PDF to HTML - Convert PDF files to HTML files

Retsudvalget 2013-14
REU Alm.del Bilag 364
Offentligt

Fiolstræde 17 B, Postboks 2188, 1017 København K

T: +45 7741 7741, F: +45 7741 7742, [email protected], taenk.dk

Folketingets Retsudvalg

Sendt pr. e-mail til Birgitte Toft-Petersen

29-08-2014

Dok. 143340/ah

Beretning 3: Bedre beskyttelse af personoplysninger og et effektivt tilsyn med

offentlige og private virksomheder.

Med henvisning til Folketingets e-mail af 26. juni 2014 vedrørende høring om beretning 3

og dialogmødet i Folketinget den 26. august 2014, skal Forbrugerrådet Tænk hermed

fremkomme med sine bemærkninger til Kulturudvalget og Retsudvalget.

Indledningsvis vil vi gerne rose udvalgene for at have sat fokus på emnet. Vi er enige i, at der

er et presserende behov for at sikre de danske forbrugere en bedre beskyttelse af deres

personlige oplysninger i et digitaliseret samfund og vi støtter de problematikker, som

udvalgene er blevet enige om at prioritere.

Generelle bemærkninger

Overordnet set vil et højere it-sikkerhedsniveau og en styrkelse af retten til et digitalt

privatliv kræve et kursskifte herhjemme – både politisk, i offentligt og privat

virksomhedsregi og i forhold til forbrugerne.

For det første er der behov for, at regeringen vægter hensynet til retten til privatliv endnu

højere under udviklingen af det digitale samfund. Dette gælder både indenfor digitalisering

af den offentlige administration, ved etablering og centralisering af registre eller indførelse

af systemkontrolfunktioner. Sådanne tiltag øger risikoen for store data-læk som i

Nets/Se&Hør sagen, ligesom det netop fremsatte forslag om Arbejdstilsynets adgang til

knap 3 millioner borgeres løn-oplysninger af hensyn til risikoen for social dumpning er et

initiativ, der kan undergrave nærværende udvalgsarbejde.

For det andet er der behov for, at it-sikkerhed og databeskyttelse bliver et centralt

anliggende og ansvar for direktionen i både offentlige og private virksomheder og ikke blot

for it-chefen alene. Foruden en general opdatering af persondataloven gennem nye EU-

regler, er der desuden et specifikt behov for klare regler for indsamling og anvendelse af Big

data.

For det tredje er der behov for, at samspillet imellem persondatalovens juridiske

beskyttelsesregler og brugen af tekniske sikkerhedsløsninger integreres, så det bliver

naturligt at øge beskyttelsen gennem moderne teknologi. Samtidig er der behov for

rådgivning til både private og offentlige virksomheder om brugen af privatlivs-fremmende

teknologier.

For det fjerde er der behov for at styrke forbrugeren gennem øget viden og kompetencer

indenfor it-sikkerhed og databeskyttelse.

Konkrete bemærkninger - 5 løsningsforslag til de aktuelle problemstillinger

PDF to HTML - Convert PDF files to HTML files

Støt EU’s nye databeskyttelsesforordning og sørg for sikre rammer indtil vedtagelse

Som Forbrugerrådet Tænk tidligere har fremført på linje med bl.a. DI, støtter vi

EU's persondataforordning, som indeholder mere detaljerede sikkerhedsregler og

øger forbrugerens kontrol over egne oplysninger. Den nuværende knap 20 år gamle

persondatalov er ikke længere tidssvarende. Det er derfor afgørende, at der kommer

et klart mandat fra den danske regering, hvis forordningen skal vedtages i Rådet. I

den mellemliggende periode bør de strukturelle rammer for øget digital sikkerhed

sikres ved at stille lovmæssige krav i tråd med forordningen til både det offentlige og

privates brug af privatlivsfremmede teknologier – se nærmere under 3.

2. Styrk tilsynsområdet og rådgivning af den offentlige og private sektor

Forbrugerrådet Tænk savner et stærkt og proaktivt tilsyn, som har fokus på

forbrugerbeskyttelse. Dette bør ske ved at tilsynet lægger vægt på at integrere

persondataregler (jura) med private og offentlige virksomheders brug af

privatlivsfremmende it-løsninger (teknologi).

Datatilsynets tilgang til databeskyttelse er i dag stringent juridisk. En eventuel

ekstrabevilling til et stærkere tilsyn bør derfor betinges af en forudgående analyse af

organiseringen og uafhængigheden, større fokus på forbrugerbeskyttelse,

integration af persondataregler og brug af privatlivsfremmende teknologier samt

rådgivning til offentlige og private virksomheder.

En måde at styrke et tilsyn på er desuden at indføre en pligt for virksomheder til at

anmelde databrud. Det kan både få en præventiv effektivt, øge sikkerheden hos de

enkelte virksomheder og lette tilsynsarbejdet.

Endelig skal vi foreslå, at tilsynets sanktionsmuligheder øges betragteligt, da det

nuværende bødeniveau ikke har en tilstrækkelig effekt.

3. Implementér erfaringer med anonymisering af data

Brug af privatlivsfremmende teknologier kan mindske datamisbrug, fordi data ved

hjælp af kryptering anonymiseres eller pseudonymiseres for uvedkommende. Det

kræver imidlertid et opgør med den nuværende tendens, hvor flest mulige

identificerbare data er tilgængelige for flest mulige personer - fx på

sundhedsområdet. Med privatlivsfremmende teknologier, kan man fx erstatte den

brede adgang til alle data med rollebaseret adgang til relevant data.

Vi foreslår, at regeringen gør det obligatorisk for offentlige og private virksomheder

at foretage privatlivskonsekvensanalyser og indarbejde privatlivsfremmende

teknologier i it-løsninger – både i nuværende it-løsninger som for eksempel NemID

og i kommende digitaliseringsprojekter. Værktøjerne ligger der allerede, idet

Digitaliseringsstyrelsen i samarbejde med Datatilsynet har udviklet en såkaldt PIA-

håndbog (Privacy Impact Assessment) til netop dette formål. Ligeledes indeholder

ISO27001 en risikovurdering og det er nu op til regeringen at sikre dens udbredelse.

Endelig vil vi anbefale, at regeringen indhenter erfaring med dansk og udenlandsk

brug af privatlivsfremmende teknologier med henblik på at sikre øget fokus og

udbredelse i Danmark.

4. Stil krav til private aktørers brug af personoplysninger bl.a. via sociale medier

Den nuværende kommercialisering og udnyttelse af Big data sker i dag i et hidtil

uset omfang på nettet. Det er imidlertid uklart for de fleste, hvilke oplysninger der

præcis indsamles, hvad de bliver brugt til nu og på sigt herunder eventuelt

PDF to HTML - Convert PDF files to HTML files

videresalg. Det drejer sig både om oplysninger, vi selv afgiver, men også om de

oplysninger, der indsamles via tracking-teknologier på tværs af nettet.

Brugen af Big data er ikke klart reguleret i persondataloven, hvilket skaber

usikkerhed blandt virksomheder, begrænser den positive udnyttelse af data og øger

risikoen for misbrug. Forbrugerrådet Tænk anbefaler, at der fastsættes regler om

brugen af Big data fx i forbindelse med en revision af den såkaldte cookie-

lovgivning, som dels kan skabe gennemsigtighed på området og dels kan sikre en

rimelig balance mellem virksomhedernes kommercielle interesse og forbrugerens

ret til privatliv.

Giv forbrugernes styrke og kompetencer

Forbrugerrådet Tænk mener, at der er et presserende behov for at styrke

forbrugernes viden og kompetencer og yde hjælp, så den enkelte forbruger - i det

omfang det er muligt - selv kan værne om egne data og it-sikkerhed og takle

udfordringerne i det digitale liv. Forbrugerrådet Tænk skal derfor opfordre til, at der

gennem en finanslovsbevilling sikres tilstrækkelig og uvildig information, rådgivning

og støtte til forbrugerne samt til uddannelse af børn og unge.

Såfremt I har spørgsmål til ovenstående, er I velkommen til at kontakte

Forbrugerrådet Tænk for en uddybning af vores anbefalinger.

Med venlig hilsen

Formand Anja Philip

Forbrugerrådet Tænk

Seniorjurist Anette Høyrup

Forbrugerrådet Tænk

PDF to HTML - Convert PDF files to HTML files

5 løsningsforslag til de aktuelle problemstillinger fra Forbrugerrådet Tænk

Støt EU’s kommende databeskyttelsesforordning og sørg for sikre rammer indtil

vedtagelse

Klart mandat og støtte fra regeringen til EU's databeskyttelsesforordning

KOM(2012)0011.

Lovmæssige krav til offentlige og private virksomheder om at foretage

privatlivskonsekvensanalyser og indarbejde privatlivsfremmende teknologier i it-

løsninger med udgangspunkt i den kommende forordning.

2. Styrk tilsyn og rådgivning af den offentlige og private sektor

Der mangler et stærkt og proaktivt tilsyn med fokus på forbrugerbeskyttelse. Et

tilsyn der lægger vægt på at integrere persondataregler (jura) med brug af

privatlivsfremmende it-løsninger (teknologi), og som kan rådgive private – og

offentlige virksomheder herom.

Obligatorisk pligt til anmeldelse af databrud

Øgede sanktionsmuligheder.

3. Implementér anonymisering af data

Obligatoriske privatlivskonsekvensanalyser og indarbejdelse af

privatlivsfremmende it-løsninger i eksisterende og kommende offentlige og

private digitaliserings projekter. Sikre udbredelse af konsekvensanalyser (Privacy

Impact Assessment) og it-sikkerhedsstandarden ISO27001 med fx kryptering og

rollebaseret adgang til relevant data. Forankring heraf på direktionsniveau.

Indhentning af erfaringer i ind- og udland med brug af privatlivsfremmende

teknologier til at sikre fokus og anvendelse i Danmark.

4. Krav til private aktørers brug af personoplysninger bl.a. via sociale medier

Fastsættelse af regler for brug af Big data både i offentlig og privat regi. Dette kan

fx ske i forbindelse med en revision af den såkaldte cookie-lovgivning.

Giv forbrugerne styrke og kompetencer

Fastsættelse af en finanslovbevilling til at styrke forbrugerne og sikre uvildig

information og rådgivning til forbrugere samt undervisning af børn og unge.