Digitaliseringsgys

Med en vis forsinkelse anmelder Markus Bernsen i denne uges Weekendavisen Bøger en antologi redigeret af bl.a. Politikens techredaktør Michael Jarlner, “Fra velfærdsstat til overvågningsstat”:

https://www.weekendavisen.dk/2022-8/boeger/styrelsen-for-digital-fornuft

Det er altid opmuntrende, når vi får flere kritiske stemmer i debatten om brugen af data, og at disse stemmer finder vej til mainstreammedier. Og endnu bedre når vi får bud på nye begreber, “overvågningsstat”, som lægger sig elegant i direkte forlængelse af Shoshana Zuboffs “overvågningskapitalisme” for den private sektor.

Debatten om digitalisering i det offentlige er særlig interessant at følge, fordi den har et ekstra lag af etik ift. overvågningskapitalisme. Udover at borgerne selv finansierer digitaliseringen i det offentlige gennem skattebetaling, er det offentliges ydelser i udgangspunktet ikke underlagt konkurrence, og man har et iboende ansvar for at levere ydelser til alle. Disse forhold invaliderer en række traditionelle argumenter, som private virksomheders kan bruge til at forsvare deres brug af data.

Men i midt i den kritiske linje ift. offentlig digitalisering (som man bl.a. også kan få en ugentlig dosis af på https://mingarage.net/) kunne det være spændende at høre nøgterne, objektive (måske endda forskningsbaserede) observationer, der forholdt sig til både negative og positive effekter, og søgte efter den optimale balance. Som næppe er papirformularer med gennemslag til alting, trods alt.

Bogen blev i øvrigt allerede anmeldt af Peter Svarre på altinget.dk, da den udkom tilbage i november ’21.

Skruppelløse bagmænd

Erhvervsministeriet har netop meldt ud, at man vil fjerne tredjepartsovervågning på alle offentlige websites:

https://em.dk/nyhedsarkiv/2022/februar/regeringen-vil-stoppe-udnyttelse-af-borgernes-data-paa-statslige-hjemmesider/

Tre hurtige kommentarer:

  1. Fedt! Herligt at regeringen udviser interesse for at beskytte borgernes ret til privatliv.
  2. Hvad med apps og andre digitale løsninger, som ikke er nævnt?
  3. Når nu regeringen åbent anerkender, at brug af (hvad man i andre sammenhænge betragter som lovlig) digital tredjepartsovervågning faktisk betyder at “danskerne skal være bange for, at deres private oplysninger ender i hænderne på skruppelløse bagmænd” … hvorfor er det så overhovedet tilladt på private websites?

Er de gale i Luxembourg?

Nedenstående artikel af Carey Lening giver et virkelig interessant perspektiv på Schrems II-dommen og ikke mindst de seneste afgørelser vedr. brug af Google Analytics og Fonts i fx Frankrig, Østrig og Tyskland.

https://www.grcworldforums.com/legal-and-regulation/regulators-are-playing-a-dangerous-game-on-the-internet/4040.article

Artiklens grundpræmis er at EU-domstolen (og de nationale datatilsyn) er fundamentalistiske (‘privacy-absolutist’) i deres tilgang, når man i de fremhævede eksempler ikke anlægger en risikobaseret tilgang i sin vurdering af, hvorvidt en IP-adresse er persondata. Og at denne fundamentalisme risikerer at undergrave fragmentere internettet som vi kender det, mens man i praksis ikke lever op til sit erklærede formål om at beskytte menneskers ret til privatliv.

Selve argumentet om, at domstole og tilsyn burde anlægge en risikobaseret tilgang til spørgsmålet om hvorvidt noget er persondata, forekommer at være lidt vinkelret på GDPR. Forordningen instruerer godt nok de dataansvarlige om at agere risikobaseret, men det er så vidt jeg kan se ift. at vurdere risikoen for de registrerede og vurderingen af foranstaltninger. Ikke ift. selve definitionen af persondata.

Men selv hvis man går ind på præmissen, at det er rimeligt at anlægge et risikobaseret perspektiv på hvorvidt noget er persondata, så har jeg altså svært ved at se, hvordan en IP-adresse sendt til Google kan betragtes som anonym og ikke-personhenførbar.

De fleste almindelige internetbrugere skifter sjældent deres eksterne IP-adresse (måske hver 14. dag eller deromkring?), så hvis et dansk website, som jeg besøger, sender min IP-adresse til Google (fordi de har implementeret Google Analytics, men selvom jeg har frabedt mig cookies og anden tracking) vil det da ikke undre, at Google i praksis udleder, at jeg er den samme, der tidligere på dagen har anvendt en af deres andre tjenester eller besøgt et andet site – hvor cookies måske ikke blev slået fra.

Når det er sagt, så er artiklens bekymring over hvor denne tilsynspraksis fører os hen, dvs. hvordan europæiske virksomheder i praksis skal fungere på et gennem-amerikaniseret internet uden at bryde reglerne, reel nok. I min ydmyge optik ligger løsningen dog hverken hos de nationale tilsyn eller EU-domstolen i Luxembourg, men hos lovgiverne i Bruxelles – og/eller hos de private virksomheder, herunder de amerikanske internetgiganter, med hvem vi naturligvis deler en enorm interesse i at finde kreative løsninger af problemet.

Helst i en fart.

Hvilke data behandler KITT?

Jeg er en del af en generation, for hvem bilen i 80’ernes Knight Rider tv-serie for altid vil være indbegrebet af en moderne intelligent bil. David Hasselhoff må de gerne beholde, men sådan en Pontiac Trans Am med rødt løbelys i fronten, der kan tale og køre selv … DET er sagen. Men hvilke data behandlede KITT, og hvor blev de af? Og var det ok med Michael Knight?

Billede: https://www.flickr.com/photos/cblue98/7551340602

Dette spørgsmål trænger sig på for dagens bilister, der for manges vedkommende kører i biler med relativt avancerede computersystemer (om end trods alt knap så skrappe som KITT), der ofte er forbundet til internettet, enten gennem chaufførernes smartphones, værkstedets wifi eller direkte vha. indbygget mobilforbindelse.

EY har for FiA lavet en undersøgelse af 4.889 europæiske bilisters (heraf hele 1.251 danskeres) holdninger til spørgsmål om behandling af data fra deres biler, og den afslører både uvidenhed, forvirring og mistænksomhed. Version2 nævner at FDM har publiceret denne fine artikel, der opsummerer og illustrerer hovedpointerne.

Nu var KITT jo både klog og beleven, så jeg er sikker på at bilen både kunne have spurgt Michael Knight om samtykke og oplyst ham om hvordan hans data blev behandlet. Men det ville nok ikke have gjort sig så godt på tv 😉.

Ulovlig digital ransagning

Zetland har søgt aktindsigt i sager vedr. misbrug af Rigspolitiets POL-INTEL-system (implementeret i 2015, baseret på software fra amerikanske Palantir), og det viser sig, ikke overraskende, at politifolk er som folk er flest: Generelt gode og retskafne mennesker, men enkelte lidt for nysgerrige typer iblandt.

https://www.zetland.dk/historie/seElkV5B-aOZj67pz-02091

Det er naturligvis ikke så mærkeligt, men det understreger, at det aldrig er uden risiko at samle og samkøre persondata, selv ikke hvis det “kun” er politiet eller det offentlige system, der har adgang.

Mindre overvågning: 200 mio. kr.

I nedenstående ekstremt interessant indlæg beskriver Poul-Henning Kamp hvordan prisen for digital overvågning er problematisk lav – ja, faktisk argumenterer han for, at den er blevet negativ, og at man, hvad enten man er borger, virksomhed eller myndighed, således i praksis må betale for at undgå overvågning:

https://queue.acm.org/detail.cfm?id=3511661

Som eksempel fremhæver han overvågningen af brugernes færden i mobilnetværk, en logning der som bekendt er genstand for ganske meget debat fordi den gældende danske regelsæt er fundet ulovlig af EU-domstolen.

Til støtte for Poul-Hennings argument om overvågningens negative pris kan man fremhæve høringssvaret fra Teleindustrien vedr. den foreslåede nye logningslov. Forslaget til den nye lov indeholder en regel om, at teleselskaberne skal kunne “slå” generel og udifferentieret logning “til og fra” afhængig af trusselbilledet mod Danmark. Hvis man slår det til, vil tilstanden være som i dag, og slår man det fra, vil overvågningen kun gælde dem, der har særlig mistanke rettet mod sig.

Af høringssvaret fremgår det, at Justitsministeriet anslår teleselskabernes omkostninger ved blot at indføre muligheden for mindre logning til at være 200 millioner kroner – og at teleselskaberne mener, at implementeringsomkostningerne reelt vil være væsentligt højere.

https://www.teleindu.dk/wp-content/uploads/2022/01/TI-indlaeg-retsudvalgets-hoering-vedr-logning-13-januar-2022.pdf

Dette er altså kontantprisen for (muligheden for) mindre overvågning i mobilnetværkene. Gad vide hvad det ville koste at blive overvåget mindre i andre brancher?

Nu bliver det (måske) alvor

Nu virker det til, at konsekvenserne af SchremsII-afgørelsen begynder at gå op for myndigheder og virksomheder over hele Europa.

https://www.version2.dk/artikel/eksperterne-enige-ny-fransk-afgoerelse-klemmer-livet-ud-analytics-danmark-1094220

Et de facto forbud mod at anvende Google Analytics kan lynhurtigt brede sig til at omfatte de mange andre, tilsvarende konstruerede tjenester fra de dominerende amerikanske leverandører – hvorfor skulle det være anderledes med Googles andre tjenester? Eller Facebooks? Eller de store databroker-netværk?

Det danske datatilsyn lurepasser, som det fremgår, men for danske virksomheder er det ikke desto mindre ved at være sidste udkald ift. at indlede en kortlægning af brugen af denne type tjenester (hvilket lyder simpelt, men som i praksis er ganske ressourcekrævende, i hvert fald for større virksomheder med en lang historik og en spraglet internettilstedeværelse), opdateret (eller endelig få lavet) de nødvendige risikovurderinger og evt. lagt planer for at finde alternativer – hvis det overhovedet viser sig muligt.

For når først Datatilsynet (og Erhvervsstyrelsen, ift. fx telebranchen) vågner op til dåd og som forventet følger udmeldingerne fra Frankrig og Østrig, giver de nok ikke danske virksomheder meget tid til at få rettet ind.

Omelet uden brudte æg?

Denne tekniske analyse af dataflowet bag EUs officielle websites viser, hvad der efterhånden burde være indlysende: Det er meget svært at lave et moderne website uden at data om besøgende på den ene eller anden måde overføres til USA, i skikkelse af Google, Amazon, Microsoft, Facebook, Akamai, etc. etc.

https://www.linkedin.com/posts/brs-dincer_analysis-of-eu-official-sites-ugcPost-6898291743414992896-XL3y

Dette gælder uanset om ejeren er sitet er det EU, der har vedtaget, at USA ikke er et sikkert tredjeland, og som har skabt grundlag for, at der lige pt. uddeles bøder for brug af Google Analytics og Google Fonts i Østrig og Frankrig.

Cookien er død! Tracking længe leve!

I anledning af den internationale Data Privacy Day kan man kaste et blik på dette interessante indlæg vedr. Googles bevægelse væk fra traditionelle cookies mod “FLoC” eller “Topics”. Bliver vi som datasubjekter dermed bedre beskyttet fordi data aggregeres, eller mister vi tværtimod den sidste rest af indsigt og indflydelse?

https://www.linkedin.com/posts/brs-dincer_floc-topics-google-activity-6892523079075979264-oajY/

Hvad siger du ‘ja’ til?

https://www.linkedin.com/posts/simon-taus-philip-nielsen_klar-til-at-miste-kontrollen-se-hvad-du-ugcPost-6891493071440154624-5iKh/

Et interessant eksperiment, der illustrerer, at forestilling om at et afkrydset ‘ja’ på en hjemmeside meget, meget sjældent faktisk er et gyldigt, informeret samtykke. Vi siger ja for at komme videre, men ingen brugere orker at sætte sig ind i, hvad de faktisk accepterer.

Undtagen i ovenstående tilfælde, altså.