Ingen højere?

I denne nyeste Apple-reklamefilm, hvor en stakkels piges persondata i bogstaveligste forstand bortauktioneres, råber auktionarius: “It’s not creepy, it’s commerce!” da han introducerer pigens lokationsdata, og det er naturligvis god værkstedshumor for privacynørder.

Vi er dog naturligvis nogen, der tænker om ikke det ville have været mere retvisende, hvis Tim Cook som den eneste sad tilbage på auktionshusets bageste stolerække, selv efter pigen havde aktiveret “Do not track” 😉

Filmen indskriver sig i en række af sjove og kreative fremstillinger af privacyproblemstillinger, der alle på glimrende vis kan bruges til overbevise privacy-skeptikere, der fx hævder “jamen, jeg har jo ikke noget at skjule”.

KL (Kun Lettelse): TADPF er på vej!

Som nævnt er alene annonceringen af en kommende, ny aftale om EU/USA-dataoverførsler nok til, at de fleste virksomheder, organisationer og myndigheder i praksis ånder lettet op, som eksemplificeret i Version 2’s artikel:

https://www.version2.dk/artikel/kl-jubler-over-ny-data-aftale-det-er-en-kaempe-kaempe-lettelse

Champagnepropperne er faktisk allerede sprunget, forstår man:

“Interesseorganisationen har sammen med landets 98 kommuner været i venteposition i snart to år, og derfor mener hun, det var helt naturligt, at man fejrede udmeldingen i fredags”

Er der da ingen skepsis eller frygt for, at lovgiverne igen laver en ordning, der viser sig at være ulovlig? Nej:

KL: “Vi har da helt klart en forventning om, at man finder en vej ind i det her juridisk. For ellers går man vel ikke ud fra EU-Kommissionens side og siger, at nu har man fundet et overførselsgrundlag. […]”

V2: “Men de har jo gjort det en gang før.

KL: “Ja. Men fra KL’s side vælger vi at stole på Kommissionen.”

I praksis må man antage at den politiske hensigtserklæring om en ny overførselsaftale langt, langt de fleste steder – ligesom i KL – allerede har medført, at akutte tiltag for at leve op til Schrems II-dommen er blevet sat på pause, hvis de da ikke var det i forvejen. Og her skal ordet pause forstås som var det et teenage-kæresteforhold: Man ved, det reelt er forbi, men har brug for at sige det på en pæn måde.

For hvorfor bakse med at finde på rene EU-alternativer til amerikansk cloud, når vi nu ved, at der kommer en ordning? Hvorfor lave megabesværlige afdækninger af hele kæden af underdatabehandlernes underdatabehandlere, hvis det ikke er pinedød nødvendigt?

Tænkningen er naturligvis, at det er usandsynligt at en tilsynsmyndighed, i denne situation hvor politikerne over en så bred kam så utvetydigt har tilkendegivet, at de ønsker at få problemstillingen til at gå væk, vil begynde at slå helt almindelige danske organisationer i hovedet med deres helt almindelige brug af amerikanske cloudtjenester.

Tilbage er blot at håbe, at TADPF-aftalen holder hvad den lover, altså at “normalisere” brugen af amerikanske IT-ydelser, og bringe os alle sammen tilbage til tiden før Max Schrems stak en kæp i dataoverførselshjulet, ikke én, men to gange.

I modsat fald kommer KL og alle vi andre til at ærgre os over, at vi ikke fortsatte det møjsommelige arbejde med at finde rene EU-alternativer, afdække underunderunderdatabehandlere og undersøge de juridiske forhold ift. persondatabeskyttelse i Filippinerne.

Lys for enden af Schrems-tunnelen?

I går, d. 25. marts 2022, skrev alle om det: Der er en ny Privacy Shield/Safe Harbor-ordning mellem EU og USA på vej.

Henning skrev om det, Hopp skrev om det, Pia T skrev om det, Tranberg skrev om det, ja selv Max Schrems selv skrev om det. Og alle er enige: Biden har været i Bruxelles og har sagt nogle håbefulde ord om privacy-sagen sammen med von der Leyen, fordi der er mange penge på spil. Men der er intet konkret endnu. Intet andet end gode intentioner og en forsikring om, at man nok skal finde en aftale:

Så altså: Reglerne er de samme. Det vil tage lang tid at få lavet et nyt overførselsgrundlag. Og selv da fornemmer man flere eksperters forudanelse om, at dette bare bliver et nyt Privacy Shield, som kort efter vedtagelsen bliver underkendt af EU-domstolen. For er der virkelig vilje til at mindske masseovervågningen i USA? Eller give europæerne ægte mulighed for at hævde deres rettigheder ved amerikanske domstole, sådan som det antydes i den principerklæring, der er offentliggjort:


Men tag ikke fejl: Dette er en kæmpe nyhed i virkelighedens verden. Det flertal af europæiske virksomheder og myndigheder, der indtil nu groft sagt har lurepasset efter Schrems II og ventet på, at der ville komme en politisk/juridisk løsning, vil ånde lettet op: Der kommer faktisk en god løsning i morgen. Og med god menes her en løsning, som tillader virksomhederne at gøre som hidtil.

Motivationen for at følge de lange og kringlede vejledninger vil i praksis dale yderligere, når man ved at der er en ny ordning på vej. Hvis man er kynisk anlagt, var i går derfor en lidt trist dag for beskyttelsen af persondata. Færre virksomheder vil på den korte bane gøre sig så umage med at afdække alle detaljer om deres netværk af underdatabehandlere, som reglerne faktisk siger. Flere vil vedblive med at bruge amerikanske cloud- og SaaS-løsninger som om intet var hændt. USA vil nok ikke ændre deres lovgivning. Og på den lange bane vil EU-domstolen derfor nok underkende reglerne. Da vil der være gået årevis, hvor alle igen har kunnet overføre persondata til USA uden frygt for tilsyn og bøder, og hvem ved, måske politikerne så bare går i gang med at lave en Safe Harbor-ordning nr. 4 og starter hele forestillingen forfra, én gang til?

For de mere positivt indstillede privacy-forkæmpere var i går en god dag. Den amerikanske præsident stod i Bruxelles midt i den største krise i nyere europæisk historie og talte om privacy. Tænk engang. Og måske dette faktisk vil føre til lovændringer i USA, som mindsker masseovervågningen og sikrer vores data bedre. Og måske vil dette i sidste ende tillade vores europæiske virksomheder og myndigheder at skabe vækst og produktivitet ved bruge de bedste cloud- og softwareprodukter uden at kigge sig over skulderen hele tiden.

Så der er lys for enden af tunnelen. Men er det faktisk udgangen, eller er det en måske bare en lyset fra lommelygte, der tilhører nogle andre, der også er faret vild?

Compliance, nej tak

Jeg blev for nylig inspireret af dette glimrende opslag:

https://www.linkedin.com/posts/avishaiostrin_gdpr-privacypros-privacy-activity-6904323314152800256-Nsqa

Der er mange indlysende fordele ved, at persondatabeskyttelse (og IT-sikkerhed, i øvrigt) med tiden er blevet mere juridisk reguleret. Privacy-området ville være ilde stedt uden fx ePrivacy-direktivet, GDPR og databeskyttelsesloven, og flere og flere lande over hele verden (og stater i USA) indfører da også GDPR-lignende lovgivning.

Men det har også en pris, at emnet er blevet legeplads for juranørder med hang til paragraffer og subtil tekstfortolkning. For det gør, at diskussionen om databeskyttelse nærmest udelukkende kommer til at handle om compliance, overholdelse af regler.

Jura-diskussionerne handler typisk om hvordan regler præcis fortolkes, hvorvidt reglerne er skøre eller fornuftige, og om de håndhæves korrekt eller inkonsistent. Juraen er i sin natur teknisk, og det bliver en meta-diskussion, hvor man nemt mister blik både for de mennesker, hvis data det hele handler om, og de processer, virksomheder og organisationer, der skal kunne fungere.

Ordet compliance er i sig selv med til at fastholde fokus på det rent tekniske, juridiske aspekt, da det jo i sin essens betyder at gøre som befalet. “To comply” er at adlyde eller indvilge – eller, i andre sammenhænge, at forme sig efter en udefrakommende kraft. Compliance er en aktiv handling, men passiv i den forstand at den altid er en reaktion, baseret på en udefrakommende regel eller ordre. Og compliance er i princippet ikke noget, man kan gradbøje, for enten adlyder man og overholder reglerne, eller også gør man ikke .

I modsætning hertil står dataetikken – eller, som bl.a. bibliotekarerne kalder det, informationsetik (som faktisk er et mere retvisende navn). Dataetik er netop ikke binært, ikke reaktionært, og ikke teknisk. Det handler i sidste ende om følelser, om forventninger og om at opnå den rette balance mellem forskellige hensyn. Man kan på forhånd tage principiel stilling til hvilke elementer, man vil lægge vægt på (i en dataetisk politik), men en konkret afvejning kan ikke slås efter i Karnov.

However, the fact that your research is legally permissible does not necessarily mean that it will be deemed ethical

Ethics and data protection“, notat fra EU Kommissionen, 2021

En misforståelse, jeg ofte har mødt, er at dataetik bygger ovenpå eller “kommer efter” compliance. For nogle bliver det endog til, at man først rigtig kan tillade sig at arbejde seriøst med dataetik, når man har opnået fuld compliance. Det er helt forkert, af flere grunde.

For det første opnår de færreste virksomheder og organisationer i realiteten nogensinde fuld compliance. Der vil altid være mere at gøre, for at være sikker på at leve op til reglernes bogstav – og så fald når man jo aldrig til at arbejde med dataetikken. For det andet kan der i visse tilfælde være modstrid mellem dataetik og lovgivning. Hvad reglerne siger er jo bare ét perspektiv og selvom det er undtagelsen, kan der være andre hensyn, der vejer ligeså tungt – eller tungere.

Som virksomhed eller organisation må man derfor foretage samlede, dataetiske afvejninger af sin databehandling, og naturligvis lade compliance indgå som et vigtigt perspektiv. Og oplyse og træne sine medarbejdere i hvordan de omgås data etisk ansvarligt, foruden at kende og følge love og regler, så de agerer så compliant som muligt.

Så jo jo, det er klart, compliance er vigtigt. Men det er altså hverken en erstatning eller forudsætning for dataetik, og compliance bør aldrig stå alene i arbejdet med persondata.

Med næsen i sky

Datatilsynet har i denne uge udgivet en detaljeret vejledning om cloud:

https://www.datatilsynet.dk/Media/637824109172292652/Vejledning%20om%20cloud.pdf

… og den er jo ikke mindst interessant i lyset af at Københavns Kommune jo netop har smidt cloud-håndklædet i ringen. Men giver den nye vejledning håb til masserne, der ligesom kommunen leder efter en smutvej uden om Schrems? En nem måde at bare bruge amerikansk cloud, ligesom i (ahem) gamle dage?

Nej, desværre.

Grundlæggende er vejledningen en mere udførlig gengivelse af den 6-trins-model, som EDPB og de nationale tilsyn udsendte allerede sidste år:

Og én væsentlig udfordring, man løber ind i med at forsøge at følge 6-trinsmodellen (og derfor også med Datatilsynets vejledning), indtræffer i modellens step 1, det som vejledningen også omtaler som: Kend dine dataoverførsler. Det lyder simpelt, men når man først indser at man som dataansvarlig skal stå på mål for alle sine databehandlere, og alle deres databehandlere (underdatabehandlere), og alle deres databehandlere (underunderdatabehandlere) og … ja, altså hele kæden af databehandlere, uanset i hvor mange led, og at ansvaret altså ikke aftager med antallet af led, ja, så mister de fleste pusten inden de næsten er kommet i gang.

Udsnit af side 13 af vejledningen

Jeg sad for nylig i møde med en amerikansk ejet, global softwarevirksomhed med tusindvis af ansatte, og som i øvrigt sælger løsninger baseret på public cloud, og jeg spurgte deres sikkerhedschef, om de havde et overblik over hvilke underleverandører, herunder underdatabehandlere, de havde.

Svaret: “Vi bruger ikke underleverandører”!

Den manglende forståelse siger noget om hvor langt vi er fra en situation, hvor det man som europæisk dataansvarlig mangler, er en mere pædagogisk og detaljeret vejledning. Men tak til Datatilsynet for at gøre sig umage med at forklare og eksemplificere reglerne, så alle nu kan se, hvordan virkeligheden burde se ud.

Imens jeg har skrevet på dette indlæg kan jeg se, at altid skarpe Henning Mortensen fra RfDS har forholdt sig til vejledningen: “Problemstillingerne har ikke ændret sig med den her vejledning”.

Håndklædet i ringen

Noget tyder på at Københavns Kommune endelig har smidt cloud-håndklædet i ringen, og opgivet at finde en måde at besejre eller møve sig udenom Schrems II:

https://www.version2.dk/artikel/eu-dom-har-lammet-kaempe-cloud-omstilling-koebenhavns-kommune-1094343

Centrale citater:

“Schrems-dommen udfordrer mange af kommunens nye tiltag på digitaliseringsområdet. I flere tilfælde kan de ikke gennemføres, da leverandørerne overfører data til USA og ikke kan sikre et tilstrækkeligt beskyttelsesniveau”

“Der er dog både i staten, kommuner og regioner eksempler på, at nye systemer sættes i drift, da det i nogle tilfælde vurderes, at den samfundsopgave, myndigheden løser, ikke kan løses på en god måde uden at bruge amerikanske cloud-tjenester”

Man fristes til at konkludere, at kommunen, ligesom de fleste danske og europæiske virksomheder og myndigheder, de facto har affundet sig med at forholde sig afventende og håbe på at jurister i Bruxelles og Washington får Schrems II-problemet til at forsvinde med en opdateret Privacy Shield-ordning.

Og selvom det er mange penge, er de nævnte ekstraomkostninger på 13 millioner kr. i den konkrete sag nok næppe noget, der holder kommunens finansfolk søvnløse (til sammenligning bruger kommunen 15 millioner på at holde helårsåbent i udvalgte skøjtehaller i 2022).

Men det er rimeligt at forudsætte, at hvis kommunen begrænser sig selv her, så gælder begrænsningen også andre steder, hvor besværet og ekstraomkostningerne givetvis vil være væsentligt større.

Den digitale gasledning

Resten af verden er som bekendt i fuld gang med at afskære Rusland finansielt og kulturelt, glimrende illustreret i dette opslag:

https://www.linkedin.com/posts/alexandrakrautwald_ikea-og-lego-lukker-deres-drift-apple-pay-activity-6905805941480980480-BgYy

Det skal blive interessant at se hvornår den digitale verden for alvor følger trop og de store amerikanske cloud-leverandører også lukker for russerne:

https://www.geekwire.com/2022/analyst-only-a-matter-of-time-before-u-s-cloud-companies-shut-off-services-in-russia

På lidt længere sigt er det værd at tænke over, at globalisering og ikke mindst “cloudificeringen” af vores allesammens IT-løsninger også binder os tættere sammen rent politisk.

Efter Schrems II har vi på tværs af Europa set, at selvom vi nu ved, at brug af amerikanske cloudtjenester i mange sammenhænge slet ikke er lovligt, har der ikke for alvor været vilje til at rette ind og ændre praksis, hverken politisk eller i erhvervslivet. Jovist, der er punktvise EU-baserede alternativer, men de færreste politikere og erhvervsledere finder det hverken realistisk eller ønskeligt helt at undgå de største (og derfor, i mange sammenhænge, bedste og billigste) leverandører. Så alle har reelt foldet hænderne og ventet på at juristerne finder en eller anden løsning – lige med undtagelse af NOYB, naturligvis.

Hvor mange danske virksomheder og myndigheder kunne i dag tåle at “den digitale gasledning” under Atlanterhavet blev lukket, og datastrømmen fra fx Amazon, Google, Microsoft, IBM, Oracle og Salesforce blev afbrudt?

Dette kan meget vel blive virkelighed for Rusland i allernærmeste fremtid, og man vel ikke udelukke, at det kan ske for Danmark eller Europa engang i fremtiden, fx som konsekvens af en (handels)krig? Er vores vestlige alliancer robuste nok til at vi kan tillade os ikke at være selvforsynende med bæredygtige digitale ydelser?

Logningsfarcen

Folketinget har i dag vedtaget nye regler telelogning, som det fremgår af Justitsministeriets pressemeddelelse:

https://www.justitsministeriet.dk/pressemeddelelse/flertal-i-folketinget-vedtager-nye-regler-for-logning/

Disse regler er, har Justitsministeren flere gange offentligt vedgået, designet med det primære formål at kunne danne grundlag for at fastholde den hidtidige generelle og udifferentierede logningspraksis, som er kendt ulovlig af EU-domstolen ved flere lejligheder, og som i praksis betyder at så godt som alle danskeres færden registreres og katalogiseres minutiøst, også i fremtiden.

Hatten af for de jurister, der har fået konstrueret en spidsfindig juridisk ramme, så Justitsministeren kan hævde, at de nye regler teknisk set overholder reglerne(sic!), uden at de i praksis stiller datasubjekterne – danskerne – bedre. Og hatten af for vores Justitsminister, der i det mindste er ærlig i sin ringeagt for retten til privatliv, fordi “med overvågning stiger friheden“, som bekendt.

Justitsministeriet erkender, at der er betydelig risiko for, at også denne lov kendes ugyldig af EU-domstolen. Men den slags kan jo erfaringsmæssigt tage sin tid, og så har vi jo fået masser af Hækkerup’sk frihed i mellemtiden.

Privatliv i metaverset

Hvad skal man mene om metaverse-fænomenet? Vi er nogle, der kan huske hypen omkring virtual reality og Second Life, og hvis ikke det lige var fordi Big Tech brugte så relativt meget energi på det (omend fx Microsoft virker knapt så helhjertede fans som Zuckerberg & Co., der jo ligefrem har ladet moderselskabet skifte navn til Meta), så ville de fleste nok trække på smilebåndet og se tiden an med en vis skepsis.

Men lad os bare for argumentets skyld i denne sammenhæng forudsætte, at metaverset faktisk er den revolution af vores digitale liv, som nogle vil have os til at tro.

For at forstå hvordan metaverset vil påvirke vores privatliv, må man selvsagt forsøge at forstå hvilke (person)data, der genereres, og hvordan de behandles. Hvordan vil databehandling i metaverset adskille sig fra det “almindelige” internet og software som vi kender det?

Det forekommer mig at metaverser vil basere sig på nogle koncepter, der adskiller dem fra almindelige software-anvendelsesscenarier, primært a) avatarer, der simulerer personens fysiske tilstedeværelse i et virtuelt rum og b) øget “immersivitet“, dvs. at gøre oplevelsen mere opslugende og levende – bl.a. gennem at blokere for sanseindtryk (lys, lyd, føleoplevelser) fra andet end metaverset. Dertil kommer, at metaverset (i hvert fald som vi hidtil har set det) forudsætter en vis lukkethed i et afgrænset, kommercielt økosystem af hardware og software, foreløbig uden åbne standarder.

Anvendelse af avatarer er det jo i sig langt fra nyt. Som Microsofts CEO for nyligt bemærkede, er det jo et kernekoncept i de fleste computerspil, og som sådan frembyder det ikke nødvendigvis større nye udfordringer i et privatlivsperspektiv. Det er klart at en avatar med fx udseende, form, farve, stemme, bevægelser potentielt udtrykker langt mere om en personlighed, end et brugernavn – men omvendt kan en avatar faktisk være privatlivsbeskyttende i sig selv, i og med at vi fra spillenes verden er vant til, at avatarens udformning ikke behøver at have noget med personens fremtoning at gøre. Tværtimod kan en virtuel avatar være langt mindre indgribende i privatlivet end et traditionelt profilbillede, fx.

Den immersive eller “opslugende” del af metaverset er til gengæld mere interessant fra et privatlivsperspektiv. For når fx brugerens hovedbevægelser eller andre fysiske udtryk registreres (for fx at orientere sig og navigere i metaverset), er dette langt mere dataintensivt og potentielt indgribende end vi er vant til. Hertil skal lægges, at en af pointerne med at skabe et mere opslugende univers givetvis er, at brugeren kan/skal reagere mere umiddelbart, intuitivt – kropsligt, ligefrem – på indtryk. Hvis man sammenligner med de tilsvarende “biometriske” datakilder i traditionel brug af software (musebevægelser, swipemønste, tasterytme etc.) fremstår de simple, rudimentære og nærmest mekaniske i sammenligning. Det skal blive interessant at se hvordan udbyderne af metaverse-tjenester vil løse opgaven med at oplyse om hvilke data, deres udstyr og tjenester behandler, og håndtere alle de andre datasubjekt-rettigheder som må forventes at vokse tilsvarende i kompleksitet og omfang.

De afgrænsede økosystemer, der indtil videre kendetegner de metaverser, vi har hørt om, frembyder en separat udfordring ift. privacy. Erfaringerne med vores nuværende Big Tech-spillere er vel overordnet, at deres lukkede systemer i praksis gør det svært for brugerne at udøve deres rettigheder. På den anden side har teknologi-giganterne ressourcerne til at lave nogle virkelig smarte og brugervenlige privacy-løsninger, når det passer dem.

Tilbage står om du, i virkelighedens verden, vil købe et VR headset men sige nej til den tilhørende tjenestes privatlivpolitik? Vil du overhovedet nå at bekymre dig om dine data, som du hænger der i det virtuelle rum, sansemæssigt afsondret og under digitalt bombardement af indtryk?

Er data om din avatar overhovedet dine?

Digitaliseringsgys

Med en vis forsinkelse anmelder Markus Bernsen i denne uges Weekendavisen Bøger en antologi redigeret af bl.a. Politikens techredaktør Michael Jarlner, “Fra velfærdsstat til overvågningsstat”:

https://www.weekendavisen.dk/2022-8/boeger/styrelsen-for-digital-fornuft

Det er altid opmuntrende, når vi får flere kritiske stemmer i debatten om brugen af data, og at disse stemmer finder vej til mainstreammedier. Og endnu bedre når vi får bud på nye begreber, “overvågningsstat”, som lægger sig elegant i direkte forlængelse af Shoshana Zuboffs “overvågningskapitalisme” for den private sektor.

Debatten om digitalisering i det offentlige er særlig interessant at følge, fordi den har et ekstra lag af etik ift. overvågningskapitalisme. Udover at borgerne selv finansierer digitaliseringen i det offentlige gennem skattebetaling, er det offentliges ydelser i udgangspunktet ikke underlagt konkurrence, og man har et iboende ansvar for at levere ydelser til alle. Disse forhold invaliderer en række traditionelle argumenter, som private virksomheders kan bruge til at forsvare deres brug af data.

Men i midt i den kritiske linje ift. offentlig digitalisering (som man bl.a. også kan få en ugentlig dosis af på https://mingarage.net/) kunne det være spændende at høre nøgterne, objektive (måske endda forskningsbaserede) observationer, der forholdt sig til både negative og positive effekter, og søgte efter den optimale balance. Som næppe er papirformularer med gennemslag til alting, trods alt.

Bogen blev i øvrigt allerede anmeldt af Peter Svarre på altinget.dk, da den udkom tilbage i november ’21.