Laveste fællesnævner

Af dagens nyheder fremgår, at forældre ikke længere kan sige nej til at der tages billeder af deres skolesøgende børn. Overskriften henviser til, at forældrenes mulighed for at give samtykke til netop dette, er blevet fjernet fra Aula.

KOMBIT, der udvikler og driver Aula, begrunder ændringen med en vejledning fra Datatilsynet ved navn Tjekliste til vuggestuer og børnehaver ved brug af billeder og video, og anfører i deres begrundelse, at brugen af billeder i skoler, efter deres opfattelse, er at sidestille med brugen i dagtilbud.

Derfor anses det også for en nødvendig del af kommunens myndighedsudøvelse, at daginstitutionen tager billeder af børnene og evt. medarbejderne for bagefter at dele dem internt med forældrene for at orientere om børnenes dagligdag.

Datatilsynet har ikke lavet nogen specifik vejledning for brug af billeder i skoler, men det er KOMBIT og KLs vurdering, at brugen af billeder i skoler er at sidestille med brugen i dagtilbud

Uddrag af KOMBIT begrundelse for at fjerne forældresamtykket

Denne sidste pointe kan der vel godt stilles spørgsmålstegn ved. Alle, der har haft børn i vuggestue og børnehave, ved, at billeder fra hverdagen i institutionen kan være nyttige, når man som forælder gerne vil “orientere sig om børnenes dagligdag”, som der står i KOMBITs begrundelse. Dette er særligt relevant fordi børn i vuggestue og børnehavealderen sjældent er kognitivt eller sprogligt i stand til at gøre detaljeret rede for, hvad dagen i institutionen er gået med. Her kan billeder fra en tur i parken eller af regnvejr på legepladsen tjene et indlysende vigtigt formål.

Dette gælder selvsagt ikke i samme omfang for skolesøgende børn, der i højere grad er i stand til selv at dele deres oplevelser med forældrene. Det er noget sværere at argumentere for, at “orientering af forældrene” er et sagligt formål, hvis man tager billeder af en ekskursion i 8. klasse.

Det kan undre, at Datatilsynets ikke forholder sig til denne forskel, og at deres kontorchef blot til DR’s artikel lakonisk konstaterer, at “Forældrene må altså forvente, at der bliver taget billeder, når deres børn er i børnehave eller skole”.

Hertil kommer, at KOMBITs reaktion er et skoleeksempel (tøhø) på gammeldags compliance-tænkning: Vi gør kun det, reglerne tvinger os til at gøre. Når reglerne ikke klart siger, at der skal gives samtykke, så fjerner vi samtykke-muligheden.

Reaktionen fra forælderen i DRs artikel indrammer det fint:

Jeg kan ikke forstå, hvorfor rettighederne til at bestemme, hvem der skal tage billeder af mit barn, skal ligge hos en skole eller institution frem for hos forældrene.

Det var tidligere sådan, at det var mig som forælder, der kunne bestemme, om billedet skulle være der eller ej. Sådan er det ikke længere

Forælder, iflg. DR’s artikel.

Hvori består mon KOMBITs dataetiske overvejelser ved at fjerne muligheden for samtykke?

(Min) tryghed over (din) frihed

Den nu tidligere justitsminister Nick Hækkerup gjorde sig berygtet i privacy-kredse ved fra folketingets talerstol, i samråd og på skrift at tale for, at øget overvågning giver mere tryghed, som igen giver mere frihed.

Jeg blev mindet om Hækkerups udtalelser, da jeg læste en kommentar i Weekendavisen, som berører masseovervågningen, der finder sted i de besatte områder i Palæstina:

Udsnit af artikel fra Weekendavisen

Israelernes omfattende overvågningsprogram på Vestbredden, bl.a. baseret på ansigtsgenkendelse, blev afdækket i en artikel i Washington Post sidste efterår, der efterfølgende blev omtalt verden over.

Det slående ved Nick Hækkerups argumentation er jo perspektivet: Vi (de retskafne borgere) opnår mere tryghed og frihed gennem overvågning af andre (potentielt kriminelle). På samme måde vil israelerne på Vestbredden givetvis hævde, at de opnår tryghed og frihed ved at berøve andre, de overvågede palæstinensere, deres frihedsrettigheder.

Forestillingen om os som de gode og de andre som de onde, og udnyttelsen af denne modstilling til at retfærdiggøre overgreb på dem, vi identificerer som de andre, er vel en af de mest basale propagandateknikker, man kan forestille sig.

Udfordringen i privacy-debatten er, at os og dem jo i realiteten aldrig er to adskilte grupper. Tiltag, der udvikles og indledningsvist rettes mod de andre, vil uvægerligt blive rettet mod os selv før eller siden; dette indtræffer enten fordi der sker en glidning i normerne, fordi myndighederne ikke ønsker at give slip på beføjelser, men oftest simpelthen pga. masseovervågningsteknologiens natur – når man overvåger alle, inkluderer det jo selvsagt også alle de uskyldige. Os selv, om man så må sige.

Hvilket bringer os tilbage til Israel og Vestbredden – og Kina, for den sags skyld. For hvad sker der med samfund, hvor masseovervågning bliver hverdag og en integreret del af ordenshåndhævelsen?

Beretninger fra dagens Kina tyder på, at George Orwell havde fat i noget, da han i 1984 (udgivet i 1949) beskrev overvågningsteknologiens destruktive potentiale, som ultimativt forløses gennem borgernes internalisering af overvågningsregimet.

“It doesn’t even matter whether it’s true or not, as long as people believe it,” he says. “What the Communist Party is doing with all this high-tech surveillance technology now is they’re trying to internalize control. … Once you believe it’s true, it’s like you don’t even need the policemen at the corner anymore, because you’re becoming your own policeman.

Kai Strittmatter, tysk journalist og forfatter til “We Have Been Harmonized: Life In China’s Surveillance State”

Man behøver ikke at være kineser eller israeler for (i mikroskala, men alligevel) at opleve, hvordan internaliseret overvågning virker i hverdagen:

  • Du letter foden fra gaspedalen i bilen, fordi du ser et skilt, der advarer om videoovervågning på motorvejen.
  • Du overvejer en ekstra gang hvilket tøj, du tager på til fodboldkamp eller koncert, fordi du ved, at der er en mulighed for, at du bliver vist på storskærm eller tv.
  • Du undgår at afspille et musiknummer eller en video på en streamingtjeneste (fx en børnesang eller en valgvideo med en politiker, du ikke støtter), fordi du ved, at det vil påvirke tjenestens algoritmiske anbefalinger, så du bliver præsenteret for indhold, du ikke ønsker.
  • Du skynder dig at scrolle forbi en reklame i dit SoMe-feed, fordi du ved at app’en registrerer, hvor længe du dvæler ved hver artikel.

Disse eksempler virker måske uskyldige, men tag ikke fejl, mekanismen bag er den samme som den, der allerede nu dominerer millioner af menneskers liv andre steder på kloden: Vi ændrer adfærd fordi vi bliver overvåget.

Med overvågning falder friheden. Først for de andre og dernæst for os selv.

Udledte følsomheder

Iflg. Techcrunch og gode kilder på LinkedIn har EU-domstolen talt:

Udledte persondata er persondata, og skal behandles som sådan. Og udledte følsomme persondata skal behandles som følsomme persondata, efter den særligt restriktive Artikel 9 i GDPR.

Afgørelsen beskriver udledte persondata som resultatet af “an intellectual operation involving comparison or deduction”, og nævner som konkret eksempel, at en partners navn kan sige noget om seksualitet:

[…] it is possible to deduce from the name-specific data relating to the […] partner of the declarant certain information concerning the sex life or sexual orientation of the declarant and his or her […] partner.

EU-domstolens afgørelse

Det er jo klar tale. Men implikationerne rækker langt videre end behandling af ægtefælleoplysninger. Andre eksempler på data, der på samme måde kan bruges til at udlede følsomme persondata, kan være en persons valg af særlige produkter (fx flymåltid, beklædningsgenstande, hygiejneprodukter) eller lokationsoplysninger (fx ophold på steder som normalt er forbeholdt personer med bestemt seksualitet, alder, fysisk eller psykisk sygdom, indkomst eller med særlig religiøs betydning).

Og det er i øvrigt værd at bemærke, at ovenstående gælder, uanset om de udledte oplysninger er korrekte. Gætter du på, at en besøgende på dit website person er en mand, er dette strengt taget en personoplysning – uanset om den besøgende skulle vise sig at være kvinde.

Nærmest enhver præference eller konkret adfærd kan, under de rette betingelser, bruges til at udlede andre oplysninger om en person – dette er jo i en vis forstand motoren bag mikrosegmentering, den mekanisme, de globale adtech-virksomheder (herunder Meta og Google) har skabt deres forretningsimperier på.

Nu har vi rettens ord for, at sådanne udledte informationer også er persondata, og skal behandles som sådan. Og mange virksomheder (som minimum naturligvis adtech-branchen, men reelt alle virksomheder og myndigheder med en afdeling, der står for BI/AI/ML/Analytics) vil nok gøre klogt i at dobbeltchecke, om man nu også gør det.

Chrome Crescendo

Dramaet om Helsingør Kommunes brug af Google Workspace og Chromebooks tager til i styrke.

Både kommunaldirektør og borgmester har nu kastet deres respektive handsker for foden af Datatilsynet, i form af en 1.700(!) sider lang DPIA / konsekvensanalyse, der efter det oplyste er helt kongruent med deres oprindelige risikoanalyse:

  • Risiko: Ja.
  • Høj: Nej.
  • Kan nedbringes: Nej.

Datatilsynets behandlingsforbud, der er den direkte anledning til udarbejdelsen af DPIA’en, efterlader ellers ikke tvivl om, at risikoen, efter Datatilsynets mening, bør anses som høj.

 Det er […] Datatilsynets opfattelse, at brug af ny, kompleks teknologi, herunder software – især på undervisningsområdet, hvor de registrerede er børn og unge – normalt indebærer en høj risiko for disse elevers rettigheder og frihedsrettigheder.

Datatilsynets afgørelse vedr. kommunens brug af Google-tjenester

Det er måske værd at dvæle 2 ekstra sekunder ved ovenstående passage fra Datatilsynets afgørelse. Hvis man fjerner den indskudte sætning og skærer ind til benet, står der faktisk, at brug af ny software normalt indebærer en høj risiko – hvilket, hvis man tager det for pålydende, vil sige, at der normalt skal udarbejdes DPIA når man ibrugtager ny software. Er det mon faktisk det, Datatilsynet mener, eller har de formuleret sig lidt for bastant her?

Hvorom alting er, var Helsingør Kommunes konklusion på deres DPIA fuldstændig som ventet – hvorfor skulle de konkludere noget andet end i deres første risikoanalyse, der var resultatet af et “stort og dygtigt arbejde” iflg. tilsynet selv? Nu afventer vi så Datatilsynets reaktion på, at kommunen i praksis modsiger dem fsva. risikoniveauet:

  • Hvis kommunen slipper afsted med dette, betyder det groft sagt, at adgangsbilletten til at bruge amerikansk cloud er blevet fastsat til at være ca. 1.700 siders DPIA udarbejdet af et af de store advokatfirmaer. Dette vil i nogen grad være en lettelse for store virksomheder og myndigheder, der har råd og tid til det, men vil selvsagt ikke være nogen hjælp for små og mellemstore virksomheder.
  • Hvis kommunen, mod forventning, får en milli0nbøde og endnu et behandlingsforbud, kan vi forvente at den ulmende cloud-panik vil bryde ud i lys lue på privacy-kontorene i myndigheder og virksomheder af alle størrelser over hele landet – og endda i et vist omfang uden for landets grænser.

Ingen af de mulige udfald gør i første omgang en væsentlig forskel for de personer, hvis data behandles. Eneste egentlige vinder på kort sigt er vel Bech-Bruun, der må antages at have taget sig godt betalt for at levere en så omfangsrig DPIA (som i sidetal altså svarer ret præcist til Minkkommissionens rapport!) på ganske få uger henover sommerferien. Tillykke til dem.

En privacy-tornado på vej!

Det trækker op til uvejr i privacy-debatten.

På den ene side af debatten står Datatilsynet og fastholder, at man altså skal overholde reglerne, lytte til Schrems II og ikke bare kan overføre persondata til amerikanske cloudleverandører (med mindre man på magisk vis kan garantere, at de er sikret, så NSA ikke kan få fat i dem). Man er generelt lidt overrasket over al postyret, for reglerne har jo ikke ændret sig, man er bare begyndt at håndhæve dem.

På den anden side står virksomheder og myndigheder og anklager tilsyn og regler for at være ude af trit med virkeligheden, og beder om konstruktiv hjælp og klare retningslinker, i stedet for forbud og kritik.

På sidelinjen står først og fremmest privacynørderne (som er et term jeg her anvender med stor kærlighed) og hepper og råber, at det var på tide, at nu må vi alle sammen skifte til små europæiske cloudløsninger, og glæder sig over at de amerikanske overvågningskapitalister endelig – endelig! – får tørt på.

Men der er også mere moderate stemmer iblandt tilskuerne (typisk folk, der lever af at anvise pragmatiske løsninger for virksomheder og myndigheder), der efterspørger kompromiser og bløde landinger, fordi alternativet er praktisk uoverskueligt.

Næsten helt stille er tech-giganterne Microsoft, Amazon, Google, etc. – de skal ikke have noget klinket, og håber formentlig på at de kan holde vejret længe nok til, at der findes en bureakratisk løsning, der spreder skyerne og skaber ro.

I en helt andet postnummer står de mennesker, hvis data det hele handler om. De fleste af dem kigger den anden vej, givetvis helt uopmærksomme på debatten, og på i hvilket omfang deres persondata misbruges. Og på hvor voldsomme implikationer det ville få for deres hverdagsliv, hvis alle virksomheder og myndigheder lige pludselig skulle til at overholde reglerne.

Personligt savner jeg en balanceret, informeret politisk debat om emnet, som er båret af andet end kommunalpolitikeres praktiske overvejelser eller landspolitikeres lommefilosofi. Kan vi tillade Big Tech’s skruppelløse overvågning af borgere? Kan vores erhvervsliv og vores økonomi bære, at vi ikke benytter de største og bedste cloudtjenester? Er vi nødt til at justere GDPR, eller skal vi netop holde fast når det begynder at gøre ondt? Hvilke strategiske interesser har Danmark og EU? Hvad tjener borgerne bedst, og hvad er vigtigst?

Er det for meget at håbe på, at det kunne blive et emne i den kommende valgkamp?

Dagens ret: Designbøffer

I anledning af, at Datatilsynet har givet LB Forsikring alvorlig kritik for ikke at overholde princippet, skal dette indlæg handle om GDPRs definition af “Privacy by Design”:

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

GDPR Artikel 25, stk. 1

Udover at selve sproget i denne artikel vitterlig er ret besynderligt, selv for GDPR – ikke mindst den mærkelige opremsning med to gange “såsom” – er det værd at bemærke, at artiklens helt centrale, operationelle vendinger, “aktuelle tekniske niveau” og “passende foranstaltninger”, er mildt sagt abstrakte.

Hvad er aktuelt? Hvad er passende? Hvem bestemmer det?

Hertil kommer det mere filosofiske spørgsmål: Hvorfor skal lovgiverne overhovedet blande sig i processen hvormed en løsning designes, og hvilke tanker folk gør sig “på tidspunktet for fastlæggelse af midlerne til behandling” – hvis bare den endelig løsning overholder reglerne?

I sin essens siger artiklen reelt, at man skal overholde alle de forudgående og efterfølgende regler, når man bygger IT-løsninger – hvilket gør det svært at se artiklen som andet end et udtryk for, at lovgiverne grundlæggende mangler tillid til de IT-folk, de godt ved i sidste ende skal implementere lovgivningen i noget kode.

I 90’erne, længe før GDPR, udformede den canadiske Ann Cavoukian sine berømte 7 principper for Privacy by Design. Som principper betragtet er de ærlig talt ikke særlig stringente, men de giver dog væsentligt mere kød på betegnelsen end GDPRs halvhjertede forsøg.

Og så til afgørelsen vedr. LB Forsikring:

Ved udvikling af en portalløsning som LB Forsikring A/S’ arkiveringssystem, hvor der skal gives adgang til opbevarede dokumenter med personoplysninger i, er det ikke i overensstemmelse med det aktuelle tekniske niveau, hvis et maildomæne alene tillægges vægt i henhold til, hvilke dokumenter der gives adgang til. Herudover vil det være en del af det aktuelle tekniske niveau, at den dataansvarlige indbygger opfølgende kontroller, der sikrer, at en sådan automatisk proces alene giver den korrekte adgang.

Datatilsynets afgørelse vedr. LB Forsikring

Her giver Datatilsynet os jo syn for sagn: Brug af maildomæne som adgangskontrol er ikke ok ift. det aktuelle tekniske niveau.

Men så melder spørgsmålet sig jo: Har det nogensinde været ok? Var der et tidspunkt i historien, hvor det ville have været en god løsning og i overensstemmelse med det aktuelle tekniske niveau at bygge et IT-system, der brugte maildomæne som adgangskontrol? Næppe.

Det er simpelthen bare en designbøf. Det svarer til at bygge et system, der registrerer kundens CPR-nummer, selvom man i processen kun har brug for fødselsdatoen. Eller at et systems datamodel designes sådan, at der ikke kan bo to forskellige personer med samme navn på samme adresse. Det er “bare” klodset design. Og det sker hele tiden for alle mulige aspekter af IT-systemer. Forskellen er bare, at når det gælder privacy, så har vi med GDPR en lov, der eksplicit (omend lidt kluntet) beordrer os til at tænke os om, når vi bygger IT-systemer.

Det er vist bare det, “aktuelle tekniske niveau” og “passende foranstaltninger” betyder. Og den konkrete sag viser måske meget godt, hvorfor lovgiverne manglede tillid til IT-folk, da de i sin tid tilføjede artikel 25 😉.

Tak, i øvrigt, til https://mahler.io/ for idéen til at skrive om afgørelsen.

Gå hjem, cloud

For nylig afholdt Datatilsynet et par såkaldte gå-hjem-møder vedr. anvendelse af cloud, i forlængelse af den cloud-vejledning, de har udgivet.

En optagelse af et af møderne dateret d. 21. juni 2022 er blevet gjort tilgængeligt af Datatilsynet:

Der er meget materiale at dykke ned i, men lad mig dvæle ved denne passage fra navnkundige Allan Frank (ca. 12:18 – 12:58):

Du er simpelthen nødt til, kontraktuelt, i det samarbejde man har med sin leverandør, at kunne kræve den sikkerhed, som du som dataansvarlig mener er nødvendig for at leve op til det her … og det er lidt besværet på den … og så kan I kalde det en illusion eller hvadsomhelst, men udgangspunktet i det her forhold er jo, at det er den dataansvarlige, der er den hund, der logrer med halen – og det er ikke databehandleren, der logrer med hunden i det her tilfælde. Så illusionen – eller realiteten, nærmere bestemt, i forordningen, og hele omdrejningspunktet, er jo den dataansvarliges ansvarlighed.

Allan Frank, Datatilsynet

Her berører Hr. Frank, på sin egen charmerende måde, denne tids gordiske privacy-knude: Så godt som alle virksomheder og myndigheder benytter i dag persondatabehandlere fra lande udenfor EU/,EØS (fx amerikanske cloudleverandører), og så godt som ingen organisationer har sikkerhed for, at denne behandling er lovlig.

Cloud-produkter (hvad enten der er tale om IaaS, PaaS eller SaaS) udmærker sig ved at være meget standardiserede varer. I langt højere grad end traditionel IT (selv go’ gammeldags COTS software), er cloudprodukter lavet til snævre globale specifikationer, for at kunne konkurrere på et marked, der i meget høj grad er drevet af volumen/economies of scale.

Så når de europæiske datatilsynsmyndigheder siger til virksomheder og myndigheder, at de skam bare skal kræve tilstrækkelig sikkerhed af deres amerikanske cloud-leverandør (som jo altså er blandt verdens suverænt største og mest magtfulde selskaber), så ved alle involverede jo godt, at fx Hvidovre Kommune eller Knud Hansen VVS ApS næppe får særbehandling af Microsoft eller Amazon.

Med til billedet hører, at netop de amerikanske cloudprodukter er så godt som uomgængelige, hvis man vil have det bedste og billigste, og ikke vil nøjes med de europæiske alternativer. For netop denne type tjenester gælder faktisk, at netop fordi de er de største, er de i mange tilfælde de bedste.

Som tidligere anført venter alle nu på TADPF, men …

  • … selv en “Privacy Shield 2” vil “kun” forholde sig til USA, og ikke til de mange andre lande, hvortil overførsler stadig vil være ulovlige i udgangspunktet (og her skal de bemærkes, at de amerikanske cloudtjenester benytter sig af rigtig mange underdatabehandlere, der hverken er hjemmeboende i hverken EU eller i USA).
  • Datatilsynet har indledt tilsyn med brug af cloud hos to offentlige myndigheder, og annonceret at de vil fortsætte hos private virksomheder – helt i modstrid med det, jeg havde forventet.

Hvilket jo efterlader organisationer, der både gerne vil levere den bedste ydelse til den bedste pris for at kunne konkurrere på europæiske og globale markeder, eller bare forvalte skatteyderes penge bedst muligt, og være nogenlunde sikre på ikke at få en bøde eller i det mindste alvorlig kritik, hvis datatilsynsmyndighederne dukker op, uden særlig mange gode muligheder.

Man kan sætte det på spidsen og spørge, om ikke de europæiske lovgivere simpelthen burde forbyde Amazon, Microsoft, Google, SAP, Salesforce, Oracle, IBM og alle de andre at sælge deres cloudtjenester i Europa? Når nu det i praksis ikke kan lade sig gøre at bruge deres tjenester lovligt (i andet end i rent teoretiske tilfælde, hvor man slet ikke behandler persondata)?

Det ville naturligvis have katastrofale følger for det europæiske erhvervsliv og offentlige myndigheder. Men det ville i det mindste være ærligt, virksomheder og myndigheder ville slippe for maskespillet, hvor alle lader som om de følger reglerne selvom ingen faktisk gør det, og de europæiske borgere ville kunne tage stilling til, om det faktisk er en europæisk virkelighed uden amerikansk cloud (og globale underleverandører), de ønsker.

Kan man måle dataetik?

I forlængelse af indlægget om målepunkter for privacy, er det et oplagt spørgsmål, hvordan man som organisation udstrækker sin forståelse af hvor godt man klarer sig, og hvordan man kan forbedre sig, til også at omfatte dataetik.

Siden 2021 har loven tilsagt, at alle større danske virksomheder skal redegøre for deres dataetiske politik. Loven giver udstrakt grad af frihed ift. udformningen af de konkrete politikker, og der stilles ingen krav om at der måles på om eller hvordan de bruges, eller på anden måde følges op på implementeringen.

Reelt er loven således bare et krav om at virksomheder skal kunne fremvise et dokument, der på en eller anden måde siger noget om dataetik. Og det vil være rimeligt at antage, at mange virksomheder har løst opgaven på nemmest mulige måde: De har lavet en politik, lagt den hjemmesiden og glemt alt om den.

Men hvis man nu er en virksomhed, der gerne vil arbejde seriøst med dataetik, er dette naturligvis utilfredsstillende.

I denne korte, men indsigtsfulde artikel beskriver Chris Wiggins hvordan man kan måle direkte på sin dataetiske indsats, men nok så vigtigt hvordan organisationer løbende bør justere deres øvrige (fx kommercielle, tekniske) målepunkter til at være i overensstemmelse med deres dataetiske principper.

Part of this monitoring will not be quantitative. Particularly since we can not know in advance every phenomenon users will experience, we can not know in advance what metrics will quantify these phenomena. To that end, data scientists and machine learning engineers must partner with or learn the skills of user experience research, giving users a voice. This can mean qualitative surveys, interviews, or other means of gathering data from users

Chris Wiggins

Så i forsøget på at forstå om vi handler dataetisk, må vi altså først og fremmest indstille os på, at vi bliver nødt til at spørge folk (dvs. medarbejdere, kunder og partnere) om deres subjektive holdning. Der er mange måder at måle på folks oplevelse af tillid til en organisation, så her er det vigtigt at man vælger sin metodik og målgrupper med omhu.

Dertil kommer muligheden for at måle på de kvantitative, transaktionelle data, en organisation producerer, når den dataetiske politik faktisk anvendes: Hvornår er den dataetiske politik sidst opdateret? Har man en dataetisk komité eller lignende? Hvor mange gange har en sådan komité mødtes? Hvor mange sager har den behandlet? Eller, hvis der ikke er en decideret komité: Hvor ofte har virksomheden truffet beslutninger på grundlag af den dataetiske politik?

Hvis man ikke har eller kan skaffe nogle transaktionelle data af ovenstående type, er det måske værd at overveje, om man bør justere sine dataetiske principper.

Your KPIs can’t conflict with your principles if you don’t have principles

Chris Wiggins

Og slutteligt kan man måle på hvor ofte man justerer øvrige målepunkter og KPI’er med henvisning til dataetiske principper. Målingen af dette kræver at man har succes med at engagere hele organisationen i arbejdet med dataetik, hvilket kan være en udfordring i sig selv, med mindre organisationen har meget høj modenhed i implementeringen af privacy og dataetik.

Det sandfærdige svar på overskriftens spørgsmål er jo nok, at det kan man ikke, entydigt. Men større organisationer kan – og bør – måle på i hvilken udstrækning de arbejder dataetisk, og om der er tillid det arbejde blandt medarbejdere, kunder og samarbejdspartnere.

100%. Ingen højere?

Det er vigtigt at måle. Det er indlysende, at det for enhver organisation er vigtigt på en eller anden måde at måle på effektiviteten af de tiltag, man gør, for at skabe grundlag for at drive forbedringer.

Men det er helt afgørende hvad og hvordan man måler. Bare spørg i de offentlige servicefag eller i et callcenter, hvordan forkerte målepunkter kan drive uønsket adfærd hos ansatte og/eller give misvisende resultater.

Ofte er det balancen i målene, den er gal med. Man måler fx på hvor mange kundeopkald i timen en kundeservicemedarbejder ekspederer, eller hvor mange minutter, en sosu-assistent bruger med en borger. Men hvis man kun måler på throughput og transaktioner, og glemmer også at måle på fx oplevet kvalitet/indhold/resultat, så får man …

  1. skabt incitament hos medarbejderne til at maksimere antallet af transaktioner, men intet incitament til at sikre kvaliteten af den enkelte transaktion og
  2. mål, som reelt ikke siger noget om hvordan organisationen performer, og som derfor i praksis ikke kan bruges som grundlag for forbedringer (forudsat naturligvis, at man i realiteten har andre mål end høj transaktionsvolumen – hvilket gælder for næsten alle organisationer).

Ovenstående gælder ikke i mindre grad for privacy.

Og hvordan måler man så relevant og – ikke mindst – balanceret på en organisations performance på privacy-området?

Mange store danske virksomheder (ingen nævnt, ingen glemt) rapporterer om status på deres privacy-programmer ved at måle på andelen af medarbejdere, der har gennemført træning i privacy / datasikkerhed / GDPR / dataetik.

Ligeså indlysende det er, at dette ikke er et dårligt målepunkt, ligeså klart er det, at det ikke kan stå alene. Hvem ved hvilket udbytte medarbejderne har fået af deres træning? Hvilken type træning er der overhovedet tale om? Hvis man gerne ville maksimere dette ene målepunkt, kunne man jo blot gøre træningen nemmere og kortere. Det ville helt sikkert øge antallet af medarbejdere, der gennemførte træningen, men ville en højere deltagelsesprocent på den baggrund sige noget om kvaliteten af organisationens privacy-arbejde? Nej. Tværtimod, endda.

Men hvis man nu kombinerede dette mål med andre mål, som fx …

  • antallet af anmodninger om indsigt fra kunder og medarbejdere
  • gennemsnitssvartid på anmodninger om indsigt
  • antal databrud rapporteret til myndighederne
  • antal klager vedr. databeskyttelse registreret hos myndighederne
  • antallet af gennemførte PIA’er og DPIA’er
  • gennemsnitsalderen på privacy-politikker
  • antallet af processer beskrevet i Records of Processing Activities
  • andelen af IT assets med fuldstændige og opdaterede privacy-beskrivelser (fx slettepolitikker, kryptering, persondatatyper, etc.)
  • antallet/resultatet af interne og eksterne audits
  • antallet af indgåede databehandleraftaler med kunder/leverandører
  • antallet af underdatabehandlere (og deres underdatabehandlere etc.) som man som dataansvarlig har registreret og fører tilsyn med

… så ville man faktisk kunne sige noget kvalificeret om, hvor kompetent og med hvilket modenhedsniveau organisationen håndterede privacy.

Udfordringen ved at inddrage andre og mere meningstunge målepunkter er, at mange organisationer stadig vægrer sig ved at måle på noget, der kan udlægges som at være et mål for graden af compliance. I mange organisationer er det endnu sådan, at compliance opfattes som noget binært, noget man har eller ikke har. Og i sådanne tilfælde går man erfaringsmæssigt langt for at undgå, at konkrete målepunkter og konkrete resultater kan udlægges som om, at man ikke er 100% compliant.

Dette er naturligvis en vildfarelse. Min påstand er, at ingen danske organisationer af en vis størrelse, private eller offentlige, med rimelighed kan påstå 100% compliance med al relevant databeskyttelseslovgivning, herunder GDPR. Alle forsøger, med varierende grad af alvor og oprigtighed, at leve op til reglerne, men ingen kan påstå at de ikke kan blive bedre. Og selv hvis man forestillede sig en organisation, der var maksimalt compliant, ville der alligevel være plads til forbedring på fx dataetikken.

Det fromme håb herfra er derfor, at flere organisationer i fremtiden får mod og indsigt nok til at måle meningsfyldt og balanceret på deres privacy-performance.

En sikker destination?

I denne uges Weekendavisen er der en spændende artikel om de retssager, der er anlagt mod den britiske regering, i anledning af dens planer om at sende asylansøgere til Rwanda.

Luke og InstaLaw agter også at få afklaret, om aftalen med Rwanda vil være et brud på de britiske databeskyttelseslove.

»Vi har meget strenge regler for databeskyttelse; for hvordan data bruges, gemmes og sikres på vegne af individer. Det er regler, som Rwanda ikke ønsker at tilslutte sig, så vi mener, at det vil være ulovligt at dele informationer med de rwandiske myndigheder om individer, som risikerer at blive sendt til landet,« forklarer Stuart Luke om et andet element i sagsanlægget.

Weekendavisen, 24.05.22

Som bekendt har den danske regering arbejdet på en lignende aftale om at sende asylansøgere til Rwanda. Og skulle det lykkes, som det er sket for briterne, er det rimeligt at antage, at Danmark i givet fald ville skulle overføre oplysninger om asylansøgerne til myndighederne i Rwanda.

Men kan Danmark lovligt udveksle asylansøgernes persondata med myndighederne i et usikkert tredjeland? Hvordan sikrer man tilstrækkelig beskyttelse af disse personers data i et land, der menes at lave udbredt overvågning af egne borgere?

In July, the Pegasus Project revealed that the phone of Paul Rusesabagina’s daughter, Carine Kanimba, was infected with the NSO Group’s Pegasus spyware. Rwanda is believed to be an NSO Group client. More than 3,500 phone numbers, including those of activists, journalists, political opponents, foreign politicians and diplomats of interest to Rwanda, had been selected as potential targets for the spyware.

Amnesty International, Rwanda 2021 Report

Uanset hvad man i øvrigt mener om planerne om at sende asylansøgere til Rwanda, gør den danske regering klogt i at huske, at de europæiske regler om overførsel af persondata til usikre tredjelande også gælder for dem.