Folketingets Retsudvalg

Folketinget

Christiansborg

1240  København K.

 

 

Taastrup, 21. februar 2006

 

 

 

Kære medlemmer af Retsudvalget!

 

Persondataloven er i det store hele blevet en lex imperfecta. Det er mit indtryk, at den i almindelighed ikke overholdes, at der lades hånt om den i mange virksomheder og i den offentlige forvaltning, hvilket jeg gerne vil uddybe nedenfor.

 

Jeg ønsker at foretræde for Retsudvalget, idet jeg vil kunne svare på de spørgsmål, denne skriftlige henvendelse måtte give anledning til.

 

I dag var jeg indkaldt til et møde om ”Privacy” i ITEK/Dansk Industri, som vil medvirke til at gøre noget for at styrke ”Privacy” i de kommende år. Der er blandt fagfolk bred enighed om, at misbruget af persondata har taget et omfang, som det kan være svært at hamle op med. Der er sådan set bred enighed om, at teknikken har sat dagsordenen uden at respektere EU's persondatadirektiv eller den danske persondatalov. I ekspertkredsen var jeg den eneste, der fastholdt, at skulle man fremme privacy, kunne man for eksempel bede virksomhederne og forvaltningerne om at overholde persondatalovens bestemmelser i det omfang, det er muligt. Vi enedes om i stedet at bløde synspunktet, der åbenbart er ret vidtgående op og i stedet prøve at finde nogle guidelines for god adfærd.

 

Disse synspunkter vil derfor i et andet regi tilgå Videnskabsministeriet, som vil beskæftige sig med Privacy i den kommende tid.

 

Jeg har som embedsmand i en årrække administreret persondataloven og dens forgænger og finder, at der på en lang række områder sker åbenbare forsømmelser i dag i et uacceptabelt omfang. Loven kunne ganske enkelt have været overholdt i langt videre udstrækning, hvis der blev insisteret på det.  Men det gør der ikke.

 

Persondatalovens værdigrundlag  kan aflæses som privatlivets ukrænkelighed og er grundlovsmæssigt hjemlet i bestemmelsen om ejendomsrettens ukrænkelighed. I europæisk idéhistorie og i vores fælles kristne-socialistisk-liberale værdigrundlag er vi enige om at se det enkelte individ som enestående, skabt i guds billede og som uendelig værdifuldt.

 

Sådan er min tro også. Persondataloven forbyder ikke, at der udveksles informationer om borgerne. Den er på det punkt rummelig og fremtidsrettet. Dens betingelser er ikke uoverkommelige, men indimellem måske lidt besværlige for den, der ikke har den fornødne pli til at ville beskytte sine medmennesker.

 

Jeg er i besiddelse af flere kasketter: partimedlem i SF, medlem af ITEK, med i Dansk Standards foum for digital sikkerhed, med til at udvikle standarderne for det europæiske citizen card. Ikke som tekniker, men som generalist.

Jeg lever også af at sælge løsninger, der har med datafortrolighed at gøre.  Mine indvendinger kan naturligvis ses i den sammenhæng, men det forklarer overhovedet ikke det indtryk, jeg ønsker at videreformidle her. Der er tale om empirisk verificerbare påstande, hvor det simpelthen står meget skralt til, og hvor min økonomiske interesse ingen nævneværdig rolle spiller. Jeg anser mig mere som en person, der prøver at tage hensynet til individets ukrænkelighed alvorligt.

 

Ærindet med dette skrift er ikke at drage politiske konklusioner. Hvis I som medlemmer ikke er enige i, at det enkelte individ er så værdifuldt, at krænkelser skal være ulovlige og i værste fald strafbare, så kan I jo på lidt længere sigt løse problemet ved at ophæve lovens bestemmelser eller fortynde dem, så virkeligheden kommer i overensstemmelse med loven. Omvendt: hvis I mener, at der er noget her, der er værd at forsvare, så synes jeg, I skulle tage loven, dens forarbejder og intentioner alvorligt og så på den baggrund foretage Jer det, I måtte finde fornødent for at komme på omgangshøjde med situationen.

Den nuværende tilstand er skammelig.

 

Områder, hvor det står galt til.

 

Lovens område generelt.  Mange går rundt i egentlige retsvildfarelser. De tror, at loven kun vedrører følsomme og/eller fortrolige persondata og ikke persondata generelt. Derfor tager man ikke de mest elementære beskyttelsesforanstaltninger alvorligt.

 Det medfører, at bestemmelsen i lovens § 41,3 og Sikkerhedsbekendtgørelsen ikke opfattes som relevant i situationen. I den private sektor opfatter man ikke Datatilsynets Sikkerhedsvejledning, som fortsat i sin titel antyder kun at gælde for den offentlige forvaltning, som en vejledning, der gælder for dens virksomheder – hvilket i det store hele er forkert.  Lidt ærgerligt, da vejledningen befinder sig på et operativt niveau.

 

Konsekvensen er, at der ikke gøres ret meget for at sikre utilgængeliggørelsen af data for uvedkommende gennem en systematisk sikring af bærbare pcer og hjemmearbejdspladser eller sikring af private trådløse netværk med adgang til virksomhedens server.

 

Dataindsamling via brugte harddiske eller køb af stjålne pcer og bærbare må formodes at være forholdsvis udbredt, uanset foranstaltningerne herimod er nævnt i bekendtgørelse og vejledning samt i Datatilsynets afgørelser..

 

Bestemmelsen om, at der skal udarbejdes uddybende regler, opfattes ikke i den private sektor som forpligtende og overholdes kun steder, hvor virksomheden ville have gjort det samme af andre grunde. Det gælder navnlig de små og mellemstore virksomheder, hvor revisionskravene ikke påtvinger videre skriftlige kontroller på bogføringsområdet.

 

Bestemmelserne om logning tror alle – både i den offentlige og den private sektor – kun gælder de anmeldelsespligtige registre – det er en udbredt vildfarelse Loven overholdes næppe på dette punkt i almindelighed.

 

Skriftlighedskravet mellem dataansvarlig og databehandler er (§ 41, 1) ikke engang standard i det aftalegrundlag, der eksisterer mellem et webudbyder  og en virksomhed.

 

Ny teknik, markedsføring og videregivelse.

 

Problemet er ikke nyt. I de senere år er der kommet ny teknik til. Digital signatur, RFID, og der pågår en digitalisering af den offentlige forvaltning.  Der bruges mobiltelefoner med datalkraft som en pc, og man kan spore personer og biler til en radius ved hjælp af de moderne navigationssystemer til en præcision på omkring 100 kvadratmeter.

 

Med små dabser som usb-sticks, løse harddiske, digitale kameraer eller ipods kan der indsamles meget store mængder data fra virksomhedernes netværk, uden at man i almindelighed tager sig af, om der her foreligger et relevant problem for virksomheden i relation til persondataloven.   

 

Disse nye teknologier bliver anvendt kritikløst og uden blik for de overvågnings- og kontrolaspekter, de indebærer. Forholdsregler som digital signatur, kryptering, sletning., adgangskontrol og logning anvendes ikke og markedsføres sjældent til afhjælpning af de personkrænkelser, der følger med som medaljens bagside.

 

Moderne IP-telefoni sælges, men kan aflyttes, uden at lytteren befinder sig i samme verdensdel som den, hvor samtalen finder sted. Dette oplyser sælgeren ikke.

 

Jeg kunne ønske mig politikere, der proaktivt ville sætte en dagsorden for, hvilke krav der kunne stilles i henhold til persondatadirektivet og –loven ved udviklingen af nye programmer, ny hardware og nye tekniske produkter, så der ikke pr. automatik blev udviklet og markedsført  software, hardware og dimser, der muliggør krænkelser af privatlivets fred uden forudgående stillingtagen fra myndighedernes side.

Jeg kunne ønske mig, at der var ressourcer til at sikre, at Persondatalovens generelle intentioner blev ført ud i livet.  Ikke som et element i et politisk spil om graden af retlig regulering og kontrol. Men for at sikre hensynet til det enkelte menneske i en kompliceret verden fuld af overvågning, analyse, manipulation og ekstremt tilrettelagt kassetænkning.

 

Moderne markedsføringssystemer på internettet er organiseret efter samme model som anden markedsføring: der optræder et bureau, der står for formidling og salg af internetannoncer, en leverandør og en hjemmesideejer, som betales for at annoncere.

Betalingen sker efter en præcis beregning af, hvor mange der klikker ind enten på den pågældende hjemmeside eller på den pågældende bannerannonce. Brugeren identificeres ved sin Ipadresse. Er der tale om en privat bruger, kan ipadressen eventuelt svare til hans pcs netkort. Den kan være maskeret, men behøver ikke at være det.

Fører reklameringen til et salg, videregives der ofte persondata om køberen til bureauet og annoncøren uden kundens samtykke.

 

Kunden orienteres ikke om, at han registreres, og at oplysninger om ham videregives uden hans vidende til tredjemand. Det er alt sammen ulovligt. Henvendelse fra en kunde til en leverandør, et bureau  eller en annoncør om, hvorvidt de samler oplysninger på ham, vil utvivlsomt blive måde med et åbent spørgsmålstegn, idet hele forretningen er organiseret på en måde, som de i det store hele har overladt til andre at tage sig af, og som en advokat sikkert et eller andet sted på et tidspunkt har godkendt.

 

Langt hen ad vejen er virkeligheden den, at bestemmelserne om informeret eller udtrykkeligt samtykke ikke overholdes, og at videregivelse­s­bestem­melserne krænkes.

 

Et særligt spørgsmål er, om de forsøg på inddækning, der anvendes til opnåelse af samtykke eller information til kunden, har nogen som helst gyldighed i forhold til persondataloven. Hvis man som jeg antager, at de er utilstrækkelige, efterlader det spørgsmålet  om, hvordan situationen skal tackles fremover.

 

Et lille med små bogstaver fjernt anbragt ”Privacy statement” hvor borgeren selv – hvis han har den særlige interesse – kan finde virksomhedens regler, der giver dem ret til at indsamle informationer om vedkommende, duer vel næppe som samtykke under nogen form.

 

Samtykke ved hjælp af ”klik og godkend” har Mads Bryde Andersen allerede underkendt i ”IT-retten”. Burde der ikke arbejdes med regler, der enten forbyder eller kræver en langt videregående form for accept i forbindelse med  samtykke end det, vi kender på internettet i dag?

 

PÃ¥ internationalt plan.

Moderne farvelaserprintere er indrettet, så hvert eneste stykke papir kan spores. Man kan med andre ord præcist afgøre, hvilken printer hvert ark farvet papir er printet på. Initiativet er vistnok af amerikansk regeringsoprindelse, og måden det sker på, skulle efter sigende være initieret af Canon i Japan. Hensigten kan være nok så ædel: at bekæmpe falskmøntneri eller terrorisme. Men bestemmelserne om informeret samtykke, adressering af, hvor kontrollen med registrene føres etc. glimrer naturligvis ved sit totale fravær.

 

Jeg ønsker mig af Jer som politikere, at I ikke ligger under for ”den tekniske udvikling” Den er menneskeskabt, men ikke videre guddommelig.

 

Bag den ligger der interesser, som naturligvis ikke nødvendigvis anser det enkelte individ som ukrænkeligt og omgangen med oplysninger om hver af os som noget, der skal tages andre end rent kommercielle hensyn til. Hvis I ønsker en teknisk udvikling, som respekterer os som de værdifulde skabninger, vi er, så må I forlange det. Ellers går det fortsat mere og mere galt.  Hvis individets ukrænkelighed, bestemmelserne om informeret samtykke, logning og videregivelse, om utilgængeliggørelse af data for uvedkommende og så videre bliver indarbejdet i produkterne og i hverdagen som noget naturligt, ville virksomhederne selv i deres produktudvikling blive mere tilbøjelige til at tænke disse hensyn ind i deres planlægning og handlemønstre.

 

 

Konklusion: Jeg beder ikke om ny lovgivning, men spørger blot, om vi ikke skulle tage den eksisterende lov i brug, for lovhjemler til at gå videre er der da nok af.  Eller, hvis I finder tilstanden i orden, så nedlæg dog de dele af loven, I ikke ønsker at tage alvorligt.

 

 

Venlig hilsen

 

Mikael Hertig

 

 

 

 

 

 

 

 

.