Friday, June 11, 2010

Næringsutvikling og offentlig forvaltning på digital plattform i et Personvernsperspektiv

For at næring og offentlig forvaltning skal kunne utnytte det fulle potensial i informasjonsteknologi, er endel personvernsprinsipper essentielle. Skal kunder og innbygere tiltro nettjenester sine opplysninger, må man kunne stole på de som forvalter selve informasjonen og transportteknologien.

IT-Minister Rigmor Aaserud har skrevet en kronikk i Computerworld Norge om Ny Digital agenda for EU. Jeg synes artikkelen er generellt god, og den nevner spesiellt at personvern er essentiellt for utvikling. Den nye digitale agendaen skal være en del av løsningen på EUs økonomiske problemer. Siden personvern er omstridt, også innad i EU og her i Norge vil jeg prøve å forklare hvorfor jeg mener dette er viktige sammenhenger å ha klart for seg.

Teknologirådet har en artikkel, som omhandler hvordan data som lagres i fobindelse med Datalagringsdirektivet, skal forvaltes. Artikkelen ga meg ideen til denne posten, sammen med Aasruds kronikk.

Oppdatering 12.06.2010
Forøvrig så omhandler EUs Artikkel 10 Personvern, og Working Group 29 jobber med personvernsspørsmål.

Oppdatering 1506.2010
Jeg fant en bra artikkel hos Teknologirådet om ulike egenskaper/innfallsvinkler til personvern: Hva er ersonvernrsonvern.

Tillit
Forretningsforhold bygger på tillit, både ved fysisk tilstedeværelse, men ikke noe mindre på nett. Når du skal oppgi både personalia og kredittkortopplysninger, må en kunne stole på det nettstedet man tiltror disse opplysningene. Man forventer også at dette er opplysninger som forblir mellom deg som kunde og nettstedet. Langt de fleste er i stand til å gjøre en grei vurdering av nettsteder. Man skal allikevel huske på at det kan forekomme både fysiske innbrudd og datainnbrudd hos nettstedet, og dine opplysninger kan komme på avveie.

De færreste tenker over at selve kommunikasjonen kan avlyttes, og opplysninger misbrukes. Datakriminelle har holdt på med dette over lengre tid. Leverandører av nettlesere og tjenestetilbydere forsøker å tette sikkerhetshull, men det er ikke mulig å tette alle hull. Datakriminelle benytter seg bl.a. av noe som kalles Man-In-the-Middle attack. Kort fortalt utnyttes sikkerhetshull og svakheter i teknologi og bruksmønster til å avlytte kommunikasjon. Det svekker tilliten, selv om tjenestetilbyder formelt sett ikke har gjort noe galt.

Fordi data kan komme på avveie og misbrukes, er det viktig at man hele tiden har innsyn i egne data. Dette gjelder alle forhold hvor en legger igjen personopplysninger. Dersom noen bestiller varer i ditt navn bør du kunne oppdage det. Du bør kunne sjekke ordrehistorikk osv. på nettsteder hvor du er registrert.

Transparens
Når man bruker internett enten mobilt eller hjemmefra, går man via en nettilbyder (ISP). Disse logger informasjon om din nettbruk av faktureringshensyn. Pussig nok gir få, eller ingen, ISPer innsyn i disse dataene. Stort sett har få hatt bruk for denne informasjonen, og om den har inneholdt feil, har man ryddet opp når regningen kommer. Feil som ikke gir utslag på regningen blir aldri oppdaget. Siden disse dataene faktisk kan bli utlevert til Politiet/overvåkningstjenester burde det strengt tatt vært mulig å få innsyn. De er en 3dje part i forholdet mellom deg og din ISP, og kan trekke slutninger om deg basert på denne informasjonen. Kravet om innsyn styrkes dersom Datalagringsdirektivet innføres. Da blir det lagret mere data, detaljeringsgraden og lagringstiden økes.

Åpenhet
Data som ikke er av persondatakarakter, bør i størst mulig grad være åpen. Nettbutikker kan med fordel ha brukervurderinger, sanntids salgstrender o.l. lett tilgjengelig. Offentlige instanser besitter mye data, som innbyggere faktisk har et forhold til. På grunn av disse dataene befinner seg i gamle datasystemer, begrensede ressurser osv forblir mange data låst inne. Disse dataene kan gi større samfunnsforståelse og innovasjon om de gjøres tilgjengelig. Når man kobler sammen data fra ulike kilder kan man skape helt nye tjenester. Tilgang til disse dataene bør i hovedsak foregå anonynymt. Det kan tenkes at nytenkning kan true etablert makt, men allikevel representere positiv samfunnsutvkling. Det er kanskje ikke noe man tenker over til daglig, men dette har vært avgjørende opp gjennom historien og det samfunnet vi nå lever i.


Privatliv
Enhver har rett til privatliv og privat tid. Selv også når man kommuniserer elektronisk. Elektronisk kommunikasjon mellom privatpersoner skiller seg ikke fra annen privat kommunikasjon. Jeg mener det skal mye til for at myndigheter skal iverksette tiltak som bryter denne privatfreden. Dette gjelder også bruk av nettjenester i privat øyemed. Datalagringsdirektivet formaliserer og går et godt stykke videre utover dagens praksis på dette området. Direktivet legger opp til at en domstol må gi tilgang, basert på skjellig grunn til mistanke, før data kan hentes ut. Justisdepartementet har foreslått at man ikke skal behøve skjellig grunn til mistanke. Domstolen skal altså gi tilgang til data uten grunn. Det finner jeg svært urovekkende.

Datalagringsdirektivet, med eller uten forværrende utvidelser,  er på et vis analogt med Man-In-the-Middle angrep. Det vil gi innsyn i kommunikasjon, uten at noen av partene involvert er klar over det.

Samfunns- og næringsutvikling basert på personvernsprinsipper
Dersom man bryter tillit, privatlivets fred eller holder data skjult bygges det misstillit og mistenksomhet inn i forholdet mellom de ulike partene. Dette skader utviklingen av både samfunnet og næring. Positiv og demokratisk utvikling er uløselig knyttet til myndighetenes respekt for individet og vise versa. Individer som ikke opplever å bli respektert, vil sjelden reagere med respekt andre veien.

Nettet er uten grenser, ihvertfall for de som lever frie demokratiske land. Digitale tjenester kjenner ingen grenser og distribusjonskostnader er omtrent lik 0 uansett hvor kunden/brukeren befinner seg. Det gir muligheter for å lage smale tjenester, dvs tjenester som i en liten populasjon ikke ville hatt mange potensielle brukere. I et større nedslagsfelt er det en helt annen økonomi. Disse prinsippene er godt beskrevet at Chris Andersons bok, The Long Tail: Why the future of business is selling less of more.

Men så til hovedpoenget. Skal man overleve i Long tail tjenestemarkedet, må det bygge på tillit, transparens, åpenhet og respekt for individet. Personvern er ikke løsningen, men er etiske verdier som må bygges inn i løsningene og demokratisk tenkning.

John Batelle har skrevet en veldig bra bloggpost som heter The Signal. Den bør leses, samt artikkelen den referer til The Eternal Value of Privacy (Bruce Schneier).

Oppdatering 14.08.2010:
60000 pass- og fødselsnr på avveie. Utro tjener har solgt personlige opplysninger.
Dette viser at utro tjenere kan selge opplysninger, og de kriminelle kan bruke disse til å innhente flere opplysninger. Jo større lekkasjer, jo større skade.

No comments:

Post a Comment