Lovgivning er nogle gange med til at skabe grundlæggende ændringer i vores samfund. Og det sker lige nu med EU’s regulering af persondatabeskyttelse. Dataforordningen, der blev vedtaget i foråret og træder i kraft i maj 2018, knæsætter nogle nye principper, som effektivt bringer beskyttelsen af borgernes og forbrugernes privacy ind i en digital tidsalder.
EU-forordningen om persondata har nemlig kraften til at sætte individet i centrum og give ham og hende effektiv kontrol over egne data. Persondata ligger med andre ord nu inden for samme privatsfære som vores krop, vores bolig, vores ting, bil og penge.
[quote float=”right”]Væk er direktivets mulighed for at minimums- implementere[/quote]Det skyldes blandt andet valget af retligt instrument. Vi skal ikke længere tilstræbe at være på samme niveau i EU-medlemslandene, men retligt og faktisk efterleve de samme regler i hele unionen. Væk er direktivets mulighed for at minimumsimplementere. I stedet har vi fået en europæisk lov, der har direkte virkning for offentlige og private virksomheder og altså ikke først skal omsættes til dansk lovgivning.
Juraen er her brugt til at forankre en grundrettighed i den praktiske virkelighed. Retten til privatlivsbeskyttelse og retten til persondatabeskyttelse er beskyttet som to selvstændige grundrettigheder i EU-traktaten. De blev indføjet med traktatændringen i 2009 som en del af et stort rettighedskatalog, EU-charteret for grundlæggende rettigheder, og forpligter medlemsstaterne til at respektere, beskytte og fremme beskyttelsen af borgernes privatliv og deres persondata.
At sætte individet i fokus på den måde udgør på mange planer en udfordring for den danske velfærdsmodel, som traditionelt har bygget på den omvendte logik, nemlig at data først og fremmest ligger hos de offentlige myndigheder, som kan råde over dem for at opfylde deres opgaver med at levere offentlige ydelser inden for eksempelvis sundhed, social sikkerhed og uddannelse, men også som led i kontrol og efterforskning. Det har gjort det let for os også at acceptere, at virksomheder kan råde over de data, de indsamler om os.
Men hvis vi er smarte – og kan håndtere den udfordring – kan vi vende den styrkede persondatabeskyttelse og i bredere forstand privacy til en konkurrencefordel og en vækstdriver på den nye digitale motorvej, der bringer robotteknologi, internet of things og mange nye former for kommunikation ind i vores hverdag.
Privacyperspektivet er nemlig disruptivt, fordi det ikke blot lægger ejerskabet og retten til kontrol med data over til den person, som data handler om, men også fordi det udgør en platform for udvikling af nye produkter og forretningsmodeller, der sætter den enkelte i stand til at udøve denne kontrol.
[quote float=”left”]EU-charteret for grundlæggende rettigheder forpligter medlems- staterne til at respektere, beskytte og fremme beskyttelsen af borgernes privatliv og deres persondata[/quote]Jeg ser derfor privacy som en revolutionerende komponent ikke blot i forhold til opbygning af it-arkitektur, softwareløsninger og designs, men også som en ny standard for vores daglige trafik – både den digitale og den på de tv-overvågede veje – og i de smart grids, der kommer til at danne grundlag for byudvikling, trafikstyring og infrastruktur til for eksempel el- og energiforsyning.
Og vi har kompetencerne til at udnytte det potentialet i dette privacy-paradigme. Mange dygtige forskere er i allerede i gang med at integrere privacy i matematiske modeller, i kodesprog, i udviklingen af datawarehouses, i sikkerhedsteknologier og krypteringsalgoritmer. De danske forskere er i front på flere af disse områder. Derudover etableres der start-ups over hele Europa og i USA, som bringer nye produkter på markedet i form privacy enhancing technologies, såkaldte PETS, eller som tjenester, der er baseret på privacy by design. Der er et par vigtige danske spillere mellem dem, men vi skal understøtte markedet, hvis vi skal sætte vores præg med dansk privacytech.
Når regeringens disruptionsråd sætter sig til rette med sin første dagsorden, bør privacy derfor stå øverst på dagsordenen. Hvordan gør de så det bedst? Det handler i min optik først og fremmest om at forstå, hvor væsentlig en ændring de nye databeskyttelsesregler fører med sig, og derefter at bruge deres udsyn, fantasi og blik for forretningspotentiale til at pege på områder, som privacy kan bruges til at forstyrre, udfordre og være katalysator for innovation på.
På forståelsesfronten er det afgørende at fokusere på, at borgerens og forbrugerens samtykke er omdrejningspunktet. Et hovedprincip i dataforordningen er, at vi skal give samtykke til databehandlingen. Dette samtykke betyder, at en myndighed eller virksomhed ikke kan gå på datahøst og indsamle alle de oplysninger om os, som de tror, de har brug for eller bare kunne tænke sig at få indblik i. Indsamlingen af persondata skal derimod være styret af et bestemt formål og både datamængden og datatypen, for eksempel om det er almindelige eller følsomme oplysninger, skal være afgrænset på en måde, så det kun er relevante og nødvendige persondata, der indhentes og behandles. Der gælder med andre ord et princip om at minimere de data, der skal bidrage til at opfylde formålet.
[quote float=”right”]Det er afgørende at fokusere på, at borgerens og forbrugerens samtykke er omdrejningspunktet[/quote]Den forretningsmodel, som de såkaldte personal data stores, PDS, tager afsæt i, er netop borgeren og forbrugerens ejerskab til egne data og samtykkekravet. PDS-teknologien hjælper individet med at indsamle, opbevare, opdatere, korrigere og analysere sine personlige data og så stille disse resultater til rådighed for forskning, virksomheder og myndigheder – mod betaling. Det åbner for en meget højere grad af selvbestemmelse og skaber samtidig en transparens i egne persondata, som udfordrer eksempelvis de personaliseringsalgoritmer, som Google bruger i deres søgemaskine og Facebook i deres nyhedsstrøm. De persondata, der indgår her, har vi i dag stort set ingen indsigt i.
PDS’erne åbner også for en kommercialisering af egne data, som jeg tit oplever provokerer danskere. Konceptet er, at de data, vi indsamler og sammenstiller om os selv, kan sælges eller udlejes. Der er allerede i dag tjenester, der stiller platforme til rådighed for udlejning af egne data på dagsbasis. Det kan omfatte oplysninger om løn, onlinekøb eller betalingstransaktioner. Tanken bag er, at data har økonomisk værdi, og i stedet for at overlade den værdi til sociale medier til gengæld for gratis tjenester, er det bedre, at vi kontrollerer, hvem der køber vores data. I Schweiz er forretningsmodellen forankret i et andelsfællesskab, i USA og England ligner det mere de forretningsmodeller, vi kender fra Airbnb og Uber. Et stykke nede ad vejen kan PDS’erne skubbe udbyderne af de sociale medier af banen; deres forretningsmodel smuldrer, når vi ikke længere stiller vores data til rådighed uden betaling.
Overgangen til et privacy-paradigme hjælpes også på vej af dataforordningens krav til databeskyttelse og behandlingssikkerhed i hele datas livscyklus, det vil sige fra udvikling og design af teknologier og it-systemer, til indsamling og analyse af data, behandling, opbevaring, indtil data slettes. Det sker gennem to nye principper om databeskyttelse: by design og by default.
Det sidste indebærer, at databeskyttelse skal være standardinstilling, det vil for eksempel sige, at en profil på et social netværk fra start skal være lukket, og så er det op til den enkelte bruger at åbne sin profil for andre deltagere. De sociale medier er langsomt på vej, men stadig er der et godt stykke til et mål om, at databeskyttelse by default-mekanisme er normen, ikke undtagelsen.
Markedet er allerede nu klar til cloud-tjenester og mailtjenester, der sikrer privay, ligesom forbrugerne er begyndt at efterspørge søgemaskiner og browsere, sociale netværk og chattjenester, som sikrer privat kommunikation. På listen er også produkter som pc-er og mobiltelefoner, hvor kryptering sikrer indhold og kommunikation, så andre end dem, man selv inviterer, ikke kan lytte med eller tappe ord, lyd og billeder fra kamera og mikrofon.
Ved at sætte fokus på privacy som katalysator for innovation, kan disruptionsrådet starte en udvikling i Danmark, der på samme tid beskytter og fremmer grundrettigheden til privatlivs- og databeskyttelse og sætter gang i udviklingen af danskudviklede forretningsmodeller, produkter og tjenester. Vækst og bedre beskyttelse på én gang. Det kræver bare et seriøst tryk på privacyknappen.
Læs mere om privacy tech i bogen ’Dataetik – den nye konkurrencefordel’
Læs mere om dataetik og privacy her