

Hovedbidragene til rapporten er forfattet af  Dr. Ian Brown, University College London og professor Douwe Korff, London Metropolitan University. Specielle ekspertbidrag er bl.a. professor Chris Hoofnagle, University of California og professor Peter Blume fra Københavns Universitet.  Professor Ross Anderson, University of Cambridge og privacy strategist Caspar Bowden, Microsoft har blandt andre fungeret som rådgivere.

Rapporten er et vægtigt stykke arbejde, hvis anbefalinger er i harmoni med tidligere bidrag fra andre eksperter og som efter min personlige opfattelse fuldt ud kan tiltrædes.  Rapportens perspektivering i relation til de europæiske forfatnings- og menneskerettigheder er god og væsentlig.

Af rapportens mange interessante temaer og vurderinger vil jeg alene knytte nogle yderligere kommentarer til teknologiaspektet, netop fordi rapportens forfattere fremhæver, at   spørgsmålet om datasikkerhed også hænger sammen med spørgsmålet om de såkaldte privacy enhancing technologies (privatlivsfremmende teknologier). Disse databeskyttelsesværktøjer bør klart være en lovmæssig integreret del af  defaults for opsætning af parametre til internet brug.

Rapporten fremhæver eksempelvis, at det franske datatilsyn, CNIL i lang tid har anbefalet indførelsen af privacy enhancing technologies og har et tæt samarbejde med erhvervslivet. Ifølge fransk lovgivning har CNIL nu mulighed for at fremkomme med en udtalelse om en bestemt PET-løsning overholder gældende lov og yder reel beskyttelse. På denne måde kan CNIL “blåstemple” bestemte produkter (eller tilbageholde en sådan godkendelse).

Det er en udmærket ide at overveje nedsættelsen af et særligt organ af databeskyttelsesmyndigheder i EU/EEA (European Economic Area) i tæt samarbejde med artikel 29- arbejdsgruppen og EU-Kommissionen vedrørende spørgsmål om European Privacy Seal, europæiske adfærdskodeks og de såkaldte Binding Corporate Rules (BCR). ekspertholdet har her ladet sig inspirere af den praksis der har udviklet sig i den tyske delstat Schleswig-Holstein, hvor det anerkendte Unabhängiges Landeszentrum für Datenschutz (ULD) er koordinator på EuroPriSe Project  (The European Privacy Seal). Der er endnu ikke blevet certificeret eksperter (teknisk/juridisk) fra Danmark.

Rapportens undersøgelse af de potentielle fordele og begrænsninger og konstateringen af det manglende markedsgennembrud for PETs er yderst relevant. Løsningsforslagene er et centralt punkt i rapporten. Jeg er helt enig i, at yderligere lovgivning, f.eks. et krav om notifikation og straf ved databrud [der foreløbig er på vej i EU gældende for telekommunikationsbranchen], helt sikkert vil medvirke til at gøre det økonomisk attraktivt at beskytte privacy. Ligeledes er det sund fornuft at fremme PETs i forbindelse med offentlige udbudskrav, udstedelse af privacy-certificeringer (privacy seals) samt indførelsen af en regel om, at bevisbyrden for databeskyttelse placeres hos den, der bedst er i stand til at sikre databeskyttelsen i stedet for at sende regningen videre til forbrugeren.

Desuden vil jeg gerne fremhæve, at standardiseringsarbejdet indenfor privacy forceres og udbygges. For så vidt angår en lov om notifikation ved databrud er det min personlige opfattelse, at en sådan regel skal være obligatorisk for alle ( virksomheder, organisationer og myndigheder) og at man bør vægte notifikationspligten højere end de pønale hensyn.  En kombination af nye lovkrav, selv- eller medregulering og supplerende mekanismer synes at være vejen frem.

Det står efterhånden klart, at det danske datatilsyn bør have tilført yderligere ressourcer og teknisk ekspertise til en mere aktiv rolle. I den forbindelse har jeg selv ved flere lejligheder foreslået et nærmere samarbejde mellem en række aktører og Datatilsynet, præcis som ekspertrapporten plæderer for (på linje med Rand-rapporten fra sidste år).  På dette sted giver det også mening på ny at opfordre relevante private organisationer og erhvervslivet til aktivt at arbejde for udbredelsen af diverse adfærdskodeks, som persondataloven åbner mulighed for.

Download den endelige rapport her. Som bilag til rapporten er udfærdiget 2 arbejdsdokumenter, henholdsvis  The challenges to European data protection laws and principles og  Data protection laws in the EU: The difficulties in meeting the challenges posed by global social and technical developments. Rapporten omfatter også en række landestudier, herunder af Danmark, som professor Blume har stået for.  Der findes også et sammendrag af rapporten.

Privacy er et brandaktiv, fastslår amerikansk undersøgelse


Ponemon Institute, der gennemfører uafhængig forskning i privacy, databeskyttelse og informationssikkerhed, har for nylig offentliggjort en undersøgelse om de tyve virksomheder, der har den mest troværdige privacy.

Ponemon Instituttet slår fast, at i et år der betegnes som et turbulent privacy-år, med offentliggørelse af mange fejl og fejltrin, bevarer American Express støt og roligt sin førsteplads på listen over brands,som de amerikanske forbrugere har mest tillid til.  

Det er femte år i træk, at American Express topper listen. IBM, Johnson & Johnson, Hewlett Packard, og E-Bay besætter de fire følgende pladser.
 
Placeringerne er baseret på svar fra 6.627 amerikanere og undersøgelsen har omfattet omkring 38.000 virksomheder af hvilke 229 er blevet rangeret mindst 20 gange. Blandt de brands, der ikke tidligere har været med i top 20 er Google, Weight Watchers, Walmart og AT & T. Derimod er Facebook, AOL, og eLoan ikke med på listen.

Ingen små og mellemstore virksomheder kom med på top 20 og spørgsmålet der kan stilles er, om det skyldes at 56 procent af de små og mellemstore  virksomheder end ikke har en privatlivspolitik offentliggjort på deres hjemmesider? Undersøgelsen viser imidlertid klart, at selvom Facebook har en privacy politik, så kom de ikke med i toppen, hvilket helt sikkert skyldes at 2009 afslørede alvorlige brud på privacy og sikkerheden hos Facebook, der gav anledning til stor offentlig debat om deres privay-settings, siger Larry Ponemon fra institutet. Han udtaler endvidere i rapporten: “Facebook tiltrak sig stor opmærksomhed, da de valgte at forny deres privacy-politik på en meget synlig måde. Mens de blev belønnet for deres indsats sidste år, havde forbrugerne mindre tillid til Facebook i år, hvilket blot viser, hvor vigtigt beskyttelse af privatlivets fred er som et brand-aktiv.”

Mike Spinney, senior analytiker hos Ponemon, mener, at Facebook kan vende tilbage til top 20 listen, ved at have en åben tilgang til privacy. “Det vil tjene virksomheden godt i det lange løb, at reagere på kommentarer fra offentligheden”

Undersøgelsen viser også, at forbrugernes oplevelse af at have kontrol over deres personlige oplysninger er faldet støt: 41 procent i 2010, et fald fra 45 procent i 2009, hvilket var et fald fra 56 procent i 2006, det første år undersøgelsen er blevet gennemført.

Blandt undersøgelsens markante resultater kan fremhæves følgende.

Identitetstyveri er et vigtigt anliggende for de adspurgte. Næsten 60 procent af de adspurgte vurderer, at emnet er væsentlig faktor for hvor meget de har tillid til et brand, og 50 procent udtalte, at notifikation af databrud er en faktor af betydning. Andre trusler mod tilliden til et brand er misbrug af borgerlige frihedsrettigheder og irriterende “baggrundschat” på offentlige sites. Læs: drop unødvendige Twitter og Facebook opdateringer.

Privacy “features” bidrager til at skabe brandtillid. Stor securitybeskyttelse blev identificeret som tillidsskabende af 60 procent af forbrugerne, mens 53 procent siger, at  præcis dataindsamling og brug er vigtig for tilliden. Andre væsentlige positive faktorer er dataminimering samt online-anonymitet. 

Ponemon fremhæver i rapporten, at dataindsamling også omfatter markedsføring og advarer, at virksomhederne skal være forsigtige med brugen af kundeoplysninger.

“Hver gang kunder er udsat for markedsføring, som er irrelevant eller irriterende, er det et spørgsmål om privatlivets fred for dem,” udtaler Ponemon.

 Top-tyve virksomhederne for beskyttelse af privacy i 2010 er:
 
1 American Express (1)
2 IBM (3)
3 Johnson & Johnson (5)
4 Hewlett Packard (6)
5 E-bay (2)
6 U. S. Postal Service (6)
7 Procter & Gamble (7) 
8 Amazon (4) 
8 Nationwide (9)
9 USAA (11) 
10 WebMD (13)
11 Intuit (12)
12 Apple (8)
12 Disney (16)
13 Google (ikke i top 20 sidste år)
14 Verizon (17)
15 US Bank (19)
15 Charles Schwab (10)
16 Weight Watchers (ikke i top 20 sidste år)
17 Yahoo! (14)
18 FedEx (18)
19 Walmart (ikke i top 20 sidate år)
20 AT & T (ikke i top 20 sidste år)
20 Dell (20)

Undersøgelsen har nogle pointer, som efter min opfattelse også vil være relevante i forhold til danske virksomheder og for den sags skyld også offentlige myndigheder. Det er åbenlyst, at privacybranding bør inkorporeres med henblik på at skabe en langsigtet corporate brandværdi. En gennemtænkt holistisk privacypolitik, der er synlig for enhver, kan anbefales.   

Uden at der er tale om en videnskabelig undersøgelse, så viser en stikprøvevis gennemgang af diverse danske hjemmesider, at mange virksomheder og organisationer har en egentlig privacy policy, selvom indholdet varierer meget. Det kan afgjort tages som udtryk for at privacy beskyttelse tages alvorligt og at man er opmærksom på, at den udøver indflydelse på brandingen og markedsføringen af virksomheden og organisationen. Men der er helt klart behov for relevant forskning på området, herunder en lignende dansk undersøgelse af forbrugerforventninger som Ponemon Instituttet har gennemført. 

I 1999 udtalte Scott McNealy, Sun Microsystems chief executive, “You have zero privacy anyway. Get over it.” Og i januar 2010 blev Facebook´s grundlægger Mark Zuckerberg citeret for: “Privacy is dead – get over it”. Man skal selvfølgelig være varsom med generaliseringer og de nævnte smarte “heiku digte” er alt for unuancerede endsige retvisende. Jeg medgiver at privacy er kompliceret og begrebet undergår uomtvisteligt store forandringer i disse år, men i nærværende sammenhæng kan det i alt fald med rette fremføres, at amerikanske forbrugere lægger vægt på privacy og at det kan betale sig for virksomheder og organisationer at have et sæt privacy retningslinjer. Om de så er let forståelige og faktisk sikrer den enkelte forbrugers privacy er et andet spørgsmål. En væsentlig pointe er, at virksomheder og organisationer, har en åben og gennemsigtig politik, der oplyser om det konkrete formål for en dataindsamling og hvorledes persondata vil blive opbevaret og behandlet, herunder hvilke teknikker der er anvendt for at sikre dette. Et reelt brugervalg der sikrer brugerkontrol er at foretrække. At nå dertil er der endnu et stort stykke vej. Information og uddannelse er nøgleord.

Hertil kommer at offentlige myndigheders privacy policy altid bør inkludere det bredest mulige publikum, herunder også borgere, der er skeptiske  overfor den offentlige administration og som har mistillid til den teknologiske udvikling.

Et holistisk helhedssyn er påkrævet


balancevægt

I den offentlige debat stilles overvågning ofte i modsætning til privacy. Jo mere overvågning jo mindre privacy. Det er en total misforståelse for overvågning og privacy er ikke et hverken eller, men et både og. Der er ikke eller rettere, der behøver ikke mere, at være tale om en dikotomi. Man kan også udtrykke det således: security og privacy er to sider af samme mønt.

Overvågning har ligesom privacy nytteværdi for den enkelte og for samfundet som helhed, fordi begge begreber i bund og grund har det samme formål: at skabe tryghed. Hvem vil ikke stoppe terroristen eller pædofilisten ? Der er vel heller ikke mange som oplever trafik- eller miljøovervågning som noget negativt. Men der er jo ikke grund til unødvendig overvågning !

Udfordringen er selvfølgelig at foretage en nærmere etisk, juridisk og teknisk vurdering af den konkrete sammenhæng hvor overvågning ønskes iværksat og privacy samtidig vil blive krænket. Der vil være tale om at afbalancere de forskellige hensyn.

Imidlertid må det konstateres, at der efter 11/9 har været mange eksempler på lovgivning, hvor lodderne til fordel for en ren sikkerhedsbetragtning, har vejet tungest. Det behøver ikke at være sådan og det bør der rettes op på, så der kommer mere balance i tingene.

Denne holdning deles efterhånden af en lang række opinionsdannere, eksperter og politikere og er bl.a. kommet til udtryk i diskussioner i forbindelse med forberedelsen af arbejdsprogrammet for det svenske EU formandskab i 2. halvår 2009. I et referat af en konference i Bruges i marts 2009 ararrangeret af Det Europæiske Råd om en strategisk dagsorden for frihed, sikkerhed og retfærdighed , refereres f.eks. den tjekiske indenrigsminister Ivan Langer, specifikt for at understrege “the importance of finding a balance between security and privacy, hinting that there today is a tendency in Europe to focus too much on security. Freedom, privacy and mobility is however as important and has been left outside the focal point lately”.

Det er ikke altid en let opgave, men det er ikke desto mindre en fremgangsmåde, som er nødvendig og som vil stille store krav til myndigheder, interesseorganisationer og NGO´erne. Ja, i en tidsalder hvor konflikter og teknologi bliver mere og mere kompliceret, må vi også hver især som enkeltindivid være meget mere engagerede i hverdagen.

De principper vi bygger vort samfund på skal vi værne om, men debatten viser med al ønskelig tydelighed, at der mangler en grundlæggende forståelse af vort værdisæt. Når det af mange udtales, at man ikke har noget at skjule og at man faktisk gerne vil have overvågning, så er det ikke en overraskende holdning. Vi lever – trods alt – i et af de mest trygge samfund i verden med en social velværd, som de fleste nyder godt af. Vi har samtidig, det viser jævnlige undersøgelser, en offentlig sektor, som er en af verdens mindst korrupte.

Men desværre bygger holdningen også på stor uvidenhed og mange vil måske mene direkte naivitet. Misbrug finder sted, det ved vi. Den korrupte embedsmand findes, det ved vi også. Det er godt at vi kan benytte os af de teknologiske muligheder til at sikre mennesker og værdier, men teknologien kan også misbruges. Jeg plejer at sige, at der ikke findes hverken god eller dårlig teknologi. Opgaven består i at designe den teknologiske løsning efter det konkrete behov. Teknologiske mekanismer som f.eks. “privacy by design” herunder “revocable privacy” og “revocable anonymity” (konceptideer) samt “best available techniques” og “human factors design”  kan være til stor hjælp i sammenhæng med anvendelsen af moralske principper som eksempelvis “forsigtighedsprincippet” (the precausionary principle). Udvikling af en IT-infrastruktur, hvori proces og krav direkte implementeres (embeddes) uden mulighed for senere ændring, kan også være en løsningsmodel.

Eksemplerne skal illustere, hvorledes teknologien kan sikre både privacy og security ved opbygning af informationssystemer. Eller med andre ord kan teknologien gøre det muligt for både sikkerheds-hardlinere og frontkæmpere for menneskerettigheder at mødes !

Med ”internet of things” vil især WiFi- og RFID-teknologierne gøre det muligt at forbinde alle mulige ting med hinanden fra bøger til biler og fra elektriske apparater til fødevarer. Det giver os mennesker fantastiske muligheder for at understøtte og forbedre hverdagen, men samtidig kan teknologien opsamle en masse information om vores gøren og laden 24 timer i døgnet. Løsningen må som udgangspunkt være, at brugeren har kontrol og valgmulighed, hvilket igen forudsætter gennemsigtighed. Et nyligt notat fra EU Kommissionen Internet of Things – An action plan for Europe sætter fokus på denne fremtid.

Det forventes at politikere og embedsværket vil være i stand til at træffe de rigtige afgørelser ud fra et samfundsmæssigt helhedssyn. Man kan ikke betænke organisationer eller myndigheder i at varetage de interesser eller opgaver de nu er sat til at varetage.

Men hvorledes sikrer vi os den afbalancerede afvejning af ofte modsatrettede hensyn, som der i en globaliseret verden mere end nogensinde er behov for?

Mere tværfaglig forskning hilses velkommen lige som generelle informationskampagner er vigtige.  Der synes også at være anledning til at gennemføre en videnskabelig undersøgelse af hvorledes vi i grunden stiller os til overvågning og privatlivsbeskyttelse, vore værdier og holdninger til menneskerettighederne.

Men derudover er der måske grund til at overveje etablering af et ”visdomsråd”, som skal forholde sig kritisk men holistisk til alle samfundets udfordringer og som forener videnskab med en dybere forståelse af de menneskelige værdier og samfundets sammenhængskraft og bæredygtighed i videst muligt omfang.

Ideen er faktisk så gammel som demokratiet, idet der i det antikke Grækenland fandtes et symposium af 7 vise mænd, som skulle assistere samfundet med forslag til løsninger af komplicerede spørgsmål både personlige og sociale og som kom til at få stor indflydelse på opbygningen af et oplyst og avanceret samfund.

Er disse gamle visdomsord i øvrigt ikke eviggyldige og relevante ikke bare i diskussionen mellem øget overvågning og privacy men i alle sammenhænge:

“All things in moderation”

“Nothing in excess”

Anmeldelse: de overvågede – vores privatliv er truet men der findes løsningsmodeller


de overvågede

Forbrugerrådet og DI (Dansk Industri) har i forbindelse med den internationale databeskyttelsesdag udgivet debatbogen ”De overvågede – vores privatliv er truet men der findes løsningsmodeller” om den voksende registrering og overvågning af danskerne. I foromtalen understreges det, at bogens pointe ikke er et nej til digitale løsninger og ny it-teknologi, der kan være til gavn for borgerne – tværtimod – men at de offentlige systemer bør indrettes, så de respekterer privatlivets fred. I bogen giver en række it-eksperter konkrete bud på de løsninger, der allerede findes og kan anvendes, hvis myndighederne vil.

Bogen er en rigtig god ide og eftersom forfatterne er nogle af Danmarks førende IT- og privacyeksperter, så er det lødig og spændende læsning. Imidlertid er bogen på store træk meget teknologisk vinklet og vil derfor for de fleste være svært tilgængelig.   Skal privacy ”ud over rampen” skal den næste bogudgave være langt mere i almindelig øjenhøjde, herunder med opmærksomhed på børn og unge samt andre marginaliserede. Det fortjener emnet også.

Der er en flot indledning om privacybegrebets definition. Jeg er enig i betragtningen at privacyvurderingen skal ligge hos borgeren og derfor som udgangspunkt bør være subjektivt, dvs. betinget af 2 faktorer:

1. Ret til kontrol over personlige data
2. Udøvelse af denne kontrol i henhold til egne interesser og værdier

Om dette kan efterleves i praksis er dog mere end tvivlsomt, men det er et godt ideal.

At privacy er trængt efter 11. 9. 2001 er jeg også enig i og mange af argumenterne er klare og rigtige, herunder det dilemma som der er i forhold til overvågning i forbindelse med terrorbekæmpelsen og i forholdet til vort ønske om bekvemmelighed. Det er en glimrende iagttagelse, når Henning Mortensen og Erik Valeur udtaler, at ”overvågning vil derfor i et vist omfang ensrette mennesker, så kreativitet og forskellighed ikke får tilstrækkeligt spillerum. Mennesker kommer i stedet til at bruge deres energi på at være ens og ikke skille sig ud fra mængden”.

Bogen påpeger ganske rigtigt at når security og privacy eller frihedsrettigheder støder sammen, behøver det ikke nødvendigvis at være en zero sum tradeoff.  I almindelighed varetager man ikke frihedsrettigheder ved at eliminere bestemte security løsninger, men derimod ved at lade dem undergå domstolskontrol, begrænse fremtidig brug af persondata samt sikre at de udføres i en balanceret og kontrolleret måde. At undgå ineffektive security tiltag er ofte ikke blot en sejr for frihedsrettighederne, men også for security, eftersom bedre alternativer måske kan forfølges (Daniel Solove).   Der er i det hele taget behov for en mere nuanceret og fornyet diskussion på Christiansborg om terrorbekæmpelsen og menneskerettighederne, herunder privacy med henblik på en revision af de såkaldte terrorlove. En terrorkommission er foreslået af de Radikale og i Norge har der været nedsat en privacykommission, som måske kunne tages op også i Danmark. Dansk Privacy Netværk anbefaler et omfattende forskningsprogram med temaer som der er orienteret om andet steds på bloggen. Bogens forfattere efterlyser også øget forskning, hvilket kunne indgå i den politiske beslutningsproces.

Afsnittet om ”Når overvågning ta´r magten” om 4 scenarier med venstrepolitikeren Ellen Trane Nørby, Enhedslistens Rune Lund, Tv-værten Kurt Strand og analysechef Thomas Roland, af Erik Valeur er nærværende og godt skruet sammen. Også tidligere PET chef Hans Jørgen Bonnichsens bidrag ”Big Brother eller Big Mother” er tankevækkende og forståelig for mange, omend noget pessimistisk og dermed i kontrast til bogens i øvrigt konstruktive og positive tilgang til temaet.  Når vi nu taler om den kære familie, så vil jeg da ikke undlade at nævne Little Brother, der kan spille en rolle som vagthund. Big Brother dør nok ikke, men han har brug for en storebror, som holder ham i kort snor.

Et af bogens hovedteser er, at teknologien kan være med til at sikre privacy. Eksempelvis omtales krypteringsteknologier, som kan sikre anonymitet, dvs. at tillade individer at afsløre eller bevise information om dem selv til andre uden samtidig at afsløre deres fulde identitet. Stephan Engberg, en kollega der ved hvad han taler om, har nogle spændende betragtninger om dette emne med overskriften “Nøglen til fremtiden – pseudonymer og virtuelle identiteter”, herunder om biometri, idet det anerkendes at den ellers komplicerede teknologi har sin berettigelse, såfremt den designes som privacy biometrics eller krypteret biometri til specifikt brug.

Især fremhæves som overbegreb de såkaldte PET (privacy enchancing technology) løsninger. PETs defineres som et sammenhængende system af IKT instrumenter som beskytter privacy ved at eliminere eller reducere persondata eller ved at forhindre unødvendig og/eller uønsket processing af persondata uden at miste datasystemets funktionalitet (Borking 1996).  Der er ingen tvivl om, at PETs er en ganske udmærket metode til at sikre (den digitale) privacy, men det er efter min opfattelse ikke nok. I det hele taget synes jeg, at det er et af bogens mangler, at den for meget fokuserer på teknologiske løsninger. Det erkendes ikke tilstrækkeligt, at tekniske tiltag ikke kan løse alle privacyudfordringer og man har ikke nok øje for den menneskelige faktor.  Det vil være fatalt alene at sætte sin lid til teknologien. Det vil være en sovepude og lige dét som hackere og kriminelle ønsker sig.

Derfor er det en vigtig pointe, at PETs bør være en en del af et samlet økosystem der er baseret på en privacy-styrkende kultur, hvori indgår en række discipliner som f.eks. governance, policies, best practices, processer samt implementeringer (human factors baseret design).  At komme dertil forudsætter uden tvivl en holdningsændring, som dét der i længden skal sikre privacy og den opnås kun ved en løbende debat, lødige informationskampagner, aktive NGO´ere, læring samt uddannelse.

Men taler vi om teknologiløsninger, så er det værd at inddrage et yderligere værktøj, nemlig de såkaldte TETs (transparency enhancing tools) som har til hensigt at foregribe profilering (datamining) som måske kan anvendes på et bestemt data subjekt (brugeren).  TETs giver brugeren adgang til information om ikke alene hans egne persondata, men ved hjælp af et profilerings- og rapporteringsværktøj også til eksterne datakilder, som tillader en vis indsigt med dataformidlerens aktiviteter.  På denne måde vil brugeren kunne hindre profilering (counterprofiling).  I modsætning til PETs, hvor princippet om dataminimering er det bærende element, tager TETs hele det data-intensive miljø i betragtning, hvor dataindsamlingen ikke nødvendigvis er relateret til den pågældende selv.

Påstanden er, at gennemsigtighed og bevis = tillid. Intet mindre. Gennemførelsen af TETs er kontroversiel, bl.a. fordi den forudsætter viden om forretningshemmeligheder, og betinger derfor en banebrydende nytænkning af den socio-tekniske infrastruktur og forholdet mellem borgere, industrien og myndighederne. Den personlige frihed kan ikke tages for givet, men forudsætter, at borgeren har en vis awareness om hvad der findes af viden om ham og af hvem.

De overvågede anbefales som grundlag for diskussioner på arbejdspladsen eller derhjemme ved spisebordet. Den er på 124 sider og kan i PDF format downloades gratis her.

221491782

Privacy skal gøres til et offentligt anliggende og tiden er inde nu


træpåplæne 

Jeg ser meget gerne, at privacy sættes i et større perspektiv som den menneskeret den er og at vi sætter en ny dagsorden. En dagsorden med en holistisk tilgang til menneskerettighederne forfatningsmæssigt, lovgivningsmæssigt og sidst men ikke mindst etisk.

Det er vigtigt både med en moderne og konsekvent lovgivning, men også en ajourført grundlov, som kan udtrykke nationens grundholdninger (og modvirke lunefulde politikere). Forfatningen bør desuden ikke alene tage højde for de især efter 2. Verdenskrig gennemførte internationale konventioner, men også være på forkant med den teknologiske og til dels samfundsmæssige udvikling. En proaktiv eller progressiv retsindstilling er nødvendig fordi samfundet udvikler sig med rivende fart, kulturelt, politisk, økonomisk og teknologisk. Selvom det bliver sagt gang på gang og på trods af den aktuelle diskussion om global opvarmning, klimaforandringer, økonomiske konsekvenser af finanskrisen, den internationale terrorisme, de daglige krænkelser af menneskerettighederne verden over, så tror jeg ikke at det er gået op for ret mange af os, at vi faktisk lever i en globaliseret verden, hvor dét der sker på den anden side af jordkloden kan få umiddelbar indflydelse på vor egen hverdag.

Men det er ikke nok alene med en retsregulering medmindre det etiske grundlag også manifesteres. Det forudsætter efter min mening en ny bevidsthedsgørelse af hver af os og vor egen menneskelige værdighed. En sådan erkendelse er allerede at spore og er selvsagt en løbende proces, som kun kan holdes i gang og stimuleres, såfremt vi hver især som individ hele tiden er vort ansvar bevidst. Vi må ikke glemme, at selvom menneskerettighederne i sagens natur er rettigheder, så betyder det ikke at vi kan fralægge os et ansvar for vor moralske adfærd. Vi må så at sige tage skæbnen i egen hånd. Når alt kommer til alt vil erkendelsen være dét som bærer os videre mod et mere civiliseret og bæredygtigt samfund som vi kan være stolte af for nu at være lidt højtidelig her ved årsskiftet til 2009. Det burde jo være sådan at vi handler fordi vi mener det er moralsk rigtigt og ikke fordi det står i loven alene. Det er selvfølgelig en relativ urealistisk og i manges øjne naiv idealisme, men at tjene et ideal behøver ikke nødvendigvis at være forbundet med himmelflugt, sålænge man gør sit bedste for at efterleve idealet i hverdagen uden at forfalde til fanatisme eller fantasteri. Det er indlysende nødvendigt med gode love, men et eller andet sted føles det alligevel som et nederlag for et samfund, når vi skal slå hinanden i hovedet med paragraffer for at få ret. Hermed være utalt om denne ret så også vil blive opfattet som retfærdig, når det kommer til stykket.

Jeg anbefaler derfor en folkelig debat som en del af en national handlingsplan, der også skal inkludere et nyt målrettet forsknings-, udrednings- og rådgivningsprogram, som sætter fokus på privacy med temaer som:

• Udvikling af metodologi, idet begreber og definitioner er alt for diffuse og usammenhængende.
• Udvikling af generelle privacy principper til brug for enhver organisation (Fair Information Principles).
• Udvikling af værktøjer til brug for privacy konsekvensanalyser (Privacy  Impact Assessment) for al fremtidig
lovgivning og reformarbejde, som involverer persondata.
• Udvikling af principper for Identity Management (IdM) i relation til privacy og databeskyttelse.
• Udvikling af designværktøjer og samtidig igangsætning af konkrete dokumentations- og proof of concept-projekter om Privacy Enhancing Technologies (PETs eller privatlivsfremmende teknologier)
og Transparency Enhancing Tools (TETs) med særligt henblik på ambient intelligence (AmI). Ideen er at PETs og TETs ikke skal boltes på, men være en indbygget del af ICT løsningen fra start (“baked in” privacy). Disse forskningsprojekter har det overordnede mål at gøde jorden for udvikling af en ny dansk vækstindustri.
• Deltagelse i en surveyundersøgelse til afdækning af danskernes grundlæggende holdninger og værdier til menneskerettighederne.
• Deltagelse i forskningsprojekter som opstiller principper for sikring af menneskerettighederne og deres hybriddiskurser i forhold til kampen mod terror og den generelle kriminalitetsbekæmpelse. Et konkret bidrag kan være en videreudvikling af konsekvensanalyser som ikke alene tager højde for informationsprocessen, men går videre med henblik på at konfigurere værdier ved hjælp af en såkaldt overvågnings-konsekvensanalyse.  Hermed menes en proces som identificerer, forudser og  forholder sig til en potentiel privacy indflydelse på en konkret overvågningsoperation.

Det sidste tema anses som yderst aktuelt og relevant for Dansk Privacy Netværk, som med sine tværfaglige eksperter kan deltage med lødig viden og innovation. Temaet vil være et glimrende bidrag til den vigtige værdikamp og være inspirator for den overordnede politiske og ikke mindst folkelige debat om menneskerettighedernes rette placering i samfundet.

Afslutningsvis kan jeg ikke undlade at bemærke, at dagen idag bærer i sig historiens vingesus, idet Isaac Newton blev født d. 4. januar i 1643 (GC). Med sit værk  Mathematical Principles of Natural Philosophy (1687) viste Isaac Newton, at kun en tålmodig og skeptisk forskning kunne frembringe resultater. Han gjorde dermed op med datidens religiøse dogmer og åbenbaringer og blev en energikilde for hele oplysningstiden.   

Knowing trees, I understand the meaning of patience. Knowing grass, I can appreciate persistence. Hal Borland, American, Author

Privatlivets beskyttelse – Facebook


hand

Af: Martin Jørgensen, Cand.jur – Senior Consultant – Deloitte/Security & Privacy

Privatlivets beskyttelse

Opfattelsen af privatlivets beskyttelse afhænger af øjnene der ser.

Virksomheder har fokus på privatlivets beskyttelse og implementerer såkaldte privacy-programmer og løsningsmodeller, som kan bidrage til aktivt at identificere databeskyttelsesmuligheder indenfor de områder, som enten repræsenterer den største risiko eller den største mulige fortjeneste for den pågældende virksomhed. 

Fokus i det offentlige forum er på det seneste blevet rettet mod enkeltpersoner og privatlivets beskyttelse i forbindelse med diverse sociale netværk – specielt det sociale netværk Facebook har i medierne fået en del spalteplads.

Nærværende artikel tager udgangspunkt i det sociale netværk Facebook, herunder de aftalebetingelser som brugere på netværket bliver underlagt ved at oprettet en profil på http://www.facebook.com.

Sociale netværk samt Facebook

Sociale netværk er grundlæggende steder på internettet, hvor du kan oprette en profil, der beskriver dig selv, ligesom du kan se andres profiler. Fænomenet er blevet meget omtalt, primært fordi steder som Facebook og MySpace hurtigt har fået ekstremt mange brugere over hele verden – også i Danmark. Men der er også en række mindre, sociale netværk, der henvender sig mere specifikt til folk med samme interesser eller samme livssituation. 

I starten var Facebook kun for studerende med en college- eller universitets-e-mailadresse. Siden er Facebook gjort tilgængelig for brugere med alle typer af e-mail-adresser. Facebook har mere end 110 mio. medlemmer, og hver dag kommer der 250.000 nye medlemmer. Der findes 1,7 milliarder billeder og der er over 500 millioner søgninger pr. måned. (Kilde: http://da.wikipedia.org/wiki/Facebook) I Danmark har vi rundet de 1,6 mio. medlemmer.

Amerikanske regler

Umiddelbart lyder Facebook jo som et rimeligt harmløst foretagende, hvor man kan berette om sine daglige gøremål, interesser, privat- og arbejdsliv, samt dele sine billeder. Men når du opretter en profil på Facebook, giver du samtykke til, at dine personlige oplysninger bliver overført til og behandlet i USA. Det er dermed ikke dansk lovgivning, der gælder, når man anvender Facebook, men derimod amerikansk lovgivning.

De amerikanske regler vedrørende behandling af personoplysninger er på ingen måde lige så regulerede som de danske regler (bl.a. Lov om behandling af personoplysninger, Lov 2000-05-31 nr.429). Facebook skal dermed ikke følge de regler, som vi kender til i Danmark vedr. behandling og opbevaring af persondata, og som vi naivt kan gå rundt og tro, er gældende, når vi logger på diverse sociale netværk på internettet. 

Som en af de helt store forskelle kan det nævnes, at Facebook kun kræver én accept ved oprettelsen af en profil, for fremover at have ophavsret til de data, en profilejer vælger at lægge ud på sin profil; herunder personlige oplysninger, billeder m.v.

En profilejer kan altså risikere, at alt indhold på profilen – for eksempel billeder, personlige oplysninger, beskeder og tekster samt fortrolige beskeder i en lukket gruppe – kan blive brugt af Facebook overalt i verden. Facebook kan tilmed bruge det til “ethvert formål” (også i omformateret eller oversat form) og for evigt, hvilket også vil sige efter at en profilejer har slettet sin Facebook-konto.

Det indhold, som en profilejer altså har givet Facebook, kan for eksempel blive brugt i reklamer. “Sjove” billeder fra den seneste fest eller badeferie, kan således lige pludselig indgå i en global reklame for hvad som helst.

Facebook er ikke de eneste, der må bruge indholdet i profilerne.

Det må andre virksomheder også, for som profilejer har man givet Facebook ret til at videresælge det indhold, som oprindeligt var ens eget.
Ovenstående ville aldrig blive accepteret, såfremt de danske regler vedrørende anvendelse af persondata fandt anvendelse. 

Nærmere om aftalebetingelser på Facebook

Aftalebetingelser på Facebook – de seneste gældende fra 26. november 2008 – nævner indledningsvis, at man ved brug eller ved at logge ind på Facebook accepterer reglerne i den pågældende erklæring om ”Beskyttelse af personlige oplysninger”.

Det betyder bl.a. at ud over at have givet lov til, at Facebook kan anvende brugernes indhold for evigt i et meget vidt omfang, har de anslåede 1,6 mio. danske profilejere på Facebook også sagt ja til at anvendelsesvilkårene kan ændres, uden at brugerne bliver informeret

Det vil sige, at selv hvis en profil ejer rent faktisk læste anvendelsesvilkårene ved oprettelse af en Facebook-konto, er det spild af tid, for man accepterede samtidig, at Facebook frit derefter kan ændre vilkårene uden at informere brugeren.

Den eneste måde hvormed man kan holde øje med, om der er kommet nye vilkår for anvendelse af Facebook, er ved at læse vilkårene, hver gang man logger på.
Der står i vilkårene, at ved at logge på Facebook, gælder det som en ny accept af de til enhver tid gældende betingelser – uanset om de måtte være ændrede siden brugeren oprettede sin konto. Brugeren vil ikke få nogen særskilt besked om, at sådanne ændringer er foretaget, og der er heller ingen mulighed for at se, hvilke dele af vilkårene, der er ændret siden sidst, for det oplyser Facebook ikke. Det er dermed en jungle for selv en uddannet jurist at finde hoved og hale i Facebooks aftalebetingelser.

Ovenstående ville ligeledes være i strid med den danske persondatalov, såfremt den fandt anvendelse.

Hvor er Datatilsynet?

”Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Datatilsynet består af et råd – Datarådet – og et sekretariat.  Datatilsynet bl.a. rådgiver og vejleder, behandler klager og gennemfører inspektioner hos myndigheder og virksomheder”. (kilde:http://www.datatilsynet.dk)

Forbrugerrådet anbefalede i august 2008, at Datatilsynet burde kigge nærmere på det sociale netværk Facebooks aftalebetingelser, hvilket Datatilsynet imidlertid afviste ved skrivelse af den 9. oktober 2008.

”Begrundelsen” fra Datatilsynet var følgende:

”Hvis Datatilsynet skulle komme med en egentlig stillingtagen til Facebooks databehandlinger, ville det forudsætte, at der forinden var indhentet en udtalelse fra Facebook. Datatilsynet finder imidlertid ikke anledning til på nuværende tidspunkt at rejse en egen drift-sag over for Facebook.” (Kilde: http://www.forbrugerraadet.dk)

Datatilsynet fandt altså ikke anledning til at undersøge sagen. Datatilsynet oplyste dog afslutningsvis i brevet til Forbrugerrådet, at den såkaldte artikel 29-gruppe, der er nedsat i medfør af databeskyttelsesmyndigheden, har sociale netværk på sit arbejdsprogram for 2008/2009.

Artikel 29-gruppen er nedsat som følge af Europa-parlamentet og Rådets direktiv (95/46/EF af 24. oktober 1995) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet).

Artikel 29-gruppen er rådgivende og uafhængig og består af en repræsentant for den eller de tilsynsmyndigheder, som hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen. Datatilsynet er repræsenteret i artikel 29-gruppen.

I april 2008 konkluderede artikel 29-gruppen, at den amerikanske søgemaskine Google er underlagt brugernes nationale regler – herunder den danske persondatalov – og at det er de enkelte medlemsstater, som skal sikre, at reglerne bliver håndhævet. I samme udtalelse konkluderer ”Artikel 29-gruppen” også, at brugernes samtykke skal hentes forud for enhver form for krydskombination af brugerdata og brugerdataforædling – altså at der skal indhentes samtykke fra brugere, når der skal videresælges identificerbare personoplysninger.

Det kan derfor virke besynderligt, at Datatilsynet implicit henviser til, at man afventer artikel 29-gruppens arbejde, når der allerede ligger konklusioner/vejledende udtalelser fra artikel 29-gruppen, der ganske vist ikke specifikt handler om sociale netværk – men man konkluderer dog fra artikel 29-gruppen, at samtykke skal indhentes før videregivelse af identificerbare personoplysninger, samt at det ikke er nok med en generel accept – hvilket man bl.a. afgiver ved at oprette en profil på Facebook.)

Forbrugerrådet har efter afslaget fra Datatilsynet kontaktet EU-Kommissionen vedrørende spørgsmålet, men her var svaret korrekt, at tilsyn med udenlandske internettjenester skal føres af de nationale myndigheder, hvilket jo er i tråd med konklusionerne fra artikel29-gruppen. Forbrugerrådet har efterfølgende på ny kontaktet Datatilsynet – der på ny har afvist at foretage en undersøgelse og i den forbindelse oplyser, at

“Vi lægger kræfterne i samarbejdet med de europæiske og internationale datatilsyn, hvor der allerede sker meget. Vi har en repræsentant i Bruxelles, der deltager i Artikel 29-gruppen, der arbejder med at udstikke regler for alle de sociale netværk på nettet. Den gruppe er på trapperne med en udtalelse,” siger Lena Andersen fra Datatilsynet.(Kilde: http://www.computerworld.dk)

Vi må så – med tålmodighed – afvente artikel-29 gruppens arbejde før Datatilsynet(den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes) kan tage stilling i sagen.

Du kan læse mere om artikel 29-gruppens arbejde og dokumenter her: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm 

Idekatalog for Privacy Forum offentliggjort


it-protection

Ministeren for videnskab, teknologi og udvikling har taget initiativ til at sammensætte et åbent Privacy Forum. Privacy Forums møderække er afsluttet juni 2007, og Privacy Forum har arbejdet med en række bud på privacy-initiativer, som igår er blevet offentliggjort i et samlet idekatalog.

Privacy Forum har arbejdet udfra et behov for:

at analysere mulighederne for en samfundsmæssig hensigtsmæssig it-anvendelse og udnyttelse, der respekterer privatlivssfæren.
et bedre marked for tryghedsfremmende teknologier (Privacy Enhancing Technologies) som kryptering mv.
at give borgerne relevant viden om emnet.

Arbejdet er foregået i fire arbejdsgrupper under følgende overskrifter:

Forskning og Innovation
Regulering og Arkitektur
Awareness
Internationalt

Af særlig interesse fra idekataloget kan nævnes, at arbejdsgruppen International, anbefaler “Oprettelse af et forum til ”Gensidig Orientering om Privacy-spørgsmål i Internationale Fora” (GOPIF) med deltagelse af repræsentanter fra danske organisationer og myndigheder. Det foreslås, at IT- og Telestyrelsen varetager formandskabet og sekretariatsbetjening for dette forum. Formålet med GOPIF vil være at sikre et forum, hvor der vil kunne drøftes problemstillinger om dansk privacy-arbejde i internationale fora, hvor erfaringer og ”best practice” udveksles mellem deltagerne, og hvor særlige danske synspunkter i relation til privacy vil kunne fremmes. Deltagerkredsen anbefales at bestå af repræsentanter for danske organisationer og myndigheder med arbejde i internationale privacy-relaterede fora.”

Arbejdsgruppen Forskning og innovation under Privacy Forum har arbejdet med privacyforskning og -innovation fra fire forskellige vinkler. Det drejer sig om:
1) Privacy awareness blandt forskere,
2) identifikation af områder for forskning i privacy,
3) finansiering af privacyforskning, samt
4) organisering og netværk

Generelt bemærkes, at gruppens indstilling er, at forskning i privacy skal styrkes. Derudover skal privacyforskning bidrage med ny viden på området og have fokus på PET-teknologier. Endelig bør privacyforskningen se på trade-offs mellem privacy og it-sikkerhed, såfremt et sådan eksisterer.

Arbejdsgruppen anbefaler stiftelse af en national privacy-pris og afholdelse af en privacy-konference. Prisen foreslås givet til en forsker, en samfundsdebattør, eller en innovativ virksomhed på privacy-området, mens konferencen, gerne med international deltagelse, skal være med til at sikre opmærksomhed fra såvel pressen som det politiske system. Privacy-konferencen vil kunne holdes i regi af DI/ITEK, og henvende sig til virksomheder, det offentlige og forsknings- og universitetsmiljøer. Konferencen bør støttes økonomisk af Videnskabsministeriet.

Det anbefales endvidere, at Videnskabsministeriet udvikler en strategi for at sikre tilstrækkelig viden og awareness blandt forskere, udviklere, det politiske system, kunder i den offentlige sektor og virksomheder i den private sektor.

Download idekatalog.