Udledte følsomheder

Iflg. Techcrunch og gode kilder på LinkedIn har EU-domstolen talt:

Udledte persondata er persondata, og skal behandles som sådan. Og udledte følsomme persondata skal behandles som følsomme persondata, efter den særligt restriktive Artikel 9 i GDPR.

Afgørelsen beskriver udledte persondata som resultatet af “an intellectual operation involving comparison or deduction”, og nævner som konkret eksempel, at en partners navn kan sige noget om seksualitet:

[…] it is possible to deduce from the name-specific data relating to the […] partner of the declarant certain information concerning the sex life or sexual orientation of the declarant and his or her […] partner.

EU-domstolens afgørelse

Det er jo klar tale. Men implikationerne rækker langt videre end behandling af ægtefælleoplysninger. Andre eksempler på data, der på samme måde kan bruges til at udlede følsomme persondata, kan være en persons valg af særlige produkter (fx flymåltid, beklædningsgenstande, hygiejneprodukter) eller lokationsoplysninger (fx ophold på steder som normalt er forbeholdt personer med bestemt seksualitet, alder, fysisk eller psykisk sygdom, indkomst eller med særlig religiøs betydning).

Og det er i øvrigt værd at bemærke, at ovenstående gælder, uanset om de udledte oplysninger er korrekte. Gætter du på, at en besøgende på dit website person er en mand, er dette strengt taget en personoplysning – uanset om den besøgende skulle vise sig at være kvinde.

Nærmest enhver præference eller konkret adfærd kan, under de rette betingelser, bruges til at udlede andre oplysninger om en person – dette er jo i en vis forstand motoren bag mikrosegmentering, den mekanisme, de globale adtech-virksomheder (herunder Meta og Google) har skabt deres forretningsimperier på.

Nu har vi rettens ord for, at sådanne udledte informationer også er persondata, og skal behandles som sådan. Og mange virksomheder (som minimum naturligvis adtech-branchen, men reelt alle virksomheder og myndigheder med en afdeling, der står for BI/AI/ML/Analytics) vil nok gøre klogt i at dobbeltchecke, om man nu også gør det.

En privacy-tornado på vej!

Det trækker op til uvejr i privacy-debatten.

På den ene side af debatten står Datatilsynet og fastholder, at man altså skal overholde reglerne, lytte til Schrems II og ikke bare kan overføre persondata til amerikanske cloudleverandører (med mindre man på magisk vis kan garantere, at de er sikret, så NSA ikke kan få fat i dem). Man er generelt lidt overrasket over al postyret, for reglerne har jo ikke ændret sig, man er bare begyndt at håndhæve dem.

På den anden side står virksomheder og myndigheder og anklager tilsyn og regler for at være ude af trit med virkeligheden, og beder om konstruktiv hjælp og klare retningslinker, i stedet for forbud og kritik.

På sidelinjen står først og fremmest privacynørderne (som er et term jeg her anvender med stor kærlighed) og hepper og råber, at det var på tide, at nu må vi alle sammen skifte til små europæiske cloudløsninger, og glæder sig over at de amerikanske overvågningskapitalister endelig – endelig! – får tørt på.

Men der er også mere moderate stemmer iblandt tilskuerne (typisk folk, der lever af at anvise pragmatiske løsninger for virksomheder og myndigheder), der efterspørger kompromiser og bløde landinger, fordi alternativet er praktisk uoverskueligt.

Næsten helt stille er tech-giganterne Microsoft, Amazon, Google, etc. – de skal ikke have noget klinket, og håber formentlig på at de kan holde vejret længe nok til, at der findes en bureakratisk løsning, der spreder skyerne og skaber ro.

I en helt andet postnummer står de mennesker, hvis data det hele handler om. De fleste af dem kigger den anden vej, givetvis helt uopmærksomme på debatten, og på i hvilket omfang deres persondata misbruges. Og på hvor voldsomme implikationer det ville få for deres hverdagsliv, hvis alle virksomheder og myndigheder lige pludselig skulle til at overholde reglerne.

Personligt savner jeg en balanceret, informeret politisk debat om emnet, som er båret af andet end kommunalpolitikeres praktiske overvejelser eller landspolitikeres lommefilosofi. Kan vi tillade Big Tech’s skruppelløse overvågning af borgere? Kan vores erhvervsliv og vores økonomi bære, at vi ikke benytter de største og bedste cloudtjenester? Er vi nødt til at justere GDPR, eller skal vi netop holde fast når det begynder at gøre ondt? Hvilke strategiske interesser har Danmark og EU? Hvad tjener borgerne bedst, og hvad er vigtigst?

Er det for meget at håbe på, at det kunne blive et emne i den kommende valgkamp?

Gå hjem, cloud

For nylig afholdt Datatilsynet et par såkaldte gå-hjem-møder vedr. anvendelse af cloud, i forlængelse af den cloud-vejledning, de har udgivet.

En optagelse af et af møderne dateret d. 21. juni 2022 er blevet gjort tilgængeligt af Datatilsynet:

Der er meget materiale at dykke ned i, men lad mig dvæle ved denne passage fra navnkundige Allan Frank (ca. 12:18 – 12:58):

Du er simpelthen nødt til, kontraktuelt, i det samarbejde man har med sin leverandør, at kunne kræve den sikkerhed, som du som dataansvarlig mener er nødvendig for at leve op til det her … og det er lidt besværet på den … og så kan I kalde det en illusion eller hvadsomhelst, men udgangspunktet i det her forhold er jo, at det er den dataansvarlige, der er den hund, der logrer med halen – og det er ikke databehandleren, der logrer med hunden i det her tilfælde. Så illusionen – eller realiteten, nærmere bestemt, i forordningen, og hele omdrejningspunktet, er jo den dataansvarliges ansvarlighed.

Allan Frank, Datatilsynet

Her berører Hr. Frank, på sin egen charmerende måde, denne tids gordiske privacy-knude: Så godt som alle virksomheder og myndigheder benytter i dag persondatabehandlere fra lande udenfor EU/,EØS (fx amerikanske cloudleverandører), og så godt som ingen organisationer har sikkerhed for, at denne behandling er lovlig.

Cloud-produkter (hvad enten der er tale om IaaS, PaaS eller SaaS) udmærker sig ved at være meget standardiserede varer. I langt højere grad end traditionel IT (selv go’ gammeldags COTS software), er cloudprodukter lavet til snævre globale specifikationer, for at kunne konkurrere på et marked, der i meget høj grad er drevet af volumen/economies of scale.

Så når de europæiske datatilsynsmyndigheder siger til virksomheder og myndigheder, at de skam bare skal kræve tilstrækkelig sikkerhed af deres amerikanske cloud-leverandør (som jo altså er blandt verdens suverænt største og mest magtfulde selskaber), så ved alle involverede jo godt, at fx Hvidovre Kommune eller Knud Hansen VVS ApS næppe får særbehandling af Microsoft eller Amazon.

Med til billedet hører, at netop de amerikanske cloudprodukter er så godt som uomgængelige, hvis man vil have det bedste og billigste, og ikke vil nøjes med de europæiske alternativer. For netop denne type tjenester gælder faktisk, at netop fordi de er de største, er de i mange tilfælde de bedste.

Som tidligere anført venter alle nu på TADPF, men …

  • … selv en “Privacy Shield 2” vil “kun” forholde sig til USA, og ikke til de mange andre lande, hvortil overførsler stadig vil være ulovlige i udgangspunktet (og her skal de bemærkes, at de amerikanske cloudtjenester benytter sig af rigtig mange underdatabehandlere, der hverken er hjemmeboende i hverken EU eller i USA).
  • Datatilsynet har indledt tilsyn med brug af cloud hos to offentlige myndigheder, og annonceret at de vil fortsætte hos private virksomheder – helt i modstrid med det, jeg havde forventet.

Hvilket jo efterlader organisationer, der både gerne vil levere den bedste ydelse til den bedste pris for at kunne konkurrere på europæiske og globale markeder, eller bare forvalte skatteyderes penge bedst muligt, og være nogenlunde sikre på ikke at få en bøde eller i det mindste alvorlig kritik, hvis datatilsynsmyndighederne dukker op, uden særlig mange gode muligheder.

Man kan sætte det på spidsen og spørge, om ikke de europæiske lovgivere simpelthen burde forbyde Amazon, Microsoft, Google, SAP, Salesforce, Oracle, IBM og alle de andre at sælge deres cloudtjenester i Europa? Når nu det i praksis ikke kan lade sig gøre at bruge deres tjenester lovligt (i andet end i rent teoretiske tilfælde, hvor man slet ikke behandler persondata)?

Det ville naturligvis have katastrofale følger for det europæiske erhvervsliv og offentlige myndigheder. Men det ville i det mindste være ærligt, virksomheder og myndigheder ville slippe for maskespillet, hvor alle lader som om de følger reglerne selvom ingen faktisk gør det, og de europæiske borgere ville kunne tage stilling til, om det faktisk er en europæisk virkelighed uden amerikansk cloud (og globale underleverandører), de ønsker.

Den digitale gasledning

Resten af verden er som bekendt i fuld gang med at afskære Rusland finansielt og kulturelt, glimrende illustreret i dette opslag:

https://www.linkedin.com/posts/alexandrakrautwald_ikea-og-lego-lukker-deres-drift-apple-pay-activity-6905805941480980480-BgYy

Det skal blive interessant at se hvornår den digitale verden for alvor følger trop og de store amerikanske cloud-leverandører også lukker for russerne:

https://www.geekwire.com/2022/analyst-only-a-matter-of-time-before-u-s-cloud-companies-shut-off-services-in-russia

På lidt længere sigt er det værd at tænke over, at globalisering og ikke mindst “cloudificeringen” af vores allesammens IT-løsninger også binder os tættere sammen rent politisk.

Efter Schrems II har vi på tværs af Europa set, at selvom vi nu ved, at brug af amerikanske cloudtjenester i mange sammenhænge slet ikke er lovligt, har der ikke for alvor været vilje til at rette ind og ændre praksis, hverken politisk eller i erhvervslivet. Jovist, der er punktvise EU-baserede alternativer, men de færreste politikere og erhvervsledere finder det hverken realistisk eller ønskeligt helt at undgå de største (og derfor, i mange sammenhænge, bedste og billigste) leverandører. Så alle har reelt foldet hænderne og ventet på at juristerne finder en eller anden løsning – lige med undtagelse af NOYB, naturligvis.

Hvor mange danske virksomheder og myndigheder kunne i dag tåle at “den digitale gasledning” under Atlanterhavet blev lukket, og datastrømmen fra fx Amazon, Google, Microsoft, IBM, Oracle og Salesforce blev afbrudt?

Dette kan meget vel blive virkelighed for Rusland i allernærmeste fremtid, og man vel ikke udelukke, at det kan ske for Danmark eller Europa engang i fremtiden, fx som konsekvens af en (handels)krig? Er vores vestlige alliancer robuste nok til at vi kan tillade os ikke at være selvforsynende med bæredygtige digitale ydelser?

Privatliv i metaverset

Hvad skal man mene om metaverse-fænomenet? Vi er nogle, der kan huske hypen omkring virtual reality og Second Life, og hvis ikke det lige var fordi Big Tech brugte så relativt meget energi på det (omend fx Microsoft virker knapt så helhjertede fans som Zuckerberg & Co., der jo ligefrem har ladet moderselskabet skifte navn til Meta), så ville de fleste nok trække på smilebåndet og se tiden an med en vis skepsis.

Men lad os bare for argumentets skyld i denne sammenhæng forudsætte, at metaverset faktisk er den revolution af vores digitale liv, som nogle vil have os til at tro.

For at forstå hvordan metaverset vil påvirke vores privatliv, må man selvsagt forsøge at forstå hvilke (person)data, der genereres, og hvordan de behandles. Hvordan vil databehandling i metaverset adskille sig fra det “almindelige” internet og software som vi kender det?

Det forekommer mig at metaverser vil basere sig på nogle koncepter, der adskiller dem fra almindelige software-anvendelsesscenarier, primært a) avatarer, der simulerer personens fysiske tilstedeværelse i et virtuelt rum og b) øget “immersivitet“, dvs. at gøre oplevelsen mere opslugende og levende – bl.a. gennem at blokere for sanseindtryk (lys, lyd, føleoplevelser) fra andet end metaverset. Dertil kommer, at metaverset (i hvert fald som vi hidtil har set det) forudsætter en vis lukkethed i et afgrænset, kommercielt økosystem af hardware og software, foreløbig uden åbne standarder.

Anvendelse af avatarer er det jo i sig langt fra nyt. Som Microsofts CEO for nyligt bemærkede, er det jo et kernekoncept i de fleste computerspil, og som sådan frembyder det ikke nødvendigvis større nye udfordringer i et privatlivsperspektiv. Det er klart at en avatar med fx udseende, form, farve, stemme, bevægelser potentielt udtrykker langt mere om en personlighed, end et brugernavn – men omvendt kan en avatar faktisk være privatlivsbeskyttende i sig selv, i og med at vi fra spillenes verden er vant til, at avatarens udformning ikke behøver at have noget med personens fremtoning at gøre. Tværtimod kan en virtuel avatar være langt mindre indgribende i privatlivet end et traditionelt profilbillede, fx.

Den immersive eller “opslugende” del af metaverset er til gengæld mere interessant fra et privatlivsperspektiv. For når fx brugerens hovedbevægelser eller andre fysiske udtryk registreres (for fx at orientere sig og navigere i metaverset), er dette langt mere dataintensivt og potentielt indgribende end vi er vant til. Hertil skal lægges, at en af pointerne med at skabe et mere opslugende univers givetvis er, at brugeren kan/skal reagere mere umiddelbart, intuitivt – kropsligt, ligefrem – på indtryk. Hvis man sammenligner med de tilsvarende “biometriske” datakilder i traditionel brug af software (musebevægelser, swipemønste, tasterytme etc.) fremstår de simple, rudimentære og nærmest mekaniske i sammenligning. Det skal blive interessant at se hvordan udbyderne af metaverse-tjenester vil løse opgaven med at oplyse om hvilke data, deres udstyr og tjenester behandler, og håndtere alle de andre datasubjekt-rettigheder som må forventes at vokse tilsvarende i kompleksitet og omfang.

De afgrænsede økosystemer, der indtil videre kendetegner de metaverser, vi har hørt om, frembyder en separat udfordring ift. privacy. Erfaringerne med vores nuværende Big Tech-spillere er vel overordnet, at deres lukkede systemer i praksis gør det svært for brugerne at udøve deres rettigheder. På den anden side har teknologi-giganterne ressourcerne til at lave nogle virkelig smarte og brugervenlige privacy-løsninger, når det passer dem.

Tilbage står om du, i virkelighedens verden, vil købe et VR headset men sige nej til den tilhørende tjenestes privatlivpolitik? Vil du overhovedet nå at bekymre dig om dine data, som du hænger der i det virtuelle rum, sansemæssigt afsondret og under digitalt bombardement af indtryk?

Er data om din avatar overhovedet dine?

Er de gale i Luxembourg?

Nedenstående artikel af Carey Lening giver et virkelig interessant perspektiv på Schrems II-dommen og ikke mindst de seneste afgørelser vedr. brug af Google Analytics og Fonts i fx Frankrig, Østrig og Tyskland.

https://www.grcworldforums.com/legal-and-regulation/regulators-are-playing-a-dangerous-game-on-the-internet/4040.article

Artiklens grundpræmis er at EU-domstolen (og de nationale datatilsyn) er fundamentalistiske (‘privacy-absolutist’) i deres tilgang, når man i de fremhævede eksempler ikke anlægger en risikobaseret tilgang i sin vurdering af, hvorvidt en IP-adresse er persondata. Og at denne fundamentalisme risikerer at undergrave fragmentere internettet som vi kender det, mens man i praksis ikke lever op til sit erklærede formål om at beskytte menneskers ret til privatliv.

Selve argumentet om, at domstole og tilsyn burde anlægge en risikobaseret tilgang til spørgsmålet om hvorvidt noget er persondata, forekommer at være lidt vinkelret på GDPR. Forordningen instruerer godt nok de dataansvarlige om at agere risikobaseret, men det er så vidt jeg kan se ift. at vurdere risikoen for de registrerede og vurderingen af foranstaltninger. Ikke ift. selve definitionen af persondata.

Men selv hvis man går ind på præmissen, at det er rimeligt at anlægge et risikobaseret perspektiv på hvorvidt noget er persondata, så har jeg altså svært ved at se, hvordan en IP-adresse sendt til Google kan betragtes som anonym og ikke-personhenførbar.

De fleste almindelige internetbrugere skifter sjældent deres eksterne IP-adresse (måske hver 14. dag eller deromkring?), så hvis et dansk website, som jeg besøger, sender min IP-adresse til Google (fordi de har implementeret Google Analytics, men selvom jeg har frabedt mig cookies og anden tracking) vil det da ikke undre, at Google i praksis udleder, at jeg er den samme, der tidligere på dagen har anvendt en af deres andre tjenester eller besøgt et andet site – hvor cookies måske ikke blev slået fra.

Når det er sagt, så er artiklens bekymring over hvor denne tilsynspraksis fører os hen, dvs. hvordan europæiske virksomheder i praksis skal fungere på et gennem-amerikaniseret internet uden at bryde reglerne, reel nok. I min ydmyge optik ligger løsningen dog hverken hos de nationale tilsyn eller EU-domstolen i Luxembourg, men hos lovgiverne i Bruxelles – og/eller hos de private virksomheder, herunder de amerikanske internetgiganter, med hvem vi naturligvis deler en enorm interesse i at finde kreative løsninger af problemet.

Helst i en fart.

Kigger vi væk?

En af fyrtårnene i den danske privacy-debat, Anders Kjærulff, har igen været til tasterne/mikrofonen, og undrer sig over at der, samlet set, ikke er mere larm om den totale, digitale overvågning vi er underlagt:

https://mingarage.net/2022/02/11/at-vaere-eller-ikke-vaere-amerikaner/

Overvågningsregimet er dokumenteret fx af afsløringen af NSA’s PRISM-projekt, internetkabel-adgangsaftalen mellem USA og Danmark – og underbygges af de mange lignende historier, der i en lind strøm kommer til overfladen.

Mon ikke Anders har en pointe i, at vi er mange, der kigger væk, fordi vi slet ikke kan rumme, hvor slemt det er?