Privacy by design er et offentligt must
LEDER
Det er helt utilstedeligt, at en far ved et simpelt opslag på skolernes og forældrenes nye kommunikationsplatform, Aula, har fået adgang til adresse, skole og navne på plejeforældrene til sin mindreårige datter, der ellers havde adressebeskyttelse pga. selvsamme far.
Sagen, som Ingeniørens it-medie Version2 omtalte i denne uge, melder ikke noget om, hvorfor pigen havde adressebeskyttelse, men typisk gives det efter f.eks. trusler, stalking, vold, eller i værste fald når der er risiko for æresdrab. Så her er ingen tvivl om, at det er en ganske alvorlig sag for pigen, at hendes opholdssted nu er afsløret for faren. Og det er en sag, der med al tydelighed understreger, hvorfor privacy ikke bare er et spørgsmål om principiel modstand mod overvågningssamfundet, men dødsens alvor.
Blotlæggelsen af bopæl mv. i den konkrete sag skyldes en forkert opsætning i et KMD- system, som er systemteknisk bindeled mellem CPR-registret og Aula. Et flueben skulle have været fjernet i en tjekboks, det blev det ikke, og så var adressen sluppet fri. Det er strengt taget en menneskelig fejl, men den egentlige fejl ligger i designet af et system, der tillader, at den slags ‘lette’ fejl overhovedet kan opstå og skabe så svære problemer.
Helt grotesk bliver sagen, når man ser på de advarsler, som blev rejst over for det daværende økonomi- og indenrigsministerium i 2015 i forbindelse med vedtagelsen af loven om særlig adressebeskyttelse, som typisk kunne gives til personer, der er truet af vold eller drab.
Mødrehjælpen udtrykte nemlig over for ministeriet sin tvivl om kommunernes motivation til at hemmeligholde borgernes adresse i alle led, hvorfor ministeriet lovede at indskærpe over for kommunerne, at de skulle sikre en gennemgående beskyttelse af adresser på tværs af fagsystemer og andre it-systemer, som mange brugere har adgang til.
Ikke desto mindre er det netop kommunernes eget it-fællesskab, Kombit, der er projektejer på Aula, og som har ansvaret for det alvorlige læk af pigens personlige data. Adressebeskyttelsen er simpelthen ikke indarbejdet godt nok i systemet. Det til trods for, at både ‘Den fællesoffentlige digitaliseringsstrategi 2016-2020’ og en tilhørende vejledning fra Justitsministeriet, Datatilsynet og Digitaliseringsstyrelsen understreger, at dataansvarlige skal designe teknikken, så den sikrer databeskyttelse.
Aula-lækket sår alvorlig tvivl om, i hvor høj grad de fine ord på papir er slået igennem i virkeligheden. I et gennemdigitaliseret samfund som det danske er det helt nødvendigt, at myndighederne har ressourcer til at undersøge beskyttelsesniveauet i de store offentlige it-systemer, som rummer data på mange borgere, inden der sættes strøm til.
Det er desværre langtfra første gang, at it-systemer utilsigtet lækker fortrolige og personlige data. Ifølge Politiken har adresser på yderligere ti børn, der skulle have haft adressebeskyttelse, ligget ubeskyttet i Aula. For nogle år siden kunne rejsekortbrugere gå ind og se andre brugeres rejsemønstre og deres navn og adresse – også brugere med adressebeskyttelse. Og kabel-tv-selskabet Yousee har lækket næsten 10.000 hemmelige telefonnumre og adresser, men kontaktede først brugerne to måneder efter lækket.
Sagerne viser, at der er behov for, at privacy by design ikke bare er noget, vi taler om. En mere grundlæggende diskussion af, hvilke oplysninger de store systemer skal indeholde, er også nødvendig. Hvorfor skal Aula omfatte postadresser, hvis kommunikation med hjemmet foregår digitalt? Og med hvilken ret og hvilket reelt behov beder Rejsekort A/S om, at vi skal indberette vores adresse?
Digitaliseringen går i stigende grad mod at smelte databaser sammen, bl.a. inden for sundhed, uddannelse og skat, og altså mod at udvikle systemer, der er både bredere, dybere og mere forbundne. Det er en farlig udvikling, når man samtidig gang på gang demonstrerer, at man tydeligvis ikke formår at erkende, overskue og håndtere de problemer, det skaber.
Børne- og Ungdomsforvaltningen i København har i et notat for et år siden understreget, at privacy by design er et væsentligt krav i forbindelse med indkøb af nye it-systemer. Det er ikke godt nok. Privacy by design skal være et krav for alle it-systemer, der behandler persondata, og i særdeleshed, når data kan misbruges til udøvelse af vold mod andre.hm
