Download bogen De overvågede gratis her (pdf) - Tænk

De overvågede
Vores priVatliV er truet
Men der findes løsningsModeller

De overvågede
Debatbog om privacy og løsningsmodeller
© Forbrugerrådet & DI
Redaktion: Henning Mortensen, DI ITEK, Erik Valeur, Tænk og Pernille Tranberg, Tænk
Layout: Geira Bjørn Olsen, Tænk
Forsidefoto: Colourbox
Fotos i øvrigt: Ulrik Jantzen og Peter Sørensen
Forlag: Books on Demand GmbH, København, Danmark
Produktion: Books on Demand GmbH, Norderstedt, Tyskland
ISBN-13: 9788776913304
3

Indhold
del 1: de overvågede
Hvad er privacy, og hvorfor er det så vigtigt? .......................... side 8
Af Henning Mortensen og Erik Valeur
samfundets behov for privacy ...................................... side 18
Af Henning Mortensen
Facebook og forbrugerne .......................................... side 34
Af Anette Høyrup
Big Brother eller Big Mother ....................................... side 42
Af Hans Jørgen Bonnichsen
del 2: når overvågning ta’r magten
Velkommen på forsiden ........................................... side 54
det store identitetstyveri ........................................... side 60
Koncernen, der vidste alt ......................................... side 68
syv dage som tv-stjerne ........................................... side 76
Af Erik Valeur
del 3: nøglen til fremtiden
Privatlivsbeskyttelse i iT systemer ................................... side 86
Af Jørn Guldberg
Terrorbekæmpelse og sikkerhedsteknologi .......................... side 94
Af Ida Leisner
Nøglen til fremtiden – om pseudonymer og virtuelle identiteter ........ side 104
Af Stephan Engberg
4

Forord
de overvågede er udgivet i et samarbejde mellem di (dansk industri) og Forbrugerrådet.
Bogen, der er redigeret af Forbrugerbladet Tænk og brancheforeningen di iTeK under
di, beskriver den øgede overvågning og registrering af danskerne siden terrorangrebet på
UsA 11. september 2001.
efter en beskrivelse af de aktuelle problemer med den stærkt øgede overvågning sætter vi
fokus på de løsningsmuligheder, der findes – og som hidtil har været overset.
Bogen har tre dele:
del 1: de overvågede – så langt er overvågningen kommet i danmark de seneste år
del 2: Når overvågningen ta’r magten – fire scenarier om det, der kan ske, hvis det går
helt galt
del 3: Nøglen til fremtiden – løsninger på overvågning og sikring af privacy
Henning Mortensen, Pernille Tranberg og Erik Valeur, januar 2009
Privacy er retten til privatliv i forhold til éns færden både offentligt og privat, i det fysiske
rum, på telefon og på internettet.
i kapitler med note-henvisninger findes noterne umiddelbart efter kapitlet.
5

del 1
De overvågede
Overvågningen har udviklet sig kraftigere
og hurtigere, end nogen havde troet
7

Hvad er privacy,
og hvorfor er det så vigtigt?
Af Henning Mortensen og Erik Valeur
Gennem de senere år har vi set en udvanding af privatlivets fred både herhjemme og
internationalt.
Terrorangreb forskellige steder i verden har ført til en ny sikkerhedspolitik, hvor mange
velmenende politikere overbyder hinanden med løsninger, der har til formål at forbedre
befolkningens sikkerhed. Når ét initiativ er taget, kræves der straks flere, så politikerne
kan demonstrere, at de tænker på borgernes sikkerhed.
I disse forsøg skærpes lovgivning med henblik på at overvåge alle borgere mere, så de
få kriminelle borgere kan pågribes.
Eksempler på dette fra de senere år inkluderer:
• Politiets Efterretningstjeneste er blevet større og har fået udvidet mandatet, og det
betyder, at flere forhold kan efterforskes uden den almindelige demokratiske kontrol,
som det almindelige politi er underlagt.
• Retssikkerheden er blevet undermineret på flere områder. For eksempel har det tidligere
været praksis, at man skulle have en dommerkendelse før et indgreb, så domstolene
kunne vurdere, om der var beviser nok. Dette er ændret, så man i en række
sammenhænge kan nøjes med en efterfølgende dommerkendelse til et indgreb.
• Ransagning i medarbejderes private hjem efter dokumenter, der kan have betydning
for bedragerisager begået af virksomheder, er blevet lovligt.
• Private brugere får logget deres anvendelse af mail og internettet i private hjem.
• Tv-overvågningen i det offentlige rum er blevet udvidet betydeligt, og politiets muligheder
for at få indsigt i denne overvågning er steget betragteligt.
• I Sverige har man vedtaget den såkaldte FRA-lov, som betyder, at alt indhold i tele- og
internettrafik, der kommer ind over grænsen til Sverige, vil blive overvåget. Danske
brugere af telefoni og internet har af tekniske årsager ikke mulighed for at vide, om
deres trafik switches eller routes over Sverige for at komme frem til modtageren – også
selv om det er en dansker i Danmark. Det betyder, at alle borgere såvel som virksomheder
og Folketinget, vil blive overvåget af den svenske efterretningstjeneste, når
blot trafikken krydser grænsen.
Danskeres ret til privatlivets fred (privacy) er dermed blevet indskrænket betydeligt. I
den seneste sammenlignende analyse fra Privacy International har Danmark fået den
hidtil værste vurdering og karakteriseres nu som et ‘Extensive Surveillance Society’.
Ofte iværksættes de politiske tiltag, uden at man har nogle beviser for at overvågningstiltaget
har nogen præventiv eller opklarende effekt.
Problemet er, at man med anvendelsen af denne type tiltag mistænkeliggør de mange
for at ramme de få. Det er endda usikkert, om de mange faktisk reelt får en bedre sikker-
8

hed – altså om overvågningstiltagene har den ønskede effekt. Og i hvert fald fører mere
overvågning til større usikkerhed, fordi vi hele tiden må overveje, om vi nu opfører os på
en sådan måde, at vi ikke kommer i overvågnings-systemernes søgelys.
Det er naturligvis vigtigt at dæmme op for den reelle trussel, som terror og andre
forbrydelser udgør for borgerne. Men det er også vigtigt, at de initiativer, der tages, nøje
afvejes imod de privatlivs-konsekvenser, de får for borgerne.
effektivisering
Effektivisering af den offentlige sektor gennem teknologisk innovation har også spillet
en stor rolle. Effektivisering og anvendelse af teknologier er naturligvis godt, hvis det
anvendes med omtanke og på en måde, som respekterer privatlivets fred.
Der er imidlertid flere eksempler på, at teknologier anvendes på en måde, som krænker
privatlivet, uden at dette havde været ‘nødvendigt’.
Et af de bedste og mest aktuelle eksempler er 2. generations digitale signatur.
Ifølge det materiale, som i skrivende stund ligger offentligt, skal signaturen opbevares
centralt. Det gør det lettere for brugeren at anvende den.
Samtidig er det tanken, at signaturen skal kunne bruges i både den offentlig og private
sektor, fordi det kan skabe større udbredelse.
Problemerne med den centrale løsning er, at en central lagring vil betyde, at man
kan samkøre den enkelte borgers transaktioner og se, hvor vedkommende har anvendt
signaturen. På denne baggrund vil man kunne skabe en elektronisk profil/identitet for
vedkommende.
For det andet mister borgeren kontrollen med, hvornår signaturen anvendes. Dem, der
lagrer signaturen, vil kunne bruge signaturen på borgerens vegne.
Signaturen kunne have været implementeret anderledes, idet der findes glimrende
eksempler på, at signaturen eller dele heraf er i borgerens besiddelse – og samtidig er
let at anvende.
Uden at være i besiddelse af borgerens del af signaturen vil man ikke kunne profilere
vedkommende.
Effektiviseringen, som har mange gode elementer i sig, er altså ikke sket på den mest
hensigtsmæssige måde.
definition
Historisk er begrebet privacy blevet defineret som ‘The right to be let alone’ – altså retten
til at have en privatsfære, hvor ingen kunne trænge ind og påvirke krop, holdninger og
ejendom.
I nyere tider er dette begreb blevet omfortolket i en mere sikkerhedsorienteret kontekst
til beskyttelse mod en række forskellige risici, som opstår, hvis borgeren ikke længere
har kontrol med sine egne data – altså at data om borgeren er opbevaret af andre, med
eller uden borgerens viden og ønske.
Det er sket, fordi de talrige elektroniske registreringer om mennesker, som informationssamfundet
har givet anledning til, kan samkøres, analyseres, udveksles og bruges
lettere, end da data var lagret på papir.
Privacy er dermed blevet et sikkerhedsmæssigt begreb, der involverer en risikovurder-
9

ing i forhold til, hvem der er i besiddelse af personlige informationer – og den risiko der
er forbundet med, at andre har retten til at indsamle, vedligeholde, anvende, videregive/
transmittere og behandle personlig information.
Privacy vedrører, at risikovurderingen skal ligge hos borgeren, og ikke være foruddefineret
af samfundet.
Hvorfor er privacy så vigtigt?
Som nævnt giver teknologier borgerne en masse gode fordele og gør deres liv lettere. Det
gør sig også gældende på samfundsniveau, hvor der kan spares mange penge og skabes
bedre services gennem anvendelsen af teknologi.
Der er imidlertid en række grunde til, at vi skal implementere teknologien rigtigt og
hermed beskytte borgernes privacy:
1. Autonomi og individualitet
Det er et konstituerende træk ved mennesket, at vi som udgangspunkt selv kan bestemme,
hvem vi vil dele informationer med. Det er en del af det at være menneske. Det er en
egenskab, vi som mennesker bruger hver dag, når vi vælger at fortælle nogle af vores
venner eller kolleger nogle ting – mens vi tilbageholder andre ting, som vi så måske kun
deler med familien eller holder helt for os selv.
Vi vil have lov til at have vores små hemmeligheder og selv bestemme hvem vi eventuelt
ønsker at dele dem med. Og vi vil have lov til at kommunikere informationer på de
måder, som vi mener tjener os selv eller en bestemt situation bedst.
Flere studier viser, at når folk tror, de er under observation, så ændrer de adfærd, så de
i højere grad lever op til, hvad de tror, at dem, der observerer dem, ønsker at se.
Overvågning vil derfor i et vist omfang ensrette mennesker, så kreativitet og forskellighed
ikke får tilstrækkeligt spillerum. Mennesker kommer i stedet til at bruge deres
energi på at være ens og ikke skille sig ud fra mængden.
2. Den historiske betydning
Historisk har manglende overvågning givet frihed og frihed til udvikling af mennesker.
Man har kunnet skabe sig et frirum til at nedskrive og formidle sine tanker til en bredere
kreds – også selv om dette var irriterende for de til enhver tid siddende magthavere
(f.eks. tyranner eller kirken).
Eksempler inkluderer skønlitterære forfattere (Charlotte Bronte, der skrev under
pseudonymerne Lord Charles Wellesly, Marquis of Duoro), politiske dissidenter (Francois
Marie Arouet, der skrev under pseudonymet Voltaire), forfattere af erotisk litteratur
(Pauline Réage, der skrev under pseudonymet Régine Deforge), filosoffer, religiøse tænkere
og fagbevægelsens grundlæggere.
Hvis ikke disse tænkere havde haft mulighed for at tænke, kommunikere og handle,
havde jorden stadig være flad, og vi havde haft monarki uden et demokratisk valgt
Folketing.
Og hvorfor ikke tro, at vi fortsat kan udvikle verden, og at nogle af de tanker, der skal
gøres i den forbindelse, kan komme på tværs af de eksisterende magthavere og deres
prioriteringer?
10

”Overvågning vil derfor i et
vist omfang ensrette mennesker,
så kreativitet og forskellighed
ikke får tilstrækkeligt spillerum.
Mennesker kommer i stedet til at
bruge deres energi på at være
ens og ikke skille sig ud fra
mængden”.
Henning Mortensen og Erik Valeur
11

3. Samvær med ligesindede
I det omfang, en tanke eller en aktivitet er på kanten af den herskende forståelse, kan
det være nyttigt for mennesker at kunne drøfte, udvikle og afveje disse i samvær med
andre ligesindede.
Tanken eller aktiviteten kan afprøves, og argumenter for og imod kan vurderes ud
fra en fælles forståelse. Mennesker kan på den måde skabe en mental balance gennem
muligheden for samvær med ligesindede.
Gruppers normer dannes ofte på denne måde og samles så på samfundsniveau.
De tanker eller aktiviteter, der opstår på denne måde, kan godt være til gene for de
siddende magthavere – et godt eksempel er digital kopiering af musik. Her har normer
udviklet sig, som går på tværs af den herskende forståelse, men som alligevel støttes af
en hel ungdomskultur – og fænomenet er vel nok opstået fordi magthaverne/branchen
ikke har udviklet tekniske løsninger eller skiftet forretningsmodeller til tidens behov
hurtigt nok.
4. Den geografiske betydning
Mange steder i verden forfølges minoriteter – f.eks. politiske dissidenter, homoseksuelle,
religiøse eller racemæssige minoriteter. Hvis disse grupper skal have en mulighed for at
forsamles og formulere en ny mening for deres gruppe, er det vigtigt at de ikke overvåges
og nedkæmpes af magthaverne.
5. Ro til refleksion
Det er nødvendigt for mennesker af og til at kunne trække sig tilbage fra fællesskabet for
at få ro til refleksion. At få ro til at skabe sig en struktur på egne tanker, opfattelser og
handlinger. I princippet at kunne lave en fysisk eller mental dagbog.
Dette er en forudsætning for velfungerende deltagelse i demokratiet, at være på arbejdspladsen
og begå sig i familien. Det kvalificerer dét output, som mennesker kan
komme med til de grupper og fællesskaber, de indgår i – og det giver mulighed for at
synspunkter og livsopfattelser, som ikke er politiske korrekte, kan inddrages. En konstant
overvågning vil ikke skabe den fornødne ro for det enkelte menneske.
6. Retten til at ytre sig anonymt
Når vi overvåges, vil hvert et synspunkt vi artikulerer, blive truet/udfordret af rettelser,
kritik, fordomme, fordømmelser og krav om forklaringer.
Der vil hele tiden ske en test af, om der er ‘noget galt’ – og er der mistanke om dette,
skal vi forsvare os – også selv om der i virkeligheden ikke var ‘noget galt’.
Hvis vi konstant skal forsvare vores handlinger ned til mindste detalje, reduceres vores
muligheder for at handle. Hertil kommer, at konstant kritik eller trussel om kritik vil få
folk til at fravælge at artikulere deres synspunkter – og vi vil dermed som samfund få
mindre nuancerede debatter.
Derfor er det væsentligt, at folk af og til og i visse sammenhænge kan ytre sig anonymt
eller pseudonymt.
12

7. Det konstruerede menneske
Mennesker skal have lov at agere uden ansvar, hvor det er forsvarligt for samfundet.
På den måde kan man som menneske udleve bestemte sider af éns personlighed/
interessesfære uden at afsløre hele billedet af en selv.
Især i online-sociale netværk er der ganske mange, der konstruerer sig selv ved helt
at udgive sig for at være en anden – eller ved at spille på dele af deres personlighed og
underspille andre dele ved at undlade at berette om visse oplevelse, kun videregive en
type oplevelser eller måske forskønne eller fordreje nogle ting.
Det kan være en sund ting, fordi det kan give erfaringer og udvikle det enkelte menneske
– for eksempel unge, der gerne vil vide noget om det andet køn eller tilhørsforhold
til subkulturer, som man måske ikke har mulighed for at være en del af i den fysiske
verden.
8. Demokrati
Manglende overvågning er indeholdt i forsamlings- og ytringsfrihed, som er demokratiets
grundpiller. Magthaverne er via disse rettigheder forhindret i at registrere deltagere
i politiske eller religiøse møder og via sådanne metoder undgå opposition. Denne problemstilling
får løbende fornyet aktualitet i forhold til debatter om, hvorvidt man kan
gribe ind over for rockere, nazister, de autonome eller tilhængere af Hizb ut Tahrir.
9. Gemt for evigt
Der er en risiko for, at oplysninger, der gemmes over tid, på et tidspunkt vil blive (mis)
brugt til et andet formål end det oprindelige. Derfor er det uheldigt, at data, som allerede
er afgivet i en række sammenhænge, gemmes ‘for evigt’ i forskellige databaser.
Vi har set eksempler på anvendelse af forældede data til andre formål end det, de blev
indsamlet til. Et ofte anvendt eksempel er udenrigsminister Per Stig Møllers gamle spritdom,
som kom frem i hans formandsperiode i det Det Konservative Folkeparti.
Et andet eksempel er, at data, der er blevet offentliggjort på internettet, er meget vanskelige
– grænsende til det umulige – at fjerne igen.
10. Hvem vogter vogterne?
Overvågningen af danskerne ændres i disse år ganske meget. Antiterrorlovene, logningsbekendtgørelsen
og ændringen af retsplejeloven giver PET en stor magt.
Netop disse ændringer betyder, at visse typer af overvågning er kommet uden for
domstolenes kontrol eller er udsat for en for sen domstolskontrol – dvs. domstolskontrol
når overvågningen har fundet sted.
Dermed er der reelt ikke nogle, der vogter over dem, der overvåger. Det kan misbruges
– og hvis det misbruges, vil det skabe voksende usikkerhed hos dem, det går ud over.
11. Sammenhænge
Alle informationer kan – bevidst eller ubevidst – tages ud af en sammenhæng og give
et forkert billede af den borger, som informationerne vedrører – uanset om informationerne
er indsamlet via overvågning eller ej. På den måde kan man altid blive draget til
ansvar for alle elementer af informationer om en selv.
13

Churchill har engang illustreret problemerne med dette ved at sige: “Min værste politiske
modstander er mine tidligere udtalelser.” Er det f.eks. rimeligt, at man en dag til
en jobsamtale skal konfronteres med et fest- eller nøgenbillede fra et socialt netværk og
forsvare disse handlinger, fysiske udtryk eller sammenhænge?
Informationer, der er indsamlet via overvågning kan imidlertid være mere problematiske
end de informationer, man selv har givet – netop fordi de typisk ikke vil optræde i
den sammenhæng, som man selv troede man gav dem i – altså i en uovervåget tilstand.
F.eks. kan man fremsætte et henkastet udsagn til en kollega om en anden kollega. Udsagnet
kan være formuleret med en ekstra betoning for at få en pointe frem i en samtale,
uden at man nødvendigvis ville forsvare udsagnet i alle henseender.
12. Der er altid noget galt
Man kan altid finde noget mistænkeligt på folk, hvis man leder længe nok, fordi alle har
på et tidspunkt gjort et eller andet forkert.
Richelieu har engang sagt: “If one would give me six lines written by the hand of the
most honest man, I would find something in them to have him hanged.”
13. Sikkerhed
Overvågning kan skabe tryghed på den korte bane ved, at man fanger terrorister og
voldsmænd (hvis man altså gør det). Men på længere sigt – og efterhånden som overvågningen
bliver mere og mere omfattende og højttalere en dag fortæller os, at vi ikke
må pille næse eller smide et cigaretskod i det offentlige rum eller surfe ind på bestemte
hjemmesider – vil trygheden umærkeligt blive til utryghed hos borgerne. Utryghed over,
om borgerne nu opfører sig som dem, der vogter dem, gerne vil have. Det er derfor
relevant at gøre folk i stand til i det daglige at foretage deres egen lille risikoanalyse for,
hvordan de vil beskytte sig – og det gælder såvel beskyttelse mod vold som mod overvågning.
argumenter imod privacy
På trods af de indlysende grunde til at beskytte borgernes privatliv er der typisk en
række argumenter imod privacy, som det naturligvis er værd at inddrage i debatten, når
man skal vurdere for eller imod privacy.
1. De har noget at skjule
Et at de hyppigst anførte argumenter imod privacy er: “Jeg har ikke noget at skjule, så
jeg behøver ikke at være bange for overvågning.” Og dette argument forsætter ofte med:
“Hvis du er bange for overvågning, så må du have noget at skjule.”
Disse argumenter omfatter ikke dét, privacy egentlig handler om.
Privacy handler om at foretage en risikovurdering i forhold til, hvem man kan dele
hvilke data med – herunder også data, der automatisk indsamles af det offentlige.
Privacy handler ikke om at skjule noget, som man måske mener er fordækt eller
direkte ulovligt.
Hvad angår det fordækte skjuler de fleste mennesker noget: Dagbøger, sex med deres
14

partner, måske ligefrem utroskab, toiletbesøg, økonomisk situation, lægebesøg, terapi,
indkøbsvaner og måske politisk eller religiøs overbevisning.
Hvad angår det ulovlige er det naturligvis urimeligt at skjule sådan noget – og modstanden
mod overvågning er ikke en forsvarstale for at kunne skjule dette.
Privacy handler om selv at have retten til at bestemme, hvem man vil dele informationer
med – og så foretage en risikoanalyse, der vurderer, hvem der kan få hvilke data
hvornår og hvor længe.
2. De er reaktionære
Privacy-tilhængerne får ofte at vide, at de er reaktionære og modstandere af teknologisk
udvikling.
Det er måske tilfældet for nogle – men bestemt ikke alle – og i særdeleshed ikke forfatterne
bag denne bog.
Teknologier kan hjælpe mennesker på uendeligt mange måder. De kan effektivisere
den offentlige og private sektor, de kan sikre os en fortsat fornuftig udvikling i produktivitet
og konkurrenceevne – og de kan skabe større sikkerhed.
Men forudsætningen for det er, at teknologierne implementeres på en sådan måde, at
der netop ved implementeringen tages højde for beskyttelse af privacy.
Der er masser af eksempler på, at teknologi ikke er implementeret hensigtsmæssigt.
Vi har i indledningen nævnt planerne for den kommende digitale signatur. Vi kunne
også nævne områder som skatteopkrævning, receptserveren og roadpricing. På disse
områder findes der glimrende eksempler på, at teknologier ikke er implementeret, så
der tages hensyn til privacy. Dette kunne være sket ved at anvende nogle af de tanker og
teknologier, som beskrives senere i denne bog.
Disse systemer kan deles i to grupper: Dem, der er obligatoriske at bruge – såsom skat
– og dem, der er frivillige at bruge – eksempelvis sociale netværkstjenester.
I det første tilfælde må man prøve at forklare de myndigheder, der indkøber en tjeneste,
at de skal indkøbe den, så den tager højde for privacy. Borgerne kan jo ikke undlade
at få deres data ind i denne type tjenester, og de kan ikke selv beskytte sig, fordi de ikke
kan foretage en meningsfuld risikovurdering.
I det andet tilfælde må vi lade det være op til borgernes egen risikovurdering, om de
vil bruge de pågældende tjenester. Så anbefalingen går her på, at borgerne skal oplyse
sig, inden de afgiver data – og så på baggrund af deres egen intuitive risikovurdering
beslutte, om de vil afgive data.
Hvor mange borgere har f.eks. læst Facebooks brugerpolitik og kritisk taget stilling til
den?
3. De gør mit arbejde besværligt og bureaukratisk
Fra administrativ side er indvendingen mod privacy ofte, at arbejdet bliver mere besværligt,
hvis man ikke kan se alle data om en borger eller en kunde. Opfattelsen er her, at
jo flere data, man har, jo lettere kan man hjælpe klienten. Samtidig er argumentet, at
klienten får en mere besværlig behandlingsgang, hvis data skal afgives igen.
Bag denne opfattelse ligger en formodning om, at data om en klient skal være utilgængelige
for den administrerende part.
15

For det første handler privacy ikke om, at data skal være utilgængelige hele tiden. Privacy
handler om, at borgeren skal have kontrol med, hvornår data skal være tilgængelige
for hvem.
Det betyder, at data måske godt kan befinde sig hos den administrerende part i pseudonymiseret
form – og at linket til borgerens identitet derfor først skabes, når borgeren
beslutter det – for eksempel ved en sagsbehandling – eller når der er lovhjemmel til at
skabe et link mellem pseudonymet og borgerens virkelige identitet.
På den måde behøver borgeren ikke afgive data flere gange. Samtidig kan borgeren
opnå den tryghed, at der kun skabes identifikation, når han selv har givet lov (samtykke).
For det andet ligger der også en opfattelse bag dette argument om, at borgerens data
er til for sagsbehandlerens skyld – og ikke for borgerens skyld. Dette udgangspunkt er
privacy-tilhængere uenige i: Data er til for borgerens skyld – og det må i udgangspunktet
være borgeren, der ejer data og har kontrol med data, så borgeren kan forvalte sit liv som
han ønsker inden for statens rammer.
4. De gør løsningerne dyrere og teknologien findes ikke
Modstanderne af privacy hævder, at privacy er dyrt – og at de teknologiske løsninger
ikke findes endnu.
På en række områder må vi konstatere, at teknologiske løsninger ikke findes endnu.
Men på andre områder er der simpelthen bare ikke kendskab til, at løsningerne faktisk
findes. Fra teknologileverandører hører vi ofte, at løsningerne findes, men ganske enkelt
ikke efterspørges. De kan derfor ikke levere privacy med i deres leverancer, fordi deres
løsning så vil tabe i konkurrence med andre udbydere.
Derfor er det ofte et spørgsmål om at skabe et større kendskab til løsningerne blandt
dem, der skal indkøbe dem.
Det kan næppe afvises, at løsninger med privacy kan være dyrere end løsninger uden
privacy. I mange tilfælde vil der være en pris, der skal betales. Men på den lange bane
er privacy en fornuftig investering.
Man kan ikke effektivisere uden privacy-løsninger, fordi trygheden ved systemerne vil
være mindre. Der vil simpelthen være økonomiske effektiviserings-gevinster ved at få de
privacy skeptiske borgere med på vognen.
16

Samfundets behov for privacy
Af Henning Mortensen, DI ITEK (branchefællesskabet for it, tele, elektronik og kommunikation i DI,
Dansk Industri) og medlem af Videnskabsministeriets it-sikkerhedskomité
Digitaliseringen har grebet om sig som aldrig før og har ført mange gode ting med sig.
Vi kan handle overalt i verden. Vi kan få informationer fra mange steder i verden.
Forvaltningen er blevet effektiviseret, og vi kan ordne vores sager med myndighederne
fra hjemmet. Vi kan ordne vores banksager fra hjemmet. Vores krop kan monitoreres af
sensorer og kan selv gøre opmærksom på uhensigtsmæssigheder, inden det bliver til en
reel sygdom. Virksomhederne kan udveksle ordrer sikkert og automatisk med hinanden,
så produktionsflowet bliver optimeret. Vi kan bygge netværk med mennesker, som vi
deler interesser med, men som befinder sig på den anden side af kloden.
Digitaliseringen redder liv, sparer penge, giver os fantastiske oplevelser og giver os
mere tid til at lave de ting, vi gerne vil! Det er alle sammen gode ting.
indsamling af data til administrative systemer
Men digitaliseringen kan også have en bagside, hvis den ikke gennemføres fornuftigt og
velovervejet. Hver gang vi bruger nogle af de systemer, som digitaliseringen giver os, er
der en lille bitte risiko for, at de oplysninger, vi giver fra os, bliver misbrugt.
Vi har allerede set en række eksempler på det i Danmark. DI ITEK samlede i begyndelsen
af 2007 en række cases, hvor personlige oplysninger, der skulle have været bevaret
som hemmelige, var sluppet ud ved forskellige fejl hos myndighederne 1 . Virus på
systemer der får patientoplysninger til at slippe ud 2 . Medarbejdere ved politiet, der har
søgt og lækket oplysninger om borgerne 3 . Og fejl i kommunal administration, der kommer
til at lække sagsbehandling om de svageste borgere i samfundet 4 .
De omtalte tilfælde er ‘mindre fejl’, der omhandler et fåtal af borgere, men som er nok
så ubehagelige for de berørte. Et enkelt større datatab stammer fra det tidligere Århus
Amt, som kom til at uploade informationer om 25.000 borgeres sundhedsoplysninger
på sundhed.dk 5 .
I udlandet har der været betydeligt større datatab. I Storbritannien har man mistet
data i flere omgange. Først mistede skatte- og toldmyndigheden data på 25 millioner
briter 6 , og disse oplysninger er nu til salg på internettet. Herefter mistede de britiske
myndigheder 84.000 fangers personlige oplysninger 7 .
I Tyskland har telegiganten T-mobile mistet personlige oplysninger om 17 millioner
kunder 8 . I USA har TJX-kæden mistet mellem 50 og 100 millioner kreditkortoplysninger 9 .
Og endelig har skattemyndighederne i Norge mistet 4 millioner af borgernes personnumre
10 .
Disse eksempler illustrerer ganske klart, at der er en risiko for borgerne forbundet
med, at data lagres centralt. Og det gør sig gældende, uanset om data lagres i den offentlige
eller private sektor. Det er derfor vigtigt, at systemer indrettes på en sådan måde, at
der tages hensyn til denne risiko set fra borgernes synspunkt.
18

Den samme risiko står virksomhederne overfor, uden at der af den grund er tale om, at
det ‘kun’ er personlige oplysninger, der kan slippe ud. Som udgangspunkt kan risikoen
bedst elimineres ved, at borgerne selv er i besiddelse af data og giver de administrative
systemer adgang til dem, når der er brug for dem.
Sådan er de færreste systemer indrettet i dag. I stedet indretter man systemerne, så
risikoen for, at der sker uheld eller uhensigtsmæssigheder minimeres – set fra forvaltningens
synspunkt.
Generelt må man sige, at der er for lidt fokus på privacy, når der tages nye initiativer
i Danmark. Digitaliseringsstrategien for Danmark 11 blev i første omgang fremlagt som
en effektiviseringsplan, hvor der var lagt op til at samkøre informationer og etablere
nye systemer uden hensyn til privacy. Efter pres fra Den Digitale Taskforce blev der imidlertid
nedsat en tværoffentlig arbejdsgruppe, som fik til opgave at lave en skabelon for
en privacy impact assessment (PIA) – altså en analyse af, hvilken privatlivsbeskyttelse et
givent system måtte tilbyde – og teste denne i virkeligheden 12 .
Risikovurderingen og sikkerhedsaspekterne er som udgangspunkt indrettet således,
at forvaltningen beskyttes og ikke hænges ud af Datatilsynet, som er den myndighed,
der kontrollerer, at ‘Lov om behandling af personoplysninger’ (Persondataloven) 13 overholdes.
Sikkerhed for at beskytte myndigheden er god – men det er altså ikke det samme
som at beskytte sikkerheden for borgerne.
Samtidig med at flere og flere data om borgerne registreres og behandles centralt,
følger bevillinger og mulighederne ikke med til de myndigheder, der skal vurdere rimeligheden
og lovligheden af behandlingerne.
I perioden 2000-2003 gennemførte Datatilsynet i gennemsnit 70 inspektioner årligt.
Da der i dag er anmeldt 3600 dataansvarlige og databehandlere, betyder dette, at Datatilsynet
kan foretage inspektion hos disse hvert 51. år 14 . Hertil kommer, at det hævdes,
at Tilsynet heller ikke kan engagere sig med vejledning i forhold til de parter, der måtte
have ønske om det.
Senest har Datatilsynet afvist Forbrugerrådets opfordring til at vurdere Facebooks brugerpolitik
15 . Der er ikke tilstrækkelige ressourcer eller kompetencer til at deltage i internationalt
arbejde udover ‘Artikel 29-gruppen’ 16 . Der er ikke mulighed for overordnet at få
hjælp til vurdering af nye teknologier. Endelig er der ingen garanti for, at kvaliteten af de
undersøgelser, som Datatilsynet foretager, er tilstrækkeligt grundig. Disse dele påpeges
i Teknologirådets rapport, som belyser tingenes tilstand i flere europæiske landes datatilsyn
17 .
overvågning
En anden udviklingstendens er den stigende overvågning, som vi ser over store dele af
verden. Internationalt er der siden den 11. september 2001 lagt stor vægt på at imødegå
terror, og det har resulteret i en masse forskellige overvågningstiltag.
Eksempler på danske tiltag inkluderer:
• Logningsbekendtgørelsen, 18 som sikrer, at alle trafikoplysninger i den danske del af
internettet skal logges, så de efterfølgende kan bruges af myndighederne til at opklare
forskellige forbrydelser.
19

• Mulighederne for tv-overvågning i Danmark er blevet udvidet med den seneste ændring
af loven fra 2006 19 .
• Hertil kommer flere andre initiativer i terrorlovene fra 2002 og 2006, som udbygger
politiets beføjelser, udvider PET, tager initiativer, som underminerer retsplejeloven og
dermed retssikkerheden m.v. Advokatsamfundet 20 har kommenteret på de fleste af
disse sager. Institut for Menneskerettigheder 21 har også været ret aktive og DI ITEK har
skrevet flere høringssvar, som involverer de teknologiske aspekter 22 .
Eksempler på mange forskelligartede internationale tiltag inkluderer:
• FRA-loven 23 , der er et eksempel på en svensk lovgivning, som påvirker danske borgere
og virksomheder. I loven specificeres det, at den svenske myndighed, Försvarets
Radioanstalt, kan overvågne udenlandsk telefoni og internet (herunder den danske),
som switches eller routes ind over den svenske grænse, hvad der af tekniske årsager
sker relativt hyppigt. Overvågningen omfatter såvel trafikinformation som selve trafikken.
Det vil sige, at de svenske myndigheder kan se, hvem der udveksler information
med hvem, og hvad selve informationen indeholder.
• Grundig visitation ved flyrejser på tværs af grænser er blevet mere og mere udbredt.
I USA er Transportation Security Administration, som blev dannet efter den 11. september
2001 og er en del af Homeland Security 24 , ansvarlig for at USA’s transportsystem
fungerer på sikker vis 25 . I et informationssikkerhedsperspektiv betyder det, at de
amerikanske grænsemyndigheder på vilkårlig vis kan få adgang til at analysere og
eventuelt kopiere indhold fra en hvilken som helst bærbar computer, der bæres over
grænsen ind i USA 26 .
• Kameraovervågning i England er steget ganske betydeligt gennem tiderne. I 2006 var
der 4,3 millioner overvågningskameraer – eller et kamera for hver 14. indbygger 27 .
• I henhold til The USA-PATRIOT Act fra 2001 skal der foretages biometrisk identifikation
af alle personer, som rejser ind i USA 28 .
• Fra EU er der idéer på bordet om ubemandede overvågningsdroner og andre overvågningstiltag,
som kommer til at ramme alle Europas borgere 29 . Dette blev i øvrigt
foreløbigt støttet af Folketingets Europaudvalg stort set uden debat, fordi sagen blev
behandlet som en orienteringssag 30 .
• I EU’s 7. Rammeprogram er der afsat midler til ‘Detection of abnormal behaviour’ og
‘Small area 24 hours surveillance’ 31 .
• USA er i gang med at planlægge komplet satellitovervågning af eget territorium 32 .
Listen over sådanne initiativer, som berører stort og småt, men som alle er vedtaget for
at dæmme op overfor terror, kunne fortsættes i en uendelighed.
Alle disse tiltag er fra den udviklede og demokratiske del af verden. Hertil kommer
alle de tiltag, som finder sted i verdens ikke-demokratiske regioner – og de tæller faktisk
stadig den største del af verden!
Der skal naturligvis gøres en indsats for at dæmme op for terror, og i den betydning
er initiativerne gode, fordi de øger borgernes sikkerhed i forhold til angreb på dem.
Men samtidig reduceres borgernes sikkerhed, fordi den udbredte overvågning i meget
høj grad indskrænker den sfære, vi har til privatliv. En række af de overvågningstiltag,
20

der sker, kan bruges til at danne profiler af, hvem vi er som mennesker. Det skaber en
ny type risiko for borgerne, som kan mistænkes for ting, som de ikke selv føler, de har
gjort.
Vi har indledningsvist i denne bog gennemgået en række årsager til, at overvågning
skal sættes i forhold til hvilket resultat, man kan opnå ved overvågningen. Et ekstra
forhold, der bør vurderes, er, at den, der overvåger, også fortolker det, han ser – eller de
data, han sidder overfor.
Det sker typisk uden at den der overvåges har mulighed for at forklare sig eller for-
svare sig. Der bliver lagt en fortolkning ned over data – som måske ikke er den korrekte.
Hvis man ser en mand sidde på en bænk i en park med en tom ølflaske og en hund
ved siden af sig, hvilken association får man så? Er det en mand, der er ved at drukne
sine sorger over, at konen er gået og jobbet og huset mistet? Eller er det en mand, der
tager et hvil mens han er ude og lufte hunden og har fundet en flaske, han vil aflevere
i Netto på vej hjem?
Hvis man finder et billede af en mandlig kollega i dametøj på en profil i et socialt
netværk, er han så transvestit eller til udklædningsfest? Eller tænker man: Han er nok til
udklædningsfest – men han må kunne li’ at gå i dametøj, siden han har det på! Måske
var festens tema dametøj, og kollegaen havde ikke andre valgmuligheder, hvis han ville
med til festen.
Den information kender man ikke, men man bedømmer eller måske endda fordømmer
alligevel.
De billeder, vi ser, får os til at konkludere ting, som ikke nødvendigvis er rigtige – og
årsagen er naturligvis, at vi ikke har perfekt information, men kun ser noget, der er taget
ud af en sammenhæng.
I den virkelige verden vil vi også have utilstrækkelig information, men vi vil typisk
have lettere ved at gå direkte til kilden for det, vi ser. De, der overvåger, har også utilstrækkelig
information. Hvis der er tale om mistanke om en kriminel handling, vil man
måske være nødsaget til at overvåge længe for at være sikker i sig sag, således at man
kan gå til domstolene.
Men afgørende er det, at informationerne, som kommer ind gennem overvågning, i sig
selv er utilstrækkelige, og at dem, der overvåges, typisk ikke har indflydelse på, hvordan
de fortolkes.
En tilsvarende analogi kan findes hos virksomheder. En virksomhed som LEGO vil
måske gerne forske i den måde, børn leger på, og måske beskrive forskelle på de to køn.
Hvis LEGO undersøger dette fra deres danske hovedkvarter i et engelsksproget land,
vil nogle af nøgleordene i undersøgelsen være ‘sex’, som betyder køn, og ‘child’, som
betyder barn. Undersøgelser, der inkluderer sådanne ord, vil typisk blive fanget af nogle
af de børnepornofiltre, der findes. I værste fald kan noget sådant blive rapporteret til
myndighederne, og en LEGO-medarbejder måske blive mistænkt for at have med børneporno
at gøre.
I lyset af denne overvågning er det naturligvis også værd at bemærke, om den overhovedet
har den tilsigtede effekt: At begrænse muligheden for og mængden af terroranslag.
21

Der har været skrevet ganske meget om dette emne, og synspunkterne er både for
og imod. En nyere interessant undersøgelse fra det amerikanske Homeland Securityprogram
peger på, at vi faktisk ved alt for lidt om terroristers adfærd til at kunne forlade
os på automatiseret overvågning 33 . Vi kan simpelthen ikke finde terroristerne blandt alle
de almindelige borgere, som vi overvåger – selv om vi overvåger på alle mulige måder.
Overvågning, som er rettet mod specifikke mistænkte, giver dog ofte gode resultater.
Tilsvarende kan man – efter at en kriminel handling har fundet sted – gå tilbage og se
på nogle af de data, man har indsamlet, og måske finde nogle mønstre i de kriminelles
aktiviteter.
Det er dog altid en overvejelse værd, om disse resultater står i rimelig balance med de
skadelige effekter, som overvågningen har.
Den samlede overvågning er gennem de senere år steget betydeligt, og verdens privacy-tilstand
er dermed på vej mod det værre, ifølge Privacy Internationals årlige undersøgelse.
Ifølge denne undersøgelse var Danmark i 2005 dårligere til at beskytte privatlivets
fred end lande som Tyskland, Østrig, Polen, Frankrig og Italien.
Danmark ligger i kategori med lande som Israel, Spanien, Argentina og Sverige 34 .
Privacy som menneskerettighed
Privacy er ikke rigtigt defineret entydigt nogle steder – hvilket kunne være ønskværdigt
ud fra et rettighedsperspektiv.
Der har dog været mange forsøg 35 , og det ældste eksempel, som går direkte på privacy,
stammer fra Louis Brandeis, som i slutningen af 1800-tallet beskrev det som ”the right
to be let alone” 36 .
Denne definition fanger imidlertid ikke hele risikoaspektet, som vi har set på ovenfor.
Robert Ellis Smith, som er redaktør for Privacy Journal, har defineret privacy som det
individuelle behov for et fysisk frirum, hvor vi kan vide os sikre for ikke at blive udsat
for forstyrrelser, indtrængning, blive sat i forlegenhed eller blive holdt ansvarlig for vores
handlinger – og hvor vi gerne vil kunne kontrollere og vide tidspunktet for og måden
hvorpå personlig information om os selv kommer til andres kendskab 37 .
Igen har vi ikke risikoaspektet og digitaliseringen med – selv om den dog nok ville
kunne afledes af denne definition.
EPIC 38 skitserer den del af privacy, der vedrører personlige data, som værende den
internationale konsensus, der vedrører retten til at indsamle, vedligeholde, anvende,
videregive/transmittere og behandle personlig information 39 . Her får vi for første gang
digitaliseringen med, men mangler stadig risikobilledet.
Den engelske tænketank, DEMOS, som forsker i demokrati og demokratiske principper,
definerer privacy som: “Privacy can best be understood as a protection against
certain kinds of risks – risks of injustice through such things as unfair inference, risks of
loss of control over personal information, and risks of indignity through exposure and
embarrassment” 40 .
Hermed får vi risikoaspekterne med, men rettighedsaspekterne fra de tidligere definitioner
er fraværende.
Retsligt er beskyttelsen af privacy fastlagt i international regulering 41 . Først og frem-
22

“Vi kan simpelthen ikke finde
terroristerne blandt alle de
almindelige borgere, som vi overvåger
– selv om vi overvåger
på alle mulige måder. Overvågning,
som er rettet mod specifikke mistænkte,
giver dog ofte gode resultater.”
Henning Mortensen
23

mest i FN’s Verdenserklæring om Menneskerettigheder fra 1948, hvor det i artikel 12
hedder:
“No one shall be subjected to arbitrary interference with his privacy, family, home or
correspondence, nor to attacks upon his honour and reputation. Everyone has the right
to the protection of the law against such interference or attacks” 42 .
Desuden er privacy fastlagt i Den Europæiske Menneskerettighedskonvention 43 fra
1950, hvor det i artikel 8, stk. 1, som omhandler ‘Ret til respekt for privatliv og familieliv’,
hedder:
”Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance.”
Disse to formuleringer er rimeligt overensstemmende. Imidlertid har Den Europæiske
Menneskerettighedskonvention en undtagelsesbestemmelse fra artiklens stk. 1 i artiklens
stk. 2, hvor det hedder:
”Ingen offentlig myndighed må gøre indgreb i udøvelsen af denne ret, medmindre det
sker i overensstemmelse med loven og er nødvendigt i et demokratisk samfund af hensyn
til den nationale sikkerhed, den offentlige tryghed eller landets økonomiske velfærd,
for at forebygge uro eller forbrydelse, for at beskytte sundheden eller sædeligheden eller
for at beskytte andres rettigheder og friheder”.
Både Verdenserklæringen og Den Europæiske Menneskerettighedskonvention indeholder
også retningslinier for beskyttelse af ytringsfriheden.
I den danske Grundlov reflekteres principperne også 44 . Retten til at kommunikere fastslås
i § 72:
”Boligen er ukrænkelig. Husundersøgelser, beslaglæggelse og undersøgelse af breve og
andre papirer samt brud på post-, telegraf- og telefonhemmeligheden må, hvor ingen lov
hjemler en særegen undtagelse, alene ske efter en retskendelse.”
Og ytringsfriheden fastslås i § 77:
”Enhver er berettiget til på tryk, i skrift og tale at offentliggøre sine tanker, dog under
ansvar for domstolene. Censur og andre forebyggende forholdsregler kan ingensinde på
ny indføres”.
Privacy i retslig praksis kan så udledes af det arbejde, der er sket i OECD 45 , Europarådet
46 samt EU, og som er implementeret i den danske ‘Lov om behandling af personoplysninger’
(Persondataloven), som tidligere er omtalt.
Alle disse regulatoriske tiltag er grundlaget for, at man kan tale om privacy som en ret
eller en menneskeret.
Heraf følger også, at der er en række ulemper ved, at denne ret brydes, således som
Tænk og DI ITEK har omtalt det tidligere i denne bog.
løsninger
En række teknologiske løsninger kan dæmme op for privacy-problemerne og bidrage
til at skabe sikkerhed – både i forhold til en indsats imod terror og i forhold til risici for
eksponering af data – samtidig med at privacy bevares.
Dermed er retten til privacy bevaret. Ved at lægge vægt på disse løsninger kan man
altså få det bedste fra alle verdener.
Disse løsningsforslag kan samtidig ses som en politisk ønskeliste til, hvad der skal
24

til på området. Listen kan også betragtes som en to-do-liste for myndigheder og virksomheder,
der skal i gang med at implementere privacy. Det er en oversigt over de forskellige
initiativer, som ITEK under DI arbejder på at få gennemført – både i det danske
samfund og internationalt.
1. Privacy by design
Privacy kan designes ind i løsninger fra det tidspunkt, de bliver født.
Et godt eksempel kunne være roadpricing-systemer. Formålet med disse er at få folk,
der kører på vejene, til at betale for deres kørsel. På den måde kan man både få midler
til vejsystemet, og man kan regulere trafikkens omfang og de ruter, der anvendes.
Et sådant system kan indrettes på (mindst) to måder. I det ene scenarium er der i bilen
en transmitter og en receiver 47 . Transmitteren fortæller en satellit, hvor den befinder sig.
Satellitten fortæller så bilens receiver, hvad det koster at køre der – og en regning kan
udskrives til bilens ejer på månedlig basis.
Med denne løsning ved satellitten, hvor bilen befinder sig på ethvert tænkeligt tidspunkt.
Hvis man lagrer og bruger satellittens data til andet end at udskrive regninger,
kan man altså kortlægge bilens færden på ethvert tidspunkt.
I det andet scenarium har bilen kun en receiver. Bilen modtager som i det første
scenarium en pris på, hvad det koster at køre et bestemt sted hen. Men i stedet for at
fortælle satellitten, hvor bilen befinder sig, trækkes der et beløb pr. kørt kilometer på et
betalingssystem lokalt i bilen. Betalingssystemet kan fyldes op som et mobilt taletidskort
på enhver tankstation, når man alligevel køber benzin. På den måde er der ikke nogen
central registrering af, hvor bilen befinder sig på noget tidspunkt – og man har dermed
designet privacy ind i roadpricing-systemet fra starten.
Når man politisk beslutter roadpricing – og beslutter, hvordan det skal implementeres
– er det altså vigtigt, at man ikke kun har fokus på trafikpolitik, men også på de itpolitiske
implikationer. Privacy skal designes ind fra starten, inden man bruger formuer
på investering i en ‘forkert’ infrastruktur, som invaderer borgernes privatliv, uden at det
var nødvendigt for formålet om at indføre roadpricing.
Der er blevet gjort opmærksom på behovet for sådanne tiltag fra mange sider. Først
i Meta Group Research’s rapport til Videnskabsministeriet om privacy fra marts 2005,
hvor det bl.a. hedder: ”… it could be valuable to establish a set of architecture principles
for privacy, and to include the privacy requirements in the enterprise architecture work
currently in progress under the Danish it architecture and software strategy” 48 . Videnskabsministeriets
it-sikkerhedskomite har rejst sagen og vejledt ministeriet i forhold til,
hvad der burde gøres 49 .
Samme råd er også givet via Privacyforum, som var en møderække af interessenter,
der mødtes i Videnskabsministeriets regi 50 . Sidstnævnte sæt af anbefalinger er udarbejdet
af en lang række organisationer, som deltog i dette arbejde – således også DI ITEK.
De nærværende anbefalinger ligger meget tæt op af dette arbejde.
2. Privacy Impact Assessment
En Privacy Impact Assessment (PIA) er en analyse af, hvilken privatlivsbeskyttelse et
givent system måtte tilbyde. Analysen laves med det formål at undgå tab af tillid til
25

systemet fra brugerne. Analysen laves også for at kunne inddrage privatlivshensyn på et
tidligt tidspunkt i et projekt, og for at sikre, at projektet lever op til lovgivningen.
Men PIA bliver ikke bedre end de kriterier, der opstilles, og de spørgsmål, der stilles. Når
man skal vurderer PIAers kvalitet, er det derfor vigtigt at se på:
• Om de giver reel compliance i den gængse fortolkning af loven.
• Om de anvender ‘teknologiens aktuelle stade’, som det så smukt er formuleret i EU’s
persondatadirektiv.
• Om de går videre end loven og opstiller ikke bare lovlige krav, men også rimelige ekstra
krav – som f.eks. at stille særlige krav til arkitekturen eller anvendelse af Privacy
Enhancing Technologies (se punkt 3).
På den måde kommer man til at se på ansvar, begrænsning i indsamling, formålsspecificering
og brug – herunder anvendelsesbegrænsning, nøjagtighed, sikkerhedsmæssig
beskyttelse, åbenhed i forhold til praksisser og brugers ret til indsigt. Man kommer til at
vurdere, om man har brugt de tidssvarende teknologier. Endelig kommer man til at vurdere,
om de data, man indsamler, er nødvendige, og om det overhovedet er nødvendigt,
at personer er identificeret, for at data kan anvendes.
PIAen kan være tung at gå igennem. Der kan derfor argumenteres for at anvende en
light-model ved marginale ændringer af systemer, hvor det ikke er en del af opgaven at
indsamle flere eller andre personhenførbare data. Hvis der derimod skal indrettes et helt
nyt system, er det en god investering at gennemløbe hele PIAen fra starten.
Der er lavet grundige arbejder på dette område i de senere år. Således har både Canada
51 , Australien 52 og England 53 nogle skabeloner, som der er værd at tage udgangspunkt i 54 .
Der er i Danmark på bl.a. DI ITEKs foranledning nedsat en tværoffentlig arbejdsgruppe,
som skal lave et dansk udkast til en skabelon for PIA og desuden afprøve denne i praksis.
Arbejdet er påbegyndt, og det forventes at skabelonen ligger klar i starten af 2009.
3. Privacy Enhancing Technologies
Privacy Enhancing Technologies (PETs) er en fællesbetegnelse for teknologier eller metoder,
som giver privacy-beskyttelse.
Typisk sættes disse teknologier eller metoder i en sammenhæng med andre teknologier,
der ikke – som udgangspunkt – beskytter privacy. Ved at ændre den oprindelige
teknologi eller lægge et nyt lag teknologi ovenpå, kan man bringe den oprindelige
teknologi til at respektere privacy.
Et eksempel kan illustrere dette. Radio Frequency Identification Chips (RFID-chips)
har været kendt i mange år, men er blevet meget hypet de senere år – vel nok mest, fordi
FN har udpeget denne teknologi til at spille en central rolle i fremtiden.
FNs vision er, at alle verdens ting skal have en RFID-chip på sig og så kobles på internettet,
så vi kan få et internet af ting 55 . Der findes flere forskellige typer RFID-chips, men
den mest simple er en passiv chip, som modtager en ekstern energiimpuls fra en RFIDlæser
på en bestemt frekvens og så svarer med et nummer. Hver gang den pågældende
energiimpuls modtages, svarer chippen – uanset hvem der afsender impulsen. Dette er
smart, fordi hver eneste ting i verden kan have et unikt nummer, og dermed identificeres
entydigt. Det har potentialet til at kunne effektivisere folks hverdag betydeligt, til
26

at forbedre sundheden og redde liv – og til at effektivisere både den private og offentlige
sektor.
Der er imidlertid en privacy-udfordring: Hvis man kender nummeret på en chip, som
man ved er i en bestemt borgers besiddelse, vil man principielt set kunne spore ham,
hver gang han kommer i nærheden af en RFID-læser.
Man kan imidlertid ændre chippen og tilføje en anden funktionalitet, således at chippen
kun svarer på henvendelser fra de RFID-læsere, borgeren på forhånd har defineret
– og ikke fra nogen andre RFID-læsere. På denne måde vil en borger kunne få alle teknologiens
fordele, uden at måtte leve med at få sin privacy krænket 56 .
Et andet centralt element blandt PETs er sondringen mellem de tre niveauer: Identifikation,
pseudonymisering og anonymisering.
Identifikation betyder, at sagsbehandleren i forhold til et datasæt ved, hvem data
vedrører. I dette tilfælde står borgeren over for alle de sikkerhedsrisici, som vi ovenfor
har berørt.
Pseudonymisering betyder, at sagsbehandleren i forhold til et datasæt ikke ved, hvem
data vedrører – men er i stand til at finde ud af det med en dommerkendelse i hånden,
hvis man mistænker den, som data vedrører, for at have gjort noget galt. I dette tilfælde
står borgeren ikke over for nogle væsentlige sikkerhedsrisici, fordi mange faktorer skal
spille sammen samtidig, før hans identitet kan afsløres. Hvis data slipper ud til uvedkommende,
vil de kun i meget sjældne tilfælde kunne identificere ham. Dette skyldes,
at det kun er få data, der er henførbare til én eneste person – f.eks. en meget sjælden
sygdom.
Når borgeren selv har brug for at blive identificeret – f.eks. ved et lægebesøg – kan
han til enhver tid skabe sammenhæng mellem sin identitet og data. Faktisk har borgeren
mulighed for at lave flere identiteter i de forskellige sammenhænge, han optræder i.
Anonymisering betyder, at sagsbehandleren i forhold til et datasæt ikke ved, hvem
data vedrører – og heller ikke har mulighed for at finde ud af det. I dette tilfælde står
borgeren ikke over for nogle sikkerhedsrisici overhovedet. Men det er ikke optimalt for
samfundet, for hvis sagsbehandleren har behov for at få fat i borgeren – f.eks. som følge
af mistanke om skatteunddragelse eller alvorlig sygdom – er det ikke muligt. Borgeren
kan ikke drages til ansvar for sine handlinger eller hjælpes.
Løsningen er med andre ord at anvende pseudonymisering, fordi borgerens data ikke
kan knyttes til hans identitet, hvilket minimerer hans sikkerhedsrisici og beskytter hans
rettigheder – samtidig med at borgeren kan drages til ansvar for de handlinger, han
foretager sig i samfundet.
Der er behov for at den offentlige sektor – og særligt den del af sektoren, som står for
indkøb af moderne teknologier – får øjnene op for pseudonymisering og får afprøvet
disse teknologier. I praksis er det ITEKs håb, at PIA-skabelonen kan bidrage til at åbne
øjnene for denne gruppe af teknologier.
4. Forskning
Det er som nævnt blevet hævdet, at vi ved meget lidt om, hvordan terrorrister agerer, og
at overvågning derfor har en tvivlsom effekt.
På samme måde ved vi meget lidt om, hvad borgerne ønsker sig af privacy, og hvor-
27

dan de ville reagere, hvis de havde information om, hvordan forskellige teknologier i
virkeligheden er indrettet.
Privacy-forskningen skal være tværvidenskabelig, teknologineutral, fri og uafhængig
med forankring i både universiteter og erhvervsliv.
Der bør dannes et institut til forskning i privacy. Instituttet skal have en fast bevilling
og have mulighed for aktiv deltagelse i grundforskning og ansvar for uddeling af forskningsmidler,
da denne form vil sikre konsistens og forankring over tid.
Der bør laves et forskningsprogram dedikeret til privacy under det strategiske forskningsråd.
Der er også et generelt behov for at øge opmærksomheden omkring privacy blandt
forskere inden for andre discipliner. Når man f.eks. forsker i sundhedsforhold, er det
vigtigt, at forskere ikke alene finder en løsning på en konkret sundhedsmæssig udfordring,
men også overvejer, om løsningen kan gennemføres på en sådan måde, at
privacy respekteres.
Tilsvarende gælder det på trafikområdet, som roadpricing-eksemplet ovenfor har vist.
Helt generelt skal privacy-overvejelser tænkes ind i tilrettelæggelsen af forskning, fordi
problemstillinger om privacy går på tværs af teknologi og strækker sig over f.eks. samfundsfaglige,
juridiske og humanistiske fagområder.
5. Netværk
Privacy har generelt trange kår i Danmark. Der er behov for at forene de kræfter, som arbejder
for bedre privacy i Danmark, således at indsatsen kan gøres mest mulig effektiv.
Dette bør ske gennem dannelsen af en privacy-portal, som kan sikre delingen af relevant
information blandt de forskellige aktører. Portalen kan være redskabet til at få
etableret nogle ad-hoc-baserede netværk, som kan tage forskellige relevante emner op
– og sikre at der er fokus på privacy på den lange bane.
Der er under Videnskabsministeriets it-sikkerhedskomité i 2008 taget initiativ til at få
lavet et sådant redskab. I skrivende stund er arbejdet endnu ikke sat i værk, og vi kender
derfor endnu ikke effekten af et sådant tiltag.
6. International indsats
Mange danske organisationer og myndigheder deltager i det internationale arbejde med
privacy.
Som hovedregel har hver aktør sin egen dagsorden i disse fora, og der sker ikke koordination
med andre aktører.
Der er behov for at samle disse danske aktører og sikre udveksling af synspunkter,
så aktørerne kan trække på samme hammel og i fællesskab kan få sat særlige danske
synspunkter i debatten på den internationale dagsorden.
Internationalt ville det også være nyttigt, hvis man kunne lave en fælles europæisk
skabelon for en PIA.
Dette ville bidrage til, at de forskellige europæiske lande kom tættere på en identisk
fortolkning af persondatadirektivet.
Med mere europæisk fælles fortolkning behøvede de forskellige europæiske datatilsyn
ikke hver især bruge ressourcer på at fortolke forskellige tjenester som f.eks. Facebook
28

eller Google og teknologier som f.eks. RFID og biometri. I stedet kunne det ske centralt
og harmonisk en gang for alle.
Europæiske borgere kunne dermed føle sig sikre på, at deres data blev behandlet ens
i alle europæiske lande – hvad der i det mindste ville skabe større gennemsigtighed
for borgeren. For virksomhederne vil det være en administrativ lettelse, at de ikke skal
indrette systemer forskelligt afhængigt af, hvilket europæisk land de opererer i.
Det må forventes, at persondatadirektivet på et tidspunkt i en ikke al for fjern fremtid
skal revideres. Også i denne sammenhæng vil det være nyttigt, at danske interessenter
kan tale sammen og få bragt danske synspunkter til Europa.
7. Awareness hos borgere
Selv om teknologiske løsninger og metoder kan afhjælpe en del af privacy-problematikken,
kan problemet ikke løses alene på denne måde. Der er behov for, at borgerne sættes
i stand til at gennemføre deres egen lille risikovurdering, når de står over for et system
eller en service, som ikke beskytter deres privacy. Borgerne bør f.eks. ikke ukritisk udlevere
følsomme oplysninger til hvem som helst.
Borgerne bør også have et sted, hvor de kan finde oplysninger om hvordan de skal
beskytte sig mod bestemte typer af potentielle farer.
Hvordan kan man f.eks. fornuftigt anvende Facebook eller andre sociale netværk 57 ?
Hvordan kan man beskytte indholdet af sin kommunikation mod den svenske FRA-lovgivning
58 ? Hvordan kan man beskytte sin trafikinformation, når man går på internettet,
mod den danske logningsbekendtgørelse 59 ?
Formålet med dette er naturligvis, at borgerne ikke får dårlige oplevelser ud af at bruge
de digitale medier – som for eksempel at få stjålet deres elektroniske identitet.
Blandt virksomheder og myndigheder bør der være fokus på at få skrevet og let kommunikeret
privacy-politikker, så borgerne kan forholde sig til, hvorfor og hvordan data
behandles, hvis de afgiver personlige oplysninger.
Endelig kan man forholdsvis let få sat fokus på området ved f.eks. at afholde årlige
privacy-konferencer eller uddele en privacy-pris til f.eks. teknisk forbilledlige løsninger,
forbilledlig forskning eller særlig god politisk kommunikativ indsats på området.
DI mener, at der er behov for en politisk indsats som dækker følgende områder:
• Der skal arbejdes på at få designet privacy ind i teknologiske løsninger fra starten.
• Der skal laves en skabelon for PIA og denne skal afprøves i praksis.
• Der skal arbejdes på at få fremmet anvendelse af PETs – især pseudonymisering – og
dette skal testes i en praktisk case.
• Forskningen i privacy skal styrkes og opmærksomheden omkring privacy blandt forskere
skal generelt forbedres.
• Der bør skabes et redskab til at lave netværk og dele information blandt de professionelle
på privacy-området.
• Der bør ske en koordination blandt de aktører, som er aktive på privacy-området internationalt.
• Der er behov for at sætte borgerne i stand til at vurdere deres risici og beskytte deres
privacy.
29

noter
1) ”Privatlivets fred – ikke i Danmark?” http://www.di.dk/Virksomhed/IT/Informationssikkerhed+og+Privacy/Privacy/Privatlivets+fred+-+ikke+i+Danmark.htm
2) http://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/AArsberetninger/aars_03.pdf, p. 143
3) http://www.dr.dk/P1/orientering/indslag/2007/03/30/161832.htm og http://www.computerworld.dk/art
/43723?cid=4&q=datatab&sm=search&a=cid&i=4&o=13&pos=14
4) http://www.datatilsynet.dk/fileadmin/user_upload/dokumenter/AArsberetninger/aars_04.pdf, p. 79
5) http://www.computerworld.dk/art/43083?cid=4&q=datatilsyne
t&sm=search&a=cid&a
mp;amp;amp;amp;amp;amp;amp;amp;i=4&o=4&am
p;
6) http://www.computerworld.dk/art/42768?cid=4&q=privacy+uk&sm=search&a=cid&i=4&o=10&po
s=11
7) http://www.nytimes.com/2008/08/23/world/europe/23britain.html?partner=rssnyt&emc=rss
8) http://www.theregister.co.uk/2008/10/06/t_mobile_records_lost/
9) http://www.usatoday.com/tech/techinvestor/industry/2008-04-02-tjx-data-breach_N.htm
10) http://www.berlingske.dk/article/20080917/verden/80917088/
11) http://modernisering.dk/fileadmin/user_upload/documents/Vision_og_Strategi/Strategi_for_digital_forvaltning/Strategi_for_digital_forvaltning_2007-2010_endelig.pdf.
12) http://www.di.dk/Virksomhed/IT/Informations-sikkerhed+og+Privacy/Politiske+udspil/
Privacy+og+digital+forvaltning.htm.
13) http://www.folketinget.dk/Samling/19991/lovforslag_som_fremsat/L147.htm. Loven er baseret på
“Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection
of individuals with regard to the processing of personal data and on the free movement of such data”,
http://europa.eu.int/eur-lex/lex/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:DA:HTML.
14) http://www.folketinget.dk/img20031/udvbilag/lib3/20031_10383/20031_10383.pdf.
15) http://www.computerworld.dk/art/48392?cid=4&q=Forbrugerr%E5det&sm=search&a=cid&i=4&o=0
&pos=1.
16) Artikel 29-gruppen består af repræsentanter for EU-landenes respektive Datatilsyn og er nedsat i overensstemmelse
med databeskyttelsesdirektivet, http://www.datatilsynet.dk/internationalt/artikel-29-gruppen/.
17) http://www.eptanetwork.org/EPTA/EPTA-report-ict-and-privacy-in-europe.pdf.
18) https://www.retsinformation.dk/Forms/R0710.aspx?id=2445.
19) https://www.retsinformation.dk/Forms/R0710.aspx?id=2652.
20) http://www.advokatsamfundet.dk/Default.aspx?ID=11687&CurrentPage=1&q=terror.
21) http://menneskeret.dk/danmark/høringssvar.
22) http://www.di.dk/Virksomhed/IT/Informations-sikkerhed+og+Privacy/Politiske+udspil/.
23) Regeringens proposition 2006/07:63, ”En anpassad Försvarsunderrättelsesverksamhet”, http://www.
regeringen.se/content/1/c6/07/83/67/2ee1ba0a.pdf.
24) http://www.dhs.gov/.
25) Mere information om TSA på http://www.tsa.gov.
30

26) http://www.tsa.gov/blog/2008/01/gripes-grins.html , http://articles.latimes.com/2008/jun/26/business/
fi-laptops26, http://www.usnews.com/articles/news/national/2008/06/24/seizing-laptops-and-cameraswithout-cause.html
og http://www.dailymail.co.uk/news/worldnews/article-1040812/Airport-threatlaptop-U-S-gets-power-seize-iPods-mobiles-new-anti-terror-measure.html.
27) http://news.bbc.co.uk/1/hi/uk/6108496.stm.
28) http://www.privacyinternational.org/article.shtml?cmd%5B347%5D=x-347-61327.
29) http://www.statewatch.org/news/2008/jul/eu-futures-jha-report.pdf.
30) http://www.computerworld.dk/art/47402.
31) Begge emner er beskrevet i det 7. rammeprogram for forskning, Cooperation, Security, call 1, initiativ:
SEC-2007-2.3-03 og SEC-2007-2.3-04, http://cordis.europa.eu/fp7/dc/index.cfm?fuseaction=UserSite.
CooperationDetailsCallPage&call_id=34#infopack.
32) http://www.comon.dk/news/usa.vil.satellitovervaage.sine.borgere_37922.html.
33) http://www8.nationalacademies.org/onpinews/newsitem.aspx?RecordID=10072008A.
34) http://www.privacyinternational.org/article.shtml?cmd[347]=x-347-545269.
35) Et af de mest sprogligt svulstige eksempler findes hos det engelske parlamentsmedlem William Pitt som i
sin tale ved Excise Bill I 1763 skrev: “The poorest man may in his cottage bid defiance to all the force of
the Crown. It may be frail; its roof may shake; the wind may blow through it; the storms may enter; the
rain may enter - but the King of England cannot enter; all his forces dare not cross the threshold of the
ruined tenement”, Privacy & Human Rights, udgivet af EPIC, 2003, p. 5.
36) Samuel Warren and Louis Bradeis, The Right to privacy, 4 Harvard Law review, 193-220 (1890), citeret fra
Privacy & Human Rights, udgivet af EPIC, 2003, p. 2 og 6. Originalteksten kan findes her: http://www.
louisville.edu/library/law/brandeis/privacy.html.
37) Robert Ellis Smith, Ben Franklin’s Web Site 6 (Sheridan Books 2000), citeret fra Privacy & Human Rights,
udgivet af EPIC, 2003, p. 2.
38) EPIC står for Electronic Privacy Information Center, og er formodentlig USA’s mest indflydelsesrige privacyorganisation.
39) http://www.epic.org/reports/dmfprivacy.html.
40) http://www.demos.co.uk/catalogue/thefutureofprivacyvolume1.
41) Bemærk at nogle af disse dokumenter er juridisk bindende, mens andre er politiske hensigtserklæringer.
Typisk er konventionerne juridisk bindende.
42) http://www.un.org/Overview/rights.html.
43) Originaltitlen er i oversættelse: “Konvention til beskyttelse af Menneskerettigheder og grundlæggende
Frihedsrettigheder” og kan findes på http://www.menneskeret.dk/menneskeretieuropa/konventionen/
selveemrk/. Den engelske originaltekst kan findes her: http://conventions.coe.int/Treaty/en/Treaties/
Html/005.htm. Kilden til denne er Europarådet, http://www.coe.int.
44) http://www.grundloven.dk/.
45) “OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data”, http://www.
oecd.org/document/18/0,2340,en_2649_34255_1815186_1_1_1_1,00.html.
46) “Convention for the Protection of Individuals with regard to the Automatic Processing of Personal Data
Convention”, http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm.
47) Meget simplificeret sender en transmitter data og en receiver modtager data.
48) ”Privacy Enhancing Technologies” p. 37. Rapporten er ikke længere at finde på Videnskabsministeriets
hjemmeside, men kan findes omtalt her: http://www.privacyforum.dk/?paged=4.
31

49) http://www.di.dk/NR/rdonlyres/45F399E8-E475-42F3-920B-CDDA022D9387/0/ITsikkerhedspanelanbefalingerforprivacy.pdf.
50) http://www.itst.dk/it-sikkerhed/privatlivets-fred/resolveuid/4dfda04dbaefb5064e197062a71fe87f.
51) http://www.tbs-sct.gc.ca/pubs_pol/ciopubs/pia-pefr/siglist-eng.asp.
52) http://www.privacy.gov.au/publications/pia06/index.html.
53) http://www.ico.gov.uk/upload/documents/pia_handbook_html/html/1-intro.html.
54) DI ITEK var tidligt ude og opstillede på baggrund af Europarådet, OECD og EU’s arbejde en række kriterier
for privacy (http://www.di.dk/NR/rdonlyres/85B0EB96-9850-4CB5-89DC-8BC404310CC0/0/Principperforprivacy.pdf)
tillige med en række spørgsmål for hvordan disse kunne implementeres (http://www.
di.dk/NR/rdonlyres/F51D1507-C979-4C30-993F-E5B9E96D68FD/0/GodPrivacyPraksis.pdf). Dette var det
første arbejde på området i Danmark. Det må i dag vurderes, at de udenlandske arbejder i det mindste i
forhold til compliance går videre end DI ITEKs arbejde.
55) http://www.itu.int/osg/spu/publications/internetofthings/.
56) I Danmark har bl.a. Forbrugerrådet og DI ITEK i regi af Teknologirådet lavet en aftale om, hvordan man
på fornuftig vis implementerer RFID-teknologi i Danmark, http://www.tekno.dk/pdf/projekter/p04_RFID.
pdf.
57) Først og fremmest bør man tænke sig om og ikke lægge oplysninger ud, som man senere kan komme til
at fortryde. Internettet husker principielt set alt. En meget kortfattet liste med gode råd kan findes hos
Datatilsynet, http://www.datatilsynet.dk/borger/internettet/persondataloven-og-sociale-netvaerk/.
58) Løsningen er kort fortalt at kryptere al følsom og fortrolig kommunikation.
59) Løsningen er at installere et netværk, som skjuler trafikinformationerne. Fællesbetegnelser for denne type
netværk er onionrouting eller mixnets. Et eksempel herpå er TOR-netværket, http://www.torproject.org/
32

facebook og forbrugerne
Af Anette Høyrup, jurist i Forbrugerrådet, medlem af it-sikkerhedskomitéen og
Rådet for it- og persondatasikkerhed
Facebook er i dag det mest populære sociale netværk og har revolutioneret den måde,
man kommunikerer på internettet. I dag har over 1 million danskere en personlig profil
på siden. Profiler som i større eller mindre grad rummer personlige oplysninger om den
enkelte bruger.
Med nye teknologier opstår nye markeder og dermed nye måder at tjene penge på. For
brugeren er tjenesten ”gratis”, men forretningsidéen bag Facebook og andre internetbaserede
tjenester bygger på indsamling af mest mulig viden om flest mulige brugere.
Det skyldes den kolossale økonomiske værdi, det har for virksomhederne at eje databaser
med adgang til brugerens individuelle profiler, der kan videresælges og udnyttes
kommercielt. Jo mere virksomheden ved om den enkelte, jo større er muligheden for at
lave målrettet markedsføring. Facebook er blot et eksempel på den ekstreme indsamling
af oplysninger, som internettet har åbnet for. Andre tjenester som f.eks. søgemaskinen
Google bygger på en lignende forretningsmodel.
Men så længe man ikke har noget at skjule, er der vel ikke et problem?
Argumentet ovenfor er typisk. Forbrugerrådet frygter imidlertid, at markedet for persondata
er så uigennemsigtigt og ukontrolleret, at det er umuligt for forbrugerne at
overskue konsekvenserne af denne omfattende indsamling og udnyttelse af private
oplysninger.
oplysninger på facebook
Allerede ved tilmeldingen starter indsamlingen af oplysninger om brugeren – og dennes
venner – idet Facebook beder om password til éns private e-mail. Derefter henter Facebook
e-mails i brugerens adressebog for – på vegne af den nye bruger – at sende invitationer
til Facebook.
Disse e-mailadresser beholder Facebook – også på de personer, der ikke er en del af
Facebook og som aldrig har givet tilladelse til denne indsamling.
Så snart brugeren lægger oplysninger ind på siden og i sin profil, via de grupper, vedkommende
tilmelder sig – eller på ‘vægbeskeden’ – overgår de til Facebook.
facebooks brugerbetingelser
Som det fremgår nedenfor er det ikke småting, brugerne må acceptere for at benytte
Facebook.
Ifølge vilkårene giver brugeren Facebook en ”uopsigelig, evig, ikke-eksklusiv, overførbar,
fuldt betalt, global licens (=adgang) til at bruge, kopiere, opføre offentligt, vise
offentligt, omformatere, oversætte, uddrage (helt eller delvist) og distribuere dette brugerindhold
til ethvert formål, kommercielt, reklamemæssigt eller øvrigt, på eller i forbindelse
med websiden eller promovering heraf, til at udarbejde afledte værker af dette
34

ugerindhold, eller indarbejde det i andre værker, og til at bevillige og bemyndige underlicenser
af ovenstående.” (Anvendelsesvilkår af 23. september 2008)
Facebook oplyser, at de ikke ”hævder noget ejerskab af dit brugerindhold” – hvilket
må betyde, at samtykket alene giver Facebook en slags evig brugsret til oplysningerne.
Ifølge betingelserne er det også muligt (om end svært i praksis!) at fjerne sin profil fra
siden, men ifølge betingelserne ”anerkender du dog, at firmaet kan beholde arkiverede
kopier af dit brugerindhold.” Hvad kopierne skal bruges til, fremgår imidlertid ikke.
Benytter man applikationer (små softwareprogrammer som spil, animerede fødselsdagshilsner,
vittigheder) breder indsamlingen af personlige oplysninger sig til at omfatte
indsamling til tredjemand – altså til Facebooks samarbejdspartnere. Ifølge Facebooks
statistikoplysninger er der tilknyttet 400.000 firmaer, som sælger applikationer til siden
og mere end 95 procent af alle brugere har som minimum åbnet én applikation.
Modtager man for eksempel en intelligenstest eller tilmelder man sig et stamtræ,
udveksles brugerens data fra Facebook til de firmaer, som udvikler applikationerne.
Men det stopper ikke dér. Brugeren må også acceptere, at udvikleren også indhenter
oplysninger om éns venner i netværket. På den måde multidobles antallet af profiler,
som tredjemand får råderet over.
Hvilke oplysninger indsamles?
Nogle af de personlige oplysninger, der bliver indsamlet, er for eksempel navn, alder,
status, interesser, fysiske form, datingprofiler, venner og bøger. Men det er også
oplysninger, som man giver indirekte ved at læse om bestemte emner. Selv om Facebook
gør meget ud af at understrege, at de ikke videregiver din e-mail og privat adresse (men
kun alle andre oplysninger!) er disse oplysninger ofte let tilgængelige via andre kanaler
som telefonbogen eller elektroniske søgemaskiner.
Facebook-siden kan indeholde: Dit navn, dit profilbillede, dit køn, din fødselsdag, din
fødeby (by/stat/land), nuværende bopæl (by/stat/land), din politiske overbevisning,
dine aktiviteter, dine interesser, dine musikalske præferencer, tv-shows som du er interesseret
i, film som du er interesseret i, bøger som du er interesseret i, dine yndlingscitater,
teksten i din ‘om mig’-sektion, din civilstatus, dine datinginteresser, dine forholds
interesser, dine sommerplaner, din tilknytning til Facebook-brugernetværk, din uddannelse,
din arbejdserfaring, oplysning om dine fag, kopier af billeder i fotoalbum på din
Facebook-side, metadata relateret til fotoalbum på din Facebook-side (f.eks. tidspunkt
for upload, albummets navn, kommentarer til dine billeder osv.), det samlede antal
beskeder, du har sendt og/eller modtaget, det samlede antal ulæste beskeder i din indbakke
på Facebook, det samlede antal ‘prik’, du har sendt og/eller modtaget, det samlede
antal vægpost på din Wall, en liste over kortlagte bruger-id’er til dine Facebookvenner,
din sociale tidslinje og begivenheder forbundet med din Facebook-profil.
Beskyttelse af privatlivet
Mange forbrugere mener, at indsamling af personlige oplysninger ikke er et problem, ”så
længe man ikke har noget at skjule.” Forbrugerrådet mener, at man skal have ret til at
vælge, hvad man deler med hvem, til hvilket formål og hvor længe.
Retten til privatliv handler i bund og grund ikke om at kunne eller ønske at skjule
35

noget. Privatlivsbeskyttelse er en grundlovssikret rettighed, som sikrer, at man kan
bevæge sig frit og ubevogtet rundt, hvilket understøtter ytringsfriheden og dermed
demokratiet.
Hvis man konstant kigges over skulderen ved enhver bevægelse eller ytring, er der
stor risiko for, at man begrænser sig og dermed udøver selvcensur.
En undersøgelse om overvågning på arbejdspladser fra oktober 2008 konkluderer, at
næsten 90 procent af medlemmerne hos HK/Handel oplever overvågning på arbejdspladsen.
Eksperter vurderer, at dette kan medføre stress.
Konkrete sager om facebook
Selv om Facebook ”bare er for sjov” bliver det meget virkeligt, når den virtuelle verden
blander sig i éns virkelige verden.
Uanset at udviklingen er forholdsvis ny, har der allerede vist sig flere problemer i kølvandet
på Facebooks succes og den til tider ukritiske brug heraf.
I efteråret 2007 lancerede Facebook et nyt annonceselskab, Beacon. Gennem Beacon
indsamlede Facebook oplysninger om, hvilke film, sko, bøger, cd’er og meget andet, brugerne
købte. Oplysningerne kom fra Facebook’s samarbejdspartnere, der blandt andet
tæller internetboghandlen Amazon og filmtjenesten Blockbuster.
Oplysningerne om indkøbene blev sendt som besked til alle i den pågældende persons
Facebook-netværk – sammen med et billede af den pågældende. På den måde kom
Facebook-brugerne til at annoncere for de produkter, de havde købt. Ret smart set fra et
markedsføringssynspunkt – men stærkt problematisk såvel juridisk som etisk.
Heldigvis sagde brugerne af Facebook i dette tilfælde selv stop. De oprettede protestgrupper
på nettet, og til sidst fik det Facebooks direktør til at standse den nye praksis
og undskylde.
I sommeren 2008 lagde en svensk læge et operationsbillede og oplysninger om en
patient ud på Facebook, og omtalte patienten nedsættende. Lægen var ikke klar over, at
materialet var tilgængeligt for alle.
Flere kendte mennesker har fået stjålet deres identitet (fået kopieret billeder og tekst)
på ét socialt netværk – og er herefter blevet placeret på et andet. Med den konsekvens,
at børnebørnene mailede med en hacker på Facebook i stedet for med bedstemor.
Det er også kommet frem, at skilsmisseadvokater følger med i modpartens Facebook
profil for derigennem at finde frem til ‘snavs’, der kan bruges i retten.
En amerikansk undersøgelse fra september 2008 viser, at knap hver fjerde arbejdsgiver
vurderer potentielle medarbejdere gennem deres Facebookprofil. Der tjekkes blandt andet
for stavefejl og kigges på festbilleder. Ifølge undersøgelsen har 34 procent af arbejdsgiverne
valgt at droppe en potentiel medarbejder på baggrund af de informationer, de
finder på Facebook eller MySpace.
Dertil kommer løbende historier om Facebooks sikkerhedsbrister, som eksempelvis
hackere, som får adgang til brugernes pc’ere, orme, der spreder virus og Facebooks skyld
i øget udbredelse af spam.
Kontrol med egne oplysninger
Selv om vi formentlig kun har set toppen af isbjerget, er Forbrugerrådet ikke mod-
36

Et socialt netværk er et online-
mødested, der giver mulighed
for at få kontakt med gamle bekendte
og dele oplevelser
og erfaringer med familie og venner.
Kontakten sker via beskeder, i grupper
og ved brug af underholdende
applikationer som spil, test og
animerede hilsner.
Anette Høyrup
37

standere af Facebook eller andre sociale netværk. Tværtimod rummer den teknologiske
udvikling mange nye fordele for brugerne.
Men uanset internetmediets lyksaligheder, er det Forbrugerrådets opgave at kæmpe
for de forbrugere, der – også i en digitaliseret verden – vil bevare retten til privatliv. Vi
mener ikke, ”prisen” for internettjenester som eksempelvis Facebook bør være vores
privatliv. Tværtimod er det Forbrugerrådets holdning, at forbrugerne skal kunne kontrollere
deres egne oplysninger, bestemme hvem, der skal have adgang til hvad – og
hvor længe. Når teknologi og forretningsmodeller udvikles, bør privatlivsbeskyttelse,
som kontrol med egne oplysninger, være indarbejdet i selve den tekniske løsning (også
kaldet ’privacy by design’). Kontrollen kunne eksempelvis bestå i, at éns oplysninger automatisk
blev slettet – både hos udbyderen og samarbejdspartnere, hvis ens profil havde
været inaktiv i en vis periode – eller at man selv kunne trække oplysningerne tilbage.
facebook i strid med dansk lovgivning
Flere af Facebooks forretningsmetoder strider efter Forbrugerrådets opfattelse mod dansk
lovgivning.
Det er blandt andet ikke tilladt at give samtykke på vegne af andre – og altså bør brugeren
ikke kunne acceptere, at Facebook indsamler oplysninger om deres venner.
Samtykkekravene herhjemme er skrappe – forstået på den måde, at det skal være konkretiseret,
så brugeren kan gennemskue, hvad éns oplysninger bliver brugt til.
Facebooks meget generelle og uhyre vidtgående samtykke bygger på det modsatte
princip, nemlig en adgang til at kunne udnytte personoplysninger til hvad som helst,
dele dem med hvem som helst – og i øvrigt til evig tid. Det sidste krav strider mod det
grundlæggende princip om, at data kun må gemmes, så længe der er en saglig begrundelse
for det.
Det forhold, at forbrugeren accepterer samtlige betingelser ved automatisk at give
samtykke ved brug af Facebook, bør ikke medføre, at knap 1 million danske forbrugere
underlægges amerikansk lov.
For det første kan forbrugere ikke fraskrive sig grundlæggende beskyttelsesregler via
et generelt og ubegrænset samtykke, som det Facebook indhenter.
For det andet – selv hvis et samtykke kunne indhentes generelt – ville det være helt
urimeligt at mene, at forbrugerne skulle kunne overskue konsekvensen heraf. Det er
umuligt med Facebooks meget lange, kringlede og til tider helt uforståelige anvendelsesvilkår.
Urimelige aftalevilkår på internettet
Aftalevilkår på internettjenester er et generelt problem for forbrugerne i dag.
Dels fordi de er komplicerede at forstå, dels fordi den tid, det tager at sætte sig ind i
dem, ikke harmonerer med behovet for den fleksible ‘her og nu-adfærd’, brugeren har
på nettet.
Kun de færreste brugere læser betingelserne, og selv om de gjorde, ville de stadig
skulle acceptere dem alle for overhovedet at kunne benytte tjenesten.
Forskere fra Carnegie Mellon University konkluderede i en undersøgelse fra oktober
2008, at det alene i USA vil koste 652 milliarder dollar i tabt arbejdsfortjeneste om året,
38

hvis internetbrugere læste privacy-samtykkeerklæringer, inden de accepterede vilkårene
for tjenesten.
Forbrugerrådet finder derfor, at løsningen er at stille krav til aftalevilkårenes indhold,
så forbrugeren – uanset om vilkårene læses eller ej – sikres et vist minimumsbeskyttelsesniveau.
Det kan enten ske ved, at de nationale myndigheder eller EU-Kommissionen sikrer, at
nationale- eller EU-regler overholdes – eller man kan indføre en certificeringsordning,
som man eksempelvis kender fra det danske e-mærke, som godkender e-handelsbutikker.
forskellige regler i USa og eU
Facebook er et amerikansk ejet medie, men hjemmesiden Facebook.dk er skrevet på
dansk og målrettet danske forbrugere. Desuden har Facebook kontor i Europa, hvilket alt
sammen taler for, at EU-persondatareglerne som minimum bør finde anvendelse.
Det europæiske persondatadirektiv hviler på nogle fornuftige grundprincipper om at
begrænse indsamling af oplysninger til saglige formål – og om at sikre forbrugerens
samtykke inden videregivelse. Formålet er at beskytte den svage part – individet – over
for staten eller virksomheder.
I USA gælder der ikke samme begrænsning, og det er betænkeligt, hvis den tilfældighed,
at internettjenesten er placeret på en server i USA, kan ophæve EU’s beskyttelsesregler.
Det er vigtigt at gøre opmærksom på, at reglerne ikke er til hinder for etablering af
sociale netværk eller at personer, der ønsker at dele oplysninger på internettet, frit kan
gøre dette. EU-lovgivningen er blot med til at sikre, at forbrugeren stadig har ”hånd i
hanke” med sine oplysninger.
datatilsynet vil ikke blande sig
Forbrugerrådet bad i august 2008 om Datatilsynets vurdering af Facebooks aftalevilkår –
herunder en afklaring af hvilket lands regler, der finder anvendelse ved brug af siden.
Desuden bad vi myndigheden oplyse, hvilket tilsyn og klageinstans de danske forbrugere
kan forvente gælder, såfremt internettjenesten falder udenfor de danske myndigheders
hænder. I oktober 2008 kom svaret. Datatilsynet afviser at gå ind i sagen, da
man ikke på nuværende tidspunkt finder anledning til at rejse sagen af egen drift og da
man afventer en udtalelse om sociale netværk fra det europæiske datasamarbejde, den
såkaldte ‘Artikel 29-gruppe’.
Sammen med Institut for Menneskerettigheder kritiserede Forbrugerrådet denne tilbagemelding,
blandt andet ved at pege på bemærkningerne til persondataloven, som
fastslår, at danskere, som går på internettet herhjemme, men får deres oplysninger registreret
i et land uden for EU, er omfattet af dansk lov.
Forbrugerrådet frygter, at områdets kompleksitet medfører, at de danske myndigheder
giver op over for den teknologiske udvikling og blot krydser fingre for, at forbrugerne
selv håndterer situationen bedst muligt.
Brugere af sociale netværk skal naturligvis tænke sig om, inden de lægger materiale
ud på internettet. Men virksomhederne har et etisk ansvar og en juridisk forpligtelse til
39

at respektere brugerens privatliv ud fra de grundlæggende principper, der gælder i dag.
Og myndighederne har en tilsynsopgave, der skal løftes.
På samme måde, som Forbrugerombudsmanden på forbilledlig vis har håndteret udfordringerne
ved e-handel på tværs af grænser, og Videnskabsministeriet løbende har
sat fokus på it-sikkerhed, burde Datatilsynet spille en langt mere aktiv rolle over for
udbydere af internettjenester, så privatlivsbeskyttelse ikke blot hører fortiden til.
forbrugerrådets fokus fremover
I skrivende stund afventer vi udtalelsen fra Artikel 29-gruppe. I Artikel 29-gruppens
rapport om søgemaskiner fra april 2008 konkluderede gruppen, at den amerikanske
søgemaskine Google er underlagt dansk lov.
Det har blandt andet fået den konsekvens, at Google er blevet pålagt som standard at
slette brugernes søgedata efter 6 måneder. Googles tilbagemelding herom vurderes for
tiden af Artikel 29-gruppen, men Google er indstillet på at begrænse det tidsmæssige
omfang af brugernes søgehistorik.
Forbrugerrådet vil fortsat sætte fokus på sociale netværk og andre internettjenester
med det formål at sikre forbrugernes rettigheder i den digitale verden. Der er behov for
en bred debat og medvirken fra mange aktører.
facebook Connect
“Connect” er Facebooks nyeste bud på målrettet markedsføring. Facebook Connect giver
brugerne mulighed for, gennem Facebook, automatisk at logge på flere hjemmesider.
Brugeren slipper for at huske kodeord til de pågældende hjemmesider, men til gengæld
kan Facebook følge med i, hvad man foretager sig på internettet. Derudover giver den
nye funktion mulighed for, at brugerne kan se, hvad deres venner på Facebook laver,
når de færdes på nettet. For ligesom med Beacon vil der blive sendt besked til alle i éns
Facebook-netværk om, hvad man foretager sig på de hjemmesider, Facebook samarbejder
med. I stedet for at få en besked, hver gang éns venner køber noget, som Beacon
gjorde, bliver der sendt beskeder, når én i netværket f.eks. besøger et andet socialt netværk
eller en online-spiludbyder, som Facebook samarbejder med. Facebook og deres
samarbejdspartnere indsamler på den måde mere viden om dig og dine venner, så de
bedre kan målrette markedsføring direkte til dig.
Spørgsmålet om, hvordan eller om Facebook har tænkt sig at indhente personligt og
specifikt samtykke fra sine brugere, står stadig hen i det uvisse.
40

Big Brother eller Big mother
Af Hans Jørgen Bonnichsen, tidl. operativ chef i PET
Danmark er et land, der er gennemsyret af tillid. Det er årsagen til, at Danmark er et af
de rigeste, frieste og lykkeligste folkefærd i verden. Det er et dejligt budskab, som vi hører
gang på gang fra internationale undersøgelser. Vi labber det i os som små hunde, der
æder chokoladekringler. Men er det sandheden? Er det ikke mere den, at der er ved at ske
en kursændring? Vi bevæger os væk fra denne fornemme tillidskultur og i retning mod
en stigende mistillidskultur. Det interessante bliver at se, hvilken indflydelse det får for
opfattelsen af udviklingen af vort samfund. Et er dog givet. Positivt bliver det næppe.
Helt banalt kan du teste, dit samfunds tillid til dig ved at gå en tur på posthuset og
sende 7.500 kroner til din søn, dit barnebarn, Dansk Røde Kors eller Kræftens Bekæmpelse.
Faktisk ligegyldigt til hvem (bortset fra Politi og SKAT) og du vil blive afkrævet
billedlegitimation. Det kunne jo værre, at du, eller dem du sender penge til, er potentielle
støtter af terror, som PET skal have muligheden for at se nærmere på. Så langt rækker
tilliden til dig. Så langt rækker tilliden til den faktisk meget lovlydige majoritet af den
danske befolkning. Hvem bruger oplysningerne? Hvad bruges de til? Der vides meget
lidt om det eller for den sags skyld om, hvem der reelt er under mistanke – og frem for
alt, hvad effektiviteten af de mange nye initiativer egentlig er.
de absurde initiativer
Der har altid været sund fornuft i, at der skal vises dokumentation for at modtage penge,
pakker og andre aktiver. Jeg havde dog aldrig drømt om, at jeg også skulle vise dokumentation
for at komme af med penge. Jeg ville gerne overveje min holdning over
for dette absurde og mistillidsvisende initiativ, hvis det var et effektivt og fornuftigt
efterforskningsmiddel. Men enhver, der blot har minimumsindsigt i terror og terrorbekæmpelse,
ved, at erfaringerne fra terrorhandlingerne i Madrid og London har vist, at
finansieringen af disse aktioner har kostet henholdsvis 10.000 og 1.500 dollar. Udgifter,
der kan dækkes gennem hashsalg eller anden ordinær kriminalitet eller for den sags
skyld opsparede lommepenge. Mordet på Theo van Gogh i Holland kostede formentlig
under 100 dollar. Mobiltelefoner, håndvåben og ingredienserne til fremstilling af bomber
koster ikke en formue.
Det er lige så åbenbart, at hvis det drejer sig om finansiering af terrorbevægelser rundt
omkring i verden, er det nok ikke postkontoret i Struer, Sønderborg eller Slagelse, som
hr. Jensen eller hr. Hussein bruger. Der er masser af andre muligheder for at undgå
denne tåbelige, tidsbelastende metode. Det er mistillidsskabende, ligesom det er med
PETs frie adgang til alle passagerlisteoplysninger fra danske lufthavne. Tanken om, at
jeg måske risikerer at blive registreret og komme i PET´s søgelys, fordi jeg et antal gange
har sendt penge til et barnebarn, der er ngo’er i Afghanistan – eller fem gange indenfor
det sidste halve år er fløjet til Islamabad for at besøge en forretningsforbindelse – er
42

ubehagelig. Men det er resultatet af lovgivernes iver efter resolutte initiativer i terrorbekæmpelsen.
Vi har desværre set lovindgreb, som ville have været utænkelige før den
11. september 2001. Love, der mistænkeliggør os alle, i stedet for at koncentrere sig om
de ganske få, det drejer sig.
frygt som årsag
Hver eneste terrorhandling i Europa har medført en øjeblikkelig politisk reaktion med
strammere lovgivning. Terrorpakkerne kan for mange virke logiske, da det er vor sikkerhed,
det drejer sig om. Men længslen efter sikkerhed er en farlig illusion. Vi burde
vide, at ”en hundrede procents sikkerhed” er en vrangforestilling, der måske findes hos
enkelte af vore ’lov og orden-politikere’. Ikke engang et totalitært system er i stand til at
sikre en sådan tilstand. Paradoksalt nok er masser af mennesker alligevel villige til at betale
prisen for en sådan usikker forsikring ved at opgive beskyttelsen af privatlivets fred
og vore retssikkerhedsgarantier. Årsagen er utvivlsomt frygt. Denne ældste og stærkeste
følelse, der med god grund er den første følelse, som beskrives i Biblen, da Adam smides
ud af Paradiset. Frygten kan være et effektivt redskab til at holde orden i et samfund.
Den er desværre blevet et trumfkort, der kan bruges, så alle hensyn viger.
Jeg har i min bog ‘Hånden. En PET- og politikrønike’ (Politikens Forlag, 2006) givet
udtryk for mine betænkeligheder, blandt andet ved at opgive domstolskontrollen ved
PET´s indhentning af passagerlisteoplysninger og ved PETs frie adgang til oplysninger i
det offentlige, socialforvaltninger, hospitaler, fængsler og biblioteker og selv til personfølsomme
oplysninger om væsentlige sociale problemer og rent private forhold, uden
at forvaltningsmyndigheden har muligheden for at vurdere, hvorvidt der foreligger en
konkret begrundet mistanke, og slet ikke at få noget sådant prøvet ved en domstol.
Det er helt unødvendige initiativer i forhold til at forebygge og opklare terrorinitiativer.
PET kunne efter de gældende regler få de oplysninger, man havde brug for, men
selvsagt ved prøvelse af den begrundede mistanke. Nu svækkes retssikkerheden ved at
have opgivet domstolskontrollen. Det har ingen fortjent eller får gavn og glæde af. Der
er ingen politikere, der kan give en fornuftig begrundelse for, hvorfor de har givet afkald
på et retssamfunds adelsmærke, domstolskontrollen. Argumenterne har været på så lavt
et niveau som frygten for ”tidsspilde”. Der er altså en dybere mening med domstolskontrollen
og domstolenes virke end at være tidsspilde for PET og dets virke. I de gamle
bestemmelser fandtes der allerede regler, der tog højde for tidsspilde, men dog stadig
sådan, at PET efterfølgende skulle i retten for at få en godkendelse.
Det er en meget vidtgående lovgivning. Den ville formentlig aldrig kunne gennemføres
i USA, der om nogen har en ”hård tilgang” til bekæmpelsen af terror. Grænsen blev her
nået, da Bush-administrationen ville give efterretningstjenesterne adgang til at inddrage
personer, der havde adgang til folks hjem (rengøringspersonale, VVS-ansatte, viceværter,
postbude osv.) og til bibliotekernes lånesystemer. En massiv folkelig modstand gjorde
at disse initiativer modvilligt blev taget ud af den amerikanske terrorpakke: ‘The Patriot
Act’. En sådan folkelig modstand oplevede vi desværre ikke i Danmark.
endnu flere krænkelser
Der er mere af samme skuffe. Hvis PET har en dommerkendelse på en mistænkt person,
43

er det nu muligt at overvåge alle de kommunikationsmidler, den pågældende bruger, uanset
hvem de tilhører. Det kan være arbejdsgiverens, familiemedlemmers, kammeraters og
tilfældige bekendtes telefoner eller internetadgang. Det skulle man tidligere have særskilt
kendelse på. Det betød, at du over for retten skulle begrunde, at der var særlige årsager
til, at netop den pågældende telefon eller internetforbindelse skulle aflyttes. Det er ikke
længere nødvendigt. Derved kommer aflytningen til at berøre en bredere kreds, de fleste
helt udenfor mistanke, da de – mere eller mindre tilfældigt – befinder sig i periferien af
den mistænktes omgangskreds. Retfærdigvis skal dog nævnes, at indgrebene langt senere
end 24 timer skal forelægges for en dommer – nemlig på et tidspunkt, hvor krænkelsen af
dit og mit privatliv har fundet sted over en længere periode (normalt cirka 30 dage). Jeg
er i dag påpasselig med, hvem jeg låner min telefon og min internetadgang til.
Argumentet fra Justitsministerens side var, at det skulle lette PET’s arbejde, så man
ikke ”skulle bruge kræfter på at rende i retten hele tiden.” I de 9 år, jeg har været i PET,
har dette aldrig været et reelt problem, bl.a. fordi, der altid har eksisteret en mulighed
for, at hvis der var risiko for ”at øjemedet ville forspildes ved ophold for at afvente rettens
kendelse”, kunne indgrebet gennemføres, og først senere – men inden for de næste 24
timer – forelægges retten. Domstolskontrollen har i mine 41 års politivirke været, ikke
alene garanten for retssikkerheden, men også kvalificerende og disciplinerende og en
uundværlige støtte for et seriøst udført politi- og efterretningsarbejde.
det farlige net
Et andet af de mange initiativer, som er diskuteret meget i IT- og telebranchen, er logningspligten,
Siden den 15. september 2008 er alle tele- og internetudbydere i Danmark
pålagt logning af vore aktiviteter via telefonerne og internettet. Påbuddet gælder også
hoteller, kroer og campingpladser, og de har følt det som et alvorligt brud på de grundregler,
der gælder for deres service over for deres kunder, samtidig med at de mangler
ekspertisen til den påbudte opgave. Et bestyrelsesmedlem i hotelejernes faglige sammenslutning
har sagt, at denne overvågningsopgave er som ”at tvinge klejnsmede på
weekendjob som hjernekirurger!”
Logningen betyder, at når du telefonerer til venner og bekendte, når du læser Politiken.
dk, ser på billige tilbud, søger efter madopskrifter, ser på storbarmede blondiner, søger
oplysninger om terror eller film og teateranmeldelser eller sender en email, så bliver du
registreret. Registreringen vil bestå i oplysninger om, hvem du på et givet tidspunkt har
været i forbindelse med, men intet om indholdet af kontakten. Et andet formildende
element i initiativet er, at det kræver en domstolskendelse for PET at få adgang til disse
registreringer
Danmark har gennemført den mest vidtgående lov i EU på dette område. Det betyder,
at der i øjeblikket skal logges cirka 60 milliarder gange i løbet af et år. Det svarer til 30
milliarder A-4 sider med rent tekst. En høstak uden lige, hvor nålen bliver svær at finde.
I gennemsnit vil hver dansk borger registreres cirka 12.000 gange om året. Tallene vil i
årene fremover stige til astronomiske højder. Udspillet er af eksperter blevet kaldt ”digitalt
idioti”. I stedet for at koncentrere sig om de få, ser vi igen, at tendensen breder sig
til at registrere eller mistænkeliggøre alle.
Lovgivningen er i øvrigt gennemhullet som en si. Små boligforeninger, kollektiver,
44

ibliotekerne og uddannelsesinstitutioner er undtaget. Da det betyder at 37 milliarder
– det er over 50 procent af de forventede 60 milliarder logninger – ikke kan finde sted,
så er den efterforskningsmæssig værdi svær at få øje på. Og så kan man i øvrigt på nettet
hente gratis programmer, så man kan omgå de nye logningsbestemmelser. Danske
ingeniører og dataloger har udtalt, at de kan omgå systemerne og slette deres digitale
spor. Fhv. Justitsminister Lene Espersen har udtalt i et folketingssvar: ”Det skal i den
forbindelse også bemærkes, at det i sig selv kunne give anledning til at øge politiets
opmærksomhed på en person, hvis politiet under efterforskning af en konkret sag konstaterer,
at den pågældende har forsøgt at omgå reglerne om logning.”
Alene tanken om, at jeg – som den lovlydige borger, jeg betragter mig som – kan
risikere at blive stillet spørgsmålet om, hvorfor jeg ikke er logget de 12.000 gange om
året, blot fordi jeg vil værne om min privatliv, skaber for mig usikkerhed og utryghed.
Sikkerhedsforanstaltninger må aldrig udvikle sig til et stykke absurd teater.
oplysningerne kan bruges – af andre
Når der indsamles oplysninger om folk, opstår der et behov for at bruge dem. Det skete,
da udenrigsministeriet ganske enestående gennemførte den største evakuering i nyere
tid af 5873 danske borgere i Libanon i juli 2006. Krigen mellem Israel og Hizbollahmilitsen
gjorde det farligt at forlade Libanon på egen hånd, så Danmark satte ind med
færge, fly og hjælpepersonale. Det skabte respekt i Mellemøsten og er formentlig et af
de fornemmeste konkrete kontra-terrorinitiativer jeg kender, hvor Danmark viste, at det
ikke er ”dem og os”, men ”os”!
Der var straks nogle politikere, der kom i tanke om, at passagerlisterne kunne bruges
til at finde ud af, om der var nogen, der lavede socialt bedrageri. Risikoen er altid til
stede for, at oplysninger, der er relevante ét sted, kan bruges et andet sted, hvor de egentlig
ikke har noget at gøre. Sådan vil det også være med logningerne af vore aktiviteter på
nettet og via telefonerne. Logningsreglerne skaber nemlig en enestående mulighed for
at finde ud af, hvad der interesserer den danske befolkning: hvilke behov, hvilke kommunikationsmønstre
og hvilke tider og steder, der er de mest anvendte. Mulighederne
for forskning, men også for markedsføring og private økonomiske interesser er legio, og
kan hurtig blive en millionforretning, der kan bruges – også illegalt!
Det hørte engang til ‘privatlivets fred’, om jeg ville dele sådanne oplysninger med andre.
Desværre må jeg nok konstatere, at det ser ud, som om vor gamle ide om privatlivets
fred ikke eksisterer længere. Det er passé med de vilde og dystre forestillinger om
overvågningssamfundet, som i 1949 blev beskrevet i George Orwells bog ”1984”. Han
fik os til at gyse ved tanken om, at alle menneskers bevægelser kunne overvåges af
teleskærme. Som et led i statens forsøg på at skabe os tryghed i forhold til kriminalitet
og terror er vi i dag, næsten som det unge par i bogen, tvunget til at acceptere den stigende
overvågning Vi har billiget, at sådan må det nødvendigvis være. Gyset fra ”1984”
er væk, men jeg tror desværre ikke, at vi er klar over, hvad der venter os. Det er god grund
til at se med skepsis på sikkerheds- og overvågningsmuligheder frem mod år ”2015”
og dens fristelser. Mulighederne er ekstreme. Jeg skal blot nævne genetiske vacciner, der
kan regulere og eliminerer uacceptabel adfærd, og sikkerhedschips, der kan implementeres
under huden til identificering og overvågning af os.
45

ved ikke nok om terrorens metoder
Vi er godt på vej mod en ophævelse af privatlivets fred, og efter min opfattelse på vej
ned ad en sliske, hvor lovgiverne har bidraget med ”den grønne sæbe”, der forcerer
hastigheden.
EU’s tidligere justitskommissær har iværksat et initiativ, hvor han vil have undersøgt,
hvordan vi teknisk kan forhindre mennesker i at bruge eller søge efter farlige ord som
”bombe”, ”dræb”, ”folkemord” eller ”terrorisme” på Internettet. Hvad hvis man f. eks
fordømmer den slags ting på nettet, er nysgerrig, eller skriver en bog, en gymnasium-
eller universitetsopgave om emnerne? Hvem kan og skal så bedømme, hvad der er lovligt
og ikke lovligt? Efter min opfattelse udvises der igen en rystende naivitet og mangel
på kendskab til terroristernes fremgangsmåder. Og desværre med den konsekvens, at det
er et skridt tilbage for ytringsfriheden og den frie oplysning, som Danmark ellers påstås
at være bannerfører for!
EU-kommissionen foreslår – efter krav fra USA – også, at oplysninger fra flypassagerer om
de rejsendes fulde navne, adresse, regningsadresse, kreditkort email-adresse, medrejsende
og særlige ønsker i forbindelse med flyrejser skal registreres. Tidligere justitsminister Lene
Espersen fortjener ros for at have modvirket, at kørestolsbrugere skulle gøres til genstand
for særlig sikkerhedsopmærksomhed. Forslagene skal nu godkendes i alle 27 EU-lande
og vil være i brug i løbet af 3 år. Det næste bliver, at danske tog- og færgerejsende kan
se frem til at blive afkrævet en række personlige oplysninger, hvis de bestiller billetter til
andre lande inden for EU. Der bygges bjerge af unødvendige oplysninger. Alt sker ved en
urimelig argumentationsform. Vil du hellere have terror end overvågning.
Optagelsen af et digitalt foto og et fingeraftryk er allerede i dag vort første møde med
USA. Disse biometriske data, der kan bruges til at genkende og konfirmere vor unikke
og entydige karakteristika, lægges sammen med 30 millioner andre årlige besøgendes
foto og fingeraftryk i en kæmpe database. Det er ikke den eneste amerikanske database,
vi risikere at blev registreret i. En anden udgøres af et af verdens mest sofistikerede
søgesystemer, der bl.a. er baseret på oplysninger fra netop flyselskabernes passagerlister.
Analyserne og sikkerhedsvurderinger af dig og mig kan opbevares i op til 40 år. Vi vil
aldrig få lov til at se, hvad myndighederne konkluderer om os. Vi vil aldrig få svar på,
hvorfor man gentagne gange bliver udtaget til ekstra sikkerhedstjek. Vi vil ikke vide,
om det er rigtige, forkerte eller misforståede oplysninger, der påkalder os sikkerheds- og
efterretningstjenesternes interesse.
de fantastiske og rystende muligheder
Amerikanske estimater fortæller, at 40 til 200 milliarder dollars i de næste mange år vil
blive brugt på sikkerheds- og overvågningsindustrien. Udviklingen er uhyggelig klar. ITteknologien
vil være i stand til at kende os personligt, den vil indprente sig vore vaner,
vores smag og vore behov. Den vil gerne vide, hvor vi er, hvem vi er sammen med og
hvor vi skal hen.
Jeg kan med mine 41 års efterforskningserfaring se både de fascinerende, men også
rystende efterforsknings- og overvågningsmuligheder, der er i denne udvikling. Det
kræver en høj grad af balance mellem politiets behov og borgernes ret til privatliv og
retssikkerhed. Det kan blive et efterforskningsmæssigt dilemma.
46

“Vi har desværre set lovindgreb,
som ville have været utænkelige
før den 11. september 2001.
Love, der mistænkeliggør os alle,
i stedet for at koncentrere sig
om de ganske få, det drejer sig.”
Hans Jørgen Bonnichsen
47

Privatlivet, som vi kender det i dag, vil risikere at forsvinde. Oplysninger om din
helbredsstilstand, om hvad du køber, hvem du taler med, hvad du tror på og tænker
kan sælges til højest bydende. Sommerens skandaler i Tyskland har været krænkelser
af privatlivets fred. Det store tyske telefonselskab Telekoms kontrol af, hvem visse medarbejdere
havde været i forbindelse med over deres mobiltelefoner, og supermarkedskæden
Lidls hemmelige videoovervågning af deres medarbejder er kendte krænkelser.
Men øjenåbneren for det tyske folk blev offentliggørelsen af historien om, at 1,5 millioner
kundedata med adresser og bankforbindelser cirkulerede frit på markedet, og at
denne form for handel med personoplysninger var blevet en millionforretning. Først da
begyndte den tyske befolkning at bekymre sig og spørge, om de også var i skrupelløse
datamisbrugeres vold, og om deres identitet var stjålet, ligesom der blev set en ekstra
gang på kontoudskrifterne fra bankerne.
Netop identitetstyveri er i dag i USA den stærkeste voksende kriminalitetsform, der
har skadeeffekt for millioner af mennesker hvert eneste år. 30 millioner mennesker vil
i løbet 2008 på en eller anden måde få stjålet deres identitet. Identiteterne bliver brugt
til kreditkortsvindel, indkøb på nettet og andre former for almindelig kriminalitet, men
også til de mere alvorlige forbrydelser som dokumentfalsk – f.eks. ved fremstilling af falske
pas til brug for terror og illegal indvandring m.v. Jeg har en gang i mit liv fået stjålet
mit pas. Det dukkede op i Sverige flere år efter og blev sendt tilbage til mig. Det var en
ret så uhyggelig oplevelse at se sin identitet overført til et andet menneske, hvis billede
jeg kunne se i passet. Tanken om, hvad pågældende havde bedrevet i mit navn, og hvor
disse aktiviteter var registreret, var særdeles ubehagelige.
Det er uden for enhver tvivl, at vi vil blive utrolig sårbare over for misbrug af – og manipulation
med – vor identitet og dermed krænkelser af vor intimsfære. Identitetstyverier
vil vokse, salg af følsomme data vil være en lukrativ forretning. Salg, der kan bruges til
alle former for kriminalitet, men også til karakterdrab. Koncerner, politikere, film, pop
og sportsstjerner vil være under intens overvågning. Der bliver ikke megen plads til at
skeje ud. Og hvis det sker, kan de være sikre på, at vi vil få det at vide. Det vil ske uanset
lovligheden i bevissikringen og offentliggørelsen af de intime detaljer. De vil komme ud
i et mediestormvejr, der kan koster kunder, kuldsejle karrieren og vælte taburetten. Det
sidste kan måske få vore politikere til at vågne op og seriøst overveje, hvor langt vi vil gå,
og huske på Benjamin Franklins vise ord: ”Den, der ofrer frihed for sikkerhed, fortjener
hverken frihed eller sikkerhed”.
loven som vores værste fjende
Et flertal af politikere har ment, at den pris vi bør betale for det usikre begreb, der
hedder sikkerhed, er tabet af frihedsrettigheder og privatlivets fred. Dette er sket i den
bedste mening, og med borgernes stiltiende accept. I et forsøg på at dække vort umætteligt
behov for tryghed er vi danskere åbenbart blevet vilde med overvågning. 8 ud
af 10 danskere har i dag intet imod at det offentlige rum overvåges, og mere generelt
er over 90 procent af den danske befolkning positivt stemt over for videoovervågning.
Begrundelsen er, at den forebygger kriminalitet, øger trygheden og styrker politiets efterforskningsarbejde.
Tendensen har været så klar, at nogen i dag taler om, at den negative frygt for Big
48

Brother nu er erstattet af de positive klare forventninger om, at staten nænsomt beskytter
dig, så ”Big Brother is watching you” nu er blevet til ”Big Mother is taking care of
you”.
Er George Orwells vision og filmens konstatering af overvågningssamfundets tilstedeværelse
noget vi har lært at leve med, og som vi accepterer fuldt ud? Er der overhovedet
ikke længere grund til bekymring om overvågning? Standardindvendingen mod
bekymringen formuleres som oftest som: ”Hvis jeg ikke har noget at skjule, har jeg ikke
noget at frygte.” Helt notabene har jeg tit tænkt på, om vi virkelig er blevet så grå, ensformede
og kedelige, at der slet ikke findes små søde, spændende hemmeligheder et eller
andet sted i klædeskabet. Men lad det ligge, for jeg ved jo godt, at mærkeligt nok har de
samme mennesker sikkert stadig lukkede postkasser og gardiner for deres vinduer og
ville blive rasende, hvis deres økonomiske forhold blev offentliggjort i ‘Ugeavisen’.
Vi har en grundlæggende tro på, at de mennesker, der håndterer vore personfølsomme
oplysninger og sidder foran skærmene, som overvågningskameraerne forsyner med
billeder, altid er gode og retsindige mennesker. Det kan vi håbe på, men det kan jo også
– som jeg allerede har påvist – være forbrydere, måske endog embedsmisbrugere. Vore
lovgivere bør tænke længere end til ”nuet” – for vores og egen skyld – og overveje om de
er villige til at overlade administrationen af deres love til deres værste fjende?
Det er efter min opfattelse ikke alene en falsk, men også en farlig antagelse at tro på,
at ”hvis du ikke har noget at skjule har du intet at frygte”. Man bør altid tænke på, at
selv om der måske ligger de bedste intentioner bag – f.eks. at modvirke og forhindre
kriminalitet og terror – så er det systemer, som politi- og efterretningstjenester, der skal
administrere indgrebene, og der kan – uanset hvor umulig tanken er – også ske et politisk
systemskifte. Jeg har fuld tillid til mine kolleger i dansk politi og i PET og til vore
folkevalgte. Men systemerne kan i krisesituationer blive lagt under pres. Både hos vore
politikere, men også i PET, hersker der en bestandig frygt for at blive beskyldt for, at man
har svigtet sit ansvar. Alle ved, at hvis der skete et terrorangreb, vil det berømte spil om
skylden – ’The Blame Game’ – starte senest på tredjedagen. Det afgørende spørgsmål vil
være: ”Hvem har ansvaret?” På denne baggrund er der ikke ret mange, der tør sige nej
til mere sikkerhed og til flere beføjelser til politi og efterretningsvæsen.
I en presset situation er det vigtigt at have et bolværk. Et skjold, der kan modstå de
værste stød og de værste skader. Da nytter det ikke, at kriminalitets- eller terrorfrygten
vejer tungere end retssikkerheden og krænkelserne af privatlivets fred. Et sådant bolværk
kan kun opbygges i ’fredstid’, og på en sådan måde, at der stadig er muligheder for at
komme med nye initiativer, der kan modvirke og forhindre yderligere skadevirkninger.
den danske historie
Vi bør, trods pres, had og hævnfølelse, forblive anstændige borgere med respekt for
demokrati, retssikkerhed og menneskerettigheder – og kæmpe for at disse idealer gælder
for os alle. Der er alt for mange eksempler på – specielt når had og hævnfølelse rejser
sig – at det modsatte kan ske i den pressede situation: Aktuelle sager om Abu Ghraib og
Guantanamo-interneringslejren taler for sig selv. Vor historie er fuld af beretninger om,
hvor galt det kan gå. Der er eksempelvis tre gange i den amerikanske historie sket interneringer
af amerikanske statsborger. I 1919, efter at 8 bomber eksploderede i 8 ameri-
49

kanske byer, blev der interneret tusinder af personer med forbindelser til kommunistiske
organisationer, og 100 af dem blev deporteret. Ingen kunne påvises at have forbindelser
til bomberne. Under 2. Verdenskrig internerede Roosevelt 110.000 personer af japansk
etnisk oprindelse, mere end 70.000 af dem havde amerikansk statsborgerskab. Ingen af
de internerede blev sigtet for spionage eller sabotage. Efter den 11. september 2001 blev
cirka femtusinde amerikanske statsborgere – alle arabere og muslimer – interneret. Her,
syv år efter, er ikke én af de fem tusinde sigtet for terrorisme eller med rette mistænkt
for, at de var en trussel for USA. Systemer har ingen samvittighed, og der er som påvist
mange eksempler på dette. Det er endda eksempler fra de systemer, vi betragter som
værende bannerfører for vore frihedsrettigheder. Vor egen danske historie er også fyldt
med bitter erfaringer om, hvad pres og had kan medføre – f.eks. interneringen af de
danske kommunister under 2. Verdenskrig eller de 7746 tyske flygtningebørn i danske
flygtningelejre, der døde af mave-tarm infektioner, dehydrering og børnesygdomme som
mæslinger og skarlagensfeber. Sygdomme, der kunne være helbredt, hvis ikke den danske
lægestand havde nægtet de tyske flygtninge lægehjælp. (Flygtninge og indvandrere
1850-1980, Forlaget Palle Fogtdal, 2008).
Er det ikke at male ”fanden på væggen” vil nogen spørge. Hvis det er tilfældet, er det
nødvendigt! Det er altså grundlæggende værdier, vi taler om. Og spørgsmålet er, om vi
ikke netop ved at give afkald på disse værdier bevæger os ud af den vej, som terroristerne
ønsker. En vej, hvor vi giver køb på vore frihedsrettigheder, der er kronjuvelerne i det
vestlige værdisæt. Vi kan ikke gennem lovgivning og krænkelse af privatlivets fred garantere
nogen 100 pct. sikkerhed. Vore politikere burde erkende dette og være så ærlige, at de
fortalte os sandheden – at det ikke kan lade sig gøre. Det er risikabelt at leve.
folkelig mistillid vil ødelægge politiets arbejde
Jeg er ikke imod en velafbalanceret overvågning, rettet mod mistænkte personer. Der
kan være en god grund til at PET i sit vigtige arbejde får fornuftige, velovervejede redskaber,
under den forudsætning at redskaberne er i balance med den eksisterende risiko
– og den er vel at bemærke ikke eksistentiel – og at mistankegrundlaget er i orden, det
vil sige retter sig mod grupper eller personer, der gennem deres handlinger har gjort sig
fortjent til overvågning, og at indgreb mod disse kontrolleres af domstolene.
Jeg må erkende, at det i det nuværende klima er svært at se, at et råb om demokratisk
ansvarlighed og etisk ransagning af nye overvågningsinitiativer vil blive hørt som andet
end et liberalt klynkeri, selv hos de liberale. Jeg synes, det er blevet for nemt at tæmme
os i frygtens navn. Privatlivet og retssikkerheden er under pres, og tiden er inde til en
dybere principiel diskussion om, hvor langt vi vil gå, før disse vestlige værdier kommer
på udsalg. Det værste er måske, at nye overvågningsinitiativer og nye beføjelser til politi
og efterretningstjenester på sigt vil skabe utryghed og ufrihed hos befolkningen. Jo
mere, der åbnes op for overvågningsinitiativer, desto mere vil den offentlige forvaltning
og borgerne tilpasse deres adfærd herefter. De vil passe på med ”de forkerte meninger”
og hvad der skrives i ”notaterne”. Denne usikkerhed skaber gode vækstvilkår for mistænksomhed.
Den vil ikke vende sig mod lovgiverne, men mod PET og politiet, og skabe
mistillid. Mistillid har man ikke brug for i politiarbejdet og i en efterretningstjeneste,
hvis man effektivt skal bekæmpe kriminalitet og terror.
50

Jeg tror faktisk på de internationale undersøgelser, der gang på gang har påvist, at
Danmark er et land, der er gennemsyret af tillid, og at dette er årsagen til, at Danmark
er et af de rigeste, frieste og lykkeligste folkefærd i verden. Det bør ikke ødelægges ved
at fremme en mistænksomheds- og mistillidskultur. Der er fortsat tid til at bremse, før
det bliver for sent.
51

del 2
Når overvågning ta’r magten
4 scenarier, der beskriver overvågning
og registrering – på sundhedsområdet,
på net og telefon, i den finansielle sektor
og i det offentlige rum
53

SCenarie 1 sUNdhedsseKToreN
velkommen på forsiden
Brud på sikkerheden i de offentlige sundhedsregistre fik store konsekvenser for tv-værten
Kurt Strand, som pludselig kunne se sine mest følsomme sygdomsoplysninger på forsiden
af et formiddagsblad – og fik et nervesammenbrud.
Af Erik Valeur, Tænk
Stakkels Kurt, stod der i Ekstra Bladet en mild forårsfredag, og det var ikke en hvilken
som helst dansker, der blev naglet til forsiden for noget, han troede var en privat sag – og
som derfor aldrig skulle have været til offentlighedens kendskab.
Sagen begyndte, da den kendte tv-vært søsatte en serie programmer på DR 2 om datasikkerheden
i det danske sundhedsvæsen Tre dage senere blev han selv offer for netop
sådanne lækager, da han blev beskyldt for at være utilregnelig, idet hans egen ’foruroligende
sygehistorie’ stod at læse i Ekstra Bladet – sammen med et krav om, at han burde
fjernes fra skærmen øjeblikkeligt.
Selv om flere oplysninger ved nærmere eftersyn var mindst ti år gamle – og skyldtes
en helt ’ordinær’ krise oven på en skilsmisse og en rygskade efter et biluheld – trak de
en serie af afsløringer med sig de følgende dage. Derfor er tv-værten nu sygemeldt på
ubestemt tid med nervesammenbrud.
Også den diagnose kender offentligheden i dag ’takket være’ fornyet, uautoriseret adgang
til tv-værtens elektroniske journaler.
Sagen dag for dag
I den første artikel om Kurt Strand konstaterede Ekstra Bladet, at tv-værten syntes at
være ved at bukke under for arbejdspresset, fordi han fik ordineret ”store mængder
Stilnoct og Stesolid” – som er sove- og nervemedicin.
Efter politiets opfattelse blev denne oplysning ulovligt lækket til pressen af en praktiserende
læge i Birkerød, som til daglig er nabo til en ledende redaktør på Ekstra Bladet.
Lægen har erkendt, at han har printet informationerne ud fra den landsdækkende
elektroniske Medicinprofil – men siger, at redaktøren må have ”stjålet papirerne fra et
havebord.” Han kan ikke forklare sin interesse for DR-journalisten, som han ikke havde
noget lægeligt forhold til.
Kurt Strand havde på et tidspunkt i 2006 følt stress-symptomer ligesom titusinder af
andre danskere og kontaktede derfor Hillerød Sygehus’ psykiatriske afdeling for at få
et rutinemæssigt tjek. Her havde han helt tilbage i 1997 været under behandling for et
54

SCenarie 1 sUNdhedsseKToreN
meget alvorligt sammenbrud som følge af et færdselsuheld og efterfølgende personlige
problemer.
Men lægerne beroligede ham: Der var ikke tegn på tilbagefald. De udskrev dog for en
sikkerheds skyld et antal beroligende tabletter til den travle tv-mand. Hans hustru siger
i dag, han aldrig tog dem.
Ikke desto mindre blev de to tablettyper via den elektroniske Receptserver, der er den
seneste udvidelse af Medicinprofilen, registreret i Kurt Strands personlige medicinprofil
– sammen med en lægefaglig bemærkning om, at han kunne risikere tilbagefald med
henvisning til ”en tidligere indlæggelse.”
Og det var den oplysning, der havnede i formiddagsbladet.
Derefter fulgte oplysningen om hans ti år gamle sygdomsforløb.
en totalt gennemsigtig mand
Journalisterne kan have haft adgang til en læge eller en sygeplejerske – men det kan lige
så godt have været enhver anden ansat i den enorme sundhedssektor.
Strand forsøgte aldrig at blokere de følsomme oplysninger i sine gamle journaler – og
heller ingen nævnte muligheden for ham – for han havde ligesom de fleste andre kun
betragtet den elektroniske revolution i sundhedssektoren som et økonomisk fremskridt
til gavn for patientsikkerheden og kortere ventelister.
Utallige personer med tilknytning til sundhedssystemet kan have været inde og kigge
i Strands elektroniske journal efter den første Ekstra Blads-forside. Alene i hovedstadsregionen
viser de foreløbige undersøgelser, at mindst 20 sygeplejersker på et enkelt hospital
– Hillerød – var så nysgerrige, at de slog tv-manden op – uden anden grund end
nysgerrighed.
Dertil kommer uden tvivl, ifølge politiet, en række læger, jordemødre, fysioterapeuter,
sygehusfarmaceuter, ergoterapeuter, diætister og andre ansatte med adgang til de
samme intime oplysninger.
På Herlev Sygehus afslørede man endda en portør, der under afhentning af en patient
til en operationsstue havde lånt en håndholdt computer, en såkaldt PDA, af en narkoselæge
og i en smøgpause havde skaffet sig adgang til journalsystemet. Han troede, det
var tilladt.
Og forleden erkendte en apotekerassistent på Byens Apotek i Brande at have været
inde at kigge i den kendte tv-mands medicinprofil – og at det var ham, der var årsag til
den seneste nyhed i formiddagsbladet med overskriften: Hvor er Kurt efter Deadline?
Nyheden – der hentydede til en mulig kønssygdom – blev senere afsløret som komplet
misvisende, da den skyldtes en fejl i en apotekers indtastning i Strands medicinprofil. Et
middel mod høfeber var blevet indtastet, som om det var et middel mod fladlus.
56

Apotekerassistenten havde i medicinprofilen for Kurt Strands hustru konstateret, at
hun ikke var blevet ordineret et lignende middel – og så var konklusionen klar: Strand
måtte have holdt fladlusene hemmeligt, og da de små parasitter ofte overføres ved kønsakten,
havde han formentlig erhvervet det ’ude i byen’.
Hem er ’forbryderen’?
Den sidste afsløring i Strand-sagen skyldes formentlig en hacker, der selv lagde oplysningen
ud på en internet-side, hvis server ifølge politiet står i Shanghai. Hackeren havde
fundet vej ind i Landspatientregistret, som danske læger har adgang til i særlige tilfælde.
Her opbevares alle sundhedsoplysninger om hver enkelt dansker fra fødsel til død, og
her fandt hackeren resultatet af en HIV-test, som Strand havde fået udført for år tilbage.
Testen var negativ – men sagen affødte alligevel nye, store overskrifter.
En sag af den type er næsten umulig at opklare, siger kriminalpolitiet. Flere hundredetusinde
medarbejdere i hospitalssektoren og tilknyttede sundhedsområder samt et halvt
hundrede tusinde administrative medarbejdere i kommunerne, har adgang til de intime
oplysninger.
De to kontrolinstanser, Lægemiddelstyrelsen og Datatilsynet, har ikke kapacitet til at
opdage og standse igangværende misbrug.
Den elektroniske ’logning’ af alle, som kigger i elektroniske patientjournaler eller
medicinprofiler, forstyrres af problemer, der har med de daglige arbejdsgange at gøre.
I den spidsbelastede sundhedssektor er personlige firewalls og lange tidrøvende sikkerhedsprocedurer
blevet til barrierer, der kræver tid og ressourcer, og som man derfor
ophæver decentralt.
Skal systemerne være hurtige og smidige, er der ikke altid basis for at anvende kodeord,
kryptering eller digital signatur ved hver eneste søgning.
Samtidig er hospitalernes PDA’er ofte udlånt i de travle timer – eller står blot tændt og
logget på i et tomt kontor, hvor alle har adgang – ligesom folk med ondt i sinde relativt
nemt kan opsnappe kollegers passwords og gå ind i databaserne uden selv at efterlade
spor.
Efter en lyn-sagsbehandling er den første dom i sagen faldet.
Den praktiserende læge, der fandt den første information om Strands nerve- og sovemedicin
i Medicinprofilen, har fået en bøde på 3.000 kroner og kan fortsætte som læge.
En anden læge fik en bøde på 5.000.
Det kunne ikke bevises, at de selv havde videregivet oplysningerne.
57

Det foregående kapitel om Kurt Strand er opdigtet, men det kunne lige såvel være sandt.
Kapitlet er inspireret af virkelige begivenheder. Det samlede scenarie er verificeret som
sandsynligt af eksperter på sundhedsområdet.
Kurt Strand medvirker frivilligt i kapitlet. På billedet har vi manipuleret med Ekstra Bladets
forside og spiseseddel.
58
Kapitlet om Kurt Strand bygger på virkelige begivenheder:
i 2006 gik en overlæge og en praktiserende læge i holstebro ind i den Personlige
elektroniske Medicinprofil og lod oplysninger fra 15 profiler sive til overlægens svigersøn,
der var tv-journalist. de blev i september bragt i både dr og ekstra Bladet.
Lægerne fik i februar 2007 henholdsvis 5.000 og 3.000 kroner i bøde.
Weekendavisen berettede 10. november 2006 om en svensk fagforeningsformand,
der trak store avisoverskrifter efter et hjertetilfælde. herefter opdagede man, at
hen ved 20 sygeplejersker havde været inde og kigge i hans elektroniske journal.
seks af dem blev sigtet, men sagde, at de blot havde øvet sig på systemet og blev
frikendt.
da den svenske udenrigsminister Anna Lindh i september 2003 blev stukket ned i
stockholm, gik flere uvedkommende ind i hendes journal.
i danmark modtog en ingeniør alvorlige trusler i en anonym henvendelse, der indeholdt
flere data fra en offentlig database, fortalte dr’s orientering i marts 2007. de
var fremskaffet af en politibetjent, der blev fyret. Truslerne fortsatte. ingen kunne
bevise, hvem oplysningerne var givet videre til.
en kvinde i holstebro fik ordineret et middel mod høfeber. i oktober 2006 opdagede
hun til sin overraskelse, at der i den Personlige elektroniske Medicinprofil
stod: ”Til injektionsbehandling mod fladlus”. det var ikke umiddelbart muligt at
rette fejlen.
På Nordfyn fik omkring 60 mennesker i en lille by i 2002 anonyme breve med personlige
oplysninger. de blev sporet til at stamme fra et indbrud i den praktiserende
læges computer.

Patientjournalen og medicinprofilen
i den Personlige elektroniske Medicinprofil opbevares oplysninger om hver enkelt
danskers medicinforbrug via receptordination. Med en digital signatur kan man
selv få adgang via hjemmesiden sundhed.dk.
i den elektroniske Patient Journal opbevares alle data om behandling i sundhedssektoren.
Man har ikke selv mulighed for at rette eller slette i journalen.
for og imod
For en hurtig udbygning af de to systemer nævnes smidigere arbejdsgange og
langt større mulighed for at undgå fejlmedicinering og fejlbehandling. hvis ikke alle
relevante sundhedsfaglige grupper kan få adgang, opstår der kaos. Koder, elektronisk
sporing og sanktioner skal afværge misbrug.
imod en for hastig udbygning nævnes, at alt for store grupper får adgang til alt for
mange følsomme data. det handler i virkeligheden om et behov for øget arbejdstempo,
styring af medicinudgifterne og overordnet økonomistyring. Kontrolinstanser
har for få ressourcer, og når skaden sker, er det for sent. Nye teknologier,
der beskytter borgernes privatliv, indtænkes ikke.
59

SCenarie 2 iT- og TeLeseKToreN
det store identitetstyveri
En smædekampagne ramte i starten af august Venstres folketingsmedlem Ellen Trane
Nørby, der blev offer for hacking og identitetstyveri, et spind af sladder på internettet og to
ugers overvågning af Politiets Efterretningstjeneste.
Af Erik Valeur, Tænk
Det, der endte med grov tilsværtning og identitetstyveri – og endda bortvisning fra hendes
arbejdsplads, Folketinget – begyndte helt uskyldigt.
Efter rydningen af Ungdomshuset på Jagtvej i København i marts 2008 skrev Ellen
Trane Nørby på sin personlige blog, at hun beklagede det triste forløb, der også viste
Københavns Kommunes manglende evne til at skaffe faciliteter på ungdoms- og kulturområdet.
Den 1. august blev hun i fortrolighed inviteret til et møde på Københavns Rådhus med
henblik på at etablere en uformel kontakt til de autonome aktivister.
”Jeg synes umiddelbart, det lød temmelig utopisk, men ville ikke afvise en høflig indbydelse,”
som det i dag udtrykkes af Venstre-politikeren.
Københavns Kommunes plan var at sammensætte en bred, tværpolitisk gruppe af
yngre politikere, der kunne kontakte de unge og lokke dem ind i en fredelig forhandling.
Men allerede på det første møde blev mæglerne uenige om fremgangsmåden og gik hver
til sit. Og sagen kunne være endt dér.
Men sådan skulle det ikke gå. I et fortroligt mødereferat, der blandt meget andet indeholdt
intime detaljer om de unge aktivister, indsamlet og videregivet af politi og kommunale
sagsbehandlere, kunne man læse Ellen Trane Nørbys begrundelse for at træde ud af
gruppen: De unge havde under opgøret om Ungdomshuset stået for en ’massepsykotisk
vandalisme’, hvor de i et ’voldsorgie’ viste deres ’antidemokratiske’ sindelag.
Ved en simpel tastefejl kom en kommunal embedsmand herefter til at lægge referatet
ud på Københavns Kommunes hjemmeside i forlængelse af en dagsorden for et kommende
møde i Borgerrepræsentationen, hvor de unges situation skulle drøftes.
Her stod det fortrolige dokument i tre dage, før fejlen blev opdaget – og da var det for
sent. Linjerne var blevet læst af mange øjne, der bestemt ikke tog indholdet nådigt op.
To dage senere begyndte en voldsom smædekampagne mod det unge Venstre-folketingsmedlem.
60

SCenarie 2 iT- og TeLeseKToreN
de giftige mails
Hen under aften den 7. august 2008 blev Ellen Trane Nørby ringet op af en god bekendt,
der ville vide, ”hvad hun egentlig havde gang i.”
Han havde netop modtaget en mail, hvor hun i bramfri vendinger gjorde overborgmesteren
i København ansvarlig for gadekampene på Nørrebro i marts. ”Ritt – de unges
Mareridt”, lød mailens overskrift, og den var tilsyneladende sendt til samtlige navne i
hendes adressekartotek, herunder også virksomheder og organisationer og tre fremtrædende
Venstre-ministre.
”Ordlyden var jo så ejendommelig, at min ven reagerede, men jeg var bange for, at
andre ville tage mailen for gode varer,” siger Ellen Trane Nørby, der derfor straks sendte
en forklaring og en undskyldning til alle i sit adressekartotek. Hun kunne ikke umiddelbart
se tegn på indbrud i sit mailprogram – der lå ingen falske mails i sendt-bakken – og
valgte derfor at tage det roligt og sove på episoden. Det var en fatal fejl.
Næste morgen er der indløbet en stribe svar på mails, hun aldrig har afsendt, og som
rummer langt mere giftigt indhold end den første.
I én mail udtrykker hun støtte til militante gruppers voldelige kamp i Spanien og Peru,
i en anden håner hun en folketingskollega, hvis datter stiller op til Europa-Parlamentet
med ordene: ”Hvilken sjasket opdragelse, du må have givet hende.”
Flere modtagere tror, hun har været beruset – men at der alligevel er et gran af sandhed
i de ondskabsfulde beskeder, der er skrevet mellem klokken to og tre om natten.
Ellen Trane Nørby gennemgår nervøst sin computer for tegn på flere ’lækager’ og går
ind på sin Netbank-konto, hvor hun til sin lettelse konstaterer, at hendes sparepenge
står urørt.
I det øjeblik begår hun endnu en eklatant fejl.
”Da jeg fortalte det til en tilkaldt it-medarbejder fra Venstres partisekretariat, sprang
han straks op fra stolen og ringede til banken – men da var det for sent. Pengene var
væk,” som hun siger.
Et spionprogram – en såkaldt keylogger – har opfanget og videregivet Ellen Trane Nørbys
kodeord til netbankkontoen, i samme øjeblik hendes fingre rørte tasterne tidligere
på morgenen.
den falske sekretær
I dag kan it-specialisterne i store træk rekonstruere det forløb, der også anbragte Ellen
Trane Nørby i centrum af en terrorefterforskning – og i dag har sendt hende på
rekreation på ubestemt tid.
Mens den unge politiker har travlt med at afværge flere lækager sammen med Venstres
sikkerhedsfolk, kommer dagbladet B.T. på gaden med en tophistorie, der angiveligt er
62

aseret på en solohenvendelse fra Ellen Trane Nørby. Den bærer overskriften: ”Ungt
Venstre-håb forlader politik.”
Avisen har ikke talt med Ellen Trane Nørby selv, men har ringet på hendes mobilnummer
og fået oplysningen bekræftet af en ’sekretær’. ”Det er korrekt,” siger ’sekretæren’
til bladet – og tilføjer: ”Ellen holder Venstre ansvarlig for det mere og mere rå samfund,
hvor de frie markedskræfter hærger helt uhæmmet. Hun er dødtræt af partiets øllebrødsbarmhjertige
indstilling til erhvervslivet og de store kapitalfonde.”
Det ’citat’ fra Ellen Trane Nørby – videregivet af ’sekretæren’ – trykkes i avisen.
Problemet er bare, at Ellen Trane Nørby slet ikke har nogen sekretær.
Hendes mobiltelefon er – uden hendes vidende – blevet omstillet til et andet mobilnummer.
Ifølge telefonselskabet er omstillingen sket fra hendes egen pc og med brug af
hendes personlige koder.
”Ingen kunne senere spore indehaveren af det nye nummer, for der var tale om en
mobiltelefon med taletidskort.”
I de mellemliggende timer er fortrolige opringninger og bekymrede sms’er fra venner
og familie – herunder også en enkelt minister – blevet afleveret på den ukendte hackers
mobiltelefon. I dagene efter finder flere af disse beskeder vej til internettet – og de mest
saftige også til formiddagsavisernes forsider – blandt andet en besked fra beskæftigelsesministeren,
der har læst om hendes udmeldelse i B.T. og beskylder hende for ’højforræderi’
og ’ynkelig faneflugt’.
Spundet ind på google
I dagene efter forsøger politi og sikkerhedseksperter desperat at indkredse mail-hackeren
– men det første besøg er sket via et af byens utallige ubeskyttede, trådløse netværk (hos
en helt uskyldig familie i Brønshøj), det andet fra en computer på Københavns Universitet,
som er én blandt flere tusinde og derfor umulig at spore.
Venstres sikkerhedsfolk arbejder hektisk på at lukke hullerne i Venstre-politikerens
’elektroniske liv’.
Men der er andre ’bagdøre’, som moderne mennesker næsten glemmer.
”En sikkerhedsekspert spurgte mig, om jeg havde modtaget almindelig post for nylig
– og der var ganske rigtigt gået fire dage, hvor brevsprækken havde stået stille derhjemme,”
siger Ellen Trane Nørby.
En forespørgsel hos Post Danmark bekræfter, at alle hendes breve og forsendelser via
Post Danmarks hjemmeside er blevet omdirigeret til en poste restante-adresse, hvorfra
de er blevet afhentet samme dag. Et privat brev fra en tidligere kæreste finder vej til flere
avisredaktioner, der vælger ikke at trykke det – men det gør til gengæld flere sladdersider
på internettet.
Selv om de mange rygter blandt venner, journalister og politiske kolleger fortløbende
dementeres, er der ét sted, eksperterne ikke har en chance for at blokere – og hvor alle
oplysninger om Ellen Trane Nørby ubønhørligt hober sig op: på internettet.
På syvendedagen for mailindbruddet (14. august) ligger både sande og falske informationer
om Ellen Trane Nørby på talrige nyheds-sites og private hjemmesider, og
time for time kommer flere til. Sladder blander sig med dementier – rigtige og forkerte
oplysninger filtres sammen i et uigennemskueligt spind – og mængden af ’hits’ på Ellen
63

SCenarie 2 iT- og TeLeseKToreN
Trane Nørbys navn alene i søgemaskinen Google vokser eksplosivt – fra 42.500 på første
dag til 550.000 om morgenen onsdag den 15. august. Herfra stiger det mod millionen.
Ukendte personer har skrevet særlige artikler om sagen og stillet dem gratis til rådighed
for nyheds-sites og online-diskussionsgrupper, blot på betingelse af, at de linker videre
til endnu flere historier om politikeren. Mængden af links til og fra store, anerkendte
hjemmesider er med til at sende sladderen videre opad i søgebaserne med raketfart.
Fredag den 17. august indeholder alle de ti første links hos Google på en søgning i hendes
navn opdigtede informationer om politikeren – og de fem første er støtteerklæringer
til organisationer, der står på EU’s terrorliste.
terror-forbindelser
Mandag den 20. august får Ellen Trane Nørby et sdste chok.
Da hun tidligt om morgenen ankommer til Christiansborg, bliver hun standset af to
af Folketingets egne vagter og forment adgang til ’Borgen’. B.T. er udkommet med en
vaskeægte sensation: ”Ellen Trane Nørby under overvågning af PET”.
Vagterne tør ikke lukke hende ind.
Når Politiets Efterretningstjeneste har indledt en overvågning af al politikerens it- og
teletrafik, skyldes det, ifølge B.T.s kilder, ikke blot den megen postyr om hendes mulige
sympati for terrororganisationer – som hævdet på internettet – men især en ’elektronisk
forbindelse’ mellem Venstre-kvinden og en aktivist, som PET har fulgt et stykke tid.
Hendes mail og mobiltelefon har flere gange været i kontakt med aktivistens nærmeste
venner, og det udløser en PET-beslutning om overvågning, som man ikke på forhånd
behøver konsultere en dommer om, fordi politiet mener, aktivisten planlægger at bruge
politikerens telefon og computer i terrorøjemed.
To dage senere afsløres det, at B.T.s kilde er en betroet it-medarbejder på Christiansborg,
der har haft status som PET’s forbindelsesled i tilfælde af en terroralarm.
Nyhedsavisen kan afsløre, at PET nu har tegnet en fuldstændig ’elektronisk profil’ af
politikerens it- og teletrafik gennem et år – med hjælp fra hendes internetudbyder. Uden
at vide om den overvågede selv sad ved tasterne, har PET opbygget et detaljeret billede
af personen ’Ellen Trane Nørby’ og hendes internet-trafik – hendes interesser, lyster og
mere kuriøse præferencer – der omfatter en hjemmeside oprettet af en afghansk terrorist,
et nyhedsforum ledet af en tidligere Obersturmbandführer i SS og en side med
børneporno, som ifølge PET en enkelt gang har fastholdt den besøgendes interesse i
mere end to timer.
Det ejendommelige mønster har udløst behov for en ’opklarende undersøgelse’. PET
har derfor gjort brug af sin ret til hemmelige oplysninger fra et bredt udsnit af forvaltningsorganer
– herunder to hospitaler, hvor politikeren har været indlagt som barn,
Lemvig Kommunes socialforvaltning (hvor hun som 18-årig gik ledig i to uger), samt
64

skriftlige vidnesbyrd fra de tidligere uddannelsessteder Nørre Nissum Skole, Lemvig
Gymnasium og Københavns Universitet.
Endelig har PET suppleret med en granskning af hendes bibliotekslån gennem de seneste
fem år. Hun lånte 1. september 2002 en bog om Baader-Meinhof-gruppen (sammen
med en sushi-kogebog og et festskrift fra Europa-Parlamentet). Også denne iagttagelse
noteres i profilen.
PET erkender, at det muligvis ikke er Ellen Trane Nørbys, men den ondsindede hackers
internetfærdsel, man har fulgt – han kan have installeret et stykke fjernstyringssoftware
– men efter bomberne i Madrid og London er man ikke i en situation, hvor man
tør tage noget som helst for givet.
I den situation bryder Ellen Trane Nørby sammen. Hun er nu sygemeldt på ubestemt
tid.
Det foregående kapitel er opdigtet, men det kunne lige såvel være sandt.
Kapitlet er inspireret af virkelige begivenheder. Det samlede scenarie er verificeret som
sandsynligt af eksperter på it- og teleområdet.
Ellen Trane Nørby medvirker frivilligt i kapitlet.
Kapitlet om ellen trane nørby bygger på virkelige begivenheder:
en hacker skaffede sig i maj 2007 adgang til Berlingske-redaktør Lisbeth Knudsens
mail-boks via hotmail.com og sendte en stribe mails til personer i hendes
adressekartotek, blandt andet med ordlyden: ”Jeg vil gerne frabede mig alle jeres
sleske e-mails.” Lisbeth Knudsen måtte chokeret konstatere, at en hacker havde
”overtaget min mail-identitet.”
en person gættede sig i juli 2007 til Tour de France-rytteren Michael rasmussens
kodeord til hans web-mail. Manden downloadede – og forsøgte at sælge – cykelrytterens
private mails til dagbladet B.T.
informationschefen i Wonderful Copenhagen fortæller i Tænk, at hun i foråret 2006
– tilsyneladende – udsendte en pressemeddelelse med et budskab om gratis bustransport
i hovedstaden, som mange redaktioner nåede at trykke, før de opdagede,
den var falsk. På et hollandsk web-hotel var der blevet oprettet en mailadresse som
den, informationschefen brugte til pressemeddelelser.
i november 2006 opdagede en politipatrulje fra Allerød to lettiske mænd, der sad i
en bil med en bærbar computer på skødet. de kørte ’fra dør til dør’ og loggede sig
på ubeskyttede, trådløse netværk.
På en hacket pc kan man omstille ejerens telefoner via telefonselskabets hjemmeside.
i august 2007 lykkedes det desuden Tænk – telefonisk – at overtale en
TdC-ansat til at ændre omstillingen på et mobilnummer, selv om der blev ringet op
fra et helt andet nummer.
65

66
Brevpost kan med få oplysninger omadresseres via en ’flyttepakke’ eller Post danmarks
hjemmeside.
i sundsøre Kommune opdagede man i august 2004, at et dokument, der indeholdt
intime informationer om borgeres kontanthjælp, revalidering og tvangsfjernelse af
børn, var havnet på internettet.
i juli 2006 afslørede ekstra Bladet, at Trundholm Kommune ved en fejl havde
lagt oplysninger om mere end 50 borgere, hvis sager havde været behandlet i
socialudvalget, på nettet. Med særlig tilladelse fra google fjernede man de intime
oplysninger – men fire måneder senere kunne de, ifølge Politiken, atter findes på
google.
i oktober 2006 afslørede Politiken, at Præstø Kommune havde lagt dybt fortrolige
oplysninger om 30 udenlandske borgere på nettet – de fortrolige bilag var vedhæftet
åbne byrådsreferater.
”det tog systemet ikke højde for,” som kontorchefen sagde.
organisationen Privacy international, der er vagthund over for stater og virksomheders
overvågningstiltag, rangerede i juni 2007 google som den sikkerhedsmæssigt
mest ringe blandt 23 undersøgte internetselskaber, når det gjaldt
beskyttelse af brugernes private oplysninger.
i februar 2007 afslørede Computerworld, at 36 danskeres bankkonti var blevet
lænset ved et såkaldt phishing-angreb af østeuropæiske nettyve, der udgav sig for
at være deres netbank.
sikkerhedsfirmaet McAfee oplyste i januar 2007, at brugen af keylogger-software,
som aflæser folks kodeord via deres tastetryk, var steget med 250 procent mellem
2004 og 2006.
en undersøgelse fra symantec viste i marts 2007, at fulde identiteter med stjålne
CPr- og kontonumre handles på nettet for under 100 kroner i stejlt stigende antal.

den elektroniske overvågning
regeringens to antiterrorpakker (2002 og 2006) og den såkaldte Logningsbekendtgørelse
(som trådte i kraft 15. september 2007) betyder, at tele- og internetudbydere
skal gemme data om deres kunders teletrafik i et år. der skal sikres
mulighed for, at politiet og PeT kan overvåge al internet- og telefontrafik.
Firmaerne skal desuden stille sikkerhedsgodkendte medarbejdere til rådighed, så
myndighederne når som helst kan få adgang til de oplagrede informationer. Politiets
efterretningstjeneste (PeT) kan uden forudgående dommerkendelse udvide
aflytning og overvågning af en mistænkt persons kommunikation til at omfatte
f.eks. kæreste, venner, familie og kolleger, hvis man mener, den mistænkte kan
finde på at kontakte omverdenen fra andre apparater end sit eget.
PeT kan samkøre elektroniske data, indsamlet fra offentlige myndigheder, om en
bestemt person – f.eks. fra vedkommendes kontakt til socialkontor, uddannelsessted,
sygehus, bibliotek, etc. i en rapport fra december 2005 anbefalede Nordisk
Ministerråd, at der sættes øget fokus på balancen mellem statens overvågning og
borgernes ret til privatliv.
i april 2007 sagde den tidligere chef for Politiets efterretningstjeneste, ole stig Andersen,
til information: ”Udviklingen bekymrer mig. Man risikerer i den gode sags
tjeneste at indføre nogle regler, der betyder, at vi opnår det modsatte af den frihed,
vi gerne vil forsvare. og hvem siger stop?”
i maj 2007 kritiserede Amnesty international danmarks antiterrorlove, blandt andet
fordi man kan få aflyttet sin telefon, blot fordi man kender en mistænkt. Udformningen
af lovgivningen er for upræcis, mener organisationen.
67

SCenarie 3 FiNANsseKToreN
Koncernen, der vidste alt
Beslutningen om at lade Danmarks største finansielle koncern overtage alle sine
økonomiske forhold fik katastrofale konsekvenser for analysechef Thomas Roland,
der på få måneder mistede helbred, hustru, hus og job
Af Erik Valeur, Tænk
Den 1. december 2008 flyttede Thomas Roland ind på Mændenes Hjem i København.
Kun et halvt år tidligere havde han været en velstående mand med eget hus i Gentofte.
Her havde han boet med sin kone, som han mødte og giftede sig med i 1990.
På det tidspunkt var han lykkeligt nygift og komplet vidende om, at hans livs deroute
skulle til at begynde.
Efter brylluppet købte parret villa i Lejre sydvest for København. Thomas Roland blev
ansat i et analysefirma i Roskilde og besluttede på det tidspunkt at tegne en forsikring
med invaliderente – og ved den lejlighed afgav han en lang række oplysninger om sig
selv og sine økonomiske forhold – og sit helbred.
Kort efter blev han i forbindelse med et hold i ryggen røntgenfotograferet på Gentofte
Amtssygehus, men inden der kom svar fra hospitalet, var han i bedring.
”Min læge sagde, der blot havde været tale om et ’hekseskud’, så jeg glemte alt om
billederne,” siger Thomas Roland.
Det skulle vise sig at være én af en række fatale fejl.
de første sygdomstegn
I 2007 er Thomas Roland blevet analysechef i firmaet FBR-Analyse i København og står
til yderligere avancement.
Men en søndag morgen vågner han og er følelsesløs i venstre side af ansigtet og dele
af venstre arm. ”På Rigshospitalet fik jeg at vide, at det kunne være sklerose, men at
den endelige diagnose krævede flere undersøgelser. Jeg vidste godt, der kunne blive
et forsikringsspørgsmål, men foreløbig manglede jeg jo endeligt svar, og jeg følte mig
hurtigt frisk igen.”
Thomas Roland fortæller hverken venner, kolleger eller forretningspartnere om sygdomsmistanken.
Sklerose er en livstruende sygdom, der udvikler sig langsomt – og han
krydser fingre for, at han ikke ramt.
I den samme periode beslutter han sig for at skifte huset i Lejre ud med drømmevillaen
i Gentofte. Han kontakter sin bank, der er en af Danmarks største finansielle koncerner.
Her kan Thomas få sit samlede ’finansielle liv’ varetaget under ét og samme tag.
68

SCenarie 3 FiNANsseKToreN
”Jeg var helt tryg ved mit forhold til min personlige bankrådgiver gennem ti år, og det
var på hans anbefaling, jeg kontaktede boligkæden Normæglerne, der var blevet opkøbt
af min bank.
et dårligt papir
Få dage efter afslutningen af hushandlen modtager Thomas imidlertid brev fra sit gamle
forsikringsselskab, Nordica, der også er blevet opkøbt af bankkoncernen og nu tilbyder
ham nye fordelagtige forsikringer. Det undrer ham lidt.
”Jeg mente ikke, jeg havde oplyst selskabet om hverken hussalg eller huskøb – men
jeg tog alligevel imod en ny og større indboforsikring og en ny ulykkesforsikring.”
I den forbindelse giver Thomas Roland tilladelse til, at selskabet må undersøge hans
personlige forhold, idet han skriver under på en såkaldt samtykkeerklæring.
”Som sagt havde jeg altid haft et nært tillidsforhold til folkene i banken – og ikke
mindst min personlige rådgiver.”
Men før drømmevillaen på Gisselfeld Allé i Gentofte overhovedet er færdigindrettet,
revner ægteskabet, og hverken Thomas eller hans hustru har råd til at beholde huset.
Igen får han brev fra Nordica, der høfligt påpeger de nye omstændigheder i hans ‘civile
status’ – og endnu en gang kommer der nye ’fordelagtige’ forsikringstilbud. Også denne
gang undrer henvendelsen ham – hvordan ved de, han skal skilles? – men han har nu
langt større problemer at tænke på.
”Jeg kontaktede min rådgiver, fordi jeg jo stod til at miste en del af vores fælles formue
og opsparing, og jeg skulle have lån til et nyt hus. Min bankrådgiver anbefalede mig i
telefonen at kontakte realkreditselskabet Norkredit, der ligesom Nordica og Normæglerne
var blevet opkøbt af min bank. Så det gjorde jeg naturligvis.”
ned ad bakke
Thomas har i disse svære uger brug for en større kassekredit. Han regner ikke med, at
det er noget problem – for han har jo stadig sit gode job og faste løn.
”Men da jeg kom ned i banken, var min rådgiver helt forandret,” siger Thomas. ”Han
insisterede på at ’overveje sagen nærmere’ – og ringe tilbage.”
Samme dag skal Thomas Roland have møde med Normæglerne, som han jo kender fra
sin tidligere, vellykkede hushandel – men ejendomsmægleren dukker slet ikke op.
”Dét rystede mig virkelig … For første gang fik jeg den tanke, at der var noget
rivravruskende galt. Der foregik noget omkring mig, jeg slet ikke forstod.”
Efter at have ventet forgæves på en opringning fra sin finansielle rådgiver insisterer
Thomas på et møde. I den anledning beder han sin chef om fri i tre dage og fortæller
ham om sine vanskeligheder med at bringe sin økonomi på rette kurs. ”Det gjorde jeg
70

for at spille med helt åbne kort,” siger Thomas – og tilføjer: ”Men det skulle jeg aldrig
have gjort.”
I bankkoncernen er hans rådgiver assisteret af en underdirektør, som kortfattet forklarer,
at man ”desværre ikke kan yde et lån” og ”derfor heller ikke kan hjælpe Thomas ud
af de akutte finansielle vanskeligheder”.
”Underdirektøren forklarede mig, at de havde lavet en såkaldt ’creditscore’ på mig,
der sammenfattede alle tilgængelige oplysninger om min økonomi – og jeg blev ikke
længere regnet for ’kreditværdig’. Jeg protesterede … jeg havde jo både fast arbejde og
god økonomi. Men så sagde min rådgiver pludselig: Men fast arbejde kan jo ophøre ved
sygdom – og i det øjeblik forstod jeg, at de vidste alt om den sklerose-mistanke, jeg ikke
havde fortalt andre end min kone om …”
Thomas Roland er dybt chokeret, og han spørger de to koncernfolk, hvor i alverden
de har oplysningerne fra.
”Så sagde underdirektøren: Dem har vi da fra dig selv … Jeg havde jo underskrevet
en samtykke-erklæring til mit forsikringsselskab, der gav dem lov til at indsamle helbredsoplysninger
og videregive væsentlige personlige data inden for koncernens egne
mure.”
I de minutter indser Thomas, at hele hans økonomi ligger samlet på ganske få hænder,
og at hans fremtid står og falder med nogle ganske få menneskers beslutninger. De har
indblik i hele hans finansielle liv og alt, hvad der vedrører det.
”Ifølge oplysninger i min Elektroniske Patientjournal – som de havde set – mente underdirektøren,
at der næppe kunne være tvivl om den endelige diagnose – og dét havde
jeg holdt hemmeligt. De havde desuden fundet et røntgenbillede fra min rygundersøgelse
i 1990 og konstateret, at jeg havde fået udbetalt forsikringspenge i forbindelse med
mine rygproblemer. Dét billede havde jeg aldrig oplyst selskabet om – og derfor krævede
de alle pengene tilbage!”
Thomas’ forklaring, om at det bare var et hekseskud, afvises blankt. ”Det stod der
intet om nogen steder, sagde de. Jeg var helt groggy …”
På mændenes Hjem
Men det skulle blive endnu værre.
”De fortalte, at de på den baggrund havde lavet en såkaldt ‘behavial score’ på mig – en
adfærdsanalyse – med et meget nedslående resultat.”
Banken har gennemgået Thomas Rolands Nemkonto – hvor alle overførsler fra det
offentlige er indgået siden 2005 – og har opdaget, at han i 2006 en kort periode gik arbejdsløs
og modtog dagpenge.
”Derefter havde de – med min samtykkeerklæring – fået aktindsigt i kommunen, hvor
en sagsbehandler i en journal havde noteret, at jeg var en ”besværlig klient med et
be-vægeligt sind” – altså psykisk ustabil. Det skudsmål sænkede min samlede ’adfærdsscore’
til et absolut minimum – og hævede min HRG til det klart uacceptable …”
Thomas Roland smiler skævt.
”Household Risk Grade angiver risikoen ved at låne penge ud til en bestemt type
husholdning. Og min var jo helt faldet fra hinanden … Jeg var blevet en uantagelig
risikofaktor.”
71

SCenarie 3 FiNANsseKToreN
Så nævner Thomas Roland – over for bankfolkene – den forsikring, der trods alt vil
tillade ham et komfortabelt liv, såfremt han rammes af sklerosen.
”Og dér forstod jeg, at det var helt slut. De kaldte på en medarbejder fra Nordica, som
fortalte mig, at de havde opsagt alle forsikringer. Jeg sagde selvfølgelig, at min endelige
diagnose endnu ikke var stillet – men så sagde han: Nej, men den risiko kunne selskabet
ikke byde sine raske kunder. De skulle jo betale mere, hvis jeg blev uhelbredeligt syg.”
Ugen efter sit brud med den store koncern – og sin personlige fallit med overtræk
på 100.000 på sin kassekredit – bliver Thomas Roland fyret fra sit firma, FBR-Analyse.
Direktøren har taget oplysninger i Ribers Kreditinformation, hvor han kan se, at Thomas
for år tilbage har været registreret som dårlig betaler.
”Men det værste var, at han på en eller anden måde havde fremskaffet alle mine
forsikringspapirer – inklusive lægernes diagnoser og Nordicas anklager imod mig for
at lyve om mit helbred. De havde ikke været svære at få fat i, sagde han – en mægtig
bankkoncern som min har flere tusinde medarbejdere, og alt er lagret elektronisk, som
han sagde.”
Den 19. november 2008 modtager Thomas Roland sin første dagpengeudbetaling, men
han ser aldrig pengene. Bankkoncernen har ved at bruge hans CPR-nummer fastholdt
hans Nemkonto (som det offentlige indbetaler på) i banken, uden Thomas’ vidende – og
beslaglægger øjeblikkeligt de 7.800 kr. til dækning af overtrækket på kassekreditten.
Kun halvanden uge senere flytter Thomas ind på Mændenes Hjem i Istedgade i København.
Han ligner stadig en mand, der intet forstår – og ikke aner, hvad der ramte ham.
”Jeg sad midt i et spind – et finansielt spind, hvor nogen vidste alt om mig – men jeg
opdagede det ikke, før det var for sent.”
Det foregående kapitel er opdigtet, men det kunne lige såvel være sandt.
Kapitlet er inspireret af virkelige begivenheder. Det samlede scenarie er verificeret som
sandsynligt af eksperter på finansområdet.
Thomas Roland medvirker frivilligt i kapitlet.
72

Kapitlet om thomas roland bygger på virkelige begivenheder:
Berlingske Tidende beskrev i september 2000, hvordan den danske Bank videreformid-lede
følsomme oplysninger om kunderne til Topdanmark, idet kunderne
blev sorteret efter en intern ’score’ med hensyn til økonomi og personlige forhold.
i glostrup åbnede den danske Bank i 2004 det første ’finansielle supermarked’,
der ud over banken husede realkredit danmark, ejendomsmæglerkæden home
og pensionsselskabet danica. ”Under dette tag kan man få rådgivning og service
om alle de ting, man har behov for som finansiel indkøber,” sagde vicedirektør
Claus Johansen.
dagbladet Børsen skrev i juli 2005, at storbankerne presser deres kunder til at
vælge selskaber, koncernen samarbejder med. For eksempel blev en kunde i
Nordea truet med opsigelse af kundeforholdet, hvis han ikke solgte sit hus gennem
danBolig. Banken sagde, det var en fejl.
i 2006 gennemgik Jyllands-Posten en række sager, hvor forsikringsselskaber gik
på såkaldt ’journalfiskeri’. Metoden er at få samtykke til alle kundens helbredsoplysninger
– herunder patientjournaler – og derefter bruge små detaljer til at
miskreditere kunden.
i februar 2007 kom det frem, at en ansat i Nordea-koncernen havde solgt økonomiske
informationer om det norske kongehus til norsk se og hør. Koncernens
danske informationschef sagde, det samme ikke kunne ske i danmark.
i maj 2007 beskrev Jyllands-Posten, hvordan flere banker havde oprettet en Nemkonto
uden deres kunders vidende – og derefter havde hævet på disse konti for at
dække kundens eventuelle gæld til banken.
de finansielle supermarkeder
i virkelighedens verden er danmarks største banker allerede blevet til ’finansielle
supermarkeder’, der indeholder såvel traditionel lånevirksomhed som realkredit,
pension, forsikring og ejendomshandel.
de finansielle koncerner har længe presset på for at kunne indhente og videregive
informationer langt nemmere, end lovgiverne hidtil har villet gå med til.
for og imod
For den udvikling taler billigere sagsgange, større overblik over kundens samlede
økonomi og soliditet – og dermed bedre service og mulighed for at fremsætte de
helt rigtige, skræddersyede tilbud.
imod udviklingen taler muligheden for at bruge informationerne i sammenhænge,
73

74
kunden slet ikke regner med – at helbred og andre personlige omstændigheder
bliver bestemmende for lån, kassekredit og rentestørrelse, og at hele éns liv kan
kortlægges i et samfund, hvor alt lagres elektronisk. Loven siger, at koncernerne
ikke uden videre må indhente følsomme oplysninger om kunderne. imidlertid kan
for eksempel et forsikringsselskab med kundens samtykke få adgang til personlige
data, helbredsoplysninger og informationer fra det offentlige.
der er en lang række eksempler på, at indsamling af personfølsomme informationer
er blevet brugt imod kunder i forsikringssager. de indhentede oplysninger
må ikke uden videre passeres mellem datterselskaberne i den finansielle koncern,
men også her optræder der misbrug – som Finanstilsynet siger: ”Vi har en del
sager.”
i de finansielle koncerner arbejdes der med udvikling af effektive bedømmelsessystemer
– for eksempel ’risikoværktøjer’ til bestemmelse af kreditværdighed (’credit
score’) og økonomisk adfærd (’behavial score’) samt lånerisiko ved forskellige
typer af husholdning (’household risk grades’) osv. der har især været debat om
adgangen til helbredseksempler, hvor læger har klaget over forsikringsselskabernes
krav om adgang til hele patientjournaler og sygdomsforløb. i mange tilfælde får
de kunden til selv at rekvirere alle oplysninger og udlevere dem til selskabet. et
af fremtidens problemer bliver den øgede mulighed for gentest, hvor selskaberne
kan få adgang til oplysninger om mulige fremtidige sygdomme. i danmark er det
endnu forbudt.

SCenarie 4 deT oFFeNTLige rUM
Syv dage som tv-stjerne
Det danske samfund kan især takke over en halv million overvågningskameraer for, at
Enhedslistens Rune Lund blev afsløret som involveret i omfattende terrorplaner.
Af Erik Valeur, Tænk
Da aktivisten og venstrefløjspolitikeren Rune Lund blev anholdt som terrorist, havde
han været under intensiv overvågning i seks dage.
Politiets mistanke var funderet i ikke færre end 2973 digitale og biometriske videooptagelser,
der havde kortlagt og karakteriseret den revolutionære frontløbers færden
i de suspekte miljøer, der findes i det indre København. Nogle af optagelserne stammede
fra trafikknudepunkter og offentlige bygningsarealer, mens andre var stillet til rådighed
af private borgere og forretningsdrivende. Et enkelt stærkt fældende indicium hentede
myndighederne med en dommerkendelse hos Google Street View, hvis satellittjeneste
er blevet så præcis, at man kan genkende mennesker, der færdes i gader, på pladser, i
parker og i private haver – overalt på kloden.
Politiets Efterretningstjeneste, PET, passede Rune Lund op, da han ville forlade sin
privatadresse i Brønshøj. Det var den 1. april 2009 efter syv dages overvågning. ”Da
håndjernene klikkede, troede jeg, det var en aprilsnar,” siger det nu forhenværende
folketingsmedlem i et strengt overvåget interview efter anholdelsen.
Selv om offentligheden endnu venter på den endelige dom, tvivler ingen på, at politikeren
havde udset sit fædreland til mål for terror. En strøm af overvågningssekvenser fra
private og offentlige kameraer er i ugernes løb blevet lækket til hjemmesider, dagblade,
tv-nyheder og ugemagasiner, og de taler deres tydelige sprog.
Det, han selv kalder tilfældigheder – tilfældige møder og sammentræf af omstændigheder
– har hele Danmarks befolkning nu ved selvsyn kunnet konstatere, var meget
mere end dét.
”Han virkede ellers som en flink fyr,” som en nabo fra Brønshøj siger. ”Men det er da
dybt mistænkeligt, at han optræder på så mange overvågningskameraer.”
objektet overvåges intensivt
Det begyndte – tilsyneladende – uskyldigt, da venstrefløjsidolet Rune Lund trommede
unge helt ned i 12 års-alderen sammen til foredrag over emnet ’De sultne børn i Afrika’
på Emdrup Skole i København.
Efter selve arrangementet fangede et af de i alt 29 opsatte kameraer i skolegården, der
76

SCenarie 4 deT oFFeNTLige rUM
normalt bruges til at forebygge hærværk, mobning og uønsket uro i det store frikvarter,
den unge foredragsholder i samtale med en gammel kending af den danske efterretningstjeneste
ved navn Mansour Said Mansour.
Mansour er bedre kendt som ’Boghandleren fra Brønshøj’ og fik i 2007 en dom for at
udsprede islamisk jihad-propaganda med opfordring til blodig terror over hele Europa.
Mansour var netop blevet løsladt – før tid – og skolens pedel genkendte ham fra fjernsyns-
og avisomtaler og gav politiet et tip.
”Herefter blev hele ’linseparken’ bogstaveligt talt rettet mod ’objektet Lund’,” som
en anonym kilde i PET udtrykker det. Denne park rummer, som det ikke uden stolthed
understreges, mere end en halv million danske overvågningsinstallationer, de allerfleste
digitale, herunder cirka 100.000 såkaldt biometriske scannere, der reagerer på alle former
for kropskarakteristika og bevægelsesmønstre – samt en ny generation af kameraer, der
også kan opfange og gengive selv hviskende samtaler mellem borgere på stor afstand.
Især samledes specialenhedens opmærksomhed omkring ’de mørke områder’ – det
er overvågningsspecialisternes slang for indvandrerghettoer som Tingbjerg, Ishøj, Vollsmose
og Gellerup – hvor de kommende terrorister udklækkes, og linseparken derfor
indgår i et stort, forebyggende arbejde.
Her er de biometriske scannere indstillet til særlig opmærksomhed på arabiske tale- og
bevægelsesmønstre, hud- og øjenfarve, påklædning og ansigtsform (ikke-nordiske karakteristika
aflæst på næse- og kranieform) – og det førte få dage senere til endnu et opsigtsvækkende
’match’ mellem Rune Lund og en tidligere mistænkt i den såkaldte Glasvejsterrorsag
(fra september 2007), som han mødte på en gangsti i Tingbjerg ved midnatstid.
Ikke færre end tre årvågne kameralinser ’låste’ de to mistænkte fast, da de passerede
hinanden.
I mørket kan man ikke se, om der udveksles noget imellem dem, men det mener politiet
er helt indlysende. Hvorfor skulle de ellers mødes dér?
Rune Lund kan på sin side ikke redegøre for det uforklarlige møde, som han nonchalant
fejer af bordet som ’tilfældigt’. ”Jeg forstår godt, hvorfor folk i Colombia eller
Palæstina griber til våben – og jeg bakker op om legitim væbnet modstand mod en
besættelsesmagt eller et undertrykkende regime – men ikke om selvmordsbomber og
terroraktioner mod civile,” siger han rasende i sin celle. I loftet i sikringscellen, hvor
interviewet finder sted, sidder fire konstant observerende kameraer, ét i hvert hjørne,
sikkert uden for hans rækkevidde, og kigger på ham.
objektet møder akkari
På den tredje overvågningsdag gik Rune Lunds rejse- og kontaktmønster ind i ’rød fase’,
som det hedder i det ny EU- og Schengenbegreb for den alarmtilstand, der ligger umiddelbart
før selve terrorhandlingen.
78

Politiet fulgte hvert eneste skridt, og operationen var ikke svær. Alt nødvendigt udstyr
befandt sig på forhånd i det københavnske gaderum, på husfacader, foran banker og
butikker, på alle pladser og åbne arealer, ja, selv på tagrygge, hvor de kiggede direkte
ned på den hættetrøjeklædte aktivist, hvor han end gik.
Når han forlod sit hjem i Brønshøj for at tage linje 2A til Christiansborg, var han
allerede i fokus: Både Brugsen på hjørnet af Brønshøj Torv samt Danske Bank lige ved
siden af, har udvidet ret til facade- og gaderumsovervågning og fik fine billeder af Rune,
der stod ved stoppestedet og lod som om alt var normalt.
Andre optagelser viste ham siddende tre sæder nede i bussen, til venstre for midtergangen,
hvor han læste MetroXpress, og registrerede, at han med særlig stor interesse
studerede en artikel om bombetrusler mod vantro kristne. Da han senere slentrede ned
ad Strøget, nåede 53 digitale kameraer at forevige hans færden på den korte tur til Højbro
Plads.
I en kælder under Kastellet samlede og analyserede PET’s nye supercomputer alle de
indkommende informationer. Som bekendt er flere optagelser fra den tæt overvågede
del af København efter Rune Lunds fængsling tilgået offentligheden og har reelt gjort det
umuligt for ham at bortforklare sine syv dage som ’tv-stjerne’ frem mod anholdelsen.
En række medier har med hjælp fra de handlende på Strøget kunnet offentliggøre
kompromitterende optagelser af Lund i samtale med mystiske personer, flere af dem
med arabisk udseende.
En ansat i Blockbuster solgte forleden en fem minutter lang optagelse af den nye
’berømthed’, mens han lejer katastrofefilmen World Trade Center med Nicolas Cage i
hovedrollen.
Scoopet havde dog TV2 News, der skaffede sig en kopi af optagelser fra et overvågningskamera
på Nørreport Metrostation, hvor man tre meter bag den mistænkte kunne
skimte en mistænkelig mørklødet mand: Ved fintuning og forstørrelse var anonyme politikilder
ikke i tvivl: Manden ved siden af Rune Lund var den århusianske imam Ahmed
Akkari, der i 2006 udløste den verdensomspændende Muhammedkrise og gjorde Danmark
til alle terroristers yndlingsbombemål.
Akkari kommunikerede ikke direkte med den Enhedsliste-mistænkte, men netop dette
tages af kilder som tegn på, at de begge er klar over, hvor intensivt Metroen overvåges.
objektet og den nationale sikkerhed
Nu ’spoler’ politiet alle optagelserne i supercomputeren under Kastellet tilbage. Først
bakker PET-folkene ét år og derefter (med dommerkendelse) to år og til sidst tre år.
Lagringsbekendtgørelsen – der betyder, at optagelser skal slettes efter et år – kan af en
dommer sættes ud af kraft i de særlige tilfælde, der omhandler national sikkerhed, og
derfor har myndighederne uden om loven lov til at gemme en backup på ubestemt tid.
Enhedsliste-manden indkredses på sin halten, sin højde og det stride hår af det
avancerede biometriske udstyr.
På en optagelse fra marts 2008 finder sporhundene i den hemmelige enhed igen
Ahmed Akkari stående på samme perron (tog mod Lergravsparken) som Rune Lund
– denne gang kun to meter fra den terrormistænkte – og det gentager sig på en tredje
optagelse fra september 2007.
79

SCenarie 4 deT oFFeNTLige rUM
Rune Lund kaster endnu et dramatisk forskrækket blik rundt i sikringscellen: ”Da jeg
påpegede, at jeg mindst otte gange om ugen tager Metroen og selvfølgelig kunne være
filmet tæt ved Akkari, hvis han gjorde det samme, rystede de på hovedet og sagde: ’Én
gang er okay. To gange kan gå an. Men tre gange kan aldrig være et tilfælde. Så er det et
mønster. Vores overvågningskameraer tror slet ikke på tilfældigheder. De overvåger bare.
Derfor tror vi på dem’.”
objektet og Satans mor
Og så kommer det endelige bevis: Rune Lunds kæreste har stået for en del indkøb i den
lokale Netto, da parret satte den nye lejlighed i Brønshøj i stand.
Nu aktiverer PET alle de RFID-chips, som Netto-kæden siden årsskiftet har anbragt i
sine varer – og med et enkelt museklik kan politiets sporhunde se alt, hvad kæresten har
indkøbt de foregående otte måneder.
”Så var der gevinst!” som det udtrykkes af en anonym politikilde – for de elektroniske
chips lyver ikke.
I skabet under vasken på førstesalen i Brønshøj finder man en lang række bombeingredienser
hos Rune Lund: Lim, acetone, brintoverilte, husholdningssprit, afløbsrens
og klorin – og i kælderen står en halv sæk kunstgødning, som kæresten hævder er til
brug i parrets lille køkkenhave.
Af disse ingredienser vil enhver terrorist i en håndevending kunne fremstille det populære,
uhyggeligt kraftige sprængstof med øgenavnet Satans Mor.
”De komplimenterede mig for min evne til at samle og organisere et ’kriminelt netværk’,
der endda skrupelløst omfattede min egen kæreste,” siger Rune Lund i sin topsikrede
celle, og overvågningskameraerne i sikringscellen opfanger endnu en gang et
chokeret udtryk i det kendte politikeransigt.
Det er skuespil for galleriet. De utallige overvågningssekvenser taler deres eget, tydelige
sprog.
Rune Lund er endegyldigt nået til vejs ende.
Det foregående kapitel er opdigtet, men det kunne lige såvel være sandt.
Kapitlet er inspireret af virkelige begivenheder. Det samlede scenarie er verificeret som
sandsynligt af eksperter i offentlig overvågning.
Rune Lund medvirker frivilligt i kapitlet.
80

Kapitlet om rune lund bygger på virkelige begivenheder:
Fyens stiftstidende skriver i juli 2005, at 25.000 mennesker på en almindelig hverdag
bliver filmet af 48 kameraer i Banegårdscentret i odense – kun de færreste er
klar over det.
Københavns Kommune har opsat flere hundrede overvågningskameraer rundt
omkring på kommunale ejendomme og arealer uden at have fået tilladelse, skriver
Berlingske Tidende i oktober 2005. Politikerne kan ikke umiddelbart forklare situationen.
Menneskerettighedsorganisationen Liberty konstaterer i en undersøgelse, at
gennemsnitsenglænderen filmes 302 gange i døgnet i det offentlige rum, skriver
Weekendavisen i marts 2006.
Tankpersonalet på hydro Texaco i Levanger i Norge finder i april 2006 den svenske
konge, Carl gustaf, på tankens videoovervågning. Kongen var kommet til at køre
fra en ubetalt benzinregning og var lettet over, at videofilmen ikke blev offentliggjort.
”det er ikke noget, vi som virksomhed står bag, men med 1200 medarbejdere
ved man aldrig, hvad der sker,” siger direktør Jesper Østergaard, Blockbuster, til
Jyllands-Posten, efter at billeder fra et overvågningskamera af robbie Williams er
sivet til ekstra Bladet i juli 2006. På billederne kan man se sangeren stå mellem tre
bodyguards og fløjte en lille melodi, mens han trækker op i bukserne og spiser en
Twister.
i december 2008 offentliggjorde ekstra Bladet overvågningsbilleder af entertaineren
Finn Nørbygaard, da han under iT-Factory-skandalen var blevet filmet på en
tankstation.
datatilsynet har oplevet en massiv fremgang i antallet af opgaver. Konsekvensen er,
at datatilsynet må skrue ned for ambitionerne og på mængden af de kontrolbesøg,
der skal sikre, at danskernes følsomme oplysninger ikke behandles lemfældigt,
skriver ingeniøren i august 2006.
Flere og flere danske virksomheder bruger skjulte gPs-sendere til at overvåge de
ansattes brug af firmabiler, skriver it-nyhedsbrevet Comon i november 2006.
i UsA raser debatten i juli 2007 om google street View, der fotograferer verdens
storbyer med en stadig højere grad af detaljer. Blandt børn og unge er der gået
sport i at komme med på billederne, skriver dagbladenes Bureau.
hK oplever et boom i antallet af medlemmer, der bliver tv-overvåget på arbejdspladsen,
skriver Berlingske i januar 2007. en undersøgelse i gratisavisen 24timer
81

82
viser 19. april 2007, at knap hver femte danske folkeskole har sat overvågningskameraer
op – og mange flere overvejer det.
eksperter skønner, ifølge Berlingske i juni 2007, at der bliver opsat 25.000 nye
overvågningskameraer om året. der er nu opsat mere end 200.000 kameraer i
danmark – over dobbelt så mange som for tre år siden.
diskotek Crazy daisy i Viborg vil indføre fingeraflæsning via scanner. datatilsynet
vil nu klarlægge, hvem der via de biometriske værktøjer får adgang til informationer
om gæster-nes race, straffeforhold og oprindelse, skriver ekstra Bladet, august
2007.
ifølge Weekendavisen er 3500 engelske skoler begyndt at tage fingeraftryk og lave
øjen-scanninger på deres elever, nogle helt ned til fem-årsalderen. systemerne
bruges til bogudlån og til at holde styr på børnene. skolerne overvejer optagelser af
børnenes stemmer, ansigtsformer, håndbevægelser og skrivemønstre.
sverige vil indføre intelligent overvågning af Arlanda-lufthavnen, oplyser 24timer i
august 2007. Ved hjælp af ny computerteknik registrerer overvågningskameraer,
hvis folk har et mistænkeligt bevægelsesmønster.
advarsler mod tv-overvågning
”Alle de steder, hvor der er blevet begået terrorangreb, har der hængt kameraer
overalt. hvis du har sat en dynamitstang på din mave, så er du sådan set ligeglad
med, om du bliver filmet eller ej.”
Venstres politiske ordfører, Jens Rohde, Berlingske Tidende, november 2005.
”det er mig bekendt heller ikke dokumenteret, at terror forhindres ved kameraer
og andre indgreb i borgernes frihedsrettigheder. Terroren i London viser da også,
at selv om gader og pladser er overplastret med kameraer, så undgik London ikke
terroren.”
Retsordfører for Venstre Birthe Rønn Hornbech, Frederiksborg Amts Avis, november
2005.
”det allerfarligste argument er jo, at det er i orden, fordi man ikke har noget at
skjule. det er så oplagt rigtigt et synspunkt, men konsekvensen af det synspunkt
kan føre til et system, som jeg absolut ikke bryder mig om. i et gennemregistreret
samfund som det moderne danmark kan vi jo stort set vide alt om hver enkelt
borger.”
Tidligere chef for PET og direktør for Folketinget Ole Stig Andersen, Information,
april 2007.

Begrundelser for tv-overvågning
Tv-overvågning kan i forretninger og på parkeringspladser afsløre butikstyve og
biltyve.
Kameraerne kan afværge kriminalitet i højrisikoområder som banker og tankstationer
og forhindre overfald i taxaer og andre trafikmidler.
overvågning kan desuden begrænse hærværk og tyveri på skoler, rådhuse,
sportspladser og andre kommunale ejendomme og anlæg.
Tv-overvågning kan bruges til at identificere terrorister, kriminelle, hjælpere, flugtbiler
m.m. i forbindelse med efterforskning af forbrydelser.
ifølge en undersøgelse fra det Kriminalpræventive råd opfatter de fleste danskere
tv-overvågning på offentlige steder som noget positivt og tryghedsskabende. Accepten
falder dog, jo tættere kameraøjet kommer på hjemmet og privatlivet.
den offentlige overvågning
offentlige myndigheder – for eksempel kommuner – må tv-overvåge skoler,
daginstitutioner, rådhuse, busser, servicekasser, uddannelsescentre, museer,
kunsthaller, fritids- og ungdomsklubber, biblioteker, væresteder, plejecentre,
ældrecentre, fritidscentre, idræts-haller, sports- og træningscentre, svømmehaller,
idrætsparker og stadioner med mere for at forebygge tyveri, hærværk og graffiti
og beskytte værdier. overvågningen kan også omfatte bygningernes facader og
indgange.
Frit tilgængelige steder med almindelig færdsel som gågader, veje, pladser og
parker må ikke tv-overvåges for at beskytte ejendom og værdier. Til gengæld
har politiet mulighed for at tv-overvåge frit tilgængelige steder med henblik på at
bekæmpe terror og forebygge og opklare kriminalitet. Private må normalt ikke overvåge
gader og pladser med almindelig færdsel. Undtaget er tankstationer, fabriksområder,
overdækkede butikscentre og lignende steder med erhvervsvirksomhed.
også banker, spillekasinoer, hoteller, restauranter og butikker med detailsalg må
tv-overvåge deres egne indgange og facader og visse tilstødende arealer.
Billed- og lydoptagelser skal som udgangspunkt slettes senest efter 30 dage og
må kun videregives i særlige tilfælde som ved opklaring af kriminalitet. ifølge den
nye lovgivning, der trådte i kraft 1. juli 2007, er det ikke nødvendigt at anmelde
videoovervågning til datatilsynet, der i stedet skal foretage stikprøvekontroller.
hemmelig overvågning af medarbejdere på arbejdspladser er ulovlig, medmindre
den foretages af politiet.
83

del 3
Nøglen til fremtiden
Der findes allerede løsninger på problemet
med overvågning og manglende privacy
85

Privatlivsbeskyttelse i it systemer
Af Jørn Guldberg, formand for Ingeniørforeningens teknologiudvalg
De fleste af os synes, at det er rimeligt, at offentlige myndigheder og private virksomheder
indhenter oplysninger om os, når vi søger deres ydelser. Ved at give oplysninger om
os selv bliver sagsbehandlingen smidigere, og det bliver lettere for os. Faktisk bliver de
fleste irriterede over at skulle give de samme informationer igen og igen. Og vi forventer,
at disse private oplysninger håndteres professionelt og holdes fortrolige af dem, vi giver
dem til.
Helt grundlæggende er borgernes tillid til denne fortrolighed fundamentet for, at offentlige
og private virksomheder kan automatiseres og IT-understøtte deres forretningsgange.
Uden denne tillid til fortrolig behandling af vores privatliv, ville borgerne ikke acceptere
internetbaserede selvbetjeningsløsninger – og heri ligger en stærk motivation for at
fastholde fortroligheden af den enkelte borgers informationer i IT-systemerne.
risikoen for lækager
Men kan og vil de offentlige og private virksomheder leve op til vore forventninger?
I Danmark har vi hidtil været forskånet for de store sager om brud på privacy, som er
set i andre lande, der har stor anvendelse af IT til administration og sagsbehandling. Det
kan betyde, at vi læner os tilbage i den overbevisning, at vi som danskere ikke behøver
bekymre os, når vi laver nye systemer eller renoverer de gamle.
Her skal vi gøre os klart, at med nye services, der bygger på stadig flere informationer
om den enkelte, stiger risikoen for, at disse informationer ikke behandles tilstrækkeligt
fortroligt – og at der opstår sideeffekter, hvor de fortrolige informationer lækkes.
Specielt når vi arbejder med serviceorienterede- eller entreprise-arkitekturer 1 , bliver
det stadigt mere komplekst at holde styr på, hvor de enkelte informationer flyder hen.
Alene den øgede anvendelse af IT-teknologi giver en større risiko for datalækage.
Mange informationer, der ikke hidtil har været et væsentligt behov for at beskytte særligt
godt, vil med den øgede mulighed for databehandling blive følsomme – både i praksis
og i persondatalovens forstand.
Problemstillingen er ofte, at de enkelte informationer ikke i sig selv er særligt følsomme
– men at de gennem sammenstilling kan vise sammenhænge, som ikke var synlige,
så længe der blot var tale om en enkelt, isoleret information.
Et CPR-nummer er jo ikke en fortrolig information i sig selv – det er blot et 10 cifret tal.
Det bliver først følsomt når der hæftes en borgers identitet på tallet, og når tallet bruges
til at hente informationer om præcis denne borger.
it-systemers trussel mod privatlivet
Truslen fra IT-systemer mod privatlivets fred er således tæt knyttet til muligheden for på
meget kort tid at kæde informationer sammen, og skabe nye billeder af borgeren, som
borgeren måske ikke selv kender, ikke kan genkende eller ikke ønsker at blive genkendt
86

“Selve risikoen ved, at
privatlivsoplysninger lækker,
kan spænde vidt. Fra ubehaget
ved at andre får indsigt i éns
privatliv til risikoen for, at udvalgte
oplysninger bruges til social udhængning
eller afpresning med trussel om
social udstødelse – eller måske til
direkte økonomisk kriminalitet
i form af tømning af bankkonti
og identitetsovertagelse med
efterfølgende realisering
af borgerens værdier.”
Jørn Guldberg
87

som. Eller måske er der bare tale om informationer, som borgeren ikke har lyst til at dele
med hvem som helst.
Som eksemplerne viser, kan anvendelse af IT-systemer bruges til at sikre privatlivet –
hvis man vil – men de kan så sandelig også medføre, at den almindelige borgers privatliv
bliver udstillet.
For at introduktion af IT ikke skal blive en trussel mod privatlivet, må de enkelte systemer
konstrueres, så borgernes privatliv ikke kompromitteres. Det er forudsætningen for,
at vi kan høste effektiviseringsgevinsterne af større IT-anvendelse. Mistes borgernes tillid
til systemerne, så er de 5 pct. sparet på ringere og usikre systemer givet dyrt ud.
Der er mange forudsætninger, der skal være på plads for at opnå dette, men den første
og vigtigste forudsætning er, at man gør sig overvejelser om privatlivets beskyttelse
allerede ved planlægningen af et IT-system.
Det vil altid være bestilleren af et IT-systems ansvar, at systemet beskytter privatlivets
fred. Den, der leverer systemet, vil i sagens natur levere netop det, der er bestilt, og vil
oftest ikke kende problemstillingerne i det domæne, systemet skal fungere i.
Ved planlægningen er det derfor vigtigt, at man får diskuteret, hvilke konsekvenser
anvendelsen af et givent system kan have for borgernes privatliv – både den tilsigtede
anvendelse, men i lige så høj grad også en utilsigtet anvendelse af systemet.
Pointen er, at en sagsbehandler skal have netop den nødvendige og tilstrækkelige
information til at udføre sit arbejde – og ikke mere. En analyse af konsekvenser for
privatlivet skal fastlægge, hvilke informationer der anses for kritiske – enten i sig selv
eller i kombination med andre informationer – også kaldet forbundethed.
Selve risikoen ved, at privatlivsoplysninger lækker, kan spænde vidt. Fra ubehaget ved
at andre får indsigt i éns privatliv til risikoen for, at udvalgte oplysninger bruges til social
udhængning eller afpresning med trussel om social udstødelse – eller måske til direkte
økonomisk kriminalitet i form af tømning af bankkonti og identitetsovertagelse med
efterfølgende realisering af borgerens værdier.
Privatlivs-konsekvenser indgår oftest ikke i de sikkerhedsrisikovurderingen, der laves
ved udvikling af nye IT-systemer, da de konsekvenser, man her tager i betragtning, typisk
vedrører bestilleren af systemets egen situation. Derfor er det nødvendigt, at der udarbejdes
en privatlivs-risikovurdering ved siden af sikkerheds-risikovurderingen. Resultaterne
af denne vurdering bør indgå som krav til leverandøren af systemet.
En privatlivs-risikovurdering er en vurdering af mulige konsekvenser ved, at en given
information bliver lækket og udstiller borgerens privatliv – og en vurdering af, hvor stor
risikoen er for, at det sker.
Både Canadas og New Zealands regering har som krav, at denne vurdering fortages
ved alle nye systemer. De kalder det en Privacy Impact Assessment (PIA).
Kun den nødvendige information
De fleste databehandlere/driftsleverandører har en høj grad af fysisk sikring af data i
form af datacentre med adgangskontrol og sikring mod indbrud.
Tilsvarende vil data oftest være fysisk sikret under transport – således at data ikke går
tabt eller kan anvendes af udenforstående, selv om de fik adgang til det fysiske medie,
som data transporteres på.
88

Den samme beskyttelse er nødvendig, når data ikke transporteres fysisk, men i stedet
elektronisk. Med den serviceorienterede arkitektur, som efterhånden binder store dele
af vores samfund sammen i den digitale forvaltning, bliver behovet for at indtænke risikoen
for datalækage eller datamisbrug meget overhængende.
Det er således ikke tilstrækkeligt at sikre datas fortrolighed under transport med standardkryptering,
selv om der ikke er tegn på, at den fortrolighed, der skabes med denne
teknologi, kan brydes. Det er lige så nødvendigt at sikre, at data modtages af de rette.
Udfordringen er at sikre, at data kun kommer til de personers kendskab, som har en
berettiget adkomst til dem – og at det netop kun er de nødvendige og tilstrækkelige data,
der kommer til deres kendskab.
Det er lettere at fremsende alle data end at sortere data efter, hvem modtageren er. Det
er også lettere at fremsende til en gruppe af personer end at differentiere den enkelte
sagsbehandlers adgang til data. Men hvis man ikke sikrer differentieret dataadgang til
netop den berettigede modtager, vil data flyde til parter, der ikke burde have denne
adgang.
Ofte er det ikke nødvendigt at sende personfølsomme data, da modtageren ofte blot
skal bruge data i en beregning – så hvorfor ikke lave denne beregning i det system, hvor
data i forvejen ligger – og dermed undgå transport af følsomme data. En anden mulighed
er, at de data, der transporteres, er anonymiserede, så den enkelte persons private forhold
ikke kan genkendes. Dét er allerede et krav til data, der anvendes til statistiske og
forskningsmæssige formål.
I andre tilfælde vil der kun være brug for resultaterne af en forespørgsel. Det kunne
være en sundhedsfaglig medarbejders forespørgsel på, hvorvidt borgeren er registeret
som allergisk over for bestemte smertestillere – hvor der sjældent er behov for at journalen
fremvises i sin helhed.
Med sådanne mere præcise krav fra bestilleren til en dataudveksling ville risikoen for
brud på borgernes privatliv reduceres væsentligt.
Kontrol med sikring af privatlivets fred
Men løsninger bliver ikke privatlivsbeskyttende, uden at der er en åben proces med en
offentlig fremlæggelse, som eksperter får mulighed for at kommentere.
Én løsning er, at alle offentlige systemer frigives i Open Source 2 , så alle kan forsikre
sig om, at systemerne er lavet hensigtsmæssigt – og at der ikke er skjulte datalækager i
systemerne. Denne metode har dog visse ulemper, idet sourcekoden 3 kan være særdeles
omfangsrig. Det bliver dermed meget tidskrævende at gennemgå programmerne, og oftest
er det ikke en realistisk mulighed.
En anden vej er, at den kravspecifikation – som leverandøren skal efterfølge, og som
programmørerne implementerer i deres programmer – bliver offentlig tilgængelig,
således at borgerne med eksperthjælp kan se, at der er stillet krav om, at deres privatliv
bliver beskyttet.
Når behovet for privatlivsbeskyttelse er afdækket gennem en privatlivs-beskyttelsesvurdering,
kommer spørgsmålet om, hvordan man så implementerer denne sikring
bedst i et IT-system.
Før man etablerer sammenhæng mellem forskellige systemer – som man gør det i dag i
89

en såkaldt entreprise-arkitektur – skal man sikre, at informationerne i et system forbliver
i systemet selv. I et enkeltstående system kan der være fuld kontrol over hvilke data, der
vises på givne tidspunkter, og man kan derfor sikre beskyttelsen af, at der kun vises de
relevante informationer ved den pågældende sagsbehandling.
Med sammenhængende systemer – hvor informationer i ét system anvendes i andre
systemer – kan den, der sender informationer, ikke vide, hvad disse informationer vil
blive brugt til. Derfor kan den, der sender informationer til andre, ikke beskytte disse
informationer mod afsløring.
Det enkle svar er, at så sender man ikke informationerne. Det er ikke det samme, som
at systemer ikke må eller skal samarbejde – men det betyder, at en del af behandlingen
af informationerne sker i det afgivne system – og hvis dette ikke er muligt, at der stilles
krav til modtageren.
De informationer, der så afgives, kan enten være gjort anonyme, så de ikke er personhenførbare,
eller være forbehandlede, så det kun er de informationer, som det modtagne
system skal bruge, der afgives.
I de tilfælde, hvor det er specifikke informationer, der er brug for i et modtagende
system, er det vigtigt, at informationerne kun udleveres til netop den sagsbehandler, der
skal bruge dem i en konkret sagsbehandling – og at det sikres, at disse informationer
ikke kommer andre steder hen.
Der er en lang række andre teknologier, som kan anvendes til at sikre den enkeltes
privatlivs-fred. Her kan i flæng nævnes rollebaserede adgange, pseudonymitet, forbundethedsanalyser,
etc., som alle er teknikker, der kan anvendes til at sikre privatlivet
bedre. De er nævnt her for at illustrere, at der ikke er langt fra primitive privatlivsudstillende
metoder og til at anvende intelligente privatlivs beskyttende metoder.
Det handler mest af alt om omtanke, når systemerne designes – og at alle parter tager
ansvar for privatlivsbeskyttelse ved skabelsen af nye IT-systemer.
Det er dybest set i vores alle sammens interesse.
fire eksempler
Patientjournaler:
En patientjournal er naturligvis fortrolig information om den enkelte patient, og papirjournalen
behandles derfor fortroligt med påskrift om, hvem der må få – og har fået –
adgang til informationerne.
Naturligvis er det muligt, at en sundhedsfaglig medarbejder kigger i en tilfældig papirjournal
uden fagligt formål – men det vil være tidskrævende og med lille chance for
gevinst, dersom vedkommende søger personfølsomme informationer om en bestemt
person. Desuden er der en væsentlig risiko for afsløring, når personen står med den
fysiske journal i hånden, og kollegerne kommer forbi.
Det er nærliggende at tænke, at de sikkerhedsforanstaltninger, der anvendes på en
papirjournal, også er tilstrækkelige ved en elektronisk journal. Men desværre er det
langt fra tilstrækkeligt, når man skal beskytte borgernes privatliv i elektroniske patientjournaler.
Med en elektronisk patientjournal er tidsforbruget ved at gennemsøge informatio-
90

nerne ekstremt meget kortere – og dermed øges sandsynligheden for, at en nysgerrig
sundhedsfaglig person finder kompromitterende information ved simple søgninger. Når
data lagres elektronisk kræves det heller ikke, at læseren er fysisk tilstede i nærheden af
journalen. Adgangen bliver derfor uafhængig af nærhed. Derfor er der behov for at de
informationer, der lagres i IT-systemer, sikres på en måde, der tager hensyn til teknologiens
muligheder og begrænsninger.
Kontrolsystemet med påskrift af, hvem der har haft en papirjournal, kan let overføres
til den elektroniske journal; men da informationerne nu anvendes mange steder fra, vil
en logning – hvor en eller anden kigger i journalen – hurtigt blive fyldt med dagligdags,
berettigede opslag. Desuden vil opslaget nu kunne ske fra enhver terminal i systemet,
så det ikke længere er sandsynligt, at en kollega kommer forbi. Det vil derfor være
usandsynligt, at en uberettiget adgang vil blive afsløret ved blot at overføre kontrolsystemet
fra de fysiske journaler til de elektroniske journaler.
Med IT-systemer til databehandling kan borgernes privatlivsbeskyttelse let kompromitteres;
men med intelligent konstruktion af IT-systemerne kan man tilsvarende lave
løsninger, der kompenserer og ligefrem øger borgernes privatlivsbeskyttelse.
Mens en fysisk journal nødvendigvis indeholder alle informationer, der er registreret
om en given person – hvorved disse bliver tilgængelige for alle, der ser journalen – kan
man med den elektroniske journal opdele informationerne, så en given sundhedsfaglig
medarbejder kun får adgang til netop de informationer, der er relevante for vedkommendes
arbejde.
IT-støttet sagsbehandling:
Den stigende anvendelse af IT i den kommunale forvaltning sikrer mere rationelle arbejdsgange
og reducerer omkostningerne væsentligt. Når den enkelte sagsbehandler
manuelt skal registrere alle informationer om en borger, der henvender sig, vil der være
stor risiko for skrivefejl og et stort efterfølgende arbejde med at verificere informationerne.
Det giver både mulighed for fejlbehandling af sager og er tidskrævende.
Men med forskellige sagsmapper liggende i forskellige afdelinger på kommunekontoret
er det sikret, at de informationer, en borger har afgivet i forskellige sammenhænge, ikke
bliver sammenblandet – og det enkelte kontor vil normalt kun have de informationer til
rådighed ved sagsbehandlingen, der er indsamlet af kontoret selv.
Det sikrer, at informationer, der ikke er relevante for den enkelte sagsbehandling, ikke
er sagsbehandleren bekendt. Dermed undgår man, at sagsbehandleren farves – eller at
sagsbehandleren belastes med unødig viden og for eksempel kommer til at snakke over
sig i sociale sammenhænge.
Med IT-understøttelse kan borgerens informationer hentes centralt, således at der er
sikret en langt bedre datakvalitet, og borgerne slipper for besværet med at skulle fortælle
de samme oplysninger igen og igen til de personer, de møder i løbet af sagsgangen.
Men samtidig bliver data fra forskellige sager let sammenblandet, så irrelevante informationer
kommer til at indgå i en sagsbehandling.
IT-systemerne kan indrettes således, at kun de informationer, der er relevante for en
given sagsbehandling – og ikke alle informationer – bliver vist for den enkelte sagsbehandler.
91

Rent faktisk kan systemerne indrettes således, at borgerens privatliv beskyttes bedre
end ved en papirbaseret sagsbehandling.
F.eks. vil en borgers adresseoplysninger fremgå af alle papirbaserede sagsmapper. Med
et IT-system vil det ofte ikke være relevant, at sagsbehandleren ser de adresseinformationer,
der bruges ved svarskrivelser og dermed får at vide, hvor borgeren bor. Når
sagsbehandleren udfærdiger svarskrivelsen, behøver vedkommende kun at skrive selve
indholdet i en skrivelse. IT-systemet kan selv påføre formalia og borgerens adresse, som
den er registreret i folkeregisteret.
Videoudlejning:
Private virksomheder opnår bedre datakvalitet og bedre arbejdsgange gennem indførelse
at IT-systemer. Gennem anvendelse af kundesystemer kan faste kunder registreres med
adresse og evt. automatisk fakturering ved f.eks. en videoforretnings udlån og salg, men
eksemplet kunne lige så godt gælde et bibliotek eller et supermarked. Omkostningerne
ved ekspeditionen sættes ned, og borgerne kan blive betjent hurtigere og med færre fejl.
I det daglige vil en ekspedient naturligvis se, hvad en given borger lejer af videofilm
– og kan have sine tanker om valget; men med forskellige ekspedienter over tid vil den
enkelte sjældent få et samlet billede af, hvilke film en borger har præferencer for. Borgerens
privatliv er i alt væsentlighed beskyttet.
Med anvendelse af kundesystemet vil data blive lagret over tid. Forretningen kan have
interesse i at bruge disse data til at få overblik over, hvilke videoer der lejes og af hvem.
Hermed kan man lære kundekredsens ønsker til videofilm at kende og dermed målrette
indkøbene til forretningen. Forretningen kan desuden have en interesse i at kunne
tilbyde en service, hvor borgeren tilbydes nye film på grundlag af den profil, der er tegnet
ud fra de tidligere udlån.
Hermed vil ekspedienten kunne få adgang til en borgers præferenceprofil, hvilket er
en viden, der i nogle tilfælde vil kunne misbruges.
Men det behøver ikke at være tilfældet.
IT-systemerne kan indrettes, så de statistiske data, som forretningen ønsker at bruge,
er anonyme – uden at det forringer nytteværdien. Den service, forretningen ønskede at
give borgeren, kan laves så profilen er gemt i maven af IT-systemet, og der blot sendes
en email til borgeren, når en video, der matcher profilen, ankommer. Hermed vil borgerens
private præferencer ikke komme til de ansattes kendskab – og borgerens privatliv
er beskyttet.
Låneansøgning:
Ansøgning om et lån i en bank forudsætter oftest, at borgeren udleverer ikke så få informationer
om sin økonomi til bankens medarbejder, før banken vil give et lånetilsagn.
Det fysiske fremmøde og fremskaffelsen af mængder af dokumentation for éns kreditværdighed
kan være tidsmæssigt belastende for borgeren, og tilsvarende vil det være
omfattende og tidskrævende for bankens sagsbehandler at gennemgå informationerne.
Samtidigt med gennemgangen af økonomien vil den enkelte sagsbehandler få et omfattende
kendskab til borgerens private forhold, som vedkommende i sagens natur skal
holde fortroligt efterfølgende.
92

Med IT-understøttelse kan borgeren uploade lønsedler og budgetter på et website,
således, at papirskovene forsvinder og borgerne ikke skal lave kopier af alle informationerne.
Med en e-boks kan borgerne endda sende dem direkte til banken. Hvis borgeren
er fast kunde i banken, kan vedkommende give accept af, at banken selv indhenter
en del af informationerne – f.eks. fra et realkreditinstitut. Hermed kan informatio-
nerne berigtiges med det samme, og sagsbehandlingen bliver mere effektiv, hvilket sparer
borgeren for meget tid og besvær.
Selv om der er tale om informationer, som borgeren plejer at give sin bank, er det for
de færreste betryggende at give denne form for carte blanche til, at informationer om éns
private økonomi hentes online til sagsbehandlerens skærm – og der er alternativer.
En sagsbehandler behøver ikke nødvendigvis at kende de enkelte tal for borgerens
økonomi, for tilsagnet kan i de fleste tilfælde beregnes ud fra en række indikatorer, såsom
job, indtægt, eksisterende lån og overtræk på kassekreditter.
Som fast kunde eller med uploadede informationer kan IT-systemerne beregne borgerens
kreditværdighed, uden at de enkelte informationer bliver vist – sagsbehandleren
får kun afgang til den beregnede kreditværdighed og ikke de konkrete informationer, der
ligger bag beregningen.
Sagsbehandleren vil kun i de færreste tilfælde have behov for en egentlig behandling
af ansøgningen, hvis IT systemer allerede har beregnet kreditværdigheden – og i rigtig
mange tilfælde vil et lån kunne bevilges, uden at der er mennesker, der direkte har set
informationerne om borgernes private forhold.
Hermed er væsentlige privatlivsfaktorer elimineret, og borgerens privatliv er bedre
beskyttet.
noter
1) Service orienteret og entreprise arkitektur er en betegnelse for, at mange IT-systemer arbejder sammen,
således at informationer og beregninger i ét system kan hentes og anvendes af andre systemer.
2) Open Source: At programmets kildekode bliver offentliggjort, så alle der kan læse denne kan se, hvordan
programmet fungerer.
3) Kildekode/sourcekode: Den tekst, som programørerne skriver, når de laver nye programmer.
93

terrorbekæmpelse
og sikkerhedsteknologi
Af Ida Leisner, projektleder og cand.comm., Teknologirådet
Frygten for terror og på samme tid en hastig udvikling indenfor kommunikationsteknologi,
datalagring og dataanalyse, biometri og sensorteknologi har i de senere år
skabt et voldsomt pres på borgernes grundlæggende ret til privatlivets fred.
EU-landene har implementeret ny og skrappere lovgivning i kølvandet på det tragiske
9/11-terrorangreb på USA. Der er sket en kraftig udvikling og implementering af nye sikkerhedsteknologier
og metoder, som er tænkt til at øge sikkerheden for europæiske borgere
– men som samtidig øger overvågningen af borgerne og krænker privatlivets fred.
EU-kommissionen satte i 7. rammeprogram 1,4 milliarder euro af til sikkerhedsforskning
– herunder til udvikling af nye sikkerhedsteknologier. De første 45 millioner euro,
der blev bevilget i 2004-2005, gik primært til projekter fra våben- og forsvarsindustrien.
Det fik privacy-bekymrede organisationer som det britiske Statewatch til at advare om,
at EU nu gav støtte til at bevæbne Big Brother.
Et enkelt menneskerets-orienteret projekt slap dog gennem nåleøjet under navnet
PRISE.
PRISE står for Privacy og Security – beskyttelse af privatlivet og sikkerhed – og projektet
kan ses som en slags etisk modvægt til de teknologi-orienterede projekter.
Projektet skal støtte EU i at udforme de fremtidige forskningsprogrammer om sikkerhed,
så de bliver i overensstemmelse med de grundlæggende menneskerettigheder og
europæiske værdier.
Opgaven, som teknologivurderings- og databeskyttelsesrådgiverne bag PRISE nu har
løst, var at udvikle kriterier til at evaluere ansøgninger til EU’s forskningsprogrammer
inden for sikkerhed. Kriterierne er en slags evalueringsværktøj, som tester, om en sikkerhedsteknologi
lever op til både lovgivning om persondata- og privatlivsbeskyttelse – og
om teknologien er i konflikt med etik og holdninger blandt borgere i Europa.
94
PriSe-projektet
Prise-projektet har kortlagt sikkerhedsteknologier og deres potentiale til at krænke
henholdsvis øge privacybeskyttelsen, har testet borgernes holdninger til privacy
og sikkerhed ud fra scenarier, der illustrerer sikkerhedsteknologiernes virkning i
praksis, og endelig udformet kriterierne på basis af disse analyser.
Projektets resultater kan alle findes på projektets hjemmeside
www.prise.oeaw.ac.at
Projektet blev gennemført af 4 partnere. Foruden det danske Teknologiråd medvirkede
institute of Technology Assessment (Østrig), Unabhängiges Landeszentrum
für datenshcutz schleswig-holstein (Tyskland) og Teknologirådet (Norge).

Hvad er sikkerhed?
i Prise-projektet forstås sikkerhed således: samfundets sikkerhed og sikkerheden
for de individuelle borgere, som udgør samfundet. sikkerhed dækker her fravær af
fare i form af terror, organiseret eller tilfældig kriminalitet. det omfatter ikke nationalstaters
udenrigspolitik eller militære handlinger.
Hvilke teknologier taler vi om?
Som udgangspunkt for en analyse af sikkerhedsteknologiernes potentiale til krænkelse
af privatlivsbeskyttelsen – og til undersøgelse af borgernes holdninger – valgte vi at se
på følgende typer af kendte teknologier, som enten er i brug eller på vej:
• Kameraovervågning.
• Aflytning.
• Biometri – som betyder at måle menneskers fysiske karakteristika med henblik på
at fastslå en persons identitet. Det kan eksempelvis være fingeraftryk, DNA-profil,
irismønster i øjet, ansigtsgenkendelse og meget mere.
• Scanningsteknologier – bl.a. ‘naked machine’, et røntgenapparat der viser personen
‘uden tøj på’ – altså hvad der er under tøjet.
• Lokaliseringsteknologier – (f.eks. GPS, mobil telefon).
• Datalagring og data mining – (f.eks. kundekartoteker, betalingsoverførsler, sundhedsoplysninger
som arkiveres digitalt/elektronisk og efterfølgende kan findes frem og stilles
sammen til nye ”profiler” – f.eks. hvilke typer indkøb en konkret person foretager).
• PETs – som er forkortelse for det engelske Privacy Enhancing Technologies – privatlivsfremmende
teknologier – og altså ikke har noget med den danske efterretningstjeneste
PET at gøre.
når ’nogen’ vurderer en unormal adfærd
Øget sikkerhed kan kun opnås på bekostning af mere overvågning og mindre privatliv.
Sådan bliver det såkaldte trade-off – at man accepterer, at en fordel kun kan opnås, hvis
man giver afkald på en fuld privatlivsbeskyttelse – ofte stillet op. Man kan ikke både
beskytte det enkelte individs ret til privatliv og indfri samfundets behov for sikkerhed.
Men behøver det virkelig at være sådan? Nej, vurderer PRISE-projektet. Der er ikke
en balance, hvor mere af det ene betyder mindre af det andet. Der er ikke en lineær
sammenhæng mellem sikkerhed og privatlivsbeskyttelse. Mere overvågning kan øge sikkerheden,
men det modsatte kan også være tilfældet, f.eks. hvis det enkelte individs
sikkerhed mindskes på grund af statens massive overvågning.
Generelt handler mindre sikkerhed for den enkelte om at blive mistænkt uden
grund og arresteret eller tilbageholdt i lufthavne og lignende sikkerhedsovervågede steder.
Konkret kender vi eksemplet med den unge mand, der blev mistænkt for at have
medvirket ved terrorhandlingerne i Londons undergrundsbane i 2005. Politiet skød og
dræbte ham under anholdelsen – og senere viste det sig, at mistanken var ubegrundet.
Mange af de nye sikkerhedsteknologier bliver brugt til overvågning af personer, som
‘nogen’ vurderer til at have en ikke helt ‘normal’ adfærd. En adfærd, som kan kædes
95

sammen med nogle forestillinger om mulige risici i en fremtidig situation. Der er ofte tale
om overvågning af personer, som ikke har gjort noget forkert – endnu.
Sikkerhedstrusler i en overvågningssituation er altså i høj grad et normativt begreb,
som ofte fører til en konflikt mellem at beskytte det enkelte individs rettigheder til
privatliv – og samfundets behov for sikkerhed. Ved at argumentere for, at der altid vil
være et trade-off – at samfundets sikkerhed kan koste privatlivsbeskyttelse – er der en
risiko for, at borgernes privatlivsfred ikke længere prioriteres, og at det, der anses som en
gevinst for sikkerheden, fører til, at man accepterer tabet af retten til privatlivsfred.
PRISE-projektets fremmeste formål er at bidrage til at ‘aflive’ det formodede trade-off
ved brug af sikkerhedsteknologier.
Faktisk vurderer PRISE-projektet, at det i mange tilfælde er muligt både at forbedre
sikkerheden – og samtidig nå et højere niveau af privatlivsbeskyttelse.
Hele idéen med at udvikle kriterier og retningslinjer for forskning i – og udvikling
af – sikkerhedsteknologier og deres anvendelse, er, at det kan fremme såkaldt ‘privacy
by design’, fordi det tvinger udviklere af teknologierne til at leve op til lovens krav om
databeskyttelse og i bedste fald forbedre privatlivsbeskyttelsen. ‘Privacy by design’ betyder
groft sagt, at man udvikler teknologier, som ikke indsamler og behandler persondata
på en privatlivskrænkende måde.
Som det er i dag, indsamler man data – og tilføjer først bagefter procedurer og metoder,
som kan ‘lappe’ på privatlivskrænkelsen.
Hvis det lykkes i Europa, vil det ikke alene styrke borgernes privatlivsbeskyttelse. Det
vil også give fordele for økonomi og erhvervsliv, som opnår konkurrencefordele på langt
sigt, for de såkaldte PETs – altså teknologier, der er forenelige med eller endda fremmer
privatlivsbeskyttelsen vil blive mødt med større accept i befolkningen end de teknologier,
der ikke gør.
Borgernes holdninger til privatlivsbeskyttelse
Netop befolkningens accept er væsentlig.
I PRISE-projektet tog vi konsekvensen og satte borgere i seks europæiske lande stævne
til en debat om sikkerhedsteknologi og privatlivsbeskyttelse. Det skete på såkaldte interviewmøder
i Ungarn, Østrig, Norge, Danmark, Tyskland og Spanien. Der var tale om en
kvalitativ undersøgelse, som ikke var statistisk repræsentativ.
Mens både EU og nationale parlamenter i disse år åbner for øget overvågning og
registrering af borgerne, så er almindelige mennesker overraskende kritiske og lader sig
tilsyneladende ikke påvirke af den voksende terrorfrygt, der har præget den storpolitiske
scene siden 11. september 2001.
Således mener et stort flertal af deltagerne i PRISE-projektets interviewmøder, at brug
af nye overvågningsteknologier, der griber ind i privatlivets fred, ikke kan retfærdiggøres
med henvisning til truslen fra terror. Undersøgelsen peger også på, at kriminalitet er
et bedre argument for overvågning end terror. Det vil sige, at hensynet til at forhindre
eller opklare alvorlige forbrydelser opfattes som vigtigere end at forhindre terror, når det
gælder om at forsvare brug af ny sikkerhedsteknologi.
For den almindelige borger i EU virker terrortruslen tilsyneladende ikke så påtrængende.
Eller de tror ikke på, at terror kan forebygges på lige den måde, som sikkerheds-
96

teknologier lægger op til. Tendensen ses ikke mindst i Spanien, der har levet med terror
i 30 år, og som med togbomberne i Madrid for få år siden oplevede et af de værste terrorangreb
i Europa.
Undersøgelsen viser, at et stort flertal af de 180 interviewdeltagere fra seks forskellige
lande vægter princippet om privatlivets fred meget højt – og at de føler ubehag ved overvågning.
Hvis de skal acceptere øget overvågning til gengæld for øget sikkerhed, stiller
de høje krav, både til begrundelserne for overvågning og til måden, den udføres på.
Deltagerne diskuterede fordele og ulemper ved de enkelte teknologier. Nogle teknologier
blev helt afvist, mens det for andre afhang af sikkerhedstruslen i den sammenhæng,
hvor teknologien tænkes anvendt.
Generelt fremhævede de, at man skal passe på med at fokusere på teknologi som
løsningen på sikkerhedsproblemer. Der kan være andre løsninger, herunder forebyggelse,
som også skal indgå i debatten og beslutningsprocessen om at komme terror og
kriminalitet til livs.
”Altså, hvis bare man havde noget patruljering af to politimænd, der gik og fløjtede,
ikke. Jamen det giver 10 gange mere, end at der er et videokamera.”(Danmark)
Det er værd at lægge mærke til, at så godt som alle deltagerne støttede synspunktet om
at inddrage alternativer til teknologi.
forskellige holdninger mellem landene
Generelt var deltagerne meget nuancerede i deres opfattelse og holdning til sikkerhed
og privatlivsbeskyttelse. I nogle spørgsmål var de delte. For eksempel om hvorvidt samfundets
sikkerhed afhænger af, at man anvender sikkerhedsteknologier – og om en
teknologi skal anvendes, hvis den er tilgængelig.
Der var uenighed om, hvorvidt alle skal tvinges til at underkaste sig teknologien, hvis
den bliver indført af virksomheder eller myndigheder. Der kan være personer, som kan
have grunde til at nægte at lade sig registrere i en database. Der er personer, som måske
ikke kan bruge teknologien. Det kan være håndværkere, der i forbindelse med deres
arbejde har mistet deres fingeraftryk.
Deltagerne i borgermøderne var meget opmærksomme på dette problem, og de var
imod en evt. diskrimination af mennesker, som ikke ville lade sig registrere eller udsætte
sig for sikkerhedstjek i forbindelse med brug af forskellige serviceydelser. Knap
halvdelen ville ikke acceptere nogen form for konsekvenser for disse mennesker. De
understregede således, at de basale menneskerettigheder skal gælde uændret.
At gøre det frivilligt at blive udsat for sikkerhedsteknologi rummer imidlertid det dilemma,
at det på den ene side kan svække den generelle sikkerhed – mens tvang på den
anden side er imod borgernes demokratiske værdier. Særligt spanierne diskuterede dette
dilemma. Og diskussionerne bevægede sig mellem to grundsynspunkter, det kunne formuleres
således:
”Hvis jeg ikke har noget at skjule, har jeg ikke noget at være bange for.”
”Hvis jeg ikke har noget at skjule, hvorfor skal de så overvåge mig?”
I Norge var de fleste (80 pct.) for at tvinge modstandere til at acceptere de nye teknologier,
mens i Østrig og Ungarn var færre end 40 pct. villige til at bruge tvang.
97

Interviewmøderne viste også, at der er forskel på tilliden til de nationale myndigheder
i de seks lande.
I Danmark og Norge nærer mange stor tillid til staten og myndighederne – mens især
de spanske og ungarske deltagere nærer mistillid til myndigheder og embedsmænd –
altså netop de, der skal forvalte og styre brugen af sikkerhedsteknologierne. Tyskerne
er også meget kritiske med hensyn til registre og dataopbevaring. Her spiller landenes
historie og erfaringer med statens overvågning af borgerne tydeligt ind.
Borgernes minimumskrav til sikkerhedsteknologier
I den undersøgelse af borgernes holdninger, som indgår i PRISE-projektet, blev borgerne
desuden spurgt om deres minimumskrav til brugen af sikkerhedsteknologier. De svarede
blandt andet:
Fysisk intimiderende teknologier er uacceptable
Jo tættere en sikkerhedsteknologi kommer på selve den menneskelige krop, jo sværere
er den at acceptere. Det gælder for eksempel ansigtsscanning med henblik på genkendelse
og i mindre grad irismålinger af øjet.
Allerværst er det med den såkaldte ‘Naked Machine’ – ‘Nøgenmaskinen’ – der med
en særlig røntgenteknologi danner et detaljeret billede af kroppen og kroppens former
under tøjet for herved at kunne afsløre enhver form for skjulte genstande. En maskinel
erstatning for gammeldags kropsvisitering. Men den vækker meget stærk modstand.
Det samme gælder videoovervågning i omklædningsrum – for eksempel i butikker.
Det anses for krænkende, selv om netop videoovervågning generelt hører til blandt de
mest accepterede former for overvågning.
Misbrug er selvfølgelig uacceptabelt. Mere overraskende var det, at 90 pct. af deltagerne
følte sig overbevist om, at overvågnings-teknologierne vil blive misbrugt af
kriminelle og af virksomheder i kommercielt øjemed.
Function creep – funktionsskred – er ikke acceptabelt.
Borgerne kunne ikke acceptere, at data indsamlet til ét formål, senere bruges til et andet.
F.eks. ved efterforskning af terror og kriminalitet. Heller ikke, at brugen af en teknologi
ændres til et andet formål.
Der skal være proportionalitet mellem sikkerhedsgevinsten og krænkelsen af
privatlivsfred
For at en overvågning anses for rimelig, skal der være tydelig proportionalitet mellem
mål og middel. Det skal stå klart, at en given form for overvågning rent faktisk vil øge
sikkerheden på et konkret område. Samtidigt skal alternative muligheder altid overvejes.
Altså om samme grad af sikkerhed kan opnås med andre midler.
Kort sagt: Sikkerhedsteknologien skal være dokumenteret effektiv. Og indgrebet i
privatlivet skal kunne retfærdiggøres af den trussel, som det drejer sig om. Det er ikke
nok med vage formuleringer om terrorbekæmpelse.
Jo mere effektiv en teknologi er til at opnå sikkerhed, jo mere accepterer borgerne
den. De kan også bedre acceptere overvågning, hvis der er tale om steder med høj
98

isiko for terrorangreb eller kriminalitet. F.eks. mørke gader med risiko for overfald eller
lufthavne.
Dommerkendelse
Hvis det endelig skal være, så anses dommerkendelser for et godt redskab til at gøre det
uacceptable acceptabelt. Det gælder for eksempel aflytning og GPS-overvågning – altså
teknologier, der kan følge en persons færden. Her er tale om teknologier, som vurderes
at gå meget tæt på den enkeltes privatliv, men som samtidigt anerkendes som særdeles
nyttige redskaber for politiet. Uden dommerkendelse anses de for uacceptable.
Skarp kontrol med de, der håndterer personlige data
For at undgå misbrug ønsker borgerne, at der er skrap kontrol med de personer, som
behandler data indsamlet ved hjælp af sikkerhedsteknologier. Privatlivskrænkende sikkerhedsteknologier
skal kun implementeres, hvis alle andre løsninger har vist sig utilstrækkelige
eller ineffektive.
Offentlig debat
Alle beslutninger skal baseres på åbne og gennemsigtige beslutningsprocesser – men
endnu vigtigere: Før beslutningerne træffes, skal der gennemføres en offentlig debat,
der involverer borgerne og giver dem den nødvendige information til at kunne debattere
på et kvalificeret grundlag. At involvere borgerne efterlader dog stadig politikerne med
ansvaret for i sidste ende at træffe de nødvendige beslutninger.
Bred involvering af eksperter og interessenter
Borgerne lagde meget vægt på, at politikerne også træffer beslutninger baseret på den
viden, relevante interessegrupper, eksperter og menneskerettighedsorganisationer kan
bidrage med.
Altid analysere privacy impact (den virkning på privatliv, som teknologien har)
Endelig skal hensynet til privatlivets fred have en fremtrædende placering, hver gang
et nyt sikkerhedsprojekt analyseres. På samme måde skal der kun gives penge til forskning
i ny sikkerhedsteknologi, hvis det kan godtgøres at konsekvenserne for borgernes
private liv analyseres til bunds.
Privacy enhancing technologies – PETs (privatlivsfremmende teknologier)
Deltagerne blev også bedt om at vurdere, om PETs var en løsning, de gerne så udbredt.
Men deltagerne var ret usikre på, hvad PETs er. For mange var det svært at forstå, hvordan
PETs fungerer, og hvilke konsekvenser det ville have at bruge dem.
Deltagerne gik umiddelbart ind for ideen om, at teknologier kan bruges til at beskytte
privatlivets fred. Men når det så blev nævnt, at konsekvensen kunne være, at nogle
kunne bruge kryptering til at gemme sig fra politimæssig efterforskning – f.eks. til at
skjule distribution af børnepornografi – så kom nogle deltagere igen i tvivl.
PETs fik mere støtte i Østrig og Tyskland end i de andre lande.
99

PriSe-kriterierne
Borgernes holdninger, som de kom frem på interviewmøderne, blev tænkt med, da kriterier
til vurdering af sikkerhedsteknologier blev udformet.
Den basale ide i PRISE-modellen er en skridt-for-skridt tilgang fra de krav, der omhandler
at leve op til lovens krav til databeskyttelse, til udvikling af teknologier, som
gør privatlivsbeskyttelsen bedre, end loven kræver (det er nemlig muligt ved hjælp af
teknologiske løsninger at give den enkelte borger bedre kontrol med egne oplysninger,
end tilfældet er i dag – f.eks. ved selv at give bestemte personer – og kun dem – tilladelse
til at se éns patientjournal eller bankoplysninger).
Nye teknologier kan testes i forhold til 3 niveauer:
• en baseline – en nedre grænse, som aldrig må overskrides – en kerne-sfære af privatliv,
som aldrig må krænkes.
• forenelighed med gældende lovgivning.
• design til at forbedre privatlivsbeskyttelsen (det kontekst-afhængige trade off, hvor en
konkret situation, f.eks. sikkerhedskontrol i en lufthavn, er med til at sætte grænsen
for, hvor langt man vil gå i at videregive personlige oplysninger).
Deltagernes klare modstand mod teknologier, som krænker den intime sfære fysisk eller
psykisk, er reflekteret ind i baseline – den nedre grænse, som ikke må overskrides.
Deres stærke fokus på proportionalitet (rimelighed i forhold til sikkerhedstruslen) indgår
i både det andet niveau, forenelighed med gældende lovgivning, og i tredje niveau,
det kontekst-afhængige trade-off. Beskyttelse af data mod misbrug, som borgerne også
lagde vægt på, er væsentligt medtænkt i databeskyttelses-procedurerne, der er en del
af de redskaber til databeskyttelse, som indgår i andet niveau. Dommerkendelse og
de forskellige holdninger til terrortruslen er tænkt med i det kontekstafhængige tredje
niveau.
Borgerinddragelsen har således været et vigtigt led i at udvikle PRISE-kriterierne, som
afspejler væsentlige europæiske, menneskeretlige værdier.
PRISE-projektet er kun et første skridt i en forstærket vurdering af sikkerheds- og
overvågningsteknologiers påvirkning af privatlivsbeskyttelsen. I de kommende år vil der
uden tvivl blive mere røre om sikkerhed versus privatlivsbeskyttelse.
I sommeren 2008 har en EU-minister arbejdsgruppe offentliggjort ambitiøse sikkerhedsforanstaltninger
mod terrorangreb, som vil betyde massiv overvågning af bl.a. borgernes
brug af internet. Der bliver brug for fortsat udvikling og skub i retning af ’privacy
by design’, hvor privacy-beskyttelsen er tænkt ind i teknologien – og ikke bliver en
tillægsløsning, når skaden er sket.
100

PriSe-kriterier til privacy-tjek af sikkerhedsteknologier
Prise-kriterierne er fremstillet på en enkel og overskuelig 1-sides privacy-tjekliste
med en række spørgsmål, man skal besvare (se Privacy Check List, side 103).
Kriterierne kan anvendes i forskellige sammenhænge og på forskellige trin fra
forskning og udvikling til implementering.
i denne udformning er tjeklisten dels tænkt til at blive brugt af designere af nye
sikkerhedsteknologier, som kan lave en ‘selv-test’, inden en ansøgning om tilskud
til udvikling af teknologien sendes til eU. og dels skal tjeklisten bruges af evaluatorerne
af ansøgninger til eU.
spørgsmålene afdækker, hvilket privacy-niveau teknologien må forventes at ligge
på – og dermed hvor stort rum for forbedringer med hensyn til privacy-beskyttelse,
der er. Tjeklisten giver både ansøger og evaluator mulighed for at undersøge
privacy-konsekvenserne grundigt og systematisk.
Allerførst stilles spørgsmålet, om den pågældende teknologi involverer behandling
af personhenførbare data, sporing eller overvågning af personer.
spørgsmålene retter sig herefter mod de tre niveauer i Prise-matrix’en:
a. Baseline/kerne-området, den grænse hvorunder man ikke kan acceptere at
privat-livskrænkelsen går.
b. data Protection Compliance (forenelighed med gældende lovgivning).
c. Context sensitive trade off. (situationsbestemt privatlivsbeskyttelse).
For hvert af de tre niveauer giver Prise-håndbogen forslag til redskaber, som kan
overvinde eventuel konflikt med Prise-kriterierne.
det kan f.eks. være, at man bruger en overvågningsteknologi sådan, at man (en
myndighed) både direkte kan overvåge hvilke data, der bliver indsamlet, afbryde
dataindsamlingen og slette ulovlige data, hvis de forefindes. Logning af, hvem der
bruger teknologien, hvornår og hvilke handlinger, der er foretaget hvornår, kan også
ske.
Tekniske features kan f.eks. være at integrere automatisk sletning af data efter
udløbs-dato.
På det organisatoriske niveau kan for eksempel skriftlig information om overvågningen
øge opmærksomheden på potentiel krænkelse af privacy.
På det lovgivningsmæssige område er der – når det gælder beskyttelse af den nedre
grænse – forskellige muligheder i eU-landene, men de skrappeste regler findes
i Tyskland, som simpelthen forbyder indsamling af følsomme persondata.
Prise-projektet vurderer, at der bliver behov for nye regler/love, som forbyder at
vise, gemme og behandle data, der krænker personlig værdighed og integritet som
følge af ibrugtagning af nye sikkerhedsteknologier.
og sådan fortsætter det på de næste to niveauer.
databeskyttelse og forenelighed med gældende lovgivning tager udgangspunkt i
nogle mål for persondatabeskyttelse og ‘oversætter’ det til tekniske værktøjer, PeTs,
som tvinger til at overholde privacy-lovgivning. det omfatter: data-minimering, ano-
101

102
nymisering, brugerkontrol over egne data, forhindring af sammenkædning af data,
transparens, adgangskontrol og monitorering.
På det organisatoriske niveau er det også at undgå uautoriseret adgang til data.
det højeste privacy-niveau er det kontekst-følsomme trade-off – som kan være
situationer, hvor sikkerhedsteknologier anvendes i strid med databeskyttelseslovgivning.
her må der stilles krav om meget høj bevidsthed om og synliggørelse af,
hvorfor man bruger sikkerhedsteknologierne – altså hvilken sikkerhed der bliver
opnået på bekostning af individets privatlivsbeskyttelse.
der skal indarbejdes procedurer, som tvinger til at besvare en række spørgsmål
om proportionalitet – altså om der er tilstrækkelig sikkerhedsgevinst i forhold til de
negative konsekvenser for privacy. erfaringer fra tilsvarende situationer med brug af
andre privacy-krænkende teknologier kan være med til at skærpe en vurdering af
trade-off’et.

PrivaCy CHeCK liSt
relevance of the issue
• Does the proposed technology involve processing of personal data
(e.g. data that makes people identifiable)
• Does the proposed technology involve tracking the location or observation of
people?
Core Sphere
• Does the proposed technology interfere with human dignity?
• Does the proposed technology interfere with physical integrity of people?
• Does the proposed technology allow or aim at interaction with partners like
spouse, children, lawyer, priest?
data Protection Compliance
• Does the technology lack a specification of the purpose of use and data
collection or is the purpose given very broad?
• Does possible technology use and data collection and processing require
passing a new legal basis?
• Is there a less intrusive means available allowing achieving the intended result
with comparable efficiency?
• Does the technology aim at or allow the collection of sensitive data? (e.g. health,
sexual lifestyle, ethnicity, political opinion, religious or philosophical conviction)
• Does the technology involve linking of data, data fusion or data analysis?
• Does the technology require lifting anonymity of data subjects?
• Is the technology used regardless of whether the individual is suspected of any
wrongdoing?
• Is lack of transparency regarding technology use (prior to and/or after use) the
default setting?
Context sensitive trade-off
• Does the proposed technology enhance privacy compared to existing solutions?
• Does the proposed technology aggravate judicial scrutiny?
• Does the proposed technology facilitate human societal security?
• Does the proposed technology aim at crime prevention?
• Does the proposed technology aim at prosecution?
• Is the main field of application fight against
– Terrorism
– organised Crime
– random Crime
• Does the proposed technology increase individual security against
– the state (in terms of privacy protection)
– other spheres (economy, social)
103

nøglen til fremtiden – om
pseudonymer og virtuelle identiteter
Af Stephan Engberg, it-sikkerhedsekspert, Priway
Den digitale verden er menneskeskabt og 100 pct. designet af mennesker.
Det betyder, at vi kan lave præcis den verden, vi vil – men vi skal også leve med konsekvenserne.
Her er der en kilde til både pessimisme og optimisme på samme tid.
Vi kan sagtens lave et overvågningssamfund, hvor teknologien bliver misbrugt kommercielt
og politisk til at kontrollere mennesker. Vi kan også sagtens lave et samfund,
hvor det er let for kriminelle at begå kriminalitet, fordi de kan anonymisere sig eller
gemme sig bag andres identitet.
Den pessimistiske erkendelse er, at vi har skabt et samfund, som hærges stadig mere
af både paranoid overvågning og kriminelt misbrug – på trods af, at det tales stadig mere
om privacy og sikkerhed.
Det største problem er, at det er et komplekst område, hvor man ofte farer vild i definitioner
og antagelser, så mange tiltag virker stik modsat hensigten.
104
”selv om avanceret teknologi skaber problemer for beskyttelse af privacy, så kan
teknologien også levere hovedparten af løsningen.”
”Netværk, hardware og software kan og burde designes, eller re-designes, med
henblik på at sikre brugeren kontrol over hans personlige data og privatsfære.”
Kilde: EU – Information Society Planning 1
Den optimistiske vinkel tager udgangspunkt i, at vi i dag står med svar på alle de vigtige
spørgsmål – og dermed kan rette op på udviklingen.
Uanset, hvor slemt det bliver, er der altid et i morgen, som det er værd at arbejde for
at gøre bedre.
Man bør tage udgangspunkt i erkendelsen af, at sikkerhed ikke er en modsætning
mellem frihed og ansvar – tværtimod er der masser af muligheder for at etablere winwin-win
løsninger på samme måde, som enzymer muliggør, at man kan vaske renere
(bedre funktion), billigere (ved lavere temperatur/mindre vaskepulver) og med mindre
forurening af naturen (samfundsinteressen).
Det digitale ’enzym’, som muliggør, at man kan lave digitale services uden at underminere
sikkerheden og magtbalancerne kan bredt betegnes som pseudonymisering.
Pseudonymisering dækker over, at borgeren kan handle og kommunikere som en digital
person – akkurat ligesom Karen Blixen kunne udgive bøger under det fiktive Isak
Dinesen uden at identificere sig – hvorved man kan undgå, at kontrollen skifter væk fra
borgeren – samtidig med at servicen kan gennemføres. Der findes blot ét pseudonym,
men et for ethvert formål, så man kan holde tingene adskilt.

Pseudonymisering kommer i mange former – fra den klassiske kontanthandel over
ihændehaverbeviser – som billetter – til mere avancerede løsninger som et valg til
Folketinget. Ikke blot kan pseudonymisering løse de fleste sikkerhedsproblemer. Faktisk
kender vi ikke andre måder at opretholde sikkerheden på, fordi sikkerhedsproblemer
oftest kan føres tilbage til for meget identifikation, fejl i identifikationen, identitetstyveri
eller misbrug af personhenførbare data.
En database (for eksempel elektroniske patientjournaler), som ikke indeholder identificerende
data, vil være meget sikker, selv hvis den indeholder stærkt følsomme data.
Pseudonymiseringen betyder, at data stadigt kan bruges til at servicere borgeren – uden
at ødelægge sikkerheden.
Her er det vigtigt at forstå, at et pseudonym sikkerhedsmæssigt kan spænde over hele
bredden – fra tilnærmelsesvis perfekt anonymitet i et folketingsvalg til en ansvarlig og let
identificerbar IP-adresse i forbindelse med usikret online-kommunikation.
I praksis kan og bør modellen for ansvarlighed for et pseudonym tilpasses den præcise
kontekst, så at man – hvis og kun hvis borgeren selv overtræder loven eller selv ønsker
det – overhovedet kan forbinde et pseudonym med den specifikke borger, hvilket giver
minimal risiko for, at borgerens rettigheder overtrædes uberettiget.
Dette kapitel har først og fremmest det formål at belyse løsningsmodeller på de helt fundamentale
spørgsmål – og samtidig stille spørgsmålet, hvorfor vi ikke løser problemerne
– med den centrale pointe, at det øjeblikkelige demokratiske og markedsmæssige forfald
bygger på vores manglende evne eller vilje til at møde problemerne med rettidig omhu.
Et stort problem er, at man unuanceret springer til konklusioner og for eksempel siger,
at alt skal logges (overvåges), fordi kommunikationen kunne være terrorrelateret.
Her glemmer man, at der kun er mikro-promiller sandsynlighed for, at en given handling
er terrorrelateret, men at logning uden sikkerhed – som i dag – med en til vished
grænsende sandsynlighed fører direkte til kommerciel, kriminel og politisk misbrug.
Det handler om at nedbryde forældede antagelser og dogmatiske modsætninger og
eksemplificere, hvordan vi kan løse problemerne.
Pseudonymer – på vej mod en nuanceret identitetsforståelse
Det absolut største problem i denne diskussion er tendensen til at være fastlåst i den
gammeldags CPR-tanke – at mennesker kun har én identitet – og at CPR-nummeret er
den eneste sande repræsentation. Mange har vanskeligt ved mentalt at finde sig til rette
i den digitale tidsalders mere virtuelle struktur.
Vi har imidlertid masser af dagligdags eksempler på, at det er en forkert opfattelse,
fordi vi bruger masser af pseudonymer uden at tænke over det. Et menneske er en fysisk
person med et navn og tilhørsforhold – men med mange identiteter i forhold til de
mange roller og sammenhænge, man indgår i.
Et folketingsvalg er afhængig af en avanceret pseudonymisering med lavteknologiske
midler. Vi skal være sikre på, at kun borgere, som overholder en række meget klare
krav til at være stemmeberettigede, kan stemme – og kun kan afgive én anonymiseret
stemme – så de demokratiske forudsætninger for valgets legitimitet er overholdt. End
ikke borgeren selv må kunne dokumentere, hvad vedkommende har stemt (fordi så kan
vedkommende også afkræves dokumentation for, at man har stemt som pålagt).
105

Markedet bygger grundlæggende på kontanthandler, hvor forbrugeren betaler med
rede penge og derfor kan forblive anonym. En bon eller en billet er et pseudonymt ihændehaverbevis
på ejerskab af en vare eller en rettighed. Spørgeundersøgelser er værdiløse,
hvis respondenterne ikke tør svare sandt, fordi de mistror anonymiseringen. Vi er også
klart bevidste om, at forskning skal baseres på anonyme data.
I den digitale verden har vi en lang række tekniske værktøjer, så vi selv kan håndtere
problemstillinger, som folk, der ikke er teknisk kyndige, ville tro var umulige.
Vi har teknisk ’Digitale Kontanter’ hvor man kan opretholde ikke bare fordelene med
fysiske kontanter 2 med anonymitet, men samtidig indbygge sikring mod forfalskning af
penge og kan med de nyeste løsninger også forebygge mod kriminalitet som f.eks. tyveri,
hæleri og hvidvask.
Når du opretter en email-addresse, som ikke indeholder identificerende information i
navnet, opretter du et pseudonym, som netop er karakteriseret ved, at man ved korrekt
brug kan kommunikere, uden at modparten kan identificere én.
Mange bruger en ny email-addresse til hvert formål, fordi det sikrer, at man kan holde
de forskellige roller adskilt, og at man kan lukke en mail-adresse, hvis modparten ikke
opfører sig ordentligt, uden at det går ud over kommunikationen med alle andre.
Pseudonymisering indgår altså helt naturligt som sikkerhedsfunktion i mange af de
fundamentale samfundsforhold – men vi har været ekstremt dårlige til at opretholde
disse grundlæggende principper, samtidig med at vi udnytter fordelene ved digitalisering.
Så snart vi erkender, at den gamle, spontane tankegang (identifikation er godt, men
pseudonym er dårligt) skader både borgerens og virksomhedens sikkerhed – og reelt
underminere de mest fundamentale samfundsprincipper – bliver det helt naturligt at
tænke to-dimensionelt, altså erkende et mere nuanceret perspektiv, hvor man tager udgangspunkt
i både den enkelte borgers sikkerhed – samtidig med at man tager højde
for, at borgeren også kan begå kriminalitet – fordi det på den måde også bliver muligt i
en samfundsproces at isolere og håndtere de aspekter, som er vigtige for de forskellige
parter i den pågældende transaktion.
106

Figuren på side 106 fokuserer på to helt centrale aspektet
På den ene side, at der er en glidende sondring mellem i den ene ende anonymitet og
i den anden ende identifikation – med alle varianter af pseudonymitet derimellem.
På den anden side den risiko, der er involveret – og hvor den centrale pointe er, at
både anonymitet og identifikation indebærer voksende sikkerhedsrisici.
Det centrale er, at hvis man vil minimere risikoen, gælder det om at ramme de svære
balancer.
de basale begreber – privacy, sikkerhed, tillid, identitet
Alle problemer er svære, indtil man har forstået deres essens. Uklare definitioner er
oftest udtryk for, at essensen ikke står klart frem – og at man reelt diskuterer med høj
grad af begrebsforvirring – det gælder for privacy-spørgsmålet mere end så mange andre
snævre spørgsmål.
En stor engelsk rapport – The Future of Privacy – rummer en helt grundlæggende
betragtning:
”Privacy kan bedst forstås som sikring mod forskellige former for risiko – risiko for
uretfærdighed via fejlagtige konklusioner, tab af kontrol over personlig information, og
risiko for tab af værdighed via blotlæggelse eller pinlige episoder.” (Kilde: DEMOS – The
Future of Privacy 3 ).
Privacy er tæt relateret til risiko – og dermed mulige fremtidige hændelser i bred forstand.
Alene muligheden, truslen, frygten for, hvad en borger vil betragte som overgreb,
udgør for vedkommende et overgreb – selv uden at misbruget nogensinde finder sted.
Privacy er udtryk for, at man fokuserer på sikkerhed fra en bestemt parts synspunkt.
For privatpersoner inkluderer sikring af privacy både vold og identitetstyveri og de sammenhænge,
hvor viden om en borger udgør et sikkerhedsproblem både for vedkommende
og for den part, som er ansvarlig for at beskytte databasen mod misbrug.
Ved direkte at koble privacy til sikkerhed finder vi den operationelle forståelse af privacy,
fordi sikkerhed drejer sig om risikostyring.
Hermed dækker privacy-forståelsen både optimering af teknisk design og juridiske
rettigheder, dag-til-dag afvejninger og handlinger.
Vi hører ofte begrebet tillid brugt absolut – ”jeg har tillid til x” – men i praksis skal det
altid ses i forhold til den specifikke kontekst – og med langt flere nuancer.
I praksis drejer tillid sig mere om, at man har ’tillid nok’ i forhold til en given handling
– altså at man foretager en specifik afvejning mellem opfattelsen af risiko og den værdi,
man forventer af opnå.
Sikkerhed indgår ofte i en cost/benefit-betragtning, som betyder, at man til tider løber
risici for at opnå en gevinst – uanset, om vurderingen af risikoen er over- eller undervurderet.
Ved identitet forstår vi den tekniske repræsentation af en juridisk person i en given
sammenhæng – samt de digitale nøgler, certifikater og data, som modparten kan knytte
til identiteten.
Et pseudonym er en ikke-identificeret repræsentation af en borger, som muligvis kan
henføres til en bestemt borger – i bredest mulige forstand i forhold til figuren på side
106.
107

Altså i modsætning til en anonym identitet, som eksplicit kan karakteriseres ved, at
man ikke uden borgerens medvirken kan henføre identiteten til en specifik borger.
Man kan groft sætte det sådan op, at hvis borgeren er identificeret, ligger kontrollen
altid hos en anden end borgeren.
Hvis borgeren agerer anonymt, betyder det, at der ingen mulighed er for at holde borgeren
ansvarlig – men agerer borgeren pseudonymt, så kan der være en måde at genkoble
forbindelsen til den fysiske person.
fem fundamentale positive grunde til at pseudonymisering
Når man diskuterer rettigheder og principper, må man være opmærksom på potentielle
interessekonflikter, der koncentrerer sig om magt, prestige og profit.
Der tales og skrives meget om persondataloven og de mange og komplekse problemstillinger,
som lovgivningen og håndteringen af lovgivningen vedrører. Med oftest gør
man tingene mere komplekse end nødvendigt.
Princippet, som vi genfinder i både Grundloven og den europæiske (og dermed også
danske) persondatalovgivning, er at tage udgangspunkt i borgeren som suverænt individ
med ukrænkelige rettigheder.
Retsprincipperne er reelt ret klare: Persondataloven gælder, så snart data med inddragelse
af alle tredjeparter kan gøres personhenførbare – altså så snart der skabes en risiko
for misbrug, så skal loven overholdes.
Omvendt – hvis der ikke etableres en risiko for borgeren, så falder det uden for lovgivningen.
Men lovgivningen går videre og dikterer risikominimering:
• Personhenførbare data skal anonymiseres, så snart det er muligt.
• Personhenførbare data må ikke registreres uden informeret samtykke.
• Man må ikke registrere data uden veldefineret formål og samtykke.
• Man må ikke sælge data uden klart forudgående samtykke.
• Hvis en virksomhed eller en myndighed skaber risici for en borger, skal det ske formålsspecifikt,
tidsbegrænset, minimalt og med informeret samtykke – og ikke mindst med
den bedste til rådighed værende teknologi – altså risikoen for borgeren skal minimeres.
Der er to klare problemer med Persondataloven.
a) Det ene problem er, at lovgivningen har huller så store som ladeporte.
Man kan lave undtagelsesbestemmelser – hvilket er udbredt i den offentlige sektor,
som nærmest er omfattet af en general-undtagelse, uden at kravet om risikominimering
for borgeren sikres. Samtidig er der en general-bagdør, som siger, at betydelige samfundsmæssige
interesser kan tilsidesætte borgernes rettigheder.
Påstanden i dette kapitel er, at disse bagdøre generelt misbruges i udstrakt omfang
– uden saglig begrundelse eller demokratisk vurdering af, om alternativer kunne sikre
borgernes rettigheder.
b) Det andet problem er, at sikkerhedsteknologier ikke inddrages.
Persondata-direktivet bygger på et krav om risiko-minimalisering baseret på ’teknolo-
108

giens status’, det vil sige at man skal minimere risici for borgerne bedst muligt – givet
de teknologiske muligheder.
Dette krav sikres objektivt ikke i Datatilsynets behandling af problemstillinger – med
den konsekvens, at man gennemgående vælger de for borgerne, samfundet og retssikkerheden
mindre optimale teknologiske løsninger.
Pseudonymer er formåls-specifikke identiteter, hvor data låses til et bestemt formål
– hvor data kan trækkes tilbage (pseudonymet kan lukkes) og minimaliseres (data kan
ikke kobles med data skabt andetsteds til andre formål) og borgerens samtykke kan være
både eksplicit og implicit, idet oprettelsen af et nyt pseudonym per definition forudsætter,
at borgeren er i kontrol.
Pseudonymisering er ikke bare den bedste, men også den eneste til rådighed værende
teknologi og design-princip, som kan sikre overholdelse af lovgivningen – samtidig med
at man opnår fordelene ved digitalisering.
Med pseudonymer, som bygger på sikkerhedsmekanismer, hvor data kun kan henføres
til en given borger, hvis borgeren har overtrådt loven, vil man endda være helt
uden for lovens begrænsninger, fordi sådanne data i sagens natur ikke udgør en trussel
mod borgeren.
Sikkerhed – minimere risici
Hvis vi skal kunne sikre et system mod både bevidst misbrug – og fejl – er pseudonymisering
reelt den eneste måde at gøre det på.
Hvis en elektronisk patientjournal eller en kundedatabase ikke indeholder identificerende
oplysninger, så kan en cracker, en intern medarbejder – eller andre, der har
tiltvunget sig uberettiget adgang – ikke misbruge de data, de kommer i besiddelse af.
Samtidig er det næsten umuligt for en tredjepart at udgive sig for en anden (identitetstyveri),
uden at have adgang til de faktiske nøgler.
Med andre ord – hvis man ikke optimerer systemsikkerheden med udgangspunkt i
sikkerheden for de mennesker, der bruger systemet, så har hverken systemet eller systemets
interessenter sikkerhed.
En identificeret borger er underlagt det fundamentale problem, at kontrollen altid vil
ligge et andet sted – og denne modpart udgør både en trussel på grund af sin rolle som
potentiel misbruger og fordi borgerens sikkerhed ikke kan blive god nok.
Sikkerhed følger af forebyggelse og minimering af risici – ikke af overvågning og magtforskydninger
mellem borger og sagsbehandler, hvor misbrug ikke kan undgås.
innovation og velstand – kontrollen følger efterspørgslen
Markeder bygger på fortsat tilpasning til individuelle behov via forbrugernes frie fra- og
tilvalg – samt den værdisætning, de sætter på et givent produkt eller en service.
I den klassiske kontanthandel tvinges butikken og værdikæden til at indrette sig efter
forbrugerens behov og ønsker – og det er selve grundfunktionen i markedsfunktionens
tilpasningsevne.
I den digitale verden ser vi i stigende grad den omvendte process finde sted: I stedet
for at værdikæderne indretter sig efter kunderne, så tilpasses kunden til udbyderen. Man
identificerer kunden og begyndte at kommunikere til vedkommende ud fra stadigt mere
109

detaljerede profiler – med henblik på at få kunden til at foretage de handlinger, som
butikken ønsker.
Det sikkerhedsmæssigt holdbare og markedsbevarende alternativ for at undgå en ikketilsigtet
profilering i en digital verden er, at kunden teknisk kan oprette et nyt pseudonym
– en formålsbestemt nøgle som ikke er personhenførbar – og koble de relevante profil-
og præferencedata hertil.
Kunden kan vælge i hvilken grad data skal genbruges ved at koble den nye nøgle med
gårsdagens nøgle – og han kan vælge at hente data fra andre historiske pseudonymer
– og dermed sikrer han sig magten til at styre værdikæderne, og at innovationen følger
behovet.
Når princippet er fastlagt, er resten et spørgsmål om teknologisk design, så det er nemt
og sikkert.
effektivisering – kontrollen følger magten over personhenførbarheden
Dette problem er langt værre i en offentlig sektor, hvor man starter med at identificere
borgerne ved indgangen til et system – og hvor den enkelte borger ikke i øjeblikket har
samme magt som kunden til at sikre sig, at processen indretter sig efter borgerens ønsker,
fordi borgeren hverken kan stemme med sin pengepung eller har kontrol over data.
Man er underlagt et centralt styret planøkonomisk system, som dikterer one-size-fitsall
i en opsætning, der er ude af stand til at tilpasse sig de individuelle behov. Den direkte
konsekvens er, at det offentlige system bliver stadig mere ineffektivt.
Hvis man i stedet flyttede kontrollen over persondata hen til borgeren, ville man tvinge
de offentlige processer til at indrette sig efter de individuelle behov i stedet for at arbejde
med stive, centralt styrede processer, hvor koordinering, kvalitet og effektivitet er
afhængig af centrale beslutningsprocesser, som ikke kan rumme eller tilpasse sig kompleksiteten
i de individuelle behov.
Frihed er tæt forbundet med oplevelsen af individuel suverænitet. Behovet for kontrol
og mulighed for selv at styre, hvordan vi fremstår i en sammenhæng, er grundlæggende
for mennesker.
Man ønsker og kan sagtens selv vælge – men det forudsætter netop, at den digitale infrastruktur
(kommunikationsnettene og de værktøjer, vi stiller til rådighed for borgeren)
ikke medfører, at de forskellige relationer blandes sammen i én og samme kasse med én
og samme nøgle – så borgeren altid er identificeret.
Sociologisk er der også nogle andre, dybt moralske aspekter: Internettet glemmer ikke,
fordi så godt som alt gemmes – men skal det betyde, at helt centrale værdier som ’benådning’
og ’tilgivelse’ ikke betyder noget mere i internettets forstand? Pseudonymisering er
den eneste måde, hvorpå vi digitalt kan muliggøre det at glemme.
Endelig er der en helt simpel pointe, som man ofte glemmer i det danske velfærdssamfund
– nemlig at borgerne bliver, som de bliver behandlet. Hvis man behandler dem
som kompetente mennesker – og giver dem værktøjerne til at agere kompetent – så gør
man dem også mere kompetente. I kontrast til dét ligger den forudfattede antagelse,
at borgerservices kun henvender sig til gamle kvinder med Alzheimers – eller på anden
måde inkompetente borgere. Betragter man borgerne som inkompetente, laver man
kompetence-reducerende servicemodeller – og omvendt.
110

Hvis vi skal kunne sikre et
system mod både bevidst misbrug
– og fejl – så er
pseudonymisering reelt den eneste
måde at gøre det på.
Hvis en elektronisk patientjournal
eller en kundedatabase ikke
indeholder identificerende oplysninger,
så kan en cracker, en intern medarbejder
– eller andre, der med magt har
tiltvunget sig uberettiget adgang
– ikke misbruge de data,
de kommer i besiddelse af.
Stephan Engberg
111

overvågning og ansvarlighed
Bekæmpelse af kriminalitet i betydningen at kunne finde de kriminelle og holde dem
ansvarlige og dermed forebygge kriminalitet er det oftest brugte argument for overvågning
(ufrivillig identifikation og kobling af data). Men ansvarlighed forudsætter ikke
overvågning.
I det følgende vil jeg diskutere de basale principper for overvågning – såsom overvågningskameraer
og blokering heraf – og se på, hvordan man kan indrette disse, så der
ikke er tale om overvågning – selv om man opnår de samme hensyn. Det vigtige hensyn
er fokus på den digitale overvågning, fordi her kan misbruget skaleres – f.eks. kan man
diskutere, hvor farlige de gamle analoge kameraer med båndsløjfer er, men misbruget og
sikkerhedsproblemerne eksploderer, når vi taler kameraer i netværk (globalt tilgængeligt)
koblet med automatisk ansigtsgenkendelse (digital identifikation).
Ansvarlighed er betinget identifikation i forhold til situationens behov – altså, at man
kan identificeres, men ikke på forhånd er identificeret.
Forskellen er, at der ikke skabes risici for borgere og systemer i de 99,9999 procent
situationer, hvor der ikke er kriminel aktivitet involveret.
Betinget identifikation indebærer som minimum, at identifikation ikke kan finde sted,
uden at en dommer har aktiveret en nøgle, der giver adgang. Det drejer sig ikke om, at
der foreligger dommerkendelse, men om at dommeren kontrollerer nøglen, fordi vi i en
digitaliseret verden må betragte ufrivillig identifikation som en dom.
I afklaringen af dette princip definerer samfundet den basale forståelse af konceptet
’Frihed under ansvar’, som i sin rene form kan fastlægges sådan, at selv om der er en
måde at holde en borger ansvarlig, må man med en til vished grænsende sandsynlighed
ikke kunne koble aktiviteter udført af den samme borger.
Gode løsninger vil have både indbygget tidsbegrænsning og styrke de basale retsprincipper
– herunder sikring af appelmulighed, forebyggelse af trusler mod dommere og
’dødemandsknapper’ til total nedlukning, hvis det ultimative sammenbrud i retstilstanden
finder sted (i en ekstrem situation vil vi hellere have, at hele grundregisteret slettes
end det, der skete under Anden Verdenskrig, hvor tyskerne kunne bruge registre til at
udpege alle jøder, politiske modstandere eller politifolk).
Konsekvens
Overvågning begrundes ofte i behovet for at tjekke, om en person har forbrudt sig – og
dermed er blacklistet. Men det behøver man ikke at identificere vedkommende for at
kunne.
Hvor ansvar drejer sig om, at man kan drage en borger ansvarlig for en tidligere begået
handling, så vedrører konsekvens at sikre, at misbrug har konsekvens for fremtidige
handlinger.
Heller ikke konsekvens forudsætter identifikation. Man skal blot sikre, at denne viden
kan overføres til serviceudbyderen – med borgeren som mellemmand – uden at borgeren
kan identificeres. Det har vi i dag teknologiske værktøjer til – endda mange forskellige.
Et eksempel på en sådan teknologi er ‘blinded certificates’, som er en variant af den
samme teknologi, man bruger til digitale signaturer. Det specielle ved blinded certificates
er, at de anonymt kan bekræfte medlemskab af den gruppe, som har autoriseret adgang
112

– men også kan bruges til at bevise, at man ikke er medlem af den gruppe, som er blacklistet
– eksempelvis på diskoteker, der ønsker at holde voldselementer og narkohandlere
ude, samtidig med at man ønsker at beskytte de unge.
nødsituationer
En nødsituation involverer enten et råb om hjælp eller forsøg på undsætning. Når nødsituationen
opstår, ændres sikkerhedsbalancerne – og det fører ofte til at etablere konstant
overvågning. Men det betyder ikke, at overvågning er omsorg – overvågning er
omklamring, medmindre det i sagens natur er nødvendigt – eller et klart ønske fra den,
som overvåges.
I praksis kan man sagtens etablere nødberedskab, som ikke indebærer overvågning:
Borgeren kan have en alarmknap, som medfører, at man ikke bare optager billeder
(altså passivt overvåger med henblik på senere dokumentation) en hændelse – men at
man faktisk reagerer, når behovet er der.
I sundhedsmæssig forstand kan borgeren have deponeret data og nøgler fysisk på
kroppen, så de – hvis patientens sundhedstilstand kræver det – altid er tilgængelige i
nødsituationer. Med nye engangsteknologier – der kan etableres i såkaldte RFID-enheder,
som kan fungere uden batteri – kan man sikre disse data, ind til nødsituationen opstår,
og derefter sikre, at data kun frigives til autoriserede personer.
Man kan etablere indirekte alarmsystemer, der fungerer som dødemands-knapper:
Hvis kroppens fysiologiske alarmsignaler ringer, så omsættes det til en digital alarm – og
en sensor, som ikke kan misbruges til identificering, afslører alarmerende adfærd og kan
igangsætte en mekanisme til afklaring af situationen og eventuelt alarmering.
Privacy og tillidsskabende teknologier
Man taler om såkaldt privatlivsfremmende teknologier – eller PETs (ikke at forveksle med
forkortelsen for Politiets Efterretningstjeneste).
I praksis drejer det sig ikke kun om teknologi – men i højere grad en metodisk tilgang
til design af digitale teknologier, så de prioriterer den enkelte borgers sikkerhed. Samtidig
er det essentielt, at man ikke bare ser efter teknologiske quick-fix – hurtige, udelukkende
tekniske løsninger, som reelt rammer ved siden af problemet.
Gode sikkerhedsmodeller består af en blanding af jura, processer, lokale politikker og
teknologi.
Som med en god kontrakt er den skrevet med fokus på, hvad der sker, når det går
galt – ud fra håbet om, at man med et godt forarbejde kan reducere risikoen for fejl – og
konsekvenserne af dem, hvis de alligevel indtræffer.
Samtidig bør man være opmærksom på, at et samfund er en kompleks struktur af
parallelle processer, som konstant forandres – og hvor nye behov og muligheder opstår.
Gamle forældede løsninger erstattes gradvist af nye i det uigennemskuelige system, vi
kalder et marked eller blot samfundet. Man skal hverken forledes til at tro, at man med
ét kæmpestort Big Bang kan indføre den endegyldige løsning – eller at nogen løsning
ikke gradvist vil skulle erstattes af bedre løsninger, allerede inden den er indarbejdet.
Grundlæggende må man i en digital verden arbejde med tre niveauer til erstatning
og videreudbygning af den simple – og forældede – CPR-model. Alle tre niveauer skal
113

være understøttet af et borgerkort, for at det gavner samfundet og ikke blot tilgodeser
særinteresser:
Ansvarlighedslaget: Den helt basale sikring af, at borgeren har kontrol over og dermed
også kan ansvarliggøres for kriminel misbrug af sin grund-identitet (det niveau som vi
traditionelt ville betegne CPR). I ansvarlighedslaget ligger både den sporbare kobling til
en bestemt fysisk person, men også borgerens kontrol med øjeblikkelig nedlukning, hvis
man mister kontrollen med de kritiske nøgleenheder, såsom Borgerkortet.
Virtualiseringslaget: Her opbygger man ansvarlige pseudonymer tilpasset det specifikke
formål som det bærende sikkerhedselement for den digitale verden. Det er den basale
sikring af, at borgeren kan agere digitalt (såsom at gå online eller handle i en butik)
uden at blive identificeret, samtidig med at modparter i en transaktion kan forhandle og
få afdækket deres sikkerhedsbehov. Det vil ofte involvere, at man validerer en specifik
ansvarlighedsmodel som passer til transaktionen.
Profillaget: Her opbygger man indholdet af identiteter baseret på profildata, som kan
være certificerede af tredje part og af borgeren kan udveksles mellem de forskellige
pseudonymer, så at for eksempel SKAT kan validere, at man er arbejdsløs (ikke modtager
skattepligtig indkomst fra lønnet arbejde) over for arbejdsløshedsunderstøttelsen
uden, at de to enheder behøver at blande rådgivningsprocessen med at finde nyt arbejde
sammen med SKATs arbejde med at sikre, at indtægter beskattes. Og SKATs arbejde
med at sikre, at indtægter beskattes behøver ikke at indebære, at SKAT ved, hvor du er
ansat – de skal blot kunne tjekke at alle udbetalinger er indberettet til SKAT, så man kan
beregne en given borgers skat.
Det er centralt at huske, at dette gælder både offentlige og private sfærer, og både
indenlandske og udenlandske. Den eneste måde at sikre en database med data om danskere
i USA eller Kina er ved at sikre, at den aldrig kommer i nærheden af identificerende
data – det kan vi styre i Danmark, og det er et politisk styrbart forhold. Ligesom man kan
påtvinge overvågning, kan man påtvinge eller understøtte sikkerhed.
Basal virtualisering – hvordan vi eliminerer de elektroniske spor
Den helt basale pseudonymisering eller med et bredere udtryk virtualisering (separation
af den fysiske identitet og den digitale repræsentation) kan principielt ske på to måder.
Enten via et virtualiseringssystem såsom TOR eller Mixminion 4 , som er krypteringsmodeller
der anonymiserer online kommunikation (de kriminelle og militæret har tilsvarende
i stordrift) eller via en device-side virtualisering 5 , som er fremtidens måde at gøre
det på for alle de mange mobile kommunikationsenheder (borgerkort, mobiltelefoner,
bærbare, palmpilots).
Et virtualiseringssystem arbejder med ’tunneller’ i ’tunneller’, det vil sige kryptering i
flere lag. De er struktureret således, at kun hvis alle enhederne i en forbindelse samarbejder,
kan man koble en besked tilbage til den faktiske afsender. Dette forhindrer på
ingen måde, at samfundsfunktioner kan fungere præcis, som man ønsker. Du kan tage
en besked underskrevet med din digitale signatur og sende den til din læge via et mixnet.
114

Lægen ved nu, at beskeden kommer fra dig, men ingen server eller anden funktion vil
kunne opsamle denne viden – der er derfor intet at sikre på serverne, fordi truslen ikke
etableres.
trusler og muligheder med digital Biometri
Biometri er utvivlsomt det område, som det er mest kritisk at få rigtigt på plads, fordi
du på samme tid har tre meget kritiske faktorer på spil – du kan ikke få nye biometriske
kendetegn, hvis noget går galt, du kan ikke undgå forfalskning, fordi biometri blot er
fysiske konstanter (såsom fingeraftryk eller DNA), men samtidig har biometri klart en
rolle at spille som vanskeligt kan dækkes af andre teknologier.
Truslerne fra biometri er mange – andre kan forfalske dit fingeraftryk og dermed stjæle
din identitet, du kan overvåges og profileres uden forsvar, man kan forhindre sikkerhedsløsninger,
som respekterer borgernes rettigheder – og hvis man opsamler nogen
former for biometri, låser man sig fast i teknologier, som ikke kan sikres, forsvares eller
opgraderes.
Men samtidig repræsenterer biometriske teknologier også vigtige aspekter til egenbeskyttelse
(f.eks som supplement til kodeord), validering af sporbarhed (som led i
modvirkning af identitetstyveri) og opklaring af specielt voldsforbrydelser (den kriminelles
efterladte spor på gerningssteder såsom DNA, fingeraftryk).
Dårligt design af biometri skaber altså identitetstyveri, skævvridning af markedet,
blokerer for innovation og datakriminalitet, samtidig med, at rigtig design af biometri
kan være med til at modvirke det.
en australsk butik, som solgte brudekjoler, overvågede omklædningsrummet for at
kunne aflytte de meget følelsesladede diskussioner om valg af kjole.
Piger, som skal giftes, prøver sjældent kjoler alene – så formålet var ganske enkelt
at kunne udnytte de forskellige følelsesmæssige holdninger, man opsamlede, til
at kunne manipulere kundens købsproces, så man fik solgt den – for butikken –
bedste kjole.
Pointen i dette eksempel er dobbelt: ikke blot sker der en grov indtrængen i
privatsfæren, men den viden, som opsamles, misbruges direkte til kommercielt at
manipulere og underminere den fundamentale markedsproces mellem kunde og
leverandør.
samme viden kunne – hvis den blev struktureret – let misbruges i andre sammenhænge.
den største trussel
Udgangspunktet er knivskarpt og ufravigeligt: Biometrisk overvågning udgør den største
enkeltstående trussel mod demokratiet og de fundamentale værdier, fordi den kan tilsidesætte
selve Grundlovens forståelse om den suveræne borger og forudsætningerne for
fri markedsdannelse. I denne forbindelse bør det bemærkes, at der netop ved Den Europæiske
Menneskerettighedsdomstol er faldet dom for, at UK i omgangen med biometri
115

overtræder helt basale retsprincipper – vel at mærke retsprincipper, som Danmark også
klart overtræder.
De sikkerhedsmæssige udfordringer og muligheder beskrives måske bedst ved nedenstående
citat, hentet fra roadmapping-arbejdet op til EU’s FP7-program, hvor man forskede
i fremtidens behov for sikkerhedsforskning:
”For eksempel er biometri problematisk til brug for autentificering, fordi den ’hemmelige
nøgle’ hverken er hemmelig, tilbageførbar eller unik – biometri kan forfalskes,
og ofre for biometrisk-baseret identitetstyveri kan ikke få nye biometriske kendetegn,
og brug af flere former for biometri, som alle kan forfalskes, vil blot skabe mere ’falsk
sikkerhed’.”
Empowerment-overvejelser (retten, kompetencen og værktøjer til at kontrollere eget
liv) omfatter sikring af, at brugen af biometri til håndtering af identitet og nøgler dertil
er baseret på nem og sikkert tilbageførbare nøgler, såsom privacy biometrics (integration
af biometriske karakteristika i mobile brudsikre devices med egen scanner) eller
bio-kryptograpfi (integration af biometriske karakteristika i tilbageførbare kryptografiske
nøgler – dvs. blandes med tilfældige tal, som kan tilbageføres, selv om selve biometrien
ikke kan, red.) samtidig med at det understøtter mange forskellige identitets-modeller
parallelt.
Konklusionen er klar: Man må ikke registrere eller skabe biometri, som kan bruges til
at identificere borgere uden deres vidende og kontrol.
I praksis vil det sige, at ingen funktion må være i stand til at opsamle biometri uden
for borgerens kontrol – slet ikke til sikkerhedsformål.
I teknisk forstand er kravet, at al biometri altid skal være garanteret tilbageførbar –
man må ikke bruge en biometrisk scanner, som ikke er kontrolleret af borgeren selv.
Den eneste undtagelse herfor er såkaldt forensics – biometriske beviser som led i efterforskning
af voldshandlinger – hvor en kriminel har overtrådt loven og dermed selv har
afskrevet sig sine rettigheder. Her må samfundet bruge de tilgængelige midler til at finde
og drage den kriminelle til ansvar, selv om det selvfølgelig ikke må forbryde sig mod de
grundlæggende principper for omgang med biometri over for uskyldige. Man kan også
forfalske biometriske spor på gerningssteder.
eksempler på destruktiv brug af biometri
Et helt aktuelt eksempel finder vi i pas-systemet som er midt i et udbud, der groft forbryder
sig mod ovenstående.
Her arbejder man med at indføre såkaldt certificeret biometri – et digitalt aftryk af biometri,
som kombineres med tredjeparts digitale underskrift til at validere ejermandens
identitet.
I praksis vil dette biometriske certifikat udgøre et generelt tredjepartsvidne – hvilket
betyder, at enhver, som kan forfalske biometrien, også kan stjæle identitet på ejermanden
af den pågældende biometri.
Til sammenligning kan man pege på den berømte svindelsag om finansiering af Kurt
Thorsens byggeprojekter. Her burde Rasmus Trads være forhindret i at forfalske PFAdirektør
André Lublins underskrifter, fordi han manglede vitterlighedsvidner. Men med
116

de nye pas tvinger staten André Lublin til – hvis han ville kunne rejse – at skabe vitterlighedsvidner,
som kan misbruges til identifikation som en slags blanko-underskrift.
Det eneste, Rasmus Trads behøver at gøre, er at skaffe sig adgang til den certificerede
biometri i de usikrede pas (pas-teknologien er påvist hacket, men data-kommunikeres
rent faktisk uden for pas-ejerens kontrol – den kan ikke sikres), hvorefter han kan stjæle
Andre Lublins identitet, hvis blot han kan forfalske biometrien.
Hele pas-udbudet bygger altså på en teknologisk forståelse, som allerede på udbudstidspunktet
var sikkerhedsmæssigt uforsvarlig og vil føre til mere identitetstyveri.
Hvad værre er – i og med at man bygger grænsekontrollerne på opsamling af biometri
– kan man ikke senere sikre grænseovergangene ved parallelt at indføre bæredygtige
biometriske pas baseret på princippet om ’Collect and match on card’ (pas-devicen indeholder
en biometrisk scanner, som åbner passet, eller passet kan kun aktiveres ved hjælp
af et borgerkort med biometrisk scanner), uden at man kan opsamle eller svindle ved at
forsøge at identificere via biometri. Hele pas-systemet står overfor et sammenbrud.
Principielt er DNA-databaser af enhver art både stærkt følsomme data og stærkt sårbare
over for kriminel misbrug: Hvis en kriminel ønsker at kaste skylden på en anden,
som er registeret i politiets systemer, så kan han efterlade DNA fra vedkommende på
gerningsstedet – samtidig med, at han sikrer, at vedkommende ikke har et alibi.
Brug af biometri ved adgangskontroller er en direkte opfordring til kriminalitet (data
gøres sårbare ved at gennemtvinge identifikation, borgeren gøres sårbar over for biometrisk
identitetstyveri uden mulighed for at få nye nøgler, systemet blokerer for at
borgeren kan beskytte sig selv). Alligevel ser vi begyndende tilfælde, hvor aggressiv og
falsk markedsføring af biometriske overvågningsløsninger fører til biometrisk overvågning
på for eksempel biblioteker, diskoteker og arbejdspladser.
Hvad værre er, så låses de tekniske grænseflader til en bestemt struktur, så kun en
bestemt form for gatekeeper-kontrollerede betalingsmodeller kan etableres. Vi får altså
nye monopoler og lav-konkurrencemodeller som led i etableringen af overvågningsmodeller.
eksempler på positiv brug af biometri
Det er vigtigt at forstå, at man kan bruge de konstruktive aspekter af biometri uden at
skulle acceptere de stærkt demokrati-destruktive aspekter.
Såkaldt ‘Collect and match on card’ – hvor fingeraftryks-sensoren sidder på selve kortet
– muliggør at borgeren kan kontrollere selve biometrien, mens modparten kan observere
og bekræfte, at en given digital nøgle er bundet til den pågældende via biometri.
Det løser det grundlæggende krav, at biometriske nøgler aldrig må kunne forlade et
såkaldt tamper-resistent miljø – altså at de er låst inde i en hardware, som teoretisk antages
at destruere data ved ethvert forsøg på at bryde ind.
Her behøver man heller ikke arbejde med certificering af biometri, fordi kortet kodes
til at låse sig til en bestemt biometri – og kun bruge den til at acceptere aktivering af de
digitale nøgler på kortet, såsom f.eks. den private hemmelige del af en digital signatur.
Biometrisk kryptering – hvor man på borgerkortet matematisk kombinerer biometriske
data med tilfældige nøgler (store tal), som er genereret af og aldrig forlader et tamper-
117

esistent kort – løser problemet med, at biometrien ikke kan tilbageføres ved at tilføre
et tilfældigt element, som kan tilbageføres. Du kan altså ikke generere den biometrisk
krypterede nøgle på basis af fingeraftryk alene – det forudsætter adgang til de hemmelige
nøgler i kortet.
Der foregår lige nu en vigtig forskning i de grundlæggende sikkerhedslag, fordi biometri
er et vigtigt element i at kunne sikre eksempelvis en lufthavn, uden at man skal
identificere rejsende.
Ikke kun fordi man ikke kan stole på, at myndighederne kan undgå kriminel misbrug
– men også fordi biometriske pas med den aktuelle udformning vil udgøre en akut trussel,
når man begynder at bruge pas andre steder – ved indtjekning på hoteller, leje af bil
og andre situationer, hvor man i dag ved, at man skal være opmærksom på problemet
med forfalskede pas.
eksempler på områder, hvor man har begået – eller er ved at begå –
banale designfejl med skadelig virkning:
Biblioteker
Datatilsynet var for nylig ude med en skarp – og berettiget – kritik af bibliotekernes praksis
med at sende rykkere per email. Men problemet var her, at man – som løsningsmodel
– påpegede, at emails skulle krypteres.
I stedet bør man fokusere på grundproblemet – at lånerne ikke er pseudonymiseret
over for biblioteket selv. Hvis lånerne var pseudonyme, ville biblioteket meget bedre
kunne udfylde sin rolle i demokratiet, fordi pseudonyme data ikke udgør en trussel mod
borgeren. Man kan med pseudonymisering ret uproblematisk koble borgere sammen,
som læser den samme bog om emner som politisk, religion, kultur, etniske og seksuelle
forhold. Det forudsætter blot, at borgeren har mulighed for at skabe et biblioteks-id, der
kan kommunikere, og ansvarliggøres i forhold til risikoen (udlånte bøgers værdi), så
biblioteket kan være rimeligt sikker på borgeren bag pseudonymet.
Online selvbetjeningsservices
Digital Forvaltning arbejder med det såkaldte nem-kontrol koncept, hvor borgeren altid
køres ind over et såkaldt single-point-of-trust-failure – et punkt, hvor bevidste angreb
eller ubevidste fejl vil have stor skadesvirkning og bryde sikkerheden i meget store dele
af systemet – hvor man koncentrerer adgangen til borgernes data.
I en selvbetjeningsservice (for eksempel en ansøgning om SU) antager man derfor,
at borgeren først identificeres – hvorefter systemet selv slår borgerne op i en masse
databaser. Dermed skaber man en masse risici i en model, som ganske enkelt ikke kan
sikres mod misbrug. I denne forbindelse ender man i såkaldte one-size-fits-all-modeller
– forsimplede standardløsninger, som vanskeligt kan tilpasse sig – fordi det bliver det
centraladministrative teknokrati, som dikterer, hvordan processerne skal fungere – frem
for de individuelle behov.
I stedet bør man vende modellen på hovedet og åbne systemerne mod borgeren: Selvbetjenings-servicen
fortæller, hvad der kræves, for at transaktionen kan fortsætte, så borgeren
selv kan hente og selektere certificerede data. Det har mindst tre klare fordele:
118

a) Borgeren tager sig selv af at integrere de offentlige systemsiloer – idet vedkommende
altid selv vil kunne sammenkoble uafhængige systemer, drevet af de aktuelle behov.
Kvalitet og effektivitet drives af borgerens efterspørgsel – frem for stive bureaukratiske
processer.
b) Uafhængige processer kan holdes adskilt, fordi borgeren kan fungere med forskellige
formåls-specifikke nøgler i forskellige sammenhænge.
c) Modellen fungerer åbent på kryds og tværs af offentlige og private skel – man gør det
væsentligt nemmere for det offentlige at udnytte konkurrencen i den private sektor til at
spare penge uden at skabe risici, fordi transaktionen kan holdes pseudonym.
Udfordringerne afhænger af den specifikke service. Et avanceret eksempel er, at man
kan dokumentere arbejdsløshed ved, at SKAT ikke har indberetning af lønudbetaling.
Borgeren skal altså kunne bede SKAT udstede et blindt certifikat, som dokumenterer, at
borgeren ikke har modtaget løn i en given periode.
Tilsvarende behøver SKAT ikke viden om, hvor borgeren har erhvervet lønindtægt, så
længe man kan validere hos udbetaler, at indberetning har fundet sted.
Hermed kunne man også løse det såkaldte sædbank-problem eller prostitutions-problem,
hvor man ser, at sæddonorer eller prostituerede kræver anonymitet (en indtægt
må ikke kobles med, hvordan indtægten er opnået), mens Skat insisterer på at ville
registrere alting uden troværdige sikkerhedsmekanismer.
RFID
Der foregår aktuelt intense politiske overvejelser om behovet for at regulere de såkaldte
RFID-chips (ofte kaldet digitale stregkoder), der gradvist forventes at integreres med
fysiske produkter i milliarder af styk om året.
Problemet er, at hvis dine bukser digitalt efterlader elektroniske spor, så snart du kommer
i nærheden af en RFID-læser (ved kasser, døre, mobiltelefoner), så overvåges du
også.
Det forværres væsentligt af, at der kommer readere (læsere) overalt, at databaser centraliseres
og at billige RFID-chips mangler regnekraft til sikkerhedsmekansimer såsom
Digital Signatur – det vil forværre både overvågnings- og sikkerhedstruslerne (en tyv
kan på afstand digitalt konstatere, at du har et ægte Rolex-ur og dermed øges sandsynligheden
for voldeligt røveri).
Derfor er der bred enighed om, at man skal kræve, at RFID kan deaktiveres ved salg
(men kunne reaktiveres i hjemmet eller ved garanti-reparationer).
Her er alternativet at indbygge sikkerhed i selve RFID-enheden: Hvis en RFID kan
fremstå som en ny RFID ved hver forespørgsel – og kun ejermanden kan vide hvilken
RFID, der er tale om – så kan ejermandens mobiltelefon validere, at han stadig har sit
Rolex-ur på – uden det kan aflyttes. Således kan lommetyven ikke konstatere, at personen
har et ægte Rolex-ur.
Ejermanden vil kunne bruge de digitale muligheder til at holde øje med sine værdigenstande
midt blandt andre – uden risiko for overvågning eller kriminalitet. Aflytning
119

vil kunne spore, at der er en RFID – men ikke hvilken RFID og dermed, hvad den sidder
på, eller hvem ejermanden er.
Trådløse betalinger
Der foregår i øjeblikket et arbejde med at skabe såkaldt trådløse betalinger i form af
Rejse-kort eller de såkaldte NFC-betalinger, hvor mobiltelefoner agerer RFID-kreditkort.
Men disse modeller er til dels karakteriseret ved dårlig sikkerhed – både fordi dårligt
sikrede RFID kan forfalskes, og fordi betalingerne vil kunne overvåges.
Hvad værre er, så låses interfaces til en bestemt struktur, så kun en bestemt form for
gatekeeper-kontrollerede betalingsmodeller kan etableres. Vi får altså nye monopoler og
lav-konkurrencemodeller som led i etableringen af overvågningsmodeller.
Alternativt kan man stille krav om, at interfaces skal kunne virtualiseres. Hermed
tvinger man til at åbne for konkurrence og modeller, der også tager højde for borgernes
sikkerhed. Helt simpelt kunne man forestille sig, at nogen ville indføre en model baseret
på digitale kontanter (tidligere omtalte anonyme digitale kontanter).
Borgerkort
I starten af 90’erne strandede id-kort-diskussionen (dengang kendt som borgerkort) på,
at det ville indføre det ultimative overvågningssamfund. Det har ikke ændret sig – det,
som har ændret sig er, at vi i dag kan skelne mellem et identifikationskort (som ikke
sikrer borgeren eller systemet mod overvågning og brud på datasikkerheden) og et borgerkort,
som netop skal sikre borgernes rettigheder og klæde borgerne digitalt på, så de
kan håndtere deres egne nøgler og identiteter som forudsætning for at kunne opnå fordelene
ved digitalisering uden at destabilisere både sikkerheden og samfundsøkonomien.
Konklusion
Den digitale tidsalder er karakteriseret ved, at mennesker selv kan tage ansvar for de helt
grundlæggende regler for samfundsprocesserne. Vi kan styre, hvad man kan, og dermed
er vi så også ansvarlige for og skal leve med det, der sker.
Pseudonymisering er ikke bare en helt normal og fundamental del af vores før-digitale
hverdag. Pseudonymisering er også den eneste kendte måde at opnå fordelene ved digitalisering,
uden at de helt fundamentale værdier destabiliseres.
Frihed, sikkerhed, innovation, effektivisering og retssikkerhed afhænger alle af en
konstruktiv og bevidst tilgang til pseudonymisering.
120

noter
1) europa.eu.int/information_society/topics/ecomm/all_about/todays_framework/privacy_protection/index_en.htm
2) Digital Cash er typisk implementeret via engangsnøgler ved brug af f.eks. blinded certificates.
3) http://www.demos.co.uk/catalogue/thefutureofprivacyvolume1_page30.aspx
4) http://www.torproject.org/ - http://mixminion.net
5) Se f.eks. www.rfidsec.com som eksempel på, hvordan selv RFID uden batteri kan virtualiseres
121

122

123

de overvågede
UDGIVET AF DI & FORBRUGERRåDET
”Den, der ofrer frihed for sikkerhed, fortjener hverken frihed eller
sikkerhed.” Benjamin Franklin
”Overvågning vil i et vist omfang ensrette mennesker, så kreativitet
og forskellighed ikke får tilstrækkeligt spillerum. Mennesker
kommer i stedet til at bruge deres energi på at være ens og ikke
skille sig ud fra mængden.” Henning Mortensen, DI ITEK.
Vilkår for anvendelse af Facebook: ”Uopsigelig, evig, ikke-eksklusiv,
overførbar, fuldt betalt, global licens (=adgang) til at bruge,
kopiere, opføre offentligt, vise offentligt, omformatere, oversætte,
uddrage (helt eller delvist) og distribuere dette brugerindhold
til ethvert formål, kommercielt, reklamemæssigt eller øvrigt, på
eller i forbindelse med websiden eller promovering heraf, til at
udarbejde afledte værker af dette brugerindhold, eller indarbejde
det i andre værker, og til at bevillige og bemyndige underlicenser
af ovenstående.”
”Hvis vi skal kunne sikre et system mod både bevidst misbrug –
og fejl – så er pseudonymisering reelt den eneste måde at gøre
det på.” Sikkerheds-ekspert Stephan Engberg
”IT-systemerne kan indrettes således, at kun de informationer,
der er relevante for en given sagsbehandlinger bliver vist for den
enkelte sagsbehandler.” Jørn Guldberg, Ingeniørforeningen
124
udgives af