Høringsvar vedr. Beretning nr. 3 (nedsættelse af parlamentarisk arbejdsgruppe for datasikkerhed)

Høringsmaterialet kan ses her
http://hoeringsportalen.dk/Hearing/Details/37892

IT-Politisk Forening takker for muligheden for at afgive høringssvar om denne beretning fra Retsudvalget og Kulturudvalget. Vi er meget enige i, at der er behov for en bedre beskyttelse af borgernes persondata og deres ret til privatliv. Det gælder såvel i forhold til private virksomheder som offentlige institutioner.

Udvalgene planlægger at nedsætte to parlamentariske arbejdsgrupper, som forventes at beskæftige sig med en lang række emner fra logningsbekendtgørelsen, TV-overvågning, persondatabeskyttelse- og lovgivning, privacy by design til privacy impact assessments. Arbejdsgrupperne skal aflægge foreløbig rapport inden Folketingets åbning primo oktober, og en endelig rapport inden udgangen af 2014.

Efter vores vurdering er denne tidshorisont ikke realistisk, hvis arbejdsgrupperne skal producere en rapport med en substantiel analyse af de databeskyttelsesproblemer, som det danske samfund står over for, og hvis arbejdsgrupperne skal komme med konstruktive forslag til hvordan vi forbedrer forholdene på dette område.

Det er vores umiddelbare vurdering, at problemerne omkring persondatabeskyttelse i Danmark er ganske alvorlige, og at den aktuelle misbrugssag med Nets og Se og Hør reelt bare er toppen af isbjerget. Det skyldes flere ting.

På det offentlige område har vi i Danmark en lang tradition for store centrale databaser, hvor borgerne er registreret med CPR nummer. Der er samtidig stor velvillighed til at stille disse data til rådighed for andre offentlige myndigheder og andre formål end dem, som data oprindeligt er indsamlet til. Det betyder, at mange offentlige ansatte har adgang til ofte ganske følsomme oplysninger om borgerne. Det skaber en større risiko for misbrug, som man prøver at løse med kontrol og logning af adgangen til data.

Men der er også risikoen for at data lækkes fra systemerne ved en systemfejl, eller at hackere bryder ind i systemerne. De store centrale databaser, hvor CPR nummer altid er indgangen, gør konsekvenserne af systemfejl eller hacking langt værre. Brugen af CPR nummer i alle systemer gør det nemt at sammenkæde forskellige oplysninger om borgeren. Jo flere oplysninger om borgerne som hackere kan sammenkæde, desto større er risikoen for identitetstyveri eller andet datamisbrug.

Udformningen af de danske databaser med personhenførbare oplysninger er med andre ord ikke designet hensigtsmæssigt med henblik på den bedste beskyttelse af persondata. Man har ikke i tilstrækkelig grad indtænkt privacy i designet, og problemet vokser i og med antallet af centrale databaser er stigende.

En lang række nye og gamle opgaver er blevet digitaliseret på en sådan måde, at der er skabt nye centrale databaser med personhenførbare oplysninger, uden at der tages stilling til de deraf følgende risici for datamisbrug. De tre følgende 3 eksempler illustrerer dette udmærket:

  1. Med klippekort og månedskort kunne borgerne bruge den offentlige transport uden at de enkelte rejser blev registreret. Med rejsekortet bliver borgernes rejser registreret på CPR-nummer niveau.
  2. Vores el-målere skal erstattes af ”intelligente” el-målere, som kan fjernaflæses, og det er meningen at husstandens strømforbrug skal aflæses hver time. Disse oplysninger vil afsløre en masse detaljer om borgernes privatliv, f.eks. hvornår vi er hjemme.
  3. Der er løbende overvejelser om roadpricing, og Trængselskommissionen har udarbejdet en rapport om dette. Trængselskommissionens forslag ville imidlertid indebære en registrering af alle bilture i stil med rejsekortet, og altså en ny central registrering af borgernes færden i det offentlige rum.

Et fælles træk ved de tre eksempler er, at ingen tilsyneladende har overvejet om opgaven (betaling for offentlig transport, elektricitet eller roadpricing) kunne løses uden opbygning af store centrale databaser med persondata. Tværtimod virker det som om, at den nye registrering er blevet set som en helt naturlig udvikling i stedet for den betragtning, at den bedste beskyttelse af persondata består i at registrere så få persondata som muligt, og at registrere data der er så svært personhenførbare som muligt.

De tre eksempler er i virkeligheden forholdsvis trivielle i den forstand, at der eksisterer gode (sikre) løsninger, i hvert fald på proof-of-concept niveau. Men der er naturligvis mange andre databeskyttelsesproblemer i den offentlige sektor, som er langt sværere at løse. Det gælder ikke mindst sundhedsdata, specielt hvis man ønsker at bruge sundhedsdata til andre formål end behandlingen af borgerne, f.eks. forskning.

Problemerne er så komplekse, at det efter vores vurdering er nødvendigt at indrette de offentlige systemer efter andre principper end det sker i dag, hvor vi har store centrale databaser der let kan sammenkædes fordi CPR-nummeret er brugt overalt. De databeskyttelsesproblemer som vi står over for, kan ikke, på længere sigt, løses alene ved en bedre kontrol med adgangen til data.

I januar 2011 udgav IT- og Telestyrelsen en rapport ”Nye digitale sikkerhedsmodeller - et diskussionspapir”, som indeholdt mange visionære tanker om indretningen af offentlige IT-systemer. Vi er ikke bekendt med, at dette arbejde er blevet videreført efter 2011.

IT-Politisk Forening skal derfor opfordre til, at det tidligere arbejde med ”nye digitale sikkerhedsmodeller” kommer til at indgå i den brede afdækning som de to arbejdsgrupper forventes at udføre. Det vil falde naturligt ind under ”privacy by design”, som i forvejen er angivet blandt de ønskede arbejdsopgaver.

IT-Politisk Forening anmoder samtidig om at deltage i arbejdsgruppen vedrørende datasikkerhed under Folketingets Retsudvalg.

Referencer

”Nye digitale sikkerhedsmodeller - et diskussionspapir”, IT- og Telestyrelsen, januar 2011.
http://digitaliser.dk/resource/781482