Artikler
Videnskabsminister Helge Sander nedsatte i 2006 et åbent Privacy Forum, med deltagere fra bl.a Dansk Industri’s Privacy Taskforce. Privacy Forums møderække blev afsluttet juni 2007, og vi har længe ventet på at se resultatet af arbejdet. Nu er det her: Et idékatalog med forslag til privatlivsfremmende initiativer, som ministeren kan vælge blandt, når persondatasikkerheden skal forbedres.
Det er Privacy Forums opfattelse, at de eksisterende privacy-initiativer ikke er tilstrækkelige til at sikre hensynet til privatlivets fred i Danmark. Indsatsen på området skal accelereres, såfremt tilliden til digitaliseringen -i offentligt såvel som privat regi – skal bibeholdes.
Foruden Idekataloget har Privacy forum udgivet en Case-samling, som illustrerer typiske situationer, hvor borgerens sikkerhed er truet, og anbefaler konkrete initiativer til begrænsning af risikoen. Case samlingen beskriver bl.a. privacy trusler fra
- TV-overvågning
- Logning af internetanvendelse
- Biometri
- TV-kanalovervågning
- Google
- E-handel
- Demokratiske elektroniske valg
- Usikker færden på internettet
- Kvik-skranken i den offentlige forvaltning
- Bibliotekslån
- Elektronisk Patient Journal
For den enkelte borger har Privacy Forum udgivet en vejledning, som har til formål at skitsere, hvordan man ved hjælp af forskellige teknologier og den rette adfærd kan sikre, at oplysninger, som er personhenførbare, og som man gerne vil bevare fortroligt, ikke opsnappes af uvedkommende, når de lagres, behandles og kommunikeres elektronisk.
27. June 2008
Allan Bo Rasmussen
Rådet for Større IT-sikkerhed blev den 19. maj formelt stiftet af i alt 21 aktører som repræsenterer både private virksomheder, offentlige organisationer og forskningsverdenen.
Formålet for det nye råd er at bidrage til et sikkert fundament for det digitale servicesamfund og at give uafhængig, fagligt funderet rådgivning til regeringen, Folketinget og til it- og informationsansvarlige samt befolkningen i øvrigt.
Blandt forbillederne for det nye råd er Rådet for Større Færdselssikkerhed. Christian Wernberg-Tougaard, der er nyvalgt formand for Rådet for Større IT-sikkerhed, siger: “Vi er midt i massive samfundsmæssige forandringer hvor stadig mere bliver digitalt. Derfor er det afgørende at vi kan have tillid til informationsteknologi og at sikkerhed bliver bygget med ind i fundamentet for alle de mange nye systemer.”
Det nye råd er selvejende og har aktører fra alle sektorer, hvilket gør det til en værdifuld nyskabelse. Rådets arbejde finansieres via sponsoraftaler hvoraf de første er ved at blive forhandlet på plads. På længere sigt er målet at opnå delvis offentlig finansiering via Finansloven på samme måde som Rådet for Større Færdselssikkerhed og Forbrugerrådet.
Rådet for Større IT-sikkerhed er blevet til efter længere tids offentlig debat. Initiativet blev taget i februar 2008 af Kim Aarenstrup efter at han gik af som formand for Dansk IT’s Råd for IT- og Persondatasikkerhed. I forbindelse med stiftelsen af Rådet for Større IT-sikkerhed i går opstillede Kim Aarenstrup som næstformand og blev valgt. Han er til daglig it-sikkerhedschef i A. P. Møller-Mærsk.
For initiativtagerne er det afgørende at Danmark får ét stærkt og samlet uafhængigt råd som beskæftiger sig med it- og informationssikkerhed. Den nyvalgte bestyrelse fik derfor som opgave at arbejde aktivt for at etablere samarbejde med andre aktører på området og at arbejde opsøgende i forhold til de relevante parter. Der er fortsat åbent for at indtræde som stiftende medlem idet vedtægterne for Rådet for Større IT-sikkerhed først bliver endeligt vedtaget på det første ordinære rådsmøde som finder sted til august.
Læs mere på www.rfsits.dk
22. May 2008
Allan Bo Rasmussen
Høringsrunden for regeringens strategi for digital forvaltning 2007-2010 er nu afsluttet, og den endelige version er publiceret her: Strategi_for_digital_forvaltning_2007-2010_endelig.pdf
En lang række organisationer har påpeget, at det første udkast ikke tog højde for den offentlige sektors beskyttelse af borgernes personfølsomme data. Derfor har parterne bag strategien valgt at tilføje et nyt initiativ i den endelige udgave af strategien, som skal fremme beskyttelsen af data, når der udvikles nye digitale løsninger i den offentlige sektor. Initiativet er beskrevet således:
• Der nedsættes en tværoffentlig arbejdsgruppe med henblik på fortsat at fremme privacy-hensyn i udviklingen af den offentlige forvaltning. Arbejdet skal blandt andet tage sit udgangspunkt i det eksisterende Privacy Forum og It-sikkerhedspanelets anbefalinger.
Spørgsmål om sikkerhed og tryghed skal fortsat udgøre en helt central del af den danske digitaliseringsindsats. Reglerne om god databehandlingsskik skal i forbindelse med iværksættelse af nye initiativer fortsat sikre borgerne den fornødne fortrolighed, ligesom en fælles standard for håndtering af it-sikkerhed (DS 484) skal udbredes til hele den offentlige sektor. Det skal ske på en sådan måde, at myndighederne fortsat kan give borgere og virksomheder en effektiv og sammenhængende service.
Alle høringssvarene kan læses her: kommentarer_til_strategien.
Læs om den tidligere debat om strategien, som blev bragt i P1.
27. June 2007
Allan Bo Rasmussen
Lovforslaget L162 om den øgede brug af tv-overvågning blev vedtaget af Folketinget ved 3. behandling den 1. juni 2007. Forslaget bygger på betænkningen fra det såkaldte tv-overvågningsudvalg, og blev vedtaget med meget få ændringer i forhold til den oprindelige tekst.
Med vedtagelsen af lovforslaget indsættes bl.a. en ny bestemmelse i tv-overvågningsloven om, at pengeinstitutvirksomheder, spillekasinoer, hotel- og restaurationsvirksomheder samt butikscentre og butikker får mulighed for at foretage tv-overvågning med billedoptagelse af egne indgange og facader, samt af arealer, som ligger i direkte tilknytning hertil.
For at sikre borgerne en styrket retsbeskyttelse ved behandling af personoplysninger i forbindelse med tv-overvågning bliver der endvidere indsat en bestemmelse i persondataloven, hvorefter loven gælder enhver form for behandling af personoplysninger i forbindelse med tv-overvågning.
Desuden får Datatilsynet nu inspektionskompetence i forhold til privates behandling af personoplysninger i forbindelse med tv-overvågning, og i den forbindelse bliver tilsynets bevilling forøget med 3 mill kr. i 2007.
Loven træder i kraft den 1. juli 2007. Læs mere om loven her.
22. June 2007
Allan Bo Rasmussen
Den norske regering har nedsat en kommission, som skal vurdere om privatlivet beskyttes godt nok i dagens højteknologiske samfund. Fornyelses- og administrationsminister Heidi Grande Røys har netop sat navn på Personvernkommisjonens 15 medlemmer, og en af kommissionens vigtigste opgaver bliver at vurdere, om nordmændene skal have en grundlæggende ret til at færdes anonymt i informationssamfundet.
Kommissionens mandat er at
- Give en status over de aktuelle udfordringer for privatlivsbeskyttelsen
- Vurdere nærmere hvorledes privatlivsbeskyttelsen bør håndteres i forhold til modstående hensyn og værdier
- Kortlægge og evaluere de virkemidler som i dag eksisterer for at beskytte privatlivet, herunder myndighedernes praksis og roller
- Fremlægge forslag til nye principper og virkemidler, herunder privatlivsbeskyttende teknologier
- Se på mulige tiltag og virkemidler for bedre efterlevelse af de regler som beskytter privatlivet
Den norske regering ønsker en vurdering af, hvorledes beskyttelsen af den enkelte borgers privatliv kan varetages som en del af samfundets videre udvikling, herunder hvorledes privatlivsfremmende teknologier kan blive en integreret del af nye løsninger, og gøre det lettere for borgerne at beskytte sine rettigheder.
Læs mere om privacy i Norge her: personvern.html
Se kommissionens mandat her: Mandat_Personvernkommisjonen.pdf
2. June 2007
Allan Bo Rasmussen
Orientering på P1 bragte den 30. marts en debat om Regeringens digitaliseringsstrategi, som netop er udsendt i offentlig høring.
I udsendelsen deltog Lars Frelle, kontorchef i Finansministeriet og chef for Den Digitale Task Force, Henning Mortensen, sikkerhedskonsulent i ITEK og Kurt Loftkjær, der er aktiv i Dansk Naturfredningsforening.
Med digitaliseringen af den offentlige sektor, får flere og flere offentligt ansatte adgang til flere og flere personfølsomme oplysninger om borgere, der i princippet kan være deres naboer.
For at forhindre, at informationerne slipper ud og havner hos forsikringselskaber, kommende arbejdsgivere eller i andre forkerte hænder, bliver computersystemerne indrettet så man ved misbrug kan gå tilbage og se, hvilke medarbejdere der har været inde og læse i de personlige data.
Men i udsendelsen hører vi i et konkret eksempel hvordan denne såkaldte ‘logning’ er ikke tilstrækkelig til at forhindre misbrug, og at den ikke kan beskytte borgeren, når skaden først er sket og oplysninger er sluppet ud.
Henning Mortensen forklarer hvorledes forskellige privacy-teknologier kunne begrænse risikoen for misbrug, og Lars Frelle bliver i udsendelsen spurgt, hvorfor digitaliseringsstrategien ikke indeholder generelle principper for beskyttelsen af borgernes privatliv.
Hør udsendelsen her (ialt ca 30 min).
1. April 2007
Allan Bo Rasmussen
Der skal skabes mere tryghed og større sikkerhed på internettet. Det er meldingen fra videnskabsminister Helge Sander, der vil sætte særlig fokus på it-sikkerhed i 2007. Det sker bl.a. efter, at It-sikkerhedspanelet har afleveret sin årsrapport med en række anbefalinger på området.
“Man skal som bruger af internettet have tillid til, at sikkerheden er i orden. Det er hele forudsætningen for, at borgere og virksomheder vil udnytte de mange muligheder, som nettet tilbyder. Derfor skal vi gøre alt, hvad vi kan for at styrke denne tillid” siger videnskabsminister Helge Sander.
Videnskabsministeriet har netop modtaget årsberetningen fra It-sikkerhedspanelet, der rådgiver ministeriet i it-sikkerhedsspørgsmål. I rapporten er privacy – eller sikringen af private oplysninger på nettet – et centralt element.
“Vi har tidligere nedsat et åbent Privacy Forum, der i løbet af 2007 vil komme med en række konkrete bud på, hvordan privatlivets fred i højere grad kan beskyttes. Derfor har jeg bedt IT- og Telestyrelsen sikre, at It-sikkerhedspanelets anbefalinger inddrages i det igangværende arbejde” siger Helge Sander.
It-sikkerhedspanelets formand, Hanne Bender, er tilfreds med ministerens udmelding:
“Jeg er godt tilfreds med, at videnskabsministeren har kvitteret for panelets konkrete forslag – særligt omkring privacy, der er et centralt indsatsområde. Jeg ser frem til ministeriets tiltag på dette område” fortæller advokat Hanne Bender.
Videnskabsministerens udmelding blev offentliggjort på den samme dato, som Dansk Industri/ITEK lancerede et katalog over sikkerhedsbrud i offentlige IT-løsninger.
19. February 2007
Allan Bo Rasmussen
ITEK og Dansk Industri har idag offentliggjort et katalog med 50 eksempler på offentlige myndigheders brud på privacy og manglende design af privacy i systemer. Formålet er at synliggøre og dokumentere tingenes tilstand, og på denne baggrund at rejse en politisk debat om emnet. Kataloget har titlen “Privatlivets fred – Ikke i Danmark?” og påpeger en lang række områder, hvor digitaliseringen af den offentlige sektor har forsømt at beskytte borgernes privatliv. Kataloget beskriver:
- Cases som demonstrerer faktiske brud på privatlivets fred i den offentlige sektor
- Planlagte nationale løsninger, som ikke respekterer privatlivets fred
- Politiske tiltag som udvander privatlivets fred
Kataloget har ikke blot kritik til overs for de offentlige systemejere – det indeholder også flere konstruktive forslag til at vende den negative udvikling:
- Det foreslås at der at der laves en strategi for beskyttelse af privatlivets fred, og at den får reel betydning for arkitekturen i de offentlige it-systemer.
- Det foreslås at denne strategi systematisk fastholdes af et selvstændigt organ i den offentlige sektor, fx et nyt Informationssikkerhedsråd, der kan rådgive om både sikkerhed og privacy, når nye digitale løsninger planlægges
- Det foreslås desuden at revurdere, om Datatilsynet har de fornødne ressourcer til at opfylde sin opgave, der i de senere år er vokset betydeligt i omfang og kompleksitet.
ITEK og Dansk Industri påpeger i kataloget, at privacy problemet ikke er nyt:
“Videnskabsministeriets Sikkerhedspanel har vejledt Ministeriet i forhold til, hvad der burde gøres. Det uafhængige Rådet for IT- og Persondatasikkerhed og Ingeniørforeningen har påpeget den manglende beskyttelse af privatlivets fred i forbindelse med EPJ. Stort set samtlige organisationer i dette land opponeret mod logningsbekendtgørelsen. Flere leverandører har i forbindelse med konkrete projekter præsenteret løsninger, som kunne råde bod på problemerne. Det er vanskeligt at se, at nogle af disse råd, skulle være taget til efterretning i den offentlige sektor.”
Publikationen blev omtalt i Radioavisen og TV2 den 9.februar, hvor videnskabsminister Helge Sander i et interview forklarede, hvad regeringen vil gøre for at beskytte borgernes privatliv: Ministeren henviste til IT- og Telestyrelsens Privacy Forum.
Ingeniørforeningens Jørn Guldberg støtter initiativet i Version2 , men finder det lidt beskæmmende, at det er industrien og ikke staten selv, der bekymrer sig mest om beskyttelse af borgernes privatliv.
Læs mere i DI publikationerne Principper for privacy og God privacy praksis.
9. February 2007
Allan Bo Rasmussen
Rapporten “It-sikkerhed på tværs af grænser“ blev offentliggjort den 24. januar 2007 på National Museet i København. Den indeholder anbefalinger fra en arbejdsgruppe under Teknologirådet, som peger på håndfaste tiltag inden for seks konkrete indsatsområder, hvor Danmarks it-sikkerhed kan styrkes gennem internationalt samarbejde.
Arbejdsgruppen ser ikke sikkerhed og privacy som modsætninger, men som problemer, der skal løses samtidigt. Det fremgår blandt andet af disse anbefalinger, som vi citerer i uddrag:
Mangel på sikker identifikation
Arbejdsgruppen mener, at vi i Danmark skal tage initiativ til udvikling af et dansk borgerservicepas i form af en ”digital identitet”, som kan fungere på tværs af grænser i EU, og som minimerer risikoen for, at den enkelte borger bliver offer for kriminelle handlinger og misbrug af personlige data i forbindelse med handel og kommunikation via internettet. Arbejdsgruppen mener ikke nødvendigvis, at hele EU skal have præcis den samme tekniske løsning for digital identitet, men pointerer vigtigheden af, at de nationale løsninger er koblet sammen i et fælles, interoperabelt EU-system.
Arbejdsgruppen pointerer, at begrebet ”privacy” er centralt i relation til borgerservicepas. Privacy handler grundlæggende om retten til at være alene uden at være overvåget af andre, og retten til at bestemme, hvad man vil offentliggøre om sig selv og under hvilke omstændigheder. Arbejdsgruppen mener, at man skal designe borgerservicepasset på en sådan måde, at privacy er maksimalt beskyttet.
Manglende fokus på it-sikkerhed i offentlige it-udbud
For at højne sikkerhedsniveauet hos de offentlige myndigheder i EU – og dermed også løfte niveauet i det øvrige samfund – anbefaler arbejdsgruppen, at der ved lovgivning indføres krav om, at it-sikkerhed skal være en nøgleparameter i alle offentligt udbud, hvor it indgår – og at en it-sikkerheds- og forbundethedsanalyse skal være en del af udbudet.
Det betyder, at udbudet skal indeholde en analyse af de mulige konsekvenser af en sikkerhedsbrist og især fokusere på, hvordan en sådan brist kan påvirke andre sektorer og forplante sig gennem forbundne it-systemer.
Arbejdsgruppen mener, at sikkerhedsstandarden DS484, der i dag er et krav i forhold til statslige og regionale it-løsninger og forventes at blive det i forhold til løsninger til kommunerne i løbet af 2007, er mangelfuld på privacy området. Der er behov for at etablere et centralt organ med ansvar for at etablere et nyt regelsæt for it-sikkerhed i den offentlige sektor ved udbud, der berører privacy og andre kritiske samfundsinteresser. Det er oplagt at gennemføre dette i forbindelse med Kvalitetsreformen af den offentlige sektor. Dette centrale organ kunne også få ansvar for at gennemføre de nødvendige analyser med henblik på at sikre den it-mæssige sammenhæng i de forskellige samfundsområder – fx sundhedsområdet – og på tværs af områderne.
Offentliggørelsen af rapporten blev efterfulgt af en debat mellem arbejdsgruppens medlemmer og et panel af folketingspolitikere. En podcast fra arrangementet kan hentes her.
3. February 2007
Allan Bo Rasmussen
Det 2. møde i IT- og Telestyrelsens Privacy Forum blev afholdt den 24. oktober 2006. Det var startskuddet for nedsættelsen af en række arbejdsgrupper, som skal foreslå privacy-initiativer.
Initiativkatalog
Privacy Forum skal belyse en række mulige initiativer, så de efterfølgende kan beskrives i et samlet katalog. Forummet vil ikke have en formelt rådgivende funktion og kan ikke i første omgang forpligte udadtil. Men hvis arbejdet munder ud i et samlet katalog med nogle konkrete aktiviteter, skal disse meldes ud med et svar på, hvordan de faktisk gennemføres.
Arbejdsform
IT- og Telestyrelsens Privacy Forum er åbent organiseret med fri deltagelse fra alle interesserede parter. Forummet er organiseret ved, at der afholdes møder med deltagelse fra alle tilmeldte til at drøfte de overordnede emner – såkaldte stormøder. Herudover nedsætter forummet en række arbejdsgrupper, der skal drøfte udformningen af konkrete forslag til initiativer. Der vil blive nedsat arbejdsgrupper med følgende temaer:
- Awareness
- Forskning og innovation
- Regulering
- Arkitektur
- Internationalt
De konkrete forslag til initiativer vil kunne danne baggrund for almen debat om privacy, der både kan initieres af de enkelte deltagere og IT- og Telestyrelsen.
Læs mere i referatet fra mødet og arbejdsgrundlaget.
9. December 2006
Allan Bo Rasmussen
Tidligere indlæg