(Min) tryghed over (din) frihed

Den nu tidligere justitsminister Nick Hækkerup gjorde sig berygtet i privacy-kredse ved fra folketingets talerstol, i samråd og på skrift at tale for, at øget overvågning giver mere tryghed, som igen giver mere frihed.

Jeg blev mindet om Hækkerups udtalelser, da jeg læste en kommentar i Weekendavisen, som berører masseovervågningen, der finder sted i de besatte områder i Palæstina:

Udsnit af artikel fra Weekendavisen

Israelernes omfattende overvågningsprogram på Vestbredden, bl.a. baseret på ansigtsgenkendelse, blev afdækket i en artikel i Washington Post sidste efterår, der efterfølgende blev omtalt verden over.

Det slående ved Nick Hækkerups argumentation er jo perspektivet: Vi (de retskafne borgere) opnår mere tryghed og frihed gennem overvågning af andre (potentielt kriminelle). På samme måde vil israelerne på Vestbredden givetvis hævde, at de opnår tryghed og frihed ved at berøve andre, de overvågede palæstinensere, deres frihedsrettigheder.

Forestillingen om os som de gode og de andre som de onde, og udnyttelsen af denne modstilling til at retfærdiggøre overgreb på dem, vi identificerer som de andre, er vel en af de mest basale propagandateknikker, man kan forestille sig.

Udfordringen i privacy-debatten er, at os og dem jo i realiteten aldrig er to adskilte grupper. Tiltag, der udvikles og indledningsvist rettes mod de andre, vil uvægerligt blive rettet mod os selv før eller siden; dette indtræffer enten fordi der sker en glidning i normerne, fordi myndighederne ikke ønsker at give slip på beføjelser, men oftest simpelthen pga. masseovervågningsteknologiens natur – når man overvåger alle, inkluderer det jo selvsagt også alle de uskyldige. Os selv, om man så må sige.

Hvilket bringer os tilbage til Israel og Vestbredden – og Kina, for den sags skyld. For hvad sker der med samfund, hvor masseovervågning bliver hverdag og en integreret del af ordenshåndhævelsen?

Beretninger fra dagens Kina tyder på, at George Orwell havde fat i noget, da han i 1984 (udgivet i 1949) beskrev overvågningsteknologiens destruktive potentiale, som ultimativt forløses gennem borgernes internalisering af overvågningsregimet.

“It doesn’t even matter whether it’s true or not, as long as people believe it,” he says. “What the Communist Party is doing with all this high-tech surveillance technology now is they’re trying to internalize control. … Once you believe it’s true, it’s like you don’t even need the policemen at the corner anymore, because you’re becoming your own policeman.

Kai Strittmatter, tysk journalist og forfatter til “We Have Been Harmonized: Life In China’s Surveillance State”

Man behøver ikke at være kineser eller israeler for (i mikroskala, men alligevel) at opleve, hvordan internaliseret overvågning virker i hverdagen:

  • Du letter foden fra gaspedalen i bilen, fordi du ser et skilt, der advarer om videoovervågning på motorvejen.
  • Du overvejer en ekstra gang hvilket tøj, du tager på til fodboldkamp eller koncert, fordi du ved, at der er en mulighed for, at du bliver vist på storskærm eller tv.
  • Du undgår at afspille et musiknummer eller en video på en streamingtjeneste (fx en børnesang eller en valgvideo med en politiker, du ikke støtter), fordi du ved, at det vil påvirke tjenestens algoritmiske anbefalinger, så du bliver præsenteret for indhold, du ikke ønsker.
  • Du skynder dig at scrolle forbi en reklame i dit SoMe-feed, fordi du ved at app’en registrerer, hvor længe du dvæler ved hver artikel.

Disse eksempler virker måske uskyldige, men tag ikke fejl, mekanismen bag er den samme som den, der allerede nu dominerer millioner af menneskers liv andre steder på kloden: Vi ændrer adfærd fordi vi bliver overvåget.

Med overvågning falder friheden. Først for de andre og dernæst for os selv.

En privacy-tornado på vej!

Det trækker op til uvejr i privacy-debatten.

På den ene side af debatten står Datatilsynet og fastholder, at man altså skal overholde reglerne, lytte til Schrems II og ikke bare kan overføre persondata til amerikanske cloudleverandører (med mindre man på magisk vis kan garantere, at de er sikret, så NSA ikke kan få fat i dem). Man er generelt lidt overrasket over al postyret, for reglerne har jo ikke ændret sig, man er bare begyndt at håndhæve dem.

På den anden side står virksomheder og myndigheder og anklager tilsyn og regler for at være ude af trit med virkeligheden, og beder om konstruktiv hjælp og klare retningslinker, i stedet for forbud og kritik.

På sidelinjen står først og fremmest privacynørderne (som er et term jeg her anvender med stor kærlighed) og hepper og råber, at det var på tide, at nu må vi alle sammen skifte til små europæiske cloudløsninger, og glæder sig over at de amerikanske overvågningskapitalister endelig – endelig! – får tørt på.

Men der er også mere moderate stemmer iblandt tilskuerne (typisk folk, der lever af at anvise pragmatiske løsninger for virksomheder og myndigheder), der efterspørger kompromiser og bløde landinger, fordi alternativet er praktisk uoverskueligt.

Næsten helt stille er tech-giganterne Microsoft, Amazon, Google, etc. – de skal ikke have noget klinket, og håber formentlig på at de kan holde vejret længe nok til, at der findes en bureakratisk løsning, der spreder skyerne og skaber ro.

I en helt andet postnummer står de mennesker, hvis data det hele handler om. De fleste af dem kigger den anden vej, givetvis helt uopmærksomme på debatten, og på i hvilket omfang deres persondata misbruges. Og på hvor voldsomme implikationer det ville få for deres hverdagsliv, hvis alle virksomheder og myndigheder lige pludselig skulle til at overholde reglerne.

Personligt savner jeg en balanceret, informeret politisk debat om emnet, som er båret af andet end kommunalpolitikeres praktiske overvejelser eller landspolitikeres lommefilosofi. Kan vi tillade Big Tech’s skruppelløse overvågning af borgere? Kan vores erhvervsliv og vores økonomi bære, at vi ikke benytter de største og bedste cloudtjenester? Er vi nødt til at justere GDPR, eller skal vi netop holde fast når det begynder at gøre ondt? Hvilke strategiske interesser har Danmark og EU? Hvad tjener borgerne bedst, og hvad er vigtigst?

Er det for meget at håbe på, at det kunne blive et emne i den kommende valgkamp?

Kan man måle dataetik?

I forlængelse af indlægget om målepunkter for privacy, er det et oplagt spørgsmål, hvordan man som organisation udstrækker sin forståelse af hvor godt man klarer sig, og hvordan man kan forbedre sig, til også at omfatte dataetik.

Siden 2021 har loven tilsagt, at alle større danske virksomheder skal redegøre for deres dataetiske politik. Loven giver udstrakt grad af frihed ift. udformningen af de konkrete politikker, og der stilles ingen krav om at der måles på om eller hvordan de bruges, eller på anden måde følges op på implementeringen.

Reelt er loven således bare et krav om at virksomheder skal kunne fremvise et dokument, der på en eller anden måde siger noget om dataetik. Og det vil være rimeligt at antage, at mange virksomheder har løst opgaven på nemmest mulige måde: De har lavet en politik, lagt den hjemmesiden og glemt alt om den.

Men hvis man nu er en virksomhed, der gerne vil arbejde seriøst med dataetik, er dette naturligvis utilfredsstillende.

I denne korte, men indsigtsfulde artikel beskriver Chris Wiggins hvordan man kan måle direkte på sin dataetiske indsats, men nok så vigtigt hvordan organisationer løbende bør justere deres øvrige (fx kommercielle, tekniske) målepunkter til at være i overensstemmelse med deres dataetiske principper.

Part of this monitoring will not be quantitative. Particularly since we can not know in advance every phenomenon users will experience, we can not know in advance what metrics will quantify these phenomena. To that end, data scientists and machine learning engineers must partner with or learn the skills of user experience research, giving users a voice. This can mean qualitative surveys, interviews, or other means of gathering data from users

Chris Wiggins

Så i forsøget på at forstå om vi handler dataetisk, må vi altså først og fremmest indstille os på, at vi bliver nødt til at spørge folk (dvs. medarbejdere, kunder og partnere) om deres subjektive holdning. Der er mange måder at måle på folks oplevelse af tillid til en organisation, så her er det vigtigt at man vælger sin metodik og målgrupper med omhu.

Dertil kommer muligheden for at måle på de kvantitative, transaktionelle data, en organisation producerer, når den dataetiske politik faktisk anvendes: Hvornår er den dataetiske politik sidst opdateret? Har man en dataetisk komité eller lignende? Hvor mange gange har en sådan komité mødtes? Hvor mange sager har den behandlet? Eller, hvis der ikke er en decideret komité: Hvor ofte har virksomheden truffet beslutninger på grundlag af den dataetiske politik?

Hvis man ikke har eller kan skaffe nogle transaktionelle data af ovenstående type, er det måske værd at overveje, om man bør justere sine dataetiske principper.

Your KPIs can’t conflict with your principles if you don’t have principles

Chris Wiggins

Og slutteligt kan man måle på hvor ofte man justerer øvrige målepunkter og KPI’er med henvisning til dataetiske principper. Målingen af dette kræver at man har succes med at engagere hele organisationen i arbejdet med dataetik, hvilket kan være en udfordring i sig selv, med mindre organisationen har meget høj modenhed i implementeringen af privacy og dataetik.

Det sandfærdige svar på overskriftens spørgsmål er jo nok, at det kan man ikke, entydigt. Men større organisationer kan – og bør – måle på i hvilken udstrækning de arbejder dataetisk, og om der er tillid det arbejde blandt medarbejdere, kunder og samarbejdspartnere.

En sikker destination?

I denne uges Weekendavisen er der en spændende artikel om de retssager, der er anlagt mod den britiske regering, i anledning af dens planer om at sende asylansøgere til Rwanda.

Luke og InstaLaw agter også at få afklaret, om aftalen med Rwanda vil være et brud på de britiske databeskyttelseslove.

»Vi har meget strenge regler for databeskyttelse; for hvordan data bruges, gemmes og sikres på vegne af individer. Det er regler, som Rwanda ikke ønsker at tilslutte sig, så vi mener, at det vil være ulovligt at dele informationer med de rwandiske myndigheder om individer, som risikerer at blive sendt til landet,« forklarer Stuart Luke om et andet element i sagsanlægget.

Weekendavisen, 24.05.22

Som bekendt har den danske regering arbejdet på en lignende aftale om at sende asylansøgere til Rwanda. Og skulle det lykkes, som det er sket for briterne, er det rimeligt at antage, at Danmark i givet fald ville skulle overføre oplysninger om asylansøgerne til myndighederne i Rwanda.

Men kan Danmark lovligt udveksle asylansøgernes persondata med myndighederne i et usikkert tredjeland? Hvordan sikrer man tilstrækkelig beskyttelse af disse personers data i et land, der menes at lave udbredt overvågning af egne borgere?

In July, the Pegasus Project revealed that the phone of Paul Rusesabagina’s daughter, Carine Kanimba, was infected with the NSO Group’s Pegasus spyware. Rwanda is believed to be an NSO Group client. More than 3,500 phone numbers, including those of activists, journalists, political opponents, foreign politicians and diplomats of interest to Rwanda, had been selected as potential targets for the spyware.

Amnesty International, Rwanda 2021 Report

Uanset hvad man i øvrigt mener om planerne om at sende asylansøgere til Rwanda, gør den danske regering klogt i at huske, at de europæiske regler om overførsel af persondata til usikre tredjelande også gælder for dem.

KL (Kun Lettelse): TADPF er på vej!

Som nævnt er alene annonceringen af en kommende, ny aftale om EU/USA-dataoverførsler nok til, at de fleste virksomheder, organisationer og myndigheder i praksis ånder lettet op, som eksemplificeret i Version 2’s artikel:

https://www.version2.dk/artikel/kl-jubler-over-ny-data-aftale-det-er-en-kaempe-kaempe-lettelse

Champagnepropperne er faktisk allerede sprunget, forstår man:

“Interesseorganisationen har sammen med landets 98 kommuner været i venteposition i snart to år, og derfor mener hun, det var helt naturligt, at man fejrede udmeldingen i fredags”

Er der da ingen skepsis eller frygt for, at lovgiverne igen laver en ordning, der viser sig at være ulovlig? Nej:

KL: “Vi har da helt klart en forventning om, at man finder en vej ind i det her juridisk. For ellers går man vel ikke ud fra EU-Kommissionens side og siger, at nu har man fundet et overførselsgrundlag. […]”

V2: “Men de har jo gjort det en gang før.

KL: “Ja. Men fra KL’s side vælger vi at stole på Kommissionen.”

I praksis må man antage at den politiske hensigtserklæring om en ny overførselsaftale langt, langt de fleste steder – ligesom i KL – allerede har medført, at akutte tiltag for at leve op til Schrems II-dommen er blevet sat på pause, hvis de da ikke var det i forvejen. Og her skal ordet pause forstås som var det et teenage-kæresteforhold: Man ved, det reelt er forbi, men har brug for at sige det på en pæn måde.

For hvorfor bakse med at finde på rene EU-alternativer til amerikansk cloud, når vi nu ved, at der kommer en ordning? Hvorfor lave megabesværlige afdækninger af hele kæden af underdatabehandlernes underdatabehandlere, hvis det ikke er pinedød nødvendigt?

Tænkningen er naturligvis, at det er usandsynligt at en tilsynsmyndighed, i denne situation hvor politikerne over en så bred kam så utvetydigt har tilkendegivet, at de ønsker at få problemstillingen til at gå væk, vil begynde at slå helt almindelige danske organisationer i hovedet med deres helt almindelige brug af amerikanske cloudtjenester.

Tilbage er blot at håbe, at TADPF-aftalen holder hvad den lover, altså at “normalisere” brugen af amerikanske IT-ydelser, og bringe os alle sammen tilbage til tiden før Max Schrems stak en kæp i dataoverførselshjulet, ikke én, men to gange.

I modsat fald kommer KL og alle vi andre til at ærgre os over, at vi ikke fortsatte det møjsommelige arbejde med at finde rene EU-alternativer, afdække underunderunderdatabehandlere og undersøge de juridiske forhold ift. persondatabeskyttelse i Filippinerne.

Lys for enden af Schrems-tunnelen?

I går, d. 25. marts 2022, skrev alle om det: Der er en ny Privacy Shield/Safe Harbor-ordning mellem EU og USA på vej.

Henning skrev om det, Hopp skrev om det, Pia T skrev om det, Tranberg skrev om det, ja selv Max Schrems selv skrev om det. Og alle er enige: Biden har været i Bruxelles og har sagt nogle håbefulde ord om privacy-sagen sammen med von der Leyen, fordi der er mange penge på spil. Men der er intet konkret endnu. Intet andet end gode intentioner og en forsikring om, at man nok skal finde en aftale:

Så altså: Reglerne er de samme. Det vil tage lang tid at få lavet et nyt overførselsgrundlag. Og selv da fornemmer man flere eksperters forudanelse om, at dette bare bliver et nyt Privacy Shield, som kort efter vedtagelsen bliver underkendt af EU-domstolen. For er der virkelig vilje til at mindske masseovervågningen i USA? Eller give europæerne ægte mulighed for at hævde deres rettigheder ved amerikanske domstole, sådan som det antydes i den principerklæring, der er offentliggjort:


Men tag ikke fejl: Dette er en kæmpe nyhed i virkelighedens verden. Det flertal af europæiske virksomheder og myndigheder, der indtil nu groft sagt har lurepasset efter Schrems II og ventet på, at der ville komme en politisk/juridisk løsning, vil ånde lettet op: Der kommer faktisk en god løsning i morgen. Og med god menes her en løsning, som tillader virksomhederne at gøre som hidtil.

Motivationen for at følge de lange og kringlede vejledninger vil i praksis dale yderligere, når man ved at der er en ny ordning på vej. Hvis man er kynisk anlagt, var i går derfor en lidt trist dag for beskyttelsen af persondata. Færre virksomheder vil på den korte bane gøre sig så umage med at afdække alle detaljer om deres netværk af underdatabehandlere, som reglerne faktisk siger. Flere vil vedblive med at bruge amerikanske cloud- og SaaS-løsninger som om intet var hændt. USA vil nok ikke ændre deres lovgivning. Og på den lange bane vil EU-domstolen derfor nok underkende reglerne. Da vil der være gået årevis, hvor alle igen har kunnet overføre persondata til USA uden frygt for tilsyn og bøder, og hvem ved, måske politikerne så bare går i gang med at lave en Safe Harbor-ordning nr. 4 og starter hele forestillingen forfra, én gang til?

For de mere positivt indstillede privacy-forkæmpere var i går en god dag. Den amerikanske præsident stod i Bruxelles midt i den største krise i nyere europæisk historie og talte om privacy. Tænk engang. Og måske dette faktisk vil føre til lovændringer i USA, som mindsker masseovervågningen og sikrer vores data bedre. Og måske vil dette i sidste ende tillade vores europæiske virksomheder og myndigheder at skabe vækst og produktivitet ved bruge de bedste cloud- og softwareprodukter uden at kigge sig over skulderen hele tiden.

Så der er lys for enden af tunnelen. Men er det faktisk udgangen, eller er det en måske bare en lyset fra lommelygte, der tilhører nogle andre, der også er faret vild?

Håndklædet i ringen

Noget tyder på at Københavns Kommune endelig har smidt cloud-håndklædet i ringen, og opgivet at finde en måde at besejre eller møve sig udenom Schrems II:

https://www.version2.dk/artikel/eu-dom-har-lammet-kaempe-cloud-omstilling-koebenhavns-kommune-1094343

Centrale citater:

“Schrems-dommen udfordrer mange af kommunens nye tiltag på digitaliseringsområdet. I flere tilfælde kan de ikke gennemføres, da leverandørerne overfører data til USA og ikke kan sikre et tilstrækkeligt beskyttelsesniveau”

“Der er dog både i staten, kommuner og regioner eksempler på, at nye systemer sættes i drift, da det i nogle tilfælde vurderes, at den samfundsopgave, myndigheden løser, ikke kan løses på en god måde uden at bruge amerikanske cloud-tjenester”

Man fristes til at konkludere, at kommunen, ligesom de fleste danske og europæiske virksomheder og myndigheder, de facto har affundet sig med at forholde sig afventende og håbe på at jurister i Bruxelles og Washington får Schrems II-problemet til at forsvinde med en opdateret Privacy Shield-ordning.

Og selvom det er mange penge, er de nævnte ekstraomkostninger på 13 millioner kr. i den konkrete sag nok næppe noget, der holder kommunens finansfolk søvnløse (til sammenligning bruger kommunen 15 millioner på at holde helårsåbent i udvalgte skøjtehaller i 2022).

Men det er rimeligt at forudsætte, at hvis kommunen begrænser sig selv her, så gælder begrænsningen også andre steder, hvor besværet og ekstraomkostningerne givetvis vil være væsentligt større.

Den digitale gasledning

Resten af verden er som bekendt i fuld gang med at afskære Rusland finansielt og kulturelt, glimrende illustreret i dette opslag:

https://www.linkedin.com/posts/alexandrakrautwald_ikea-og-lego-lukker-deres-drift-apple-pay-activity-6905805941480980480-BgYy

Det skal blive interessant at se hvornår den digitale verden for alvor følger trop og de store amerikanske cloud-leverandører også lukker for russerne:

https://www.geekwire.com/2022/analyst-only-a-matter-of-time-before-u-s-cloud-companies-shut-off-services-in-russia

På lidt længere sigt er det værd at tænke over, at globalisering og ikke mindst “cloudificeringen” af vores allesammens IT-løsninger også binder os tættere sammen rent politisk.

Efter Schrems II har vi på tværs af Europa set, at selvom vi nu ved, at brug af amerikanske cloudtjenester i mange sammenhænge slet ikke er lovligt, har der ikke for alvor været vilje til at rette ind og ændre praksis, hverken politisk eller i erhvervslivet. Jovist, der er punktvise EU-baserede alternativer, men de færreste politikere og erhvervsledere finder det hverken realistisk eller ønskeligt helt at undgå de største (og derfor, i mange sammenhænge, bedste og billigste) leverandører. Så alle har reelt foldet hænderne og ventet på at juristerne finder en eller anden løsning – lige med undtagelse af NOYB, naturligvis.

Hvor mange danske virksomheder og myndigheder kunne i dag tåle at “den digitale gasledning” under Atlanterhavet blev lukket, og datastrømmen fra fx Amazon, Google, Microsoft, IBM, Oracle og Salesforce blev afbrudt?

Dette kan meget vel blive virkelighed for Rusland i allernærmeste fremtid, og man vel ikke udelukke, at det kan ske for Danmark eller Europa engang i fremtiden, fx som konsekvens af en (handels)krig? Er vores vestlige alliancer robuste nok til at vi kan tillade os ikke at være selvforsynende med bæredygtige digitale ydelser?

Logningsfarcen

Folketinget har i dag vedtaget nye regler telelogning, som det fremgår af Justitsministeriets pressemeddelelse:

https://www.justitsministeriet.dk/pressemeddelelse/flertal-i-folketinget-vedtager-nye-regler-for-logning/

Disse regler er, har Justitsministeren flere gange offentligt vedgået, designet med det primære formål at kunne danne grundlag for at fastholde den hidtidige generelle og udifferentierede logningspraksis, som er kendt ulovlig af EU-domstolen ved flere lejligheder, og som i praksis betyder at så godt som alle danskeres færden registreres og katalogiseres minutiøst, også i fremtiden.

Hatten af for de jurister, der har fået konstrueret en spidsfindig juridisk ramme, så Justitsministeren kan hævde, at de nye regler teknisk set overholder reglerne(sic!), uden at de i praksis stiller datasubjekterne – danskerne – bedre. Og hatten af for vores Justitsminister, der i det mindste er ærlig i sin ringeagt for retten til privatliv, fordi “med overvågning stiger friheden“, som bekendt.

Justitsministeriet erkender, at der er betydelig risiko for, at også denne lov kendes ugyldig af EU-domstolen. Men den slags kan jo erfaringsmæssigt tage sin tid, og så har vi jo fået masser af Hækkerup’sk frihed i mellemtiden.

Digitaliseringsgys

Med en vis forsinkelse anmelder Markus Bernsen i denne uges Weekendavisen Bøger en antologi redigeret af bl.a. Politikens techredaktør Michael Jarlner, “Fra velfærdsstat til overvågningsstat”:

https://www.weekendavisen.dk/2022-8/boeger/styrelsen-for-digital-fornuft

Det er altid opmuntrende, når vi får flere kritiske stemmer i debatten om brugen af data, og at disse stemmer finder vej til mainstreammedier. Og endnu bedre når vi får bud på nye begreber, “overvågningsstat”, som lægger sig elegant i direkte forlængelse af Shoshana Zuboffs “overvågningskapitalisme” for den private sektor.

Debatten om digitalisering i det offentlige er særlig interessant at følge, fordi den har et ekstra lag af etik ift. overvågningskapitalisme. Udover at borgerne selv finansierer digitaliseringen i det offentlige gennem skattebetaling, er det offentliges ydelser i udgangspunktet ikke underlagt konkurrence, og man har et iboende ansvar for at levere ydelser til alle. Disse forhold invaliderer en række traditionelle argumenter, som private virksomheders kan bruge til at forsvare deres brug af data.

Men i midt i den kritiske linje ift. offentlig digitalisering (som man bl.a. også kan få en ugentlig dosis af på https://mingarage.net/) kunne det være spændende at høre nøgterne, objektive (måske endda forskningsbaserede) observationer, der forholdt sig til både negative og positive effekter, og søgte efter den optimale balance. Som næppe er papirformularer med gennemslag til alting, trods alt.

Bogen blev i øvrigt allerede anmeldt af Peter Svarre på altinget.dk, da den udkom tilbage i november ’21.