Forsker: Borgernes data kan beskyttes langt bedre
DEBAT: Borgernes personlige data bliver kun beskyttet i ringe grad, selvom det er teknisk muligt at gøre det meget bedre, skriver Thomas Hildebrandt, lektor ved IT-Universitetet.
Af Thomas Hildebrandt
Lektor ved IT-Universitet i København
De danske virksomheder og offentlige institutioner har fokus på at beskytte borgerne mod krænkelser af deres privatliv.
Det stod klart på en konference, som blev afholdt på Børsen i forbindelse med Europarådets databeskyttelsesdag 26 januar. Det stod også klart, at der allerede eksisterer flere data-beskyttelsestiltag, som virksomheder kan og bør implementere nu og her, herunder kortlægning af indsamlingen og behandlingen af personhenførbare data i forbindelse med både fysiske og digitale arbejdsgange, hvilket jeg fokuserede på i mit oplæg.
Bedre beskyttelse
På konferencen stod det desværre også klart, at de danske (og europæiske) borgere kun bliver beskyttet i ringe grad, selv om det er teknisk muligt at gøre det meget bedre. For det er vitterlig en stor opgave at sikre vores privatliv i en gennemdigitaliseret verden; ikke bare teknologisk, men også kulturelt. Digitaliseringen har ganske enkelt gjort det uhyggeligt nemt og ofte utilsigtet at indsamle og udstille personhenførbare data uden, at vi borgere er opmærksomme på det – eller har en reel mulighed for at vælge fra. Og det sker i vid udstrækning.
Send dit indlæg til [email protected]
Et godt eksempel kom frem under oplægget ”Sharing without caring”, som blev holdt af Morten Dahl Andreasen fra Statens IT og Marie Wiig Aunel fra PricewaterhouseCoopers. Oplægget om anvendelsen af cookies på offentlige hjemmesider gav sundhed.dk som eksempel.
Cookie-politikken for sundhed.dk slår som det første fast, at de “bruger cookies til at indsamle statistik af brugernes adfærd på portalen for på den måde at forbedre brugeroplevelsen. Vi registrerer ingen personlige oplysninger ved hjælp af cookies.” Længere nede i cookie-politikken kan man imidlertid læse, at cookies bruges til at registrere både brugerens IP-adresse, hvilke sider brugeren kigger på og hvor længe.
Det er både nødvendigt og teknisk muligt at adskille brugerens identitet fra behandlingen af data. I hvert fald i langt højere grad end det sker nu.
Thomas Hildebrandt
Lektor ved IT-Universitet i København
Personlige IP-adresser – og dermed alle data, der kan henføres til dem – er personhenførbare. Hvis de statistiske data faktisk gemmes, så de kan henføres til IP-adressen, så registreres der personhenførbare data omkring brugerens færden på sundhed.dk. Hertil kommer, at der ifølge Andreasen og Aunel er mange offentlige hjemmesider, som uden at gøre særlig opmærksom på det anvender Google Analytics. Dermed sender de data videre til Google uden at have en databehandleraftale, der beskytter borgerens data tilstrækkeligt.
Brug for oplysning
Det er selvfølgelig ikke kun sundhed.dk, der gemmer data om vores færden. Et tjek af min egen computer afslørede mere end 1000 cookies, indsamlet på mindre end et halvt år, herunder fem cookies fra sundhed.dk. Indsamlingen af cookies er så udbredt, at brugere (som jeg selv) er holdt op med at overveje, hvorvidt vi overhovedet ønsker at give vores accept til det.
Og de borgere, som stadig insisterer på at finde ud af, hvad de accepterer, vil i bund og grund ikke kunne finde brugbar information. Oftest står det nemlig ikke klart for nogen som helst, hvad der bliver givet tilsagn til, og hvordan et tilsagn vil kunne trækkes tilbage. Derudover er det næste problem, at vi i mange tilfælde ikke har et reelt alternativ til at acceptere cookies: Da jeg forsøgsvis slog indsamlingen af cookies fra, fik min datter for eksempel straks problemer med at lave sine matematikopgaver til skolen.
Privacy-forkæmpere og rådgivere som f.eks. Giovanni Buttarelli, der blev udnævnt som EU’s uafhængigt agerende databeskyttelses-supervisor (EDPS) for to år siden, prøver ihærdigt at skabe en fælles forståelse af, at det er både nødvendigt og teknisk muligt at adskille brugerens identitet fra behandlingen af data. I hvert fald i langt højere grad end det sker nu.
Hvis det skal føres ud i livet kræver det dog, at flere mennesker i både offentlige og private virksomheder bliver oplyste om mulighederne. Det kræver forskning i og videreudvikling af de teknologier, som kan hindre, at vores privatliv bliver krænket. Og ikke mindst kræver det en mere indgående forståelse af vores digitale kultur, hvilket er et fokuspunkt for det strategiske initiativ Democracy and Citizenship in Digital Society (DeCiDiS) på IT-Universitetet i København.
Læs mere her
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
