GDPR: Hvorfor er privacy vigtigt?

af aug 24, 2019GDPR, Indledende awareness

Personer, der skal i gang med at arbejde med persondataforordningen, bliver ofte overvældet af arbejdets omfang, og tænker at reglerne er et unødvendigt onde, skabt af EU bureaukrater og med det formål at genere virksomheder og forvaltningen unødigt. Intet kunne være længere fra sandheden. I denne artikel vil vi fokusere på, hvorfor beskyttelse af privatlivets fred i stigende grad er en vigtig værdi at have i et moderne samfund. Der vil blive argumenteret for, at det er i både individernes og samfundets interesse at beskytte privatlivets fred, og at alle er nødt til at bidrage til dette.

Hvad kan man med teknologi?

Den teknologiske udvikling har givet mennesker mange store nye muligheder: Man kan få adgang til kvalificeret information fra hele verdenen. Man kan dele informationer med hvem som helst i det øjeblik, hvor hændelserne sker. Man kan forbinde sig med næsten hvem som helst i (den del af) verden (som har internet). Man kan tracke sit helbred realtime på en række forskellige parametre. Man kan få understøttet en række praktiske funktioner i sit hjem. Man kan få let adgang til hjælp til at træffe en række forskellige beslutninger. Man har mulighed for at være deltager – i demokratiske processer, i ritualer og i events som man har særlig interesse for. Livet er generelt blevet lettere, fordi der er en række kedelige rutiner, som de nuværende generationer er blevet fritaget fra at udføre takket være teknologien.

Hvis teknologien ikke er designet med beskyttelse af privatlivets fred for øje, er der imidlertid en bagside af medaljen, som skal afvejes i forhold til alle de store nye muligheder. Uvedkommende i form af virksomheder, staten og fremmede stater kan kigge med over skulderen, når vi søger og deler information, således at de kan få kendskab til, hvem vi er og opbygge profiler over os. De kan kigge med i vores telekommunikation – herunder hvem vi kommunikerer med, hvor vi kommunikerer fra og hvem der er i nærheden, når vi kommunikerer. De kan kigge med i vores helbredsoplysninger, og faktisk er det sådan for nogle af forsikringsselskaberne, at man ikke kan få sig en livsforsikring, hvis man ikke vil lade sit helbred løbende overvåge og lever op til det træningsniveau, som anbefales af selskabet. I hjemmet ringer køleskabet til virksomheder for at blive fyldt op med madvarer, hvis indhold af fedt, sukker og alkohol, kan kortlægges. Børnene kan lege med intelligent legetøj, som tilpasses børnene udviklingstrin, men som ringer tilbage til producenten og fortæller om barnets udvikling, forældrenes skænderier i baggrunden og henter reklamer til at påvirke barnet med – uden at sikkerheden er på plads. De automatiske målere leverer forbrugsdata til forsyningsvirksomhederne, som realtime kan fortælle, hvornår der kan tændes for et smart-tv af hvilket mærke, og om der produceres illegale afgrøder med varmelamper. Sundhedspersonale, advokater og beslutningstagere i alle sektorer kan blive hjulpet af machine learning og kunstig intelligens til at træffe beslutninger med retsvirkning for borgere og forbrugere. I en ikke så fjern fremtid vil disse beslutningstagere måske blive afskaffet og erstattet med teknologi, fordi menneskelige beslutningstagere er for dyre. Beslutningsunderstøttelsen kan hurtigt ændres til, at der af maskiner træffes afgørelser med retsvirkning for individerne, hvis begrundelser vi ikke kan eller kun vanskeligt kan forklare.

I dag kan man med teknologi genkende ansigter på stillbilleder og videooptagelser realtime, genkende gangart og andre biometriske aftryk, genkende og finde tale i den samlede strøm af igangværende telefonopkald, genkende anonyme tekster skrevet af et individ, spore geografisk tilstedeværelse, profilere personers præferencer for forbrug, seksualitet, religiøse og politiske tilhørsforhold og lave psykologiske profiler af personer, så vi ved, hvordan vi bedst kan manipulere med deres synspunkter og handlinger. Med det kendskab, der kan skabes til individerne, kan man også forholdsvist let skabe fake news om individerne og afpresse dem eller manipulere med, hvordan andre individer eller teknologierne opfatter dem.

I udgangspunktet kunne man derfor argumentere for, at privatlivets fred er død på forhånd.

Informationssikkerhed

Samtidig med at personoplysninger behandles af alle de nævnte teknologier sker der også en betydelig udvikling indenfor trusselsbilledet. Ondsindede aktører bliver til stadighed bedre og mere professionelle til at finde og udnytte sårbarheder. Nationalstaterne er i gang med at opbygge et fjerde værn i form af cyberhære med offensive kapaciteter, så de kan angribe hinanden, hvis der skulle være brug for det. De it-kriminelle opererer i stigende grad som professionelle virksomheder, med stærke universitetsuddannede kompetencer og tilbud om end user license agreements til deres kunder. Aktivister og hacktivister står til mod mere eller mindre veldefinerede mål for at fremme deres egen sag – eller bare for at skabe ødelæggelse.

Angrebene rettes mod forskellige former for infrastruktur – f.eks. urancentrifuger, olieselskaber, den finansielle sektor, energisektoren, sundhedssektoren, eller transportsektoren. Også forskellige former for IoT-devices angribes, herunder medico teknisk udstyr som pacemakere eller insulinpumper, intelligente biler, tv-kameraer og babyalarmer, og generelt alt hvad der er online i private hjem.

Al vores online elektronik og alle vores digitale tjenester er sårbare på den ene eller den anden måde. Hvis udstyr og tjenester ikke kan hackes, så man kan få adgang til data (og dermed krænke fortrolighed og integritet) kan man i hvert fald i mange tilfælde overbelaste systemerne og skyde dem ned (så de ikke er tilgængelige).

Privacy som værdi og rettighed

Europæiske politikere har været meget opmærksomme på risikoen for, at såvel stater som andre kunne misbruge personoplysninger generelt. I de senere år har den teknologiske udvikling og udviklingen i trusselsbilledet bidraget til at skærpe opmærksomheden på beskyttelse af personoplysninger.

I EU har politikerne fastslået retten til privatlivets fred i det europæiske charter om fundamentale rettigheder fra år 2000, hvor det i artikel 8 lyder: ”Enhver har ret til beskyttelse af personoplysninger, der vedrører ham/hende”. Tilsvarende i den europæiske menneskerettighedskonvention fra 1950, hvor det i artikel 8 lyder: ”Enhver har ret til respekt for sit privatliv, sit hjem og sin korrespondance”, hvilket i øvrigt er inspireret af FNs verdenserklæring om menneskerettigheder fra 1948, artikel 12: ”Ingen må være genstand for vilkårlig indblanding i private forhold, familie, hjem og korrespondance”.

Privatlivets fred er en værdi, som europæiske politikere har valgt at tillægge så stor vægt, at de har besluttet, at det er en fundamental rettighed. Persondataforordningens regler skal ses i forlængelse af disse fundamentale rettigheder. Man kan sige, at persondataforordningen operationaliserer en grundlæggende rettighed, som er fastslået af EU.

Hvorfor er privacy vigtigt?

Der er mange årsager til, at privatlivets fred er en værdi, som det er værd at beskytte, og der er mange som gennem tiden har belyst dette emne. Når vi arbejder med de persondataretlige emner, skal vi derfor hele tiden huske på, at målet er at beskytte denne værdi; denne fundamentale rettighed; individernes sikkerhed.

1) Den individuelle autonomi

Det er et fundamentalt træk ved det at være et menneske, at man selv kan bestemme, hvem man ønsker at dele hvad med. De fleste deler en individuelt afpasset mængde informationer med offentligheden, en lidt større mængde informationer med den offentlige sektor, en større mængde informationer med visse venner og andre informationer med andre venner, en endnu større mængde informationer med forældre og søskende og næsten alt med deres ægtefælle.

Det forhold, at man selv kan bestemme, hvad man vil dele med hvem, giver individerne autonomi. Det giver os kontrollen med vores eget liv i en verden, hvor så mange andre aktører gerne vil tage beslutninger på vores vegne – både myndigheder, der ved hvad der er bedst for borgerne, og virksomheder, der ved hvilke produkter vi gerne skulle købe, og hvilke nyheder vi gerne vil præsenteres for. Kontrollen betyder, at individerne har mulighed for at påvirke andres opfattelse af sig selv. Individerne bruger denne mulighed til at vise sig fra deres bedste side, når de leder efter venner, partnere og nyt job. Individerne bruger den også, når de sidder alene derhjemme og synger, danser, spiser puddersukkermadder, øver sig i at lægge fancy makeup, søger information om sygdomme, politik, subkulturer og religion eller udfolder seksuelle aktiviteter alene. På nudansk kunne man kalde det individual reputation management. Hvis man ikke havde en ret til privatlivets fred ville man principielt set være helt transparent for alle andre.

Googles CEO Eric Schmidt har engang udtalt: ”If you’re doing something that you don’t want other people to know, maybe you shouldn’t be doing it in the first place”. Det er et udtryk for en mistænkeliggørelse af handlinger, som der ikke er fuld transparens med, og dermed mistænkeliggøres personer, som støtter privatlivets fred. Hvis diktatorerne havde kontrol med individernes profiler på samme måde som Google, ville det arabiske forår aldrig være realiseret. Hvis far og mor havde kontrol med børnenes profiler på samme måde som Google, ville flertallet af børn aldrig kunne eksperimentere med deres seksualitet og f.eks. springe ud som homoseksuelle. Privatlivets fred handler med andre ord ikke om at skjule noget. Det handler om at have kontrol og individuel autonomi.

Tilsvarende har Facebooks stifter Mark Zuckerberg udtalt at “privacy is no longer a social norm”. Det er muligt, at der er nogen mennesker, der ikke har noget imod, at være fuldstændig transparente. Selv om der nok sker en ændring i måden, vi deler informationer på, fordi vi i forhold til tidligere generationer er mere overvåget og frivilligt eller ufrivilligt deler informationerne med omverdenen fra vores trygge stuer, vil det formodentlig være et fåtal, som vil afgive retten til at få gennemlæst al skrift, blive stillet til ansvar for alle handlinger og få analyseret alle tanker. Selv om profileringen på nettet kan fastslå, om man er homoseksuel eller stemmer på Dansk Folkeparti, og derfor sorterer det indhold og de reklamer vi præsenteres for, vil det formodentlig være et fåtal, som vil afgive retten til teknologien om at melde disse forhold ud til en bred kreds. Tværtimod ønsker flertallet typisk at bevare kontrollen med deres oplysninger, hvis de tilbydes mulighed for det.

2) Begrænsning af andres magt

Siden Bentham i 1800-tallet opfandt panoptikon – tårnet i midten af fængslet – hvorfra vagterne uset måske / måske ikke overvåger fangerne har man vidst, at hvis folk tror, de er overvåget, så ændrer de karakter og opfører sig, som de tror, at de, der overvåger dem, gerne vil have. Overvågning fører altså til social kontrol. Foucault overførte denne erfaring til samfundet generelt: Man behøvede ikke længere tyranner, som dræbte dissidenter for at udøve social kontrol. I de liberale demokratier er overvågning et fængsel i sjælen, og noget der kan anvendes af alle institutioner, som ønsker at udøve social kontrol – f.eks. skoler og arbejdspladser.

Personoplysninger er grundlaget for viden om individerne, og jo mere andre ved om individerne, jo mere magt kan de udøve over dem. Hvis man leder længe nok, skal det nok lykkes at finde et eller andet, som et individ har gjort forkert. Richelieu har engang sagt: ”If one would give me six lines written by the hand of the most honest man, I would find something in them to have him hanged”. Dette bliver i høj grad forstærket af, at mange personoplysninger uvægerligt vil blive behandlet udenfor den kontekst, som de oprindeligt blev afgivet i. Derfor skal regulering af privatlivets fred ses som et middel til at begrænse myndigheders og virksomheders magt over individerne.

3) Privatlivets fred har historisk været en kilde til innovation

Gennem tiden er tænkere med andre meninger end den herskende klasses blevet forfulgt, fængslet og henrettet. De tænkere som har tiltaget sig retten til privatlivets fred har anonymt udgivet skrifter, som har været med til at udvikle verden.

Eksempler inkluderer skønlitterære forfattere (Charlotte Bronte, der skrev under pseudonymerne Lord Charles Wellesly), politiske dissidenter (Francois Marie Arouet, der skrev under pseudonymet Voltaire), forfattere af erotisk litteratur (Pauline Réage, der skrev under pseudonymet Régine Deforge), fl.

Hvis ikke disse tænkere havde kunnet dele deres tanker med andre og været med til at påvirke udviklingen uden at blive forfulgt, havde jorden stadig været flad og demokratiet et utopia.

Privatlivets fred kan altså bruges til at skabe udvikling og opposition til eksisterende paradigmer. I den vestlige verden forekommer det måske unødvendigt. Men mange steder i verden i nutiden findes der fortsat masser af minoriteter (politiske dissidenter, homoseksuelle og religiøse eller racemæssige minoriteter), som forfølges af despoter. Disse gruppers ret til og mulighed for at tiltage sig et privatliv og kontrollere deres egne personoplysninger er afgørende for dem som mennesker og for deres mulighed for at påvirke deres samfund i en positiv udvikling.

4) Respekt for individerne

Privatlivets fred handler også om, at individerne skal respektere hinanden. Hvis nogen ønsker at holde noget fortroligt, er det manglende respekt for vedkommende alligevel at bruge oplysningerne. Den, som krænker ønsket, vil basalt sige, at de kun bekymrer sig om egne interesser og sætter disse interesser over det pågældende individ.

Ønsket om at holde noget fortroligt er ikke absolut og skal selvfølgelig afvejes mod andres ønsker, således at man ikke kan begå en kriminel handling og holde den fortrolig.

5) Ro til refleksion – alene eller med få

Det kan være nødvendigt for mennesker en gang imellem at trække sig fra fællesskabet for at få ro til at reflektere. Roen kan bruges til at få struktur på egne tanker, opfattelser og handlinger. Mens man har roen, kan man se ind i sig selv og prøve at definere, hvem man selv er og hvad der er vigtigt. Man kan også kvalificere det output, som man så kan komme med, når man vender tilbage til fællesskabet.

Ud over muligheden for at være alene med sig selv kan man også vælge selskab med ligesindede. Når man er i et afgrænset fællesskab – måske på kanten af den herskende forståelse – kan man sammen med ligesindede udvikle rammerne for et fællesskab, som måske er anderledes end de rammer, der hersker i andre fællesskaber. Eksempler inkluderer dannelsen af musikalske subkulturer, religiøse eller politiske grupper og seksuelle minoriteters samvær.

6) Undgå altid at skulle forsvare sig

Hvis individer er fuldstændigt transparente, vil de til stadighed skulle forsvare sig mod angreb fra andre, som ikke er enige i deres handlinger eller tanker, og som ikke acceptere et forskelligt verdenssyn. En del individer blandt minoriteter har en tendens til at holde sig for sig selv, fordi de ikke ønsker konstant at skulle forsvare sig. Hvis vi hele tiden skal forsvare os, er der risiko for at vores muligheder for at handle begrænses, individernes forskellighed reduceres, og menneskeheden bliver til en homogen grå gruppe. Med privatlivets fred har individerne kontrollen med personoplysningerne, og fordi de kan vælge, hvilke personoplysninger de vil dele med andre, kan de derfor vælge at tage de kampe, som de måtte ønske at tage.

7) Det konstruerede menneske og det rehabiliterede menneske

Som nævnt under punkt 1 vil individerne i mange sammenhænge vælge at præsentere sig fra deres bedste side i den situation, de nu er i. I nogle sammenhænge vil de måske give udtryk for noget helt andet end de er – spille på visse dele af deres personlighed og underspille andre; afprøve forskellige strategier i en social sammenhæng. Individerne skal have mulighed for at agere uden ansvar i det omfang, det i øvrigt ikke er kriminaliseret af samfundet, og det kan de kun gøre, hvis de er i kontrol med deres personoplysninger, og ikke er fuldstændigt transparente.

Tilsvarende skal individerne have ret til at ændre sig. Den profilering, som sker, skal ikke følge et individ gennem hele livet. Som individer vil vi gennem livet foretage handlinger, som vi ville ønske vi kunne gøre ugjorte eller som vi ville ønske, at vi havde håndteret mere elegant. Sådanne handlinger skal ikke følge os gennem resten af livet. Individerne skal have retten til at nulstille deres profil – til at blive glemt – og det har de kun, hvis de har kontrollen med deres personoplysninger. I gamle dage kunne individerne rejse væk og starte forfra. I praksis er det i dag stort set umuligt at sikre sig, at oplysninger, som én gang er blevet eksponeret over internettet, kan slettes. Derfor er det så meget desto mere vigtigt, at individerne bevarer kontrollen med oplysningerne, og selv bestemmer, om de skal eksponeres eller ej.

8) Ytringsfrihed, politiske aktiviteter og demokratiet

Fravær af overvågning er indeholdt i forsamlings- og ytringsfriheden, som er en af demokratiets grundpiller. Overvågning kan ødelægge den demokratiske deltagelse. Magthaverne må som udgangspunkt ikke registrere deltagerne i politiske møder og gennem sådanne aktiviteter undgå opposition. Magthaverne må heller ikke begrænse ytringer og den måde, som individerne diskuterer og danner politiske synspunkter. Magthaverne må som udgangspunkt heller ikke registrere, hvem der stemmer på hvem ved valg, fordi det kunne påvirke om individerne stemmer i overensstemmelse med deres overbevisning.

9) Hvem vogter vogterne?

Der vedtages politisk i disse årtier en række undtagelser, som sætter retten til privatliv ud af kraft på afgrænsede områder. Efterretningstjenesterne er i vidt omfang undtaget de love, som skal beskytte vores retssikkerhed. Logningslove, antiterrorlove, undtagelser fra offentlighedsloven forvaltningsloven og persondataretten betyder, at tjenesterne får vide rammer at agere under. Samtidig åbnes der op for, at forskellige myndigheder i forskellige sammenhænge kan krænke privatlivets fred – f.eks. når vores nummerplader opsamles af politiet, når kommunerne profilerer vores børn eller når vi tvinges til at aflevere vores sundhedsdata til forskning. Med den ene hånd vedtager man altså lovgivning som persondataforordningen, der i vid udstrækning beskytter individernes ret til privatlivets fred, og med den anden hånd vedtager man undtagelser fra den generelle databeskyttelse. Dette er problematisk, fordi det kan betyde en intensiv profilering af de individer, som set fra statens perspektiv, kan udgøre et problem. Det er særligt problematisk, når der ikke følger rimelig bevilling med eller politikerne ikke lytter til de myndigheder, som skal forvalte individernes retssikkerhed – f.eks. Datatilsynet.

10) Sikkerhed

Sikkerhed er tæt knyttet til privatlivets fred. Det siges ofte, at man godt kan have sikkerhed uden privacy men man kan ikke have privacy uden sikkerhed. Privatlivets fred sikrer, at individerne får mulighed for at lave deres egne individuelle risikovurderinger og selv bestemme, hvilken risiko de vil løbe når de behandler – f.eks. overlader eller offentliggør – deres personoplysninger. Hvis individerne skal kunne lave sådanne risikovurderinger forudsætter det imidlertid dels, at de ikke er tvunget til at afgive deres personoplysninger (og altså har et reelt frit valg til at vurdere risici) og dels at det er gennemskueligt, hvad de frivilligt afgivne personoplysninger bruges til (så individerne reelt kan vurdere risikoen). Hvis disse to betingelser er opfyldt kan privatlivets fred bruges til rationelt at optimere den individuelle sikkerhed ud fra egne præferencer. Hvis betingelserne ikke er opfyldt, tager andre sikkerhedsmæssige beslutninger på individernes vegne og sætter altså individernes dømmekraft ud af spil – altså en sikkerhedsmæssig umyndiggørelse.

Konklusion

Når man arbejder med GDPR, er man med til at understøtte individernes fundamentale ret til privatlivets fred. Man får basalt rollen som menneskerettighedsforkæmper. Man er med til at understøtte individernes autonomi. Man giver kontrollen til individerne, og lader dem bestemme, hvem de vil stole på og overlade deres data til. Man er med til at understøtte innovationen, demokratiet og individernes mulighed for at udvikle sig selv. Dataetisk er det simpelthen den rette ting at gøre.

På et mere lavpraktisk plan er arbejdet med GDPR desuden med at sikre efterlevelse af lovgivningen. Det er også med at sikre tillid til digitaliseringen og dermed øge udbredelsen. Endelig vil arbejdet med GDPR højne sikkerheden for individerne og dermed også for virksomheder og myndigheder.

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin