Ny amerikansk forskning: Unge er lige så bekymrede for privacy som ældre


To nylige amerikanske forskningsrapporter viser samstemmende, at der ikke er belæg for påstanden om, at unge ikke bekymrer sig om privacy.

Den ene rapport, How different are young adults from older Adults when it comes to information privacy attitudes & policies?, er udarbejdet af  University of California, Berkeley og University of Pennsylvania. Den anden, Youth, Privacy and Reputation, er udgivet af  The Berkman Center for Internet & Society, Harvard University. 

Konklusionen i den første rapport er, “at især de unge voksne (i alderen 18-24) ikke er ligeglade med deres privacy. De indsamlede data viser, at der er mere der samler end der skiller de ældre unge og de ældre med hensyn til emner om privacy”. Forfatterne udlægger det som, “at unge voksne amerikanere har et ønske om øget beskyttelse af privatlivets fred selv når de deltager i en online verden, der er optimeret til at frigive personlige oplysninger.” For fuldstændighedens skyld bemærkes, at ungegruppen, som rapporten har analyseret, ikke uden videre kan betragtes som én homogen gruppe, fordi der mangler huller i den empiriske forskning. 

“Derfor bør den offentlige debat ikke starte med en påstand om,  at unge voksne er ligeglade med privacy og at der derfor ikke er behov for retsregulering og andre sikkerhedsforanstaltninger. Man bør i stedet erkende, at de nuværende forretningsmodeller sammen med andre faktorer til tider tilskynder de unge voksne til at udlevere personlige oplysninger for at opleve social integration selv om de i deres mest rationelle øjeblikke burde handle efter mere konservative normer.

Uddannelse kan være nyttig. Selv om der findes mange uddannelsesprogrammer om internettet for unge voksne, så er fokus for disse programmer mere på den personlige sikkerhed i forhold til online-svindlere og cybermobning med ringe vægt på informationssikkerhed og privacy.

Unge voksnes viden om privacy lovgivning er sikkert forskellig fra ældre voksnes. De er mere tilbøjelige til at tro , at loven beskytter dem både online og offline. Denne mangel på viden i et fristende miljø, snarere end en arrogant og manglende bekymring for privacy, kan være en vigtig årsag til, at et stort antal af de unge voksne engagerer sig på en ubekymret måde i den digitale verden.

Men uddannelse alene er formentlig ikke nok til at de unge voksne opnår en højere grad af forståelse for privacy. Der er højst sandsynligt behov for forskellige former for hjælp fra flere sider af samfundet, herunder måske lovgivning, med henblik på at håndtere de komplekse online strømninger, der står i modsætning til de unge voksnes bedste privacy instinkter.”

Fra rapporten kan det specifikt fremhæves, at “med vigtige undtagelser er en stor procentdel af de unge voksne i harmoni med ældre amerikanere, når det drejer sig om bekymring omkring online privacy…”. Endvidere fremgår det,  at et stort flertal af unge voksne vil nægte at give oplysninger til en virksomhed i de tilfælde, hvor de føler, at det er for personligt eller ikke nødvendigt samt at enhver, først skal få en tilladelse, før han eller hun kan uploade et billede af den pågældende, selv hvis det er taget i det offentlige rum. Det fremgår også, at de unge voksne mener, at der bør være en lov, der giver brugeren ret til at kende alle de personhenførbare oplysninger, der bliver indsamlet om den pågældende og at der bør være en lov, der forpligter websitet til at slette alle de  personrelaterede oplysninger, som er gemt om hans person hos operatøren.

I et efter min opfattelse vigtigt afsnit i den anden forskningsrapport fra The Berkman Center for Internet & Society  om at understøtte de unges adfærd, fremhæves betydningen af forskellige koncepter af privacy. Der peges på, “at studier gentagne gange har vist, at privacy og anonymitet ikke er synonymt med mange unge mennesker.I stedet for at betragte det offentlige og den private rum, som to skarpt adskilt verdener, viser børn og teenagere en mere nuanceret og finmasket forståelse af informationsformidling og kontrol.”

Endvidere fremhæves det, at “voksne ofte forvirres af, at mange unge ikke anser internettet som et offentligt rum. MySpace og Facebook opfattes som private sociale rum, hvor de unge kan engagere sig i personlig chat, sladre, “hænge ud”, flirte, dele hemmeligheder og foretage alle de andre sociale aktiviteter, som de gør, når de er offline med deres jævnaldrende. Omfanget af online-netværks integration børns og teensgers sociale liv er ofte undervurderet. Et fravalg eller at forblive anonym online kan være en social katastrofe for børn, når deres referencegrupper bruger IM, Facebook, MySpace, Xbox Live, YouTube osv. Venskaber starter og slutter ved hjælp af internettets kommunikationsteknologier, og udlevering af personlige oplysninger er en måde at skabe tillid på mellem jævnaldrende.”

Rapportens forfattere nævner herefter behovet for at tage ansvar. Især at voksne har et ansvar for at anerkende deres egne roller i at krænke børn og unges privacy. Endvidere fremdrages det, at der helt sikkert er en rolle for mere privacy uddannelse for unge mennesker.  Som det også er diskuteret i denne rapport, er der ikke meget der tyder på, at teenagere er ligeglade med privacy og endda endnu mindre dokumentation for, at de ikke forstår, hvordan internettet fungerer. Derfor vil “en tilgang til uddannelse, der bygger på at overdrive risici være ineffektiv og sandsynligvis gøre mere skade end gavn”. Vigtigst af alt skal en forståelse af de unges normer være omfattende, før der gennemføres et striks regelsæt.

Forfatterne anbefaler også udvikling af mere privacy-venlige interfaces og kontrolmekanismer (også kaldet privacy enhancing technologies), “fordi privacy i den digitale tidsalder ikke reguleres ved lov eller på baggrund af et informeret brugervalg, men som Lawrence Lessig så berømt har bemærket ved hjælp af computerkoder.”

Til slut diskutterer rapporten fordele og ulemper ved de såkaldte default-settings.

Fra konklusionen i forskningsrapporten kan det fremhæves, at ” unge er stærkt overvåget i hjemmet, i skolen, og i offentlig-heden af en række forskellige overvågningsteknologier. Børn og unge ønsker private sfærer for socialisering, udforskning og eksperimentering væk fra voksne øjne. At lægge personlige oplysninger på nettet  er en måde for de unge til dels, at udtrykke sig selv på, dels at være i kontakt med jævnaldrende samt at øge ens popularitet og forbindelse med venner og grupper af jævnaldrene. I forlængelse heraf ønsker de unge mennesker, at være i stand til at begrænse oplysningerne online på i en nuanceret og differentieret måde.

Populær litteratur (og en del forskning) omfatter beskrivelser af de unge, online teknologier og privacy, der ikke afspejler realiteterne i de fleste børns og teenagers liv. Men dette giver rige muligheder for fremtidig forskning på dette område. Selv om der i rapporten henvises til flere kvalitative og etnografiske studier af unges privacy-praksis og holdninger, er der behov for mere forskningsarbejde på dette område for fuldt ud at forstå ligheder og forskelle i denne aldersgruppe, især inden for selve aldersgrupperne, på tværs af socioøkonomiske klasser, mellem kønnene osv.

I en kommentar til rapporterne er det indledningsvis vigtigt at påpege, at der er tale om amerikansk og tildels europæisk (engelsksproget) forskning, der delvis samler op på hidtil udført forskning. Men desuagtet kan jeg ikke se, hvorfor mange analyser og pointer ikke også vil kunne bruges i en  dansk kontekst. Først og fremmest er det interessant at fastslå, at den tilsyneladende almindelig anerkendte bebrejdelse af  de unge, som at de er ligeglade med pricvacy ikke holder. Der er nu evidens for, at i alt fald de unge i alderen 18-24 år i ligeså høj grad som de ældre er interesseret i privacy, men at det samtidig kan slås fast, at  de opfører sig mere skødesløst online, fordi de tror, at loven giver dem mere beskyttelse end den faktisk gør. Konklusionen synes klart at være i modstrid med Facebook grundlægger Mark Zuckerberg´s udtalelse tidligere på året om, at privacy ikke længere er en “social norm”.

Begge rapporter lægger op til yderligere forskning med henblik på afdækning af brugeradfærd og udvikling af nye brugervenlige og privacybeskyttende teknologier og det kan der kun varmt støttes op om. En væsentlig pointe, som fremhæves i en af rapporterne, er at anlægge et ungeperspektiv for forskningen og ikke betragte de unges online adfærd som eksotisk med anvendelse af en “generationsskifte”-retorik  som forfladiger og overser de unges oplevelser i forskellige sammenhænge. Ligeledes er det værd at have for øje, at idéen om to forskellige sfærer, en “offentlig” og en “privat” på mange måder er en forældet tankegang i forhold til nutidens unge.

Mindsettet om en mere brugerorienteret innovation er i pagt med demokratisk teknologiudvikling, som i en globaliseret verden er vigtigere en nogensinde.  Problemstillingen er eksempelvis taget op i et blogindlæg om biometri og demokrati.

Reklamer

Artikel 29-arbejdsgruppen har offentliggjort arbejdsprogrammet for 2010-2011


EU´s artikel 29-arbejdsgruppe vedrørende databeskyttelse og privacy har netop offentliggjort sit arbejdsprogram for 2010 og 2011.

Arbejdsgruppen er nedsat i henhold til artikel 29 i  direktiv 95/46/EF (EU´s databeskyttelsesdirektiv). Det er et uafhængigt EU-rådgivningsorgan for databeskyttelse og privacy og består af de 27 EU-landes respektive datatilsyn samt Den Europæiske Tilsynsførende for Databeskyttelse. Dets opgave er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF.

De strategiske temaer, som arbejdsgruppen vil fokusere på er:

  1. implementering af databeskyttelsesdirektivet og arbejde for et fremtidigt overordnet juridisk rammeværk jfr.  artikel 29-arbejdsgruppens redegørelse om “The Future of Privacy”
  2. globalisering
  3. teknologisk udvikling
  4. styrke effektiviteten af WP 29 og de nationale datatilsynsmyndigheder med hensyn til efterforskning og retshåndhævelse, herunder harmonisering af tilsynsmyndighedernes beføjelser og samarbejde
  5. aktuelle emner

– hvorefter artikel 29-arbejdsgruppen især vil arbejde med:

  • fortolkning –
  • implementering af det reviderede databeskyttelsesdirektiv
  • overveje Lissabon-traktatens indvirkning
  • Binding Corporate Rules (BCR),  Safe Harbor ordningen, tilstrækkeligheden af tredjelandes regimer
  • internationalt standardiseringsarbejde, f.eks. ISO, Madrid deklarationen, gennem-gang af OECD´s guidelines
  • cloud computing
  • profilering og annoncering baseret på forbrugeradfærdsbestemte data
  • søgemaskiner og “retten til at være alene”
  • sociale netværkssider
  • privacy konsekvensanalyser af RFID
  • finansielle anliggender
  • rejsendes personlige data
  • opdatere WP80 on biometrics
  • mulig opdatering af WP73 on eGovernment and ID management

Arbejdsprogrammet fokuserer på yderst aktuelle og relevante emner. Med henblik på at fastholde og meget gerne styrke en hensigtsmæssig forskning og udvikling samt en lødig debat bør WP29’s prioriteringer for de næste 2 år også få afsmittende indvirkning på danske indsatsområder om privacy og databeskyttelse.

Betænkning afgivet af det franske senat anbefaler en styrkelse af privacy


franskflag

Det franske Senats retsudvalg har d. 27. maj 2009 udgivet en betænkning med titlen ‘La vie privée à l’heure des mémoires numériques’ (ret til privacy i en digital tidsalder).

Betænkningen indleder med at fastslå, at privacy er et af det moderne samfunds grundlæggende værdier og omfatter både et menneskes ret til intimitet og autonomi.

Betænkningen påpeger, at fremkomsten af nye teknologier som GPS, Bluetooth, RFID, nanoteknologi mv. giver mulighed for at spore personer over tid og rum. Endvidere fremhæves den ubegrænsede kapacitet til datalagring og  ‘den nye digitale hukommelse ‘ herunder opbygning af databaser om specifikke forbrugsmønstre (consumer behavioral targeting).  Herudover understreges det også at der blandt den unge generation er en sociologisk trend for ”eksponering og selvregulering” og en mindre opmærksomhed på de risici som blogs og sociale netværk udgør for ens privacy.

Betænkningen understreger også, at Europa og USA har en forskellig tilgang til beskyttelse af personoplysninger, hvilket bl.a .er kommet til udtryk i striden om, hvorlænge visse søgemaskiner bør opbevare indsamlede persondata. Derfor anbefales det også at arbejde for internationale standarder, som dog forudses at blive vanskelig, fordi hensynet til beskyttelse af privacy, herunder retten til at få slettet persondata og retten til anonymisering af dataforbindelsen konflikter med beskyttelsen af ophavsret, edb-programmer, databaser og intellektuel ejendomsret.

Også set i lyset af 11. September 2001, som har medført en øget tolerance for overvågning og kontrol, er der ifølge betænkningen behov for en ny balance mellem sikkerhed og frihed, hvilket alt i alt stiller nye krav til privacy.

For at sikre privacy i nutidens digitale tidsalder og styrke offentlighedens tillid til informationssamfundet har en nedsat arbejdsgruppe formuleret 15 rekommmendationer, hvoraf de væsentligste er:

  • Styrke kendskabet  til privacy og beskyttelse af personoplysninger i skoleforløbet
  • At iværksætte en informationskampagne med henblik på at øge bevidstheden om privacy og databeskyttelse på internettet samt informere om den enkelte borgers rettigheder

Med henblik på at styrke kapaciteten og legitimiteten af CNIL (det franske datatilsyn) :

  • Opkræve et gebyr af større offentlige og private organisationer, der beskæftiger sig med persondata
  • At oprette regionale enheder under CNIL
  • Styrke CNIL´s ekspertise og kontrol
  • At gøre det obligatorisk for alle offentlige og private organisationer, at udpege en databeskyttelsesansvarlig person (correspondant informatique et libertés)

Med hensyn til yderligere lovgivning:

  • Støtte udvikling med henblik på at definere internationale standarder for beskyttelse af personoplysninger
  • At bekræfte, at IP-adressen anses som en personoplysning
  • At indføre et minimum for databrudsnotifikation
  • Privacy skal indskrives i forfatningen

Anbefalingerne, hvoraf flere fremgår af CNIL´s årlige rapport fra 13. Maj 2009, demonstrerer det franske senats og CNIL´s vilje til at styrke retten til privacy både nationalt og internationalt og tage hånd om de aktuelle privacy udfordringer. Borgerens bekymring for brud på privacy tages alvorligt og det anerkendes faktisk, at security og privacy ikke er hinandens modsætninger, men derimod hinandens forudsætninger for et trygt samfund.  Betænkningen er visionær. Anbefalingerne ligger desuden på linje med flere af de forslag, som den nyligt offentliggjorte rapport fra Rand Europe, har fremført.

Det er især interessant at fremhæve anbefalingen om at fastslå ved lov, at IP adressen, som identificerer en computer, er at betragte som persondata. En sådan bestemmelse vil få betydning for hvorledes søgemaskiner lagrer data og det er da også grunden til, at bla. Google stritter imod, idet de gør gældende, at IP adressen alene lokaliserer en computer og ikke hvem personen er. Artikel 29 arbejdsgruppen har iøvrigt fremkommet med en tilsvarende anbefaling i 2008.

Der er også grund til at hæfte sig ved anbefalingen om, at  indføre en pligt til at udpege en dataansvarlig person (i udlandet også benævnt Data Protection Officer)  for både offentlige og private organisationer med minimum 50 ansatte. Det er en ide, som jeg selv ved en tidligere lejlighed har anbefalet, at indføre i Danmark. Også  forslaget om at indskrive privacy i den franske forfatning, er principiel sympatisk.

Betænkningen gør det endnu mere påkrævet, at der fra dansk side formuleres en decideret privacy policy baseret på lignende anbefalinger, således at vi ikke kun kommer på omgangshøjde med de øvrige EU lande og EU, men meget gerne lægger os i førerfeltet.    

Den omfattende betænkning, som er på fransk, kan downloades her.

Privacy skal ikke hæmme men fremme internetbaserede sociale netværk


netvc3a6rk

Sociale netværk er in globalt og Danmark er sammen med Canada, de to lande i verden med forholdsvist flest Facebook-profiler. 33 procent af befolkningen eller 1.779.380 i Danmark er aktive brugere af netværket (ifølge Politiken, januar 2009).

Der er ingen tvivl om, at internetbaserede netværk vil blive en integreret del af vor hverdag og det uanset om det er i forbindelse med arbejdet eller i fritiden. Og vi har kun set begyndelsen til en udvikling hvor det vi i dag oplever som real life vil blive sammensmeltet med den virtuelle verden. Vi vil opdage, at den måde vi indtil nu har opført os overfor hinanden på vil udvikle sig på en ny måde, hvor vi vil erkende, at vi ikke uden videre kan adoptere gammeldags omgangsformer til internettet. Definition af privacy vil ikke alene være et spørgsmål om at fastslå hvad der er personlige data, men også hvorledes f.eks.  “det offentlige rum” og “den personlige integritet” fastlægges i forhold til arbejdsgiver, kollega, ven, barn, forældre og organisation.      

Det betyder så også, at vore traditionelle normer og værdier må tilpasses den måde vi interagerer socialt og det vil så også påvirke hele vor livsførelse i fremtiden. Det er mit udgangspunkt, at internettets potentiale er den største demokratiske nyskabelse nogensinde. Retten til internetadgang skal derfor fastholdes for det enkelte menneske. Men internettet stiller samtidig nye udfordringer til sikkerhed og beskyttelse af privacy. Disse udfordringer er i første omgang komplicerede fordi de forudsætter nytænkning. Nytænkning som afbalancerer netværkets sammenhængskraft, engagement og innovation og beskyttelsen af den enkeltes privacy og frihedsrettigheder baseret på fuld brugerkontrol.

Man kan tilgå problemet ud fra 3 niveauer.

etisk
lovgivningsmæssigt og
teknologisk

Lovgivning er sikkert nødvendig og både persondataloven så vel som markedsføringsloven regulerer allerede i dag i vidt omgang de sociale netværk for så vidt angår Danmark, men lovens jurisdiktion og retshåndhævelse kan være usikker. Derfor vil en gennemgribende og ikke mindst effektiv lovgivning kræve et internationalt regelsæt. Men lovgivningen vil altid halse bagefter den informationsteknologiske udvikling og kan i sagens natur kun regulere de mest grelle scenaria.  Om de juridiske aspekter i relation til FaceBook henvises til et tidligere blogindlæg af Martin Jørgensen, cand. jur. ,Senior Consultant, Deloitte/ Security & Privacy. Teknologiske løsninger som f.eks. “opt in”- mekanismer eller PET (Privacy Enhancing Technologies) kan anbefales, men en optimal udnyttelse forudsætter global tilslutning. Sidst men ikke mindst vil udvikling af såkaldte etiske adfærdskodeks være en, efter min opfattelse, udmærket metode til at sikre en effektiv forbrugerbeskyttelse, der samtidig synes at være tilstrækkelig fleksibel til at kunne tilpasse sig den pulserende udvikling af internettet. Adfærdskodeks har så også den fordel at de ikke alene vil være baseret på eksisterende national lovgivning, men vil også kunne gå et skridt videre og samtidig kunne fastsætte teknologiske kriterier for privacy.

Adfærdskodeks (code of conduct) er desuden en god ide, fordi alle, som tilslutter sig, har en interesse i leve op til retningslinjerne. Om der derudover skal indføres en eller anden form for kontrolmekanisme kan imidlertid ikke udelukkes.

Arbejdsgivere følger med i medarbejdernes sociale netværk, og det er kommet frem, at ansatte er blevet fyret på grund af deres online aktiviteter.  De tider er forbi. hvor du vil kunne slippe af sted med at lyve, hvor du opholder dig, hvem du er sammen med eller hvad du foretager dig, såfremt der bare er én tilstede, som har en kameramobil og en Facebook profil. Og når dine arbejdskollegaer tilføjer dig som ven på dit sociale netværk, er det ikke sådan lige til, at chatte om alle de tossede ting du foretog dig lørdag aften. Sådan oplever mange det i dag. Men behøver det at være sådan ?

Læg hertil, at det vil være naturligt at antage, at de fleste arbejdsgivere frygter en overdreven brug af online sociale netværk, som yderligere vil medvirke til en øget overvågning og/eller begrænsning af adgangen til internettet. Således viser en survey fra marts 2008 af det engelske advokatfirma Charles Russell i samarbejde med nyheds-sitet Personnel Today med deltagelse af 220 engelske HR direktører, at 69% af virksomhederne ønsker mere kontrol med brugen af Internettet. Arbejdsgiverne er bekymret for, at personalet spilder deres tid på hjemmesider i løbet af dagen, hvilket kan svække produktiviteten og betyde en øget sikkerhedsrisiko, fordi data deles eksternt.

I undersøgelsen advarer nogle HR direktører imod et totalt forbud mod brug af sociale netværk, fordi det vil skade medarbejderens engagement. Således udtales det, at “ved at behandle vores medarbejdere som voksne giver det os mulighed for at have åbne diskussioner om, hvordan balancen mellem arbejdsliv og det at være social i arbejdstiden skal være”

Hvordan vil arbejdsgiverne reagere ifølge undersøgelsen ?

50% vil begrænse personlig brug af internettet til frokostpausen
33% vil overveje et totalforbud
70% vil overveje disciplinære foranstaltninger, hvis de opdager upassende fotos på online sociale netværk, som  identificerer arbejdsgiveren
25% vil søge efter online sociale netværk som et ansættelses-værktøj
90% vil ikke søge efter upassende kommentarer på online sociale netværk

At problematikken også er yderst relevant i Danmark viser en aktuel sag hos Nordjyllands Politi, hvor 12 betjente har været medlemmer af Facebookgruppen ‘Ryd 1000fryd’, jfr. artikel i Politiken Chefen må blande sig i din Facebook.

Der har især været fokus og debat om børns sociale netværk og det har været fremme at indføre forskellige teknologiske løsninger til beskyttelse af børn, når de er online, f. eks. ved at indføre en “privacy lås”.

Selv for ansvarsbevidste forældre, er grænsen mellem det at være social, at snage og bryde privatlivets fred som oftest en gråzone.

Lad mig indledningsvis pege på en engelsk undersøgelse offentliggjort af  Timesonline i april 2008 og foretaget af Ofcom, en uafhængig engelsk tilsynsmyndighed for kommunikation. Her viser undersøgelsen, at 2 1/2 million børn mellem 8 og 17 har oprettet en profil på et socialt netværk. Undersøgelsen fremhæver, at forældre ikke er opmærksomme på, at dårlig sikkerhed betyder, at omkring fire ud af ti personlige sider er åbne for alle.

Undersøgelsen fastslår, at selv om de tre vigtigste sociale netværk, Bebo, Facebook og MySpace, påstår at have en minimums aldersgrænse på 13 eller 14, så siger 1/4 af alle børn med internetadgang i alderen mellem 8 og 11, at de har en side på et social netværk. Undersøgelsen viser også, at 33% af forældrene gik med til ikke at opstille regler for deres børns brug af online sociale netværk, mens 43% af børnene har sagt, at deres forældre havde undladt at angive nogen regler for deres brug af online sociale netværk. Noget kunne hermed tyde på, i alt fald efter den engelske undersøgelse, at alt for mange forældre ignorerer de risici der er forbundet med disse websteder.

Frygt for børns sikkerhed fremhæves som en voksende bekymring, herunder tilfælde af opmuntring til selvmord, mobning og pædofili.

For at imødegå problemet har det engelske indenrigsministerium i 2008 offentliggjort en frivillig adfærdskodeks for sociale netværk. Bebo, MySpace og Facebook er enige om, at når børn under 18 opretter en profil vil være omfattet af en høj standard indtilling for privacy beskyttelse.

I et sammendrag fra konferencen Privatliv på profilen om borgernes adfærd på online sociale netværkstjenester d. 11 november 2008 arrangeret af It-sikkerhedskomitéen, blev der bl.a. efterlyst klarhed over den retstilstand, der gælder for udbydere og brugere. Der blev også stillet spørgsmål om forbrugerlovgivningen er på niveau med moderne krav til it-sikkerhed, og om der er behov for en bedre beskyttelse af borgernes privatliv. Desuden blev der udtrykt ønske om at få en afklaring af, i hvilket omfang dansk lovgivning kan håndhæves overfor online sociale netværkstjenester, der retter sig mod et dansk marked og danske brugere.

Det kom også frem, at der hvor der mangler regler, vil der opstå erfaringsbaseret kodeks for god etik og moral. Det ser man også i forhold til brugerne på online sociale netværkstjenester, ikke mindst blandt børn og unge. På netværkstjenesterne holder brugerne øje med hinanden og informerer tjenesteadministrator, som det fremgår af It- og Telestyrelsens kommentar.

Forbrugerrådet har taget et godt initiativ og offentliggjort Gode råd til facebookbrugere.  Forbrugerrådet har imidlertid i snart et halvt år peget på, at FaceBook overtræder den danske persondatalov, men medgiver at et EU indgreb er nødvendigt. En nylig undersøgelse af Forbrugerrådet viser, at  Brugerne er utilfredse med beskyttelsen på Facebook.

Lad mig først slå fast, at erfaring fra udlandet viser, at det vil være både praktisk og juridisk umuligt helt at afskære medarbejderes brug af sociale netværk.  Det vil efter min opfattelse også være tåbeligt. Selvfølgelig bør man ikke bruge unødig tid på sit arbejde på internetbaerede sociale netværk, men de kan selv for en virksomhed tjene en legitim forretningsmæssig generering og netværkssamarbejde udover at udvikle medarbejderens trivsel og engagement.

Det er min opfattelse, at det vil være en fordel for både arbejdsgiver og medarbejder, at en offentliggjort adfærdskodeks fastsætter retningslinjer for brug af sociale netværk. En adfærdskodeks demonstrerer et etisk ansvar ved at tage stilling til klart definerede problemstillinger.

Også i forhold til forældre og børn giver det god mening at anbefale en adfærdskodeks og man kan udmærket  tage udgangspunkt i den engelske adfærdskodeks som viser afprøvede og fornuftige metoder til at holde sig sikker online og som kan udfylde et muligt gab mellem lovgivning og konkret praksis. En adfærdskodeks vil under alle omstændigheder være et fornuftigt første skridt, fordi det uden tvivl vil være kompliceret at lovgive om online sociale netværk, al den stund det ville være meget vanskeligt at skelne dem fra andre websteder.

Så vidt så godt. Imidlertid består der en opgave, som antydet indledningsvis, i klart at definere privacy beskyttelsen på online sociale netværk. Det vil i den forbindelse være nærliggende at antage, at internettet ikke bør opfattes som et unikt separat rum, men som en udvidelse af det virkelige liv. En netop offentliggjort artikel i Berlingske Tidende Nej tak til forældre på Facebook påpeger dette på glimrende vis med nogle interessante betragtninger af professor  Niels Ole Finneman.

Privatlivets beskyttelse – Facebook


hand

Af: Martin Jørgensen, Cand.jur – Senior Consultant – Deloitte/Security & Privacy

Privatlivets beskyttelse

Opfattelsen af privatlivets beskyttelse afhænger af øjnene der ser.

Virksomheder har fokus på privatlivets beskyttelse og implementerer såkaldte privacy-programmer og løsningsmodeller, som kan bidrage til aktivt at identificere databeskyttelsesmuligheder indenfor de områder, som enten repræsenterer den største risiko eller den største mulige fortjeneste for den pågældende virksomhed. 

Fokus i det offentlige forum er på det seneste blevet rettet mod enkeltpersoner og privatlivets beskyttelse i forbindelse med diverse sociale netværk – specielt det sociale netværk Facebook har i medierne fået en del spalteplads.

Nærværende artikel tager udgangspunkt i det sociale netværk Facebook, herunder de aftalebetingelser som brugere på netværket bliver underlagt ved at oprettet en profil på http://www.facebook.com.

Sociale netværk samt Facebook

Sociale netværk er grundlæggende steder på internettet, hvor du kan oprette en profil, der beskriver dig selv, ligesom du kan se andres profiler. Fænomenet er blevet meget omtalt, primært fordi steder som Facebook og MySpace hurtigt har fået ekstremt mange brugere over hele verden – også i Danmark. Men der er også en række mindre, sociale netværk, der henvender sig mere specifikt til folk med samme interesser eller samme livssituation. 

I starten var Facebook kun for studerende med en college- eller universitets-e-mailadresse. Siden er Facebook gjort tilgængelig for brugere med alle typer af e-mail-adresser. Facebook har mere end 110 mio. medlemmer, og hver dag kommer der 250.000 nye medlemmer. Der findes 1,7 milliarder billeder og der er over 500 millioner søgninger pr. måned. (Kilde: http://da.wikipedia.org/wiki/Facebook) I Danmark har vi rundet de 1,6 mio. medlemmer.

Amerikanske regler

Umiddelbart lyder Facebook jo som et rimeligt harmløst foretagende, hvor man kan berette om sine daglige gøremål, interesser, privat- og arbejdsliv, samt dele sine billeder. Men når du opretter en profil på Facebook, giver du samtykke til, at dine personlige oplysninger bliver overført til og behandlet i USA. Det er dermed ikke dansk lovgivning, der gælder, når man anvender Facebook, men derimod amerikansk lovgivning.

De amerikanske regler vedrørende behandling af personoplysninger er på ingen måde lige så regulerede som de danske regler (bl.a. Lov om behandling af personoplysninger, Lov 2000-05-31 nr.429). Facebook skal dermed ikke følge de regler, som vi kender til i Danmark vedr. behandling og opbevaring af persondata, og som vi naivt kan gå rundt og tro, er gældende, når vi logger på diverse sociale netværk på internettet. 

Som en af de helt store forskelle kan det nævnes, at Facebook kun kræver én accept ved oprettelsen af en profil, for fremover at have ophavsret til de data, en profilejer vælger at lægge ud på sin profil; herunder personlige oplysninger, billeder m.v.

En profilejer kan altså risikere, at alt indhold på profilen – for eksempel billeder, personlige oplysninger, beskeder og tekster samt fortrolige beskeder i en lukket gruppe – kan blive brugt af Facebook overalt i verden. Facebook kan tilmed bruge det til “ethvert formål” (også i omformateret eller oversat form) og for evigt, hvilket også vil sige efter at en profilejer har slettet sin Facebook-konto.

Det indhold, som en profilejer altså har givet Facebook, kan for eksempel blive brugt i reklamer. “Sjove” billeder fra den seneste fest eller badeferie, kan således lige pludselig indgå i en global reklame for hvad som helst.

Facebook er ikke de eneste, der må bruge indholdet i profilerne.

Det må andre virksomheder også, for som profilejer har man givet Facebook ret til at videresælge det indhold, som oprindeligt var ens eget.
Ovenstående ville aldrig blive accepteret, såfremt de danske regler vedrørende anvendelse af persondata fandt anvendelse. 

Nærmere om aftalebetingelser på Facebook

Aftalebetingelser på Facebook – de seneste gældende fra 26. november 2008 – nævner indledningsvis, at man ved brug eller ved at logge ind på Facebook accepterer reglerne i den pågældende erklæring om ”Beskyttelse af personlige oplysninger”.

Det betyder bl.a. at ud over at have givet lov til, at Facebook kan anvende brugernes indhold for evigt i et meget vidt omfang, har de anslåede 1,6 mio. danske profilejere på Facebook også sagt ja til at anvendelsesvilkårene kan ændres, uden at brugerne bliver informeret

Det vil sige, at selv hvis en profil ejer rent faktisk læste anvendelsesvilkårene ved oprettelse af en Facebook-konto, er det spild af tid, for man accepterede samtidig, at Facebook frit derefter kan ændre vilkårene uden at informere brugeren.

Den eneste måde hvormed man kan holde øje med, om der er kommet nye vilkår for anvendelse af Facebook, er ved at læse vilkårene, hver gang man logger på.
Der står i vilkårene, at ved at logge på Facebook, gælder det som en ny accept af de til enhver tid gældende betingelser – uanset om de måtte være ændrede siden brugeren oprettede sin konto. Brugeren vil ikke få nogen særskilt besked om, at sådanne ændringer er foretaget, og der er heller ingen mulighed for at se, hvilke dele af vilkårene, der er ændret siden sidst, for det oplyser Facebook ikke. Det er dermed en jungle for selv en uddannet jurist at finde hoved og hale i Facebooks aftalebetingelser.

Ovenstående ville ligeledes være i strid med den danske persondatalov, såfremt den fandt anvendelse.

Hvor er Datatilsynet?

”Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Datatilsynet består af et råd – Datarådet – og et sekretariat.  Datatilsynet bl.a. rådgiver og vejleder, behandler klager og gennemfører inspektioner hos myndigheder og virksomheder”. (kilde:http://www.datatilsynet.dk)

Forbrugerrådet anbefalede i august 2008, at Datatilsynet burde kigge nærmere på det sociale netværk Facebooks aftalebetingelser, hvilket Datatilsynet imidlertid afviste ved skrivelse af den 9. oktober 2008.

”Begrundelsen” fra Datatilsynet var følgende:

”Hvis Datatilsynet skulle komme med en egentlig stillingtagen til Facebooks databehandlinger, ville det forudsætte, at der forinden var indhentet en udtalelse fra Facebook. Datatilsynet finder imidlertid ikke anledning til på nuværende tidspunkt at rejse en egen drift-sag over for Facebook.” (Kilde: http://www.forbrugerraadet.dk)

Datatilsynet fandt altså ikke anledning til at undersøge sagen. Datatilsynet oplyste dog afslutningsvis i brevet til Forbrugerrådet, at den såkaldte artikel 29-gruppe, der er nedsat i medfør af databeskyttelsesmyndigheden, har sociale netværk på sit arbejdsprogram for 2008/2009.

Artikel 29-gruppen er nedsat som følge af Europa-parlamentet og Rådets direktiv (95/46/EF af 24. oktober 1995) om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesdirektivet).

Artikel 29-gruppen er rådgivende og uafhængig og består af en repræsentant for den eller de tilsynsmyndigheder, som hver medlemsstat har udpeget, og af en repræsentant for den eller de myndigheder, der er oprettet for fællesskabsinstitutionerne og -organerne, samt af en repræsentant for Kommissionen. Datatilsynet er repræsenteret i artikel 29-gruppen.

I april 2008 konkluderede artikel 29-gruppen, at den amerikanske søgemaskine Google er underlagt brugernes nationale regler – herunder den danske persondatalov – og at det er de enkelte medlemsstater, som skal sikre, at reglerne bliver håndhævet. I samme udtalelse konkluderer ”Artikel 29-gruppen” også, at brugernes samtykke skal hentes forud for enhver form for krydskombination af brugerdata og brugerdataforædling – altså at der skal indhentes samtykke fra brugere, når der skal videresælges identificerbare personoplysninger.

Det kan derfor virke besynderligt, at Datatilsynet implicit henviser til, at man afventer artikel 29-gruppens arbejde, når der allerede ligger konklusioner/vejledende udtalelser fra artikel 29-gruppen, der ganske vist ikke specifikt handler om sociale netværk – men man konkluderer dog fra artikel 29-gruppen, at samtykke skal indhentes før videregivelse af identificerbare personoplysninger, samt at det ikke er nok med en generel accept – hvilket man bl.a. afgiver ved at oprette en profil på Facebook.)

Forbrugerrådet har efter afslaget fra Datatilsynet kontaktet EU-Kommissionen vedrørende spørgsmålet, men her var svaret korrekt, at tilsyn med udenlandske internettjenester skal føres af de nationale myndigheder, hvilket jo er i tråd med konklusionerne fra artikel29-gruppen. Forbrugerrådet har efterfølgende på ny kontaktet Datatilsynet – der på ny har afvist at foretage en undersøgelse og i den forbindelse oplyser, at

“Vi lægger kræfterne i samarbejdet med de europæiske og internationale datatilsyn, hvor der allerede sker meget. Vi har en repræsentant i Bruxelles, der deltager i Artikel 29-gruppen, der arbejder med at udstikke regler for alle de sociale netværk på nettet. Den gruppe er på trapperne med en udtalelse,” siger Lena Andersen fra Datatilsynet.(Kilde: http://www.computerworld.dk)

Vi må så – med tålmodighed – afvente artikel-29 gruppens arbejde før Datatilsynet(den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes) kan tage stilling i sagen.

Du kan læse mere om artikel 29-gruppens arbejde og dokumenter her: http://ec.europa.eu/justice_home/fsj/privacy/workinggroup/index_en.htm