Forskning

Overvågningen stiger i Danmark

Den engelske organisation Privacy International har netop udsendt sin årlige rapport over de værste overvågningssamfund i verden. For 2007 er rapporten blevet mere detaljeret, idet bl.a. flere europæiske lande er vurderet, og desværre viser rapporten, at øget overvågning er en tydelig global trend.

Danmark bliver på flere områder udpeget som et af de værste skrækeksempler, og med en samlet privacy-score på 2.0 lander Danmark i den næst-værste kategori for »udvidede overvågnings-samfund«. Danmark ligger dermed på niveau med Bulgarien og Indien, men kan dog trøste sig med, at store lande som England , USA og Rusland klarer sig endnu dårligere.

En nærlæsning af rapporten viser, at det især er inden for områder som data-deling, telelogning, politiets adgang til data og overvågning af finansielle transaktioner, at Danmark har gjort sig uheldigt bemærket. Det handler blandt andet om logningsbekendtgørelsen, som stiller nye krav til teleselskabernes opbevaring af trafikdata knyttet til telefon- og internet-kommunikation. Danmark har som et af de første EU-lande implementeret en omfattende registrering af alle borgeres kommunikation med henblik på senere efterforskning. Også den danske praksis for håndtering af DNA og adgang til oplysninger om rejsende bliver fremhævet af Privacy International som kritiske punkter.

Se rapportens konklusioner for 2007 her.

Til sammenligning bringer vi her de tilsvarende vurderinger fra 2006.

5. January 2008 Allan Bo Rasmussen

PRISE konference i Wien

PRISE projektet, der har til formål at udvikle retningslinier for udvikling af sikkerhedsteknologi i overensstemmelse med privacy principper, nærmer sig nu sin afslutning. Teknologirådet arrangerer i fællesskab med de øvrige deltagere i projektet en konference, hvor projektets resultater skal præsenteres og diskuteres. Det foregår i Wien, den 28-29. april 2008 – se indbydelsen her.

Projektet har kortlagt borgernes holdning til sikkerhedsteknologier og scenarier på en række møder i 6 europæiske lande. Se konklusionerne herfra i den foreløbige rapport.

4. January 2008 Allan Bo Rasmussen

It-designere glemmer privatlivets fred

En undersøgelse, gennemført af ingeniørforeningen IDA viser, at kun 47 procent af de it-professionelle – som i realiteten bestemmer, hvordan it-systemer skal indrettes – kender til virksomhedens politik for beskyttelse af privatlivets fred. Måske mest bekymrende er det, at det inden for det offentlige kun er 40 procent af de it-professionelle, der kender til institutionens politik med hensyn til beskyttelse af privatlivets fred.

Undersøgelsen afdækker beskyttelsen af privatlivets fred på en lang række områder og viser blandt meget andet:

  • Hele 30% af de IT-professionelle har oplevet konkrete brud på Privacy
  • 30,4% af de IT-professionelle mener ikke, at det offentlige i dag tager tilstrækkelig hensyn til privatlivets fred, når der indføres nye IT-systemer
  • 57,6% af de IT-professionelle ser en fare for, at de data der bliver lagret i de elektroniske patientjournaler kan blive misbrugt

Undersøgelsen af de it-professionelles holdninger til Privacy er gennemført af Ingeniørforeningen i Danmark i april 2007. Undersøgelsen bygger på i alt 990 svar fra medlemmerne af to af foreningens fagtekniske selskaber – IDA IT og Dansk Selskab for Datateknik, som tæller it-ingeniører, dataloger og andre højt specialiserede it-fagfolk blandt sine medlemmer.

Læs hele rapporten her: Privatlivets fred – Højtuddannede IT-professionelles holdninger til Privacy – (PDF 114 KB)

7. July 2007 Allan Bo Rasmussen

Teknologivurdering omkring privacy

En ny europæisk rapport ICT and Privacy in Europe giver forslag til, hvordan politikerne kan møde de nye udfordringer til beskyttelse af borgernes privatlivsfred.

Rapporten giver 18 forslag til hvordan politikerne kan sikre en sådan beskyttelse. Et forslag lyder på at gøre de digitale systemer gennemsigtige for borgerne. Borgerne skal have ret til at vide, om andre har haft adgang til deres data. De skal have direkte adgang til egne sager og til logfiler, og de skal aktivt kunne styre deres egne data.

Rapporten er udarbejdet af en arbejdsgruppe under EPTA, det europæiske netværk for parlamentarisk teknologivurdering. Det danske Teknologiråd er medlem af dette netværk og har deltaget i arbejdsgruppen sammen med medlemmer fra 6 andre europæiske lande: Norge, Østrig, Holland, England, Belgien og Schweitz.

Rapportens Executive Summary peger blandt andet på:

Dealing with privacy in terms of trade-offs helps to illustrate that a balance has to be found between conflicting societal values and rights. Our analysis points to some important challenges and corresponding policy options:   

  • Review of surveillance systems by independent body
  • Citizens’ access to their own records and logs
  • Empowering data protection agencies
  • Mandatory privacy impact assessments

This report shows that the value of privacy is underestimated by citizens, policy makers and enterprises. It concludes that there is need for more research on mid- and long-term effects of weakened privacy, and more public dialogue is needed on these issues. 

 

Rapporten: ICT and Privacy in Europe kan hentes her.

19. October 2006 Allan Bo Rasmussen

EPIC rapport: Privacy and Human Rights

Den amerikanske organisation EPIC har udgivet sit årlige survey Privacy and Human Rights 2005, som kortlægger privacy situationen i mere end 70 lande. Rapporten beskriver den aktuelle juridiske beskyttelse, samt nye privacy udfordringer og tiltag i hvert enkelt land. Her er et kort citat fra hovedpunkterne:

1. Governmental measures against terrorism
Biometric travel documents,  surveillance, outsourcing information handling to private companies.

2. Other governmental measures
Biometrics, smart cards, medical information databases, data mining and video surveillance.

3. Private sector surveillance
RFID and video surveillance, spam fight, public awareness, strengthening data protection and security laws

4. New data protection laws
EU countries now have a harmonized set of data protection laws, most other countries are following the EU data protection model

5. Civil liberties groups and NGOs’ successful opposition to privacy intrusions
Many forceful reactions from human rights groups.In US, the “CAPPS II” air passenger profiling program was defeated

6. Developments in open government
This year, most of the developments concerned new laws or regulations, while the United Kingdom eventually fully implemented its Freedom of Information Act

7. Actions of international governmental organizations
The organizations have been very active, but actions have generally been out of the public eye

Highlights fra de enkelte landes rapportering kan downloades her.

19. October 2006 Allan Bo Rasmussen

EU eksperter anbefaler privacy forskning

I januar 2006 afholdt EU en Expert Workshop om “ICT for Trust and Confidence”. Formålet var at få eksperternes anbefaling af emner, der bør prioriteres højt i det syvende rammeprograms forskning inden for informations- og kommunikationsteknologi. Workshoppens emner var:

1. MODELS FOR “SECURITY” AND “TRUST”
2. IDENTITY MANAGEMENT AND PRIVACY ENHANCING TECHNOLOGIES
3. SECURE HANDLING OF DIGITAL ASSETS
4. PROTECTION AGAINST CYBER THREATS
5. RISK MANAGEMENT AND ECONOMICAL ASPECTS
6. CERTIFICATION, BENCHMARKING AND RELATED TOPICS
7. OTHER CONSIDERATIONS

Rapporten fra workshoppen resumerer følgende overordnede anbefalinger:

  • There is a strong requirement for an anonymous, secure, network infrastructure. It is a key component upon which many different applications can be built. It is not clear if there should be one publicly supported infrastructure or several ones that eventually compete in the marketplace. It is likely that several would be developed, possibly with different features. Provided they are well specified and designed, interoperability should not be a problem; gateways will be able to bridge different networks.
  • Applications handling identity management in the public sector are needed. For some, the real identity needs to be known e.g. if applying for social security benefits, but in other cases, it may be a question of knowing if the person is entitled to something e.g. in drawing social security benefits.
  • Research is needed into the security aspects of databases – current designs are untrustworthy and quickly get polluted and compromised. These create challenges for applications – the tradeoffs between privacy, identity and the societal requirements that these privileges do not apply if used for antisocial purposes. There is a need for the lawyers, human rights champions, sociologists, psychologists, ethicists and technologists to engage in debate and conduct research and trials (not surveys) to get the balances between these right for society in the digital age and compatible with the EU Constitution.
  • The development of reputation based systems can complement identity based systems. Combination with the “virtual identities” can lead to some interesting and new applications.
  • SLAs (Service Level Agreements) need to be evolved to take into account security and privacy. Just as IP traffic has developed QoS (Quality of Service) we need to develop additional control parameters, such as SoS (Security of Service), RoS (Reliability of Service) etc.
  • Benchmarking and certification need to be developed that can give useful comparisons of security and trust approaches and implementations.
  • Applications are needed that can demonstrate strong security through combinations of weak mechanisms, and that these will scale to large, partially open, and mobile environments.

Rapporten og workshoppens præsentationer kan hentes på  EU hjemmesiden for Information Society Technologies.

10. October 2006 Allan Bo Rasmussen

Offentlige anbefalinger om privacy-tiltag

IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy i forbindelse med forskellige teknologier/domæner – herunder f.eks. systemer til digital forvaltning, RFID og sundhedssektoren. Overvejelserne har resulteret i et katalog med anbefalinger om tiltag på disse områder:

A. Awareness

  • Jurisdiktion og regelfortolkning
  • Logning af data
  • Privacy portal
  • Identitetstyveri
  • Demonstrationsprojekt

B. Udvikling og udbredelse af Privacy Enhancing Technologies

  • Skabelon for arkitektur til privacyløsninger
    I skabelonen skal f.eks. fastlægges principper, processer og forretningsgange for, hvordan privacy bestemmerne bedst kan efterleves i offentlige it-systemer.

C. Lovgivning og regler

  • Offentlige kunders efterspørgsel efter Privacy Enhancing Technologies
  • Kodeks for minimal dataindsamling
  • Revision af privacy principper
  • ENISA
  • Præcisering af Lov om behandling af personoplysninger
  • Tilgængelige privacypolitikker
  • Offentligt / privat samarbejde

D. Forskning

  • Privacy forvirring
  • Undersøgelse af privacy behov
  • Tradeoff mellem brugervenlighed og privacy

 

Læs alle anbefalingerne i IT-sikkerhedspanelets idekatalog.

8. October 2006 Allan Bo Rasmussen

Nordisk rapport om IT-privacy

I slutningen af 2005 blev en nordisk rapport udarbejdet af konsulentbureauet Deloitte for Nordisk Ministerråd: IT-privacy – en forudsætning eller en forhindring for borgeren i Norden?

IT-privacy – rapporten beskæftiger sig blandt andet med det dilemma, at den lovlydige borger kan få overvåget sit privatliv mens den organiserede kriminalitet kan udnytte den nye teknik til at agere helt anonymt. Det illustreres gennem en fiktiv historie om en rejsende direktør og hans illoyale sekretær. Direktøren afgiver følsomme persondata om blandt andet alkoholforbrug mens sekretæren ved at bruge den nye teknik kan afsende industrispionage uden at hendes informationer kan spores.

Rapporten er fremkommet på baggrund af fire delopgaver:

  1. Komparativ analyse af de nordiske landes lovgivning om databeskyttelse.
  2. Kortlægning af tilgængelige privatlivsfremmende/privatlivstruende teknologier.
  3. Vurdering af, hvorledes de tilgængelige privatlivsfremmende/privatlivstruende teknologier forholder sig til krav og målsætning i persondatabeskyttelsesloven og logning af elektronisk spor.
  4. Kortlægning af de nordiske landes tiltag imod spam – en vurdering af spams betydning for privacy-området – og identifikation af mulige nye initiativer til bekæmpelse af spam.

Hovedrapporten kan hentes her: Nordisk Ministerråd: IT-privacy rapport.

2. October 2006 Allan Bo Rasmussen

Privacy Enhancing Technologies

I februar 2006 offentliggjorde Videnskabsministeriet rapporten “Privacy Enhancing Technologies”, som beskriver resultaterne af en international analyse, gennemført af META Group for Ministeriet.

Rapporten giver en systematisk introduktion til de privatlivsfremmende teknologier, og beskriver deres funktioner og anvendelser. Oversigten illustreres med en række scenarier og beskrivelser af konkrete produkter, og rapporten afsluttes med en beskrivelse af følgende trends og issues:

TRENDS

  • Demonstration Projects
  • Acceptance Surveys
  • Privacy Considerations in E-Governmant
  • Review of Public E-services includes Privacy
  • Corporate Privacy Solutions are Advancing

ISSUES

  • Lack of a Trust Model
  • Specific Provisions are Limiting Design Changes
  • New Technologies are Challenging Old Legislation
  • Lack of Standards
  • Privacy Requires an Architecture

 

Rapporten kan hentes her: Privacy Enhancing Technologies.

1. October 2006 Allan Bo Rasmussen

Fakta og holdninger om privatlivets beskyttelse

Om Privacyforum.dk

Temaer

Indhold

Privacy Links