Laveste fællesnævner

Af dagens nyheder fremgår, at forældre ikke længere kan sige nej til at der tages billeder af deres skolesøgende børn. Overskriften henviser til, at forældrenes mulighed for at give samtykke til netop dette, er blevet fjernet fra Aula.

KOMBIT, der udvikler og driver Aula, begrunder ændringen med en vejledning fra Datatilsynet ved navn Tjekliste til vuggestuer og børnehaver ved brug af billeder og video, og anfører i deres begrundelse, at brugen af billeder i skoler, efter deres opfattelse, er at sidestille med brugen i dagtilbud.

Derfor anses det også for en nødvendig del af kommunens myndighedsudøvelse, at daginstitutionen tager billeder af børnene og evt. medarbejderne for bagefter at dele dem internt med forældrene for at orientere om børnenes dagligdag.

Datatilsynet har ikke lavet nogen specifik vejledning for brug af billeder i skoler, men det er KOMBIT og KLs vurdering, at brugen af billeder i skoler er at sidestille med brugen i dagtilbud

Uddrag af KOMBIT begrundelse for at fjerne forældresamtykket

Denne sidste pointe kan der vel godt stilles spørgsmålstegn ved. Alle, der har haft børn i vuggestue og børnehave, ved, at billeder fra hverdagen i institutionen kan være nyttige, når man som forælder gerne vil “orientere sig om børnenes dagligdag”, som der står i KOMBITs begrundelse. Dette er særligt relevant fordi børn i vuggestue og børnehavealderen sjældent er kognitivt eller sprogligt i stand til at gøre detaljeret rede for, hvad dagen i institutionen er gået med. Her kan billeder fra en tur i parken eller af regnvejr på legepladsen tjene et indlysende vigtigt formål.

Dette gælder selvsagt ikke i samme omfang for skolesøgende børn, der i højere grad er i stand til selv at dele deres oplevelser med forældrene. Det er noget sværere at argumentere for, at “orientering af forældrene” er et sagligt formål, hvis man tager billeder af en ekskursion i 8. klasse.

Det kan undre, at Datatilsynets ikke forholder sig til denne forskel, og at deres kontorchef blot til DR’s artikel lakonisk konstaterer, at “Forældrene må altså forvente, at der bliver taget billeder, når deres børn er i børnehave eller skole”.

Hertil kommer, at KOMBITs reaktion er et skoleeksempel (tøhø) på gammeldags compliance-tænkning: Vi gør kun det, reglerne tvinger os til at gøre. Når reglerne ikke klart siger, at der skal gives samtykke, så fjerner vi samtykke-muligheden.

Reaktionen fra forælderen i DRs artikel indrammer det fint:

Jeg kan ikke forstå, hvorfor rettighederne til at bestemme, hvem der skal tage billeder af mit barn, skal ligge hos en skole eller institution frem for hos forældrene.

Det var tidligere sådan, at det var mig som forælder, der kunne bestemme, om billedet skulle være der eller ej. Sådan er det ikke længere

Forælder, iflg. DR’s artikel.

Hvori består mon KOMBITs dataetiske overvejelser ved at fjerne muligheden for samtykke?

Dagens ret: Designbøffer

I anledning af, at Datatilsynet har givet LB Forsikring alvorlig kritik for ikke at overholde princippet, skal dette indlæg handle om GDPRs definition af “Privacy by Design”:

Under hensyntagen til det aktuelle tekniske niveau, implementeringsomkostningerne og den pågældende behandlings karakter, omfang, sammenhæng og formål samt risiciene af varierende sandsynlighed og alvor for fysiske personers rettigheder og frihedsrettigheder, som behandlingen indebærer, gennemfører den dataansvarlige både på tidspunktet for fastlæggelse af midlerne til behandling og på tidspunktet for selve behandlingen passende tekniske og organisatoriske foranstaltninger, såsom pseudonymisering, som er designet med henblik på effektiv implementering af databeskyttelsesprincipper, såsom dataminimering, og med henblik på integrering af de fornødne garantier i behandlingen for at opfylde kravene i denne forordning og beskytte de registreredes rettigheder.

GDPR Artikel 25, stk. 1

Udover at selve sproget i denne artikel vitterlig er ret besynderligt, selv for GDPR – ikke mindst den mærkelige opremsning med to gange “såsom” – er det værd at bemærke, at artiklens helt centrale, operationelle vendinger, “aktuelle tekniske niveau” og “passende foranstaltninger”, er mildt sagt abstrakte.

Hvad er aktuelt? Hvad er passende? Hvem bestemmer det?

Hertil kommer det mere filosofiske spørgsmål: Hvorfor skal lovgiverne overhovedet blande sig i processen hvormed en løsning designes, og hvilke tanker folk gør sig “på tidspunktet for fastlæggelse af midlerne til behandling” – hvis bare den endelig løsning overholder reglerne?

I sin essens siger artiklen reelt, at man skal overholde alle de forudgående og efterfølgende regler, når man bygger IT-løsninger – hvilket gør det svært at se artiklen som andet end et udtryk for, at lovgiverne grundlæggende mangler tillid til de IT-folk, de godt ved i sidste ende skal implementere lovgivningen i noget kode.

I 90’erne, længe før GDPR, udformede den canadiske Ann Cavoukian sine berømte 7 principper for Privacy by Design. Som principper betragtet er de ærlig talt ikke særlig stringente, men de giver dog væsentligt mere kød på betegnelsen end GDPRs halvhjertede forsøg.

Og så til afgørelsen vedr. LB Forsikring:

Ved udvikling af en portalløsning som LB Forsikring A/S’ arkiveringssystem, hvor der skal gives adgang til opbevarede dokumenter med personoplysninger i, er det ikke i overensstemmelse med det aktuelle tekniske niveau, hvis et maildomæne alene tillægges vægt i henhold til, hvilke dokumenter der gives adgang til. Herudover vil det være en del af det aktuelle tekniske niveau, at den dataansvarlige indbygger opfølgende kontroller, der sikrer, at en sådan automatisk proces alene giver den korrekte adgang.

Datatilsynets afgørelse vedr. LB Forsikring

Her giver Datatilsynet os jo syn for sagn: Brug af maildomæne som adgangskontrol er ikke ok ift. det aktuelle tekniske niveau.

Men så melder spørgsmålet sig jo: Har det nogensinde været ok? Var der et tidspunkt i historien, hvor det ville have været en god løsning og i overensstemmelse med det aktuelle tekniske niveau at bygge et IT-system, der brugte maildomæne som adgangskontrol? Næppe.

Det er simpelthen bare en designbøf. Det svarer til at bygge et system, der registrerer kundens CPR-nummer, selvom man i processen kun har brug for fødselsdatoen. Eller at et systems datamodel designes sådan, at der ikke kan bo to forskellige personer med samme navn på samme adresse. Det er “bare” klodset design. Og det sker hele tiden for alle mulige aspekter af IT-systemer. Forskellen er bare, at når det gælder privacy, så har vi med GDPR en lov, der eksplicit (omend lidt kluntet) beordrer os til at tænke os om, når vi bygger IT-systemer.

Det er vist bare det, “aktuelle tekniske niveau” og “passende foranstaltninger” betyder. Og den konkrete sag viser måske meget godt, hvorfor lovgiverne manglede tillid til IT-folk, da de i sin tid tilføjede artikel 25 😉.

Tak, i øvrigt, til https://mahler.io/ for idéen til at skrive om afgørelsen.

Gå hjem, cloud

For nylig afholdt Datatilsynet et par såkaldte gå-hjem-møder vedr. anvendelse af cloud, i forlængelse af den cloud-vejledning, de har udgivet.

En optagelse af et af møderne dateret d. 21. juni 2022 er blevet gjort tilgængeligt af Datatilsynet:

Der er meget materiale at dykke ned i, men lad mig dvæle ved denne passage fra navnkundige Allan Frank (ca. 12:18 – 12:58):

Du er simpelthen nødt til, kontraktuelt, i det samarbejde man har med sin leverandør, at kunne kræve den sikkerhed, som du som dataansvarlig mener er nødvendig for at leve op til det her … og det er lidt besværet på den … og så kan I kalde det en illusion eller hvadsomhelst, men udgangspunktet i det her forhold er jo, at det er den dataansvarlige, der er den hund, der logrer med halen – og det er ikke databehandleren, der logrer med hunden i det her tilfælde. Så illusionen – eller realiteten, nærmere bestemt, i forordningen, og hele omdrejningspunktet, er jo den dataansvarliges ansvarlighed.

Allan Frank, Datatilsynet

Her berører Hr. Frank, på sin egen charmerende måde, denne tids gordiske privacy-knude: Så godt som alle virksomheder og myndigheder benytter i dag persondatabehandlere fra lande udenfor EU/,EØS (fx amerikanske cloudleverandører), og så godt som ingen organisationer har sikkerhed for, at denne behandling er lovlig.

Cloud-produkter (hvad enten der er tale om IaaS, PaaS eller SaaS) udmærker sig ved at være meget standardiserede varer. I langt højere grad end traditionel IT (selv go’ gammeldags COTS software), er cloudprodukter lavet til snævre globale specifikationer, for at kunne konkurrere på et marked, der i meget høj grad er drevet af volumen/economies of scale.

Så når de europæiske datatilsynsmyndigheder siger til virksomheder og myndigheder, at de skam bare skal kræve tilstrækkelig sikkerhed af deres amerikanske cloud-leverandør (som jo altså er blandt verdens suverænt største og mest magtfulde selskaber), så ved alle involverede jo godt, at fx Hvidovre Kommune eller Knud Hansen VVS ApS næppe får særbehandling af Microsoft eller Amazon.

Med til billedet hører, at netop de amerikanske cloudprodukter er så godt som uomgængelige, hvis man vil have det bedste og billigste, og ikke vil nøjes med de europæiske alternativer. For netop denne type tjenester gælder faktisk, at netop fordi de er de største, er de i mange tilfælde de bedste.

Som tidligere anført venter alle nu på TADPF, men …

  • … selv en “Privacy Shield 2” vil “kun” forholde sig til USA, og ikke til de mange andre lande, hvortil overførsler stadig vil være ulovlige i udgangspunktet (og her skal de bemærkes, at de amerikanske cloudtjenester benytter sig af rigtig mange underdatabehandlere, der hverken er hjemmeboende i hverken EU eller i USA).
  • Datatilsynet har indledt tilsyn med brug af cloud hos to offentlige myndigheder, og annonceret at de vil fortsætte hos private virksomheder – helt i modstrid med det, jeg havde forventet.

Hvilket jo efterlader organisationer, der både gerne vil levere den bedste ydelse til den bedste pris for at kunne konkurrere på europæiske og globale markeder, eller bare forvalte skatteyderes penge bedst muligt, og være nogenlunde sikre på ikke at få en bøde eller i det mindste alvorlig kritik, hvis datatilsynsmyndighederne dukker op, uden særlig mange gode muligheder.

Man kan sætte det på spidsen og spørge, om ikke de europæiske lovgivere simpelthen burde forbyde Amazon, Microsoft, Google, SAP, Salesforce, Oracle, IBM og alle de andre at sælge deres cloudtjenester i Europa? Når nu det i praksis ikke kan lade sig gøre at bruge deres tjenester lovligt (i andet end i rent teoretiske tilfælde, hvor man slet ikke behandler persondata)?

Det ville naturligvis have katastrofale følger for det europæiske erhvervsliv og offentlige myndigheder. Men det ville i det mindste være ærligt, virksomheder og myndigheder ville slippe for maskespillet, hvor alle lader som om de følger reglerne selvom ingen faktisk gør det, og de europæiske borgere ville kunne tage stilling til, om det faktisk er en europæisk virkelighed uden amerikansk cloud (og globale underleverandører), de ønsker.

Med næsen i sky

Datatilsynet har i denne uge udgivet en detaljeret vejledning om cloud:

https://www.datatilsynet.dk/Media/637824109172292652/Vejledning%20om%20cloud.pdf

… og den er jo ikke mindst interessant i lyset af at Københavns Kommune jo netop har smidt cloud-håndklædet i ringen. Men giver den nye vejledning håb til masserne, der ligesom kommunen leder efter en smutvej uden om Schrems? En nem måde at bare bruge amerikansk cloud, ligesom i (ahem) gamle dage?

Nej, desværre.

Grundlæggende er vejledningen en mere udførlig gengivelse af den 6-trins-model, som EDPB og de nationale tilsyn udsendte allerede sidste år:

Og én væsentlig udfordring, man løber ind i med at forsøge at følge 6-trinsmodellen (og derfor også med Datatilsynets vejledning), indtræffer i modellens step 1, det som vejledningen også omtaler som: Kend dine dataoverførsler. Det lyder simpelt, men når man først indser at man som dataansvarlig skal stå på mål for alle sine databehandlere, og alle deres databehandlere (underdatabehandlere), og alle deres databehandlere (underunderdatabehandlere) og … ja, altså hele kæden af databehandlere, uanset i hvor mange led, og at ansvaret altså ikke aftager med antallet af led, ja, så mister de fleste pusten inden de næsten er kommet i gang.

Udsnit af side 13 af vejledningen

Jeg sad for nylig i møde med en amerikansk ejet, global softwarevirksomhed med tusindvis af ansatte, og som i øvrigt sælger løsninger baseret på public cloud, og jeg spurgte deres sikkerhedschef, om de havde et overblik over hvilke underleverandører, herunder underdatabehandlere, de havde.

Svaret: “Vi bruger ikke underleverandører”!

Den manglende forståelse siger noget om hvor langt vi er fra en situation, hvor det man som europæisk dataansvarlig mangler, er en mere pædagogisk og detaljeret vejledning. Men tak til Datatilsynet for at gøre sig umage med at forklare og eksemplificere reglerne, så alle nu kan se, hvordan virkeligheden burde se ud.

Imens jeg har skrevet på dette indlæg kan jeg se, at altid skarpe Henning Mortensen fra RfDS har forholdt sig til vejledningen: “Problemstillingerne har ikke ændret sig med den her vejledning”.