Teknik

Idekatalog fra Privacy Forum

 Videnskabsminister Helge Sander nedsatte i 2006 et åbent Privacy Forum, med deltagere fra bl.a Dansk Industri’s Privacy Taskforce. Privacy Forums møderække blev afsluttet juni 2007, og vi har længe ventet på at se resultatet af arbejdet. Nu er det her: Et idékatalog med forslag til privatlivsfremmende initiativer, som ministeren kan vælge blandt, når persondatasikkerheden skal forbedres.

Det er Privacy Forums opfattelse, at de eksisterende privacy-initiativer ikke er tilstrækkelige til at sikre hensynet til privatlivets fred i Danmark. Indsatsen på området skal accelereres, såfremt tilliden til digitaliseringen -i offentligt såvel som privat regi – skal bibeholdes.

Foruden Idekataloget har Privacy forum udgivet en Case-samling, som illustrerer typiske situationer, hvor borgerens sikkerhed er truet, og anbefaler konkrete initiativer til begrænsning af risikoen. Case samlingen beskriver bl.a. privacy trusler fra

  • TV-overvågning
  • Logning af internetanvendelse
  • Biometri
  • TV-kanalovervågning
  • Google
  • E-handel
  • Demokratiske elektroniske valg
  • Usikker færden på internettet
  • Kvik-skranken i den offentlige forvaltning
  • Bibliotekslån
  • Elektronisk Patient Journal

For den enkelte borger har Privacy Forum udgivet en vejledning, som har til formål at skitsere, hvordan man ved hjælp af forskellige teknologier og den rette adfærd kan sikre, at oplysninger, som er personhenførbare, og som man gerne vil bevare fortroligt, ikke opsnappes af uvedkommende, når de lagres, behandles og kommunikeres elektronisk.

27. June 2008 Allan Bo Rasmussen

Informationer lever evigt

Logningsbekendtgørelsen, som trådte i kraft den 15. september, har været længe undervejs, så der har været god tid til at tænke over, hvem der skal indsamle hvilke data og hvorfor. Men det er bekymrende, at lovgiverne tilsyneladende ikke har tænkt på, hvem der skal eje de indsamlede data og hvad de må bruge dem til.

Der er efterhånden en indarbejdet praksis for, at det er staten, der overvåger sine borgere, og dermed har forpligtelsen til at passe godt på informationerne. Men når vi taler om logning af fx teletrafik, er der jo mange parter involveret, hver med sin egen sikkerhedspolitik og sit eget syn på værdien af de indsamlede logningsdata. Hvordan vil staten sikre, at alle små og store teleselskaber og internetudbydere, herunder fx hoteller, beboerforeninger og kollegier indsamler alle relevante data, opbevarer dem betryggende, og destruerer dem fuldstændigt, når året er gået, inklusive alle kopier?

Dette tema er taget op af Computerworld i dagens udgivelse. Artiklen udspringer af avisens spørgsmål til justitsministeren.

17. October 2007 Allan Bo Rasmussen

It-designere glemmer privatlivets fred

En undersøgelse, gennemført af ingeniørforeningen IDA viser, at kun 47 procent af de it-professionelle – som i realiteten bestemmer, hvordan it-systemer skal indrettes – kender til virksomhedens politik for beskyttelse af privatlivets fred. Måske mest bekymrende er det, at det inden for det offentlige kun er 40 procent af de it-professionelle, der kender til institutionens politik med hensyn til beskyttelse af privatlivets fred.

Undersøgelsen afdækker beskyttelsen af privatlivets fred på en lang række områder og viser blandt meget andet:

  • Hele 30% af de IT-professionelle har oplevet konkrete brud på Privacy
  • 30,4% af de IT-professionelle mener ikke, at det offentlige i dag tager tilstrækkelig hensyn til privatlivets fred, når der indføres nye IT-systemer
  • 57,6% af de IT-professionelle ser en fare for, at de data der bliver lagret i de elektroniske patientjournaler kan blive misbrugt

Undersøgelsen af de it-professionelles holdninger til Privacy er gennemført af Ingeniørforeningen i Danmark i april 2007. Undersøgelsen bygger på i alt 990 svar fra medlemmerne af to af foreningens fagtekniske selskaber – IDA IT og Dansk Selskab for Datateknik, som tæller it-ingeniører, dataloger og andre højt specialiserede it-fagfolk blandt sine medlemmer.

Læs hele rapporten her: Privatlivets fred – Højtuddannede IT-professionelles holdninger til Privacy – (PDF 114 KB)

7. July 2007 Allan Bo Rasmussen

Grænseoverskridende IT sikkerhed

Rapporten “It-sikkerhed på tværs af grænser“ blev offentliggjort den 24. januar 2007 på National Museet i København. Den indeholder anbefalinger fra en arbejdsgruppe under Teknologirådet, som  peger på håndfaste tiltag inden for seks konkrete indsatsområder, hvor Danmarks it-sikkerhed kan styrkes gennem internationalt samarbejde.

Arbejdsgruppen ser ikke sikkerhed og privacy som modsætninger, men som problemer, der skal løses samtidigt. Det fremgår blandt andet af disse anbefalinger, som vi citerer i uddrag:

Mangel på sikker identifikation

Arbejdsgruppen mener, at vi i Danmark skal tage initiativ til udvikling af et dansk borgerservicepas i form af en ”digital identitet”, som kan fungere på tværs af grænser i EU, og som minimerer risikoen for, at den enkelte borger bliver offer for kriminelle handlinger og misbrug af personlige data i forbindelse med handel og kommunikation via internettet. Arbejdsgruppen mener ikke nødvendigvis, at hele EU skal have præcis den samme tekniske løsning for digital identitet, men pointerer vigtigheden af, at de nationale løsninger er koblet sammen i et fælles, interoperabelt EU-system.

Arbejdsgruppen pointerer, at begrebet ”privacy” er centralt i relation til borgerservicepas. Privacy handler grundlæggende om retten til at være alene uden at være overvåget af andre, og retten til at bestemme, hvad man vil offentliggøre om sig selv og under hvilke omstændigheder.  Arbejdsgruppen mener, at man skal designe borgerservicepasset på en sådan måde, at privacy er maksimalt beskyttet.

Manglende fokus på it-sikkerhed i offentlige it-udbud

For at højne sikkerhedsniveauet hos de offentlige myndigheder i EU – og dermed også løfte niveauet i det øvrige samfund – anbefaler arbejdsgruppen, at der ved lovgivning indføres krav om, at it-sikkerhed skal være en nøgleparameter i alle offentligt udbud, hvor it indgår – og at en it-sikkerheds- og forbundethedsanalyse skal være en del af udbudet.

Det betyder, at udbudet skal indeholde en analyse af de mulige konsekvenser af en sikkerhedsbrist og især fokusere på, hvordan en sådan brist kan påvirke andre sektorer og forplante sig gennem forbundne it-systemer.

Arbejdsgruppen mener, at sikkerhedsstandarden DS484, der i dag er et krav i forhold til statslige og regionale it-løsninger og forventes at blive det i forhold til løsninger til kommunerne i løbet af 2007, er mangelfuld på privacy området. Der er behov for at etablere et centralt organ med ansvar for at etablere et nyt regelsæt for it-sikkerhed i den offentlige sektor ved udbud, der berører privacy og andre kritiske samfundsinteresser. Det er oplagt at gennemføre dette i forbindelse med Kvalitetsreformen af den offentlige sektor. Dette centrale organ kunne også få ansvar for at gennemføre de nødvendige analyser med henblik på at sikre den it-mæssige sammenhæng i de forskellige samfundsområder – fx sundhedsområdet – og på tværs af områderne.

Offentliggørelsen af rapporten blev efterfulgt af en debat mellem arbejdsgruppens medlemmer og et panel af folketingspolitikere. En podcast fra arrangementet kan hentes her.

3. February 2007 Allan Bo Rasmussen

IT- og Telestyrelsens Privacy Forum

Det 2. møde i IT- og Telestyrelsens Privacy Forum blev afholdt den 24. oktober 2006. Det var startskuddet for nedsættelsen af en række arbejdsgrupper, som skal foreslå privacy-initiativer.

Initiativkatalog

Privacy Forum skal belyse en række mulige initiativer, så de efterfølgende kan beskrives i et samlet katalog. Forummet vil ikke have en formelt rådgivende funktion og kan ikke i første omgang forpligte udadtil. Men hvis arbejdet munder ud i et samlet katalog med nogle konkrete aktiviteter, skal disse meldes ud med et svar på, hvordan de faktisk gennemføres.  

Arbejdsform

IT- og Telestyrelsens Privacy Forum er åbent organiseret med fri deltagelse fra alle interesserede parter. Forummet er organiseret ved, at der afholdes møder med deltagelse fra alle tilmeldte til at drøfte de overordnede emner – såkaldte stormøder. Herudover nedsætter forummet en række arbejdsgrupper, der skal drøfte udformningen af konkrete forslag til initiativer. Der vil blive nedsat arbejdsgrupper med følgende temaer:

  • Awareness
  • Forskning og innovation
  • Regulering
  • Arkitektur
  • Internationalt

De konkrete forslag til initiativer vil kunne danne baggrund for almen debat om privacy, der både kan initieres af de enkelte deltagere og IT- og Telestyrelsen.

Læs mere i referatet fra mødet og arbejdsgrundlaget.

9. December 2006 Allan Bo Rasmussen

God privacy praksis

 - en guideline for IT-leverandører og kunder 

En række organisationer og virksomheder har sammen med ITEK og DI udgivet vejledningen God Privacy Praksis, som giver en række anbefalinger om, hvordan man i praksis kan arbejde med privacy.

Vejledningen tager udgangspunkt i notatet Principper for Privacy , som definerer privacy begreberne og identificer de konkrete principper, som OECD, Europarådet, EU og nationale lovgivere har opstillet. Dette notat har vi tidligere omtalt her.

Den nye guideline giver opskriften på, hvorledes IT leverandører og kunder kan opnå privacyforbedringer i forhold til lovgivningen og de opstillede principper, ved at udforme processer og systemer hensigtsmæssigt, og ved at anvende privacyfremmende teknologier.

En checkliste

Der identificeres 34 principper, som bør efterleves. For at operationalisere efterlevelsen af disse, opstiller vejledningen en række spørgsmål for hvert princip, som udviklere og professionelle serviceudbydere bør kunne besvare.

Hvis man ønsker at implementere en privacy, der er bedre end lovningen, kan man arbejde med privacy teknologier, som fx giver brugerne mulighed for at anvende pseudonymer for deres identitet. Vejledningen er uafhængig af teknologier, og den kan således bruges til alt lige fra almindelige databaser over RFID og til biometri.

Vejledningen kan downloades her: God Privacy Praksis.

Udgivelsen blev omtalt i DR Nyheder den 14. november, her.

14. November 2006 Allan Bo Rasmussen

Skærpede krav til borgerservicecentre

Digital forvaltning i kommunerne, rummer et enormt potentiale til at samle store datamængder om borgerne. Samtidig er en stor del af borgerbetjeningen rykket ud i borgerservicecentrene. Begge tendenser kræver skærpede hensyn til borgernes privatliv.

Borgerservicecenter

Servicebutik, kvikskranke, kommuneservice – kært barn har mange navne. De fleste kommuner har en enhed, der løser forskellige administrative opgaver (fx modtagelse af blanketter, behandling af ansøgningssager) for borgere, der møder fysisk frem.  Et borgerservicecenter varetager typisk en bred vifte af opgaveområder, som administrativt er hjemmehørende i forskellige forvaltninger.

Datatilsynet, Indenrigs- og Sundhedsministeriet og Kommunernes Landsforening har i samarbejde udgivet publikationen Datasikkerhed i borgerservicecentre, som sætter fokus på datasikkerheden i de nye borgerservicecentre.  Datasikkerheden i borgerservicecentrene afviger som sådan ikke fra resten af kommunen, men i nogle tilfælde er der skærpede hensyn. For eksempel har medarbejderne ofte behov for adgang til flere oplysninger om borgerne end normalt, og derfor er det vigtigt at holde datasikkerheden for øje.

Indenrigs- og Sundhedsminister Lars Løkke Rasmussen, Datatilsynets direktør Janni Christoffersen og KL´s formand Erik Fabrin har sendt et brev om publikationen til alle kommunaldirektører, for at henlede deres opmærksomhed på datasikkerheden i borgerservicecentrene.

Publikationen indeholder et sammendrag af de gældende sikkerhedsregler, der har betydning for borgerservicecentrene, og giver konkrete eksempler på, hvordan sikkerhedskravene implementeres. Emnerne er:

  • Hvordan skal it-systemerne indrettes?
  • Hvordan skal edb-udstyr og lign. placeres?
  • Hvem må have adgang til it-systemerne?
  • Hvordan skal medarbejderne instrueres om datasikkerhed?
  • Valg og administration af kontrolordninger
  • Datatilsynets kontrol med datasikkerheden

Publikationen giver svar på, hvilke sikkerhedsforanstaltninger der kræves for at imødekomme Datatilsynets tilkendegivelser om, at datasikkerheden bør være skærpet i borgerservicecentrene. I hvert afsnit er det nævnt, om reglerne gælder hele kommunen eller kun for borgerservicecentre.

Publikationen kan hentes her: Datasikkerhed i Borgerservicecentre.

Publikationen vil i løbet af 2006 blive suppleret med yderligere en vejledning om reglerne for sagsbehandlingen i borgerservicecentrene.

11. November 2006 Allan Bo Rasmussen

Teknologivurdering omkring privacy

En ny europæisk rapport ICT and Privacy in Europe giver forslag til, hvordan politikerne kan møde de nye udfordringer til beskyttelse af borgernes privatlivsfred.

Rapporten giver 18 forslag til hvordan politikerne kan sikre en sådan beskyttelse. Et forslag lyder på at gøre de digitale systemer gennemsigtige for borgerne. Borgerne skal have ret til at vide, om andre har haft adgang til deres data. De skal have direkte adgang til egne sager og til logfiler, og de skal aktivt kunne styre deres egne data.

Rapporten er udarbejdet af en arbejdsgruppe under EPTA, det europæiske netværk for parlamentarisk teknologivurdering. Det danske Teknologiråd er medlem af dette netværk og har deltaget i arbejdsgruppen sammen med medlemmer fra 6 andre europæiske lande: Norge, Østrig, Holland, England, Belgien og Schweitz.

Rapportens Executive Summary peger blandt andet på:

Dealing with privacy in terms of trade-offs helps to illustrate that a balance has to be found between conflicting societal values and rights. Our analysis points to some important challenges and corresponding policy options:   

  • Review of surveillance systems by independent body
  • Citizens’ access to their own records and logs
  • Empowering data protection agencies
  • Mandatory privacy impact assessments

This report shows that the value of privacy is underestimated by citizens, policy makers and enterprises. It concludes that there is need for more research on mid- and long-term effects of weakened privacy, and more public dialogue is needed on these issues. 

 

Rapporten: ICT and Privacy in Europe kan hentes her.

19. October 2006 Allan Bo Rasmussen

EU eksperter anbefaler privacy forskning

I januar 2006 afholdt EU en Expert Workshop om “ICT for Trust and Confidence”. Formålet var at få eksperternes anbefaling af emner, der bør prioriteres højt i det syvende rammeprograms forskning inden for informations- og kommunikationsteknologi. Workshoppens emner var:

1. MODELS FOR “SECURITY” AND “TRUST”
2. IDENTITY MANAGEMENT AND PRIVACY ENHANCING TECHNOLOGIES
3. SECURE HANDLING OF DIGITAL ASSETS
4. PROTECTION AGAINST CYBER THREATS
5. RISK MANAGEMENT AND ECONOMICAL ASPECTS
6. CERTIFICATION, BENCHMARKING AND RELATED TOPICS
7. OTHER CONSIDERATIONS

Rapporten fra workshoppen resumerer følgende overordnede anbefalinger:

  • There is a strong requirement for an anonymous, secure, network infrastructure. It is a key component upon which many different applications can be built. It is not clear if there should be one publicly supported infrastructure or several ones that eventually compete in the marketplace. It is likely that several would be developed, possibly with different features. Provided they are well specified and designed, interoperability should not be a problem; gateways will be able to bridge different networks.
  • Applications handling identity management in the public sector are needed. For some, the real identity needs to be known e.g. if applying for social security benefits, but in other cases, it may be a question of knowing if the person is entitled to something e.g. in drawing social security benefits.
  • Research is needed into the security aspects of databases – current designs are untrustworthy and quickly get polluted and compromised. These create challenges for applications – the tradeoffs between privacy, identity and the societal requirements that these privileges do not apply if used for antisocial purposes. There is a need for the lawyers, human rights champions, sociologists, psychologists, ethicists and technologists to engage in debate and conduct research and trials (not surveys) to get the balances between these right for society in the digital age and compatible with the EU Constitution.
  • The development of reputation based systems can complement identity based systems. Combination with the “virtual identities” can lead to some interesting and new applications.
  • SLAs (Service Level Agreements) need to be evolved to take into account security and privacy. Just as IP traffic has developed QoS (Quality of Service) we need to develop additional control parameters, such as SoS (Security of Service), RoS (Reliability of Service) etc.
  • Benchmarking and certification need to be developed that can give useful comparisons of security and trust approaches and implementations.
  • Applications are needed that can demonstrate strong security through combinations of weak mechanisms, and that these will scale to large, partially open, and mobile environments.

Rapporten og workshoppens præsentationer kan hentes på  EU hjemmesiden for Information Society Technologies.

10. October 2006 Allan Bo Rasmussen

Offentlige anbefalinger om privacy-tiltag

IT-sikkerhedspanelet under Ministeriet for Videnskab, Teknologi og Udvikling har i løbet af de seneste møder drøftet nødvendigheden af at forbedre borgere og virksomheders privacy i forbindelse med forskellige teknologier/domæner – herunder f.eks. systemer til digital forvaltning, RFID og sundhedssektoren. Overvejelserne har resulteret i et katalog med anbefalinger om tiltag på disse områder:

A. Awareness

  • Jurisdiktion og regelfortolkning
  • Logning af data
  • Privacy portal
  • Identitetstyveri
  • Demonstrationsprojekt

B. Udvikling og udbredelse af Privacy Enhancing Technologies

  • Skabelon for arkitektur til privacyløsninger
    I skabelonen skal f.eks. fastlægges principper, processer og forretningsgange for, hvordan privacy bestemmerne bedst kan efterleves i offentlige it-systemer.

C. Lovgivning og regler

  • Offentlige kunders efterspørgsel efter Privacy Enhancing Technologies
  • Kodeks for minimal dataindsamling
  • Revision af privacy principper
  • ENISA
  • Præcisering af Lov om behandling af personoplysninger
  • Tilgængelige privacypolitikker
  • Offentligt / privat samarbejde

D. Forskning

  • Privacy forvirring
  • Undersøgelse af privacy behov
  • Tradeoff mellem brugervenlighed og privacy

 

Læs alle anbefalingerne i IT-sikkerhedspanelets idekatalog.

8. October 2006 Allan Bo Rasmussen

Tidligere indlæg

Fakta og holdninger om privatlivets beskyttelse

Om Privacyforum.dk

Temaer

Indhold

Privacy Links