Af Grit Munk, chefkonsulent IDA, medlem af DataEthics’ advisory board
Blog. Den netop vedtagne EU-forordning stiller en lang række krav til bedre beskyttelse af personfølsomme oplysninger. Befolkningen er bekymret, men mangler handlemuligheder og virksomheder, der gerne vil tilbyde sikre produkter, mangler viden og værktøjer. Privacy By Design er den tekniske tilgang til at sikre, at vi kan benytte diverse devices, software og apps uden at gå på kompromis med ønsket om, hvem vi udleverer vores personlige oplysninger til.
Den netop vedtagne EU-forordning stiller en lang række krav til bedre beskyttelse af personfølsomme oplysninger. Dertil kommer, at et stigende antal borgere, som bekymrer sig over manglende kontrol med deres personlige oplysninger på nettet. I flg. Europakommissionen føler kun 26 % af de europæiske brugere af sociale netværk og kun 18 % af brugere, der handler på nettet, at de har kontrol over deres persondata på nettet. En undersøgelse lavet af Erhvervsstyrelsen og Ingeniørforeningen i februar 2015 viser, at der også i Danmark er stor modstand mod at f.eks. cookies anvendes til indsamle oplysninger om adfærd, der herefter videregives til tredjepart. Ganske få synes, det er i orden at videregive oplysninger om netadfærd til tredjepart.
Privacy by Design (PdB) er den tekniske tilgang til at sikre, at vi kan benytte diverse devices, software og apps uden at gå på kompromis med ønske om, hvem vi udleverer vores personlige oplysninger til. Der er et begyndende marked for privacy-relaterede produkter og software, som forventes at blive markant større i takt med implementeringen af Persondataforordningen og stigende forbrugerinteresse for privacy. En bedre viden om, hvad der skal sikres og hvordan, vil være med til at styrke dansk konkurrenceevne på områder som apps, software, netservices, e-handel , cybersikkerhed og spil.
Privacy by Design er hovedsageligt et begreb der benyttes af jurister, embedsmænd og politikere, og der findes ingen generelt accepteret operationel definition af begrebet der hjælper systemarkitekter og -udviklere med at implementere systemer, der opfylder den overordnede målsætning.
For at kunne udvikle en sådan operationel definition er det nødvendigt at forstå, hvordan principperne i PbD indvirker på den måde, vi udvikler IKT systemer og udvikler teknologier, der kan realisere systemer, der opfylder PbD.
Fire områder har behov for forskning
Der er således behov for forskningen på en række områder af PbD:
a) Hvordan opbygges systemer med en minimal lagring af personhenførbare data.
b) Hvordan opbygges IKT systemer med decentral kontrol over data, således at individer selv har kontrol over data der vedrører dem.
c) Forskning indenfor re-identifikation af anonymiserede eller pseudonymiserede persondata. Når offentlige data sættes i spil gives der adgang til forskellige datasæt, der ikke nødvendigvis er personhenførbare. Men ved at sammenholde flere datasæt og identificere forskellige mønstre, er det ofte muligt at re-identificere det enkelte individ. Målsætningen om at udstille offentlige data kræver derfor en tilbundsgående forståelse af re-identifikations-problemstillingen, og hvordan man mindsker mulighederne for re-identifikation, hvilket igen kræver ny forskning indenfor området.
d) Forskning indenfor kontekstafhængig adgangskontrolpolitikker og -mekanismer, der kun tillader adgang til persondata, når det er nødvendigt for at gennemføre en given transaktion i en given situation.
Forskningen skal være med til at understøtte en udvikling af produkter, der dels kan modsvare et stigende forbrugerfokus på sikre it-produkter, dels kan være med til at understøtte den øgede sikkerhed, der er i fokus i forhold til den offentlige digitalisering i Danmark.
Danske forudsætninger
Folketingets Retsudvalg afgav i 2015 en beretning om datasikkerhed i kølvandet på Se og Hør-sagen i foråret 2014. Heri anbefaler Retsudvalgets arbejdsgruppe, at princippet Privacy by Design inddrages i offentlige it-systemer med det formål at sikre borgernes privatliv. Også Digitaliseringsstrategi 2016-2020, der blev lanceret 12. maj, lægger vægt på at sikre følsomme personoplysninger. Danmark er på mange niveauer i front som it-nation og netop derfor, er der også en grobund for at komme i front, når det handler om forskning i nødvendige værktøjer som Privacy by Design.