Privacy og dataetik

Læs om IDAs arbejde ift borgernes tryghed på nettet, digitalt kontaktregister, GDPR, sessionslogning og Nationalt Genom Center.

Danskerne er en af de mest digitale befolkninger i verden. Vi er gode til at bruge de digitale muligheder og det har store samfundsmæssige fordele. Vores færden på nettet bør ske med størst mulig sikkerhed.

Ifølge en undersøgelse fra IDA og Forbrugerrådet Tænk er godt hver anden dansker bekymret for deres private data, når de er på internettet, og de mener samtidig, at det overhovedet ikke kan lade sig gøre at beskytte sit privatliv på nettet.

Beskyttelsen af vores privatliv er en grundlæggende rettighed sikret i Den Danske Grundlov, Den Europæiske Menneskerettighedskonvention og FN’s konvention om civile og politiske rettigheder.

Det er vores opgave som samfund at sikre tryghed på nettet.

Tryghed og tillid til, at vi faktisk kan færdes på nettet er afgørende for, om danskerne vil være klar til at bruge de digitale muligheder til at styrke en effektiv offentlig sektor, et bedre uddannelsessystem og en bedre konkurrenceevne.

Befolkningens adfærd på nettet er en undersøgelse af danskernes ageren på nettet og udfordringer med at være digitale.

Undersøgelsen blev gennemført første gang i 2015 i samarbejde med Erhvervsstyrelsen og igen i 2017 i samarbejdet med Forbrugerrådet Tænk. Nyeste rapport er under udarbejdelse i samarbejde med Forbrugerrådet Tænk og kommer i februar 2019.

Befolkningens adfærd på nettet - undersøgelse 2016

En mere omfattende sessionslogning står højt på ønskelisten hos politiet. Det vil - ifølge politiet - gøre det lettere at efterforske kriminelle forhold som fx terror eller børneporno.

Data fra sessionslogning kan med stor nøjagtighed kortlægge en persons færden og kommunikation på minuttet. På den anden side vil selv en meget intens overvågning kun vanskeligt forhindre meget sjældne hændelser som terrorangreb og lignende, medmindre man er villig til at overvåge rigtig mange personer.

Man kommer altså potentielt til at mistænkeliggøre en meget stor gruppe lovlydige personer for muligvis at kunne afsløre en meget lille gruppe med ulovlige aktiviteter. I den situation er man nødt til at afveje, hvor langt man er villig til at gå i sin overvågning af uskyldige for at afsløre de skyldige.

Et svagt led er, om de kriminelle overhovedet vil blive afsløret af sessionslogning, hvis kommunikationen fx foregår via en Tor-browser eller VPN-forbindelser. Hvis de kriminelle formår at bevæge sig under radaren, vil sessionslogning blot betyde, at man overvåger de helt forkerte mennesker.

Ingeniørforeningen har spurgt en række fagfolk om deres vurdering af sessionslogning.

Undersøgelsen bygger på svar fra medlemmer af IDA-Tele. IDA Tele er et fagteknisk netværk under Ingeniørforeningen, IDA, der arbejder for at øge kendskabet til den teknologiske udvikling, at fremme det nationale og internationale samarbejde på området og at udbrede kendskabet til teleteknikkens samfundsmæssige betydning.

Selskabet har godt 2200 medlemmer, især ingeniører og IT-eksperter men også markedsfolk, økonomer og jurister.

I tabellerne er kun medtaget svar fra 170 fagfolk med viden på højt niveau/ekspertniveau om sessionslogning.

IDAs samtykkeprojekt

Samtykke er afgørende for, at vi kan kontrollere, hvordan vores personlige data bliver brugt på nettet.

Men lige så vel som samtykke kan sikre, at vores data kun bliver brugt til det, vi ønsker, ligeså vel kan det blive super besværligt og sikre f.eks. vigtige forskningsprojekter.

IDA er sammen med Konsensusmaskinen og en lang række gode samarbejdspartnere ved at finde kriterierne for en balance i brugen af samtykke, der sikrer en effektiv offentlig sektor, god forskning og beskyttelse af privatlivets fred.

 

Analyse af sessionslogning

Den 25. maj trådte EU’s persondataforordning i kraft. IDA foretog sammen med FSR en undersøgelse for at tage temperaturen på, hvor langt danske virksomheder er med at gøre sig klar til den nye persondataforordning, der træder i kraft i maj 2018, og hvordan det står til med beredskabet i forhold til cybersikkerhed.

Hovedfokus i undersøgelsen er IDA’s medlemmer i offentlige og private virksomheder. Konklusionen på undersøgelsen er at persondatasikkerheden sikres ved et samspil mellem tre elementer:

• Medarbejderens kendskab til reglerne og deres forståelse for, hvorfor reglerne findes.
• Solide procedurer, som kendes af medarbejderne, og/eller viden hos medarbejderne om, hvem der kan gennemføre procedurer, man ikke selv skal kunne gennemføre.
• It-systemer, der understøtter gennemførelsen af procedurerne og overholdelse af reglerne.

Det billede, der tegner sig, er, at ingen af de tre elementer rigtig er på plads.

Medarbejdernes viden om reglerne og deres forståelse for, hvorfor de findes, synes at være behersket. Under halvdelen af de medarbejdere, der har med persondata at gøre i deres arbejde, ved, fx hvad oplysningspligten går ud på.

• Medarbejderne kender også kun i begrænset omfang til de procedurer, der skal understøtte praktiseringen af reglerne, eller hvem der ville kunne gennemføre procedurerne, hvis de ikke selv kan. Det står fx kun klart for halvdelen af medarbejderne, hvad de skal gøre ved brud på datasikkerheden.

Ansvars- og rollefordelingen i forhold til datasikkerhed ser heller ikke ud til helt at være på plads. Endelig er der på alle områder en utilstrækkelig systemunderstøttelse af regler og procedurer.

Særligt mellemstore private virksomheder ser ud til at have problemer med at sikre medarbejdernes viden. En mulig forklaring er, at de er for store til at vidensdeling (når først viden er kommet ind i virksomheden), til at det kan ske uformelt, og for små til at have de systemer og den organisation, der kan sikre en effektiv vidensdeling på tværs af afdelinger og funktioner i en større virksomhed.

• Ser man på mønstreren i besvarelserne er det lidt mere end halvdelen af deltagerne, der ser ud til at have en generel forståelse for databeskyttelsesforordningens elementer, men det er kun få har rigtig godt styr på det.

Ministeriet for offentlig innovation vil i begyndelsen af 2019 fremsætte et lovforslag om et offentligt kontaktregister. Formålet er at etablere et offentligt kontaktregister med kontaktoplysninger på borgere i form af telefonnumre og mailadresser.

Lovforslaget skal sikre hjemmel til at indsamle, vedligeholde og anvende kontaktoplysninger. Kontaktoplysningerne skal bruges af de offentlige myndigheder til at påminde borgere om eksempelvis aftaler og tidsfrister samt til kontakt typisk i forbindelse med et konkret sagsforløb.

Offentlig Digital Post - eller e-Boks - har borgernes cpr-numre, og dermed kobles mailadresser og mobilnumre sammen med dem.
IDA er ikke entydigt begejstret for ideen om et sådant register.

I IDAs optik kan lovforslaget have den konsekvens, at selv om du var i den tro, at du kun gav dine oplysninger til e-Boks, så vil myndighederne fremover kunne indsamle dem, idet de inden længe vil blive overført til en ny central database.

Dermed får en række offentlige myndigheder mulighed for at få fat på dig, selv om du ikke har ønsket at dele oplysningerne med dem.

Analyse - digital kontakt til det offentlige

Den 1. marts 2018 sendte Ingeniørforeningen sammen med en række andre organisationer et åbent brev til sundhedsminister Ellen Trane Nørby om planerne om et nyt Nationalt Genom Center med bla en række nødvendige krav:

Samtykke
Danskerne bør sikres rette til et informeret samtykke, inden følsomme genetiske oplysninger videregives til Nationalt Genom Center, hvor de genetiske oplysninger kan beriges med data fra de danske registre. Et samtykke bør gives på grundlag af oplysninger om, hvad der lagres, om data kan forbindes tilbage til personen, og til hvilke formål data må anvendes. Ændres der i nogle af disse, er samtykket ikke længere gyldigt.

Sikkerhed
Genetiske data i Nationalt Genom Center bør lagres sikkert og fuldt ud anonymt. Genetiske oplysninger tilknyttet CPR-nummer udgør en stor sikkerhedsmæssig IT-risiko. Det gælder også, når oplysningerne er pseudonymiseret. Anonymiseret lagring er ikke en hindring for senere samkøring med andre anonyme registre.

Gennemsigtighed
Danskerne fortjener fuld gennemsigtighed med alle de formål, der er tiltænkt et Nationalt Genom Center både de kommercielle formål og myndigheders.

Ændres eller udvides formålet med Nationalt Genom Center eller anvendelsen af dette, vil samtykke givet under punkt 1 stadig kun være gyldigt i forhold til, hvad det oprindelige tilsagn er givet til.

Ved ændringer, i hvad der lagres, om data kan forbindes tilbage til personen eller om brug af data til nye formål, skal der indhentes nyt tilsagn efter oplysning om ændringerne.

Der er efter fremsættelse af lovforslaget opstået tvivl om muligheden for at politiet kan få adgang til oplysningerne i Nationalt Genom Center.

Under 1. behandlingen af lovforslaget afviste ministeren, at dette var tilfældet, men efterfølgende har flere eksperter, herunder Rigspolitiet oplyst, at politiet med en dommerkendelse vil få adgang efter retsplejelovens regler.

Det er vigtigt, at også dette spørgsmål bliver meget grundigt behandlet af Folketinget inden centeret oprettes.

Det vil således være stærkt undergravende for borgernes tillid til personlig medicin og forskning i genetiske oplysninger, hvis Nationalt Genom Center i realiteten kan bruges som et søgbart DNA-profil-register af politiet.

Overblik
  • Rapporter og analyser
  • Høringssvar