Alternativet: Giv privacy by design politisk luft under vingerne

Af René Gade (ALT)
Ordfører for digitale frihedsrettigheder og It

For et års tid siden inspirerede Stephan Engberg, en af landets eksperter på privacy by design, mig til at tænke it på en helt anden måde, end mit begrebsapparat reelt var podet til på daværende tidspunkt. Men nu begynder det at dæmre for mig og forhåbentligt også for resten af Christiansborg.

Privacy by design indebærer teknisk design, der sikrer borgerne uindskrænket kontrol over egne data, så længe borgeren ikke har gjort noget til skade for andre.

Der er ikke tale om en ideologisk eller politiseret tilgang. Der er ingen indbyggede holdninger til mere eller mindre omfordeling, eller om det er det offentlige eller civilsamfundet, der skal levere de digitale services.

Både demokrati, velfærd og markedsøkonomi brygger på princippet om individuel selvbestemmelse og borgerens suveræne valg, selv i de tilfælde, hvor de svage har brug for samfundets hjælp. Privacy by design som løsning bør derfor heller ikke politisk splitte partierne i Folketinget.

Ny EU-lovgivning bliver historisk
Og ja, det er stort. Det drejer sig ikke alene om databeskyttelse, anonymitet eller open source, men om at designe services, så de fungerer bedre, uden at borgeren skal afgive kontrollen – og uden at bureaukratiske eller kommercielle interesser opbygger unødvendige magtstrukturer.

Privacy by design kan i sidste ende genskabe sikkerheden og tiltroen til vores demokratiske institutioner.

René Gade (ALT)
Ordfører for digitale frihedsrettigheder og It

It-sikkerhed er omdrejningspunktet, men i høj grad også lovgivning, hvor 1. maj 2018 bliver en historisk håbefuld dato: Her træder ny EU-lovgivning i kraft i form af forordninger med prioritet over dansk lov. Det gælder i væsentlighed for GDPR (Databeskyttelsesforordningen) og eIDAS (Digitale signaturer).

GDPR indfører seriøse bøder og gør det umuligt for dataansvarlige at fralægge sig ansvaret for underleverandørers sikkerhedsbrud eller datamisbrug. Således kan der ikke laves en aftale med en cloud- eller outsourcingleverandør om, at de er ansvarlige for sikkerheden. Ansvaret er hos dem, der fik tilliden.

Formål med databrug
Det væsentligste krav er, at den dataansvarlige er ansvarlig for at dokumentere informeret samtykke, når man opsamler og bruger persondata. Her er formålsbestemtheden knivskarp, fordi det ikke kan betyde generel adgang til at bruge eller dele persondata til udefinerede eller løst formulerede formål som eksempelvis ’markedsføring’.

Men hvad har privacy by design med det at gøre? Forklaringen finder vi i eIDAS-forordningen, som samtidig skaber ’legal tender’ på såkaldt pseudonyme identiteter/signaturer. En pseudonym-identitet indebærer muligheden for at indgå bindende legale aftaler, uden nogen kan identificere borgeren, men kombineret med specifikke mekanismer, så en dommer vil kunne holde borgeren ansvarlig for manglende overholdelse af de forpligtelser, som kontakten indebærer.

Hvis man laver en ny pseudonym identitet for hvert formål, set fra borgerens side, kan man garantere overholdelsen af GDPR, fordi data kun deles til det specifikke formål og ikke kan kombineres med andre data vedrørende samme borger – i stedet for at blive delt med borgerens identifikation, så kontrollen uigenkaldeligt overgår fra borgeren til it-systemet … og resten af verden.

En anden væsentlig ændring er GDPR’s paragraf 20, som indebærer, at borgeren har ret til struktureret adgang til egne data. Altså ret til at genbruge egne data til brug for services i anden sammenhæng, markedsanalyse, BigData eller måske sundhedsforskning.

Privacy by design løser data-benspænd
Så nogle af de væsentlige problemer, vi som digitaliseret samfund står med, mener jeg, at privacy by design vil kunne medvirke til at løse. Her en håndfuld eksempler:

• Privacy by design kan vende den centrale New Public Management-ressourcestyring, hvor hele det institutionelle system er underlagt og tilpasser sig en centraladministration i stedet for at sætte borgere og samfund i centrum 
• Privacy by design kan løse op for den forældede tænkning på digitalisering, der har tvunget lovgivningen og Danmark ind i dårlige monopolstrukturer, ufleksible it-systemer, central overvågning og indskrænkende standardkasser, der ikke kan rumme borgerne 
• Privacy by design kan sikre borgerne, når vi går på nettet, så det frie valg igen kan stå distancen over for profilerings-baserede og konkurrenceforvridende winner-takes-all-forretningsmodeller, der dræner danske virksomheder og samfundsøkonomien i en ulige kamp mod giganterne
• Privacy by design skal sikre Danmark noget at leve af i en verden præget af globalisering, automatisering og data-drevne strukturer. Hvis vi arbejder sammen og giver borgeren sin handlefrihed og sikkerhed tilbage, kan både offentlige og private aktører udnytte Danmarks digitale forspring igen
• Og privacy by design kan i sidste ende genskabe sikkerheden og tiltroen til vores demokratiske institutioner og nogle af markedsmekanismerne i stedet for de mange uigennemsigtige tiltag, hvor der pumpes likviditet ud i samfundet, skabes gæld og drives rovdrift på ansatte frem for at agere klogere i den klassiske danske samarbejdsmodel.

Hvis vi skulle opbygge vores systemer og strukturer på ny, så tror jeg ikke, at valget ville være svært for ret mange – men vores forståelse bygger på en generelt usund digital virkelighed, som privacy by design vil og skal revolutionere og gøre mere intelligent og demokratisk.

Det er det, jeg sammen med eksperter, fagfolk og eksempelvis min it-sparringspartner i Alternativet, Rolf Bjerre, forsøger at give politisk luft under vingerne i øjeblikket. Og nej, jeg siger bestemt ikke, at vi sidder med alle svarene om privacy by design, men hold da op, hvor gør vi os umage med at finde dem.