Den internationale databeskyttelsesdag 28. januar 2011

Den europæiske konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (også kaldet konvention nr. 108) blev udfærdiget 28. Januar 1981 og i øvrigt ratificeret af Danmark 6. oktober 1989.

Eftersom konventionen er en hjørnesten i europæisk databeskyttelse og privacy og forløberen for EU´s databeskyttelsesdirektiv fra 1995 markerer Europarådet hvert år siden 2007 på netop 28. januar den såkaldte databeskyttelsesdag. Formålet er at fremme databeskyttelse som en grundlæggende rettighed og at skabe større forståelse for privatlivsbeskyttelse blandt Europarådets 47 medlemslande. Udenfor Europa gennemføres dagen som Data Privacy Day, bl.a. i USA. På dagen arrangerer Europarådet i samarbejde med EU-Kommissionen i år en konference i Brussels med titlen “Everyone has the right to the protection of personal data concerning him or her” for at festligholde konventionens 30 års jubilæum. Europarådet opfordrer hvert år de enkelte medlemslande til at gennemføre passende aktiviteter på databeskyttelsesdagen.

Når Europarådet og EU forener kræfterne for at skabe større opmærksomhed om databeskyttelse og privacy, så sker det ud fra en klar erkendelse af, at der er en nøje sammmenhæng mellem at sikre de fundamentale menneskerettigheder (informationssikkerhed/privatlivsbeskyttelse) og befolkningernes velfærd og tryghed i Europa.

Når det kommer til stykket, så kerer vi os faktisk om vort privatliv og personlige oplysninger. Men er der egentlig grund til at fejre noget som helst i 2011, når man ser tilbage på de skærpede terrorlove efter 11. september 2001, logningsbekendtgørelsens ikrafttræden, indførelsen af det biometriske pas, udpræget sporing af internetvaner, udbredelsen af sociale netværk, den generelle teknologiske udvikling osv. ?

Ja, det er der bestemt efter min opfattelse. Lad mig nævne nogle dugfriske eksempler på privacystyrkende tiltag i flæng. Den danske regering finder ifølge en redegørelse i efteråret 2010 ingen anledning til en yderligere skærpelse af anti-terrorpakkerne. De nye regler om swift/udveksling af data samt passagerdata (PNR) mellem USA og EU sikrer en bedre persondatabeskyttelse. En ny dansk bekendtgørelse baseret på EU-regulering er på vej, som regulerer brug af cookies på nettet med udvidet forbrugersamtykke og bedre information. En revision af EU´s logningsdirektiv forventes at indføre en større harmonisering, herunder en ensartet opbevaringsfrist. Efter de udmeldinger der indtil nu er fremkommet, kan man se frem til, at EU´s persondatadirektiv vil blive opdateret med bl.a. klarere regler for ansvarsfordeling samt præcisering af teknologiske principper for privacy by design. For nylig har IT- og Telestyrelsen præsenteret et diskussionsoplæg til nye digitale sikkerhedsmodeller med et hidtil uset fokus på et privacydesign.

Men fremfor alt er det mit indtryk, at flere og flere virksomheder, myndigheder, organisationer, udbydere af onlinetjenester samt forskningen er blevet mere interesseret og bevidt om privatlivsbeskyttelse og udvikling af produkter og løsninger, som beskytter borgerens persondata.

Andre steder på bloggen kan man læse mere om bl.a. EU´s tilgang til persondatabekyttelse og forskellige internationale forskningsrapporter om privacy. Under ressource center findes i øvrigt vel nok Danmarks største samling af alsidig og tværfaglig information om privacy.

Den offentlige debat har uden tvivl haft sin positive indflydelse på lovgiverne og andre opinionsdannere. Man kan sagtens mene, at det slet ikke er nok og at vi stadig lever i et decideret overvågningssamfund, hvor der står meget tilbage at ønske. Fremfor alt sløses der alt for meget med personlige oplysninger overalt, så en holdningsændring er grundlæggende nødvendig. Men det er dog skridt i den rigtige retning og der er god anledning til at rose f.eks. IT- og Telestyrelsen for fremsyn og også tidligere videnskabsminister Hele Sander, som i 2006 tog initiativ til at nedsætte det såkaldte Privacy Forum. I bund og grund er det vel egentlig bedst at være optimistisk af natur.

Som en kærkommen lejlighed vil jeg gerne opfordre alle til at sætte persondata- og privatlivsbeskyttelse på dagsordenen 28. januar. Afsæt f.eks. en halv time på jeres arbejdplads, på cafeen eller derhjemme ved middagsbordet med hele familien til at diskuttere hvordan I hver især oplever den beskyttelse og behandling, der er knyttet til jeres helt personlige oplysninger i forhold til f. eks. jeres arbejdsgiver, når I handler i en butik eller køber ind online , rejser, benytter sundhedsvæsenet eller når I surfer på nettet eller bruger Facebook. Nogle spørgsmål man kan stille sig i debatten kan f.eks. være: Har jeres arbejdsgiver udarbejdet retningslinjer for brug af sociale netværk i arbejdstiden ? Er der nogen der har været udsat for identitetstyveri eller krænkelse af privatsfæren ? Snager medierne for meget i personers privatliv ? Oplever I videoovervågning som et problem eller er synspunktet om at “jeg ikke har noget at skjule” godt nok ? Skal man som bruger have effektiv kontrol med hvad man lægger ud på internettet og  mulighed for at korrigere, tilbagekalde eller slette det (retten til at blive glemt på nettet) ?

For at lave konkret branding af temadagen har Dansk Privacy Netværk fået lavet et logo som hermed stilles til fri rådighed og som kan benyttes af enhver der afvikler en relevant aktivitet eller begivenhed på databeskyttelsesdagen nu og fremover. Tjek nærmere regler for brug af logo og download logoet her.

Datatilsynet gennemfører i dagens anledning en række spændende events. For nærmere oplysning henvises til tilsynets hjemmeside. Læs også EU-Kommissionens pressemeddelse Databeskyttelsesdag: garantier for beskyttelsen af privatlivets fred.

Dansk Privacy Netværk ønsker alle en rigtig god og udbytterig databeskyttelsesdag !

Verdensdag for pressefriheden

FN har siden 1993 erklæret d. 3. maj til at være  World Press freedom Day for at øge bevidstheden om betydningen af pressefriheden og minde regeringerne om deres pligt til at respektere og værne om retten til ytringsfrihed, som nedfældet i henhold til artikel 19 i verdenserklæringen om menneskerettigheder. Selvom pressefriheden er sat på dagsordenen i dag vil jeg gerne benytte lejligheden til at knytte nogle mere generelle bemærkninger til ytringsfriheden.  For uden ytringsfriheden er der heller ikke nogen pressefrihed.

Ytringsfriheden opleves af mange som en af de mest grundlæggende om ikke den mest betydningsfulde af alle frihedsrettighederne. Selvom menneskerettighederne kan have forskellig betydning for det enkelte menneske eller en regering, så er det imidlertid væsentligt at understrege, at alle de fundamentale menneskerettigheder er tæt forbundet med hinanden og kan hverken prioriteres eller ignoreres enkeltvis. Alle er lige vigtige.

I Grundlovens § 77 står der: “Enhver er berettiget til på tryk, i skrift og tale at offentliggøre sine tanker, dog under ansvar for domstolene. Censur og andre forebyggende forholdsregler kan ingensinde på ny indføres.” Ytringsfriheden eller pressefriheden er således ikke absolut, men begrænses  bl.a. af hensyn til andres liv og frihed og i forhold til andre personers privatliv (som bekendt også en af menneskerettighederne) eller ære (injurier). Det er ikke selve grænsen for ytringsfrihed der er afgørende, men hvilken type begrænsning der er tale om.

Ytringsfriheden er i de senere år blevet gjort til selve demokratiets kendetegn, men efter min opfattelse misbruges ytringsfriheds-begrebet af mange. Det er udmærket at debattere ytringsfrihedens og andre frihedsrettigheders omfang og begrænsninger, men i bund og grund burde vi alle føle en dyb respekt for ytringsfriheden og vide hvorledes vi hver især forvalter denne dyrebare rettighed. Naturligvis skal vi have ret til at ytre os om religion og ideer, holdninger og synspunkter af enhver art, for det er jo selvklart, at det jo ikke er de “stuerene” og politisk korrekte meninger, som har behov for beskyttelse af princippet om ytringsfrihed. Men vi skal altid nøje overveje vore ytringer, når de kan blive personlige. Der er ingen grund til at krænke,ydmyge, udstille eller hade andre mennesker, fordi de har en bestemt holdning eller dyrker en bestemt religion. De lovbegrænsninger og principper der findes skaber efter min opfattelse en udmærket balance mellem i og for sig to modstridende hensyn.

Filosoffen og teologen K.E. Løgstrup kommer i sin omtale af begrebet urørlighedszonen og talens åbenhed på glimrende vis ind på dette: ”Men går ikke også talens åbenhed imod respekten for urørlighedszonen? Jo, det gør den, og det var ikke godt andet. Det er de modsat rettede tendenser, der holder liv i vor tilværelse og hindrer den i at stivne i forenklinger. (…) Jamen modsiger jeg ikke mig selv? Ikke mere end fænomenerne forlanger. (…) Vi er så tilbøjelige til at mene, at hvad der er modsat hinanden er uforeneligt med hinanden og søger at udrydde hinanden. Men det er langtfra altid tilfældet. Nok så ofte holder det, som er hinanden modsat, hinanden oppe. Det ene fænomen kan ikke undvære sin modsætning til det andet fænomen. Svinder modsætningen, så spændingen aflader, forfalder fænomenerne og bliver, hver for sig, til en karikatur af dem selv. Uden åbenhed bliver urørlighedszonen til tillukkethed, og vi bliver hinanden uvedkommende. (…) På tilsvarende måde går det med åbenheden. Uden respekt for urørlighedszonen bliver den til tankeløs og taktløs åbenmundethed.”  

Det er den offentlige debat som af sig selv sikrer en afbalanceret, fri, dynamisk og samtidig ansvarlig ytringsfrihed. Såfremt den der ytrer sig overskrider denne  balance, vil han selv blive udsat for at blive krænket, ydmyget, udstillet eller lagt for had af andre mennesker og han risikerer at blive retsforfulgt.

Menneskerettigheder har ikke noget med politiske eller religiøse ideer, tro eller dogmer at gøre, men om det enkelte menneske som individ uden hensyntagen til oprindelse, situation eller behov. Det vil sige, at rettighederne knytter sig til selve det at være et menneskeligt væsen. Hver evig eneste dag skal der kæmpes for disse rettigheder og når der i forbindelse med et brud bliver sat et ansigt på èt bestemt menneske, så bliver menneskerettighederne lige pludselig utrolig nærværende og betydningsfulde. Vi kan i høj grad takke medierne for deres ihærdige afdækken af krænkelser af menneskerettighederne overalt i verden.

I dag får vi lejlighed til at fejre pressefriheden og forsvare medierne fra angreb på deres uafhængighed og samtidig ære de journalister, der har mistet livet under udførelsen af deres arbejde.

Privacy skal ikke hæmme men fremme internetbaserede sociale netværk

Sociale netværk er in globalt og Danmark er sammen med Canada, de to lande i verden med forholdsvist flest Facebook-profiler. 33 procent af befolkningen eller 1.779.380 i Danmark er aktive brugere af netværket (ifølge Politiken, januar 2009).

Der er ingen tvivl om, at internetbaserede netværk vil blive en integreret del af vor hverdag og det uanset om det er i forbindelse med arbejdet eller i fritiden. Og vi har kun set begyndelsen til en udvikling hvor det vi i dag oplever som real life vil blive sammensmeltet med den virtuelle verden. Vi vil opdage, at den måde vi indtil nu har opført os overfor hinanden på vil udvikle sig på en ny måde, hvor vi vil erkende, at vi ikke uden videre kan adoptere gammeldags omgangsformer til internettet. Definition af privacy vil ikke alene være et spørgsmål om at fastslå hvad der er personlige data, men også hvorledes f.eks.  “det offentlige rum” og “den personlige integritet” fastlægges i forhold til arbejdsgiver, kollega, ven, barn, forældre og organisation.      

Det betyder så også, at vore traditionelle normer og værdier må tilpasses den måde vi interagerer socialt og det vil så også påvirke hele vor livsførelse i fremtiden. Det er mit udgangspunkt, at internettets potentiale er den største demokratiske nyskabelse nogensinde. Retten til internetadgang skal derfor fastholdes for det enkelte menneske. Men internettet stiller samtidig nye udfordringer til sikkerhed og beskyttelse af privacy. Disse udfordringer er i første omgang komplicerede fordi de forudsætter nytænkning. Nytænkning som afbalancerer netværkets sammenhængskraft, engagement og innovation og beskyttelsen af den enkeltes privacy og frihedsrettigheder baseret på fuld brugerkontrol.

Man kan tilgå problemet ud fra 3 niveauer.

etisk
lovgivningsmæssigt og
teknologisk

Lovgivning er sikkert nødvendig og både persondataloven så vel som markedsføringsloven regulerer allerede i dag i vidt omgang de sociale netværk for så vidt angår Danmark, men lovens jurisdiktion og retshåndhævelse kan være usikker. Derfor vil en gennemgribende og ikke mindst effektiv lovgivning kræve et internationalt regelsæt. Men lovgivningen vil altid halse bagefter den informationsteknologiske udvikling og kan i sagens natur kun regulere de mest grelle scenaria.  Om de juridiske aspekter i relation til FaceBook henvises til et tidligere blogindlæg af Martin Jørgensen, cand. jur. ,Senior Consultant, Deloitte/ Security & Privacy. Teknologiske løsninger som f.eks. “opt in”- mekanismer eller PET (Privacy Enhancing Technologies) kan anbefales, men en optimal udnyttelse forudsætter global tilslutning. Sidst men ikke mindst vil udvikling af såkaldte etiske adfærdskodeks være en, efter min opfattelse, udmærket metode til at sikre en effektiv forbrugerbeskyttelse, der samtidig synes at være tilstrækkelig fleksibel til at kunne tilpasse sig den pulserende udvikling af internettet. Adfærdskodeks har så også den fordel at de ikke alene vil være baseret på eksisterende national lovgivning, men vil også kunne gå et skridt videre og samtidig kunne fastsætte teknologiske kriterier for privacy.

Adfærdskodeks (code of conduct) er desuden en god ide, fordi alle, som tilslutter sig, har en interesse i leve op til retningslinjerne. Om der derudover skal indføres en eller anden form for kontrolmekanisme kan imidlertid ikke udelukkes.

Arbejdsgivere følger med i medarbejdernes sociale netværk, og det er kommet frem, at ansatte er blevet fyret på grund af deres online aktiviteter.  De tider er forbi. hvor du vil kunne slippe af sted med at lyve, hvor du opholder dig, hvem du er sammen med eller hvad du foretager dig, såfremt der bare er én tilstede, som har en kameramobil og en Facebook profil. Og når dine arbejdskollegaer tilføjer dig som ven på dit sociale netværk, er det ikke sådan lige til, at chatte om alle de tossede ting du foretog dig lørdag aften. Sådan oplever mange det i dag. Men behøver det at være sådan ?

Læg hertil, at det vil være naturligt at antage, at de fleste arbejdsgivere frygter en overdreven brug af online sociale netværk, som yderligere vil medvirke til en øget overvågning og/eller begrænsning af adgangen til internettet. Således viser en survey fra marts 2008 af det engelske advokatfirma Charles Russell i samarbejde med nyheds-sitet Personnel Today med deltagelse af 220 engelske HR direktører, at 69% af virksomhederne ønsker mere kontrol med brugen af Internettet. Arbejdsgiverne er bekymret for, at personalet spilder deres tid på hjemmesider i løbet af dagen, hvilket kan svække produktiviteten og betyde en øget sikkerhedsrisiko, fordi data deles eksternt.

I undersøgelsen advarer nogle HR direktører imod et totalt forbud mod brug af sociale netværk, fordi det vil skade medarbejderens engagement. Således udtales det, at “ved at behandle vores medarbejdere som voksne giver det os mulighed for at have åbne diskussioner om, hvordan balancen mellem arbejdsliv og det at være social i arbejdstiden skal være”

Hvordan vil arbejdsgiverne reagere ifølge undersøgelsen ?

50% vil begrænse personlig brug af internettet til frokostpausen
33% vil overveje et totalforbud
70% vil overveje disciplinære foranstaltninger, hvis de opdager upassende fotos på online sociale netværk, som  identificerer arbejdsgiveren
25% vil søge efter online sociale netværk som et ansættelses-værktøj
90% vil ikke søge efter upassende kommentarer på online sociale netværk

At problematikken også er yderst relevant i Danmark viser en aktuel sag hos Nordjyllands Politi, hvor 12 betjente har været medlemmer af Facebookgruppen ‘Ryd 1000fryd’, jfr. artikel i Politiken Chefen må blande sig i din Facebook.

Der har især været fokus og debat om børns sociale netværk og det har været fremme at indføre forskellige teknologiske løsninger til beskyttelse af børn, når de er online, f. eks. ved at indføre en “privacy lås”.

Selv for ansvarsbevidste forældre, er grænsen mellem det at være social, at snage og bryde privatlivets fred som oftest en gråzone.

Lad mig indledningsvis pege på en engelsk undersøgelse offentliggjort af  Timesonline i april 2008 og foretaget af Ofcom, en uafhængig engelsk tilsynsmyndighed for kommunikation. Her viser undersøgelsen, at 2 1/2 million børn mellem 8 og 17 har oprettet en profil på et socialt netværk. Undersøgelsen fremhæver, at forældre ikke er opmærksomme på, at dårlig sikkerhed betyder, at omkring fire ud af ti personlige sider er åbne for alle.

Undersøgelsen fastslår, at selv om de tre vigtigste sociale netværk, Bebo, Facebook og MySpace, påstår at have en minimums aldersgrænse på 13 eller 14, så siger 1/4 af alle børn med internetadgang i alderen mellem 8 og 11, at de har en side på et social netværk. Undersøgelsen viser også, at 33% af forældrene gik med til ikke at opstille regler for deres børns brug af online sociale netværk, mens 43% af børnene har sagt, at deres forældre havde undladt at angive nogen regler for deres brug af online sociale netværk. Noget kunne hermed tyde på, i alt fald efter den engelske undersøgelse, at alt for mange forældre ignorerer de risici der er forbundet med disse websteder.

Frygt for børns sikkerhed fremhæves som en voksende bekymring, herunder tilfælde af opmuntring til selvmord, mobning og pædofili.

For at imødegå problemet har det engelske indenrigsministerium i 2008 offentliggjort en frivillig adfærdskodeks for sociale netværk. Bebo, MySpace og Facebook er enige om, at når børn under 18 opretter en profil vil være omfattet af en høj standard indtilling for privacy beskyttelse.

I et sammendrag fra konferencen Privatliv på profilen om borgernes adfærd på online sociale netværkstjenester d. 11 november 2008 arrangeret af It-sikkerhedskomitéen, blev der bl.a. efterlyst klarhed over den retstilstand, der gælder for udbydere og brugere. Der blev også stillet spørgsmål om forbrugerlovgivningen er på niveau med moderne krav til it-sikkerhed, og om der er behov for en bedre beskyttelse af borgernes privatliv. Desuden blev der udtrykt ønske om at få en afklaring af, i hvilket omfang dansk lovgivning kan håndhæves overfor online sociale netværkstjenester, der retter sig mod et dansk marked og danske brugere.

Det kom også frem, at der hvor der mangler regler, vil der opstå erfaringsbaseret kodeks for god etik og moral. Det ser man også i forhold til brugerne på online sociale netværkstjenester, ikke mindst blandt børn og unge. På netværkstjenesterne holder brugerne øje med hinanden og informerer tjenesteadministrator, som det fremgår af It- og Telestyrelsens kommentar.

Forbrugerrådet har taget et godt initiativ og offentliggjort Gode råd til facebookbrugere.  Forbrugerrådet har imidlertid i snart et halvt år peget på, at FaceBook overtræder den danske persondatalov, men medgiver at et EU indgreb er nødvendigt. En nylig undersøgelse af Forbrugerrådet viser, at  Brugerne er utilfredse med beskyttelsen på Facebook.

Lad mig først slå fast, at erfaring fra udlandet viser, at det vil være både praktisk og juridisk umuligt helt at afskære medarbejderes brug af sociale netværk.  Det vil efter min opfattelse også være tåbeligt. Selvfølgelig bør man ikke bruge unødig tid på sit arbejde på internetbaerede sociale netværk, men de kan selv for en virksomhed tjene en legitim forretningsmæssig generering og netværkssamarbejde udover at udvikle medarbejderens trivsel og engagement.

Det er min opfattelse, at det vil være en fordel for både arbejdsgiver og medarbejder, at en offentliggjort adfærdskodeks fastsætter retningslinjer for brug af sociale netværk. En adfærdskodeks demonstrerer et etisk ansvar ved at tage stilling til klart definerede problemstillinger.

Også i forhold til forældre og børn giver det god mening at anbefale en adfærdskodeks og man kan udmærket  tage udgangspunkt i den engelske adfærdskodeks som viser afprøvede og fornuftige metoder til at holde sig sikker online og som kan udfylde et muligt gab mellem lovgivning og konkret praksis. En adfærdskodeks vil under alle omstændigheder være et fornuftigt første skridt, fordi det uden tvivl vil være kompliceret at lovgive om online sociale netværk, al den stund det ville være meget vanskeligt at skelne dem fra andre websteder.

Så vidt så godt. Imidlertid består der en opgave, som antydet indledningsvis, i klart at definere privacy beskyttelsen på online sociale netværk. Det vil i den forbindelse være nærliggende at antage, at internettet ikke bør opfattes som et unikt separat rum, men som en udvidelse af det virkelige liv. En netop offentliggjort artikel i Berlingske Tidende Nej tak til forældre på Facebook påpeger dette på glimrende vis med nogle interessante betragtninger af professor  Niels Ole Finneman.