Upload File

privacy i danmark

22
Privacy i Danmark Henning Mortensen [email protected] www.itek.di.dk

Upload: ipo

Post on 13-Jan-2016

38 views

Category:

Documents


0 download

Report

DESCRIPTION

Privacy i Danmark. Henning Mortensen [email protected] www.itek.di.dk. Hvorfor DI og privacy?. at stimulere en offentlig dansk debat at bære særlige danske synspunkter ud i verden sammen med andre danske organisationer - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Privacy i Danmark

Privacy i Danmark

Henning Mortensen

[email protected]

Page 2: Privacy i Danmark

• at stimulere en offentlig dansk debat

• at bære særlige danske synspunkter ud i verden sammen med andre danske organisationer

• at tydeliggøre (og skabe awreness om) nogle af de sammenhænge, hvor man skal vogte over sin privacy - og dermed beskytte borgere og virksomheder (brugere)

• at give en opfordring til teknologileverandørerne om at efterleve de skitserede principper og udvikle løsninger, som efterlever privacy

• at sætte fokus på mulighederne for en særlig dansk nicheindustri indenfor privacy

Hvorfor DI og privacy?

Page 3: Privacy i Danmark

BaggrundLove

”11. september” gav “pludselig” anledning til en række lovindgreb der krænkede privacy – f.eks.- Antiterrorlovene- Logningsbekendtgørelsen- TV-overvågningsloven- PETs udvidede beføjelser (og dermed manglende domstolskontrol)

Buen spændes hårdere og hårdere i et politisk forsøg på at vise handlekraft og skabe tryghed men i stedet skaber man i virkeligheden utryghed.

Manglende omtanke- Effektiviseringer- Gode decentrale initiativer, der løser en problemstilling- Rivende teknologisk udvikling - især indenfor sundhed, klima og trafik

I alle disse tilfælde foretager man sig noget godt, men af og til glemmer man at tænke på privacy og har alene løsningen for øjet. Det er de svage der sagsbehandles meget der rammes.

Cases

Der er en længere række offentlige cases, som viser brud på persondatasikkerheden 

Page 4: Privacy i Danmark

Privacytilstand 2007

3 2 2 4 1 3 2 1 1 - 1 1 2 3 2007

4 2 2 4 1 3 2 2 2 - - 2 4 2006

3 2 2 4 1 3 2 1 1 - 1 1 2 3 2007

Page 5: Privacy i Danmark

Hvorfor privacy 11. Autonomi og individualitet

- vi vil selv bestemme hvem vi vil dele informationer med

- når folk tror de er under observation ændrer de adfærd

- risiko for ensretning

 

2. Historisk har anonymitet/pseudonymitet givet udvikling og frihed for mennesker

- mental balancen gennem muligheden for ligevær med ligesindede

- ting der irriterer de til enhver til siddende magthavere (tyranner, kirken)

- forfattere: Charlotte Bronte (Lord Charles Wellesly, Marquis of Duoro)

- politiske pamfletter Francois Marie Arouet (Voltaire)

- fagbevægelsen

- seksuelle og religiøse værker: Pauline Réage (Régine Deforge)

Page 6: Privacy i Danmark

Hvorfor privacy 23. Ro til refleksion

- basalt menneskeligt behov

- struktur gennem “dagbog” (forudsætning for deltagelse i demokratiet, på arbejdspladsen og i familien)

 

4. Fravær af eksogen vurdering m.v.

- når vi overvåges trues/udfordres vi for rettelser, kritik, fordomme, fordømmelser, krav om forklaringer

 

5. Det konstruerede menneske

- agere uden ansvar (hvor det er forsvarligt)

- udleve bestemte sider af ens personlighed / interessesfære uden at afsløre hele billedet af en selv

Page 7: Privacy i Danmark

Hvorfor privacy 36. Demokrati

- privacy er indeholdt i forsamlings- og ytringsfrihed

- magthavere kan registrere deltagere i politiske møder og undgå opposition

 

7. Historisk misbrug

- oplysninger der gemmes over tid vil på et tidspunkt blive (mis)brugt til et andet formål end det oprindelige

- Per Stig Møller, DNA-registret

 

8. Politisk (korrekt) flertal og diktatur

- mindretallet kan køres over

- smagsdommeri og fordomme mod andres levevis

Page 8: Privacy i Danmark

Hvorfor privacy 49. “Hvem vogter vogterne?”

- overvågning kan misbruges

- domstolskontrol nødvendigt

 

10. Sammenhæng

- historiske data kan tages ud af en sammenhæng (uden at det nødvendigvis er med vilje)

- “Min værste politiske modstander er mine tidligere udtalelser”, Churchill

 

11. Man kan altid finde noget mistænkeligt på folk hvis man leder længe nok

- “if one would give me six lines written by the hand of the most honest man, I would find something in them to have him hanged”, Richelieu

- alle har på et eller andet tidspunkt gjort et eller andet forkert

Page 9: Privacy i Danmark

Hvorfor privacy 512. Sikkerhed

- privacy giver ganske enkelt sikkerhed

Sikkerheden består her af:

- at man kan reflektere og strukturere i ro

- at beskytte data så de ikke kan misbruges mod den data vedrører

- at man kan ytre sig med/mod den herskende mening og deltage i grupper

- at man kan tage kontrollen over sit liv

Privacy giver mulighed for at individerne kan foretage en risikovurdering.

Page 10: Privacy i Danmark

Myter og modstand 1DE gør mit arbejde besværligt og bureaukratisk!- “Privacy betyder, at det bliver mere besværligt for både borgeren og sagsbehandleren at tage

hånd om en konkret sag. Borgeren synes, at vi er bureaukratiske, når jeg skal bede om oplysninger, der allerede er afgivet.”

Privacy handler ikke om at gøre oplysninger utilgængelige…

… men i forhold til det offentlige om kun at gøre personhenførbare oplysninger tilgængelige når det faktisk er nødvendigt

… via teknologier, som samtidig understøtter en effektivisering

Telemedicin: identifikation er kun nødvendigt når der er noget galt

Skatteligning: identifikation er kun nødvendigt ved uregelmæssigheder

Roadpricing: identifikation kan gøres helt unødvendig

Vi indretter selv vores teknologier og bureaukrati skyldes IKKE privacy!

Page 11: Privacy i Danmark

Myter og modstand 2DE gør løsningerne dyrere hvis teknologien overhovedet findes

- “Privacy betyder penge op af lommen hvilket ikke kommer borgerne til særlig gavn tillige med at vi skal udvikle teknologierne på ny til hvert formål.”

Teknologierne findes i en lang række sammenhænge, men det bliver ikke tydeligt hvis de ikke efterspørges!

Teknologierne koster måske en smule mere at supplere sin løsning med, men risikoen er at der kommer så mange cases med databrud i det offentlige at borgerne mister tillid til systemerne og har man så råd til at lade være?

Page 12: Privacy i Danmark

Myter og modstand 3DE er reaktionære!- Dorte Toft, Børsen: “Vi står altså med to ekstremer i holdningen til privatlivets fred. Den ene er ny

og helt afslappet, den anden – den gammelkendte – er dybt frygtsom. De frygtsomme hæfter sig ved rapporter fra en britisk organisation ved navn Privacy International. Således også Dansk Industri…”

- Balance hvor begge dele løses bedst muligt – f.eks. terror versus privacy eller digital effektivisering versus privacy

- Teknologier tjener os og vi kan indrette dem som vi vil (to roadpricing scenarier)- Informeret valg: Folk kan på baggrund af en reel risikovurdering dele de informationer de vil –

og hemmeligholde de oplysninger de ikke vil dele. Udsnit fra Facebooks brugerpolitik: ”By posting User Content to any part of the Site, you automatically grant, and you represent and warrant that you have the right to grant, to the Company an irrevocable, perpetual, non-exclusive, transferable, fully paid, worldwide license (with the right to sublicense) to use, copy, publicly perform, publicly display, reformat, translate, excerpt (in whole or in part) and distribute such User Content for any purpose, commercial, advertising, or otherwise, on or in connection with the Site or the promotion thereof, to prepare derivative works of, or incorporate into other works, such User Content, and to grant and authorize sublicenses of the foregoing.”

Page 13: Privacy i Danmark

Myter og modstand 4DE har noget at skjule!

“Jeg har ikke noget at skjule, så jeg behøver ikke være bange for overvågning. Har du noget at skjule?”

 

Privacy handler IKKE om at skjule noget…

 

… selv om vi alle skjuler noget for nogen.

F.eks.: dagbøger, sex med ægtefælle, toiletbesøg, økonomisk situation, lægebesøg, terapi, indkøbsvaner og politisk eller religiøs overbevisning.

Privacy handler om at have retten til selv at bestemme, med hvem man vil dele informationer, som man selv kan betragte som tilhørende privatsfæren.

Page 14: Privacy i Danmark

• ”RFID – Muligheder og Trusler” (Teknologirådet)

• ”Principper for privacy”

• ”IT-sikkerhedspanelets privacyanbefalinger” (IT-sikkerhedspanelet)

• ”God privacy praksis”

• ”Privatlivets fred – ikke i Danmark”

• Høringssvar til ”Strategi for Digital Forvaltning 2007-2010”

• ”Idekatalog fra Privacy Forum” (Privacy Forum)

• ”Udkast til casesamling om privacy” (Privacy Forum)

• Privacy fremmende teknologier – en introduktion til at beskytte privatlivets fred på din computer” (Privacy Forum)

• Forskellige andre bidrag – bl.a. til Dansk IT’s Rådet for IT- og Persondatasikkerhed

Produkter

Page 15: Privacy i Danmark

Model for privacy

Offentligt tilgængelige data Alle data anonymePrivacyforbedring

Page 16: Privacy i Danmark

Roller

KunderIT-leverandører

Produkt-udviklere

Professionelle kunder

Serviceudbydere Privacy

Privacy

BrugerePersonhen-førbare data

Page 17: Privacy i Danmark

De "vigtigste" kilder er gennemgået, men det er ikke et litteraturstudie.I hovedtræk er der tale om følgende kilder:

• OECD: Guidelines on the Protection of Privacy and Transborder Flows of Personal Data • Europarådet: Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data Convention • EU: Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data • Danmark: Lov om behandling af personoplysninger

Kilder

Page 18: Privacy i Danmark

Principper for privacy

Brugerne skal kunne styre anvendelsen af

data (3)

Dataindsamlingen skal være fair

Dataindsamlingen skal være lovlig

Dataindsamling skal ske med viden fra

brugeren

Dataindsamling skal ske med accept fra

brugeren

Dataindsamling kan være krævet af en

kontrakt, loven, hensyn til brugeren og offentlig myndighedsudøvelse

(3)

Dataindsamling kræver konkret afgrænset

formål

Databehandling må kun finde sted til det

formål de er indsamlet

Ved ændret formål skal data destrueres eller

anonymiseres

Databehandlerens eventuelle

videregivelse af data kræver at brugeren oplyses herom (og

giver accept)

Data skal have god kvalitet i betydningen præcise, komplette og

opdaterede

Brugeren har altid ret til at få adgang til egne

data

Brugeren har altid ret at få indsigt i om en

enhed har registreret data og i givet fald

hvilke, deres anvendelse, formålet med at have dem og

hvor de lagres

Databehandleren skal give indsigt til brugeren på en forståelig måde, indenfor en rimelig tid og til en rimelig pris

Databehandler skal udvise åbenhed

overfor brugerens indsigt

Databehandler kan anvende betingelser for brugerens indsigt

og i givet fald skal disse begrundes

Brugeren har ret til retslig prøvelse af

sammenhæng mellem data og formål, datas kvalitet og eventuel

manglende efterlevelse af privacypolitikker (1)

Brugeren har kun ret til indsigt med begrænset

frekvens (1)

Page 19: Privacy i Danmark

Principper for privacy

Databehandler har ansvar for data og disses sikkerhed

Dataflow over grænser er betinget til

international handel, anvendelse af

elektroniske services og dataflow internt i virksomheder. Dette

bør reguleres gennem kontrakter

Databehandler skal sikre at

privacyforanstaltninger implementeres under hensyn til det tekniske

niveau (2)

Databehandler skal sikre at

privacyforanstaltninger implementeres under

hensyn til omkostninger (2)

Databehandler skal sikre at der findes en opdateret politik for

privacy

Databehandler skal sikre at brugeren med rimelighed er bekendt med politikken og har

accepteret den

Databehandler skal anmelde behandling af

data til tilsynsmyndighed

De nævnte principper gælder ikke hvis der er

særlige nationale interesser, der

varetages bedre ved en undtagelse (3)

De nævnte principper gælder ikke hvis der er tale om behandling af kriminelle forhold (3)

De nævnte principper gælder ikke hvis det vurderes at være i

brugerens interesse at undtage dem eller hvis

det gælder andre personers frihed (3)

De nævnte principper gælder ikke hvis for særlige faggrupper – herunder anvendelse

til historisk, journalistisk,

videnskabeligt eller statistisk bearbejdelse

(3)

De nævnte principper gælder ikke hvis

behandling af data sker ved

arbejdsmarkedsforhold, foreninger, allerede offentliggjorte data,

sygdomme og særlig lovgivning (3)

Databehandlers videre beskyttelse end de

angivne principper er altid mulig

De angivne principper er overordnede og der

kan der ske en gradbøjning af

dataanvendelse (3)

De angivne principper er overordnede og der

kan der ske en gradbøjning af

foranstaltninger (3)

De angivne principper er overordnede og der

kan der ske en gradbøjning af risici,

som data kan udsættes for (3)

Page 20: Privacy i Danmark

Eksempel på et principDataindsamlingen skal være fair

En fair indsamling af data betyder at de øvrige principper i denne ”best practise” skal overholdes ved indsamlingen af data.Brugeren må ikke kunne snydes til at afgive data og der må ikke afgives flere data end nødvendigt for formålet.Processen skal således være fair og gennemskuelig overfor brugeren.

Leverandør Kunde/databehandler

Er formålet med dataindsamlingen tydeligt specificeret?

Er løsningen designet så brugeren kun afgiver de nødvendige oplysninger eller indsamles unødvendige oplysninger i den pågældende løsning?

Er der gennemført brugervenlighedsanalyser, som sikrer, at systemet virker gennemskueligt for brugeren, så brugeren ikke føler sin privacy krænket?

Er formålet med dataindsamlingen tydeligt specificeret?

Kan systemet siges kun at indsamle de oplysninger, der er brug for?

Er der dokumentation for at de oplysninger der indsamles er relevante?

Kan brugeren føle sig snydt til at afgive informationer eller til at få bestemte services - f.eks. elektroniske nyhedsbreve?

Page 21: Privacy i Danmark

Hvor er vi på vej hen?Vi skal have følgende forhold sat i værk

Nødvendigt- Tydeliggøre at det er relevant for alle politiske områder - ikke kun VTU!!!- Lave en skabelon for en privacy impact assessment som bør anvendes ved indkøb udvikling, implementering og ændring af offentlige IT-

systemer / IT-løsninger- Skabelonen skal ikke kun sikre "legal compliance", men faktisk sikre at borgerne får mere kontrol over deres egne digitale

identiteter/pseudonymer- Sørge for at skabelonen bruges - først cases og awareness overfor offentlige indkøbere og efterfølgende obligatorisk (f.eks. som bilag til

standardkontrakten)- Vurdere om der kan laves en skabelon for en privacy enablet offentlig IT-arkitektur - herunder følge standardiseringsarbejdet på området- Fastholde Privacy Forum som debatskabende gruppe, der kan sætte fokus på privacydebatten herhjemme.

Nyttigt- Forskning i privacy (gerne et institut, som kan forene juridiske, teknologiske og sociologiske aspekter)

- så vi kan vide mere om hvornår borgerne ønsker privacy og hvornår de er lige glade- så vi kan få intensiveret innovationen i PET- så vi kan blive klogere på hvordan trustmodeller skabes- hvilke erfaringer har andre lande gjort sig?

- Oplysning til borgere og virksomheder omkring privacy, så de tager informerede valg og sættes i stand til at beskytte sig ved f.eks. at anvende Popplix

- Bidrage med særlige danske synspunkter til den internationale debat - og tage national debat om disse- Synlig offentlig privacy brugerpolitik på hjemmesider, der tager hensyn til borgernes kontrol med egne identiteter- Privacykonference og uddeling af privacypris.- Oplysning om privacy i sociale netværk for borgerne (VTU's IT-sikkerhedskomite)

Page 22: Privacy i Danmark

Spørgsmål?

Henning Mortensen

[email protected]


Su-mmer i danmark

Elforsyningssikkerhed i Danmark

Vindintegration i danmark

Skifergas i danmark

Livsformer i Danmark

DANMARK-RESUME - epsi-denmark.org · DANMARK-RESUME Trendrapport om kundetilfredshed 2017 EPSI Rating 3/ Udviklingen i kundetilfredshed i Danmark 4/ Kundetilfredshed Danmark 2017

Danmark i regionernes videnkapløb

Færinger i Danmark 2

! Civile!droner!i!Danmark!

Bæredygtig biogasproduktion i Danmark · Bæredygtig biogasproduktion i Danmark Denne rapport viser, hvilke konsekvenser den nuværende form for biogasproduk-tion i Danmark har for

Campus NooA i Danmark

SMWCPH Twitter i Danmark

Økosamfund i Danmark #73

L'ORÉAL DANMARK A/S PRIVATLIVSPOLITIK...PRIVATLIVSPOLITIK FOR FORBRUGERE PRIVACY POLICY 1 L'ORÉAL DANMARK A/S PRIVATLIVSPOLITIK Det er L’Oréals ambition at være en eksemplarisk

Dyrevelfærd i Danmark 2015

Polsk løn i Danmark

Optik i Danmark

Mapping - tendenser i Danmark

Ulighed i børneovervægt i Danmark

Økosamfund i Danmark #68

Foreningsidrættens vilkår i Danmark

Religion og spiritualitet i Danmark - religionsmoede.dk · Danmark generelt, 2) Islam i Danmark og 3) Østlige religioner og nye spirituelle strømninger i Danmark. ... New Age, teosofi

”Jeg bor i Danmark” -spørgsmål om Danmark

Find vej i Danmark

Økosamfund i Danmark #71

Motionsløbere i Danmark

Små Campingpladser i Danmark

Pensionssystemet i danmark, pixi

Økosamfund i Danmark #72

Anarkistisk Føderation i Danmark

Familien i Danmark

Økosamfund i Danmark

Økosamfund i Danmark #76

GAMMEL I DANMARK

Økosamfund i Danmark #74