I debatten om datalagringsdirektivet har jeg blitt oppmerksom på at mange har problemer med å skjønne hva som lagres og hvorfor. Jeg vil prøve å redegjøre for det grunnleggende her, og hvorfor det bør stilles krav til hva som må lagres og at lagring av personopplysninger bør behovsprøves.
Norge AS ville ha mer eller mindre stoppet opp uten lagring av personopplysninger. Det er et uomtvistelig fakta. Helsevesen, skatt- og avgiftsystemer, bank og en rekke viktige institusjoner er helt avhengig av opplysninger om oss for å kunne utføre sine tjenester på vegne av oss selv og salmfunnet. Mengden data som lagres akselerer kraftig, med stadig økt bruk av internett, betalingskort og smarttelefoner. Det ser ut til at denne trenden vil styrkes i årene som kommer. Så lenge registrering av opplysninger foregikk manuellt, ble omfanget stort sett begrenset til det som var viktig for tjenesten. Når tjenester digitaliseres kan man automatisere lagring av opplysninger i større omfang og på helt nye områder. Sett i forhold til manuell datalagring er omfanget av lagrede opplysninger enormt i et digitalt samfunn. Mye av dette er begrunnet i faktureringsbehov og lovverk. Banktransaksjoner har vært underlagt bestemmelser og en del må lagres for at det skal fungere rent teknisk.
Som jeg vil beskrive under er også data som lagres også interessante i andre sammenhenger enn det formålet de opprinnelig var tiltenkt.
En rekke nyttige tjenester vil kreve nye opplysninger om oss fremover. Det er dermed ikke sagt at alle nye tjenester, og all lagring av data er positivt for den enkelte og samfunnet. Politimyndighetene ønsker større tilgang til våre trafikkdata (telefon, mobil og internett), med argumentasjon om at det kan løse flere kriminalsaker og avdekke terroroperasjoner. Dette har klart negative konsekvenser for privatlivet til den enkelte, samt at det stilles spørsmål til om det virkelig vil gi noen vesentlig gevinst i saker som omfatter alvorlig kriminalitet. Det er ikke uten grunn at de Internasjonale Juristkommisjonen henviser til konflikt med den Europeiske Menneskerettighetskonvensjon (EMK) når de er negative til direktivet i sin høringsuttalelse. Trafikkdata skiller seg også vesentlig ut i fra andre personopplysninger fordi lagring foregår "uten samtykke" (ubevisst lagring) og man har ikke andre alternativer enn å avstå fra å bruke telefon, mobil og internett. Til sammenligning, kan man om av en eller annen grunn (også legitime), ønsker å betale anonymt (f.eks. julegaver), kan en alltids ta ut penger på forhånd.
PS! Man kan alltids omgå lagring av endel typer trafikkdata om man virkelig ønsker, men det er vel egentlig tullete og noe man egentlig ikke skulle trenge å kunne.
Behandling av personopplysninger i en stor skala som vi vil se fremover vil kreve god tilgangssikring og god datakvalitet. Om data kommer på avveie, eller brukes til andre formål enn tiltenkt, kan konsekvensene bli alvorlige. En kan bare se på tilfelle av lett anonymiserte søkedata som ble offentliggjort og hvilke konsekvenser det fikk. En norsk blogger som kjenner godt hvordan søkemotorer virker gir deg innsikt i hvordan data vil komme på avveie.
Jeg er ikke imot datalagring. Uten lagring vil ikke være umulig med videre utvikling av vårt digitale samfunn. Det er bare liten forstand hos tilhengere av Datalagringsdirketivet som får det til å virke som om Datalagringsdirektiv-motstandere er mot lagring av data generellt. Helsevesenet kan forbedre sine tjenester med økte lagring av opplysninger, og det har verdi for individet. Det man imidlertidig må passe på er at det kun lagres data som virkelig har verdi for den tjenesten som tilbys samt at man behovsprøver hva som skal lagres opp mot gjeldende lovverk og Menneskerettighetskonvensjonen. Dersom bruken av eksisterende persondata utvides for ett eller annet formål, må dette gjennom samme vurderingsprosess.
Gjeldende lovverk kan pålegge/forby lagring av visse opplysninger til ulike formål. Digitale tjenester som omfatter personopplysninger må gi individet eierskap og innsyn, slik at man selv kan verifisere og korrigere feil. Videre så bør faktureringsdata slettes om kunden aksepterer fakturagrunnlaget, der hvor det er aktuellt.
Det hviler etterhvert et stor ansvar på systemutviklere og informasjon/systemforvaltere med hensyn på håndtering av personopplysninger. Dette er noe IT-bransjen må ta tak i. Det er essentiellt at alle opplever internett som relativt trygt, og at ens opplysninger ikke misbrukes eller kommer på avveie. Det vil kreve en bevisstgjøring rundt personvern, lovverk og menneskerettigheter. På internett eksisterer ikke landegrenser. Det er derfor viktig at det utarbeides internasjonale normer for håndtering av sensitive opplysninger av ulik karakter, og fora hvor nasjonale myndigheter kan fremme krav til hva som lagres og ikke skal lagres slik at utviklingen blir hensiktsmessig og åpen for innsyn.
Grunnen til at det er viktig å være kritisk til lagring av personopplysinger er at de vil bli brukt til flere formål en det opprinnelige. Når slike opplysninger fra flere kilder kilder sammestilles kan man danne seg et ganske komplett bilde av individet, som egentlig er overvåking av personer. Jeg har funnet flere fremstillinger av hva skjer som når individet vet at det blir overvåket. På 1800-tallet begynte man å lage fengsler som panopticons, hvor fangene alltid måtte regne med å bli observert. Med kameraer, trafikkdata og banktransaksjoner kan en danne seg et komplett virtuellt bilde av et individ. Jeg har også funnet en britisk rapport som sier noe om hvordan overvåkning påvirker samfunnsutvikling.
I dag ble de kjent at implementering av Datalagringsdirektivet i de ulike medlemslandene i EU er kjent ulovlig av WP29. Det pekes på at det lagres mere data en det som er tillatt, utvidet bruk av data og andre brudd på reglene. Massive mengder personopplysinger må unngås i den grad der mulig, og mulighet for sammenstilling begrenses til de tilfeller hvor en domstol godkjenner dette for etterforskning.
No comments:
Post a Comment