Vores privatliv er truet Men der findes løsningsmodeller

Størrelse: px
Starte visningen fra side:

Download "Vores privatliv er truet Men der findes løsningsmodeller"

Transkript

1 De overvågede Vores privatliv er truet Men der findes løsningsmodeller

2

3 De overvågede Debatbog om privacy og løsningsmodeller Forbrugerrådet & DI Redaktion: Henning Mortensen, DI ITEK, Erik Valeur, Tænk og Pernille Tranberg, Tænk Layout: Geira Bjørn Olsen, Tænk Forsidefoto: Colourbox Fotos i øvrigt: Ulrik Jantzen og Peter Sørensen Forlag: Books on Demand GmbH, København, Danmark Produktion: Books on Demand GmbH, Norderstedt, Tyskland ISBN-13:

4 Indhold del 1: De overvågede Hvad er privacy, og hvorfor er det så vigtigt?... side 8 Af Henning Mortensen og Erik Valeur Samfundets behov for privacy... side 18 Af Henning Mortensen Facebook og forbrugerne... Side 34 Af Anette Høyrup Big Brother eller Big Mother... side 42 Af Hans Jørgen Bonnichsen del 2: når overvågning ta r magten Velkommen på forsiden... side 54 Det store identitetstyveri... side 60 Koncernen, der vidste alt... side 68 Syv dage som tv-stjerne... side 76 Af Erik Valeur del 3: nøglen til fremtiden Privatlivsbeskyttelse i IT systemer... side 86 Af Jørn Guldberg Terrorbekæmpelse og sikkerhedsteknologi... side 94 Af Ida Leisner Nøglen til fremtiden om pseudonymer og virtuelle identiteter... side 104 Af Stephan Engberg 4

5 Forord De overvågede er udgivet i et samarbejde mellem DI (Dansk Industri) og Forbrugerrådet. Bogen, der er redigeret af Forbrugerbladet Tænk og brancheforeningen DI ITEK under DI, beskriver den øgede overvågning og registrering af danskerne siden terrorangrebet på USA 11. september Efter en beskrivelse af de aktuelle problemer med den stærkt øgede overvågning sætter vi fokus på de løsningsmuligheder, der findes og som hidtil har været overset. Bogen har tre dele: Del 1: De overvågede så langt er overvågningen kommet i Danmark de seneste år Del 2: Når overvågningen ta r magten fire scenarier om det, der kan ske, hvis det går helt galt Del 3: Nøglen til fremtiden løsninger på overvågning og sikring af privacy Henning Mortensen, Pernille Tranberg og Erik Valeur, januar 2009 Privacy er retten til privatliv i forhold til éns færden både offentligt og privat, i det fysiske rum, på telefon og på internettet. I kapitler med note-henvisninger findes noterne umiddelbart efter kapitlet. 5

6 6

7 del 1 De overvågede Overvågningen har udviklet sig kraftigere og hurtigere, end nogen havde troet 7

8 Hvad er privacy, og hvorfor er det så vigtigt? Af Henning Mortensen og Erik Valeur Gennem de senere år har vi set en udvanding af privatlivets fred både herhjemme og internationalt. Terrorangreb forskellige steder i verden har ført til en ny sikkerhedspolitik, hvor mange velmenende politikere overbyder hinanden med løsninger, der har til formål at forbedre befolkningens sikkerhed. Når ét initiativ er taget, kræves der straks flere, så politikerne kan demonstrere, at de tænker på borgernes sikkerhed. I disse forsøg skærpes lovgivning med henblik på at overvåge alle borgere mere, så de få kriminelle borgere kan pågribes. Eksempler på dette fra de senere år inkluderer: Politiets Efterretningstjeneste er blevet større og har fået udvidet mandatet, og det betyder, at flere forhold kan efterforskes uden den almindelige demokratiske kontrol, som det almindelige politi er underlagt. Retssikkerheden er blevet undermineret på flere områder. For eksempel har det tidligere været praksis, at man skulle have en dommerkendelse før et indgreb, så domstolene kunne vurdere, om der var beviser nok. Dette er ændret, så man i en række sammenhænge kan nøjes med en efterfølgende dommerkendelse til et indgreb. Ransagning i medarbejderes private hjem efter dokumenter, der kan have betydning for bedragerisager begået af virksomheder, er blevet lovligt. Private brugere får logget deres anvendelse af mail og internettet i private hjem. Tv-overvågningen i det offentlige rum er blevet udvidet betydeligt, og politiets muligheder for at få indsigt i denne overvågning er steget betragteligt. I Sverige har man vedtaget den såkaldte FRA-lov, som betyder, at alt indhold i tele- og internettrafik, der kommer ind over grænsen til Sverige, vil blive overvåget. Danske brugere af telefoni og internet har af tekniske årsager ikke mulighed for at vide, om deres trafik switches eller routes over Sverige for at komme frem til modtageren også selv om det er en dansker i Danmark. Det betyder, at alle borgere såvel som virksomheder og Folketinget, vil blive overvåget af den svenske efterretningstjeneste, når blot trafikken krydser grænsen. Danskeres ret til privatlivets fred (privacy) er dermed blevet indskrænket betydeligt. I den seneste sammenlignende analyse fra Privacy International har Danmark fået den hidtil værste vurdering og karakteriseres nu som et Extensive Surveillance Society. Ofte iværksættes de politiske tiltag, uden at man har nogle beviser for at overvågningstiltaget har nogen præventiv eller opklarende effekt. Problemet er, at man med anvendelsen af denne type tiltag mistænkeliggør de mange for at ramme de få. Det er endda usikkert, om de mange faktisk reelt får en bedre sikker- 8

9 hed altså om overvågningstiltagene har den ønskede effekt. Og i hvert fald fører mere overvågning til større usikkerhed, fordi vi hele tiden må overveje, om vi nu opfører os på en sådan måde, at vi ikke kommer i overvågnings-systemernes søgelys. Det er naturligvis vigtigt at dæmme op for den reelle trussel, som terror og andre forbrydelser udgør for borgerne. Men det er også vigtigt, at de initiativer, der tages, nøje afvejes imod de privatlivs-konsekvenser, de får for borgerne. Effektivisering Effektivisering af den offentlige sektor gennem teknologisk innovation har også spillet en stor rolle. Effektivisering og anvendelse af teknologier er naturligvis godt, hvis det anvendes med omtanke og på en måde, som respekterer privatlivets fred. Der er imidlertid flere eksempler på, at teknologier anvendes på en måde, som krænker privatlivet, uden at dette havde været nødvendigt. Et af de bedste og mest aktuelle eksempler er 2. generations digitale signatur. Ifølge det materiale, som i skrivende stund ligger offentligt, skal signaturen opbevares centralt. Det gør det lettere for brugeren at anvende den. Samtidig er det tanken, at signaturen skal kunne bruges i både den offentlig og private sektor, fordi det kan skabe større udbredelse. Problemerne med den centrale løsning er, at en central lagring vil betyde, at man kan samkøre den enkelte borgers transaktioner og se, hvor vedkommende har anvendt signaturen. På denne baggrund vil man kunne skabe en elektronisk profil/identitet for vedkommende. For det andet mister borgeren kontrollen med, hvornår signaturen anvendes. Dem, der lagrer signaturen, vil kunne bruge signaturen på borgerens vegne. Signaturen kunne have været implementeret anderledes, idet der findes glimrende eksempler på, at signaturen eller dele heraf er i borgerens besiddelse og samtidig er let at anvende. Uden at være i besiddelse af borgerens del af signaturen vil man ikke kunne profilere vedkommende. Effektiviseringen, som har mange gode elementer i sig, er altså ikke sket på den mest hensigtsmæssige måde. Definition Historisk er begrebet privacy blevet defineret som The right to be let alone altså retten til at have en privatsfære, hvor ingen kunne trænge ind og påvirke krop, holdninger og ejendom. I nyere tider er dette begreb blevet omfortolket i en mere sikkerhedsorienteret kontekst til beskyttelse mod en række forskellige risici, som opstår, hvis borgeren ikke længere har kontrol med sine egne data altså at data om borgeren er opbevaret af andre, med eller uden borgerens viden og ønske. Det er sket, fordi de talrige elektroniske registreringer om mennesker, som informationssamfundet har givet anledning til, kan samkøres, analyseres, udveksles og bruges lettere, end da data var lagret på papir. Privacy er dermed blevet et sikkerhedsmæssigt begreb, der involverer en risikovurder- 9

10 ing i forhold til, hvem der er i besiddelse af personlige informationer og den risiko der er forbundet med, at andre har retten til at indsamle, vedligeholde, anvende, videregive/ transmittere og behandle personlig information. Privacy vedrører, at risikovurderingen skal ligge hos borgeren, og ikke være foruddefineret af samfundet. Hvorfor er privacy så vigtigt? Som nævnt giver teknologier borgerne en masse gode fordele og gør deres liv lettere. Det gør sig også gældende på samfundsniveau, hvor der kan spares mange penge og skabes bedre services gennem anvendelsen af teknologi. Der er imidlertid en række grunde til, at vi skal implementere teknologien rigtigt og hermed beskytte borgernes privacy: 1. Autonomi og individualitet Det er et konstituerende træk ved mennesket, at vi som udgangspunkt selv kan bestemme, hvem vi vil dele informationer med. Det er en del af det at være menneske. Det er en egenskab, vi som mennesker bruger hver dag, når vi vælger at fortælle nogle af vores venner eller kolleger nogle ting mens vi tilbageholder andre ting, som vi så måske kun deler med familien eller holder helt for os selv. Vi vil have lov til at have vores små hemmeligheder og selv bestemme hvem vi eventuelt ønsker at dele dem med. Og vi vil have lov til at kommunikere informationer på de måder, som vi mener tjener os selv eller en bestemt situation bedst. Flere studier viser, at når folk tror, de er under observation, så ændrer de adfærd, så de i højere grad lever op til, hvad de tror, at dem, der observerer dem, ønsker at se. Overvågning vil derfor i et vist omfang ensrette mennesker, så kreativitet og forskellighed ikke får tilstrækkeligt spillerum. Mennesker kommer i stedet til at bruge deres energi på at være ens og ikke skille sig ud fra mængden. 2. Den historiske betydning Historisk har manglende overvågning givet frihed og frihed til udvikling af mennesker. Man har kunnet skabe sig et frirum til at nedskrive og formidle sine tanker til en bredere kreds også selv om dette var irriterende for de til enhver tid siddende magthavere (f.eks. tyranner eller kirken). Eksempler inkluderer skønlitterære forfattere (Charlotte Bronte, der skrev under pseudonymerne Lord Charles Wellesly, Marquis of Duoro), politiske dissidenter (Francois Marie Arouet, der skrev under pseudonymet Voltaire), forfattere af erotisk litteratur (Pauline Réage, der skrev under pseudonymet Régine Deforge), filosoffer, religiøse tænkere og fagbevægelsens grundlæggere. Hvis ikke disse tænkere havde haft mulighed for at tænke, kommunikere og handle, havde jorden stadig være flad, og vi havde haft monarki uden et demokratisk valgt Folketing. Og hvorfor ikke tro, at vi fortsat kan udvikle verden, og at nogle af de tanker, der skal gøres i den forbindelse, kan komme på tværs af de eksisterende magthavere og deres prioriteringer? 10

11 Overvågning vil derfor i et vist omfang ensrette mennesker, så kreativitet og forskellighed ikke får tilstrækkeligt spillerum. Mennesker kommer i stedet til at bruge deres energi på at være ens og ikke skille sig ud fra mængden. Henning Mortensen og Erik Valeur 11

12 3. Samvær med ligesindede I det omfang, en tanke eller en aktivitet er på kanten af den herskende forståelse, kan det være nyttigt for mennesker at kunne drøfte, udvikle og afveje disse i samvær med andre ligesindede. Tanken eller aktiviteten kan afprøves, og argumenter for og imod kan vurderes ud fra en fælles forståelse. Mennesker kan på den måde skabe en mental balance gennem muligheden for samvær med ligesindede. Gruppers normer dannes ofte på denne måde og samles så på samfundsniveau. De tanker eller aktiviteter, der opstår på denne måde, kan godt være til gene for de siddende magthavere et godt eksempel er digital kopiering af musik. Her har normer udviklet sig, som går på tværs af den herskende forståelse, men som alligevel støttes af en hel ungdomskultur og fænomenet er vel nok opstået fordi magthaverne/branchen ikke har udviklet tekniske løsninger eller skiftet forretningsmodeller til tidens behov hurtigt nok. 4. Den geografiske betydning Mange steder i verden forfølges minoriteter f.eks. politiske dissidenter, homoseksuelle, religiøse eller racemæssige minoriteter. Hvis disse grupper skal have en mulighed for at forsamles og formulere en ny mening for deres gruppe, er det vigtigt at de ikke overvåges og nedkæmpes af magthaverne. 5. Ro til refleksion Det er nødvendigt for mennesker af og til at kunne trække sig tilbage fra fællesskabet for at få ro til refleksion. At få ro til at skabe sig en struktur på egne tanker, opfattelser og handlinger. I princippet at kunne lave en fysisk eller mental dagbog. Dette er en forudsætning for velfungerende deltagelse i demokratiet, at være på arbejdspladsen og begå sig i familien. Det kvalificerer dét output, som mennesker kan komme med til de grupper og fællesskaber, de indgår i og det giver mulighed for at synspunkter og livsopfattelser, som ikke er politiske korrekte, kan inddrages. En konstant overvågning vil ikke skabe den fornødne ro for det enkelte menneske. 6. Retten til at ytre sig anonymt Når vi overvåges, vil hvert et synspunkt vi artikulerer, blive truet/udfordret af rettelser, kritik, fordomme, fordømmelser og krav om forklaringer. Der vil hele tiden ske en test af, om der er noget galt og er der mistanke om dette, skal vi forsvare os også selv om der i virkeligheden ikke var noget galt. Hvis vi konstant skal forsvare vores handlinger ned til mindste detalje, reduceres vores muligheder for at handle. Hertil kommer, at konstant kritik eller trussel om kritik vil få folk til at fravælge at artikulere deres synspunkter og vi vil dermed som samfund få mindre nuancerede debatter. Derfor er det væsentligt, at folk af og til og i visse sammenhænge kan ytre sig anonymt eller pseudonymt. 12

13 7. Det konstruerede menneske Mennesker skal have lov at agere uden ansvar, hvor det er forsvarligt for samfundet. På den måde kan man som menneske udleve bestemte sider af éns personlighed/ interessesfære uden at afsløre hele billedet af en selv. Især i online-sociale netværk er der ganske mange, der konstruerer sig selv ved helt at udgive sig for at være en anden eller ved at spille på dele af deres personlighed og underspille andre dele ved at undlade at berette om visse oplevelse, kun videregive en type oplevelser eller måske forskønne eller fordreje nogle ting. Det kan være en sund ting, fordi det kan give erfaringer og udvikle det enkelte menneske for eksempel unge, der gerne vil vide noget om det andet køn eller tilhørsforhold til subkulturer, som man måske ikke har mulighed for at være en del af i den fysiske verden. 8. Demokrati Manglende overvågning er indeholdt i forsamlings- og ytringsfrihed, som er demokratiets grundpiller. Magthaverne er via disse rettigheder forhindret i at registrere deltagere i politiske eller religiøse møder og via sådanne metoder undgå opposition. Denne problemstilling får løbende fornyet aktualitet i forhold til debatter om, hvorvidt man kan gribe ind over for rockere, nazister, de autonome eller tilhængere af Hizb ut Tahrir. 9. Gemt for evigt Der er en risiko for, at oplysninger, der gemmes over tid, på et tidspunkt vil blive (mis) brugt til et andet formål end det oprindelige. Derfor er det uheldigt, at data, som allerede er afgivet i en række sammenhænge, gemmes for evigt i forskellige databaser. Vi har set eksempler på anvendelse af forældede data til andre formål end det, de blev indsamlet til. Et ofte anvendt eksempel er udenrigsminister Per Stig Møllers gamle spritdom, som kom frem i hans formandsperiode i det Det Konservative Folkeparti. Et andet eksempel er, at data, der er blevet offentliggjort på internettet, er meget vanskelige grænsende til det umulige at fjerne igen. 10. Hvem vogter vogterne? Overvågningen af danskerne ændres i disse år ganske meget. Antiterrorlovene, logningsbekendtgørelsen og ændringen af retsplejeloven giver PET en stor magt. Netop disse ændringer betyder, at visse typer af overvågning er kommet uden for domstolenes kontrol eller er udsat for en for sen domstolskontrol dvs. domstolskontrol når overvågningen har fundet sted. Dermed er der reelt ikke nogle, der vogter over dem, der overvåger. Det kan misbruges og hvis det misbruges, vil det skabe voksende usikkerhed hos dem, det går ud over. 11. Sammenhænge Alle informationer kan bevidst eller ubevidst tages ud af en sammenhæng og give et forkert billede af den borger, som informationerne vedrører uanset om informationerne er indsamlet via overvågning eller ej. På den måde kan man altid blive draget til ansvar for alle elementer af informationer om en selv. 13

14 Churchill har engang illustreret problemerne med dette ved at sige: Min værste politiske modstander er mine tidligere udtalelser. Er det f.eks. rimeligt, at man en dag til en jobsamtale skal konfronteres med et fest- eller nøgenbillede fra et socialt netværk og forsvare disse handlinger, fysiske udtryk eller sammenhænge? Informationer, der er indsamlet via overvågning kan imidlertid være mere problematiske end de informationer, man selv har givet netop fordi de typisk ikke vil optræde i den sammenhæng, som man selv troede man gav dem i altså i en uovervåget tilstand. F.eks. kan man fremsætte et henkastet udsagn til en kollega om en anden kollega. Udsagnet kan være formuleret med en ekstra betoning for at få en pointe frem i en samtale, uden at man nødvendigvis ville forsvare udsagnet i alle henseender. 12. Der er altid noget galt Man kan altid finde noget mistænkeligt på folk, hvis man leder længe nok, fordi alle har på et tidspunkt gjort et eller andet forkert. Richelieu har engang sagt: If one would give me six lines written by the hand of the most honest man, I would find something in them to have him hanged. 13. Sikkerhed Overvågning kan skabe tryghed på den korte bane ved, at man fanger terrorister og voldsmænd (hvis man altså gør det). Men på længere sigt og efterhånden som overvågningen bliver mere og mere omfattende og højttalere en dag fortæller os, at vi ikke må pille næse eller smide et cigaretskod i det offentlige rum eller surfe ind på bestemte hjemmesider vil trygheden umærkeligt blive til utryghed hos borgerne. Utryghed over, om borgerne nu opfører sig som dem, der vogter dem, gerne vil have. Det er derfor relevant at gøre folk i stand til i det daglige at foretage deres egen lille risikoanalyse for, hvordan de vil beskytte sig og det gælder såvel beskyttelse mod vold som mod overvågning. Argumenter imod privacy På trods af de indlysende grunde til at beskytte borgernes privatliv er der typisk en række argumenter imod privacy, som det naturligvis er værd at inddrage i debatten, når man skal vurdere for eller imod privacy. 1. De har noget at skjule Et at de hyppigst anførte argumenter imod privacy er: Jeg har ikke noget at skjule, så jeg behøver ikke at være bange for overvågning. Og dette argument forsætter ofte med: Hvis du er bange for overvågning, så må du have noget at skjule. Disse argumenter omfatter ikke dét, privacy egentlig handler om. Privacy handler om at foretage en risikovurdering i forhold til, hvem man kan dele hvilke data med herunder også data, der automatisk indsamles af det offentlige. Privacy handler ikke om at skjule noget, som man måske mener er fordækt eller direkte ulovligt. Hvad angår det fordækte skjuler de fleste mennesker noget: Dagbøger, sex med deres 14

15 partner, måske ligefrem utroskab, toiletbesøg, økonomisk situation, lægebesøg, terapi, indkøbsvaner og måske politisk eller religiøs overbevisning. Hvad angår det ulovlige er det naturligvis urimeligt at skjule sådan noget og modstanden mod overvågning er ikke en forsvarstale for at kunne skjule dette. Privacy handler om selv at have retten til at bestemme, hvem man vil dele informationer med og så foretage en risikoanalyse, der vurderer, hvem der kan få hvilke data hvornår og hvor længe. 2. De er reaktionære Privacy-tilhængerne får ofte at vide, at de er reaktionære og modstandere af teknologisk udvikling. Det er måske tilfældet for nogle men bestemt ikke alle og i særdeleshed ikke forfatterne bag denne bog. Teknologier kan hjælpe mennesker på uendeligt mange måder. De kan effektivisere den offentlige og private sektor, de kan sikre os en fortsat fornuftig udvikling i produktivitet og konkurrenceevne og de kan skabe større sikkerhed. Men forudsætningen for det er, at teknologierne implementeres på en sådan måde, at der netop ved implementeringen tages højde for beskyttelse af privacy. Der er masser af eksempler på, at teknologi ikke er implementeret hensigtsmæssigt. Vi har i indledningen nævnt planerne for den kommende digitale signatur. Vi kunne også nævne områder som skatteopkrævning, receptserveren og roadpricing. På disse områder findes der glimrende eksempler på, at teknologier ikke er implementeret, så der tages hensyn til privacy. Dette kunne være sket ved at anvende nogle af de tanker og teknologier, som beskrives senere i denne bog. Disse systemer kan deles i to grupper: Dem, der er obligatoriske at bruge såsom skat og dem, der er frivillige at bruge eksempelvis sociale netværkstjenester. I det første tilfælde må man prøve at forklare de myndigheder, der indkøber en tjeneste, at de skal indkøbe den, så den tager højde for privacy. Borgerne kan jo ikke undlade at få deres data ind i denne type tjenester, og de kan ikke selv beskytte sig, fordi de ikke kan foretage en meningsfuld risikovurdering. I det andet tilfælde må vi lade det være op til borgernes egen risikovurdering, om de vil bruge de pågældende tjenester. Så anbefalingen går her på, at borgerne skal oplyse sig, inden de afgiver data og så på baggrund af deres egen intuitive risikovurdering beslutte, om de vil afgive data. Hvor mange borgere har f.eks. læst Facebooks brugerpolitik og kritisk taget stilling til den? 3. De gør mit arbejde besværligt og bureaukratisk Fra administrativ side er indvendingen mod privacy ofte, at arbejdet bliver mere besværligt, hvis man ikke kan se alle data om en borger eller en kunde. Opfattelsen er her, at jo flere data, man har, jo lettere kan man hjælpe klienten. Samtidig er argumentet, at klienten får en mere besværlig behandlingsgang, hvis data skal afgives igen. Bag denne opfattelse ligger en formodning om, at data om en klient skal være utilgængelige for den administrerende part. 15

16 For det første handler privacy ikke om, at data skal være utilgængelige hele tiden. Privacy handler om, at borgeren skal have kontrol med, hvornår data skal være tilgængelige for hvem. Det betyder, at data måske godt kan befinde sig hos den administrerende part i pseudonymiseret form og at linket til borgerens identitet derfor først skabes, når borgeren beslutter det for eksempel ved en sagsbehandling eller når der er lovhjemmel til at skabe et link mellem pseudonymet og borgerens virkelige identitet. På den måde behøver borgeren ikke afgive data flere gange. Samtidig kan borgeren opnå den tryghed, at der kun skabes identifikation, når han selv har givet lov (samtykke). For det andet ligger der også en opfattelse bag dette argument om, at borgerens data er til for sagsbehandlerens skyld og ikke for borgerens skyld. Dette udgangspunkt er privacy-tilhængere uenige i: Data er til for borgerens skyld og det må i udgangspunktet være borgeren, der ejer data og har kontrol med data, så borgeren kan forvalte sit liv som han ønsker inden for statens rammer. 4. De gør løsningerne dyrere og teknologien findes ikke Modstanderne af privacy hævder, at privacy er dyrt og at de teknologiske løsninger ikke findes endnu. På en række områder må vi konstatere, at teknologiske løsninger ikke findes endnu. Men på andre områder er der simpelthen bare ikke kendskab til, at løsningerne faktisk findes. Fra teknologileverandører hører vi ofte, at løsningerne findes, men ganske enkelt ikke efterspørges. De kan derfor ikke levere privacy med i deres leverancer, fordi deres løsning så vil tabe i konkurrence med andre udbydere. Derfor er det ofte et spørgsmål om at skabe et større kendskab til løsningerne blandt dem, der skal indkøbe dem. Det kan næppe afvises, at løsninger med privacy kan være dyrere end løsninger uden privacy. I mange tilfælde vil der være en pris, der skal betales. Men på den lange bane er privacy en fornuftig investering. Man kan ikke effektivisere uden privacy-løsninger, fordi trygheden ved systemerne vil være mindre. Der vil simpelthen være økonomiske effektiviserings-gevinster ved at få de privacy skeptiske borgere med på vognen. 16

17 17

18 Samfundets behov for privacy Af Henning Mortensen, DI ITEK (branchefællesskabet for it, tele, elektronik og kommunikation i DI, Dansk Industri) og medlem af Videnskabsministeriets it-sikkerhedskomité Digitaliseringen har grebet om sig som aldrig før og har ført mange gode ting med sig. Vi kan handle overalt i verden. Vi kan få informationer fra mange steder i verden. Forvaltningen er blevet effektiviseret, og vi kan ordne vores sager med myndighederne fra hjemmet. Vi kan ordne vores banksager fra hjemmet. Vores krop kan monitoreres af sensorer og kan selv gøre opmærksom på uhensigtsmæssigheder, inden det bliver til en reel sygdom. Virksomhederne kan udveksle ordrer sikkert og automatisk med hinanden, så produktionsflowet bliver optimeret. Vi kan bygge netværk med mennesker, som vi deler interesser med, men som befinder sig på den anden side af kloden. Digitaliseringen redder liv, sparer penge, giver os fantastiske oplevelser og giver os mere tid til at lave de ting, vi gerne vil! Det er alle sammen gode ting. Indsamling af data til administrative systemer Men digitaliseringen kan også have en bagside, hvis den ikke gennemføres fornuftigt og velovervejet. Hver gang vi bruger nogle af de systemer, som digitaliseringen giver os, er der en lille bitte risiko for, at de oplysninger, vi giver fra os, bliver misbrugt. Vi har allerede set en række eksempler på det i Danmark. DI ITEK samlede i begyndelsen af 2007 en række cases, hvor personlige oplysninger, der skulle have været bevaret som hemmelige, var sluppet ud ved forskellige fejl hos myndighederne 1. Virus på systemer der får patientoplysninger til at slippe ud 2. Medarbejdere ved politiet, der har søgt og lækket oplysninger om borgerne 3. Og fejl i kommunal administration, der kommer til at lække sagsbehandling om de svageste borgere i samfundet 4. De omtalte tilfælde er mindre fejl, der omhandler et fåtal af borgere, men som er nok så ubehagelige for de berørte. Et enkelt større datatab stammer fra det tidligere Århus Amt, som kom til at uploade informationer om borgeres sundhedsoplysninger på sundhed.dk 5. I udlandet har der været betydeligt større datatab. I Storbritannien har man mistet data i flere omgange. Først mistede skatte- og toldmyndigheden data på 25 millioner briter 6, og disse oplysninger er nu til salg på internettet. Herefter mistede de britiske myndigheder fangers personlige oplysninger 7. I Tyskland har telegiganten T-mobile mistet personlige oplysninger om 17 millioner kunder 8. I USA har TJX-kæden mistet mellem 50 og 100 millioner kreditkortoplysninger 9. Og endelig har skattemyndighederne i Norge mistet 4 millioner af borgernes personnumre 10. Disse eksempler illustrerer ganske klart, at der er en risiko for borgerne forbundet med, at data lagres centralt. Og det gør sig gældende, uanset om data lagres i den offentlige eller private sektor. Det er derfor vigtigt, at systemer indrettes på en sådan måde, at der tages hensyn til denne risiko set fra borgernes synspunkt. 18

19 Den samme risiko står virksomhederne overfor, uden at der af den grund er tale om, at det kun er personlige oplysninger, der kan slippe ud. Som udgangspunkt kan risikoen bedst elimineres ved, at borgerne selv er i besiddelse af data og giver de administrative systemer adgang til dem, når der er brug for dem. Sådan er de færreste systemer indrettet i dag. I stedet indretter man systemerne, så risikoen for, at der sker uheld eller uhensigtsmæssigheder minimeres set fra forvaltningens synspunkt. Generelt må man sige, at der er for lidt fokus på privacy, når der tages nye initiativer i Danmark. Digitaliseringsstrategien for Danmark 11 blev i første omgang fremlagt som en effektiviseringsplan, hvor der var lagt op til at samkøre informationer og etablere nye systemer uden hensyn til privacy. Efter pres fra Den Digitale Taskforce blev der imidlertid nedsat en tværoffentlig arbejdsgruppe, som fik til opgave at lave en skabelon for en privacy impact assessment (PIA) altså en analyse af, hvilken privatlivsbeskyttelse et givent system måtte tilbyde og teste denne i virkeligheden 12. Risikovurderingen og sikkerhedsaspekterne er som udgangspunkt indrettet således, at forvaltningen beskyttes og ikke hænges ud af Datatilsynet, som er den myndighed, der kontrollerer, at Lov om behandling af personoplysninger (Persondataloven) 13 overholdes. Sikkerhed for at beskytte myndigheden er god men det er altså ikke det samme som at beskytte sikkerheden for borgerne. Samtidig med at flere og flere data om borgerne registreres og behandles centralt, følger bevillinger og mulighederne ikke med til de myndigheder, der skal vurdere rimeligheden og lovligheden af behandlingerne. I perioden gennemførte Datatilsynet i gennemsnit 70 inspektioner årligt. Da der i dag er anmeldt 3600 dataansvarlige og databehandlere, betyder dette, at Datatilsynet kan foretage inspektion hos disse hvert 51. år 14. Hertil kommer, at det hævdes, at Tilsynet heller ikke kan engagere sig med vejledning i forhold til de parter, der måtte have ønske om det. Senest har Datatilsynet afvist Forbrugerrådets opfordring til at vurdere Facebooks brugerpolitik 15. Der er ikke tilstrækkelige ressourcer eller kompetencer til at deltage i internationalt arbejde udover Artikel 29-gruppen 16. Der er ikke mulighed for overordnet at få hjælp til vurdering af nye teknologier. Endelig er der ingen garanti for, at kvaliteten af de undersøgelser, som Datatilsynet foretager, er tilstrækkeligt grundig. Disse dele påpeges i Teknologirådets rapport, som belyser tingenes tilstand i flere europæiske landes datatilsyn 17. Overvågning En anden udviklingstendens er den stigende overvågning, som vi ser over store dele af verden. Internationalt er der siden den 11. september 2001 lagt stor vægt på at imødegå terror, og det har resulteret i en masse forskellige overvågningstiltag. Eksempler på danske tiltag inkluderer: Logningsbekendtgørelsen, 18 som sikrer, at alle trafikoplysninger i den danske del af internettet skal logges, så de efterfølgende kan bruges af myndighederne til at opklare forskellige forbrydelser. 19

20 Mulighederne for tv-overvågning i Danmark er blevet udvidet med den seneste ændring af loven fra Hertil kommer flere andre initiativer i terrorlovene fra 2002 og 2006, som udbygger politiets beføjelser, udvider PET, tager initiativer, som underminerer retsplejeloven og dermed retssikkerheden m.v. Advokatsamfundet 20 har kommenteret på de fleste af disse sager. Institut for Menneskerettigheder 21 har også været ret aktive og DI ITEK har skrevet flere høringssvar, som involverer de teknologiske aspekter 22. Eksempler på mange forskelligartede internationale tiltag inkluderer: FRA-loven 23, der er et eksempel på en svensk lovgivning, som påvirker danske borgere og virksomheder. I loven specificeres det, at den svenske myndighed, Försvarets Radioanstalt, kan overvågne udenlandsk telefoni og internet (herunder den danske), som switches eller routes ind over den svenske grænse, hvad der af tekniske årsager sker relativt hyppigt. Overvågningen omfatter såvel trafikinformation som selve trafikken. Det vil sige, at de svenske myndigheder kan se, hvem der udveksler information med hvem, og hvad selve informationen indeholder. Grundig visitation ved flyrejser på tværs af grænser er blevet mere og mere udbredt. I USA er Transportation Security Administration, som blev dannet efter den 11. september 2001 og er en del af Homeland Security 24, ansvarlig for at USA s transportsystem fungerer på sikker vis 25. I et informationssikkerhedsperspektiv betyder det, at de amerikanske grænsemyndigheder på vilkårlig vis kan få adgang til at analysere og eventuelt kopiere indhold fra en hvilken som helst bærbar computer, der bæres over grænsen ind i USA 26. Kameraovervågning i England er steget ganske betydeligt gennem tiderne. I 2006 var der 4,3 millioner overvågningskameraer eller et kamera for hver 14. indbygger 27. I henhold til The USA-PATRIOT Act fra 2001 skal der foretages biometrisk identifikation af alle personer, som rejser ind i USA 28. Fra EU er der idéer på bordet om ubemandede overvågningsdroner og andre overvågningstiltag, som kommer til at ramme alle Europas borgere 29. Dette blev i øvrigt foreløbigt støttet af Folketingets Europaudvalg stort set uden debat, fordi sagen blev behandlet som en orienteringssag 30. I EU s 7. Rammeprogram er der afsat midler til Detection of abnormal behaviour og Small area 24 hours surveillance 31. USA er i gang med at planlægge komplet satellitovervågning af eget territorium 32. Listen over sådanne initiativer, som berører stort og småt, men som alle er vedtaget for at dæmme op overfor terror, kunne fortsættes i en uendelighed. Alle disse tiltag er fra den udviklede og demokratiske del af verden. Hertil kommer alle de tiltag, som finder sted i verdens ikke-demokratiske regioner og de tæller faktisk stadig den største del af verden! Der skal naturligvis gøres en indsats for at dæmme op for terror, og i den betydning er initiativerne gode, fordi de øger borgernes sikkerhed i forhold til angreb på dem. Men samtidig reduceres borgernes sikkerhed, fordi den udbredte overvågning i meget høj grad indskrænker den sfære, vi har til privatliv. En række af de overvågningstiltag, 20

21 der sker, kan bruges til at danne profiler af, hvem vi er som mennesker. Det skaber en ny type risiko for borgerne, som kan mistænkes for ting, som de ikke selv føler, de har gjort. Vi har indledningsvist i denne bog gennemgået en række årsager til, at overvågning skal sættes i forhold til hvilket resultat, man kan opnå ved overvågningen. Et ekstra forhold, der bør vurderes, er, at den, der overvåger, også fortolker det, han ser eller de data, han sidder overfor. Det sker typisk uden at den der overvåges har mulighed for at forklare sig eller forsvare sig. Der bliver lagt en fortolkning ned over data som måske ikke er den korrekte. Hvis man ser en mand sidde på en bænk i en park med en tom ølflaske og en hund ved siden af sig, hvilken association får man så? Er det en mand, der er ved at drukne sine sorger over, at konen er gået og jobbet og huset mistet? Eller er det en mand, der tager et hvil mens han er ude og lufte hunden og har fundet en flaske, han vil aflevere i Netto på vej hjem? Hvis man finder et billede af en mandlig kollega i dametøj på en profil i et socialt netværk, er han så transvestit eller til udklædningsfest? Eller tænker man: Han er nok til udklædningsfest men han må kunne li at gå i dametøj, siden han har det på! Måske var festens tema dametøj, og kollegaen havde ikke andre valgmuligheder, hvis han ville med til festen. Den information kender man ikke, men man bedømmer eller måske endda fordømmer alligevel. De billeder, vi ser, får os til at konkludere ting, som ikke nødvendigvis er rigtige og årsagen er naturligvis, at vi ikke har perfekt information, men kun ser noget, der er taget ud af en sammenhæng. I den virkelige verden vil vi også have utilstrækkelig information, men vi vil typisk have lettere ved at gå direkte til kilden for det, vi ser. De, der overvåger, har også utilstrækkelig information. Hvis der er tale om mistanke om en kriminel handling, vil man måske være nødsaget til at overvåge længe for at være sikker i sig sag, således at man kan gå til domstolene. Men afgørende er det, at informationerne, som kommer ind gennem overvågning, i sig selv er utilstrækkelige, og at dem, der overvåges, typisk ikke har indflydelse på, hvordan de fortolkes. En tilsvarende analogi kan findes hos virksomheder. En virksomhed som LEGO vil måske gerne forske i den måde, børn leger på, og måske beskrive forskelle på de to køn. Hvis LEGO undersøger dette fra deres danske hovedkvarter i et engelsksproget land, vil nogle af nøgleordene i undersøgelsen være sex, som betyder køn, og child, som betyder barn. Undersøgelser, der inkluderer sådanne ord, vil typisk blive fanget af nogle af de børnepornofiltre, der findes. I værste fald kan noget sådant blive rapporteret til myndighederne, og en LEGO-medarbejder måske blive mistænkt for at have med børneporno at gøre. I lyset af denne overvågning er det naturligvis også værd at bemærke, om den overhovedet har den tilsigtede effekt: At begrænse muligheden for og mængden af terroranslag. 21

22 Der har været skrevet ganske meget om dette emne, og synspunkterne er både for og imod. En nyere interessant undersøgelse fra det amerikanske Homeland Securityprogram peger på, at vi faktisk ved alt for lidt om terroristers adfærd til at kunne forlade os på automatiseret overvågning 33. Vi kan simpelthen ikke finde terroristerne blandt alle de almindelige borgere, som vi overvåger selv om vi overvåger på alle mulige måder. Overvågning, som er rettet mod specifikke mistænkte, giver dog ofte gode resultater. Tilsvarende kan man efter at en kriminel handling har fundet sted gå tilbage og se på nogle af de data, man har indsamlet, og måske finde nogle mønstre i de kriminelles aktiviteter. Det er dog altid en overvejelse værd, om disse resultater står i rimelig balance med de skadelige effekter, som overvågningen har. Den samlede overvågning er gennem de senere år steget betydeligt, og verdens privacy-tilstand er dermed på vej mod det værre, ifølge Privacy Internationals årlige undersøgelse. Ifølge denne undersøgelse var Danmark i 2005 dårligere til at beskytte privatlivets fred end lande som Tyskland, Østrig, Polen, Frankrig og Italien. Danmark ligger i kategori med lande som Israel, Spanien, Argentina og Sverige 34. Privacy som menneskerettighed Privacy er ikke rigtigt defineret entydigt nogle steder hvilket kunne være ønskværdigt ud fra et rettighedsperspektiv. Der har dog været mange forsøg 35, og det ældste eksempel, som går direkte på privacy, stammer fra Louis Brandeis, som i slutningen af 1800-tallet beskrev det som the right to be let alone 36. Denne definition fanger imidlertid ikke hele risikoaspektet, som vi har set på ovenfor. Robert Ellis Smith, som er redaktør for Privacy Journal, har defineret privacy som det individuelle behov for et fysisk frirum, hvor vi kan vide os sikre for ikke at blive udsat for forstyrrelser, indtrængning, blive sat i forlegenhed eller blive holdt ansvarlig for vores handlinger og hvor vi gerne vil kunne kontrollere og vide tidspunktet for og måden hvorpå personlig information om os selv kommer til andres kendskab 37. Igen har vi ikke risikoaspektet og digitaliseringen med selv om den dog nok ville kunne afledes af denne definition. EPIC 38 skitserer den del af privacy, der vedrører personlige data, som værende den internationale konsensus, der vedrører retten til at indsamle, vedligeholde, anvende, videregive/transmittere og behandle personlig information 39. Her får vi for første gang digitaliseringen med, men mangler stadig risikobilledet. Den engelske tænketank, DEMOS, som forsker i demokrati og demokratiske principper, definerer privacy som: Privacy can best be understood as a protection against certain kinds of risks risks of injustice through such things as unfair inference, risks of loss of control over personal information, and risks of indignity through exposure and embarrassment 40. Hermed får vi risikoaspekterne med, men rettighedsaspekterne fra de tidligere definitioner er fraværende. Retsligt er beskyttelsen af privacy fastlagt i international regulering 41. Først og frem- 22

23 Vi kan simpelthen ikke finde terroristerne blandt alle de almindelige borgere, som vi overvåger selv om vi overvåger på alle mulige måder. Overvågning, som er rettet mod specifikke mistænkte, giver dog ofte gode resultater. Henning Mortensen 23

24 mest i FN s Verdenserklæring om Menneskerettigheder fra 1948, hvor det i artikel 12 hedder: No one shall be subjected to arbitrary interference with his privacy, family, home or correspondence, nor to attacks upon his honour and reputation. Everyone has the right to the protection of the law against such interference or attacks 42. Desuden er privacy fastlagt i Den Europæiske Menneskerettighedskonvention 43 fra 1950, hvor det i artikel 8, stk. 1, som omhandler Ret til respekt for privatliv og familieliv, hedder: Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance. Disse to formuleringer er rimeligt overensstemmende. Imidlertid har Den Europæiske Menneskerettighedskonvention en undtagelsesbestemmelse fra artiklens stk. 1 i artiklens stk. 2, hvor det hedder: Ingen offentlig myndighed må gøre indgreb i udøvelsen af denne ret, medmindre det sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd, for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller for at beskytte andres rettigheder og friheder. Både Verdenserklæringen og Den Europæiske Menneskerettighedskonvention indeholder også retningslinier for beskyttelse af ytringsfriheden. I den danske Grundlov reflekteres principperne også 44. Retten til at kommunikere fastslås i 72: Boligen er ukrænkelig. Husundersøgelser, beslaglæggelse og undersøgelse af breve og andre papirer samt brud på post-, telegraf- og telefonhemmeligheden må, hvor ingen lov hjemler en særegen undtagelse, alene ske efter en retskendelse. Og ytringsfriheden fastslås i 77: Enhver er berettiget til på tryk, i skrift og tale at offentliggøre sine tanker, dog under ansvar for domstolene. Censur og andre forebyggende forholdsregler kan ingensinde på ny indføres. Privacy i retslig praksis kan så udledes af det arbejde, der er sket i OECD 45, Europarådet 46 samt EU, og som er implementeret i den danske Lov om behandling af personoplysninger (Persondataloven), som tidligere er omtalt. Alle disse regulatoriske tiltag er grundlaget for, at man kan tale om privacy som en ret eller en menneskeret. Heraf følger også, at der er en række ulemper ved, at denne ret brydes, således som Tænk og DI ITEK har omtalt det tidligere i denne bog. Løsninger En række teknologiske løsninger kan dæmme op for privacy-problemerne og bidrage til at skabe sikkerhed både i forhold til en indsats imod terror og i forhold til risici for eksponering af data samtidig med at privacy bevares. Dermed er retten til privacy bevaret. Ved at lægge vægt på disse løsninger kan man altså få det bedste fra alle verdener. Disse løsningsforslag kan samtidig ses som en politisk ønskeliste til, hvad der skal 24

25 til på området. Listen kan også betragtes som en to-do-liste for myndigheder og virksomheder, der skal i gang med at implementere privacy. Det er en oversigt over de forskellige initiativer, som ITEK under DI arbejder på at få gennemført både i det danske samfund og internationalt. 1. Privacy by design Privacy kan designes ind i løsninger fra det tidspunkt, de bliver født. Et godt eksempel kunne være roadpricing-systemer. Formålet med disse er at få folk, der kører på vejene, til at betale for deres kørsel. På den måde kan man både få midler til vejsystemet, og man kan regulere trafikkens omfang og de ruter, der anvendes. Et sådant system kan indrettes på (mindst) to måder. I det ene scenarium er der i bilen en transmitter og en receiver 47. Transmitteren fortæller en satellit, hvor den befinder sig. Satellitten fortæller så bilens receiver, hvad det koster at køre der og en regning kan udskrives til bilens ejer på månedlig basis. Med denne løsning ved satellitten, hvor bilen befinder sig på ethvert tænkeligt tidspunkt. Hvis man lagrer og bruger satellittens data til andet end at udskrive regninger, kan man altså kortlægge bilens færden på ethvert tidspunkt. I det andet scenarium har bilen kun en receiver. Bilen modtager som i det første scenarium en pris på, hvad det koster at køre et bestemt sted hen. Men i stedet for at fortælle satellitten, hvor bilen befinder sig, trækkes der et beløb pr. kørt kilometer på et betalingssystem lokalt i bilen. Betalingssystemet kan fyldes op som et mobilt taletidskort på enhver tankstation, når man alligevel køber benzin. På den måde er der ikke nogen central registrering af, hvor bilen befinder sig på noget tidspunkt og man har dermed designet privacy ind i roadpricing-systemet fra starten. Når man politisk beslutter roadpricing og beslutter, hvordan det skal implementeres er det altså vigtigt, at man ikke kun har fokus på trafikpolitik, men også på de itpolitiske implikationer. Privacy skal designes ind fra starten, inden man bruger formuer på investering i en forkert infrastruktur, som invaderer borgernes privatliv, uden at det var nødvendigt for formålet om at indføre roadpricing. Der er blevet gjort opmærksom på behovet for sådanne tiltag fra mange sider. Først i Meta Group Research s rapport til Videnskabsministeriet om privacy fra marts 2005, hvor det bl.a. hedder: it could be valuable to establish a set of architecture principles for privacy, and to include the privacy requirements in the enterprise architecture work currently in progress under the Danish it architecture and software strategy 48. Videnskabsministeriets it-sikkerhedskomite har rejst sagen og vejledt ministeriet i forhold til, hvad der burde gøres 49. Samme råd er også givet via Privacyforum, som var en møderække af interessenter, der mødtes i Videnskabsministeriets regi 50. Sidstnævnte sæt af anbefalinger er udarbejdet af en lang række organisationer, som deltog i dette arbejde således også DI ITEK. De nærværende anbefalinger ligger meget tæt op af dette arbejde. 2. Privacy Impact Assessment En Privacy Impact Assessment (PIA) er en analyse af, hvilken privatlivsbeskyttelse et givent system måtte tilbyde. Analysen laves med det formål at undgå tab af tillid til 25

26 systemet fra brugerne. Analysen laves også for at kunne inddrage privatlivshensyn på et tidligt tidspunkt i et projekt, og for at sikre, at projektet lever op til lovgivningen. Men PIA bliver ikke bedre end de kriterier, der opstilles, og de spørgsmål, der stilles. Når man skal vurderer PIAers kvalitet, er det derfor vigtigt at se på: Om de giver reel compliance i den gængse fortolkning af loven. Om de anvender teknologiens aktuelle stade, som det så smukt er formuleret i EU s persondatadirektiv. Om de går videre end loven og opstiller ikke bare lovlige krav, men også rimelige ekstra krav som f.eks. at stille særlige krav til arkitekturen eller anvendelse af Privacy Enhancing Technologies (se punkt 3). På den måde kommer man til at se på ansvar, begrænsning i indsamling, formålsspecificering og brug herunder anvendelsesbegrænsning, nøjagtighed, sikkerhedsmæssig beskyttelse, åbenhed i forhold til praksisser og brugers ret til indsigt. Man kommer til at vurdere, om man har brugt de tidssvarende teknologier. Endelig kommer man til at vurdere, om de data, man indsamler, er nødvendige, og om det overhovedet er nødvendigt, at personer er identificeret, for at data kan anvendes. PIAen kan være tung at gå igennem. Der kan derfor argumenteres for at anvende en light-model ved marginale ændringer af systemer, hvor det ikke er en del af opgaven at indsamle flere eller andre personhenførbare data. Hvis der derimod skal indrettes et helt nyt system, er det en god investering at gennemløbe hele PIAen fra starten. Der er lavet grundige arbejder på dette område i de senere år. Således har både Canada 51, Australien 52 og England 53 nogle skabeloner, som der er værd at tage udgangspunkt i 54. Der er i Danmark på bl.a. DI ITEKs foranledning nedsat en tværoffentlig arbejdsgruppe, som skal lave et dansk udkast til en skabelon for PIA og desuden afprøve denne i praksis. Arbejdet er påbegyndt, og det forventes at skabelonen ligger klar i starten af Privacy Enhancing Technologies Privacy Enhancing Technologies (PETs) er en fællesbetegnelse for teknologier eller metoder, som giver privacy-beskyttelse. Typisk sættes disse teknologier eller metoder i en sammenhæng med andre teknologier, der ikke som udgangspunkt beskytter privacy. Ved at ændre den oprindelige teknologi eller lægge et nyt lag teknologi ovenpå, kan man bringe den oprindelige teknologi til at respektere privacy. Et eksempel kan illustrere dette. Radio Frequency Identification Chips (RFID-chips) har været kendt i mange år, men er blevet meget hypet de senere år vel nok mest, fordi FN har udpeget denne teknologi til at spille en central rolle i fremtiden. FNs vision er, at alle verdens ting skal have en RFID-chip på sig og så kobles på internettet, så vi kan få et internet af ting 55. Der findes flere forskellige typer RFID-chips, men den mest simple er en passiv chip, som modtager en ekstern energiimpuls fra en RFIDlæser på en bestemt frekvens og så svarer med et nummer. Hver gang den pågældende energiimpuls modtages, svarer chippen uanset hvem der afsender impulsen. Dette er smart, fordi hver eneste ting i verden kan have et unikt nummer, og dermed identificeres entydigt. Det har potentialet til at kunne effektivisere folks hverdag betydeligt, til 26

27 at forbedre sundheden og redde liv og til at effektivisere både den private og offentlige sektor. Der er imidlertid en privacy-udfordring: Hvis man kender nummeret på en chip, som man ved er i en bestemt borgers besiddelse, vil man principielt set kunne spore ham, hver gang han kommer i nærheden af en RFID-læser. Man kan imidlertid ændre chippen og tilføje en anden funktionalitet, således at chippen kun svarer på henvendelser fra de RFID-læsere, borgeren på forhånd har defineret og ikke fra nogen andre RFID-læsere. På denne måde vil en borger kunne få alle teknologiens fordele, uden at måtte leve med at få sin privacy krænket 56. Et andet centralt element blandt PETs er sondringen mellem de tre niveauer: Identifikation, pseudonymisering og anonymisering. Identifikation betyder, at sagsbehandleren i forhold til et datasæt ved, hvem data vedrører. I dette tilfælde står borgeren over for alle de sikkerhedsrisici, som vi ovenfor har berørt. Pseudonymisering betyder, at sagsbehandleren i forhold til et datasæt ikke ved, hvem data vedrører men er i stand til at finde ud af det med en dommerkendelse i hånden, hvis man mistænker den, som data vedrører, for at have gjort noget galt. I dette tilfælde står borgeren ikke over for nogle væsentlige sikkerhedsrisici, fordi mange faktorer skal spille sammen samtidig, før hans identitet kan afsløres. Hvis data slipper ud til uvedkommende, vil de kun i meget sjældne tilfælde kunne identificere ham. Dette skyldes, at det kun er få data, der er henførbare til én eneste person f.eks. en meget sjælden sygdom. Når borgeren selv har brug for at blive identificeret f.eks. ved et lægebesøg kan han til enhver tid skabe sammenhæng mellem sin identitet og data. Faktisk har borgeren mulighed for at lave flere identiteter i de forskellige sammenhænge, han optræder i. Anonymisering betyder, at sagsbehandleren i forhold til et datasæt ikke ved, hvem data vedrører og heller ikke har mulighed for at finde ud af det. I dette tilfælde står borgeren ikke over for nogle sikkerhedsrisici overhovedet. Men det er ikke optimalt for samfundet, for hvis sagsbehandleren har behov for at få fat i borgeren f.eks. som følge af mistanke om skatteunddragelse eller alvorlig sygdom er det ikke muligt. Borgeren kan ikke drages til ansvar for sine handlinger eller hjælpes. Løsningen er med andre ord at anvende pseudonymisering, fordi borgerens data ikke kan knyttes til hans identitet, hvilket minimerer hans sikkerhedsrisici og beskytter hans rettigheder samtidig med at borgeren kan drages til ansvar for de handlinger, han foretager sig i samfundet. Der er behov for at den offentlige sektor og særligt den del af sektoren, som står for indkøb af moderne teknologier får øjnene op for pseudonymisering og får afprøvet disse teknologier. I praksis er det ITEKs håb, at PIA-skabelonen kan bidrage til at åbne øjnene for denne gruppe af teknologier. 4. Forskning Det er som nævnt blevet hævdet, at vi ved meget lidt om, hvordan terrorrister agerer, og at overvågning derfor har en tvivlsom effekt. På samme måde ved vi meget lidt om, hvad borgerne ønsker sig af privacy, og hvor- 27

28 dan de ville reagere, hvis de havde information om, hvordan forskellige teknologier i virkeligheden er indrettet. Privacy-forskningen skal være tværvidenskabelig, teknologineutral, fri og uafhængig med forankring i både universiteter og erhvervsliv. Der bør dannes et institut til forskning i privacy. Instituttet skal have en fast bevilling og have mulighed for aktiv deltagelse i grundforskning og ansvar for uddeling af forskningsmidler, da denne form vil sikre konsistens og forankring over tid. Der bør laves et forskningsprogram dedikeret til privacy under det strategiske forskningsråd. Der er også et generelt behov for at øge opmærksomheden omkring privacy blandt forskere inden for andre discipliner. Når man f.eks. forsker i sundhedsforhold, er det vigtigt, at forskere ikke alene finder en løsning på en konkret sundhedsmæssig udfordring, men også overvejer, om løsningen kan gennemføres på en sådan måde, at privacy respekteres. Tilsvarende gælder det på trafikområdet, som roadpricing-eksemplet ovenfor har vist. Helt generelt skal privacy-overvejelser tænkes ind i tilrettelæggelsen af forskning, fordi problemstillinger om privacy går på tværs af teknologi og strækker sig over f.eks. samfundsfaglige, juridiske og humanistiske fagområder. 5. Netværk Privacy har generelt trange kår i Danmark. Der er behov for at forene de kræfter, som arbejder for bedre privacy i Danmark, således at indsatsen kan gøres mest mulig effektiv. Dette bør ske gennem dannelsen af en privacy-portal, som kan sikre delingen af relevant information blandt de forskellige aktører. Portalen kan være redskabet til at få etableret nogle ad-hoc-baserede netværk, som kan tage forskellige relevante emner op og sikre at der er fokus på privacy på den lange bane. Der er under Videnskabsministeriets it-sikkerhedskomité i 2008 taget initiativ til at få lavet et sådant redskab. I skrivende stund er arbejdet endnu ikke sat i værk, og vi kender derfor endnu ikke effekten af et sådant tiltag. 6. International indsats Mange danske organisationer og myndigheder deltager i det internationale arbejde med privacy. Som hovedregel har hver aktør sin egen dagsorden i disse fora, og der sker ikke koordination med andre aktører. Der er behov for at samle disse danske aktører og sikre udveksling af synspunkter, så aktørerne kan trække på samme hammel og i fællesskab kan få sat særlige danske synspunkter i debatten på den internationale dagsorden. Internationalt ville det også være nyttigt, hvis man kunne lave en fælles europæisk skabelon for en PIA. Dette ville bidrage til, at de forskellige europæiske lande kom tættere på en identisk fortolkning af persondatadirektivet. Med mere europæisk fælles fortolkning behøvede de forskellige europæiske datatilsyn ikke hver især bruge ressourcer på at fortolke forskellige tjenester som f.eks. Facebook 28

29 eller Google og teknologier som f.eks. RFID og biometri. I stedet kunne det ske centralt og harmonisk en gang for alle. Europæiske borgere kunne dermed føle sig sikre på, at deres data blev behandlet ens i alle europæiske lande hvad der i det mindste ville skabe større gennemsigtighed for borgeren. For virksomhederne vil det være en administrativ lettelse, at de ikke skal indrette systemer forskelligt afhængigt af, hvilket europæisk land de opererer i. Det må forventes, at persondatadirektivet på et tidspunkt i en ikke al for fjern fremtid skal revideres. Også i denne sammenhæng vil det være nyttigt, at danske interessenter kan tale sammen og få bragt danske synspunkter til Europa. 7. Awareness hos borgere Selv om teknologiske løsninger og metoder kan afhjælpe en del af privacy-problematikken, kan problemet ikke løses alene på denne måde. Der er behov for, at borgerne sættes i stand til at gennemføre deres egen lille risikovurdering, når de står over for et system eller en service, som ikke beskytter deres privacy. Borgerne bør f.eks. ikke ukritisk udlevere følsomme oplysninger til hvem som helst. Borgerne bør også have et sted, hvor de kan finde oplysninger om hvordan de skal beskytte sig mod bestemte typer af potentielle farer. Hvordan kan man f.eks. fornuftigt anvende Facebook eller andre sociale netværk 57? Hvordan kan man beskytte indholdet af sin kommunikation mod den svenske FRA-lovgivning 58? Hvordan kan man beskytte sin trafikinformation, når man går på internettet, mod den danske logningsbekendtgørelse 59? Formålet med dette er naturligvis, at borgerne ikke får dårlige oplevelser ud af at bruge de digitale medier som for eksempel at få stjålet deres elektroniske identitet. Blandt virksomheder og myndigheder bør der være fokus på at få skrevet og let kommunikeret privacy-politikker, så borgerne kan forholde sig til, hvorfor og hvordan data behandles, hvis de afgiver personlige oplysninger. Endelig kan man forholdsvis let få sat fokus på området ved f.eks. at afholde årlige privacy-konferencer eller uddele en privacy-pris til f.eks. teknisk forbilledlige løsninger, forbilledlig forskning eller særlig god politisk kommunikativ indsats på området. DI mener, at der er behov for en politisk indsats som dækker følgende områder: Der skal arbejdes på at få designet privacy ind i teknologiske løsninger fra starten. Der skal laves en skabelon for PIA og denne skal afprøves i praksis. Der skal arbejdes på at få fremmet anvendelse af PETs især pseudonymisering og dette skal testes i en praktisk case. Forskningen i privacy skal styrkes og opmærksomheden omkring privacy blandt forskere skal generelt forbedres. Der bør skabes et redskab til at lave netværk og dele information blandt de professionelle på privacy-området. Der bør ske en koordination blandt de aktører, som er aktive på privacy-området internationalt. Der er behov for at sætte borgerne i stand til at vurdere deres risici og beskytte deres privacy. 29

30 noter 1) Privatlivets fred ikke i Danmark? 2) p ) og /43723?cid=4&q=datatab&sm=search&a=cid&i=4&o=13&pos=14 4) p. 79 5) t&sm=search&a=cid&a mp;amp;amp;amp;amp;amp;amp;amp;i=4&o=4&am p; 6) s=11 7) 8) 9) 10) 11) 12) Privacy+og+digital+forvaltning.htm. 13) Loven er baseret på Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data, 14) 15) &pos=1. 16) Artikel 29-gruppen består af repræsentanter for EU-landenes respektive Datatilsyn og er nedsat i overensstemmelse med databeskyttelsesdirektivet, 17) 18) 19) 20) 21) 22) 23) Regeringens proposition 2006/07:63, En anpassad Försvarsunderrättelsesverksamhet, regeringen.se/content/1/c6/07/83/67/2ee1ba0a.pdf. 24) 25) Mere information om TSA på 30

31 26) fi-laptops26, og 27) 28) 29) 30) 31) Begge emner er beskrevet i det 7. rammeprogram for forskning, Cooperation, Security, call 1, initiativ: SEC og SEC , CooperationDetailsCallPage&call_id=34#infopack. 32) 33) 34) 35) Et af de mest sprogligt svulstige eksempler findes hos det engelske parlamentsmedlem William Pitt som i sin tale ved Excise Bill I 1763 skrev: The poorest man may in his cottage bid defiance to all the force of the Crown. It may be frail; its roof may shake; the wind may blow through it; the storms may enter; the rain may enter - but the King of England cannot enter; all his forces dare not cross the threshold of the ruined tenement, Privacy & Human Rights, udgivet af EPIC, 2003, p ) Samuel Warren and Louis Bradeis, The Right to privacy, 4 Harvard Law review, (1890), citeret fra Privacy & Human Rights, udgivet af EPIC, 2003, p. 2 og 6. Originalteksten kan findes her: louisville.edu/library/law/brandeis/privacy.html. 37) Robert Ellis Smith, Ben Franklin s Web Site 6 (Sheridan Books 2000), citeret fra Privacy & Human Rights, udgivet af EPIC, 2003, p ) EPIC står for Electronic Privacy Information Center, og er formodentlig USA s mest indflydelsesrige privacyorganisation. 39) 40) 41) Bemærk at nogle af disse dokumenter er juridisk bindende, mens andre er politiske hensigtserklæringer. Typisk er konventionerne juridisk bindende. 42) 43) Originaltitlen er i oversættelse: Konvention til beskyttelse af Menneskerettigheder og grundlæggende Frihedsrettigheder og kan findes på selveemrk/. Den engelske originaltekst kan findes her: Html/005.htm. Kilden til denne er Europarådet, 44) 45) OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, oecd.org/document/18/0,2340,en_2649_34255_ _1_1_1_1,00.html. 46) Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data Convention, 47) Meget simplificeret sender en transmitter data og en receiver modtager data. 48) Privacy Enhancing Technologies p. 37. Rapporten er ikke længere at finde på Videnskabsministeriets hjemmeside, men kan findes omtalt her: 31

32 49) 50) 51) 52) 53) 54) DI ITEK var tidligt ude og opstillede på baggrund af Europarådet, OECD og EU s arbejde en række kriterier for privacy ( tillige med en række spørgsmål for hvordan disse kunne implementeres ( di.dk/nr/rdonlyres/f51d1507-c979-4c30-993f-e5b9e96d68fd/0/godprivacypraksis.pdf). Dette var det første arbejde på området i Danmark. Det må i dag vurderes, at de udenlandske arbejder i det mindste i forhold til compliance går videre end DI ITEKs arbejde. 55) 56) I Danmark har bl.a. Forbrugerrådet og DI ITEK i regi af Teknologirådet lavet en aftale om, hvordan man på fornuftig vis implementerer RFID-teknologi i Danmark, pdf. 57) Først og fremmest bør man tænke sig om og ikke lægge oplysninger ud, som man senere kan komme til at fortryde. Internettet husker principielt set alt. En meget kortfattet liste med gode råd kan findes hos Datatilsynet, 58) Løsningen er kort fortalt at kryptere al følsom og fortrolig kommunikation. 59) Løsningen er at installere et netværk, som skjuler trafikinformationerne. Fællesbetegnelser for denne type netværk er onionrouting eller mixnets. Et eksempel herpå er TOR-netværket, 32

33 33

34 Facebook og forbrugerne Af Anette Høyrup, jurist i Forbrugerrådet, medlem af it-sikkerhedskomitéen og Rådet for it- og persondatasikkerhed Facebook er i dag det mest populære sociale netværk og har revolutioneret den måde, man kommunikerer på internettet. I dag har over 1 million danskere en personlig profil på siden. Profiler som i større eller mindre grad rummer personlige oplysninger om den enkelte bruger. Med nye teknologier opstår nye markeder og dermed nye måder at tjene penge på. For brugeren er tjenesten gratis, men forretningsidéen bag Facebook og andre internetbaserede tjenester bygger på indsamling af mest mulig viden om flest mulige brugere. Det skyldes den kolossale økonomiske værdi, det har for virksomhederne at eje databaser med adgang til brugerens individuelle profiler, der kan videresælges og udnyttes kommercielt. Jo mere virksomheden ved om den enkelte, jo større er muligheden for at lave målrettet markedsføring. Facebook er blot et eksempel på den ekstreme indsamling af oplysninger, som internettet har åbnet for. Andre tjenester som f.eks. søgemaskinen Google bygger på en lignende forretningsmodel. Men så længe man ikke har noget at skjule, er der vel ikke et problem? Argumentet ovenfor er typisk. Forbrugerrådet frygter imidlertid, at markedet for persondata er så uigennemsigtigt og ukontrolleret, at det er umuligt for forbrugerne at overskue konsekvenserne af denne omfattende indsamling og udnyttelse af private oplysninger. Oplysninger på Facebook Allerede ved tilmeldingen starter indsamlingen af oplysninger om brugeren og dennes venner idet Facebook beder om password til éns private . Derefter henter Facebook s i brugerens adressebog for på vegne af den nye bruger at sende invitationer til Facebook. Disse adresser beholder Facebook også på de personer, der ikke er en del af Facebook og som aldrig har givet tilladelse til denne indsamling. Så snart brugeren lægger oplysninger ind på siden og i sin profil, via de grupper, vedkommende tilmelder sig eller på vægbeskeden overgår de til Facebook. Facebooks brugerbetingelser Som det fremgår nedenfor er det ikke småting, brugerne må acceptere for at benytte Facebook. Ifølge vilkårene giver brugeren Facebook en uopsigelig, evig, ikke-eksklusiv, overførbar, fuldt betalt, global licens (=adgang) til at bruge, kopiere, opføre offentligt, vise offentligt, omformatere, oversætte, uddrage (helt eller delvist) og distribuere dette brugerindhold til ethvert formål, kommercielt, reklamemæssigt eller øvrigt, på eller i forbindelse med websiden eller promovering heraf, til at udarbejde afledte værker af dette 34

35 brugerindhold, eller indarbejde det i andre værker, og til at bevillige og bemyndige underlicenser af ovenstående. (Anvendelsesvilkår af 23. september 2008) Facebook oplyser, at de ikke hævder noget ejerskab af dit brugerindhold hvilket må betyde, at samtykket alene giver Facebook en slags evig brugsret til oplysningerne. Ifølge betingelserne er det også muligt (om end svært i praksis!) at fjerne sin profil fra siden, men ifølge betingelserne anerkender du dog, at firmaet kan beholde arkiverede kopier af dit brugerindhold. Hvad kopierne skal bruges til, fremgår imidlertid ikke. Benytter man applikationer (små softwareprogrammer som spil, animerede fødselsdagshilsner, vittigheder) breder indsamlingen af personlige oplysninger sig til at omfatte indsamling til tredjemand altså til Facebooks samarbejdspartnere. Ifølge Facebooks statistikoplysninger er der tilknyttet firmaer, som sælger applikationer til siden og mere end 95 procent af alle brugere har som minimum åbnet én applikation. Modtager man for eksempel en intelligenstest eller tilmelder man sig et stamtræ, udveksles brugerens data fra Facebook til de firmaer, som udvikler applikationerne. Men det stopper ikke dér. Brugeren må også acceptere, at udvikleren også indhenter oplysninger om éns venner i netværket. På den måde multidobles antallet af profiler, som tredjemand får råderet over. Hvilke oplysninger indsamles? Nogle af de personlige oplysninger, der bliver indsamlet, er for eksempel navn, alder, status, interesser, fysiske form, datingprofiler, venner og bøger. Men det er også oplysninger, som man giver indirekte ved at læse om bestemte emner. Selv om Facebook gør meget ud af at understrege, at de ikke videregiver din og privat adresse (men kun alle andre oplysninger!) er disse oplysninger ofte let tilgængelige via andre kanaler som telefonbogen eller elektroniske søgemaskiner. Facebook-siden kan indeholde: Dit navn, dit profilbillede, dit køn, din fødselsdag, din fødeby (by/stat/land), nuværende bopæl (by/stat/land), din politiske overbevisning, dine aktiviteter, dine interesser, dine musikalske præferencer, tv-shows som du er interesseret i, film som du er interesseret i, bøger som du er interesseret i, dine yndlingscitater, teksten i din om mig -sektion, din civilstatus, dine datinginteresser, dine forholds interesser, dine sommerplaner, din tilknytning til Facebook-brugernetværk, din uddannelse, din arbejdserfaring, oplysning om dine fag, kopier af billeder i fotoalbum på din Facebook-side, metadata relateret til fotoalbum på din Facebook-side (f.eks. tidspunkt for upload, albummets navn, kommentarer til dine billeder osv.), det samlede antal beskeder, du har sendt og/eller modtaget, det samlede antal ulæste beskeder i din indbakke på Facebook, det samlede antal prik, du har sendt og/eller modtaget, det samlede antal vægpost på din Wall, en liste over kortlagte bruger-id er til dine Facebookvenner, din sociale tidslinje og begivenheder forbundet med din Facebook-profil. Beskyttelse af privatlivet Mange forbrugere mener, at indsamling af personlige oplysninger ikke er et problem, så længe man ikke har noget at skjule. Forbrugerrådet mener, at man skal have ret til at vælge, hvad man deler med hvem, til hvilket formål og hvor længe. Retten til privatliv handler i bund og grund ikke om at kunne eller ønske at skjule 35

36 noget. Privatlivsbeskyttelse er en grundlovssikret rettighed, som sikrer, at man kan bevæge sig frit og ubevogtet rundt, hvilket understøtter ytringsfriheden og dermed demokratiet. Hvis man konstant kigges over skulderen ved enhver bevægelse eller ytring, er der stor risiko for, at man begrænser sig og dermed udøver selvcensur. En undersøgelse om overvågning på arbejdspladser fra oktober 2008 konkluderer, at næsten 90 procent af medlemmerne hos HK/Handel oplever overvågning på arbejdspladsen. Eksperter vurderer, at dette kan medføre stress. Konkrete sager om Facebook Selv om Facebook bare er for sjov bliver det meget virkeligt, når den virtuelle verden blander sig i éns virkelige verden. Uanset at udviklingen er forholdsvis ny, har der allerede vist sig flere problemer i kølvandet på Facebooks succes og den til tider ukritiske brug heraf. I efteråret 2007 lancerede Facebook et nyt annonceselskab, Beacon. Gennem Beacon indsamlede Facebook oplysninger om, hvilke film, sko, bøger, cd er og meget andet, brugerne købte. Oplysningerne kom fra Facebook s samarbejdspartnere, der blandt andet tæller internetboghandlen Amazon og filmtjenesten Blockbuster. Oplysningerne om indkøbene blev sendt som besked til alle i den pågældende persons Facebook-netværk sammen med et billede af den pågældende. På den måde kom Facebook-brugerne til at annoncere for de produkter, de havde købt. Ret smart set fra et markedsføringssynspunkt men stærkt problematisk såvel juridisk som etisk. Heldigvis sagde brugerne af Facebook i dette tilfælde selv stop. De oprettede protestgrupper på nettet, og til sidst fik det Facebooks direktør til at standse den nye praksis og undskylde. I sommeren 2008 lagde en svensk læge et operationsbillede og oplysninger om en patient ud på Facebook, og omtalte patienten nedsættende. Lægen var ikke klar over, at materialet var tilgængeligt for alle. Flere kendte mennesker har fået stjålet deres identitet (fået kopieret billeder og tekst) på ét socialt netværk og er herefter blevet placeret på et andet. Med den konsekvens, at børnebørnene mailede med en hacker på Facebook i stedet for med bedstemor. Det er også kommet frem, at skilsmisseadvokater følger med i modpartens Facebook profil for derigennem at finde frem til snavs, der kan bruges i retten. En amerikansk undersøgelse fra september 2008 viser, at knap hver fjerde arbejdsgiver vurderer potentielle medarbejdere gennem deres Facebookprofil. Der tjekkes blandt andet for stavefejl og kigges på festbilleder. Ifølge undersøgelsen har 34 procent af arbejdsgiverne valgt at droppe en potentiel medarbejder på baggrund af de informationer, de finder på Facebook eller MySpace. Dertil kommer løbende historier om Facebooks sikkerhedsbrister, som eksempelvis hackere, som får adgang til brugernes pc ere, orme, der spreder virus og Facebooks skyld i øget udbredelse af spam. Kontrol med egne oplysninger Selv om vi formentlig kun har set toppen af isbjerget, er Forbrugerrådet ikke mod- 36

37 Et socialt netværk er et onlinemødested, der giver mulighed for at få kontakt med gamle bekendte og dele oplevelser og erfaringer med familie og venner. Kontakten sker via beskeder, i grupper og ved brug af underholdende applikationer som spil, test og animerede hilsner. Anette Høyrup 37

38 standere af Facebook eller andre sociale netværk. Tværtimod rummer den teknologiske udvikling mange nye fordele for brugerne. Men uanset internetmediets lyksaligheder, er det Forbrugerrådets opgave at kæmpe for de forbrugere, der også i en digitaliseret verden vil bevare retten til privatliv. Vi mener ikke, prisen for internettjenester som eksempelvis Facebook bør være vores privatliv. Tværtimod er det Forbrugerrådets holdning, at forbrugerne skal kunne kontrollere deres egne oplysninger, bestemme hvem, der skal have adgang til hvad og hvor længe. Når teknologi og forretningsmodeller udvikles, bør privatlivsbeskyttelse, som kontrol med egne oplysninger, være indarbejdet i selve den tekniske løsning (også kaldet privacy by design ). Kontrollen kunne eksempelvis bestå i, at éns oplysninger automatisk blev slettet både hos udbyderen og samarbejdspartnere, hvis ens profil havde været inaktiv i en vis periode eller at man selv kunne trække oplysningerne tilbage. Facebook i strid med dansk lovgivning Flere af Facebooks forretningsmetoder strider efter Forbrugerrådets opfattelse mod dansk lovgivning. Det er blandt andet ikke tilladt at give samtykke på vegne af andre og altså bør brugeren ikke kunne acceptere, at Facebook indsamler oplysninger om deres venner. Samtykkekravene herhjemme er skrappe forstået på den måde, at det skal være konkretiseret, så brugeren kan gennemskue, hvad éns oplysninger bliver brugt til. Facebooks meget generelle og uhyre vidtgående samtykke bygger på det modsatte princip, nemlig en adgang til at kunne udnytte personoplysninger til hvad som helst, dele dem med hvem som helst og i øvrigt til evig tid. Det sidste krav strider mod det grundlæggende princip om, at data kun må gemmes, så længe der er en saglig begrundelse for det. Det forhold, at forbrugeren accepterer samtlige betingelser ved automatisk at give samtykke ved brug af Facebook, bør ikke medføre, at knap 1 million danske forbrugere underlægges amerikansk lov. For det første kan forbrugere ikke fraskrive sig grundlæggende beskyttelsesregler via et generelt og ubegrænset samtykke, som det Facebook indhenter. For det andet selv hvis et samtykke kunne indhentes generelt ville det være helt urimeligt at mene, at forbrugerne skulle kunne overskue konsekvensen heraf. Det er umuligt med Facebooks meget lange, kringlede og til tider helt uforståelige anvendelsesvilkår. Urimelige aftalevilkår på internettet Aftalevilkår på internettjenester er et generelt problem for forbrugerne i dag. Dels fordi de er komplicerede at forstå, dels fordi den tid, det tager at sætte sig ind i dem, ikke harmonerer med behovet for den fleksible her og nu-adfærd, brugeren har på nettet. Kun de færreste brugere læser betingelserne, og selv om de gjorde, ville de stadig skulle acceptere dem alle for overhovedet at kunne benytte tjenesten. Forskere fra Carnegie Mellon University konkluderede i en undersøgelse fra oktober 2008, at det alene i USA vil koste 652 milliarder dollar i tabt arbejdsfortjeneste om året, 38

39 hvis internetbrugere læste privacy-samtykkeerklæringer, inden de accepterede vilkårene for tjenesten. Forbrugerrådet finder derfor, at løsningen er at stille krav til aftalevilkårenes indhold, så forbrugeren uanset om vilkårene læses eller ej sikres et vist minimumsbeskyttelsesniveau. Det kan enten ske ved, at de nationale myndigheder eller EU-Kommissionen sikrer, at nationale- eller EU-regler overholdes eller man kan indføre en certificeringsordning, som man eksempelvis kender fra det danske e-mærke, som godkender e-handelsbutikker. Forskellige regler i USA og EU Facebook er et amerikansk ejet medie, men hjemmesiden Facebook.dk er skrevet på dansk og målrettet danske forbrugere. Desuden har Facebook kontor i Europa, hvilket alt sammen taler for, at EU-persondatareglerne som minimum bør finde anvendelse. Det europæiske persondatadirektiv hviler på nogle fornuftige grundprincipper om at begrænse indsamling af oplysninger til saglige formål og om at sikre forbrugerens samtykke inden videregivelse. Formålet er at beskytte den svage part individet over for staten eller virksomheder. I USA gælder der ikke samme begrænsning, og det er betænkeligt, hvis den tilfældighed, at internettjenesten er placeret på en server i USA, kan ophæve EU s beskyttelsesregler. Det er vigtigt at gøre opmærksom på, at reglerne ikke er til hinder for etablering af sociale netværk eller at personer, der ønsker at dele oplysninger på internettet, frit kan gøre dette. EU-lovgivningen er blot med til at sikre, at forbrugeren stadig har hånd i hanke med sine oplysninger. Datatilsynet vil ikke blande sig Forbrugerrådet bad i august 2008 om Datatilsynets vurdering af Facebooks aftalevilkår herunder en afklaring af hvilket lands regler, der finder anvendelse ved brug af siden. Desuden bad vi myndigheden oplyse, hvilket tilsyn og klageinstans de danske forbrugere kan forvente gælder, såfremt internettjenesten falder udenfor de danske myndigheders hænder. I oktober 2008 kom svaret. Datatilsynet afviser at gå ind i sagen, da man ikke på nuværende tidspunkt finder anledning til at rejse sagen af egen drift og da man afventer en udtalelse om sociale netværk fra det europæiske datasamarbejde, den såkaldte Artikel 29-gruppe. Sammen med Institut for Menneskerettigheder kritiserede Forbrugerrådet denne tilbagemelding, blandt andet ved at pege på bemærkningerne til persondataloven, som fastslår, at danskere, som går på internettet herhjemme, men får deres oplysninger registreret i et land uden for EU, er omfattet af dansk lov. Forbrugerrådet frygter, at områdets kompleksitet medfører, at de danske myndigheder giver op over for den teknologiske udvikling og blot krydser fingre for, at forbrugerne selv håndterer situationen bedst muligt. Brugere af sociale netværk skal naturligvis tænke sig om, inden de lægger materiale ud på internettet. Men virksomhederne har et etisk ansvar og en juridisk forpligtelse til 39

40 at respektere brugerens privatliv ud fra de grundlæggende principper, der gælder i dag. Og myndighederne har en tilsynsopgave, der skal løftes. På samme måde, som Forbrugerombudsmanden på forbilledlig vis har håndteret udfordringerne ved e-handel på tværs af grænser, og Videnskabsministeriet løbende har sat fokus på it-sikkerhed, burde Datatilsynet spille en langt mere aktiv rolle over for udbydere af internettjenester, så privatlivsbeskyttelse ikke blot hører fortiden til. Forbrugerrådets fokus fremover I skrivende stund afventer vi udtalelsen fra Artikel 29-gruppe. I Artikel 29-gruppens rapport om søgemaskiner fra april 2008 konkluderede gruppen, at den amerikanske søgemaskine Google er underlagt dansk lov. Det har blandt andet fået den konsekvens, at Google er blevet pålagt som standard at slette brugernes søgedata efter 6 måneder. Googles tilbagemelding herom vurderes for tiden af Artikel 29-gruppen, men Google er indstillet på at begrænse det tidsmæssige omfang af brugernes søgehistorik. Forbrugerrådet vil fortsat sætte fokus på sociale netværk og andre internettjenester med det formål at sikre forbrugernes rettigheder i den digitale verden. Der er behov for en bred debat og medvirken fra mange aktører. Facebook Connect Connect er Facebooks nyeste bud på målrettet markedsføring. Facebook Connect giver brugerne mulighed for, gennem Facebook, automatisk at logge på flere hjemmesider. Brugeren slipper for at huske kodeord til de pågældende hjemmesider, men til gengæld kan Facebook følge med i, hvad man foretager sig på internettet. Derudover giver den nye funktion mulighed for, at brugerne kan se, hvad deres venner på Facebook laver, når de færdes på nettet. For ligesom med Beacon vil der blive sendt besked til alle i éns Facebook-netværk om, hvad man foretager sig på de hjemmesider, Facebook samarbejder med. I stedet for at få en besked, hver gang éns venner køber noget, som Beacon gjorde, bliver der sendt beskeder, når én i netværket f.eks. besøger et andet socialt netværk eller en online-spiludbyder, som Facebook samarbejder med. Facebook og deres samarbejdspartnere indsamler på den måde mere viden om dig og dine venner, så de bedre kan målrette markedsføring direkte til dig. Spørgsmålet om, hvordan eller om Facebook har tænkt sig at indhente personligt og specifikt samtykke fra sine brugere, står stadig hen i det uvisse. 40

41 41

42 Big Brother eller Big Mother Af Hans Jørgen Bonnichsen, tidl. operativ chef i PET Danmark er et land, der er gennemsyret af tillid. Det er årsagen til, at Danmark er et af de rigeste, frieste og lykkeligste folkefærd i verden. Det er et dejligt budskab, som vi hører gang på gang fra internationale undersøgelser. Vi labber det i os som små hunde, der æder chokoladekringler. Men er det sandheden? Er det ikke mere den, at der er ved at ske en kursændring? Vi bevæger os væk fra denne fornemme tillidskultur og i retning mod en stigende mistillidskultur. Det interessante bliver at se, hvilken indflydelse det får for opfattelsen af udviklingen af vort samfund. Et er dog givet. Positivt bliver det næppe. Helt banalt kan du teste, dit samfunds tillid til dig ved at gå en tur på posthuset og sende kroner til din søn, dit barnebarn, Dansk Røde Kors eller Kræftens Bekæmpelse. Faktisk ligegyldigt til hvem (bortset fra Politi og SKAT) og du vil blive afkrævet billedlegitimation. Det kunne jo værre, at du, eller dem du sender penge til, er potentielle støtter af terror, som PET skal have muligheden for at se nærmere på. Så langt rækker tilliden til dig. Så langt rækker tilliden til den faktisk meget lovlydige majoritet af den danske befolkning. Hvem bruger oplysningerne? Hvad bruges de til? Der vides meget lidt om det eller for den sags skyld om, hvem der reelt er under mistanke og frem for alt, hvad effektiviteten af de mange nye initiativer egentlig er. De absurde initiativer Der har altid været sund fornuft i, at der skal vises dokumentation for at modtage penge, pakker og andre aktiver. Jeg havde dog aldrig drømt om, at jeg også skulle vise dokumentation for at komme af med penge. Jeg ville gerne overveje min holdning over for dette absurde og mistillidsvisende initiativ, hvis det var et effektivt og fornuftigt efterforskningsmiddel. Men enhver, der blot har minimumsindsigt i terror og terrorbekæmpelse, ved, at erfaringerne fra terrorhandlingerne i Madrid og London har vist, at finansieringen af disse aktioner har kostet henholdsvis og dollar. Udgifter, der kan dækkes gennem hashsalg eller anden ordinær kriminalitet eller for den sags skyld opsparede lommepenge. Mordet på Theo van Gogh i Holland kostede formentlig under 100 dollar. Mobiltelefoner, håndvåben og ingredienserne til fremstilling af bomber koster ikke en formue. Det er lige så åbenbart, at hvis det drejer sig om finansiering af terrorbevægelser rundt omkring i verden, er det nok ikke postkontoret i Struer, Sønderborg eller Slagelse, som hr. Jensen eller hr. Hussein bruger. Der er masser af andre muligheder for at undgå denne tåbelige, tidsbelastende metode. Det er mistillidsskabende, ligesom det er med PETs frie adgang til alle passagerlisteoplysninger fra danske lufthavne. Tanken om, at jeg måske risikerer at blive registreret og komme i PET s søgelys, fordi jeg et antal gange har sendt penge til et barnebarn, der er ngo er i Afghanistan eller fem gange indenfor det sidste halve år er fløjet til Islamabad for at besøge en forretningsforbindelse er 42

43 ubehagelig. Men det er resultatet af lovgivernes iver efter resolutte initiativer i terrorbekæmpelsen. Vi har desværre set lovindgreb, som ville have været utænkelige før den 11. september Love, der mistænkeliggør os alle, i stedet for at koncentrere sig om de ganske få, det drejer sig. Frygt som årsag Hver eneste terrorhandling i Europa har medført en øjeblikkelig politisk reaktion med strammere lovgivning. Terrorpakkerne kan for mange virke logiske, da det er vor sikkerhed, det drejer sig om. Men længslen efter sikkerhed er en farlig illusion. Vi burde vide, at en hundrede procents sikkerhed er en vrangforestilling, der måske findes hos enkelte af vore lov og orden-politikere. Ikke engang et totalitært system er i stand til at sikre en sådan tilstand. Paradoksalt nok er masser af mennesker alligevel villige til at betale prisen for en sådan usikker forsikring ved at opgive beskyttelsen af privatlivets fred og vore retssikkerhedsgarantier. Årsagen er utvivlsomt frygt. Denne ældste og stærkeste følelse, der med god grund er den første følelse, som beskrives i Biblen, da Adam smides ud af Paradiset. Frygten kan være et effektivt redskab til at holde orden i et samfund. Den er desværre blevet et trumfkort, der kan bruges, så alle hensyn viger. Jeg har i min bog Hånden. En PET- og politikrønike (Politikens Forlag, 2006) givet udtryk for mine betænkeligheder, blandt andet ved at opgive domstolskontrollen ved PET s indhentning af passagerlisteoplysninger og ved PETs frie adgang til oplysninger i det offentlige, socialforvaltninger, hospitaler, fængsler og biblioteker og selv til personfølsomme oplysninger om væsentlige sociale problemer og rent private forhold, uden at forvaltningsmyndigheden har muligheden for at vurdere, hvorvidt der foreligger en konkret begrundet mistanke, og slet ikke at få noget sådant prøvet ved en domstol. Det er helt unødvendige initiativer i forhold til at forebygge og opklare terrorinitiativer. PET kunne efter de gældende regler få de oplysninger, man havde brug for, men selvsagt ved prøvelse af den begrundede mistanke. Nu svækkes retssikkerheden ved at have opgivet domstolskontrollen. Det har ingen fortjent eller får gavn og glæde af. Der er ingen politikere, der kan give en fornuftig begrundelse for, hvorfor de har givet afkald på et retssamfunds adelsmærke, domstolskontrollen. Argumenterne har været på så lavt et niveau som frygten for tidsspilde. Der er altså en dybere mening med domstolskontrollen og domstolenes virke end at være tidsspilde for PET og dets virke. I de gamle bestemmelser fandtes der allerede regler, der tog højde for tidsspilde, men dog stadig sådan, at PET efterfølgende skulle i retten for at få en godkendelse. Det er en meget vidtgående lovgivning. Den ville formentlig aldrig kunne gennemføres i USA, der om nogen har en hård tilgang til bekæmpelsen af terror. Grænsen blev her nået, da Bush-administrationen ville give efterretningstjenesterne adgang til at inddrage personer, der havde adgang til folks hjem (rengøringspersonale, VVS-ansatte, viceværter, postbude osv.) og til bibliotekernes lånesystemer. En massiv folkelig modstand gjorde at disse initiativer modvilligt blev taget ud af den amerikanske terrorpakke: The Patriot Act. En sådan folkelig modstand oplevede vi desværre ikke i Danmark. Endnu flere krænkelser Der er mere af samme skuffe. Hvis PET har en dommerkendelse på en mistænkt person, 43

44 er det nu muligt at overvåge alle de kommunikationsmidler, den pågældende bruger, uanset hvem de tilhører. Det kan være arbejdsgiverens, familiemedlemmers, kammeraters og tilfældige bekendtes telefoner eller internetadgang. Det skulle man tidligere have særskilt kendelse på. Det betød, at du over for retten skulle begrunde, at der var særlige årsager til, at netop den pågældende telefon eller internetforbindelse skulle aflyttes. Det er ikke længere nødvendigt. Derved kommer aflytningen til at berøre en bredere kreds, de fleste helt udenfor mistanke, da de mere eller mindre tilfældigt befinder sig i periferien af den mistænktes omgangskreds. Retfærdigvis skal dog nævnes, at indgrebene langt senere end 24 timer skal forelægges for en dommer nemlig på et tidspunkt, hvor krænkelsen af dit og mit privatliv har fundet sted over en længere periode (normalt cirka 30 dage). Jeg er i dag påpasselig med, hvem jeg låner min telefon og min internetadgang til. Argumentet fra Justitsministerens side var, at det skulle lette PET s arbejde, så man ikke skulle bruge kræfter på at rende i retten hele tiden. I de 9 år, jeg har været i PET, har dette aldrig været et reelt problem, bl.a. fordi, der altid har eksisteret en mulighed for, at hvis der var risiko for at øjemedet ville forspildes ved ophold for at afvente rettens kendelse, kunne indgrebet gennemføres, og først senere men inden for de næste 24 timer forelægges retten. Domstolskontrollen har i mine 41 års politivirke været, ikke alene garanten for retssikkerheden, men også kvalificerende og disciplinerende og en uundværlige støtte for et seriøst udført politi- og efterretningsarbejde. Det farlige net Et andet af de mange initiativer, som er diskuteret meget i IT- og telebranchen, er logningspligten, Siden den 15. september 2008 er alle tele- og internetudbydere i Danmark pålagt logning af vore aktiviteter via telefonerne og internettet. Påbuddet gælder også hoteller, kroer og campingpladser, og de har følt det som et alvorligt brud på de grundregler, der gælder for deres service over for deres kunder, samtidig med at de mangler ekspertisen til den påbudte opgave. Et bestyrelsesmedlem i hotelejernes faglige sammenslutning har sagt, at denne overvågningsopgave er som at tvinge klejnsmede på weekendjob som hjernekirurger! Logningen betyder, at når du telefonerer til venner og bekendte, når du læser Politiken. dk, ser på billige tilbud, søger efter madopskrifter, ser på storbarmede blondiner, søger oplysninger om terror eller film og teateranmeldelser eller sender en , så bliver du registreret. Registreringen vil bestå i oplysninger om, hvem du på et givet tidspunkt har været i forbindelse med, men intet om indholdet af kontakten. Et andet formildende element i initiativet er, at det kræver en domstolskendelse for PET at få adgang til disse registreringer Danmark har gennemført den mest vidtgående lov i EU på dette område. Det betyder, at der i øjeblikket skal logges cirka 60 milliarder gange i løbet af et år. Det svarer til 30 milliarder A-4 sider med rent tekst. En høstak uden lige, hvor nålen bliver svær at finde. I gennemsnit vil hver dansk borger registreres cirka gange om året. Tallene vil i årene fremover stige til astronomiske højder. Udspillet er af eksperter blevet kaldt digitalt idioti. I stedet for at koncentrere sig om de få, ser vi igen, at tendensen breder sig til at registrere eller mistænkeliggøre alle. Lovgivningen er i øvrigt gennemhullet som en si. Små boligforeninger, kollektiver, 44

45 bibliotekerne og uddannelsesinstitutioner er undtaget. Da det betyder at 37 milliarder det er over 50 procent af de forventede 60 milliarder logninger ikke kan finde sted, så er den efterforskningsmæssig værdi svær at få øje på. Og så kan man i øvrigt på nettet hente gratis programmer, så man kan omgå de nye logningsbestemmelser. Danske ingeniører og dataloger har udtalt, at de kan omgå systemerne og slette deres digitale spor. Fhv. Justitsminister Lene Espersen har udtalt i et folketingssvar: Det skal i den forbindelse også bemærkes, at det i sig selv kunne give anledning til at øge politiets opmærksomhed på en person, hvis politiet under efterforskning af en konkret sag konstaterer, at den pågældende har forsøgt at omgå reglerne om logning. Alene tanken om, at jeg som den lovlydige borger, jeg betragter mig som kan risikere at blive stillet spørgsmålet om, hvorfor jeg ikke er logget de gange om året, blot fordi jeg vil værne om min privatliv, skaber for mig usikkerhed og utryghed. Sikkerhedsforanstaltninger må aldrig udvikle sig til et stykke absurd teater. Oplysningerne kan bruges af andre Når der indsamles oplysninger om folk, opstår der et behov for at bruge dem. Det skete, da udenrigsministeriet ganske enestående gennemførte den største evakuering i nyere tid af 5873 danske borgere i Libanon i juli Krigen mellem Israel og Hizbollahmilitsen gjorde det farligt at forlade Libanon på egen hånd, så Danmark satte ind med færge, fly og hjælpepersonale. Det skabte respekt i Mellemøsten og er formentlig et af de fornemmeste konkrete kontra-terrorinitiativer jeg kender, hvor Danmark viste, at det ikke er dem og os, men os! Der var straks nogle politikere, der kom i tanke om, at passagerlisterne kunne bruges til at finde ud af, om der var nogen, der lavede socialt bedrageri. Risikoen er altid til stede for, at oplysninger, der er relevante ét sted, kan bruges et andet sted, hvor de egentlig ikke har noget at gøre. Sådan vil det også være med logningerne af vore aktiviteter på nettet og via telefonerne. Logningsreglerne skaber nemlig en enestående mulighed for at finde ud af, hvad der interesserer den danske befolkning: hvilke behov, hvilke kommunikationsmønstre og hvilke tider og steder, der er de mest anvendte. Mulighederne for forskning, men også for markedsføring og private økonomiske interesser er legio, og kan hurtig blive en millionforretning, der kan bruges også illegalt! Det hørte engang til privatlivets fred, om jeg ville dele sådanne oplysninger med andre. Desværre må jeg nok konstatere, at det ser ud, som om vor gamle ide om privatlivets fred ikke eksisterer længere. Det er passé med de vilde og dystre forestillinger om overvågningssamfundet, som i 1949 blev beskrevet i George Orwells bog Han fik os til at gyse ved tanken om, at alle menneskers bevægelser kunne overvåges af teleskærme. Som et led i statens forsøg på at skabe os tryghed i forhold til kriminalitet og terror er vi i dag, næsten som det unge par i bogen, tvunget til at acceptere den stigende overvågning Vi har billiget, at sådan må det nødvendigvis være. Gyset fra 1984 er væk, men jeg tror desværre ikke, at vi er klar over, hvad der venter os. Det er god grund til at se med skepsis på sikkerheds- og overvågningsmuligheder frem mod år 2015 og dens fristelser. Mulighederne er ekstreme. Jeg skal blot nævne genetiske vacciner, der kan regulere og eliminerer uacceptabel adfærd, og sikkerhedschips, der kan implementeres under huden til identificering og overvågning af os. 45

46 Ved ikke nok om terrorens metoder Vi er godt på vej mod en ophævelse af privatlivets fred, og efter min opfattelse på vej ned ad en sliske, hvor lovgiverne har bidraget med den grønne sæbe, der forcerer hastigheden. EU s tidligere justitskommissær har iværksat et initiativ, hvor han vil have undersøgt, hvordan vi teknisk kan forhindre mennesker i at bruge eller søge efter farlige ord som bombe, dræb, folkemord eller terrorisme på Internettet. Hvad hvis man f. eks fordømmer den slags ting på nettet, er nysgerrig, eller skriver en bog, en gymnasiumeller universitetsopgave om emnerne? Hvem kan og skal så bedømme, hvad der er lovligt og ikke lovligt? Efter min opfattelse udvises der igen en rystende naivitet og mangel på kendskab til terroristernes fremgangsmåder. Og desværre med den konsekvens, at det er et skridt tilbage for ytringsfriheden og den frie oplysning, som Danmark ellers påstås at være bannerfører for! EU-kommissionen foreslår efter krav fra USA også, at oplysninger fra flypassagerer om de rejsendes fulde navne, adresse, regningsadresse, kreditkort -adresse, medrejsende og særlige ønsker i forbindelse med flyrejser skal registreres. Tidligere justitsminister Lene Espersen fortjener ros for at have modvirket, at kørestolsbrugere skulle gøres til genstand for særlig sikkerhedsopmærksomhed. Forslagene skal nu godkendes i alle 27 EU-lande og vil være i brug i løbet af 3 år. Det næste bliver, at danske tog- og færgerejsende kan se frem til at blive afkrævet en række personlige oplysninger, hvis de bestiller billetter til andre lande inden for EU. Der bygges bjerge af unødvendige oplysninger. Alt sker ved en urimelig argumentationsform. Vil du hellere have terror end overvågning. Optagelsen af et digitalt foto og et fingeraftryk er allerede i dag vort første møde med USA. Disse biometriske data, der kan bruges til at genkende og konfirmere vor unikke og entydige karakteristika, lægges sammen med 30 millioner andre årlige besøgendes foto og fingeraftryk i en kæmpe database. Det er ikke den eneste amerikanske database, vi risikere at blev registreret i. En anden udgøres af et af verdens mest sofistikerede søgesystemer, der bl.a. er baseret på oplysninger fra netop flyselskabernes passagerlister. Analyserne og sikkerhedsvurderinger af dig og mig kan opbevares i op til 40 år. Vi vil aldrig få lov til at se, hvad myndighederne konkluderer om os. Vi vil aldrig få svar på, hvorfor man gentagne gange bliver udtaget til ekstra sikkerhedstjek. Vi vil ikke vide, om det er rigtige, forkerte eller misforståede oplysninger, der påkalder os sikkerheds- og efterretningstjenesternes interesse. De fantastiske og rystende muligheder Amerikanske estimater fortæller, at 40 til 200 milliarder dollars i de næste mange år vil blive brugt på sikkerheds- og overvågningsindustrien. Udviklingen er uhyggelig klar. ITteknologien vil være i stand til at kende os personligt, den vil indprente sig vore vaner, vores smag og vore behov. Den vil gerne vide, hvor vi er, hvem vi er sammen med og hvor vi skal hen. Jeg kan med mine 41 års efterforskningserfaring se både de fascinerende, men også rystende efterforsknings- og overvågningsmuligheder, der er i denne udvikling. Det kræver en høj grad af balance mellem politiets behov og borgernes ret til privatliv og retssikkerhed. Det kan blive et efterforskningsmæssigt dilemma. 46

47 Vi har desværre set lovindgreb, som ville have været utænkelige før den 11. september Love, der mistænkeliggør os alle, i stedet for at koncentrere sig om de ganske få, det drejer sig. Hans Jørgen Bonnichsen 47

48 Privatlivet, som vi kender det i dag, vil risikere at forsvinde. Oplysninger om din helbredsstilstand, om hvad du køber, hvem du taler med, hvad du tror på og tænker kan sælges til højest bydende. Sommerens skandaler i Tyskland har været krænkelser af privatlivets fred. Det store tyske telefonselskab Telekoms kontrol af, hvem visse medarbejdere havde været i forbindelse med over deres mobiltelefoner, og supermarkedskæden Lidls hemmelige videoovervågning af deres medarbejder er kendte krænkelser. Men øjenåbneren for det tyske folk blev offentliggørelsen af historien om, at 1,5 millioner kundedata med adresser og bankforbindelser cirkulerede frit på markedet, og at denne form for handel med personoplysninger var blevet en millionforretning. Først da begyndte den tyske befolkning at bekymre sig og spørge, om de også var i skrupelløse datamisbrugeres vold, og om deres identitet var stjålet, ligesom der blev set en ekstra gang på kontoudskrifterne fra bankerne. Netop identitetstyveri er i dag i USA den stærkeste voksende kriminalitetsform, der har skadeeffekt for millioner af mennesker hvert eneste år. 30 millioner mennesker vil i løbet 2008 på en eller anden måde få stjålet deres identitet. Identiteterne bliver brugt til kreditkortsvindel, indkøb på nettet og andre former for almindelig kriminalitet, men også til de mere alvorlige forbrydelser som dokumentfalsk f.eks. ved fremstilling af falske pas til brug for terror og illegal indvandring m.v. Jeg har en gang i mit liv fået stjålet mit pas. Det dukkede op i Sverige flere år efter og blev sendt tilbage til mig. Det var en ret så uhyggelig oplevelse at se sin identitet overført til et andet menneske, hvis billede jeg kunne se i passet. Tanken om, hvad pågældende havde bedrevet i mit navn, og hvor disse aktiviteter var registreret, var særdeles ubehagelige. Det er uden for enhver tvivl, at vi vil blive utrolig sårbare over for misbrug af og manipulation med vor identitet og dermed krænkelser af vor intimsfære. Identitetstyverier vil vokse, salg af følsomme data vil være en lukrativ forretning. Salg, der kan bruges til alle former for kriminalitet, men også til karakterdrab. Koncerner, politikere, film, pop og sportsstjerner vil være under intens overvågning. Der bliver ikke megen plads til at skeje ud. Og hvis det sker, kan de være sikre på, at vi vil få det at vide. Det vil ske uanset lovligheden i bevissikringen og offentliggørelsen af de intime detaljer. De vil komme ud i et mediestormvejr, der kan koster kunder, kuldsejle karrieren og vælte taburetten. Det sidste kan måske få vore politikere til at vågne op og seriøst overveje, hvor langt vi vil gå, og huske på Benjamin Franklins vise ord: Den, der ofrer frihed for sikkerhed, fortjener hverken frihed eller sikkerhed. Loven som vores værste fjende Et flertal af politikere har ment, at den pris vi bør betale for det usikre begreb, der hedder sikkerhed, er tabet af frihedsrettigheder og privatlivets fred. Dette er sket i den bedste mening, og med borgernes stiltiende accept. I et forsøg på at dække vort umætteligt behov for tryghed er vi danskere åbenbart blevet vilde med overvågning. 8 ud af 10 danskere har i dag intet imod at det offentlige rum overvåges, og mere generelt er over 90 procent af den danske befolkning positivt stemt over for videoovervågning. Begrundelsen er, at den forebygger kriminalitet, øger trygheden og styrker politiets efterforskningsarbejde. Tendensen har været så klar, at nogen i dag taler om, at den negative frygt for Big 48

49 Brother nu er erstattet af de positive klare forventninger om, at staten nænsomt beskytter dig, så Big Brother is watching you nu er blevet til Big Mother is taking care of you. Er George Orwells vision og filmens konstatering af overvågningssamfundets tilstedeværelse noget vi har lært at leve med, og som vi accepterer fuldt ud? Er der overhovedet ikke længere grund til bekymring om overvågning? Standardindvendingen mod bekymringen formuleres som oftest som: Hvis jeg ikke har noget at skjule, har jeg ikke noget at frygte. Helt notabene har jeg tit tænkt på, om vi virkelig er blevet så grå, ensformede og kedelige, at der slet ikke findes små søde, spændende hemmeligheder et eller andet sted i klædeskabet. Men lad det ligge, for jeg ved jo godt, at mærkeligt nok har de samme mennesker sikkert stadig lukkede postkasser og gardiner for deres vinduer og ville blive rasende, hvis deres økonomiske forhold blev offentliggjort i Ugeavisen. Vi har en grundlæggende tro på, at de mennesker, der håndterer vore personfølsomme oplysninger og sidder foran skærmene, som overvågningskameraerne forsyner med billeder, altid er gode og retsindige mennesker. Det kan vi håbe på, men det kan jo også som jeg allerede har påvist være forbrydere, måske endog embedsmisbrugere. Vore lovgivere bør tænke længere end til nuet for vores og egen skyld og overveje om de er villige til at overlade administrationen af deres love til deres værste fjende? Det er efter min opfattelse ikke alene en falsk, men også en farlig antagelse at tro på, at hvis du ikke har noget at skjule har du intet at frygte. Man bør altid tænke på, at selv om der måske ligger de bedste intentioner bag f.eks. at modvirke og forhindre kriminalitet og terror så er det systemer, som politi- og efterretningstjenester, der skal administrere indgrebene, og der kan uanset hvor umulig tanken er også ske et politisk systemskifte. Jeg har fuld tillid til mine kolleger i dansk politi og i PET og til vore folkevalgte. Men systemerne kan i krisesituationer blive lagt under pres. Både hos vore politikere, men også i PET, hersker der en bestandig frygt for at blive beskyldt for, at man har svigtet sit ansvar. Alle ved, at hvis der skete et terrorangreb, vil det berømte spil om skylden The Blame Game starte senest på tredjedagen. Det afgørende spørgsmål vil være: Hvem har ansvaret? På denne baggrund er der ikke ret mange, der tør sige nej til mere sikkerhed og til flere beføjelser til politi og efterretningsvæsen. I en presset situation er det vigtigt at have et bolværk. Et skjold, der kan modstå de værste stød og de værste skader. Da nytter det ikke, at kriminalitets- eller terrorfrygten vejer tungere end retssikkerheden og krænkelserne af privatlivets fred. Et sådant bolværk kan kun opbygges i fredstid, og på en sådan måde, at der stadig er muligheder for at komme med nye initiativer, der kan modvirke og forhindre yderligere skadevirkninger. Den danske historie Vi bør, trods pres, had og hævnfølelse, forblive anstændige borgere med respekt for demokrati, retssikkerhed og menneskerettigheder og kæmpe for at disse idealer gælder for os alle. Der er alt for mange eksempler på specielt når had og hævnfølelse rejser sig at det modsatte kan ske i den pressede situation: Aktuelle sager om Abu Ghraib og Guantanamo-interneringslejren taler for sig selv. Vor historie er fuld af beretninger om, hvor galt det kan gå. Der er eksempelvis tre gange i den amerikanske historie sket interneringer af amerikanske statsborger. I 1919, efter at 8 bomber eksploderede i 8 ameri- 49

50 kanske byer, blev der interneret tusinder af personer med forbindelser til kommunistiske organisationer, og 100 af dem blev deporteret. Ingen kunne påvises at have forbindelser til bomberne. Under 2. Verdenskrig internerede Roosevelt personer af japansk etnisk oprindelse, mere end af dem havde amerikansk statsborgerskab. Ingen af de internerede blev sigtet for spionage eller sabotage. Efter den 11. september 2001 blev cirka femtusinde amerikanske statsborgere alle arabere og muslimer interneret. Her, syv år efter, er ikke én af de fem tusinde sigtet for terrorisme eller med rette mistænkt for, at de var en trussel for USA. Systemer har ingen samvittighed, og der er som påvist mange eksempler på dette. Det er endda eksempler fra de systemer, vi betragter som værende bannerfører for vore frihedsrettigheder. Vor egen danske historie er også fyldt med bitter erfaringer om, hvad pres og had kan medføre f.eks. interneringen af de danske kommunister under 2. Verdenskrig eller de 7746 tyske flygtningebørn i danske flygtningelejre, der døde af mave-tarm infektioner, dehydrering og børnesygdomme som mæslinger og skarlagensfeber. Sygdomme, der kunne være helbredt, hvis ikke den danske lægestand havde nægtet de tyske flygtninge lægehjælp. (Flygtninge og indvandrere , Forlaget Palle Fogtdal, 2008). Er det ikke at male fanden på væggen vil nogen spørge. Hvis det er tilfældet, er det nødvendigt! Det er altså grundlæggende værdier, vi taler om. Og spørgsmålet er, om vi ikke netop ved at give afkald på disse værdier bevæger os ud af den vej, som terroristerne ønsker. En vej, hvor vi giver køb på vore frihedsrettigheder, der er kronjuvelerne i det vestlige værdisæt. Vi kan ikke gennem lovgivning og krænkelse af privatlivets fred garantere nogen 100 pct. sikkerhed. Vore politikere burde erkende dette og være så ærlige, at de fortalte os sandheden at det ikke kan lade sig gøre. Det er risikabelt at leve. Folkelig mistillid vil ødelægge politiets arbejde Jeg er ikke imod en velafbalanceret overvågning, rettet mod mistænkte personer. Der kan være en god grund til at PET i sit vigtige arbejde får fornuftige, velovervejede redskaber, under den forudsætning at redskaberne er i balance med den eksisterende risiko og den er vel at bemærke ikke eksistentiel og at mistankegrundlaget er i orden, det vil sige retter sig mod grupper eller personer, der gennem deres handlinger har gjort sig fortjent til overvågning, og at indgreb mod disse kontrolleres af domstolene. Jeg må erkende, at det i det nuværende klima er svært at se, at et råb om demokratisk ansvarlighed og etisk ransagning af nye overvågningsinitiativer vil blive hørt som andet end et liberalt klynkeri, selv hos de liberale. Jeg synes, det er blevet for nemt at tæmme os i frygtens navn. Privatlivet og retssikkerheden er under pres, og tiden er inde til en dybere principiel diskussion om, hvor langt vi vil gå, før disse vestlige værdier kommer på udsalg. Det værste er måske, at nye overvågningsinitiativer og nye beføjelser til politi og efterretningstjenester på sigt vil skabe utryghed og ufrihed hos befolkningen. Jo mere, der åbnes op for overvågningsinitiativer, desto mere vil den offentlige forvaltning og borgerne tilpasse deres adfærd herefter. De vil passe på med de forkerte meninger og hvad der skrives i notaterne. Denne usikkerhed skaber gode vækstvilkår for mistænksomhed. Den vil ikke vende sig mod lovgiverne, men mod PET og politiet, og skabe mistillid. Mistillid har man ikke brug for i politiarbejdet og i en efterretningstjeneste, hvis man effektivt skal bekæmpe kriminalitet og terror. 50

51 Jeg tror faktisk på de internationale undersøgelser, der gang på gang har påvist, at Danmark er et land, der er gennemsyret af tillid, og at dette er årsagen til, at Danmark er et af de rigeste, frieste og lykkeligste folkefærd i verden. Det bør ikke ødelægges ved at fremme en mistænksomheds- og mistillidskultur. Der er fortsat tid til at bremse, før det bliver for sent. 51

52 52

53 del 2 Når overvågning ta r magten 4 scenarier, der beskriver overvågning og registrering på sundhedsområdet, på net og telefon, i den finansielle sektor og i det offentlige rum 53

54 scenarie 1 Sundhedssektoren Velkommen på forsiden Brud på sikkerheden i de offentlige sundhedsregistre fik store konsekvenser for tv-værten Kurt Strand, som pludselig kunne se sine mest følsomme sygdomsoplysninger på forsiden af et formiddagsblad og fik et nervesammenbrud. Af Erik Valeur, Tænk Stakkels Kurt, stod der i Ekstra Bladet en mild forårsfredag, og det var ikke en hvilken som helst dansker, der blev naglet til forsiden for noget, han troede var en privat sag og som derfor aldrig skulle have været til offentlighedens kendskab. Sagen begyndte, da den kendte tv-vært søsatte en serie programmer på DR 2 om datasikkerheden i det danske sundhedsvæsen Tre dage senere blev han selv offer for netop sådanne lækager, da han blev beskyldt for at være utilregnelig, idet hans egen foruroligende sygehistorie stod at læse i Ekstra Bladet sammen med et krav om, at han burde fjernes fra skærmen øjeblikkeligt. Selv om flere oplysninger ved nærmere eftersyn var mindst ti år gamle og skyldtes en helt ordinær krise oven på en skilsmisse og en rygskade efter et biluheld trak de en serie af afsløringer med sig de følgende dage. Derfor er tv-værten nu sygemeldt på ubestemt tid med nervesammenbrud. Også den diagnose kender offentligheden i dag takket være fornyet, uautoriseret adgang til tv-værtens elektroniske journaler. Sagen dag for dag I den første artikel om Kurt Strand konstaterede Ekstra Bladet, at tv-værten syntes at være ved at bukke under for arbejdspresset, fordi han fik ordineret store mængder Stilnoct og Stesolid som er sove- og nervemedicin. Efter politiets opfattelse blev denne oplysning ulovligt lækket til pressen af en praktiserende læge i Birkerød, som til daglig er nabo til en ledende redaktør på Ekstra Bladet. Lægen har erkendt, at han har printet informationerne ud fra den landsdækkende elektroniske Medicinprofil men siger, at redaktøren må have stjålet papirerne fra et havebord. Han kan ikke forklare sin interesse for DR-journalisten, som han ikke havde noget lægeligt forhold til. Kurt Strand havde på et tidspunkt i 2006 følt stress-symptomer ligesom titusinder af andre danskere og kontaktede derfor Hillerød Sygehus psykiatriske afdeling for at få et rutinemæssigt tjek. Her havde han helt tilbage i 1997 været under behandling for et 54

55 55

56 scenarie 1 Sundhedssektoren meget alvorligt sammenbrud som følge af et færdselsuheld og efterfølgende personlige problemer. Men lægerne beroligede ham: Der var ikke tegn på tilbagefald. De udskrev dog for en sikkerheds skyld et antal beroligende tabletter til den travle tv-mand. Hans hustru siger i dag, han aldrig tog dem. Ikke desto mindre blev de to tablettyper via den elektroniske Receptserver, der er den seneste udvidelse af Medicinprofilen, registreret i Kurt Strands personlige medicinprofil sammen med en lægefaglig bemærkning om, at han kunne risikere tilbagefald med henvisning til en tidligere indlæggelse. Og det var den oplysning, der havnede i formiddagsbladet. Derefter fulgte oplysningen om hans ti år gamle sygdomsforløb. En totalt gennemsigtig mand Journalisterne kan have haft adgang til en læge eller en sygeplejerske men det kan lige så godt have været enhver anden ansat i den enorme sundhedssektor. Strand forsøgte aldrig at blokere de følsomme oplysninger i sine gamle journaler og heller ingen nævnte muligheden for ham for han havde ligesom de fleste andre kun betragtet den elektroniske revolution i sundhedssektoren som et økonomisk fremskridt til gavn for patientsikkerheden og kortere ventelister. Utallige personer med tilknytning til sundhedssystemet kan have været inde og kigge i Strands elektroniske journal efter den første Ekstra Blads-forside. Alene i hovedstadsregionen viser de foreløbige undersøgelser, at mindst 20 sygeplejersker på et enkelt hospital Hillerød var så nysgerrige, at de slog tv-manden op uden anden grund end nysgerrighed. Dertil kommer uden tvivl, ifølge politiet, en række læger, jordemødre, fysioterapeuter, sygehusfarmaceuter, ergoterapeuter, diætister og andre ansatte med adgang til de samme intime oplysninger. På Herlev Sygehus afslørede man endda en portør, der under afhentning af en patient til en operationsstue havde lånt en håndholdt computer, en såkaldt PDA, af en narkoselæge og i en smøgpause havde skaffet sig adgang til journalsystemet. Han troede, det var tilladt. Og forleden erkendte en apotekerassistent på Byens Apotek i Brande at have været inde at kigge i den kendte tv-mands medicinprofil og at det var ham, der var årsag til den seneste nyhed i formiddagsbladet med overskriften: Hvor er Kurt efter Deadline? Nyheden der hentydede til en mulig kønssygdom blev senere afsløret som komplet misvisende, da den skyldtes en fejl i en apotekers indtastning i Strands medicinprofil. Et middel mod høfeber var blevet indtastet, som om det var et middel mod fladlus. 56

57 Apotekerassistenten havde i medicinprofilen for Kurt Strands hustru konstateret, at hun ikke var blevet ordineret et lignende middel og så var konklusionen klar: Strand måtte have holdt fladlusene hemmeligt, og da de små parasitter ofte overføres ved kønsakten, havde han formentlig erhvervet det ude i byen. Hem er forbryderen? Den sidste afsløring i Strand-sagen skyldes formentlig en hacker, der selv lagde oplysningen ud på en internet-side, hvis server ifølge politiet står i Shanghai. Hackeren havde fundet vej ind i Landspatientregistret, som danske læger har adgang til i særlige tilfælde. Her opbevares alle sundhedsoplysninger om hver enkelt dansker fra fødsel til død, og her fandt hackeren resultatet af en HIV-test, som Strand havde fået udført for år tilbage. Testen var negativ men sagen affødte alligevel nye, store overskrifter. En sag af den type er næsten umulig at opklare, siger kriminalpolitiet. Flere hundredetusinde medarbejdere i hospitalssektoren og tilknyttede sundhedsområder samt et halvt hundrede tusinde administrative medarbejdere i kommunerne, har adgang til de intime oplysninger. De to kontrolinstanser, Lægemiddelstyrelsen og Datatilsynet, har ikke kapacitet til at opdage og standse igangværende misbrug. Den elektroniske logning af alle, som kigger i elektroniske patientjournaler eller medicinprofiler, forstyrres af problemer, der har med de daglige arbejdsgange at gøre. I den spidsbelastede sundhedssektor er personlige firewalls og lange tidrøvende sikkerhedsprocedurer blevet til barrierer, der kræver tid og ressourcer, og som man derfor ophæver decentralt. Skal systemerne være hurtige og smidige, er der ikke altid basis for at anvende kodeord, kryptering eller digital signatur ved hver eneste søgning. Samtidig er hospitalernes PDA er ofte udlånt i de travle timer eller står blot tændt og logget på i et tomt kontor, hvor alle har adgang ligesom folk med ondt i sinde relativt nemt kan opsnappe kollegers passwords og gå ind i databaserne uden selv at efterlade spor. Efter en lyn-sagsbehandling er den første dom i sagen faldet. Den praktiserende læge, der fandt den første information om Strands nerve- og sovemedicin i Medicinprofilen, har fået en bøde på kroner og kan fortsætte som læge. En anden læge fik en bøde på Det kunne ikke bevises, at de selv havde videregivet oplysningerne. 57

58 Det foregående kapitel om Kurt Strand er opdigtet, men det kunne lige såvel være sandt. Kapitlet er inspireret af virkelige begivenheder. Det samlede scenarie er verificeret som sandsynligt af eksperter på sundhedsområdet. Kurt Strand medvirker frivilligt i kapitlet. På billedet har vi manipuleret med Ekstra Bladets forside og spiseseddel. Kapitlet om Kurt Strand bygger på virkelige begivenheder: I 2006 gik en overlæge og en praktiserende læge i Holstebro ind i den Personlige Elektroniske Medicinprofil og lod oplysninger fra 15 profiler sive til overlægens svigersøn, der var tv-journalist. De blev i september bragt i både DR og Ekstra Bladet. Lægerne fik i februar 2007 henholdsvis og kroner i bøde. Weekendavisen berettede 10. november 2006 om en svensk fagforeningsformand, der trak store avisoverskrifter efter et hjertetilfælde. Herefter opdagede man, at hen ved 20 sygeplejersker havde været inde og kigge i hans elektroniske journal. Seks af dem blev sigtet, men sagde, at de blot havde øvet sig på systemet og blev frikendt. Da den svenske udenrigsminister Anna Lindh i september 2003 blev stukket ned i Stockholm, gik flere uvedkommende ind i hendes journal. I Danmark modtog en ingeniør alvorlige trusler i en anonym henvendelse, der indeholdt flere data fra en offentlig database, fortalte DR s Orientering i marts De var fremskaffet af en politibetjent, der blev fyret. Truslerne fortsatte. Ingen kunne bevise, hvem oplysningerne var givet videre til. En kvinde i Holstebro fik ordineret et middel mod høfeber. I oktober 2006 opdagede hun til sin overraskelse, at der i den Personlige Elektroniske Medicinprofil stod: Til injektionsbehandling mod fladlus. Det var ikke umiddelbart muligt at rette fejlen. På Nordfyn fik omkring 60 mennesker i en lille by i 2002 anonyme breve med personlige oplysninger. De blev sporet til at stamme fra et indbrud i den praktiserende læges computer. 58

59 Patientjournalen og Medicinprofilen I den Personlige Elektroniske Medicinprofil opbevares oplysninger om hver enkelt danskers medicinforbrug via receptordination. Med en digital signatur kan man selv få adgang via hjemmesiden sundhed.dk. I den Elektroniske Patient Journal opbevares alle data om behandling i sundhedssektoren. Man har ikke selv mulighed for at rette eller slette i journalen. For og imod For en hurtig udbygning af de to systemer nævnes smidigere arbejdsgange og langt større mulighed for at undgå fejlmedicinering og fejlbehandling. Hvis ikke alle relevante sundhedsfaglige grupper kan få adgang, opstår der kaos. Koder, elektronisk sporing og sanktioner skal afværge misbrug. Imod en for hastig udbygning nævnes, at alt for store grupper får adgang til alt for mange følsomme data. Det handler i virkeligheden om et behov for øget arbejdstempo, styring af medicinudgifterne og overordnet økonomistyring. Kontrolinstanser har for få ressourcer, og når skaden sker, er det for sent. Nye teknologier, der beskytter borgernes privatliv, indtænkes ikke. 59

60 scenarie 2 It- og telesektoren Det store identitetstyveri En smædekampagne ramte i starten af august Venstres folketingsmedlem Ellen Trane Nørby, der blev offer for hacking og identitetstyveri, et spind af sladder på internettet og to ugers overvågning af Politiets Efterretningstjeneste. Af Erik Valeur, Tænk Det, der endte med grov tilsværtning og identitetstyveri og endda bortvisning fra hendes arbejdsplads, Folketinget begyndte helt uskyldigt. Efter rydningen af Ungdomshuset på Jagtvej i København i marts 2008 skrev Ellen Trane Nørby på sin personlige blog, at hun beklagede det triste forløb, der også viste Københavns Kommunes manglende evne til at skaffe faciliteter på ungdoms- og kulturområdet. Den 1. august blev hun i fortrolighed inviteret til et møde på Københavns Rådhus med henblik på at etablere en uformel kontakt til de autonome aktivister. Jeg synes umiddelbart, det lød temmelig utopisk, men ville ikke afvise en høflig indbydelse, som det i dag udtrykkes af Venstre-politikeren. Københavns Kommunes plan var at sammensætte en bred, tværpolitisk gruppe af yngre politikere, der kunne kontakte de unge og lokke dem ind i en fredelig forhandling. Men allerede på det første møde blev mæglerne uenige om fremgangsmåden og gik hver til sit. Og sagen kunne være endt dér. Men sådan skulle det ikke gå. I et fortroligt mødereferat, der blandt meget andet indeholdt intime detaljer om de unge aktivister, indsamlet og videregivet af politi og kommunale sagsbehandlere, kunne man læse Ellen Trane Nørbys begrundelse for at træde ud af gruppen: De unge havde under opgøret om Ungdomshuset stået for en massepsykotisk vandalisme, hvor de i et voldsorgie viste deres antidemokratiske sindelag. Ved en simpel tastefejl kom en kommunal embedsmand herefter til at lægge referatet ud på Københavns Kommunes hjemmeside i forlængelse af en dagsorden for et kommende møde i Borgerrepræsentationen, hvor de unges situation skulle drøftes. Her stod det fortrolige dokument i tre dage, før fejlen blev opdaget og da var det for sent. Linjerne var blevet læst af mange øjne, der bestemt ikke tog indholdet nådigt op. To dage senere begyndte en voldsom smædekampagne mod det unge Venstre-folketingsmedlem. 60

61 61

62 scenarie 2 It- og telesektoren De giftige mails Hen under aften den 7. august 2008 blev Ellen Trane Nørby ringet op af en god bekendt, der ville vide, hvad hun egentlig havde gang i. Han havde netop modtaget en mail, hvor hun i bramfri vendinger gjorde overborgmesteren i København ansvarlig for gadekampene på Nørrebro i marts. Ritt de unges Mareridt, lød mailens overskrift, og den var tilsyneladende sendt til samtlige navne i hendes adressekartotek, herunder også virksomheder og organisationer og tre fremtrædende Venstre-ministre. Ordlyden var jo så ejendommelig, at min ven reagerede, men jeg var bange for, at andre ville tage mailen for gode varer, siger Ellen Trane Nørby, der derfor straks sendte en forklaring og en undskyldning til alle i sit adressekartotek. Hun kunne ikke umiddelbart se tegn på indbrud i sit mailprogram der lå ingen falske mails i sendt-bakken og valgte derfor at tage det roligt og sove på episoden. Det var en fatal fejl. Næste morgen er der indløbet en stribe svar på mails, hun aldrig har afsendt, og som rummer langt mere giftigt indhold end den første. I én mail udtrykker hun støtte til militante gruppers voldelige kamp i Spanien og Peru, i en anden håner hun en folketingskollega, hvis datter stiller op til Europa-Parlamentet med ordene: Hvilken sjasket opdragelse, du må have givet hende. Flere modtagere tror, hun har været beruset men at der alligevel er et gran af sandhed i de ondskabsfulde beskeder, der er skrevet mellem klokken to og tre om natten. Ellen Trane Nørby gennemgår nervøst sin computer for tegn på flere lækager og går ind på sin Netbank-konto, hvor hun til sin lettelse konstaterer, at hendes sparepenge står urørt. I det øjeblik begår hun endnu en eklatant fejl. Da jeg fortalte det til en tilkaldt it-medarbejder fra Venstres partisekretariat, sprang han straks op fra stolen og ringede til banken men da var det for sent. Pengene var væk, som hun siger. Et spionprogram en såkaldt keylogger har opfanget og videregivet Ellen Trane Nørbys kodeord til netbankkontoen, i samme øjeblik hendes fingre rørte tasterne tidligere på morgenen. Den falske sekretær I dag kan it-specialisterne i store træk rekonstruere det forløb, der også anbragte Ellen Trane Nørby i centrum af en terrorefterforskning og i dag har sendt hende på rekreation på ubestemt tid. Mens den unge politiker har travlt med at afværge flere lækager sammen med Venstres sikkerhedsfolk, kommer dagbladet B.T. på gaden med en tophistorie, der angiveligt er 62

63 baseret på en solohenvendelse fra Ellen Trane Nørby. Den bærer overskriften: Ungt Venstre-håb forlader politik. Avisen har ikke talt med Ellen Trane Nørby selv, men har ringet på hendes mobilnummer og fået oplysningen bekræftet af en sekretær. Det er korrekt, siger sekretæren til bladet og tilføjer: Ellen holder Venstre ansvarlig for det mere og mere rå samfund, hvor de frie markedskræfter hærger helt uhæmmet. Hun er dødtræt af partiets øllebrødsbarmhjertige indstilling til erhvervslivet og de store kapitalfonde. Det citat fra Ellen Trane Nørby videregivet af sekretæren trykkes i avisen. Problemet er bare, at Ellen Trane Nørby slet ikke har nogen sekretær. Hendes mobiltelefon er uden hendes vidende blevet omstillet til et andet mobilnummer. Ifølge telefonselskabet er omstillingen sket fra hendes egen pc og med brug af hendes personlige koder. Ingen kunne senere spore indehaveren af det nye nummer, for der var tale om en mobiltelefon med taletidskort. I de mellemliggende timer er fortrolige opringninger og bekymrede sms er fra venner og familie herunder også en enkelt minister blevet afleveret på den ukendte hackers mobiltelefon. I dagene efter finder flere af disse beskeder vej til internettet og de mest saftige også til formiddagsavisernes forsider blandt andet en besked fra beskæftigelsesministeren, der har læst om hendes udmeldelse i B.T. og beskylder hende for højforræderi og ynkelig faneflugt. Spundet ind på Google I dagene efter forsøger politi og sikkerhedseksperter desperat at indkredse mail-hackeren men det første besøg er sket via et af byens utallige ubeskyttede, trådløse netværk (hos en helt uskyldig familie i Brønshøj), det andet fra en computer på Københavns Universitet, som er én blandt flere tusinde og derfor umulig at spore. Venstres sikkerhedsfolk arbejder hektisk på at lukke hullerne i Venstre-politikerens elektroniske liv. Men der er andre bagdøre, som moderne mennesker næsten glemmer. En sikkerhedsekspert spurgte mig, om jeg havde modtaget almindelig post for nylig og der var ganske rigtigt gået fire dage, hvor brevsprækken havde stået stille derhjemme, siger Ellen Trane Nørby. En forespørgsel hos Post Danmark bekræfter, at alle hendes breve og forsendelser via Post Danmarks hjemmeside er blevet omdirigeret til en poste restante-adresse, hvorfra de er blevet afhentet samme dag. Et privat brev fra en tidligere kæreste finder vej til flere avisredaktioner, der vælger ikke at trykke det men det gør til gengæld flere sladdersider på internettet. Selv om de mange rygter blandt venner, journalister og politiske kolleger fortløbende dementeres, er der ét sted, eksperterne ikke har en chance for at blokere og hvor alle oplysninger om Ellen Trane Nørby ubønhørligt hober sig op: på internettet. På syvendedagen for mailindbruddet (14. august) ligger både sande og falske informationer om Ellen Trane Nørby på talrige nyheds-sites og private hjemmesider, og time for time kommer flere til. Sladder blander sig med dementier rigtige og forkerte oplysninger filtres sammen i et uigennemskueligt spind og mængden af hits på Ellen 63

64 scenarie 2 It- og telesektoren Trane Nørbys navn alene i søgemaskinen Google vokser eksplosivt fra på første dag til om morgenen onsdag den 15. august. Herfra stiger det mod millionen. Ukendte personer har skrevet særlige artikler om sagen og stillet dem gratis til rådighed for nyheds-sites og online-diskussionsgrupper, blot på betingelse af, at de linker videre til endnu flere historier om politikeren. Mængden af links til og fra store, anerkendte hjemmesider er med til at sende sladderen videre opad i søgebaserne med raketfart. Fredag den 17. august indeholder alle de ti første links hos Google på en søgning i hendes navn opdigtede informationer om politikeren og de fem første er støtteerklæringer til organisationer, der står på EU s terrorliste. Terror-forbindelser Mandag den 20. august får Ellen Trane Nørby et sdste chok. Da hun tidligt om morgenen ankommer til Christiansborg, bliver hun standset af to af Folketingets egne vagter og forment adgang til Borgen. B.T. er udkommet med en vaskeægte sensation: Ellen Trane Nørby under overvågning af PET. Vagterne tør ikke lukke hende ind. Når Politiets Efterretningstjeneste har indledt en overvågning af al politikerens it- og teletrafik, skyldes det, ifølge B.T.s kilder, ikke blot den megen postyr om hendes mulige sympati for terrororganisationer som hævdet på internettet men især en elektronisk forbindelse mellem Venstre-kvinden og en aktivist, som PET har fulgt et stykke tid. Hendes mail og mobiltelefon har flere gange været i kontakt med aktivistens nærmeste venner, og det udløser en PET-beslutning om overvågning, som man ikke på forhånd behøver konsultere en dommer om, fordi politiet mener, aktivisten planlægger at bruge politikerens telefon og computer i terrorøjemed. To dage senere afsløres det, at B.T.s kilde er en betroet it-medarbejder på Christiansborg, der har haft status som PET s forbindelsesled i tilfælde af en terroralarm. Nyhedsavisen kan afsløre, at PET nu har tegnet en fuldstændig elektronisk profil af politikerens it- og teletrafik gennem et år med hjælp fra hendes internetudbyder. Uden at vide om den overvågede selv sad ved tasterne, har PET opbygget et detaljeret billede af personen Ellen Trane Nørby og hendes internet-trafik hendes interesser, lyster og mere kuriøse præferencer der omfatter en hjemmeside oprettet af en afghansk terrorist, et nyhedsforum ledet af en tidligere Obersturmbandführer i SS og en side med børneporno, som ifølge PET en enkelt gang har fastholdt den besøgendes interesse i mere end to timer. Det ejendommelige mønster har udløst behov for en opklarende undersøgelse. PET har derfor gjort brug af sin ret til hemmelige oplysninger fra et bredt udsnit af forvaltningsorganer herunder to hospitaler, hvor politikeren har været indlagt som barn, Lemvig Kommunes socialforvaltning (hvor hun som 18-årig gik ledig i to uger), samt 64

65 skriftlige vidnesbyrd fra de tidligere uddannelsessteder Nørre Nissum Skole, Lemvig Gymnasium og Københavns Universitet. Endelig har PET suppleret med en granskning af hendes bibliotekslån gennem de seneste fem år. Hun lånte 1. september 2002 en bog om Baader-Meinhof-gruppen (sammen med en sushi-kogebog og et festskrift fra Europa-Parlamentet). Også denne iagttagelse noteres i profilen. PET erkender, at det muligvis ikke er Ellen Trane Nørbys, men den ondsindede hackers internetfærdsel, man har fulgt han kan have installeret et stykke fjernstyringssoftware men efter bomberne i Madrid og London er man ikke i en situation, hvor man tør tage noget som helst for givet. I den situation bryder Ellen Trane Nørby sammen. Hun er nu sygemeldt på ubestemt tid. Det foregående kapitel er opdigtet, men det kunne lige såvel være sandt. Kapitlet er inspireret af virkelige begivenheder. Det samlede scenarie er verificeret som sandsynligt af eksperter på it- og teleområdet. Ellen Trane Nørby medvirker frivilligt i kapitlet. Kapitlet om Ellen Trane Nørby bygger på virkelige begivenheder: En hacker skaffede sig i maj 2007 adgang til Berlingske-redaktør Lisbeth Knudsens mail-boks via hotmail.com og sendte en stribe mails til personer i hendes adressekartotek, blandt andet med ordlyden: Jeg vil gerne frabede mig alle jeres sleske s. Lisbeth Knudsen måtte chokeret konstatere, at en hacker havde overtaget min mail-identitet. En person gættede sig i juli 2007 til Tour de France-rytteren Michael Rasmussens kodeord til hans web-mail. Manden downloadede og forsøgte at sælge cykelrytterens private mails til dagbladet B.T. Informationschefen i Wonderful Copenhagen fortæller i Tænk, at hun i foråret 2006 tilsyneladende udsendte en pressemeddelelse med et budskab om gratis bustransport i hovedstaden, som mange redaktioner nåede at trykke, før de opdagede, den var falsk. På et hollandsk web-hotel var der blevet oprettet en mailadresse som den, informationschefen brugte til pressemeddelelser. I november 2006 opdagede en politipatrulje fra Allerød to lettiske mænd, der sad i en bil med en bærbar computer på skødet. De kørte fra dør til dør og loggede sig på ubeskyttede, trådløse netværk. På en hacket pc kan man omstille ejerens telefoner via telefonselskabets hjemmeside. I august 2007 lykkedes det desuden Tænk telefonisk at overtale en TDC-ansat til at ændre omstillingen på et mobilnummer, selv om der blev ringet op fra et helt andet nummer. 65

66 Brevpost kan med få oplysninger omadresseres via en flyttepakke eller Post Danmarks hjemmeside. I Sundsøre Kommune opdagede man i august 2004, at et dokument, der indeholdt intime informationer om borgeres kontanthjælp, revalidering og tvangsfjernelse af børn, var havnet på internettet. I juli 2006 afslørede Ekstra Bladet, at Trundholm Kommune ved en fejl havde lagt oplysninger om mere end 50 borgere, hvis sager havde været behandlet i Socialudvalget, på nettet. Med særlig tilladelse fra Google fjernede man de intime oplysninger men fire måneder senere kunne de, ifølge Politiken, atter findes på Google. I oktober 2006 afslørede Politiken, at Præstø Kommune havde lagt dybt fortrolige oplysninger om 30 udenlandske borgere på nettet de fortrolige bilag var vedhæftet åbne byrådsreferater. Det tog systemet ikke højde for, som kontorchefen sagde. Organisationen Privacy International, der er vagthund over for stater og virksomheders overvågningstiltag, rangerede i juni 2007 Google som den sikkerhedsmæssigt mest ringe blandt 23 undersøgte internetselskaber, når det gjaldt beskyttelse af brugernes private oplysninger. I februar 2007 afslørede Computerworld, at 36 danskeres bankkonti var blevet lænset ved et såkaldt phishing-angreb af østeuropæiske nettyve, der udgav sig for at være deres netbank. Sikkerhedsfirmaet McAfee oplyste i januar 2007, at brugen af keylogger-software, som aflæser folks kodeord via deres tastetryk, var steget med 250 procent mellem 2004 og En undersøgelse fra Symantec viste i marts 2007, at fulde identiteter med stjålne CPR- og kontonumre handles på nettet for under 100 kroner i stejlt stigende antal. 66

67 Den elektroniske overvågning Regeringens to antiterrorpakker (2002 og 2006) og den såkaldte Logningsbekendtgørelse (som trådte i kraft 15. september 2007) betyder, at tele- og internetudbydere skal gemme data om deres kunders teletrafik i et år. Der skal sikres mulighed for, at politiet og PET kan overvåge al internet- og telefontrafik. Firmaerne skal desuden stille sikkerhedsgodkendte medarbejdere til rådighed, så myndighederne når som helst kan få adgang til de oplagrede informationer. Politiets Efterretningstjeneste (PET) kan uden forudgående dommerkendelse udvide aflytning og overvågning af en mistænkt persons kommunikation til at omfatte f.eks. kæreste, venner, familie og kolleger, hvis man mener, den mistænkte kan finde på at kontakte omverdenen fra andre apparater end sit eget. PET kan samkøre elektroniske data, indsamlet fra offentlige myndigheder, om en bestemt person f.eks. fra vedkommendes kontakt til socialkontor, uddannelsessted, sygehus, bibliotek, etc. I en rapport fra december 2005 anbefalede Nordisk Ministerråd, at der sættes øget fokus på balancen mellem statens overvågning og borgernes ret til privatliv. I april 2007 sagde den tidligere chef for Politiets Efterretningstjeneste, Ole Stig Andersen, til Information: Udviklingen bekymrer mig. Man risikerer i den gode sags tjeneste at indføre nogle regler, der betyder, at vi opnår det modsatte af den frihed, vi gerne vil forsvare. Og hvem siger stop? I maj 2007 kritiserede Amnesty International Danmarks antiterrorlove, blandt andet fordi man kan få aflyttet sin telefon, blot fordi man kender en mistænkt. Udformningen af lovgivningen er for upræcis, mener organisationen. 67

68 scenarie 3 Finanssektoren Koncernen, der vidste alt Beslutningen om at lade Danmarks største finansielle koncern overtage alle sine økonomiske forhold fik katastrofale konsekvenser for analysechef Thomas Roland, der på få måneder mistede helbred, hustru, hus og job Af Erik Valeur, Tænk Den 1. december 2008 flyttede Thomas Roland ind på Mændenes Hjem i København. Kun et halvt år tidligere havde han været en velstående mand med eget hus i Gentofte. Her havde han boet med sin kone, som han mødte og giftede sig med i På det tidspunkt var han lykkeligt nygift og komplet vidende om, at hans livs deroute skulle til at begynde. Efter brylluppet købte parret villa i Lejre sydvest for København. Thomas Roland blev ansat i et analysefirma i Roskilde og besluttede på det tidspunkt at tegne en forsikring med invaliderente og ved den lejlighed afgav han en lang række oplysninger om sig selv og sine økonomiske forhold og sit helbred. Kort efter blev han i forbindelse med et hold i ryggen røntgenfotograferet på Gentofte Amtssygehus, men inden der kom svar fra hospitalet, var han i bedring. Min læge sagde, der blot havde været tale om et hekseskud, så jeg glemte alt om billederne, siger Thomas Roland. Det skulle vise sig at være én af en række fatale fejl. De første sygdomstegn I 2007 er Thomas Roland blevet analysechef i firmaet FBR-Analyse i København og står til yderligere avancement. Men en søndag morgen vågner han og er følelsesløs i venstre side af ansigtet og dele af venstre arm. På Rigshospitalet fik jeg at vide, at det kunne være sklerose, men at den endelige diagnose krævede flere undersøgelser. Jeg vidste godt, der kunne blive et forsikringsspørgsmål, men foreløbig manglede jeg jo endeligt svar, og jeg følte mig hurtigt frisk igen. Thomas Roland fortæller hverken venner, kolleger eller forretningspartnere om sygdomsmistanken. Sklerose er en livstruende sygdom, der udvikler sig langsomt og han krydser fingre for, at han ikke ramt. I den samme periode beslutter han sig for at skifte huset i Lejre ud med drømmevillaen i Gentofte. Han kontakter sin bank, der er en af Danmarks største finansielle koncerner. Her kan Thomas få sit samlede finansielle liv varetaget under ét og samme tag. 68

69 69

70 scenarie 3 Finanssektoren Jeg var helt tryg ved mit forhold til min personlige bankrådgiver gennem ti år, og det var på hans anbefaling, jeg kontaktede boligkæden Normæglerne, der var blevet opkøbt af min bank. Et dårligt papir Få dage efter afslutningen af hushandlen modtager Thomas imidlertid brev fra sit gamle forsikringsselskab, Nordica, der også er blevet opkøbt af bankkoncernen og nu tilbyder ham nye fordelagtige forsikringer. Det undrer ham lidt. Jeg mente ikke, jeg havde oplyst selskabet om hverken hussalg eller huskøb men jeg tog alligevel imod en ny og større indboforsikring og en ny ulykkesforsikring. I den forbindelse giver Thomas Roland tilladelse til, at selskabet må undersøge hans personlige forhold, idet han skriver under på en såkaldt samtykkeerklæring. Som sagt havde jeg altid haft et nært tillidsforhold til folkene i banken og ikke mindst min personlige rådgiver. Men før drømmevillaen på Gisselfeld Allé i Gentofte overhovedet er færdigindrettet, revner ægteskabet, og hverken Thomas eller hans hustru har råd til at beholde huset. Igen får han brev fra Nordica, der høfligt påpeger de nye omstændigheder i hans civile status og endnu en gang kommer der nye fordelagtige forsikringstilbud. Også denne gang undrer henvendelsen ham hvordan ved de, han skal skilles? men han har nu langt større problemer at tænke på. Jeg kontaktede min rådgiver, fordi jeg jo stod til at miste en del af vores fælles formue og opsparing, og jeg skulle have lån til et nyt hus. Min bankrådgiver anbefalede mig i telefonen at kontakte realkreditselskabet Norkredit, der ligesom Nordica og Normæglerne var blevet opkøbt af min bank. Så det gjorde jeg naturligvis. Ned ad bakke Thomas har i disse svære uger brug for en større kassekredit. Han regner ikke med, at det er noget problem for han har jo stadig sit gode job og faste løn. Men da jeg kom ned i banken, var min rådgiver helt forandret, siger Thomas. Han insisterede på at overveje sagen nærmere og ringe tilbage. Samme dag skal Thomas Roland have møde med Normæglerne, som han jo kender fra sin tidligere, vellykkede hushandel men ejendomsmægleren dukker slet ikke op. Dét rystede mig virkelig For første gang fik jeg den tanke, at der var noget rivravruskende galt. Der foregik noget omkring mig, jeg slet ikke forstod. Efter at have ventet forgæves på en opringning fra sin finansielle rådgiver insisterer Thomas på et møde. I den anledning beder han sin chef om fri i tre dage og fortæller ham om sine vanskeligheder med at bringe sin økonomi på rette kurs. Det gjorde jeg 70

71 for at spille med helt åbne kort, siger Thomas og tilføjer: Men det skulle jeg aldrig have gjort. I bankkoncernen er hans rådgiver assisteret af en underdirektør, som kortfattet forklarer, at man desværre ikke kan yde et lån og derfor heller ikke kan hjælpe Thomas ud af de akutte finansielle vanskeligheder. Underdirektøren forklarede mig, at de havde lavet en såkaldt creditscore på mig, der sammenfattede alle tilgængelige oplysninger om min økonomi og jeg blev ikke længere regnet for kreditværdig. Jeg protesterede jeg havde jo både fast arbejde og god økonomi. Men så sagde min rådgiver pludselig: Men fast arbejde kan jo ophøre ved sygdom og i det øjeblik forstod jeg, at de vidste alt om den sklerose-mistanke, jeg ikke havde fortalt andre end min kone om Thomas Roland er dybt chokeret, og han spørger de to koncernfolk, hvor i alverden de har oplysningerne fra. Så sagde underdirektøren: Dem har vi da fra dig selv Jeg havde jo underskrevet en samtykke-erklæring til mit forsikringsselskab, der gav dem lov til at indsamle helbredsoplysninger og videregive væsentlige personlige data inden for koncernens egne mure. I de minutter indser Thomas, at hele hans økonomi ligger samlet på ganske få hænder, og at hans fremtid står og falder med nogle ganske få menneskers beslutninger. De har indblik i hele hans finansielle liv og alt, hvad der vedrører det. Ifølge oplysninger i min Elektroniske Patientjournal som de havde set mente underdirektøren, at der næppe kunne være tvivl om den endelige diagnose og dét havde jeg holdt hemmeligt. De havde desuden fundet et røntgenbillede fra min rygundersøgelse i 1990 og konstateret, at jeg havde fået udbetalt forsikringspenge i forbindelse med mine rygproblemer. Dét billede havde jeg aldrig oplyst selskabet om og derfor krævede de alle pengene tilbage! Thomas forklaring, om at det bare var et hekseskud, afvises blankt. Det stod der intet om nogen steder, sagde de. Jeg var helt groggy På Mændenes Hjem Men det skulle blive endnu værre. De fortalte, at de på den baggrund havde lavet en såkaldt behavial score på mig en adfærdsanalyse med et meget nedslående resultat. Banken har gennemgået Thomas Rolands Nemkonto hvor alle overførsler fra det offentlige er indgået siden 2005 og har opdaget, at han i 2006 en kort periode gik arbejdsløs og modtog dagpenge. Derefter havde de med min samtykkeerklæring fået aktindsigt i kommunen, hvor en sagsbehandler i en journal havde noteret, at jeg var en besværlig klient med et be-vægeligt sind altså psykisk ustabil. Det skudsmål sænkede min samlede adfærdsscore til et absolut minimum og hævede min HRG til det klart uacceptable Thomas Roland smiler skævt. Household Risk Grade angiver risikoen ved at låne penge ud til en bestemt type husholdning. Og min var jo helt faldet fra hinanden Jeg var blevet en uantagelig risikofaktor. 71

72 scenarie 3 Finanssektoren Så nævner Thomas Roland over for bankfolkene den forsikring, der trods alt vil tillade ham et komfortabelt liv, såfremt han rammes af sklerosen. Og dér forstod jeg, at det var helt slut. De kaldte på en medarbejder fra Nordica, som fortalte mig, at de havde opsagt alle forsikringer. Jeg sagde selvfølgelig, at min endelige diagnose endnu ikke var stillet men så sagde han: Nej, men den risiko kunne selskabet ikke byde sine raske kunder. De skulle jo betale mere, hvis jeg blev uhelbredeligt syg. Ugen efter sit brud med den store koncern og sin personlige fallit med overtræk på på sin kassekredit bliver Thomas Roland fyret fra sit firma, FBR-Analyse. Direktøren har taget oplysninger i Ribers Kreditinformation, hvor han kan se, at Thomas for år tilbage har været registreret som dårlig betaler. Men det værste var, at han på en eller anden måde havde fremskaffet alle mine forsikringspapirer inklusive lægernes diagnoser og Nordicas anklager imod mig for at lyve om mit helbred. De havde ikke været svære at få fat i, sagde han en mægtig bankkoncern som min har flere tusinde medarbejdere, og alt er lagret elektronisk, som han sagde. Den 19. november 2008 modtager Thomas Roland sin første dagpengeudbetaling, men han ser aldrig pengene. Bankkoncernen har ved at bruge hans CPR-nummer fastholdt hans Nemkonto (som det offentlige indbetaler på) i banken, uden Thomas vidende og beslaglægger øjeblikkeligt de kr. til dækning af overtrækket på kassekreditten. Kun halvanden uge senere flytter Thomas ind på Mændenes Hjem i Istedgade i København. Han ligner stadig en mand, der intet forstår og ikke aner, hvad der ramte ham. Jeg sad midt i et spind et finansielt spind, hvor nogen vidste alt om mig men jeg opdagede det ikke, før det var for sent. Det foregående kapitel er opdigtet, men det kunne lige såvel være sandt. Kapitlet er inspireret af virkelige begivenheder. Det samlede scenarie er verificeret som sandsynligt af eksperter på finansområdet. Thomas Roland medvirker frivilligt i kapitlet. 72

73 Kapitlet om Thomas Roland bygger på virkelige begivenheder: Berlingske Tidende beskrev i september 2000, hvordan Den Danske Bank videreformid-lede følsomme oplysninger om kunderne til Topdanmark, idet kunderne blev sorteret efter en intern score med hensyn til økonomi og personlige forhold. I Glostrup åbnede Den Danske Bank i 2004 det første finansielle supermarked, der ud over banken husede Realkredit Danmark, ejendomsmæglerkæden Home og pensionsselskabet Danica. Under dette tag kan man få rådgivning og service om alle de ting, man har behov for som finansiel indkøber, sagde vicedirektør Claus Johansen. Dagbladet Børsen skrev i juli 2005, at storbankerne presser deres kunder til at vælge selskaber, koncernen samarbejder med. For eksempel blev en kunde i Nordea truet med opsigelse af kundeforholdet, hvis han ikke solgte sit hus gennem DanBolig. Banken sagde, det var en fejl. I 2006 gennemgik Jyllands-Posten en række sager, hvor forsikringsselskaber gik på såkaldt journalfiskeri. Metoden er at få samtykke til alle kundens helbredsoplysninger herunder patientjournaler og derefter bruge små detaljer til at miskreditere kunden. I februar 2007 kom det frem, at en ansat i Nordea-koncernen havde solgt økonomiske informationer om det norske kongehus til norsk Se og Hør. Koncernens danske informationschef sagde, det samme ikke kunne ske i Danmark. I maj 2007 beskrev Jyllands-Posten, hvordan flere banker havde oprettet en Nemkonto uden deres kunders vidende og derefter havde hævet på disse konti for at dække kundens eventuelle gæld til banken. De finansielle supermarkeder I virkelighedens verden er Danmarks største banker allerede blevet til finansielle supermarkeder, der indeholder såvel traditionel lånevirksomhed som realkredit, pension, forsikring og ejendomshandel. De finansielle koncerner har længe presset på for at kunne indhente og videregive informationer langt nemmere, end lovgiverne hidtil har villet gå med til. For og imod For den udvikling taler billigere sagsgange, større overblik over kundens samlede økonomi og soliditet og dermed bedre service og mulighed for at fremsætte de helt rigtige, skræddersyede tilbud. Imod udviklingen taler muligheden for at bruge informationerne i sammenhænge, 73

74 74 kunden slet ikke regner med at helbred og andre personlige omstændigheder bliver bestemmende for lån, kassekredit og rentestørrelse, og at hele éns liv kan kortlægges i et samfund, hvor alt lagres elektronisk. Loven siger, at koncernerne ikke uden videre må indhente følsomme oplysninger om kunderne. Imidlertid kan for eksempel et forsikringsselskab med kundens samtykke få adgang til personlige data, helbredsoplysninger og informationer fra det offentlige. Der er en lang række eksempler på, at indsamling af personfølsomme informationer er blevet brugt imod kunder i forsikringssager. De indhentede oplysninger må ikke uden videre passeres mellem datterselskaberne i den finansielle koncern, men også her optræder der misbrug som Finanstilsynet siger: Vi har en del sager. I de finansielle koncerner arbejdes der med udvikling af effektive bedømmelsessystemer for eksempel risikoværktøjer til bestemmelse af kreditværdighed ( credit score ) og økonomisk adfærd ( behavial score ) samt lånerisiko ved forskellige typer af husholdning ( household risk grades ) osv. Der har især været debat om adgangen til helbredseksempler, hvor læger har klaget over forsikringsselskabernes krav om adgang til hele patientjournaler og sygdomsforløb. I mange tilfælde får de kunden til selv at rekvirere alle oplysninger og udlevere dem til selskabet. Et af fremtidens problemer bliver den øgede mulighed for gentest, hvor selskaberne kan få adgang til oplysninger om mulige fremtidige sygdomme. I Danmark er det endnu forbudt.

75 75

76 scenarie 4 Det offentlige rum Syv dage som tv-stjerne Det danske samfund kan især takke over en halv million overvågningskameraer for, at Enhedslistens Rune Lund blev afsløret som involveret i omfattende terrorplaner. Af Erik Valeur, Tænk Da aktivisten og venstrefløjspolitikeren Rune Lund blev anholdt som terrorist, havde han været under intensiv overvågning i seks dage. Politiets mistanke var funderet i ikke færre end 2973 digitale og biometriske videooptagelser, der havde kortlagt og karakteriseret den revolutionære frontløbers færden i de suspekte miljøer, der findes i det indre København. Nogle af optagelserne stammede fra trafikknudepunkter og offentlige bygningsarealer, mens andre var stillet til rådighed af private borgere og forretningsdrivende. Et enkelt stærkt fældende indicium hentede myndighederne med en dommerkendelse hos Google Street View, hvis satellittjeneste er blevet så præcis, at man kan genkende mennesker, der færdes i gader, på pladser, i parker og i private haver overalt på kloden. Politiets Efterretningstjeneste, PET, passede Rune Lund op, da han ville forlade sin privatadresse i Brønshøj. Det var den 1. april 2009 efter syv dages overvågning. Da håndjernene klikkede, troede jeg, det var en aprilsnar, siger det nu forhenværende folketingsmedlem i et strengt overvåget interview efter anholdelsen. Selv om offentligheden endnu venter på den endelige dom, tvivler ingen på, at politikeren havde udset sit fædreland til mål for terror. En strøm af overvågningssekvenser fra private og offentlige kameraer er i ugernes løb blevet lækket til hjemmesider, dagblade, tv-nyheder og ugemagasiner, og de taler deres tydelige sprog. Det, han selv kalder tilfældigheder tilfældige møder og sammentræf af omstændigheder har hele Danmarks befolkning nu ved selvsyn kunnet konstatere, var meget mere end dét. Han virkede ellers som en flink fyr, som en nabo fra Brønshøj siger. Men det er da dybt mistænkeligt, at han optræder på så mange overvågningskameraer. Objektet overvåges intensivt Det begyndte tilsyneladende uskyldigt, da venstrefløjsidolet Rune Lund trommede unge helt ned i 12 års-alderen sammen til foredrag over emnet De sultne børn i Afrika på Emdrup Skole i København. Efter selve arrangementet fangede et af de i alt 29 opsatte kameraer i skolegården, der 76

77 77

78 scenarie 4 Det offentlige rum normalt bruges til at forebygge hærværk, mobning og uønsket uro i det store frikvarter, den unge foredragsholder i samtale med en gammel kending af den danske efterretningstjeneste ved navn Mansour Said Mansour. Mansour er bedre kendt som Boghandleren fra Brønshøj og fik i 2007 en dom for at udsprede islamisk jihad-propaganda med opfordring til blodig terror over hele Europa. Mansour var netop blevet løsladt før tid og skolens pedel genkendte ham fra fjernsyns- og avisomtaler og gav politiet et tip. Herefter blev hele linseparken bogstaveligt talt rettet mod objektet Lund, som en anonym kilde i PET udtrykker det. Denne park rummer, som det ikke uden stolthed understreges, mere end en halv million danske overvågningsinstallationer, de allerfleste digitale, herunder cirka såkaldt biometriske scannere, der reagerer på alle former for kropskarakteristika og bevægelsesmønstre samt en ny generation af kameraer, der også kan opfange og gengive selv hviskende samtaler mellem borgere på stor afstand. Især samledes specialenhedens opmærksomhed omkring de mørke områder det er overvågningsspecialisternes slang for indvandrerghettoer som Tingbjerg, Ishøj, Vollsmose og Gellerup hvor de kommende terrorister udklækkes, og linseparken derfor indgår i et stort, forebyggende arbejde. Her er de biometriske scannere indstillet til særlig opmærksomhed på arabiske tale- og bevægelsesmønstre, hud- og øjenfarve, påklædning og ansigtsform (ikke-nordiske karakteristika aflæst på næse- og kranieform) og det førte få dage senere til endnu et opsigtsvækkende match mellem Rune Lund og en tidligere mistænkt i den såkaldte Glasvejsterrorsag (fra september 2007), som han mødte på en gangsti i Tingbjerg ved midnatstid. Ikke færre end tre årvågne kameralinser låste de to mistænkte fast, da de passerede hinanden. I mørket kan man ikke se, om der udveksles noget imellem dem, men det mener politiet er helt indlysende. Hvorfor skulle de ellers mødes dér? Rune Lund kan på sin side ikke redegøre for det uforklarlige møde, som han nonchalant fejer af bordet som tilfældigt. Jeg forstår godt, hvorfor folk i Colombia eller Palæstina griber til våben og jeg bakker op om legitim væbnet modstand mod en besættelsesmagt eller et undertrykkende regime men ikke om selvmordsbomber og terroraktioner mod civile, siger han rasende i sin celle. I loftet i sikringscellen, hvor interviewet finder sted, sidder fire konstant observerende kameraer, ét i hvert hjørne, sikkert uden for hans rækkevidde, og kigger på ham. Objektet møder Akkari På den tredje overvågningsdag gik Rune Lunds rejse- og kontaktmønster ind i rød fase, som det hedder i det ny EU- og Schengenbegreb for den alarmtilstand, der ligger umiddelbart før selve terrorhandlingen. 78

79 Politiet fulgte hvert eneste skridt, og operationen var ikke svær. Alt nødvendigt udstyr befandt sig på forhånd i det københavnske gaderum, på husfacader, foran banker og butikker, på alle pladser og åbne arealer, ja, selv på tagrygge, hvor de kiggede direkte ned på den hættetrøjeklædte aktivist, hvor han end gik. Når han forlod sit hjem i Brønshøj for at tage linje 2A til Christiansborg, var han allerede i fokus: Både Brugsen på hjørnet af Brønshøj Torv samt Danske Bank lige ved siden af, har udvidet ret til facade- og gaderumsovervågning og fik fine billeder af Rune, der stod ved stoppestedet og lod som om alt var normalt. Andre optagelser viste ham siddende tre sæder nede i bussen, til venstre for midtergangen, hvor han læste MetroXpress, og registrerede, at han med særlig stor interesse studerede en artikel om bombetrusler mod vantro kristne. Da han senere slentrede ned ad Strøget, nåede 53 digitale kameraer at forevige hans færden på den korte tur til Højbro Plads. I en kælder under Kastellet samlede og analyserede PET s nye supercomputer alle de indkommende informationer. Som bekendt er flere optagelser fra den tæt overvågede del af København efter Rune Lunds fængsling tilgået offentligheden og har reelt gjort det umuligt for ham at bortforklare sine syv dage som tv-stjerne frem mod anholdelsen. En række medier har med hjælp fra de handlende på Strøget kunnet offentliggøre kompromitterende optagelser af Lund i samtale med mystiske personer, flere af dem med arabisk udseende. En ansat i Blockbuster solgte forleden en fem minutter lang optagelse af den nye berømthed, mens han lejer katastrofefilmen World Trade Center med Nicolas Cage i hovedrollen. Scoopet havde dog TV2 News, der skaffede sig en kopi af optagelser fra et overvågningskamera på Nørreport Metrostation, hvor man tre meter bag den mistænkte kunne skimte en mistænkelig mørklødet mand: Ved fintuning og forstørrelse var anonyme politikilder ikke i tvivl: Manden ved siden af Rune Lund var den århusianske imam Ahmed Akkari, der i 2006 udløste den verdensomspændende Muhammedkrise og gjorde Danmark til alle terroristers yndlingsbombemål. Akkari kommunikerede ikke direkte med den Enhedsliste-mistænkte, men netop dette tages af kilder som tegn på, at de begge er klar over, hvor intensivt Metroen overvåges. Objektet og den nationale sikkerhed Nu spoler politiet alle optagelserne i supercomputeren under Kastellet tilbage. Først bakker PET-folkene ét år og derefter (med dommerkendelse) to år og til sidst tre år. Lagringsbekendtgørelsen der betyder, at optagelser skal slettes efter et år kan af en dommer sættes ud af kraft i de særlige tilfælde, der omhandler national sikkerhed, og derfor har myndighederne uden om loven lov til at gemme en backup på ubestemt tid. Enhedsliste-manden indkredses på sin halten, sin højde og det stride hår af det avancerede biometriske udstyr. På en optagelse fra marts 2008 finder sporhundene i den hemmelige enhed igen Ahmed Akkari stående på samme perron (tog mod Lergravsparken) som Rune Lund denne gang kun to meter fra den terrormistænkte og det gentager sig på en tredje optagelse fra september

80 scenarie 4 Det offentlige rum Rune Lund kaster endnu et dramatisk forskrækket blik rundt i sikringscellen: Da jeg påpegede, at jeg mindst otte gange om ugen tager Metroen og selvfølgelig kunne være filmet tæt ved Akkari, hvis han gjorde det samme, rystede de på hovedet og sagde: Én gang er okay. To gange kan gå an. Men tre gange kan aldrig være et tilfælde. Så er det et mønster. Vores overvågningskameraer tror slet ikke på tilfældigheder. De overvåger bare. Derfor tror vi på dem. Objektet og Satans Mor Og så kommer det endelige bevis: Rune Lunds kæreste har stået for en del indkøb i den lokale Netto, da parret satte den nye lejlighed i Brønshøj i stand. Nu aktiverer PET alle de RFID-chips, som Netto-kæden siden årsskiftet har anbragt i sine varer og med et enkelt museklik kan politiets sporhunde se alt, hvad kæresten har indkøbt de foregående otte måneder. Så var der gevinst! som det udtrykkes af en anonym politikilde for de elektroniske chips lyver ikke. I skabet under vasken på førstesalen i Brønshøj finder man en lang række bombeingredienser hos Rune Lund: Lim, acetone, brintoverilte, husholdningssprit, afløbsrens og klorin og i kælderen står en halv sæk kunstgødning, som kæresten hævder er til brug i parrets lille køkkenhave. Af disse ingredienser vil enhver terrorist i en håndevending kunne fremstille det populære, uhyggeligt kraftige sprængstof med øgenavnet Satans Mor. De komplimenterede mig for min evne til at samle og organisere et kriminelt netværk, der endda skrupelløst omfattede min egen kæreste, siger Rune Lund i sin topsikrede celle, og overvågningskameraerne i sikringscellen opfanger endnu en gang et chokeret udtryk i det kendte politikeransigt. Det er skuespil for galleriet. De utallige overvågningssekvenser taler deres eget, tydelige sprog. Rune Lund er endegyldigt nået til vejs ende. Det foregående kapitel er opdigtet, men det kunne lige såvel være sandt. Kapitlet er inspireret af virkelige begivenheder. Det samlede scenarie er verificeret som sandsynligt af eksperter i offentlig overvågning. Rune Lund medvirker frivilligt i kapitlet. 80

81 Kapitlet om Rune Lund bygger på virkelige begivenheder: Fyens Stiftstidende skriver i juli 2005, at mennesker på en almindelig hverdag bliver filmet af 48 kameraer i Banegårdscentret i Odense kun de færreste er klar over det. Københavns Kommune har opsat flere hundrede overvågningskameraer rundt omkring på kommunale ejendomme og arealer uden at have fået tilladelse, skriver Berlingske Tidende i oktober Politikerne kan ikke umiddelbart forklare situationen. Menneskerettighedsorganisationen Liberty konstaterer i en undersøgelse, at gennemsnitsenglænderen filmes 302 gange i døgnet i det offentlige rum, skriver Weekendavisen i marts Tankpersonalet på Hydro Texaco i Levanger i Norge finder i april 2006 den svenske konge, Carl Gustaf, på tankens videoovervågning. Kongen var kommet til at køre fra en ubetalt benzinregning og var lettet over, at videofilmen ikke blev offentliggjort. Det er ikke noget, vi som virksomhed står bag, men med 1200 medarbejdere ved man aldrig, hvad der sker, siger direktør Jesper Østergaard, Blockbuster, til Jyllands-Posten, efter at billeder fra et overvågningskamera af Robbie Williams er sivet til Ekstra Bladet i juli På billederne kan man se sangeren stå mellem tre bodyguards og fløjte en lille melodi, mens han trækker op i bukserne og spiser en Twister. I december 2008 offentliggjorde Ekstra Bladet overvågningsbilleder af entertaineren Finn Nørbygaard, da han under IT-Factory-skandalen var blevet filmet på en tankstation. Datatilsynet har oplevet en massiv fremgang i antallet af opgaver. Konsekvensen er, at Datatilsynet må skrue ned for ambitionerne og på mængden af de kontrolbesøg, der skal sikre, at danskernes følsomme oplysninger ikke behandles lemfældigt, skriver Ingeniøren i august Flere og flere danske virksomheder bruger skjulte GPS-sendere til at overvåge de ansattes brug af firmabiler, skriver it-nyhedsbrevet ComOn i november I USA raser debatten i juli 2007 om Google Street View, der fotograferer verdens storbyer med en stadig højere grad af detaljer. Blandt børn og unge er der gået sport i at komme med på billederne, skriver Dagbladenes Bureau. HK oplever et boom i antallet af medlemmer, der bliver tv-overvåget på arbejdspladsen, skriver Berlingske i januar En undersøgelse i gratisavisen 24timer 81

82 viser 19. april 2007, at knap hver femte danske folkeskole har sat overvågningskameraer op og mange flere overvejer det. Eksperter skønner, ifølge Berlingske i juni 2007, at der bliver opsat nye overvågningskameraer om året. Der er nu opsat mere end kameraer i Danmark over dobbelt så mange som for tre år siden. Diskotek Crazy Daisy i Viborg vil indføre fingeraflæsning via scanner. Datatilsynet vil nu klarlægge, hvem der via de biometriske værktøjer får adgang til informationer om gæster-nes race, straffeforhold og oprindelse, skriver Ekstra Bladet, august Ifølge Weekendavisen er 3500 engelske skoler begyndt at tage fingeraftryk og lave øjen-scanninger på deres elever, nogle helt ned til fem-årsalderen. Systemerne bruges til bogudlån og til at holde styr på børnene. Skolerne overvejer optagelser af børnenes stemmer, ansigtsformer, håndbevægelser og skrivemønstre. Sverige vil indføre intelligent overvågning af Arlanda-lufthavnen, oplyser 24timer i august Ved hjælp af ny computerteknik registrerer overvågningskameraer, hvis folk har et mistænkeligt bevægelsesmønster. 82 Advarsler mod tv-overvågning Alle de steder, hvor der er blevet begået terrorangreb, har der hængt kameraer overalt. Hvis du har sat en dynamitstang på din mave, så er du sådan set ligeglad med, om du bliver filmet eller ej. Venstres politiske ordfører, Jens Rohde, Berlingske Tidende, november Det er mig bekendt heller ikke dokumenteret, at terror forhindres ved kameraer og andre indgreb i borgernes frihedsrettigheder. Terroren i London viser da også, at selv om gader og pladser er overplastret med kameraer, så undgik London ikke terroren. Retsordfører for Venstre Birthe Rønn Hornbech, Frederiksborg Amts Avis, november Det allerfarligste argument er jo, at det er i orden, fordi man ikke har noget at skjule. Det er så oplagt rigtigt et synspunkt, men konsekvensen af det synspunkt kan føre til et system, som jeg absolut ikke bryder mig om. I et gennemregistreret samfund som det moderne Danmark kan vi jo stort set vide alt om hver enkelt borger. Tidligere chef for PET og direktør for Folketinget Ole Stig Andersen, Information, april 2007.

83 Begrundelser for tv-overvågning Tv-overvågning kan i forretninger og på parkeringspladser afsløre butikstyve og biltyve. Kameraerne kan afværge kriminalitet i højrisikoområder som banker og tankstationer og forhindre overfald i taxaer og andre trafikmidler. Overvågning kan desuden begrænse hærværk og tyveri på skoler, rådhuse, sportspladser og andre kommunale ejendomme og anlæg. Tv-overvågning kan bruges til at identificere terrorister, kriminelle, hjælpere, flugtbiler m.m. i forbindelse med efterforskning af forbrydelser. Ifølge en undersøgelse fra Det Kriminalpræventive Råd opfatter de fleste danskere tv-overvågning på offentlige steder som noget positivt og tryghedsskabende. Accepten falder dog, jo tættere kameraøjet kommer på hjemmet og privatlivet. Den offentlige overvågning Offentlige myndigheder for eksempel kommuner må tv-overvåge skoler, daginstitutioner, rådhuse, busser, servicekasser, uddannelsescentre, museer, kunsthaller, fritids- og ungdomsklubber, biblioteker, væresteder, plejecentre, ældrecentre, fritidscentre, idræts-haller, sports- og træningscentre, svømmehaller, idrætsparker og stadioner med mere for at forebygge tyveri, hærværk og graffiti og beskytte værdier. Overvågningen kan også omfatte bygningernes facader og indgange. Frit tilgængelige steder med almindelig færdsel som gågader, veje, pladser og parker må ikke tv-overvåges for at beskytte ejendom og værdier. Til gengæld har politiet mulighed for at tv-overvåge frit tilgængelige steder med henblik på at bekæmpe terror og forebygge og opklare kriminalitet. Private må normalt ikke overvåge gader og pladser med almindelig færdsel. Undtaget er tankstationer, fabriksområder, overdækkede butikscentre og lignende steder med erhvervsvirksomhed. Også banker, spillekasinoer, hoteller, restauranter og butikker med detailsalg må tv-overvåge deres egne indgange og facader og visse tilstødende arealer. Billed- og lydoptagelser skal som udgangspunkt slettes senest efter 30 dage og må kun videregives i særlige tilfælde som ved opklaring af kriminalitet. Ifølge den nye lovgivning, der trådte i kraft 1. juli 2007, er det ikke nødvendigt at anmelde videoovervågning til Datatilsynet, der i stedet skal foretage stikprøvekontroller. Hemmelig overvågning af medarbejdere på arbejdspladser er ulovlig, medmindre den foretages af politiet. 83

84 84

85 del 3 Nøglen til fremtiden Der findes allerede løsninger på problemet med overvågning og manglende privacy 85

86 Privatlivsbeskyttelse i IT systemer Af Jørn Guldberg, formand for Ingeniørforeningens teknologiudvalg De fleste af os synes, at det er rimeligt, at offentlige myndigheder og private virksomheder indhenter oplysninger om os, når vi søger deres ydelser. Ved at give oplysninger om os selv bliver sagsbehandlingen smidigere, og det bliver lettere for os. Faktisk bliver de fleste irriterede over at skulle give de samme informationer igen og igen. Og vi forventer, at disse private oplysninger håndteres professionelt og holdes fortrolige af dem, vi giver dem til. Helt grundlæggende er borgernes tillid til denne fortrolighed fundamentet for, at offentlige og private virksomheder kan automatiseres og IT-understøtte deres forretningsgange. Uden denne tillid til fortrolig behandling af vores privatliv, ville borgerne ikke acceptere internetbaserede selvbetjeningsløsninger og heri ligger en stærk motivation for at fastholde fortroligheden af den enkelte borgers informationer i IT-systemerne. Risikoen for lækager Men kan og vil de offentlige og private virksomheder leve op til vore forventninger? I Danmark har vi hidtil været forskånet for de store sager om brud på privacy, som er set i andre lande, der har stor anvendelse af IT til administration og sagsbehandling. Det kan betyde, at vi læner os tilbage i den overbevisning, at vi som danskere ikke behøver bekymre os, når vi laver nye systemer eller renoverer de gamle. Her skal vi gøre os klart, at med nye services, der bygger på stadig flere informationer om den enkelte, stiger risikoen for, at disse informationer ikke behandles tilstrækkeligt fortroligt og at der opstår sideeffekter, hvor de fortrolige informationer lækkes. Specielt når vi arbejder med serviceorienterede- eller entreprise-arkitekturer 1, bliver det stadigt mere komplekst at holde styr på, hvor de enkelte informationer flyder hen. Alene den øgede anvendelse af IT-teknologi giver en større risiko for datalækage. Mange informationer, der ikke hidtil har været et væsentligt behov for at beskytte særligt godt, vil med den øgede mulighed for databehandling blive følsomme både i praksis og i persondatalovens forstand. Problemstillingen er ofte, at de enkelte informationer ikke i sig selv er særligt følsomme men at de gennem sammenstilling kan vise sammenhænge, som ikke var synlige, så længe der blot var tale om en enkelt, isoleret information. Et CPR-nummer er jo ikke en fortrolig information i sig selv det er blot et 10 cifret tal. Det bliver først følsomt når der hæftes en borgers identitet på tallet, og når tallet bruges til at hente informationer om præcis denne borger. IT-systemers trussel mod privatlivet Truslen fra IT-systemer mod privatlivets fred er således tæt knyttet til muligheden for på meget kort tid at kæde informationer sammen, og skabe nye billeder af borgeren, som borgeren måske ikke selv kender, ikke kan genkende eller ikke ønsker at blive genkendt 86

87 Selve risikoen ved, at privatlivsoplysninger lækker, kan spænde vidt. Fra ubehaget ved at andre får indsigt i éns privatliv til risikoen for, at udvalgte oplysninger bruges til social udhængning eller afpresning med trussel om social udstødelse eller måske til direkte økonomisk kriminalitet i form af tømning af bankkonti og identitetsovertagelse med efterfølgende realisering af borgerens værdier. Jørn Guldberg 87

88 som. Eller måske er der bare tale om informationer, som borgeren ikke har lyst til at dele med hvem som helst. Som eksemplerne viser, kan anvendelse af IT-systemer bruges til at sikre privatlivet hvis man vil men de kan så sandelig også medføre, at den almindelige borgers privatliv bliver udstillet. For at introduktion af IT ikke skal blive en trussel mod privatlivet, må de enkelte systemer konstrueres, så borgernes privatliv ikke kompromitteres. Det er forudsætningen for, at vi kan høste effektiviseringsgevinsterne af større IT-anvendelse. Mistes borgernes tillid til systemerne, så er de 5 pct. sparet på ringere og usikre systemer givet dyrt ud. Der er mange forudsætninger, der skal være på plads for at opnå dette, men den første og vigtigste forudsætning er, at man gør sig overvejelser om privatlivets beskyttelse allerede ved planlægningen af et IT-system. Det vil altid være bestilleren af et IT-systems ansvar, at systemet beskytter privatlivets fred. Den, der leverer systemet, vil i sagens natur levere netop det, der er bestilt, og vil oftest ikke kende problemstillingerne i det domæne, systemet skal fungere i. Ved planlægningen er det derfor vigtigt, at man får diskuteret, hvilke konsekvenser anvendelsen af et givent system kan have for borgernes privatliv både den tilsigtede anvendelse, men i lige så høj grad også en utilsigtet anvendelse af systemet. Pointen er, at en sagsbehandler skal have netop den nødvendige og tilstrækkelige information til at udføre sit arbejde og ikke mere. En analyse af konsekvenser for privatlivet skal fastlægge, hvilke informationer der anses for kritiske enten i sig selv eller i kombination med andre informationer også kaldet forbundethed. Selve risikoen ved, at privatlivsoplysninger lækker, kan spænde vidt. Fra ubehaget ved at andre får indsigt i éns privatliv til risikoen for, at udvalgte oplysninger bruges til social udhængning eller afpresning med trussel om social udstødelse eller måske til direkte økonomisk kriminalitet i form af tømning af bankkonti og identitetsovertagelse med efterfølgende realisering af borgerens værdier. Privatlivs-konsekvenser indgår oftest ikke i de sikkerhedsrisikovurderingen, der laves ved udvikling af nye IT-systemer, da de konsekvenser, man her tager i betragtning, typisk vedrører bestilleren af systemets egen situation. Derfor er det nødvendigt, at der udarbejdes en privatlivs-risikovurdering ved siden af sikkerheds-risikovurderingen. Resultaterne af denne vurdering bør indgå som krav til leverandøren af systemet. En privatlivs-risikovurdering er en vurdering af mulige konsekvenser ved, at en given information bliver lækket og udstiller borgerens privatliv og en vurdering af, hvor stor risikoen er for, at det sker. Både Canadas og New Zealands regering har som krav, at denne vurdering fortages ved alle nye systemer. De kalder det en Privacy Impact Assessment (PIA). Kun den nødvendige information De fleste databehandlere/driftsleverandører har en høj grad af fysisk sikring af data i form af datacentre med adgangskontrol og sikring mod indbrud. Tilsvarende vil data oftest være fysisk sikret under transport således at data ikke går tabt eller kan anvendes af udenforstående, selv om de fik adgang til det fysiske medie, som data transporteres på. 88

89 Den samme beskyttelse er nødvendig, når data ikke transporteres fysisk, men i stedet elektronisk. Med den serviceorienterede arkitektur, som efterhånden binder store dele af vores samfund sammen i den digitale forvaltning, bliver behovet for at indtænke risikoen for datalækage eller datamisbrug meget overhængende. Det er således ikke tilstrækkeligt at sikre datas fortrolighed under transport med standardkryptering, selv om der ikke er tegn på, at den fortrolighed, der skabes med denne teknologi, kan brydes. Det er lige så nødvendigt at sikre, at data modtages af de rette. Udfordringen er at sikre, at data kun kommer til de personers kendskab, som har en berettiget adkomst til dem og at det netop kun er de nødvendige og tilstrækkelige data, der kommer til deres kendskab. Det er lettere at fremsende alle data end at sortere data efter, hvem modtageren er. Det er også lettere at fremsende til en gruppe af personer end at differentiere den enkelte sagsbehandlers adgang til data. Men hvis man ikke sikrer differentieret dataadgang til netop den berettigede modtager, vil data flyde til parter, der ikke burde have denne adgang. Ofte er det ikke nødvendigt at sende personfølsomme data, da modtageren ofte blot skal bruge data i en beregning så hvorfor ikke lave denne beregning i det system, hvor data i forvejen ligger og dermed undgå transport af følsomme data. En anden mulighed er, at de data, der transporteres, er anonymiserede, så den enkelte persons private forhold ikke kan genkendes. Dét er allerede et krav til data, der anvendes til statistiske og forskningsmæssige formål. I andre tilfælde vil der kun være brug for resultaterne af en forespørgsel. Det kunne være en sundhedsfaglig medarbejders forespørgsel på, hvorvidt borgeren er registeret som allergisk over for bestemte smertestillere hvor der sjældent er behov for at journalen fremvises i sin helhed. Med sådanne mere præcise krav fra bestilleren til en dataudveksling ville risikoen for brud på borgernes privatliv reduceres væsentligt. Kontrol med sikring af privatlivets fred Men løsninger bliver ikke privatlivsbeskyttende, uden at der er en åben proces med en offentlig fremlæggelse, som eksperter får mulighed for at kommentere. Én løsning er, at alle offentlige systemer frigives i Open Source 2, så alle kan forsikre sig om, at systemerne er lavet hensigtsmæssigt og at der ikke er skjulte datalækager i systemerne. Denne metode har dog visse ulemper, idet sourcekoden 3 kan være særdeles omfangsrig. Det bliver dermed meget tidskrævende at gennemgå programmerne, og oftest er det ikke en realistisk mulighed. En anden vej er, at den kravspecifikation som leverandøren skal efterfølge, og som programmørerne implementerer i deres programmer bliver offentlig tilgængelig, således at borgerne med eksperthjælp kan se, at der er stillet krav om, at deres privatliv bliver beskyttet. Når behovet for privatlivsbeskyttelse er afdækket gennem en privatlivs-beskyttelsesvurdering, kommer spørgsmålet om, hvordan man så implementerer denne sikring bedst i et IT-system. Før man etablerer sammenhæng mellem forskellige systemer som man gør det i dag i 89

90 en såkaldt entreprise-arkitektur skal man sikre, at informationerne i et system forbliver i systemet selv. I et enkeltstående system kan der være fuld kontrol over hvilke data, der vises på givne tidspunkter, og man kan derfor sikre beskyttelsen af, at der kun vises de relevante informationer ved den pågældende sagsbehandling. Med sammenhængende systemer hvor informationer i ét system anvendes i andre systemer kan den, der sender informationer, ikke vide, hvad disse informationer vil blive brugt til. Derfor kan den, der sender informationer til andre, ikke beskytte disse informationer mod afsløring. Det enkle svar er, at så sender man ikke informationerne. Det er ikke det samme, som at systemer ikke må eller skal samarbejde men det betyder, at en del af behandlingen af informationerne sker i det afgivne system og hvis dette ikke er muligt, at der stilles krav til modtageren. De informationer, der så afgives, kan enten være gjort anonyme, så de ikke er personhenførbare, eller være forbehandlede, så det kun er de informationer, som det modtagne system skal bruge, der afgives. I de tilfælde, hvor det er specifikke informationer, der er brug for i et modtagende system, er det vigtigt, at informationerne kun udleveres til netop den sagsbehandler, der skal bruge dem i en konkret sagsbehandling og at det sikres, at disse informationer ikke kommer andre steder hen. Der er en lang række andre teknologier, som kan anvendes til at sikre den enkeltes privatlivs-fred. Her kan i flæng nævnes rollebaserede adgange, pseudonymitet, forbundethedsanalyser, etc., som alle er teknikker, der kan anvendes til at sikre privatlivet bedre. De er nævnt her for at illustrere, at der ikke er langt fra primitive privatlivsudstillende metoder og til at anvende intelligente privatlivs beskyttende metoder. Det handler mest af alt om omtanke, når systemerne designes og at alle parter tager ansvar for privatlivsbeskyttelse ved skabelsen af nye IT-systemer. Det er dybest set i vores alle sammens interesse. Fire eksempler Patientjournaler: En patientjournal er naturligvis fortrolig information om den enkelte patient, og papirjournalen behandles derfor fortroligt med påskrift om, hvem der må få og har fået adgang til informationerne. Naturligvis er det muligt, at en sundhedsfaglig medarbejder kigger i en tilfældig papirjournal uden fagligt formål men det vil være tidskrævende og med lille chance for gevinst, dersom vedkommende søger personfølsomme informationer om en bestemt person. Desuden er der en væsentlig risiko for afsløring, når personen står med den fysiske journal i hånden, og kollegerne kommer forbi. Det er nærliggende at tænke, at de sikkerhedsforanstaltninger, der anvendes på en papirjournal, også er tilstrækkelige ved en elektronisk journal. Men desværre er det langt fra tilstrækkeligt, når man skal beskytte borgernes privatliv i elektroniske patientjournaler. Med en elektronisk patientjournal er tidsforbruget ved at gennemsøge informatio- 90

91 nerne ekstremt meget kortere og dermed øges sandsynligheden for, at en nysgerrig sundhedsfaglig person finder kompromitterende information ved simple søgninger. Når data lagres elektronisk kræves det heller ikke, at læseren er fysisk tilstede i nærheden af journalen. Adgangen bliver derfor uafhængig af nærhed. Derfor er der behov for at de informationer, der lagres i IT-systemer, sikres på en måde, der tager hensyn til teknologiens muligheder og begrænsninger. Kontrolsystemet med påskrift af, hvem der har haft en papirjournal, kan let overføres til den elektroniske journal; men da informationerne nu anvendes mange steder fra, vil en logning hvor en eller anden kigger i journalen hurtigt blive fyldt med dagligdags, berettigede opslag. Desuden vil opslaget nu kunne ske fra enhver terminal i systemet, så det ikke længere er sandsynligt, at en kollega kommer forbi. Det vil derfor være usandsynligt, at en uberettiget adgang vil blive afsløret ved blot at overføre kontrolsystemet fra de fysiske journaler til de elektroniske journaler. Med IT-systemer til databehandling kan borgernes privatlivsbeskyttelse let kompromitteres; men med intelligent konstruktion af IT-systemerne kan man tilsvarende lave løsninger, der kompenserer og ligefrem øger borgernes privatlivsbeskyttelse. Mens en fysisk journal nødvendigvis indeholder alle informationer, der er registreret om en given person hvorved disse bliver tilgængelige for alle, der ser journalen kan man med den elektroniske journal opdele informationerne, så en given sundhedsfaglig medarbejder kun får adgang til netop de informationer, der er relevante for vedkommendes arbejde. IT-støttet sagsbehandling: Den stigende anvendelse af IT i den kommunale forvaltning sikrer mere rationelle arbejdsgange og reducerer omkostningerne væsentligt. Når den enkelte sagsbehandler manuelt skal registrere alle informationer om en borger, der henvender sig, vil der være stor risiko for skrivefejl og et stort efterfølgende arbejde med at verificere informationerne. Det giver både mulighed for fejlbehandling af sager og er tidskrævende. Men med forskellige sagsmapper liggende i forskellige afdelinger på kommunekontoret er det sikret, at de informationer, en borger har afgivet i forskellige sammenhænge, ikke bliver sammenblandet og det enkelte kontor vil normalt kun have de informationer til rådighed ved sagsbehandlingen, der er indsamlet af kontoret selv. Det sikrer, at informationer, der ikke er relevante for den enkelte sagsbehandling, ikke er sagsbehandleren bekendt. Dermed undgår man, at sagsbehandleren farves eller at sagsbehandleren belastes med unødig viden og for eksempel kommer til at snakke over sig i sociale sammenhænge. Med IT-understøttelse kan borgerens informationer hentes centralt, således at der er sikret en langt bedre datakvalitet, og borgerne slipper for besværet med at skulle fortælle de samme oplysninger igen og igen til de personer, de møder i løbet af sagsgangen. Men samtidig bliver data fra forskellige sager let sammenblandet, så irrelevante informationer kommer til at indgå i en sagsbehandling. IT-systemerne kan indrettes således, at kun de informationer, der er relevante for en given sagsbehandling og ikke alle informationer bliver vist for den enkelte sagsbehandler. 91

92 Rent faktisk kan systemerne indrettes således, at borgerens privatliv beskyttes bedre end ved en papirbaseret sagsbehandling. F.eks. vil en borgers adresseoplysninger fremgå af alle papirbaserede sagsmapper. Med et IT-system vil det ofte ikke være relevant, at sagsbehandleren ser de adresseinformationer, der bruges ved svarskrivelser og dermed får at vide, hvor borgeren bor. Når sagsbehandleren udfærdiger svarskrivelsen, behøver vedkommende kun at skrive selve indholdet i en skrivelse. IT-systemet kan selv påføre formalia og borgerens adresse, som den er registreret i folkeregisteret. Videoudlejning: Private virksomheder opnår bedre datakvalitet og bedre arbejdsgange gennem indførelse at IT-systemer. Gennem anvendelse af kundesystemer kan faste kunder registreres med adresse og evt. automatisk fakturering ved f.eks. en videoforretnings udlån og salg, men eksemplet kunne lige så godt gælde et bibliotek eller et supermarked. Omkostningerne ved ekspeditionen sættes ned, og borgerne kan blive betjent hurtigere og med færre fejl. I det daglige vil en ekspedient naturligvis se, hvad en given borger lejer af videofilm og kan have sine tanker om valget; men med forskellige ekspedienter over tid vil den enkelte sjældent få et samlet billede af, hvilke film en borger har præferencer for. Borgerens privatliv er i alt væsentlighed beskyttet. Med anvendelse af kundesystemet vil data blive lagret over tid. Forretningen kan have interesse i at bruge disse data til at få overblik over, hvilke videoer der lejes og af hvem. Hermed kan man lære kundekredsens ønsker til videofilm at kende og dermed målrette indkøbene til forretningen. Forretningen kan desuden have en interesse i at kunne tilbyde en service, hvor borgeren tilbydes nye film på grundlag af den profil, der er tegnet ud fra de tidligere udlån. Hermed vil ekspedienten kunne få adgang til en borgers præferenceprofil, hvilket er en viden, der i nogle tilfælde vil kunne misbruges. Men det behøver ikke at være tilfældet. IT-systemerne kan indrettes, så de statistiske data, som forretningen ønsker at bruge, er anonyme uden at det forringer nytteværdien. Den service, forretningen ønskede at give borgeren, kan laves så profilen er gemt i maven af IT-systemet, og der blot sendes en til borgeren, når en video, der matcher profilen, ankommer. Hermed vil borgerens private præferencer ikke komme til de ansattes kendskab og borgerens privatliv er beskyttet. Låneansøgning: Ansøgning om et lån i en bank forudsætter oftest, at borgeren udleverer ikke så få informationer om sin økonomi til bankens medarbejder, før banken vil give et lånetilsagn. Det fysiske fremmøde og fremskaffelsen af mængder af dokumentation for éns kreditværdighed kan være tidsmæssigt belastende for borgeren, og tilsvarende vil det være omfattende og tidskrævende for bankens sagsbehandler at gennemgå informationerne. Samtidigt med gennemgangen af økonomien vil den enkelte sagsbehandler få et omfattende kendskab til borgerens private forhold, som vedkommende i sagens natur skal holde fortroligt efterfølgende. 92

93 Med IT-understøttelse kan borgeren uploade lønsedler og budgetter på et website, således, at papirskovene forsvinder og borgerne ikke skal lave kopier af alle informationerne. Med en e-boks kan borgerne endda sende dem direkte til banken. Hvis borgeren er fast kunde i banken, kan vedkommende give accept af, at banken selv indhenter en del af informationerne f.eks. fra et realkreditinstitut. Hermed kan informationerne berigtiges med det samme, og sagsbehandlingen bliver mere effektiv, hvilket sparer borgeren for meget tid og besvær. Selv om der er tale om informationer, som borgeren plejer at give sin bank, er det for de færreste betryggende at give denne form for carte blanche til, at informationer om éns private økonomi hentes online til sagsbehandlerens skærm og der er alternativer. En sagsbehandler behøver ikke nødvendigvis at kende de enkelte tal for borgerens økonomi, for tilsagnet kan i de fleste tilfælde beregnes ud fra en række indikatorer, såsom job, indtægt, eksisterende lån og overtræk på kassekreditter. Som fast kunde eller med uploadede informationer kan IT-systemerne beregne borgerens kreditværdighed, uden at de enkelte informationer bliver vist sagsbehandleren får kun afgang til den beregnede kreditværdighed og ikke de konkrete informationer, der ligger bag beregningen. Sagsbehandleren vil kun i de færreste tilfælde have behov for en egentlig behandling af ansøgningen, hvis IT systemer allerede har beregnet kreditværdigheden og i rigtig mange tilfælde vil et lån kunne bevilges, uden at der er mennesker, der direkte har set informationerne om borgernes private forhold. Hermed er væsentlige privatlivsfaktorer elimineret, og borgerens privatliv er bedre beskyttet. noter 1) Service orienteret og entreprise arkitektur er en betegnelse for, at mange IT-systemer arbejder sammen, således at informationer og beregninger i ét system kan hentes og anvendes af andre systemer. 2) Open Source: At programmets kildekode bliver offentliggjort, så alle der kan læse denne kan se, hvordan programmet fungerer. 3) Kildekode/sourcekode: Den tekst, som programørerne skriver, når de laver nye programmer. 93

94 Terrorbekæmpelse og sikkerhedsteknologi Af Ida Leisner, projektleder og cand.comm., Teknologirådet Frygten for terror og på samme tid en hastig udvikling indenfor kommunikationsteknologi, datalagring og dataanalyse, biometri og sensorteknologi har i de senere år skabt et voldsomt pres på borgernes grundlæggende ret til privatlivets fred. EU-landene har implementeret ny og skrappere lovgivning i kølvandet på det tragiske 9/11-terrorangreb på USA. Der er sket en kraftig udvikling og implementering af nye sikkerhedsteknologier og metoder, som er tænkt til at øge sikkerheden for europæiske borgere men som samtidig øger overvågningen af borgerne og krænker privatlivets fred. EU-kommissionen satte i 7. rammeprogram 1,4 milliarder euro af til sikkerhedsforskning herunder til udvikling af nye sikkerhedsteknologier. De første 45 millioner euro, der blev bevilget i , gik primært til projekter fra våben- og forsvarsindustrien. Det fik privacy-bekymrede organisationer som det britiske Statewatch til at advare om, at EU nu gav støtte til at bevæbne Big Brother. Et enkelt menneskerets-orienteret projekt slap dog gennem nåleøjet under navnet PRISE. PRISE står for Privacy og Security beskyttelse af privatlivet og sikkerhed og projektet kan ses som en slags etisk modvægt til de teknologi-orienterede projekter. Projektet skal støtte EU i at udforme de fremtidige forskningsprogrammer om sikkerhed, så de bliver i overensstemmelse med de grundlæggende menneskerettigheder og europæiske værdier. Opgaven, som teknologivurderings- og databeskyttelsesrådgiverne bag PRISE nu har løst, var at udvikle kriterier til at evaluere ansøgninger til EU s forskningsprogrammer inden for sikkerhed. Kriterierne er en slags evalueringsværktøj, som tester, om en sikkerhedsteknologi lever op til både lovgivning om persondata- og privatlivsbeskyttelse og om teknologien er i konflikt med etik og holdninger blandt borgere i Europa. PRISE-projektet PRISE-projektet har kortlagt sikkerhedsteknologier og deres potentiale til at krænke henholdsvis øge privacybeskyttelsen, har testet borgernes holdninger til privacy og sikkerhed ud fra scenarier, der illustrerer sikkerhedsteknologiernes virkning i praksis, og endelig udformet kriterierne på basis af disse analyser. Projektets resultater kan alle findes på projektets hjemmeside Projektet blev gennemført af 4 partnere. Foruden det danske Teknologiråd medvirkede Institute of Technology Assessment (Østrig), Unabhängiges Landeszentrum für Datenshcutz Schleswig-Holstein (Tyskland) og Teknologirådet (Norge). 94

95 Hvad er sikkerhed? I PRISE-projektet forstås sikkerhed således: Samfundets sikkerhed og sikkerheden for de individuelle borgere, som udgør samfundet. Sikkerhed dækker her fravær af fare i form af terror, organiseret eller tilfældig kriminalitet. Det omfatter ikke nationalstaters udenrigspolitik eller militære handlinger. Hvilke teknologier taler vi om? Som udgangspunkt for en analyse af sikkerhedsteknologiernes potentiale til krænkelse af privatlivsbeskyttelsen og til undersøgelse af borgernes holdninger valgte vi at se på følgende typer af kendte teknologier, som enten er i brug eller på vej: Kameraovervågning. Aflytning. Biometri som betyder at måle menneskers fysiske karakteristika med henblik på at fastslå en persons identitet. Det kan eksempelvis være fingeraftryk, DNA-profil, irismønster i øjet, ansigtsgenkendelse og meget mere. Scanningsteknologier bl.a. naked machine, et røntgenapparat der viser personen uden tøj på altså hvad der er under tøjet. Lokaliseringsteknologier (f.eks. GPS, mobil telefon). Datalagring og data mining (f.eks. kundekartoteker, betalingsoverførsler, sundhedsoplysninger som arkiveres digitalt/elektronisk og efterfølgende kan findes frem og stilles sammen til nye profiler f.eks. hvilke typer indkøb en konkret person foretager). PETs som er forkortelse for det engelske Privacy Enhancing Technologies privatlivsfremmende teknologier og altså ikke har noget med den danske efterretningstjeneste PET at gøre. Når nogen vurderer en unormal adfærd Øget sikkerhed kan kun opnås på bekostning af mere overvågning og mindre privatliv. Sådan bliver det såkaldte trade-off at man accepterer, at en fordel kun kan opnås, hvis man giver afkald på en fuld privatlivsbeskyttelse ofte stillet op. Man kan ikke både beskytte det enkelte individs ret til privatliv og indfri samfundets behov for sikkerhed. Men behøver det virkelig at være sådan? Nej, vurderer PRISE-projektet. Der er ikke en balance, hvor mere af det ene betyder mindre af det andet. Der er ikke en lineær sammenhæng mellem sikkerhed og privatlivsbeskyttelse. Mere overvågning kan øge sikkerheden, men det modsatte kan også være tilfældet, f.eks. hvis det enkelte individs sikkerhed mindskes på grund af statens massive overvågning. Generelt handler mindre sikkerhed for den enkelte om at blive mistænkt uden grund og arresteret eller tilbageholdt i lufthavne og lignende sikkerhedsovervågede steder. Konkret kender vi eksemplet med den unge mand, der blev mistænkt for at have medvirket ved terrorhandlingerne i Londons undergrundsbane i Politiet skød og dræbte ham under anholdelsen og senere viste det sig, at mistanken var ubegrundet. Mange af de nye sikkerhedsteknologier bliver brugt til overvågning af personer, som nogen vurderer til at have en ikke helt normal adfærd. En adfærd, som kan kædes 95

96 sammen med nogle forestillinger om mulige risici i en fremtidig situation. Der er ofte tale om overvågning af personer, som ikke har gjort noget forkert endnu. Sikkerhedstrusler i en overvågningssituation er altså i høj grad et normativt begreb, som ofte fører til en konflikt mellem at beskytte det enkelte individs rettigheder til privatliv og samfundets behov for sikkerhed. Ved at argumentere for, at der altid vil være et trade-off at samfundets sikkerhed kan koste privatlivsbeskyttelse er der en risiko for, at borgernes privatlivsfred ikke længere prioriteres, og at det, der anses som en gevinst for sikkerheden, fører til, at man accepterer tabet af retten til privatlivsfred. PRISE-projektets fremmeste formål er at bidrage til at aflive det formodede trade-off ved brug af sikkerhedsteknologier. Faktisk vurderer PRISE-projektet, at det i mange tilfælde er muligt både at forbedre sikkerheden og samtidig nå et højere niveau af privatlivsbeskyttelse. Hele idéen med at udvikle kriterier og retningslinjer for forskning i og udvikling af sikkerhedsteknologier og deres anvendelse, er, at det kan fremme såkaldt privacy by design, fordi det tvinger udviklere af teknologierne til at leve op til lovens krav om databeskyttelse og i bedste fald forbedre privatlivsbeskyttelsen. Privacy by design betyder groft sagt, at man udvikler teknologier, som ikke indsamler og behandler persondata på en privatlivskrænkende måde. Som det er i dag, indsamler man data og tilføjer først bagefter procedurer og metoder, som kan lappe på privatlivskrænkelsen. Hvis det lykkes i Europa, vil det ikke alene styrke borgernes privatlivsbeskyttelse. Det vil også give fordele for økonomi og erhvervsliv, som opnår konkurrencefordele på langt sigt, for de såkaldte PETs altså teknologier, der er forenelige med eller endda fremmer privatlivsbeskyttelsen vil blive mødt med større accept i befolkningen end de teknologier, der ikke gør. Borgernes holdninger til privatlivsbeskyttelse Netop befolkningens accept er væsentlig. I PRISE-projektet tog vi konsekvensen og satte borgere i seks europæiske lande stævne til en debat om sikkerhedsteknologi og privatlivsbeskyttelse. Det skete på såkaldte interviewmøder i Ungarn, Østrig, Norge, Danmark, Tyskland og Spanien. Der var tale om en kvalitativ undersøgelse, som ikke var statistisk repræsentativ. Mens både EU og nationale parlamenter i disse år åbner for øget overvågning og registrering af borgerne, så er almindelige mennesker overraskende kritiske og lader sig tilsyneladende ikke påvirke af den voksende terrorfrygt, der har præget den storpolitiske scene siden 11. september Således mener et stort flertal af deltagerne i PRISE-projektets interviewmøder, at brug af nye overvågningsteknologier, der griber ind i privatlivets fred, ikke kan retfærdiggøres med henvisning til truslen fra terror. Undersøgelsen peger også på, at kriminalitet er et bedre argument for overvågning end terror. Det vil sige, at hensynet til at forhindre eller opklare alvorlige forbrydelser opfattes som vigtigere end at forhindre terror, når det gælder om at forsvare brug af ny sikkerhedsteknologi. For den almindelige borger i EU virker terrortruslen tilsyneladende ikke så påtrængende. Eller de tror ikke på, at terror kan forebygges på lige den måde, som sikkerheds- 96

97 teknologier lægger op til. Tendensen ses ikke mindst i Spanien, der har levet med terror i 30 år, og som med togbomberne i Madrid for få år siden oplevede et af de værste terrorangreb i Europa. Undersøgelsen viser, at et stort flertal af de 180 interviewdeltagere fra seks forskellige lande vægter princippet om privatlivets fred meget højt og at de føler ubehag ved overvågning. Hvis de skal acceptere øget overvågning til gengæld for øget sikkerhed, stiller de høje krav, både til begrundelserne for overvågning og til måden, den udføres på. Deltagerne diskuterede fordele og ulemper ved de enkelte teknologier. Nogle teknologier blev helt afvist, mens det for andre afhang af sikkerhedstruslen i den sammenhæng, hvor teknologien tænkes anvendt. Generelt fremhævede de, at man skal passe på med at fokusere på teknologi som løsningen på sikkerhedsproblemer. Der kan være andre løsninger, herunder forebyggelse, som også skal indgå i debatten og beslutningsprocessen om at komme terror og kriminalitet til livs. Altså, hvis bare man havde noget patruljering af to politimænd, der gik og fløjtede, ikke. Jamen det giver 10 gange mere, end at der er et videokamera. (Danmark) Det er værd at lægge mærke til, at så godt som alle deltagerne støttede synspunktet om at inddrage alternativer til teknologi. Forskellige holdninger mellem landene Generelt var deltagerne meget nuancerede i deres opfattelse og holdning til sikkerhed og privatlivsbeskyttelse. I nogle spørgsmål var de delte. For eksempel om hvorvidt samfundets sikkerhed afhænger af, at man anvender sikkerhedsteknologier og om en teknologi skal anvendes, hvis den er tilgængelig. Der var uenighed om, hvorvidt alle skal tvinges til at underkaste sig teknologien, hvis den bliver indført af virksomheder eller myndigheder. Der kan være personer, som kan have grunde til at nægte at lade sig registrere i en database. Der er personer, som måske ikke kan bruge teknologien. Det kan være håndværkere, der i forbindelse med deres arbejde har mistet deres fingeraftryk. Deltagerne i borgermøderne var meget opmærksomme på dette problem, og de var imod en evt. diskrimination af mennesker, som ikke ville lade sig registrere eller udsætte sig for sikkerhedstjek i forbindelse med brug af forskellige serviceydelser. Knap halvdelen ville ikke acceptere nogen form for konsekvenser for disse mennesker. De understregede således, at de basale menneskerettigheder skal gælde uændret. At gøre det frivilligt at blive udsat for sikkerhedsteknologi rummer imidlertid det dilemma, at det på den ene side kan svække den generelle sikkerhed mens tvang på den anden side er imod borgernes demokratiske værdier. Særligt spanierne diskuterede dette dilemma. Og diskussionerne bevægede sig mellem to grundsynspunkter, det kunne formuleres således: Hvis jeg ikke har noget at skjule, har jeg ikke noget at være bange for. Hvis jeg ikke har noget at skjule, hvorfor skal de så overvåge mig? I Norge var de fleste (80 pct.) for at tvinge modstandere til at acceptere de nye teknologier, mens i Østrig og Ungarn var færre end 40 pct. villige til at bruge tvang. 97

98 Interviewmøderne viste også, at der er forskel på tilliden til de nationale myndigheder i de seks lande. I Danmark og Norge nærer mange stor tillid til staten og myndighederne mens især de spanske og ungarske deltagere nærer mistillid til myndigheder og embedsmænd altså netop de, der skal forvalte og styre brugen af sikkerhedsteknologierne. Tyskerne er også meget kritiske med hensyn til registre og dataopbevaring. Her spiller landenes historie og erfaringer med statens overvågning af borgerne tydeligt ind. Borgernes minimumskrav til sikkerhedsteknologier I den undersøgelse af borgernes holdninger, som indgår i PRISE-projektet, blev borgerne desuden spurgt om deres minimumskrav til brugen af sikkerhedsteknologier. De svarede blandt andet: Fysisk intimiderende teknologier er uacceptable Jo tættere en sikkerhedsteknologi kommer på selve den menneskelige krop, jo sværere er den at acceptere. Det gælder for eksempel ansigtsscanning med henblik på genkendelse og i mindre grad irismålinger af øjet. Allerværst er det med den såkaldte Naked Machine Nøgenmaskinen der med en særlig røntgenteknologi danner et detaljeret billede af kroppen og kroppens former under tøjet for herved at kunne afsløre enhver form for skjulte genstande. En maskinel erstatning for gammeldags kropsvisitering. Men den vækker meget stærk modstand. Det samme gælder videoovervågning i omklædningsrum for eksempel i butikker. Det anses for krænkende, selv om netop videoovervågning generelt hører til blandt de mest accepterede former for overvågning. Misbrug er selvfølgelig uacceptabelt. Mere overraskende var det, at 90 pct. af deltagerne følte sig overbevist om, at overvågnings-teknologierne vil blive misbrugt af kriminelle og af virksomheder i kommercielt øjemed. Function creep funktionsskred er ikke acceptabelt. Borgerne kunne ikke acceptere, at data indsamlet til ét formål, senere bruges til et andet. F.eks. ved efterforskning af terror og kriminalitet. Heller ikke, at brugen af en teknologi ændres til et andet formål. Der skal være proportionalitet mellem sikkerhedsgevinsten og krænkelsen af privatlivsfred For at en overvågning anses for rimelig, skal der være tydelig proportionalitet mellem mål og middel. Det skal stå klart, at en given form for overvågning rent faktisk vil øge sikkerheden på et konkret område. Samtidigt skal alternative muligheder altid overvejes. Altså om samme grad af sikkerhed kan opnås med andre midler. Kort sagt: Sikkerhedsteknologien skal være dokumenteret effektiv. Og indgrebet i privatlivet skal kunne retfærdiggøres af den trussel, som det drejer sig om. Det er ikke nok med vage formuleringer om terrorbekæmpelse. Jo mere effektiv en teknologi er til at opnå sikkerhed, jo mere accepterer borgerne den. De kan også bedre acceptere overvågning, hvis der er tale om steder med høj 98

99 risiko for terrorangreb eller kriminalitet. F.eks. mørke gader med risiko for overfald eller lufthavne. Dommerkendelse Hvis det endelig skal være, så anses dommerkendelser for et godt redskab til at gøre det uacceptable acceptabelt. Det gælder for eksempel aflytning og GPS-overvågning altså teknologier, der kan følge en persons færden. Her er tale om teknologier, som vurderes at gå meget tæt på den enkeltes privatliv, men som samtidigt anerkendes som særdeles nyttige redskaber for politiet. Uden dommerkendelse anses de for uacceptable. Skarp kontrol med de, der håndterer personlige data For at undgå misbrug ønsker borgerne, at der er skrap kontrol med de personer, som behandler data indsamlet ved hjælp af sikkerhedsteknologier. Privatlivskrænkende sikkerhedsteknologier skal kun implementeres, hvis alle andre løsninger har vist sig utilstrækkelige eller ineffektive. Offentlig debat Alle beslutninger skal baseres på åbne og gennemsigtige beslutningsprocesser men endnu vigtigere: Før beslutningerne træffes, skal der gennemføres en offentlig debat, der involverer borgerne og giver dem den nødvendige information til at kunne debattere på et kvalificeret grundlag. At involvere borgerne efterlader dog stadig politikerne med ansvaret for i sidste ende at træffe de nødvendige beslutninger. Bred involvering af eksperter og interessenter Borgerne lagde meget vægt på, at politikerne også træffer beslutninger baseret på den viden, relevante interessegrupper, eksperter og menneskerettighedsorganisationer kan bidrage med. Altid analysere privacy impact (den virkning på privatliv, som teknologien har) Endelig skal hensynet til privatlivets fred have en fremtrædende placering, hver gang et nyt sikkerhedsprojekt analyseres. På samme måde skal der kun gives penge til forskning i ny sikkerhedsteknologi, hvis det kan godtgøres at konsekvenserne for borgernes private liv analyseres til bunds. Privacy enhancing technologies PETs (privatlivsfremmende teknologier) Deltagerne blev også bedt om at vurdere, om PETs var en løsning, de gerne så udbredt. Men deltagerne var ret usikre på, hvad PETs er. For mange var det svært at forstå, hvordan PETs fungerer, og hvilke konsekvenser det ville have at bruge dem. Deltagerne gik umiddelbart ind for ideen om, at teknologier kan bruges til at beskytte privatlivets fred. Men når det så blev nævnt, at konsekvensen kunne være, at nogle kunne bruge kryptering til at gemme sig fra politimæssig efterforskning f.eks. til at skjule distribution af børnepornografi så kom nogle deltagere igen i tvivl. PETs fik mere støtte i Østrig og Tyskland end i de andre lande. 99

100 PRISE-kriterierne Borgernes holdninger, som de kom frem på interviewmøderne, blev tænkt med, da kriterier til vurdering af sikkerhedsteknologier blev udformet. Den basale ide i PRISE-modellen er en skridt-for-skridt tilgang fra de krav, der omhandler at leve op til lovens krav til databeskyttelse, til udvikling af teknologier, som gør privatlivsbeskyttelsen bedre, end loven kræver (det er nemlig muligt ved hjælp af teknologiske løsninger at give den enkelte borger bedre kontrol med egne oplysninger, end tilfældet er i dag f.eks. ved selv at give bestemte personer og kun dem tilladelse til at se éns patientjournal eller bankoplysninger). Nye teknologier kan testes i forhold til 3 niveauer: en baseline en nedre grænse, som aldrig må overskrides en kerne-sfære af privatliv, som aldrig må krænkes. forenelighed med gældende lovgivning. design til at forbedre privatlivsbeskyttelsen (det kontekst-afhængige trade off, hvor en konkret situation, f.eks. sikkerhedskontrol i en lufthavn, er med til at sætte grænsen for, hvor langt man vil gå i at videregive personlige oplysninger). Deltagernes klare modstand mod teknologier, som krænker den intime sfære fysisk eller psykisk, er reflekteret ind i baseline den nedre grænse, som ikke må overskrides. Deres stærke fokus på proportionalitet (rimelighed i forhold til sikkerhedstruslen) indgår i både det andet niveau, forenelighed med gældende lovgivning, og i tredje niveau, det kontekst-afhængige trade-off. Beskyttelse af data mod misbrug, som borgerne også lagde vægt på, er væsentligt medtænkt i databeskyttelses-procedurerne, der er en del af de redskaber til databeskyttelse, som indgår i andet niveau. Dommerkendelse og de forskellige holdninger til terrortruslen er tænkt med i det kontekstafhængige tredje niveau. Borgerinddragelsen har således været et vigtigt led i at udvikle PRISE-kriterierne, som afspejler væsentlige europæiske, menneskeretlige værdier. PRISE-projektet er kun et første skridt i en forstærket vurdering af sikkerheds- og overvågningsteknologiers påvirkning af privatlivsbeskyttelsen. I de kommende år vil der uden tvivl blive mere røre om sikkerhed versus privatlivsbeskyttelse. I sommeren 2008 har en EU-minister arbejdsgruppe offentliggjort ambitiøse sikkerhedsforanstaltninger mod terrorangreb, som vil betyde massiv overvågning af bl.a. borgernes brug af internet. Der bliver brug for fortsat udvikling og skub i retning af privacy by design, hvor privacy-beskyttelsen er tænkt ind i teknologien og ikke bliver en tillægsløsning, når skaden er sket. 100

101 PRISE-kriterier til privacy-tjek af sikkerhedsteknologier PRISE-kriterierne er fremstillet på en enkel og overskuelig 1-sides privacy-tjekliste med en række spørgsmål, man skal besvare (se Privacy Check List, side 103). Kriterierne kan anvendes i forskellige sammenhænge og på forskellige trin fra forskning og udvikling til implementering. I denne udformning er tjeklisten dels tænkt til at blive brugt af designere af nye sikkerhedsteknologier, som kan lave en selv-test, inden en ansøgning om tilskud til udvikling af teknologien sendes til EU. Og dels skal tjeklisten bruges af evaluatorerne af ansøgninger til EU. Spørgsmålene afdækker, hvilket privacy-niveau teknologien må forventes at ligge på og dermed hvor stort rum for forbedringer med hensyn til privacy-beskyttelse, der er. Tjeklisten giver både ansøger og evaluator mulighed for at undersøge privacy-konsekvenserne grundigt og systematisk. Allerførst stilles spørgsmålet, om den pågældende teknologi involverer behandling af personhenførbare data, sporing eller overvågning af personer. Spørgsmålene retter sig herefter mod de tre niveauer i PRISE-matrix en: a. Baseline/kerne-området, den grænse hvorunder man ikke kan acceptere at privat-livskrænkelsen går. b. Data Protection Compliance (forenelighed med gældende lovgivning). c. Context sensitive trade off. (situationsbestemt privatlivsbeskyttelse). For hvert af de tre niveauer giver PRISE-håndbogen forslag til redskaber, som kan overvinde eventuel konflikt med PRISE-kriterierne. Det kan f.eks. være, at man bruger en overvågningsteknologi sådan, at man (en myndighed) både direkte kan overvåge hvilke data, der bliver indsamlet, afbryde dataindsamlingen og slette ulovlige data, hvis de forefindes. Logning af, hvem der bruger teknologien, hvornår og hvilke handlinger, der er foretaget hvornår, kan også ske. Tekniske features kan f.eks. være at integrere automatisk sletning af data efter udløbs-dato. På det organisatoriske niveau kan for eksempel skriftlig information om overvågningen øge opmærksomheden på potentiel krænkelse af privacy. På det lovgivningsmæssige område er der når det gælder beskyttelse af den nedre grænse forskellige muligheder i EU-landene, men de skrappeste regler findes i Tyskland, som simpelthen forbyder indsamling af følsomme persondata. PRISE-projektet vurderer, at der bliver behov for nye regler/love, som forbyder at vise, gemme og behandle data, der krænker personlig værdighed og integritet som følge af ibrugtagning af nye sikkerhedsteknologier. Og sådan fortsætter det på de næste to niveauer. Databeskyttelse og forenelighed med gældende lovgivning tager udgangspunkt i nogle mål for persondatabeskyttelse og oversætter det til tekniske værktøjer, PETs, som tvinger til at overholde privacy-lovgivning. Det omfatter: Data-minimering, ano- 101

102 102 nymisering, brugerkontrol over egne data, forhindring af sammenkædning af data, transparens, adgangskontrol og monitorering. På det organisatoriske niveau er det også at undgå uautoriseret adgang til data. Det højeste privacy-niveau er det kontekst-følsomme trade-off som kan være situationer, hvor sikkerhedsteknologier anvendes i strid med databeskyttelseslovgivning. Her må der stilles krav om meget høj bevidsthed om og synliggørelse af, hvorfor man bruger sikkerhedsteknologierne altså hvilken sikkerhed der bliver opnået på bekostning af individets privatlivsbeskyttelse. Der skal indarbejdes procedurer, som tvinger til at besvare en række spørgsmål om proportionalitet altså om der er tilstrækkelig sikkerhedsgevinst i forhold til de negative konsekvenser for privacy. Erfaringer fra tilsvarende situationer med brug af andre privacy-krænkende teknologier kan være med til at skærpe en vurdering af trade-off et.

103 Privacy Check List Relevance of the issue Does the proposed technology involve processing of personal data (e.g. data that makes people identifiable) Does the proposed technology involve tracking the location or observation of people? Core Sphere Does the proposed technology interfere with human dignity? Does the proposed technology interfere with physical integrity of people? Does the proposed technology allow or aim at interaction with partners like spouse, children, lawyer, priest? Data Protection Compliance Does the technology lack a specification of the purpose of use and data collection or is the purpose given very broad? Does possible technology use and data collection and processing require passing a new legal basis? Is there a less intrusive means available allowing achieving the intended result with comparable efficiency? Does the technology aim at or allow the collection of sensitive data? (e.g. health, sexual lifestyle, ethnicity, political opinion, religious or philosophical conviction) Does the technology involve linking of data, data fusion or data analysis? Does the technology require lifting anonymity of data subjects? Is the technology used regardless of whether the individual is suspected of any wrongdoing? Is lack of transparency regarding technology use (prior to and/or after use) the default setting? Context sensitive trade-off Does the proposed technology enhance privacy compared to existing solutions? Does the proposed technology aggravate judicial scrutiny? Does the proposed technology facilitate human societal security? Does the proposed technology aim at crime prevention? Does the proposed technology aim at prosecution? Is the main field of application fight against Terrorism Organised Crime Random Crime Does the proposed technology increase individual security against the state (in terms of privacy protection) other spheres (economy, social) 103

104 Nøglen til fremtiden om pseudonymer og virtuelle identiteter Af Stephan Engberg, it-sikkerhedsekspert, Priway Den digitale verden er menneskeskabt og 100 pct. designet af mennesker. Det betyder, at vi kan lave præcis den verden, vi vil men vi skal også leve med konsekvenserne. Her er der en kilde til både pessimisme og optimisme på samme tid. Vi kan sagtens lave et overvågningssamfund, hvor teknologien bliver misbrugt kommercielt og politisk til at kontrollere mennesker. Vi kan også sagtens lave et samfund, hvor det er let for kriminelle at begå kriminalitet, fordi de kan anonymisere sig eller gemme sig bag andres identitet. Den pessimistiske erkendelse er, at vi har skabt et samfund, som hærges stadig mere af både paranoid overvågning og kriminelt misbrug på trods af, at det tales stadig mere om privacy og sikkerhed. Det største problem er, at det er et komplekst område, hvor man ofte farer vild i definitioner og antagelser, så mange tiltag virker stik modsat hensigten. Selv om avanceret teknologi skaber problemer for beskyttelse af privacy, så kan teknologien også levere hovedparten af løsningen. Netværk, hardware og software kan og burde designes, eller re-designes, med henblik på at sikre brugeren kontrol over hans personlige data og privatsfære. Kilde: EU Information Society Planning 1 Den optimistiske vinkel tager udgangspunkt i, at vi i dag står med svar på alle de vigtige spørgsmål og dermed kan rette op på udviklingen. Uanset, hvor slemt det bliver, er der altid et i morgen, som det er værd at arbejde for at gøre bedre. Man bør tage udgangspunkt i erkendelsen af, at sikkerhed ikke er en modsætning mellem frihed og ansvar tværtimod er der masser af muligheder for at etablere winwin-win løsninger på samme måde, som enzymer muliggør, at man kan vaske renere (bedre funktion), billigere (ved lavere temperatur/mindre vaskepulver) og med mindre forurening af naturen (samfundsinteressen). Det digitale enzym, som muliggør, at man kan lave digitale services uden at underminere sikkerheden og magtbalancerne kan bredt betegnes som pseudonymisering. Pseudonymisering dækker over, at borgeren kan handle og kommunikere som en digital person akkurat ligesom Karen Blixen kunne udgive bøger under det fiktive Isak Dinesen uden at identificere sig hvorved man kan undgå, at kontrollen skifter væk fra borgeren samtidig med at servicen kan gennemføres. Der findes blot ét pseudonym, men et for ethvert formål, så man kan holde tingene adskilt. 104

105 Pseudonymisering kommer i mange former fra den klassiske kontanthandel over ihændehaverbeviser som billetter til mere avancerede løsninger som et valg til Folketinget. Ikke blot kan pseudonymisering løse de fleste sikkerhedsproblemer. Faktisk kender vi ikke andre måder at opretholde sikkerheden på, fordi sikkerhedsproblemer oftest kan føres tilbage til for meget identifikation, fejl i identifikationen, identitetstyveri eller misbrug af personhenførbare data. En database (for eksempel elektroniske patientjournaler), som ikke indeholder identificerende data, vil være meget sikker, selv hvis den indeholder stærkt følsomme data. Pseudonymiseringen betyder, at data stadigt kan bruges til at servicere borgeren uden at ødelægge sikkerheden. Her er det vigtigt at forstå, at et pseudonym sikkerhedsmæssigt kan spænde over hele bredden fra tilnærmelsesvis perfekt anonymitet i et folketingsvalg til en ansvarlig og let identificerbar IP-adresse i forbindelse med usikret online-kommunikation. I praksis kan og bør modellen for ansvarlighed for et pseudonym tilpasses den præcise kontekst, så at man hvis og kun hvis borgeren selv overtræder loven eller selv ønsker det overhovedet kan forbinde et pseudonym med den specifikke borger, hvilket giver minimal risiko for, at borgerens rettigheder overtrædes uberettiget. Dette kapitel har først og fremmest det formål at belyse løsningsmodeller på de helt fundamentale spørgsmål og samtidig stille spørgsmålet, hvorfor vi ikke løser problemerne med den centrale pointe, at det øjeblikkelige demokratiske og markedsmæssige forfald bygger på vores manglende evne eller vilje til at møde problemerne med rettidig omhu. Et stort problem er, at man unuanceret springer til konklusioner og for eksempel siger, at alt skal logges (overvåges), fordi kommunikationen kunne være terrorrelateret. Her glemmer man, at der kun er mikro-promiller sandsynlighed for, at en given handling er terrorrelateret, men at logning uden sikkerhed som i dag med en til vished grænsende sandsynlighed fører direkte til kommerciel, kriminel og politisk misbrug. Det handler om at nedbryde forældede antagelser og dogmatiske modsætninger og eksemplificere, hvordan vi kan løse problemerne. Pseudonymer på vej mod en nuanceret identitetsforståelse Det absolut største problem i denne diskussion er tendensen til at være fastlåst i den gammeldags CPR-tanke at mennesker kun har én identitet og at CPR-nummeret er den eneste sande repræsentation. Mange har vanskeligt ved mentalt at finde sig til rette i den digitale tidsalders mere virtuelle struktur. Vi har imidlertid masser af dagligdags eksempler på, at det er en forkert opfattelse, fordi vi bruger masser af pseudonymer uden at tænke over det. Et menneske er en fysisk person med et navn og tilhørsforhold men med mange identiteter i forhold til de mange roller og sammenhænge, man indgår i. Et folketingsvalg er afhængig af en avanceret pseudonymisering med lavteknologiske midler. Vi skal være sikre på, at kun borgere, som overholder en række meget klare krav til at være stemmeberettigede, kan stemme og kun kan afgive én anonymiseret stemme så de demokratiske forudsætninger for valgets legitimitet er overholdt. End ikke borgeren selv må kunne dokumentere, hvad vedkommende har stemt (fordi så kan vedkommende også afkræves dokumentation for, at man har stemt som pålagt). 105

106 Markedet bygger grundlæggende på kontanthandler, hvor forbrugeren betaler med rede penge og derfor kan forblive anonym. En bon eller en billet er et pseudonymt ihændehaverbevis på ejerskab af en vare eller en rettighed. Spørgeundersøgelser er værdiløse, hvis respondenterne ikke tør svare sandt, fordi de mistror anonymiseringen. Vi er også klart bevidste om, at forskning skal baseres på anonyme data. I den digitale verden har vi en lang række tekniske værktøjer, så vi selv kan håndtere problemstillinger, som folk, der ikke er teknisk kyndige, ville tro var umulige. Vi har teknisk Digitale Kontanter hvor man kan opretholde ikke bare fordelene med fysiske kontanter 2 med anonymitet, men samtidig indbygge sikring mod forfalskning af penge og kan med de nyeste løsninger også forebygge mod kriminalitet som f.eks. tyveri, hæleri og hvidvask. Når du opretter en -addresse, som ikke indeholder identificerende information i navnet, opretter du et pseudonym, som netop er karakteriseret ved, at man ved korrekt brug kan kommunikere, uden at modparten kan identificere én. Mange bruger en ny -addresse til hvert formål, fordi det sikrer, at man kan holde de forskellige roller adskilt, og at man kan lukke en mail-adresse, hvis modparten ikke opfører sig ordentligt, uden at det går ud over kommunikationen med alle andre. Pseudonymisering indgår altså helt naturligt som sikkerhedsfunktion i mange af de fundamentale samfundsforhold men vi har været ekstremt dårlige til at opretholde disse grundlæggende principper, samtidig med at vi udnytter fordelene ved digitalisering. Så snart vi erkender, at den gamle, spontane tankegang (identifikation er godt, men pseudonym er dårligt) skader både borgerens og virksomhedens sikkerhed og reelt underminere de mest fundamentale samfundsprincipper bliver det helt naturligt at tænke to-dimensionelt, altså erkende et mere nuanceret perspektiv, hvor man tager udgangspunkt i både den enkelte borgers sikkerhed samtidig med at man tager højde for, at borgeren også kan begå kriminalitet fordi det på den måde også bliver muligt i en samfundsproces at isolere og håndtere de aspekter, som er vigtige for de forskellige parter i den pågældende transaktion. 106

107 Figuren på side 106 fokuserer på to helt centrale aspektet På den ene side, at der er en glidende sondring mellem i den ene ende anonymitet og i den anden ende identifikation med alle varianter af pseudonymitet derimellem. På den anden side den risiko, der er involveret og hvor den centrale pointe er, at både anonymitet og identifikation indebærer voksende sikkerhedsrisici. Det centrale er, at hvis man vil minimere risikoen, gælder det om at ramme de svære balancer. De basale begreber privacy, sikkerhed, tillid, identitet Alle problemer er svære, indtil man har forstået deres essens. Uklare definitioner er oftest udtryk for, at essensen ikke står klart frem og at man reelt diskuterer med høj grad af begrebsforvirring det gælder for privacy-spørgsmålet mere end så mange andre snævre spørgsmål. En stor engelsk rapport The Future of Privacy rummer en helt grundlæggende betragtning: Privacy kan bedst forstås som sikring mod forskellige former for risiko risiko for uretfærdighed via fejlagtige konklusioner, tab af kontrol over personlig information, og risiko for tab af værdighed via blotlæggelse eller pinlige episoder. (Kilde: DEMOS The Future of Privacy 3 ). Privacy er tæt relateret til risiko og dermed mulige fremtidige hændelser i bred forstand. Alene muligheden, truslen, frygten for, hvad en borger vil betragte som overgreb, udgør for vedkommende et overgreb selv uden at misbruget nogensinde finder sted. Privacy er udtryk for, at man fokuserer på sikkerhed fra en bestemt parts synspunkt. For privatpersoner inkluderer sikring af privacy både vold og identitetstyveri og de sammenhænge, hvor viden om en borger udgør et sikkerhedsproblem både for vedkommende og for den part, som er ansvarlig for at beskytte databasen mod misbrug. Ved direkte at koble privacy til sikkerhed finder vi den operationelle forståelse af privacy, fordi sikkerhed drejer sig om risikostyring. Hermed dækker privacy-forståelsen både optimering af teknisk design og juridiske rettigheder, dag-til-dag afvejninger og handlinger. Vi hører ofte begrebet tillid brugt absolut jeg har tillid til x men i praksis skal det altid ses i forhold til den specifikke kontekst og med langt flere nuancer. I praksis drejer tillid sig mere om, at man har tillid nok i forhold til en given handling altså at man foretager en specifik afvejning mellem opfattelsen af risiko og den værdi, man forventer af opnå. Sikkerhed indgår ofte i en cost/benefit-betragtning, som betyder, at man til tider løber risici for at opnå en gevinst uanset, om vurderingen af risikoen er over- eller undervurderet. Ved identitet forstår vi den tekniske repræsentation af en juridisk person i en given sammenhæng samt de digitale nøgler, certifikater og data, som modparten kan knytte til identiteten. Et pseudonym er en ikke-identificeret repræsentation af en borger, som muligvis kan henføres til en bestemt borger i bredest mulige forstand i forhold til figuren på side

108 Altså i modsætning til en anonym identitet, som eksplicit kan karakteriseres ved, at man ikke uden borgerens medvirken kan henføre identiteten til en specifik borger. Man kan groft sætte det sådan op, at hvis borgeren er identificeret, ligger kontrollen altid hos en anden end borgeren. Hvis borgeren agerer anonymt, betyder det, at der ingen mulighed er for at holde borgeren ansvarlig men agerer borgeren pseudonymt, så kan der være en måde at genkoble forbindelsen til den fysiske person. Fem fundamentale positive grunde til at pseudonymisering Når man diskuterer rettigheder og principper, må man være opmærksom på potentielle interessekonflikter, der koncentrerer sig om magt, prestige og profit. Der tales og skrives meget om persondataloven og de mange og komplekse problemstillinger, som lovgivningen og håndteringen af lovgivningen vedrører. Med oftest gør man tingene mere komplekse end nødvendigt. Princippet, som vi genfinder i både Grundloven og den europæiske (og dermed også danske) persondatalovgivning, er at tage udgangspunkt i borgeren som suverænt individ med ukrænkelige rettigheder. Retsprincipperne er reelt ret klare: Persondataloven gælder, så snart data med inddragelse af alle tredjeparter kan gøres personhenførbare altså så snart der skabes en risiko for misbrug, så skal loven overholdes. Omvendt hvis der ikke etableres en risiko for borgeren, så falder det uden for lovgivningen. Men lovgivningen går videre og dikterer risikominimering: Personhenførbare data skal anonymiseres, så snart det er muligt. Personhenførbare data må ikke registreres uden informeret samtykke. Man må ikke registrere data uden veldefineret formål og samtykke. Man må ikke sælge data uden klart forudgående samtykke. Hvis en virksomhed eller en myndighed skaber risici for en borger, skal det ske formålsspecifikt, tidsbegrænset, minimalt og med informeret samtykke og ikke mindst med den bedste til rådighed værende teknologi altså risikoen for borgeren skal minimeres. Der er to klare problemer med Persondataloven. a) Det ene problem er, at lovgivningen har huller så store som ladeporte. Man kan lave undtagelsesbestemmelser hvilket er udbredt i den offentlige sektor, som nærmest er omfattet af en general-undtagelse, uden at kravet om risikominimering for borgeren sikres. Samtidig er der en general-bagdør, som siger, at betydelige samfundsmæssige interesser kan tilsidesætte borgernes rettigheder. Påstanden i dette kapitel er, at disse bagdøre generelt misbruges i udstrakt omfang uden saglig begrundelse eller demokratisk vurdering af, om alternativer kunne sikre borgernes rettigheder. b) Det andet problem er, at sikkerhedsteknologier ikke inddrages. Persondata-direktivet bygger på et krav om risiko-minimalisering baseret på teknolo- 108

109 giens status, det vil sige at man skal minimere risici for borgerne bedst muligt givet de teknologiske muligheder. Dette krav sikres objektivt ikke i Datatilsynets behandling af problemstillinger med den konsekvens, at man gennemgående vælger de for borgerne, samfundet og retssikkerheden mindre optimale teknologiske løsninger. Pseudonymer er formåls-specifikke identiteter, hvor data låses til et bestemt formål hvor data kan trækkes tilbage (pseudonymet kan lukkes) og minimaliseres (data kan ikke kobles med data skabt andetsteds til andre formål) og borgerens samtykke kan være både eksplicit og implicit, idet oprettelsen af et nyt pseudonym per definition forudsætter, at borgeren er i kontrol. Pseudonymisering er ikke bare den bedste, men også den eneste til rådighed værende teknologi og design-princip, som kan sikre overholdelse af lovgivningen samtidig med at man opnår fordelene ved digitalisering. Med pseudonymer, som bygger på sikkerhedsmekanismer, hvor data kun kan henføres til en given borger, hvis borgeren har overtrådt loven, vil man endda være helt uden for lovens begrænsninger, fordi sådanne data i sagens natur ikke udgør en trussel mod borgeren. Sikkerhed minimere risici Hvis vi skal kunne sikre et system mod både bevidst misbrug og fejl er pseudonymisering reelt den eneste måde at gøre det på. Hvis en elektronisk patientjournal eller en kundedatabase ikke indeholder identificerende oplysninger, så kan en cracker, en intern medarbejder eller andre, der har tiltvunget sig uberettiget adgang ikke misbruge de data, de kommer i besiddelse af. Samtidig er det næsten umuligt for en tredjepart at udgive sig for en anden (identitetstyveri), uden at have adgang til de faktiske nøgler. Med andre ord hvis man ikke optimerer systemsikkerheden med udgangspunkt i sikkerheden for de mennesker, der bruger systemet, så har hverken systemet eller systemets interessenter sikkerhed. En identificeret borger er underlagt det fundamentale problem, at kontrollen altid vil ligge et andet sted og denne modpart udgør både en trussel på grund af sin rolle som potentiel misbruger og fordi borgerens sikkerhed ikke kan blive god nok. Sikkerhed følger af forebyggelse og minimering af risici ikke af overvågning og magtforskydninger mellem borger og sagsbehandler, hvor misbrug ikke kan undgås. Innovation og velstand kontrollen følger efterspørgslen Markeder bygger på fortsat tilpasning til individuelle behov via forbrugernes frie fra- og tilvalg samt den værdisætning, de sætter på et givent produkt eller en service. I den klassiske kontanthandel tvinges butikken og værdikæden til at indrette sig efter forbrugerens behov og ønsker og det er selve grundfunktionen i markedsfunktionens tilpasningsevne. I den digitale verden ser vi i stigende grad den omvendte process finde sted: I stedet for at værdikæderne indretter sig efter kunderne, så tilpasses kunden til udbyderen. Man identificerer kunden og begyndte at kommunikere til vedkommende ud fra stadigt mere 109

110 detaljerede profiler med henblik på at få kunden til at foretage de handlinger, som butikken ønsker. Det sikkerhedsmæssigt holdbare og markedsbevarende alternativ for at undgå en ikketilsigtet profilering i en digital verden er, at kunden teknisk kan oprette et nyt pseudonym en formålsbestemt nøgle som ikke er personhenførbar og koble de relevante profilog præferencedata hertil. Kunden kan vælge i hvilken grad data skal genbruges ved at koble den nye nøgle med gårsdagens nøgle og han kan vælge at hente data fra andre historiske pseudonymer og dermed sikrer han sig magten til at styre værdikæderne, og at innovationen følger behovet. Når princippet er fastlagt, er resten et spørgsmål om teknologisk design, så det er nemt og sikkert. Effektivisering kontrollen følger magten over personhenførbarheden Dette problem er langt værre i en offentlig sektor, hvor man starter med at identificere borgerne ved indgangen til et system og hvor den enkelte borger ikke i øjeblikket har samme magt som kunden til at sikre sig, at processen indretter sig efter borgerens ønsker, fordi borgeren hverken kan stemme med sin pengepung eller har kontrol over data. Man er underlagt et centralt styret planøkonomisk system, som dikterer one-size-fitsall i en opsætning, der er ude af stand til at tilpasse sig de individuelle behov. Den direkte konsekvens er, at det offentlige system bliver stadig mere ineffektivt. Hvis man i stedet flyttede kontrollen over persondata hen til borgeren, ville man tvinge de offentlige processer til at indrette sig efter de individuelle behov i stedet for at arbejde med stive, centralt styrede processer, hvor koordinering, kvalitet og effektivitet er afhængig af centrale beslutningsprocesser, som ikke kan rumme eller tilpasse sig kompleksiteten i de individuelle behov. Frihed er tæt forbundet med oplevelsen af individuel suverænitet. Behovet for kontrol og mulighed for selv at styre, hvordan vi fremstår i en sammenhæng, er grundlæggende for mennesker. Man ønsker og kan sagtens selv vælge men det forudsætter netop, at den digitale infrastruktur (kommunikationsnettene og de værktøjer, vi stiller til rådighed for borgeren) ikke medfører, at de forskellige relationer blandes sammen i én og samme kasse med én og samme nøgle så borgeren altid er identificeret. Sociologisk er der også nogle andre, dybt moralske aspekter: Internettet glemmer ikke, fordi så godt som alt gemmes men skal det betyde, at helt centrale værdier som benådning og tilgivelse ikke betyder noget mere i internettets forstand? Pseudonymisering er den eneste måde, hvorpå vi digitalt kan muliggøre det at glemme. Endelig er der en helt simpel pointe, som man ofte glemmer i det danske velfærdssamfund nemlig at borgerne bliver, som de bliver behandlet. Hvis man behandler dem som kompetente mennesker og giver dem værktøjerne til at agere kompetent så gør man dem også mere kompetente. I kontrast til dét ligger den forudfattede antagelse, at borgerservices kun henvender sig til gamle kvinder med Alzheimers eller på anden måde inkompetente borgere. Betragter man borgerne som inkompetente, laver man kompetence-reducerende servicemodeller og omvendt. 110

111 Hvis vi skal kunne sikre et system mod både bevidst misbrug og fejl så er pseudonymisering reelt den eneste måde at gøre det på. Hvis en elektronisk patientjournal eller en kundedatabase ikke indeholder identificerende oplysninger, så kan en cracker, en intern medarbejder eller andre, der med magt har tiltvunget sig uberettiget adgang ikke misbruge de data, de kommer i besiddelse af. Stephan Engberg 111

112 Overvågning og ansvarlighed Bekæmpelse af kriminalitet i betydningen at kunne finde de kriminelle og holde dem ansvarlige og dermed forebygge kriminalitet er det oftest brugte argument for overvågning (ufrivillig identifikation og kobling af data). Men ansvarlighed forudsætter ikke overvågning. I det følgende vil jeg diskutere de basale principper for overvågning såsom overvågningskameraer og blokering heraf og se på, hvordan man kan indrette disse, så der ikke er tale om overvågning selv om man opnår de samme hensyn. Det vigtige hensyn er fokus på den digitale overvågning, fordi her kan misbruget skaleres f.eks. kan man diskutere, hvor farlige de gamle analoge kameraer med båndsløjfer er, men misbruget og sikkerhedsproblemerne eksploderer, når vi taler kameraer i netværk (globalt tilgængeligt) koblet med automatisk ansigtsgenkendelse (digital identifikation). Ansvarlighed er betinget identifikation i forhold til situationens behov altså, at man kan identificeres, men ikke på forhånd er identificeret. Forskellen er, at der ikke skabes risici for borgere og systemer i de 99,9999 procent situationer, hvor der ikke er kriminel aktivitet involveret. Betinget identifikation indebærer som minimum, at identifikation ikke kan finde sted, uden at en dommer har aktiveret en nøgle, der giver adgang. Det drejer sig ikke om, at der foreligger dommerkendelse, men om at dommeren kontrollerer nøglen, fordi vi i en digitaliseret verden må betragte ufrivillig identifikation som en dom. I afklaringen af dette princip definerer samfundet den basale forståelse af konceptet Frihed under ansvar, som i sin rene form kan fastlægges sådan, at selv om der er en måde at holde en borger ansvarlig, må man med en til vished grænsende sandsynlighed ikke kunne koble aktiviteter udført af den samme borger. Gode løsninger vil have både indbygget tidsbegrænsning og styrke de basale retsprincipper herunder sikring af appelmulighed, forebyggelse af trusler mod dommere og dødemandsknapper til total nedlukning, hvis det ultimative sammenbrud i retstilstanden finder sted (i en ekstrem situation vil vi hellere have, at hele grundregisteret slettes end det, der skete under Anden Verdenskrig, hvor tyskerne kunne bruge registre til at udpege alle jøder, politiske modstandere eller politifolk). Konsekvens Overvågning begrundes ofte i behovet for at tjekke, om en person har forbrudt sig og dermed er blacklistet. Men det behøver man ikke at identificere vedkommende for at kunne. Hvor ansvar drejer sig om, at man kan drage en borger ansvarlig for en tidligere begået handling, så vedrører konsekvens at sikre, at misbrug har konsekvens for fremtidige handlinger. Heller ikke konsekvens forudsætter identifikation. Man skal blot sikre, at denne viden kan overføres til serviceudbyderen med borgeren som mellemmand uden at borgeren kan identificeres. Det har vi i dag teknologiske værktøjer til endda mange forskellige. Et eksempel på en sådan teknologi er blinded certificates, som er en variant af den samme teknologi, man bruger til digitale signaturer. Det specielle ved blinded certificates er, at de anonymt kan bekræfte medlemskab af den gruppe, som har autoriseret adgang 112

113 men også kan bruges til at bevise, at man ikke er medlem af den gruppe, som er blacklistet eksempelvis på diskoteker, der ønsker at holde voldselementer og narkohandlere ude, samtidig med at man ønsker at beskytte de unge. Nødsituationer En nødsituation involverer enten et råb om hjælp eller forsøg på undsætning. Når nødsituationen opstår, ændres sikkerhedsbalancerne og det fører ofte til at etablere konstant overvågning. Men det betyder ikke, at overvågning er omsorg overvågning er omklamring, medmindre det i sagens natur er nødvendigt eller et klart ønske fra den, som overvåges. I praksis kan man sagtens etablere nødberedskab, som ikke indebærer overvågning: Borgeren kan have en alarmknap, som medfører, at man ikke bare optager billeder (altså passivt overvåger med henblik på senere dokumentation) en hændelse men at man faktisk reagerer, når behovet er der. I sundhedsmæssig forstand kan borgeren have deponeret data og nøgler fysisk på kroppen, så de hvis patientens sundhedstilstand kræver det altid er tilgængelige i nødsituationer. Med nye engangsteknologier der kan etableres i såkaldte RFID-enheder, som kan fungere uden batteri kan man sikre disse data, ind til nødsituationen opstår, og derefter sikre, at data kun frigives til autoriserede personer. Man kan etablere indirekte alarmsystemer, der fungerer som dødemands-knapper: Hvis kroppens fysiologiske alarmsignaler ringer, så omsættes det til en digital alarm og en sensor, som ikke kan misbruges til identificering, afslører alarmerende adfærd og kan igangsætte en mekanisme til afklaring af situationen og eventuelt alarmering. Privacy og tillidsskabende teknologier Man taler om såkaldt privatlivsfremmende teknologier eller PETs (ikke at forveksle med forkortelsen for Politiets Efterretningstjeneste). I praksis drejer det sig ikke kun om teknologi men i højere grad en metodisk tilgang til design af digitale teknologier, så de prioriterer den enkelte borgers sikkerhed. Samtidig er det essentielt, at man ikke bare ser efter teknologiske quick-fix hurtige, udelukkende tekniske løsninger, som reelt rammer ved siden af problemet. Gode sikkerhedsmodeller består af en blanding af jura, processer, lokale politikker og teknologi. Som med en god kontrakt er den skrevet med fokus på, hvad der sker, når det går galt ud fra håbet om, at man med et godt forarbejde kan reducere risikoen for fejl og konsekvenserne af dem, hvis de alligevel indtræffer. Samtidig bør man være opmærksom på, at et samfund er en kompleks struktur af parallelle processer, som konstant forandres og hvor nye behov og muligheder opstår. Gamle forældede løsninger erstattes gradvist af nye i det uigennemskuelige system, vi kalder et marked eller blot samfundet. Man skal hverken forledes til at tro, at man med ét kæmpestort Big Bang kan indføre den endegyldige løsning eller at nogen løsning ikke gradvist vil skulle erstattes af bedre løsninger, allerede inden den er indarbejdet. Grundlæggende må man i en digital verden arbejde med tre niveauer til erstatning og videreudbygning af den simple og forældede CPR-model. Alle tre niveauer skal 113

114 være understøttet af et borgerkort, for at det gavner samfundet og ikke blot tilgodeser særinteresser: Ansvarlighedslaget: Den helt basale sikring af, at borgeren har kontrol over og dermed også kan ansvarliggøres for kriminel misbrug af sin grund-identitet (det niveau som vi traditionelt ville betegne CPR). I ansvarlighedslaget ligger både den sporbare kobling til en bestemt fysisk person, men også borgerens kontrol med øjeblikkelig nedlukning, hvis man mister kontrollen med de kritiske nøgleenheder, såsom Borgerkortet. Virtualiseringslaget: Her opbygger man ansvarlige pseudonymer tilpasset det specifikke formål som det bærende sikkerhedselement for den digitale verden. Det er den basale sikring af, at borgeren kan agere digitalt (såsom at gå online eller handle i en butik) uden at blive identificeret, samtidig med at modparter i en transaktion kan forhandle og få afdækket deres sikkerhedsbehov. Det vil ofte involvere, at man validerer en specifik ansvarlighedsmodel som passer til transaktionen. Profillaget: Her opbygger man indholdet af identiteter baseret på profildata, som kan være certificerede af tredje part og af borgeren kan udveksles mellem de forskellige pseudonymer, så at for eksempel SKAT kan validere, at man er arbejdsløs (ikke modtager skattepligtig indkomst fra lønnet arbejde) over for arbejdsløshedsunderstøttelsen uden, at de to enheder behøver at blande rådgivningsprocessen med at finde nyt arbejde sammen med SKATs arbejde med at sikre, at indtægter beskattes. Og SKATs arbejde med at sikre, at indtægter beskattes behøver ikke at indebære, at SKAT ved, hvor du er ansat de skal blot kunne tjekke at alle udbetalinger er indberettet til SKAT, så man kan beregne en given borgers skat. Det er centralt at huske, at dette gælder både offentlige og private sfærer, og både indenlandske og udenlandske. Den eneste måde at sikre en database med data om danskere i USA eller Kina er ved at sikre, at den aldrig kommer i nærheden af identificerende data det kan vi styre i Danmark, og det er et politisk styrbart forhold. Ligesom man kan påtvinge overvågning, kan man påtvinge eller understøtte sikkerhed. Basal virtualisering hvordan vi eliminerer de elektroniske spor Den helt basale pseudonymisering eller med et bredere udtryk virtualisering (separation af den fysiske identitet og den digitale repræsentation) kan principielt ske på to måder. Enten via et virtualiseringssystem såsom TOR eller Mixminion 4, som er krypteringsmodeller der anonymiserer online kommunikation (de kriminelle og militæret har tilsvarende i stordrift) eller via en device-side virtualisering 5, som er fremtidens måde at gøre det på for alle de mange mobile kommunikationsenheder (borgerkort, mobiltelefoner, bærbare, palmpilots). Et virtualiseringssystem arbejder med tunneller i tunneller, det vil sige kryptering i flere lag. De er struktureret således, at kun hvis alle enhederne i en forbindelse samarbejder, kan man koble en besked tilbage til den faktiske afsender. Dette forhindrer på ingen måde, at samfundsfunktioner kan fungere præcis, som man ønsker. Du kan tage en besked underskrevet med din digitale signatur og sende den til din læge via et mixnet. 114

115 Lægen ved nu, at beskeden kommer fra dig, men ingen server eller anden funktion vil kunne opsamle denne viden der er derfor intet at sikre på serverne, fordi truslen ikke etableres. Trusler og muligheder med Digital Biometri Biometri er utvivlsomt det område, som det er mest kritisk at få rigtigt på plads, fordi du på samme tid har tre meget kritiske faktorer på spil du kan ikke få nye biometriske kendetegn, hvis noget går galt, du kan ikke undgå forfalskning, fordi biometri blot er fysiske konstanter (såsom fingeraftryk eller DNA), men samtidig har biometri klart en rolle at spille som vanskeligt kan dækkes af andre teknologier. Truslerne fra biometri er mange andre kan forfalske dit fingeraftryk og dermed stjæle din identitet, du kan overvåges og profileres uden forsvar, man kan forhindre sikkerhedsløsninger, som respekterer borgernes rettigheder og hvis man opsamler nogen former for biometri, låser man sig fast i teknologier, som ikke kan sikres, forsvares eller opgraderes. Men samtidig repræsenterer biometriske teknologier også vigtige aspekter til egenbeskyttelse (f.eks som supplement til kodeord), validering af sporbarhed (som led i modvirkning af identitetstyveri) og opklaring af specielt voldsforbrydelser (den kriminelles efterladte spor på gerningssteder såsom DNA, fingeraftryk). Dårligt design af biometri skaber altså identitetstyveri, skævvridning af markedet, blokerer for innovation og datakriminalitet, samtidig med, at rigtig design af biometri kan være med til at modvirke det. En australsk butik, som solgte brudekjoler, overvågede omklædningsrummet for at kunne aflytte de meget følelsesladede diskussioner om valg af kjole. Piger, som skal giftes, prøver sjældent kjoler alene så formålet var ganske enkelt at kunne udnytte de forskellige følelsesmæssige holdninger, man opsamlede, til at kunne manipulere kundens købsproces, så man fik solgt den for butikken bedste kjole. Pointen i dette eksempel er dobbelt: Ikke blot sker der en grov indtrængen i privatsfæren, men den viden, som opsamles, misbruges direkte til kommercielt at manipulere og underminere den fundamentale markedsproces mellem kunde og leverandør. Samme viden kunne hvis den blev struktureret let misbruges i andre sammenhænge. Den største trussel Udgangspunktet er knivskarpt og ufravigeligt: Biometrisk overvågning udgør den største enkeltstående trussel mod demokratiet og de fundamentale værdier, fordi den kan tilsidesætte selve Grundlovens forståelse om den suveræne borger og forudsætningerne for fri markedsdannelse. I denne forbindelse bør det bemærkes, at der netop ved Den Europæiske Menneskerettighedsdomstol er faldet dom for, at UK i omgangen med biometri 115

116 overtræder helt basale retsprincipper vel at mærke retsprincipper, som Danmark også klart overtræder. De sikkerhedsmæssige udfordringer og muligheder beskrives måske bedst ved nedenstående citat, hentet fra roadmapping-arbejdet op til EU s FP7-program, hvor man forskede i fremtidens behov for sikkerhedsforskning: For eksempel er biometri problematisk til brug for autentificering, fordi den hemmelige nøgle hverken er hemmelig, tilbageførbar eller unik biometri kan forfalskes, og ofre for biometrisk-baseret identitetstyveri kan ikke få nye biometriske kendetegn, og brug af flere former for biometri, som alle kan forfalskes, vil blot skabe mere falsk sikkerhed. Empowerment-overvejelser (retten, kompetencen og værktøjer til at kontrollere eget liv) omfatter sikring af, at brugen af biometri til håndtering af identitet og nøgler dertil er baseret på nem og sikkert tilbageførbare nøgler, såsom privacy biometrics (integration af biometriske karakteristika i mobile brudsikre devices med egen scanner) eller bio-kryptograpfi (integration af biometriske karakteristika i tilbageførbare kryptografiske nøgler dvs. blandes med tilfældige tal, som kan tilbageføres, selv om selve biometrien ikke kan, red.) samtidig med at det understøtter mange forskellige identitets-modeller parallelt. Konklusionen er klar: Man må ikke registrere eller skabe biometri, som kan bruges til at identificere borgere uden deres vidende og kontrol. I praksis vil det sige, at ingen funktion må være i stand til at opsamle biometri uden for borgerens kontrol slet ikke til sikkerhedsformål. I teknisk forstand er kravet, at al biometri altid skal være garanteret tilbageførbar man må ikke bruge en biometrisk scanner, som ikke er kontrolleret af borgeren selv. Den eneste undtagelse herfor er såkaldt forensics biometriske beviser som led i efterforskning af voldshandlinger hvor en kriminel har overtrådt loven og dermed selv har afskrevet sig sine rettigheder. Her må samfundet bruge de tilgængelige midler til at finde og drage den kriminelle til ansvar, selv om det selvfølgelig ikke må forbryde sig mod de grundlæggende principper for omgang med biometri over for uskyldige. Man kan også forfalske biometriske spor på gerningssteder. Eksempler på destruktiv brug af biometri Et helt aktuelt eksempel finder vi i pas-systemet som er midt i et udbud, der groft forbryder sig mod ovenstående. Her arbejder man med at indføre såkaldt certificeret biometri et digitalt aftryk af biometri, som kombineres med tredjeparts digitale underskrift til at validere ejermandens identitet. I praksis vil dette biometriske certifikat udgøre et generelt tredjepartsvidne hvilket betyder, at enhver, som kan forfalske biometrien, også kan stjæle identitet på ejermanden af den pågældende biometri. Til sammenligning kan man pege på den berømte svindelsag om finansiering af Kurt Thorsens byggeprojekter. Her burde Rasmus Trads være forhindret i at forfalske PFAdirektør André Lublins underskrifter, fordi han manglede vitterlighedsvidner. Men med 116

117 de nye pas tvinger staten André Lublin til hvis han ville kunne rejse at skabe vitterlighedsvidner, som kan misbruges til identifikation som en slags blanko-underskrift. Det eneste, Rasmus Trads behøver at gøre, er at skaffe sig adgang til den certificerede biometri i de usikrede pas (pas-teknologien er påvist hacket, men data-kommunikeres rent faktisk uden for pas-ejerens kontrol den kan ikke sikres), hvorefter han kan stjæle Andre Lublins identitet, hvis blot han kan forfalske biometrien. Hele pas-udbudet bygger altså på en teknologisk forståelse, som allerede på udbudstidspunktet var sikkerhedsmæssigt uforsvarlig og vil føre til mere identitetstyveri. Hvad værre er i og med at man bygger grænsekontrollerne på opsamling af biometri kan man ikke senere sikre grænseovergangene ved parallelt at indføre bæredygtige biometriske pas baseret på princippet om Collect and match on card (pas-devicen indeholder en biometrisk scanner, som åbner passet, eller passet kan kun aktiveres ved hjælp af et borgerkort med biometrisk scanner), uden at man kan opsamle eller svindle ved at forsøge at identificere via biometri. Hele pas-systemet står overfor et sammenbrud. Principielt er DNA-databaser af enhver art både stærkt følsomme data og stærkt sårbare over for kriminel misbrug: Hvis en kriminel ønsker at kaste skylden på en anden, som er registeret i politiets systemer, så kan han efterlade DNA fra vedkommende på gerningsstedet samtidig med, at han sikrer, at vedkommende ikke har et alibi. Brug af biometri ved adgangskontroller er en direkte opfordring til kriminalitet (data gøres sårbare ved at gennemtvinge identifikation, borgeren gøres sårbar over for biometrisk identitetstyveri uden mulighed for at få nye nøgler, systemet blokerer for at borgeren kan beskytte sig selv). Alligevel ser vi begyndende tilfælde, hvor aggressiv og falsk markedsføring af biometriske overvågningsløsninger fører til biometrisk overvågning på for eksempel biblioteker, diskoteker og arbejdspladser. Hvad værre er, så låses de tekniske grænseflader til en bestemt struktur, så kun en bestemt form for gatekeeper-kontrollerede betalingsmodeller kan etableres. Vi får altså nye monopoler og lav-konkurrencemodeller som led i etableringen af overvågningsmodeller. Eksempler på positiv brug af biometri Det er vigtigt at forstå, at man kan bruge de konstruktive aspekter af biometri uden at skulle acceptere de stærkt demokrati-destruktive aspekter. Såkaldt Collect and match on card hvor fingeraftryks-sensoren sidder på selve kortet muliggør at borgeren kan kontrollere selve biometrien, mens modparten kan observere og bekræfte, at en given digital nøgle er bundet til den pågældende via biometri. Det løser det grundlæggende krav, at biometriske nøgler aldrig må kunne forlade et såkaldt tamper-resistent miljø altså at de er låst inde i en hardware, som teoretisk antages at destruere data ved ethvert forsøg på at bryde ind. Her behøver man heller ikke arbejde med certificering af biometri, fordi kortet kodes til at låse sig til en bestemt biometri og kun bruge den til at acceptere aktivering af de digitale nøgler på kortet, såsom f.eks. den private hemmelige del af en digital signatur. Biometrisk kryptering hvor man på borgerkortet matematisk kombinerer biometriske data med tilfældige nøgler (store tal), som er genereret af og aldrig forlader et tamper- 117

118 resistent kort løser problemet med, at biometrien ikke kan tilbageføres ved at tilføre et tilfældigt element, som kan tilbageføres. Du kan altså ikke generere den biometrisk krypterede nøgle på basis af fingeraftryk alene det forudsætter adgang til de hemmelige nøgler i kortet. Der foregår lige nu en vigtig forskning i de grundlæggende sikkerhedslag, fordi biometri er et vigtigt element i at kunne sikre eksempelvis en lufthavn, uden at man skal identificere rejsende. Ikke kun fordi man ikke kan stole på, at myndighederne kan undgå kriminel misbrug men også fordi biometriske pas med den aktuelle udformning vil udgøre en akut trussel, når man begynder at bruge pas andre steder ved indtjekning på hoteller, leje af bil og andre situationer, hvor man i dag ved, at man skal være opmærksom på problemet med forfalskede pas. Eksempler på områder, hvor man har begået eller er ved at begå banale designfejl med skadelig virkning: Biblioteker Datatilsynet var for nylig ude med en skarp og berettiget kritik af bibliotekernes praksis med at sende rykkere per . Men problemet var her, at man som løsningsmodel påpegede, at s skulle krypteres. I stedet bør man fokusere på grundproblemet at lånerne ikke er pseudonymiseret over for biblioteket selv. Hvis lånerne var pseudonyme, ville biblioteket meget bedre kunne udfylde sin rolle i demokratiet, fordi pseudonyme data ikke udgør en trussel mod borgeren. Man kan med pseudonymisering ret uproblematisk koble borgere sammen, som læser den samme bog om emner som politisk, religion, kultur, etniske og seksuelle forhold. Det forudsætter blot, at borgeren har mulighed for at skabe et biblioteks-id, der kan kommunikere, og ansvarliggøres i forhold til risikoen (udlånte bøgers værdi), så biblioteket kan være rimeligt sikker på borgeren bag pseudonymet. Online selvbetjeningsservices Digital Forvaltning arbejder med det såkaldte nem-kontrol koncept, hvor borgeren altid køres ind over et såkaldt single-point-of-trust-failure et punkt, hvor bevidste angreb eller ubevidste fejl vil have stor skadesvirkning og bryde sikkerheden i meget store dele af systemet hvor man koncentrerer adgangen til borgernes data. I en selvbetjeningsservice (for eksempel en ansøgning om SU) antager man derfor, at borgeren først identificeres hvorefter systemet selv slår borgerne op i en masse databaser. Dermed skaber man en masse risici i en model, som ganske enkelt ikke kan sikres mod misbrug. I denne forbindelse ender man i såkaldte one-size-fits-all-modeller forsimplede standardløsninger, som vanskeligt kan tilpasse sig fordi det bliver det centraladministrative teknokrati, som dikterer, hvordan processerne skal fungere frem for de individuelle behov. I stedet bør man vende modellen på hovedet og åbne systemerne mod borgeren: Selvbetjenings-servicen fortæller, hvad der kræves, for at transaktionen kan fortsætte, så borgeren selv kan hente og selektere certificerede data. Det har mindst tre klare fordele: 118

119 a) Borgeren tager sig selv af at integrere de offentlige systemsiloer idet vedkommende altid selv vil kunne sammenkoble uafhængige systemer, drevet af de aktuelle behov. Kvalitet og effektivitet drives af borgerens efterspørgsel frem for stive bureaukratiske processer. b) Uafhængige processer kan holdes adskilt, fordi borgeren kan fungere med forskellige formåls-specifikke nøgler i forskellige sammenhænge. c) Modellen fungerer åbent på kryds og tværs af offentlige og private skel man gør det væsentligt nemmere for det offentlige at udnytte konkurrencen i den private sektor til at spare penge uden at skabe risici, fordi transaktionen kan holdes pseudonym. Udfordringerne afhænger af den specifikke service. Et avanceret eksempel er, at man kan dokumentere arbejdsløshed ved, at SKAT ikke har indberetning af lønudbetaling. Borgeren skal altså kunne bede SKAT udstede et blindt certifikat, som dokumenterer, at borgeren ikke har modtaget løn i en given periode. Tilsvarende behøver SKAT ikke viden om, hvor borgeren har erhvervet lønindtægt, så længe man kan validere hos udbetaler, at indberetning har fundet sted. Hermed kunne man også løse det såkaldte sædbank-problem eller prostitutions-problem, hvor man ser, at sæddonorer eller prostituerede kræver anonymitet (en indtægt må ikke kobles med, hvordan indtægten er opnået), mens Skat insisterer på at ville registrere alting uden troværdige sikkerhedsmekanismer. RFID Der foregår aktuelt intense politiske overvejelser om behovet for at regulere de såkaldte RFID-chips (ofte kaldet digitale stregkoder), der gradvist forventes at integreres med fysiske produkter i milliarder af styk om året. Problemet er, at hvis dine bukser digitalt efterlader elektroniske spor, så snart du kommer i nærheden af en RFID-læser (ved kasser, døre, mobiltelefoner), så overvåges du også. Det forværres væsentligt af, at der kommer readere (læsere) overalt, at databaser centraliseres og at billige RFID-chips mangler regnekraft til sikkerhedsmekansimer såsom Digital Signatur det vil forværre både overvågnings- og sikkerhedstruslerne (en tyv kan på afstand digitalt konstatere, at du har et ægte Rolex-ur og dermed øges sandsynligheden for voldeligt røveri). Derfor er der bred enighed om, at man skal kræve, at RFID kan deaktiveres ved salg (men kunne reaktiveres i hjemmet eller ved garanti-reparationer). Her er alternativet at indbygge sikkerhed i selve RFID-enheden: Hvis en RFID kan fremstå som en ny RFID ved hver forespørgsel og kun ejermanden kan vide hvilken RFID, der er tale om så kan ejermandens mobiltelefon validere, at han stadig har sit Rolex-ur på uden det kan aflyttes. Således kan lommetyven ikke konstatere, at personen har et ægte Rolex-ur. Ejermanden vil kunne bruge de digitale muligheder til at holde øje med sine værdigenstande midt blandt andre uden risiko for overvågning eller kriminalitet. Aflytning 119

120 vil kunne spore, at der er en RFID men ikke hvilken RFID og dermed, hvad den sidder på, eller hvem ejermanden er. Trådløse betalinger Der foregår i øjeblikket et arbejde med at skabe såkaldt trådløse betalinger i form af Rejse-kort eller de såkaldte NFC-betalinger, hvor mobiltelefoner agerer RFID-kreditkort. Men disse modeller er til dels karakteriseret ved dårlig sikkerhed både fordi dårligt sikrede RFID kan forfalskes, og fordi betalingerne vil kunne overvåges. Hvad værre er, så låses interfaces til en bestemt struktur, så kun en bestemt form for gatekeeper-kontrollerede betalingsmodeller kan etableres. Vi får altså nye monopoler og lav-konkurrencemodeller som led i etableringen af overvågningsmodeller. Alternativt kan man stille krav om, at interfaces skal kunne virtualiseres. Hermed tvinger man til at åbne for konkurrence og modeller, der også tager højde for borgernes sikkerhed. Helt simpelt kunne man forestille sig, at nogen ville indføre en model baseret på digitale kontanter (tidligere omtalte anonyme digitale kontanter). Borgerkort I starten af 90 erne strandede id-kort-diskussionen (dengang kendt som borgerkort) på, at det ville indføre det ultimative overvågningssamfund. Det har ikke ændret sig det, som har ændret sig er, at vi i dag kan skelne mellem et identifikationskort (som ikke sikrer borgeren eller systemet mod overvågning og brud på datasikkerheden) og et borgerkort, som netop skal sikre borgernes rettigheder og klæde borgerne digitalt på, så de kan håndtere deres egne nøgler og identiteter som forudsætning for at kunne opnå fordelene ved digitalisering uden at destabilisere både sikkerheden og samfundsøkonomien. Konklusion Den digitale tidsalder er karakteriseret ved, at mennesker selv kan tage ansvar for de helt grundlæggende regler for samfundsprocesserne. Vi kan styre, hvad man kan, og dermed er vi så også ansvarlige for og skal leve med det, der sker. Pseudonymisering er ikke bare en helt normal og fundamental del af vores før-digitale hverdag. Pseudonymisering er også den eneste kendte måde at opnå fordelene ved digitalisering, uden at de helt fundamentale værdier destabiliseres. Frihed, sikkerhed, innovation, effektivisering og retssikkerhed afhænger alle af en konstruktiv og bevidst tilgang til pseudonymisering. 120

121 noter 1) europa.eu.int/information_society/topics/ecomm/all_about/todays_framework/privacy_protection/index_en.htm 2) Digital Cash er typisk implementeret via engangsnøgler ved brug af f.eks. blinded certificates. 3) 4) ) Se f.eks. som eksempel på, hvordan selv RFID uden batteri kan virtualiseres 121

122 122

123 123

124 De overvågede Udgivet af DI & Forbrugerrådet udgives af Den, der ofrer frihed for sikkerhed, fortjener hverken frihed eller sikkerhed. Benjamin Franklin Overvågning vil i et vist omfang ensrette mennesker, så kreativitet og forskellighed ikke får tilstrækkeligt spillerum. Mennesker kommer i stedet til at bruge deres energi på at være ens og ikke skille sig ud fra mængden. Henning Mortensen, DI ITEK. Vilkår for anvendelse af Facebook: Uopsigelig, evig, ikke-eksklusiv, overførbar, fuldt betalt, global licens (=adgang) til at bruge, kopiere, opføre offentligt, vise offentligt, omformatere, oversætte, uddrage (helt eller delvist) og distribuere dette brugerindhold til ethvert formål, kommercielt, reklamemæssigt eller øvrigt, på eller i forbindelse med websiden eller promovering heraf, til at udarbejde afledte værker af dette brugerindhold, eller indarbejde det i andre værker, og til at bevillige og bemyndige underlicenser af ovenstående. Hvis vi skal kunne sikre et system mod både bevidst misbrug og fejl så er pseudonymisering reelt den eneste måde at gøre det på. Sikkerheds-ekspert Stephan Engberg IT-systemerne kan indrettes således, at kun de informationer, der er relevante for en given sagsbehandlinger bliver vist for den enkelte sagsbehandler. Jørn Guldberg, Ingeniørforeningen 124

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel

ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel ANBEFALINGER Offentlige sikkerhedstiltag der gør en forskel DI ITEK 1787 København V. 3377 3377 itek.di.dk itek@di.dk DI ITEK et branchefællesskab i Dansk Industri for virksomheder inden for it, tele,

Læs mere

Krav til informationssikkerhed

Krav til informationssikkerhed Krav til informationssikkerhed Af Peter Blume, Jura, KU Studerende Christina Jensen går i banken for at hæve et beløb på sin bankkonto. Til sin forfærdelse opdager hun, at kontoen er lænset og står i minus.

Læs mere

Kom volden i forkøbet

Kom volden i forkøbet TEMA Vold Kom volden i forkøbet Inspiration til indsatsen på arbejdspladsen 2 Kom volden i forkøbet Faglig kvalitet i trygge rammer At kunne give borgere og kunder ordentlig service og kompetent sagsbehandling

Læs mere

Vidensgrundlag om kerneopgaven i den kommunale sektor

Vidensgrundlag om kerneopgaven i den kommunale sektor Vidensgrundlag om kerneopgaven i den kommunale sektor Arbejdspapir udarbejdet i forbindelse med Fremfærd Peter Hasle, Ole Henning Sørensen, Eva Thoft, Hans Hvenegaard, Christian Uhrenholdt Madsen Teamarbejdsliv

Læs mere

DEBATOPLÆG OM DEN KOMMENDE FÆLLES- OFFENTLIGE STRATEGI FOR DIGITAL VELFÆRD DIGITAL VELFÆRD NYE MULIGHEDER FOR VELFÆRDSSAMFUNDET

DEBATOPLÆG OM DEN KOMMENDE FÆLLES- OFFENTLIGE STRATEGI FOR DIGITAL VELFÆRD DIGITAL VELFÆRD NYE MULIGHEDER FOR VELFÆRDSSAMFUNDET DEBATOPLÆG OM DEN KOMMENDE FÆLLES- OFFENTLIGE STRATEGI FOR DIGITAL VELFÆRD DIGITAL VELFÆRD NYE MULIGHEDER FOR VELFÆRDSSAMFUNDET REGERINGEN / KL / DANSKE REGIONER MARTS 2013 FORORD 3 DANSKERNE ER DIGITALE

Læs mere

Web-håndbog om brugerinddragelse

Web-håndbog om brugerinddragelse Web-håndbog om brugerinddragelse Socialministeriet Finansministeriet www.moderniseringsprogram.dk Regeringen ønsker at skabe en åben og lydhør offentlig sektor. Ved at tage den enkelte med på råd skal

Læs mere

Det Konservative Folkepartis partiprogram. Giv ansvaret tilbage til borgerne

Det Konservative Folkepartis partiprogram. Giv ansvaret tilbage til borgerne Det Konservative Folkepartis partiprogram Giv ansvaret tilbage til borgerne Giv ansvaret tilbage til borgerne Det Konservative Folkepartis partiprogram Indhold Giv ansvaret tilbage til borgerne Det Konservative

Læs mere

TRIVSEL PÅ KONTORET FÅ INDBLIK I VIGTIGE FAKTORER FOR TRIVSLEN

TRIVSEL PÅ KONTORET FÅ INDBLIK I VIGTIGE FAKTORER FOR TRIVSLEN VEJLEDNING FRA BAR KONTOR OM TRIVSEL PÅ KONTORER TRIVSEL PÅ KONTORET FÅ INDBLIK I VIGTIGE FAKTORER FOR TRIVSLEN INDHOLD 4 FORORD 8 HVAD ER TRIVSEL OG PSYKISK ARBEJDSMILJØ? 11 HVAD KAN I HVER ISÆR BIDRAGE

Læs mere

Danmark Det mest digitale land i verden. Visioner til den nye regering fra erhvervslivet

Danmark Det mest digitale land i verden. Visioner til den nye regering fra erhvervslivet Danmark Det mest digitale land i verden Visioner til den nye regering fra erhvervslivet Juni 2015 1 Indholdsfortegnelse visionsoplæg Indledning 4 Resumé 6 1. Verdens bedste digitale infrastruktur 10 1.1.

Læs mere

Tema om handleplaner TIDSKRIFT FOR FORSKNING OG PRAKSIS I SOCIALT ARBEJDE 11. ÅRGANG. uden for [nummer]

Tema om handleplaner TIDSKRIFT FOR FORSKNING OG PRAKSIS I SOCIALT ARBEJDE 11. ÅRGANG. uden for [nummer] 21 Tema om handleplaner D A N S K S O C I A L R Å D G I V E R F O R E N I N G TIDSKRIFT FOR FORSKNING OG PRAKSIS I SOCIALT ARBEJDE 11. ÅRGANG NR. 21. 2010 uden for [nummer] uden for nummer, nr. 21, 11.

Læs mere

Indholdsfortegnelse. Forord...4. 1. Indledning...6

Indholdsfortegnelse. Forord...4. 1. Indledning...6 Vejledning til bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugerens terminaludstyr, Cookie-bekendtgørelsen. 2. udgave, april 2013 Indholdsfortegnelse

Læs mere

HÅNDBOG OM BARNETS REFORM BARNETS REFORM

HÅNDBOG OM BARNETS REFORM BARNETS REFORM HÅNDBOG OM BARNETS REFORM BARNETS REFORM HÅNDBOG OM BARNETS REFORM BARNETS REFORM Publikationen er udgivet af Servicestyrelsen Edisonsvej 18. 1. 5000 Odense C Tlf. 72 42 37 00 info@servicestyrelsen.dk

Læs mere

Forsikring. Tema. Fremtidens nedslidte side 4. Giv din chef kritik... side 12. Ytringsfrihedens trange kår side 14

Forsikring. Tema. Fremtidens nedslidte side 4. Giv din chef kritik... side 12. Ytringsfrihedens trange kår side 14 Tema Nr. 2 - Marts 2011 Forsikring Medlemsblad for DFL foreningen for ansatte i forsikring Fremtidens nedslidte side 4 Giv din chef kritik... side 12 Ytringsfrihedens trange kår side 14 Tema Tema Det siger

Læs mere

Det Fælles Medicinkort

Det Fælles Medicinkort Det Fælles Medicinkort Fortrolighed og tilgængelighed i sundhedssektoren DET ETISKE RÅD - DET FÆLLES MEDICINKORT 1 1 Det Fælles Medicinkort Fortrolighed og tilgængelighed i sundhedssektoren Det er med

Læs mere

Vejen ud. En interviewundersøgelse med tidligere prostituerede

Vejen ud. En interviewundersøgelse med tidligere prostituerede Vejen ud En interviewundersøgelse med tidligere prostituerede Publikationen er udgivet af Socialstyrelsen Edisonsvej 18, 1. 5000 Odense C Tlf: 72 42 37 00 E-mail: servicestyrelsen@servicestyrelsen.dk www.servicestyrelsen.dk

Læs mere

RAPPORT OM ETISK HÅNDTERING AF BEBOERMIDLER. - og udvikling af beboernes handlekompetence i forhold til økonomi

RAPPORT OM ETISK HÅNDTERING AF BEBOERMIDLER. - og udvikling af beboernes handlekompetence i forhold til økonomi RAPPORT OM ETISK HÅNDTERING AF BEBOERMIDLER - og udvikling af beboernes handlekompetence i forhold til økonomi KOLOFON Af en arbejdsgruppe nedsat af social- og integrationsministeren Med bidrag fra: KL,

Læs mere

God adfærd i det offentlige. Juni 2007

God adfærd i det offentlige. Juni 2007 God adfærd i det offentlige Juni 2007 God adfærd i det offentlige Juni 2007 Personalestyrelsen KL Danske Regioner God adfærd i det offentlige Udgivet Juni 2007 Udgivet af Personalestyrelsen, KL og Danske

Læs mere

Sundhedsprofessionelles forståelser

Sundhedsprofessionelles forståelser Sundhedsprofessionelles forståelser af patientinddragelse En kvalitativ undersøgelse VIDENSCENTER FOR BRUGERINDDRAGELSE i sundhedsvæsenet VIDENSCENTER FOR BRUGERINDDRAGELSE i sundhedsvæsenet Sundhedsprofessionelles

Læs mere

kan også være din kollega

kan også være din kollega Den voldsramte kan også være din kollega Om håndtering af partnervold på arbejdspladser Af Chris Poole Den voldsramte kan også være din kollega Om håndtering af partnervold på arbejdspladser Forord ved

Læs mere

Nordens børn Unge gør en forskel! Resultater fra projektet Tidlige indsatser for familier

Nordens børn Unge gør en forskel! Resultater fra projektet Tidlige indsatser for familier Nordens børn Unge gør en forskel! Nordens Velfærdscenter Inspirationshæfte Resultater fra projektet Tidlige indsatser for familier 1 Nordens Barn Unge gør en forskel! Udgiver: Nordens Velfærdscenter Sww.nordicwelfare.org

Læs mere

Lederen gør en forskel. Rapport fra projekt ledelse, faglighed, pædagogiske kvalitet

Lederen gør en forskel. Rapport fra projekt ledelse, faglighed, pædagogiske kvalitet Lederen gør en forskel Rapport fra projekt ledelse, faglighed, pædagogiske kvalitet UdviklingsForum november 2009 LEDEREN GØR EN FORSKEL Rapport fra en undersøgelse af ledelse af dagtilbud i Århus Kommune

Læs mere

Vi diskuterer jo ikke politik på den måde

Vi diskuterer jo ikke politik på den måde Vibeke Schou Tjalve Anders Henriksen Vi diskuterer jo ikke politik på den måde Regeringen, Folketinget og sikkerhedspolitikken Februar 2008 Dansk Institut for Militære Studier Februar 2008 Abstract Danish

Læs mere

Sammenhængen mellem organisationsformer og belastninger på 6 DJØF-arbejdspladser. Helle Holt & Marie Louise Lind

Sammenhængen mellem organisationsformer og belastninger på 6 DJØF-arbejdspladser. Helle Holt & Marie Louise Lind Sammenhængen mellem organisationsformer og belastninger på 6 DJØF-arbejdspladser Helle Holt & Marie Louise Lind Socialforskningsinstituttet Beskæftigelse og erhverv Marts 2004 2 Om undersøgelsen Danmarks

Læs mere

Få mere ud af trivselsmålingen Gode råd til ledere om hele processen

Få mere ud af trivselsmålingen Gode råd til ledere om hele processen Få mere ud af trivselsmålingen Gode råd til ledere om hele processen Få mere ud af trivselsmålingen Gode råd til ledere om hele processen Væksthus for Ledelse, 2012 Projektledelse: Magnus Bryde, KL Nicolaj

Læs mere

PARTNERSKABER MELLEM VIRKSOMHEDER OG FRIVILLIGE ORGANISATIONER: En analyse af omfang, typer, muligheder og faldgrupper i partnerskaber.

PARTNERSKABER MELLEM VIRKSOMHEDER OG FRIVILLIGE ORGANISATIONER: En analyse af omfang, typer, muligheder og faldgrupper i partnerskaber. PARTNERSKABER MELLEM VIRKSOMHEDER OG FRIVILLIGE ORGANISATIONER: En analyse af omfang, typer, muligheder og faldgrupper i partnerskaber. Udarbejdet på vegne af Erhvervs- og Selskabsstyrelsens Center for

Læs mere

Vejledning om særlig støtte til børn og unge og deres familier

Vejledning om særlig støtte til børn og unge og deres familier Socialudvalget 2010-11 SOU alm. del Bilag 58 Offentligt Vejledning om særlig støtte til børn og unge og deres familier (Vejledning nr. 3 til serviceloven) 1. Denne vejledning erstatter Vejledning om særlig

Læs mere

DE PRØVER AT GØRE DET SÅ NORMALT SOM MULIGT ET INDBLIK I 113 ANBRAGTE BØRN OG UNGES LIV

DE PRØVER AT GØRE DET SÅ NORMALT SOM MULIGT ET INDBLIK I 113 ANBRAGTE BØRN OG UNGES LIV DE PRØVER AT GØRE DET SÅ NORMALT SOM MULIGT ET INDBLIK I 113 ANBRAGTE BØRN OG UNGES LIV 2 FORORD 4 INDDRAGELSE, MEDBESTEMMELSE OG RETTIGHEDER 8 SAGSBEHANDLERE OG TILSYN 14 PÆDAGOGER OG INSTITUTIONER 20

Læs mere

Pædagogiske læreplaner

Pædagogiske læreplaner Pædagogiske læreplaner hvad er nu det for noget? F O A F A G O G A R B E J D E En pjece til pædagogmedhjælperne fra Pædagogisk sektor i FOA Fag og Arbejde Indholdsfortegnelse Side 3: Side 4: Side 5: Side

Læs mere

Samfundsansvar og Rapportering i Danmark. Effekten af 3. år med rapporteringskrav i årsregnskabsloven

Samfundsansvar og Rapportering i Danmark. Effekten af 3. år med rapporteringskrav i årsregnskabsloven Samfundsansvar og Rapportering i Danmark Effekten af 3. år med rapporteringskrav i årsregnskabsloven Ministerens forord Virksomheders klimapåvirkning, forhold til menneskerettigheder eller miljøbelastning

Læs mere