Meninger
Logningsbekendtgørelsen, som trådte i kraft den 15. september, har været længe undervejs, så der har været god tid til at tænke over, hvem der skal indsamle hvilke data og hvorfor. Men det er bekymrende, at lovgiverne tilsyneladende ikke har tænkt på, hvem der skal eje de indsamlede data og hvad de må bruge dem til.
Der er efterhånden en indarbejdet praksis for, at det er staten, der overvåger sine borgere, og dermed har forpligtelsen til at passe godt på informationerne. Men når vi taler om logning af fx teletrafik, er der jo mange parter involveret, hver med sin egen sikkerhedspolitik og sit eget syn på værdien af de indsamlede logningsdata. Hvordan vil staten sikre, at alle små og store teleselskaber og internetudbydere, herunder fx hoteller, beboerforeninger og kollegier indsamler alle relevante data, opbevarer dem betryggende, og destruerer dem fuldstændigt, når året er gået, inklusive alle kopier?
Dette tema er taget op af Computerworld i dagens udgivelse. Artiklen udspringer af avisens spørgsmål til justitsministeren.
17. October 2007
Allan Bo Rasmussen
En undersøgelse, gennemført af ingeniørforeningen IDA viser, at kun 47 procent af de it-professionelle – som i realiteten bestemmer, hvordan it-systemer skal indrettes – kender til virksomhedens politik for beskyttelse af privatlivets fred. Måske mest bekymrende er det, at det inden for det offentlige kun er 40 procent af de it-professionelle, der kender til institutionens politik med hensyn til beskyttelse af privatlivets fred.
Undersøgelsen afdækker beskyttelsen af privatlivets fred på en lang række områder og viser blandt meget andet:
- Hele 30% af de IT-professionelle har oplevet konkrete brud på Privacy
- 30,4% af de IT-professionelle mener ikke, at det offentlige i dag tager tilstrækkelig hensyn til privatlivets fred, når der indføres nye IT-systemer
- 57,6% af de IT-professionelle ser en fare for, at de data der bliver lagret i de elektroniske patientjournaler kan blive misbrugt
Undersøgelsen af de it-professionelles holdninger til Privacy er gennemført af Ingeniørforeningen i Danmark i april 2007. Undersøgelsen bygger på i alt 990 svar fra medlemmerne af to af foreningens fagtekniske selskaber – IDA IT og Dansk Selskab for Datateknik, som tæller it-ingeniører, dataloger og andre højt specialiserede it-fagfolk blandt sine medlemmer.
Læs hele rapporten her: Privatlivets fred – Højtuddannede IT-professionelles holdninger til Privacy – (PDF 114 KB)
7. July 2007
Allan Bo Rasmussen
Høringsrunden for regeringens strategi for digital forvaltning 2007-2010 er nu afsluttet, og den endelige version er publiceret her: Strategi_for_digital_forvaltning_2007-2010_endelig.pdf
En lang række organisationer har påpeget, at det første udkast ikke tog højde for den offentlige sektors beskyttelse af borgernes personfølsomme data. Derfor har parterne bag strategien valgt at tilføje et nyt initiativ i den endelige udgave af strategien, som skal fremme beskyttelsen af data, når der udvikles nye digitale løsninger i den offentlige sektor. Initiativet er beskrevet således:
• Der nedsættes en tværoffentlig arbejdsgruppe med henblik på fortsat at fremme privacy-hensyn i udviklingen af den offentlige forvaltning. Arbejdet skal blandt andet tage sit udgangspunkt i det eksisterende Privacy Forum og It-sikkerhedspanelets anbefalinger.
Spørgsmål om sikkerhed og tryghed skal fortsat udgøre en helt central del af den danske digitaliseringsindsats. Reglerne om god databehandlingsskik skal i forbindelse med iværksættelse af nye initiativer fortsat sikre borgerne den fornødne fortrolighed, ligesom en fælles standard for håndtering af it-sikkerhed (DS 484) skal udbredes til hele den offentlige sektor. Det skal ske på en sådan måde, at myndighederne fortsat kan give borgere og virksomheder en effektiv og sammenhængende service.
Alle høringssvarene kan læses her: kommentarer_til_strategien.
Læs om den tidligere debat om strategien, som blev bragt i P1.
27. June 2007
Allan Bo Rasmussen
Efter 6 møder i sundhedsudvalget blev lovforslaget L50B vedtaget i Folketinget den 17. april. Sundhedsudvalget har udarbejdet et række ændringsforslag, som fremgår af en tillægsbetænkning.
Behandlingen har i hovedtræk resulteret i følgende:
- Samtykkemodellen blev forkastet: Det er altså patienten, der selv skal nedlægge veto mod sundhedspersonernes adgang til at læse i den elektroniske patientjournal.
- Personkredsen, som har ”indsigt ad libitum” er begrænset til læger og sygehusansatte tandlæger, mens andre sundhedspersoner kan gives en adgang, når den er teknisk er begrænset til de patientdata, som benyttes på det pågældende behandlingssted.
- Kontrollen er lagt i hænderne på ministeren, som skal fastsætte bestemmelser for logning af adgangen, og for patientens adgang til at se denne log.
Den sidste ændring vil dog først blive indført ”når der er teknisk mulighed herfor uden uforholdsmæssige omkostninger for de dataansvarlige.” Det betyder i praksis, at vi tidligst i 2009 kan forvente at få indsigt i, hvem der læser vores journal.
Loven træder i kraft den 1. oktober 2007.
Læs her om lovforslagets historie og indhold. Og se omtalen i Version2.
26. April 2007
Allan Bo Rasmussen
Orientering på P1 bragte den 30. marts en debat om Regeringens digitaliseringsstrategi, som netop er udsendt i offentlig høring.
I udsendelsen deltog Lars Frelle, kontorchef i Finansministeriet og chef for Den Digitale Task Force, Henning Mortensen, sikkerhedskonsulent i ITEK og Kurt Loftkjær, der er aktiv i Dansk Naturfredningsforening.
Med digitaliseringen af den offentlige sektor, får flere og flere offentligt ansatte adgang til flere og flere personfølsomme oplysninger om borgere, der i princippet kan være deres naboer.
For at forhindre, at informationerne slipper ud og havner hos forsikringselskaber, kommende arbejdsgivere eller i andre forkerte hænder, bliver computersystemerne indrettet så man ved misbrug kan gå tilbage og se, hvilke medarbejdere der har været inde og læse i de personlige data.
Men i udsendelsen hører vi i et konkret eksempel hvordan denne såkaldte ‘logning’ er ikke tilstrækkelig til at forhindre misbrug, og at den ikke kan beskytte borgeren, når skaden først er sket og oplysninger er sluppet ud.
Henning Mortensen forklarer hvorledes forskellige privacy-teknologier kunne begrænse risikoen for misbrug, og Lars Frelle bliver i udsendelsen spurgt, hvorfor digitaliseringsstrategien ikke indeholder generelle principper for beskyttelsen af borgernes privatliv.
Hør udsendelsen her (ialt ca 30 min).
1. April 2007
Allan Bo Rasmussen
Efter en omfattende kritik af lovforslaget L50 (som indeholdt mange forskellige bestemmelser, heriblandt om EPJ) besluttede indenrigs- og sundhedsminister Lars Løkke Rasmussen (V) i december 2006 at tage de kontroversielle bestemmelser om persondata ud af forslaget, og resten af loven blev vedtaget som L50A (1 måneds behandlingsfrist, adgang til Medicinprofilen m.v.).
Læs her om det oprindelige lovforslag L50.
Paragrafferne om It-anvendelse i sundhedsvæsenet og elektroniske helbredsoplysninger (EPJ) er nu flyttet til et nyt forslag, L50B, som behandles videre i 2007. Forslaget bærer stadig den misvisende titel “Forslag til lov om klage- og erstatningsadgang inden for sundhedsvæsenet og lov om apoteksvirksomhed”, selvom det faktisk handler om behandling af følsomme persondata og sundhedsministerens bemyndigelse til at fastsætte standarder for sundheds-It.
Lovforslag L50B
Forslaget indebærer, at der i organiseringen af arbejdet med elektroniske patientjournaler indføres en strammere central styring med krav til IT-arkitekturen og de samlede EPJ-løsninger. Det foreslås endvidere, at visse grupper af sundhedspersoner skal have direkte adgang til at indhente helbredsoplysninger m.v. i elektroniske patientjournaler, hvorimod øvrige grupper inden for sundhedssektoren ikke skal have en sådan direkte adgang.
Definitionen af den sundhedsfaglige personkreds er i forslaget baseret på deres organisatoriske tilhørsforhold, fx defineret ved ansættelsesforhold på et givet behandlingssted. Det kan undre, for i fremtidens fleksible sundhedssektor vil et sådant kriterium ofte være forældet (tænk blot på fjerndiagnostik). I stedet bør man benytte princippet om en rollebaseret adgangskontrol (der i øvrigt er anerkendt som god praksis i dag).
Afgrænsningen af de relevante/tilladte lægelige oplysninger synes også at være baseret på en historisk praksis, nemlig at hvert behandlingssted fører sin egen journal, og at disse ikke er indbyrdes forbundne. I et moderne sundhedssystem må vi forvente en større og stigende integration af de lægelige oplysninger om den enkelte patient, hvilket rykker ved selve definitionen af et behandlingssted og gør bestemmelserne i lovforslaget meget svære at implementere.
I forhold til patientens vetoret er de ovenstående betragtninger af stor vigtighed: Skal patienten have mulighed for at begrænse indsigten, fx til bestemte sundhedspersoner, behandlingssteder og behandlinger, kræves der en systematik, som patienten kan overskue. Det findes ikke i lovforslaget.
Forslaget mangler i vores øjne i betydelig grad visioner omkring anvendelsen, og baserer sig på en fortidig opfattelse af arbejdsgange og datastrukturer:
- Man kunne fx have tænkt på, at alle sundhedspersoner ikke har brug for alle oplysninger og krævet en klassifikation af informationerne: Det er næppe nødvendigt at kende en psykiatrisk diagnose for at rede en patients seng.
- Man kunne have tænkt på, at store dele af sundhedspersonalet ikke har brug for at læse en journal for at kunne skrive i den, fx ved indføjelse af laboratorieresultater og indskrivning af temperaturkurver. Her kunne være skriveadgang, uden læseadgang.
- Man kunne have overvejet anonymitet: De fleste lidelser lader sig behandle, uden at behandleren kender patientens navn og personnummer, så længe forbindelsen til de relevante oplysninger er intakt. Når patienten er anonym, forsvinder mange af de risici for privatlivet, som de besværlige sikkerhedsforanstaltninger forsøger at dæmme op for.
Ingeniørforeningen advarer ifølge Version2 om, at datasikkerheden i det nye lovforslag om elektronisk adgang til patienternes journaloplysninger er hullet som en si.
24. January 2007
Allan Bo Rasmussen
I juni 2006 udkom bogen Human Rights in the Global Information Society på MIT Press. Redaktør er Rikke Frank Jørgensen, som præsenterer indlæg fra en række internationale forfattere, der vurderer hvorledes informationssamfundet kan true eller beskytte de fundamentale menneskerettigheder.
Følgende har bidraget :
David Banisar, William Drake, Ran Greenstein, Anriette Esterhuysen, Robin Gross, Gus Hosein, Heike Jensen, Rikke Frank Jørgensen, Hans Klein, Charley Lewis, Meryem Marzouki, Birgitte Kofod Olsen, Kay Raseroka, Adama Samassékou, Mandana Zarrehparvar.
“Scholars, human rights activists, and practitioners discuss such topics as freedom of expression, access to information, privacy, discrimination, gender equality, intellectual property, political participation, and freedom of assembly in the context of the revolution in information and communication technology, exploring the ways in which the information society can either advance human rights around the world or threaten them.”
Et af bogens kapitler, skrevet af Gus Hosein, kan læses her.
31. October 2006
Allan Bo Rasmussen
For at sætte gang i debatten om privatlivets beskyttelse præsenterede Institut for Menneskerettigheder i 2005 en debatbog om ”Overvågning eller Omsorg – Privatlivets Grænser”, udgivet af Forlaget Thomson.
Bogens temaer spænder over politi og efterforskning, kameraer i det offentlige rum, data-logning hos teleudbydere, brug af DNA-registre i retssystemet, overvågning på arbejdspladsen, digital forvaltning, registrering af etnisk oprindelse, patienter og sundhedsvæsen, samt bud på en vej fremad. Forordet er skrevet af Justitsminister Lene Espersen.
Bogens forfattere er: Lars Findsen, Politiets Efterretningstjeneste, Kasper Skov-Mikkelsen og Helge Kierkegaard, SikkerhedsBranchen, Mette Hartlev, Københavns Universitet, Anne Baastrup, Folketinget, Peter Blume, Københavns Universitet, Peter Garde, Retten i Hillerød, Rikke Frank Jørgensen og Birgitte Kofod Olsen, Institut for Menneskerettigheder, Sten Schaumburg-Müller, Århus Universitet, Per Helge Sørensen, Forfatter, Stephan Engberg, Open Business Innovation, Sune og Mira Skadegård Thorsen, Lawhouse.dk, Jeanette Viale, Næstved Kommune, Hanne Lykke Jespersen, Prosa.
Bogen kan købes online hos Forlaget Thomson. En introduktion til bogens indhold kan læses her:
Overvågning eller Omsorg – Privatlivets Grænser
Redigeret af Birgitte Kofod Olsen og Rikke Frank Jørgensen.
Udgivet af Forlaget Thomson.
Første del: Det politiske dilemma
Bogens første del diskuterer de politiske dilemmaer, der udspiller sig i afvejningen mellem ønsket om samfundsmæssig effektivitet og kravet om privatliv.
- Anne Baastrup giver en række eksempler på, hvorledes de elektroniske genstande, som vi dagligt benytter, efterlader elektroniske spor, og hvilke spørgsmål, vi derfor er nødt til at forholde os til. En af Baastrups pointer er, at fagfolk ikke alene aktivt skal påvirke udviklingen af teknologien, men også udvikle den politiske viden om muligheden for at undgå registrering og overvågning.
- Desuden skriver Per Helge Sørensen om overvågningens ulidelige lethed. Sørensen gennemgår otte gode grunde til, at danskere generelt har svært ved at tage overvågning alvorligt; lige fra overvågningens usynlighed til at den almindelige borger ikke har noget i klemme i forhold til sin ukendte overvåger.
Anden del: Den historiske og retlige ramme
Birgitte Kofod Olsen ser på privatlivsbeskyttelsens historiske og filosofiske rødder og argumenterer for, at en forståelse for disse er nødvendig for at kunne erkende de konsekvenser, det har, hvis vi vælger at tilsidesætte privatlivsbeskyttelsen som en grundlæggende rettighed i vores samfund. På spørgsmålet om, hvorvidt der fortsat er behov for beskyttelse af privatlivet, svarer Kofod Olsen: Ja – i allerhøjeste grad.
- Den historiske linie følges op af Sten Schaumburg-Müller, der med anslag i Lucky Luke-historien “Daily Star” ser på spændingen mellem det private og det offentlige. På den ene side er offentlighed godt og nødvendigt; vi vil have tingene belyst, og vi bryder os ikke om lyssky forehavender. På den anden side duer den totale oplysning heller ikke; det private, det hemmelige og det eksklusive er også nødvendigt.
- Peter Blume redegør i bogen for den retlige regulering af persondatabeskyttelsen, således som den udformer sig i Danmark på baggrund af den teknologiske udvikling siden Anden Verdenskrig. Udviklingen af den retlige ramme kobles samtidig til de nyeste tiltag indenfor terrorbekæmpelse, cyber-kriminalitet, rfid-chips (“radio frequency idenfication devices”), spam, samt digital forvaltning. Blume konkluderer, at databeskyttelsen er udsat i disse år, hvor de fulde konsekvenser af informationssamfundet begynder at vise sig, og vi ser en understrøm væk fra frihed og dynamisk demokrati over imod overvågning og kontrol.
Tredje del: Aktuelle cases
Bogens tredje sektion debatterer privatlivsbeskyttelse ud fra en række aktuelle cases og eksempler, herunder politiets behov for effektiv efterforskning, borgeren og den digitale forvaltning, samt beskyttelsesbehov for patienter og sundhedsvæsen.
- Lars Findsen giver et bud på, hvilke krav, forventninger og principper der aktuelt er styrende for Politiets Efterretningstjenestes (PETs) arbejde, og ser bl.a. på, hvorledes trusselsbilledet spiller ind ved valg af efterforskningsmetoder.
- Sikkerhedsbranchen, ved Kasper Skov Mikkelsen og Helge Kierkegaard, der giver eksempler på, hvornår overvågning er ret og rimeligt, og hvornår den er ude af proportioner. Forfatterne skønner fx, at der i Danmark installeres mindst 10.000 kameraer om året, mens Datatilsynet sidste år kun havde ressourcer til 67 inspektioner.
- Tele- og internetudbyderne er pålagt en obligatorisk logning af internet-trafik, med vedtagelsen af den danske anti-terrorlov. Rikke Frank Jørgensen sammenligner i kapitlet logningspligten med den situation, at Post Danmark skulle kopiere for- og bagside af al brevpost, samt opbevare kopierne i et år, for det tilfældes skyld at politiet skulle få brug for dem.
- Peter Garde ser på problemstillinger i tilknytning til brug af DNA-registre, som siden 2000 supplerer det klassiske fingeraftryksregister. Garde konkluderer, at selvom enkelte mennesker kan føle sig krænket ved at stå i registrene, er dette en mindre retssikkerhedskrænkelse, end at en senere forbrydelse ikke opklares.
- Jeanette Viale skriver om den digitale forvaltning. Hvis vi ønsker at sætte borgeren i centrum – og samtidig bruge teknologien til at øge borgerens retssikkerhed og integritet – må vi træffe fælles etiske valg. Det gælder både for valget af tekniske løsninger og for tilrettelæggelsen af forvaltningsprocesserne.
- I sundhedsvæsenet, har beskyttelsen af patientens privatliv været et grundlæggende etisk princip gennem mange hundrede år. Mette Hartlev sætter i kapitlet hensynet til en effektiv patientbehandling overfor hensynet til en tillidsfuld kontakt mellem borger/patient og sundhedsvæsen, og ser på hvorledes dette er reguleret i den danske lovgivning og praksis.
- Etnisk ligebehandling og privatliv behandles i bogen af Mira og Sune Skadegård Thorsen. De gældende regler for indhentning, brug og opbevaring af oplysninger om ansattes etniske oprindelse, er ifølge forfatterne for restriktive. Forfatterne påpeger, at der både i England og USA findes løsninger, der tilgodeser behovet for registrering samtidig med, at den enkeltes privatliv beskyttes.
Fremtiden
Bogens sidste del kikker fremad og ser på muligheder for at supplere den lovgivningsmæssige privatlivsbeskyttelse med teknologiske løsningsmodeller. Med udgangspunkt i bl.a. EU’s arbejde med sikkerhed, identitetsstyring og privatlivsbeskyttelse argumenterer Stephan Engberg for, at vi skal tænke privatlivsbeskyttelse radikalt anderledes, end vi hidtil har gjort i Danmark.
18. October 2006
Allan Bo Rasmussen
Beskyttelsen skal følge teknikkens aktuelle stade
En af de mest betydende bestemmelser i Persondataloven (PDL) er § 41, stk. 3. som lyder:
“Den dataansvarlige skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere.”
Hensynet med bestemmelsen er klart nok. Med anvendelsen af termen ‘hændeligt’ placeres ansvaret endeligt for de beskrevne skader på persondataoplysninger – herunder, at de kommer i uvedkommendes hænder. Termen fastslår, at der er tale om et objektivt ansvar. Motivet til datatabet har ingen betydning.
Nogle af de datafortrolighedsbrud, som bestemmelsen regulerer omfanget af, sker ved tyveri af bærbare pcer eller ved overdragelse af harddiske til en ny ejer.
I den forbindelse har det – ligesom i erstatningsretten – været godt spørgsmål, hvor lang en årsagskæde man kan gøre brug af i forbindelse med diskussionen af, om modforanstaltningerne har været tilstrækkelige eller ej.
Hidtil har der været nogen tvivl om en af formuleringerne. Det drejer sig om “De fornødne tekniske foranstaltninger”. For hver meget skal der til, før foranstaltningen er effektiv? Et af disse temaer er spørgsmålet om kryptering af harddiske på bærbare pcer og hjemmearbejdspladser. Herom hedder det i Datatilsynets sikkerhedsvejledning:
§ 7, stk.2. “Lokal lagring af oplysninger. Hvis det er nødvendigt, at hjemme-pcen ikke bare anvendes som terminal mod det centrale system, men også til lagring af oplysninger fra det centrale system, bør oplysningerne krypteres.”
Kernen i debatten har været en variant af det sædvanlige modalverbumsdiskussion: Betyder “bør” her blot en anbefaling (=kan, hvis man vil) eller reelt set en pligt?
Retspraksis i form af Datatilsynets praksis på området har hidtil været, at brug af svagere forholdsregler som for eksempel biospasswords skulle være helt tilstrækkeligt, uanset sådanne foranstaltninger let kan omgås. Et biospassword kan omgås for meget få omkostninger, og bruger man for eksempel det indbyggede brugerpassword i Windows, er omgåelse gratis og enkel.
Den fremmede nye bruger har således uhindret adgang til data, men det kræver et element af ond vilje, kunne man antage. Men skal de indbyggede programmer anvendes på en overtaget pc, er det enkleste naturligvis at knække koden. Det objektive ansvar indebærer i første omgang, at dataejeren/behandleren har ansvaret. Heroverfor står omfanget af de anstrengelser, vedkommende skal gøre sig for at beskytte persondata.
Datatilsynets praksis på området bør skærpes. Det fremgår af en anbefaling, som IT-sikkerhedspanelet under Videnskabsministeriet har offentliggjort. Her hedder det bl.a.
Videnskabsministeriets vejledning: “Præcisering af Lov om behandling af personoplysninger, Artikel 17, stk. 1 i Persondatadirektivet (direktiv 95/46/EC) er ikke implementeret ordret i den danske lov. I artiklen hedder det at:
“Medlemsstaterne fastsætter bestemmelser om, at den registeransvarlige skal iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte personoplysninger… Disse foranstaltninger skal under hensyn til det aktuelle tekniske niveau og de omkostninger, som er forbundet med deres iværksættelse, tilvejebringe et tilstrækkeligt sikkerhedsniveau i forhold til de risici, som behandlingen indebærer, og arten af de oplysninger, som skal beskyttes”.
Formuleringen i kursiv er ikke medtaget i den danske lovtekst, men er nævnt i bemærkningerne til persondataloven § 41, stk. 3, som implementerer art. 17, stk. 1. Fraværet af denne formulering i den danske lovtekst betyder, at det ved udvikling og implementering af it-systemer ofte overses, at personoplysninger SKAL sikres på en teknologisk aktuel måde. Hermed opfylder it-systemerne ikke kravene i persondataloven og persondatadirektivet.”
Det har længe været kendt, at Datatilsynets kontrolfelt er kolossalt i forhold til bemandingen. Om Datatilsynets eftergivenhed på dette område skal ses i dette lys, er uvist. Men vi kan naturligvis ikke gå og vente på, at grove overtrædelser af Persondatalovens hensigt skal opstå, blot fordi det ikke har de tilstrækkelige ressourcer.
8. October 2006
Mikael Hertig