I Estland får borgerne helt automatisk at vide, hver gang en myndighed slår deres personoplysninger op i et offentligt register. Det betyder f.eks., at en person, der bliver stoppet for at køre for stærkt, inden vedkommende overhovedet modtager sin fartbøde, kan se, at politiet har slået bilens nummerplade op.

Den funktion er indbygget i landets offentlige it-arkitektur for at begrænse overvågning, dyneløfteri og misbrug af borgernes persondata. Det samme sker herhjemme på sundhedsområdet, hvor borgere på sundhed.dk kan tjekke deres personlige log over, hvilke læger og sygeplejersker der har slået op i deres eller deres børns sundhedsdata.

Begge eksempler er udtryk for privacy by design, der i sin essens bygger på syv principper for, hvordan man i selve designet af et datasystem indbygger eksempelvis den slags muligheder for transparens.

Men privacy by design kan også anvendes på alle mulige andre tekniske foranstaltninger, der øger niveauet for persondatabeskyttelse, ved eksempelvis at pseudonymisere brugere og kunder eller ved at designe et it-system, der kun akkurat indsamler de data, der er nødvendige for f.eks. at tage imod og behandle en kundeordre, og som så automatisk efterfølgende sletter oplysninger igen.

Fra den 25. maj, når EU’s nye persondataforordning træder i kraft, bliver det ligefrem et lovkrav, at virksomheder og myndigheder designer deres nye it-systemer på en sådan måde, at de helt automatisk lever op til persondatalovgivningens mange krav. Og det er første gang i en international lovgivning om databeskyttelse, at begrebet privacy by design bliver til et formelt lovkrav.

Begrebet er udviklet op gennem 1990’erne af forskellige privacy-entusiaster og er siden blevet sammenfattet i syv grundlæggende principper i en form for manifest, der er forfattet af den tidligere databeskyttelseskommissær i delstaten Ontario i Canada, Ann Cavoukian. Se figur 1. 

Bøder er en biting

Selv om det hidtil mest er udsigten til de varslede millionstore bøder i den kommende persondataforordning, der har vakt opmærksomhed hos danske virksomheder, myndigheder og medier, bliver det i højere grad dette begreb, privacy by design, der vil blive ledestjerne for fremtidens databeskyttelseskultur. Det mener en række danske it-eksperter.

“Kravet om privacy by design er nyt. Og det er væsentligt nyt. En fornuftig anvendelse af privacy by design kan nærmest revolutionere den måde, vi kommer til at designe vores store offentlige it-infrastruktur på. Man ser det måske ikke som jurist, men det her vil få stor teknologisk betydning,” siger it-sikkerhedschef Henning Mortensen, der er tidligere mangeårig it-konsulent i DI, og som i dag er it-sikkerhedschef hos grossistvirksomheden Brødrene A&O Johansen, ligesom han underviser i persondataforordningen på IT-Universitetet i København.

“Der er ikke nogen tvivl om, at bøderne også kommer til at få en effekt. Men ser man på det substantielle indhold i forordningen, er det afgjort privacy by design, der er den største nyskabelse. Og jeg er sikker på, at det vil komme til at ændre hele den måde, vi tænker it-systemer på i fremtiden,” siger Henning Mortensen.

En lignende melding kommer fra lektor på IT-Universitetet Thomas Hildebrandt, der opfordrer danske virksomheder til at droppe forskrækkelsen over de potentielt store bøder i EU-forordningen, der ganske rigtigt ser skræmmende ud på papiret, fordi bøderne kan komme helt op på 150 mio. kr.

“Men det vigtigste er ikke bøderne. Det er udsigten til, at princippet om privacy by design giver et generelt løft af kvaliteten af vores softwaresystemer. Og for at kunne leve op til det krav er man som virksomhed nødt til at kende sine processer meget bedre, og det skaber øget bevidsthed i virksomhederne om, hvordan man behandler data, og hvad ens forretningsprocesser mere præcist består af,” siger Thomas Hildebrandt og uddyber:

“Derfor skal man ikke så meget se forordningen som en risiko for at få bøder, men derimod som en kærkommen lejlighed til at forbedre sine forretningsprocesser og bruge sine data meget bedre. Dermed giver det også overvejelser om potentialet for automatisering og optimering,” siger han.

Den næste grønne bølge

Begge eksperter er overbeviste om, at databeskyttelse kun bliver et vigtigere konkurrenceparameter i fremtiden. Det hjælper ikke mindst den nye EU-lov på, fordi den får juridisk virkning i hele EU og konsekvenser for virksomheder i hele verden, der gerne vil handle med europæere.

Men det kan også blive til et nyt, stort dansk erhvervseventyr, mener forfatter og journalist Pernille Tranberg. Hun er medstifter af den europæiske non-profit tænkehandletank DataEthics og er derudover selvstændig foredragsholder og rådgiver.

Ifølge Pernille Tranberg minder den gryende interesse for privacy – som hun foretrækker at kalde dataetik – om de første skvulp i en stor, ny dataetisk bølge, der bedst kan sammenlignes med den grønne bølge af opmærksomhed på klima- og miljøbeskyttelse og det voksende marked for produkter inden for vedvarende energi, energieffektivitet og cleantech, der opstod i dens kølvand. For 30-40 år siden var det stort set kun Greenpeace og nogle ganske få virksomheder, der var optaget af at redde klima og miljø – tanker, der i dag er blevet mainstream.

”Det er det samme, vi kommer til at se inden for dataetik, selv om vi stadig er meget tidligt på den. Men der er så småt begyndt at komme efterspørgsel på værktøjer, der kan beskytte dit privatliv på nettet, og der er begyndt at være eksempler på virksomheder, der opfører sig dataetisk ansvarligt,” siger Pernille Tranberg. 

”På sigt er jeg sikker på, at dataetik bliver et meget væsentligt konkurrenceparameter, i takt med at folk vågner op. For fem-seks år siden var det Edward Snowden, der fik mange til at vågne op, og lige nu er det hele fake news-bølgen, der hjælper med at vise folk, hvor stor en magt der er i de persondata, Google og Facebook har,” siger hun.

Og ligesom Danmarks vindmølleeventyr startede med en håndfuld idealister med vilde ideer, der siden er blevet til det globale milliardforetagende Vestas, er der muligheder i et voksende privacy-marked for de virksomheder, der kan hjælpe med at lave tekniske løsninger, som beskytter privatlivet i designet af it-systemer. Pernille Tranberg kalder det et marked for privacy-tech. Men lige så vigtigt er også mulighederne i dataetik for helt almindelige virksomheder, der bare har mange data om deres kunder.

”LEGO har f.eks. helt oppe på øverste ledelsesniveau besluttet sig for at droppe tredjeparts cookies over for de mange børn, der bruger virksomhedens onlineunivers. Det er marketingsafdelingen sikkert ærgerlig over. Men det viser, at det er en virksomhed, der langsigtet har tænkt over, at tillid til de dataetiske standarder har større betydning end en hurtig gevinst. Erkendelsen er, at det simpelthen har meget større betydning, at forældre skal kunne stole på, at LEGO behandler data om deres børn ansvarligt,” siger Pernille Tranberg.

LEGO er dataetikere

Legetøjsproducenten fra Billund er et af i alt 50 eksempler på danske og internationale virksomheder med høje dataetiske standarder i Pernille Tranbergs nyeste bog ’Dataetik – Den nye konkurrencefordel’, hvor hun og medforfatteren, Gry Hasselbalch, også viser kontrasten til mange af de amerikanske legetøjsproducenter. 

”Barbiedukke-producenten, Mattel, har f.eks. ret skruppelløst sendt legetøj på markedet med kameraer og mikrofoner, som både filmer og optager børn i deres leg, og som samtidig indsamler data om dem,” siger Pernille Tranberg.

Og det har kostet dyrt. I 2016 accepterede Mattel sammen med Hasbro, Viacom og JumpStart at betale bøder på 835.000 dollar, fordi de havde tracket og opsamlet personlige data om børn under 13 år.

LEGO har over 50 millioner børn, der bruger virksomhedens onlineunivers, men børnenes data bliver ikke udnyttet kommercielt ved f.eks. at bruge tredjepartscookies. Allerede når børnene logger ind, opfordres de af LEGO til at bruge pseudonymer i stedet for deres rigtige navne. I bogen forklarer LEGO hvorfor:

"Vi kan se, at databeskyttelse bliver mere og mere efterspurgt, så det ér et konkurrenceparameter,” siger Dieter Carstensen, chef for digital børnesikkerhed i LEGO, og fortsætter:

“Vores øverste ledelse har besluttet og bakker fuldt op omkring vores restriktive regler om brug af persondata – også selv om det på kort sigt måske har en økonomisk betydning for LEGO.”