Skip links

Disruption med privacy

Det er måske en overraskelse for de fleste, men juraen viser sig nogle gange som katalysator for så markante ændringer i vores samfund, at vi kan koble begreber som revolution, paradigmeskift og disruption til de nye tider. Grundrettigheden til privacy udgør lige nu den dispruptive startknap, som kan skabe ny forretning og effektiv databeskyttelse. 

Lovgivning er nogle gange med til at skabe grundlæggende ændringer i vores samfund. Og det sker lige nu med EU’s reform af reguleringen af persondatabeskyttelse. Dataforordningen, der blev vedtaget i foråret og træder i kraft i maj 2018, knæsætter nogle nye principper, som effektivt bringer beskyttelsen af borgernes og forbrugernes privacy ind i en digital tidsalder.

EU forordningen om persondata har nemlig kraften til at sætte individet i centrum og give ham og hende effektiv kontrol med sine egne data. Persondata ligger med andre ord nu inden for den samme privatsfære som vores krop, vores hus eller bolig, vores ting, bil og penge.

Det skyldes blandt andet valget af retligt instrument. Vi skal ikke længere tilstræbe at være på samme niveau i EU-medlemslandene, men retligt og faktisk efterleve de sammen regler i hele unionen. Væk er direktivets mulighed for at minimumsimplementere. I stedet har vi fået en europæisk lov, der har direkte virkning for offentlige og private virksomheder, og altså ikke først skal omsættes til dansk lovgivning.

Juraen er her brugt til at forankre en grundrettighed i den praktiske virkelighed. Retten til privatlivsbeskyttelse og retten til persondatabeskyttelse er beskyttet som to selvstændige grundrettigheder i EU traktaten. De blev indføjet med traktatændringen i 2009 som en del af et stort rettighedskatalog, EU Charteret for grundlæggende rettigheder, og pålægger medlemsstaterne en forpligtelse til at respektere, beskytte og fremme beskyttelsen af borgernes privatliv og deres persondata.

Borgeren og forbrugeren i centrum

At sætte borgeren og forbrugeren i fokus på den måde udgør på mange planer en udfordring for den danske velfærdsmodel, som traditionelt har bygget på den omvendte logik, nemlig offentlige myndigheder er dataejere og derfor kan råde over data for at opfylde deres opgaver med at levere offentlige ydelser indenfor fx sundhed, social sikkerhed og uddannelse, men også som led i kontrol og efterforskning. Det har gjort det let for os også at acceptere, at virksomheder råder over de data, de indsamler om os.

Men hvis vi er smarte – og kan håndtere dén udfordring – kan vi vende den styrkede persondatabeskyttelse og i bredere forstand privacy til en konkurrencefordel og en vækstdriver på den nye digitale motorvej, der bringer robotteknologi, internet of things og mange nye former for kommunikation ind i vores hverdag.

Privacy-perspektivet er nemlig disruptivt, fordi det lægger ejerskabet og retten til kontrol med data over til den person, som data handler om, men også fordi det udgør en platform for udvikling af nye produkter og forretningsmodeller, der sætter den enkelte i stand til at udøve denne kontrol.

Jeg ser derfor privacy som en revolutionerende komponent både i forhold til opbygning af it-arkitektur, softwareløsninger og designs, men også som en ny standard for vores daglige trafik – både den digitale og den på de tv-overvågede veje – og i de smart grids, der kommer til at danne grundlag for byudvikling, trafikstyring og infrastruktur til fx el- og energiforsyning.

Privacy skaber disruption

Vi har allerede nu kompetencerne til at udnytte det disruptive potentiale i privacy-paradigmet. Mange dygtige forskere er i allerede i gang med at integrere privacy i matematiske modeller, i kodesprog, i udviklingen af datawarehouses, i sikkerhedsteknologier og krypteringsalgoritmer. De danske forskere er i front på flere af disse områder. Derudover etableres der start ups over hele Europa og i USA, som bringer nye produkter på markedet i form privacy enhancing technologies, såkaldte PETS, eller som tjenester, der er baseret på privacy by design. Der er et par vigtige danske spillere mellem dem, men vi skal understøtte markedet, hvis vi skal sætte vores præg med dansk privacy tech.

Privacy skal derfor hurtigst muligt sættes dagsorden for forretningsudvikling og vækst, på uddannelsesinstitutioner og hos it-udviklere. Hvordan gør man så det bedst? Det handler først og fremmest om at forstå, hvor væsentlige ændringer de nye databeskyttelsesregler fører med sig, og derefter at bruge vores udsyn, fantasi og blik for forretningspotentiale til at pege på områder, som privacy kan bruges til at forstyrre, udfordre og være katalysator for innovation på.

Samtykket er afgørende

På forståelsesfronten er det afgørende at fokusere på, at borgerens og forbrugerens samtykke er omdrejningspunktet. Et hovedprincip i dataforordningen er, at vi skal give samtykke til databehandlingen.

Samtykkekravet betyder, at en myndighed eller virksomhed ikke kan gå på datahøst og indsamle alle de oplysninger om os, som de tror, de har brug for eller bare kunne tænke sig at få indblik i. Indsamlingen af persondata skal derimod være styret af et bestemt formål og både datamængden og datatypen, fx som det er almindelige eller følsomme oplysninger, skal være afgrænset på en måde, så det kun er relevante og nødvendige persondata, der indhentes og behandles. Der gælder med andre or et princip om at minimere de data, der skal bidrage til at opfylde formålet.

Bedre kontrol med egne data

Den forretningsmodel, som de såkaldte Personal Data Stores, PDS, tager afsæt i, er netop borgeren og forbrugerens ejerskab til egne data og samtykkekravet. PDS-teknologien hjælper individet med at indsamle, opbevare, opdatere, korrigere og analysere sine personlige data og så stille disse resultater til rådighed for forskning, virksomheder og myndigheder – mod betaling. Det åbner for en meget højere grad af selvbestemmelse og kontrol med egne data. Samtidi skaber det en ny form for  transparens i andres brug for vores persondata, som fx udfordrer de personaliseringsalgoritmer, som Google bruger i deres søgemaskine, og Facebook i deres nyhedsstrøm. De persondata, der indgår her, har vi i dag stort set ingen indsigt i.

PDS-erne åbner også for en kommercialisering af egne data, som provokerer mange. Konceptet er, at de data vi indsamler og sammenstiller om os selv, kan sælges eller udlejes. Der er allerede i dag tjenester, der stiller platforme til rådighed for udlejning af egne data på dagsbasis. Det kan omfatte oplysninger om løn, online-køb eller betalingstransaktioner. Tanken bag er, at data har økonomisk værdi, og i stedet for at overlade den værdi til sociale medier til gengæld for gratis tjenester, er det bedre, at vi kontrollerer, hvem, der køber vores data. I Schweiz er forretningsmodellen fx forankret i et andelsfællesskab, i USA og England ligner det mere de forretningsmodeller, vi kender fra Airbnb og Uber. Et stykke nede ad vejen kan PDS-erne skubbe udbyderne af de sociale medier af banen; deres forretningsmodel smuldrer let, når vi ikke længere stiller vores data til rådighed uden betaling.

Privacy bliver normen

Overgangen til et privacy paradigme hjælpes også på vej af dataforordningens krav til databeskyttelse og behandlingssikkerhed i hele datas livscyklus, d.v.s. fra udvikling og design af teknologier og it-systemer, til indsamling og analyse af data, behandling, opbevaring og helt til data slettes. Det sker gennem to nye principper om databeskyttelse by design og by default.

Det sidste indebærer, at databeskyttelse skal være standardinstilling, det vil fx sige, at en profil på et social netværk fra start skal være lukket og så er det op til den enkelte bruger at åbne sin profil for andre deltagere. De sociale medier er langsomt på vej, men stadig er der et godt stykke til et mål inden databeskyttlse by default-mekanismen er normen, ikke undtagelsen.

Øget efterspørgsel på privacy

Market er også allerede nu klar til cloud-tjenester og mail-tjenester, der sikrer privay, ligesom forbrugerne er begyndt at efterspørge søgemaskiner og browsere, sociale netværk og chat-tjenester, som sikrer privat kommunikation. På listen er også produkter som pc-er og mobiltelefoner, hvor kryptering sikrer indhold og kommunikation, så andre end dem, man selv inviterer, ikke kan lytte med eller tappe ord, lyd og billeder fra kamera og mikrofon.

Ved at sætte fokus på privacy som katalysator for innovation, kan vi kick-starte en udvikling i Danmark, der på samme tid beskytter og fremmer grundrettigheden til privatlivs- og databeskyttelse og sætter gang i udviklingen af dansk-udviklede privacy-fremmende forretningsmodeller, produkter og tjenester. Vækst og bedre beskyttelse på én gang. Det kræver bare et seriøst tryk på privacy-knappen.

(Bearbejdet version af kommentar på Erhvervsfilosofi.dk den 11. december 2016)