MyData - er det til at forstå?

Jeg mener den rigtige samtykkeproces er den hvor brugeren sætter en policy og kun bliver præsenteret for de firmaer, der vil acceptere den.

Det sidste, vi har brug for, er endnu en mærkningsordning, hvor man dagligt skal gennemlæse lange juridiske tekster eller tage stilling til spørgsmål, vi ikke forstår.

EU-cookiereglerne er et godt eksempel på en mærkningsordning, som fylder meget i din hverdag men hjælper absolut intet, medmindre du er arbejdsløs jurist, der bruger hele dagen på at læse privatlivspolitikker.

Så jeg synes ikke at den holder.

Godt eksempel! Måske hul nummer tre i manifestet. Vi er helt enige. Det jeg mente med at data er ophavsmandens ejendom er jo netop at man ikke har retten til andres data blot fordi man har opsamlet dem - heller ikke selv om man kan omforme data eller skabe nye data ud fra originaldata ;-)

</p>
<ol><li>Alt (!) hvad en person eller organisation skaber af data er vedkommendes private ejendom, uanset hvor og hvordan data genereres eller opsamles.

Enig, Alex.

For mig at se mangler vi den helt grundlæggende diskussion, hvor man siger til befolkningen: "<em>Vi har lyst til at afskaffe privatlivet</em>. Det er bare i vejen for de mange ideer, som man (især det private erhvervsliv) <em>kan tjene mange penge på</em>, og for vore ønsker om at kunne <em>holde øje med landets borgere</em>. [...]"

Her, og i resten af indlægget, beskriver du netop den varme grød som alle danser omkring og som ingen har lyst til at tale om!

Godt ramt! Og imens fortsætter den øvrige diskussion på det normale spor omkring "vi kan også alt dette - det er meget spændende med alle de data - måske skulle vi overveje at styre det lidt..." - MEN - for de konkrete aktører og spillere på datamarkedet har de foreslåede tiltag og manifester ingen virkning i retning af retten til privatliv - selvom der er gode ideer inkluderet - og er derfor et røgslør som kun giver en illusion af kontrol for borgerne.

Har du nogle bud på om og hvor det offentlige skal understøtte den slags ideer?

1. Udstil offentlige virksomhedsdata (OK i DK)
2. Muliggør systematisk "discovery" af virksomheders egne data via 1) (OK i DK siden september i år)
3. Støt udvikling af standardiserede åbne API'er og ontologier
4. Få det offentlige (som storkunde) til selv at kræve brug af 3) ved køb af produkter og tjenester

God pointe! Ihvertfald i et marked for private serviceudbydere, men der er måske også noget at lære fra det offentlige.

Har du nogle bud på om og hvor det offentlige skal understøtte den slags ideer?

Alex R. Tomkiewicz:

Hvis der kun er to huller i mit manifest, så er det på en måde en stor succes - det er langt færre huller end hvad man ellers ser i denne genre :-)

For mig at se mangler vi den helt grundlæggende diskussion, hvor man siger til befolkningen: "Vi har lyst til at afskaffe privatlivet. Det er bare i vejen for de mange ideer, som man (især det private erhvervsliv) kan tjene mange penge på, og for vore ønsker om at kunne holde øje med landets borgere. Det kan ikke nytte noget, at borgere kan påberåbe sig retten til privatliv, og på den måde spænde ben for f.eks. Novo, Lundbeck, IBM og diverse ministres profileringsideer osv. Så nu spørger vi jer: Er det virkeligt så vigtigt med det privatliv? Hvad er der galt i, at vi kan gå helt ind i jeres badeværelser, soveværelser, boghylder, hjerner - uden at I nødvendigvis får det at vide? Det er (af og til) for jeres eget bedste, at vi ønsker uhindret adgang til disse private domæner. Og vi vil også gerne vide, om I ikke også vil give os tilladelse til at gå ind i naboens og vennernes privatliv - hvis de ikke selv vil give tilladelse? Ellers er det ligesom ikke rigtigt sjovt - hvis der er nogen, der ikke vil være med, så vil I ikke bakke os op i, at andre menneskers privatliv - ikke bare jeres eget - kan I og vi også råde over? Så hvad siger I - skal vi ikke bare afskaffe selve privatlivsbegrebet, så slipper vi for en masse benspænd for "væksten" og for en masse lovgivningsmæssigt bøvl?"

Og når dette spørgsmål så for alvor stilles højt og tydeligt, så lad os få en ordentlig debat - lad os få alle fakta på bordet om, hvad det i praksis indebærer, hvis man - evt. mod betaling og via databrokers - giver andre (firmaer, læger, politikere, embedsmænd) fuld og uhindret ret til at trænge ind i privatsfæren når, og hvor det passer dem.

Og så lad os se, om befolkningen virkeligt er indstillede på den udvikling. Når man fra mange sider fastholder (eller som i dette tilfælde ikke vil tage stilling til) retten til at høste, gemme og behandle borgernes data uden deres samtykke, så er det netop - og endda ofte indrømmet - fordi man godt ved, at en stor del af borgerne ikke vil være med til dette. Deklarationer som den her nævnte er måske nok et forsøg på at få lidt mere "lov og orden" på området - men man retter sig, frygter jeg, sandsynligvis stadig også imod data, som aldrig burde være indhentet.

Jeg bryder mig ikke om det ejerskab der ligger implicit i termen ‘MyData’. Vi ejer ikke alle data som handler om os selv. Din indkomst, dit cpr nummer, dit husnummer handler om dig, men du har ikke et ejerskab, som giver dig lov til at ændre det, slettet det eller skjule det for alle.

Enig! Som jeg skrev i mit første svar ovenfor - og i overensstemmelse med hvad EDPS (European Data Protection Supervisor) skriver om PIMS ville jeg fokusere på "Control" eller "Empowerment" frem for ejerskab til data.

GDPR giver ‘den registrerede’ en række rettigheder. MyData bevægelsen virker som en konstruktiv dialog om, hvor det rent praktisk kan implementeres. Fx i form af samtykker og kvitteringer herfor, som i Kantaras Consent Reciept model og User Managed Access.

Præcis! For at citere EDPS er der netop mulighed for at skrive gode standarder, som dem du nævner ind som officielle "Codes of Conduct" eller "Certification Schemes" til databeskyttelsesforordningen:

Good regulation, while crucial, is not sufficient in itself. As we stated in our Opinion on ‘Meeting the challenges of big data', companies and other organisations that invest a lot of effort into finding innovative ways to make use of personal data, should use the same innovative mind-set when implementing data protection principles. ... Codes of conduct and certification schemes as provided for by the GDPR are privileged instruments to give specific visibility and role to technology and products that - like PIMS - may serve to more effectively implement data protection law at the practical level.

Når du nu lige præcis nævner samtykke jf. Kantara, rammer du dog lige én af mine kæpheste, hvor jeg er uenig i selve konceptet. Jeg mener den rigtige samtykkeproces er den hvor brugeren sætter en policy og kun bliver præsenteret for de firmaer, der vil acceptere den. Altså en ækvivalent til W3C's P3P policy, som kun blev taget af bordet fordi Google og Facebook lavde tykt grin med den. Metoden, hvor jeg manuelt skal gennemlæse privacy policies for at købe f.eks. et par sko virker måske, når jeg skal vælge mellem 5-10 butikker, men er simpelthen ikke skalerbar til EU's Digital Single Market, hvor der måske er 100.000 kvalificerede udbydere for mig som forbruger at vælge imellem. Ved at brugerens krav til policy indgår på lige fod med brugerens øvrige krav til tjenesteudbyderen, bliver privacy policies ændret fra at være noget bøvl til at være en konkurrenceparameter på samme måde som butikkens evne til at levere sko i den ønskede størrelse, form, farve, pris og leveringstid. (Mere om det i et kommende separat blogindlæg).

Der er for mig at se 2 "huller" i dine punkter

Hvis der kun er to huller i mit manifest, så er det på en måde en stor succes - det er langt færre huller end hvad man ellers ser i denne genre :-)

Det viser bare, hvad alle burde vide, at man ikke kan lave privacy og sikkerhed på 5 minutter. Tak for kommentaren - du har helt ret mht hullerne. Og den type problemer du viser burde være meget mere fremme i den offentlige demokratiske diskussion.

Jeg bryder mig ikke om det ejerskab der ligger implicit i termen ‘MyData’. Vi ejer ikke alle data som handler om os selv. Din indkomst, dit cpr nummer, dit husnummer handler om dig, men du har ikke et ejerskab, som giver dig lov til at ændre det, slettet det eller skjule det for alle.

Da manifestet blev underskrevet i Finland, havde jeg chancen for at spørge ‘Jogi’ om han var enig... og det var han, og fortalte han ville foretrække Data About Me, men det var ikke til at lave om på nu.

Ironisk nok blev der på samme konference også talt om OurData som koncept. Og det dækkede tanken om at anonyniserede oplysninger om grupper kunne være meget værdifulde for individet også.

GDPR giver ‘den registrerede’ en række rettigheder. MyData bevægelsen virker som en konstruktiv dialog om, hvor det rent praktisk kan implementeres. Fx i form af samtykker og kvitteringer herfor, som i Kantaras Consent Reciept model og User Managed Access.

Tak for svar, Henrik Biering.

Jeg kan godt se det som et fremskridt, hvis det kunne hjælpe til at gøre det mere gennemskueligt, hvad der sker med data. Men så længe man ikke tager klart afstand fra tvungen/skjult datahøst, hvis den ikke er strengt nødvendig, så rammer man i mine øjne ved siden af målet. Samtykker bør ikke kun rettes imod de formål, data bruges til (selv om det ville være et fremskridt), men også rettes mod selve indsamlingen af data.

Jeg har også den bekymring, at man - frygter jeg - stikker folk blår i øjnene ved at hævde, at man på denne måde kan videregive/sælge sine data, og samtidig have nogen som helst styr på, hvor de så havner. I det øjeblik data er videregivet, så er de uden for ens kontrol - og derfor er det eneste "etiske" og forsvarlige for mig at se at begrænse indsamling af data til det højst nødvendige.

Det er uklart for mig, hvilke rettigheder jeg har til egne data, i det øjeblik jeg har solgt dem? Hvad hvis jeg fortryder, og gerne vil have dem slettet, efter at et firma måske har brugt mange penge på at udvikle et produkt ved bruge af bl.a. mine data? Kan jeg så få mine data slettet? Og hvordan kan jeg kontrollere, at de faktisk bliver slettet?

Selv om jeg godt kan forstå tanken om at forsøge at få styr på dette område, hvis man har en masse gode ideer til, hvad disse data kan bruge stil - så frygter jeg , at en sådan deklaration - i samspil med egentlig databroking - blot kan blive en pynteglasur ovenpå en kaotisk underskov af datamisbrug, som ingen kan holde styr på. Og fordi man selv har sagt ja til at sælge sine data, så har man sandsynligvis ikke mange rettigheder efterfølgende.

I mine øjne bør data kun deles, hvis datadeling er så vigtig, at man kan acceptere at dele data gratis. Hvis delingen er så vigtig, så kan man beslutte/blive pålagt at dele sine data - at blande penge ind i det regnestykke, er for mig at se en måde at lokke folk til at dele privatliv, som de ellers ikke ville have lyst til at dele - og det er en vildvej, for ingen kan vide, hvor data kan havne, og hvilke uforudsete virkninger, det kan have.

Ville det være rigtigt at tolke det på den måde, at I faktisk f.eks. er positive overfor et tvungent nationalt genomcenter - men at I så gerne vil hjælpe folk med at "administrere", hvad der så skal ske med disse data (mod betaling, selvfølgelig)?

MyData bevægelsen har ingen specifikke holdninger til Genomcentre eller andre Datamonstre. Bortset fra at vi netop er imod tvang, som er en modsætning til individdets frie valg. Prøv at læse punkt 3.3 i deklarationen, hvoraf det bl.a. fremgår:* "We want individuals to be able to securely manage their personal data in their own preferred way."* Hverken mere eller mindre.

Så du kan helt lade være med at udlevere data til en virksomhed, mens din nabo på et oplyst grundlag kan vælge at sælge sin sjæl for ussel mammon, hvis det er det, han virkelig ønsker.

Tilhængerne af lov-tvungne eller "opt-out" baserede registre argumenterer ofte for deres holdning med at det er for besværligt for personer selv at sætte policies og træffe valg med hensyn specifik brug af deres data. Og at "opt-in" derfor ikke vil give tilstrækkeligt mange deltagere. Et af formålene med MyData er netop at gøre det lettere for borgerne at administrere egne policies m.m., så man fjerner dette argument.

Alex R. Tomkiewicz:

Der er for mig at se 2 "huller" i dine punkter:

2. Virksomheder eller organisationer må behandle data, i absolut minimalt omfang, som er nødvendige eller ved lov krævet for at kunne opfylde deres formål.

5. Lovgiver kan ved lov give begrundede undtagelser til registrering og behandling - f.eks. til normale samfundsmæssige formål (f.eks. kontraktindgåelse, ejerskabsregistrering, statistiske formål etc.). Dette ændrer ikke ejerskab af data.

Tak for dine uddybninger, Henrik Biering.

Du tager heldigvis - men måske forståeligt - fejl!

Ville det være rigtigt at tolke det på den måde, at I faktisk f.eks. er positive overfor et tvungent nationalt genomcenter - men at I så gerne vil hjælpe folk med at "administrere", hvad der så skal ske med disse data (mod betaling, selvfølgelig)?

Det er en meget lang erklæring som forsøger at sammenkæde to modstridende ideer: Vi vil meget gerne have fingre i dine data + vi synes du skal kunne se og styre dine data. Det sidste vil ingen have tid til eller kunne overskue, så jeg hælder mod Anne-Marie Krogsbølls observation: Det har en tydelig slagside til fordel for dataindsamlerne og -behandlerne. Og så skal den vist alignes helt med GDPR. Så er det seriøst eller et røgslør? - eller måske blot en akademisk øvelse? Den er i hvert fald ikke vandtæt.

Der findes en konkret løsning, som kan skrives i et meget kort manifest - 5 punkter:

1. Alt (!) hvad en person eller organisation skaber af data er vedkommendes private ejendom, uanset hvor og hvordan data genereres eller opsamles.
2. Virksomheder eller organisationer må behandle data, i absolut minimalt omfang, som er nødvendige eller ved lov krævet for at kunne opfylde deres formål.
3. Data må ikke videregives fra den konkrete kontekst, medmindre der findes et sagligt formål og medmindre ejer har givet et oplyst samtykke.
4. Data og hvordan de er benyttet skal være transparent og frit tilgængelig for ejer af data. Denne adgang skal sikres af dataopsamlere og -behandlere.
5. Lovgiver kan ved lov give begrundede undtagelser til registrering og behandling - f.eks. til normale samfundsmæssige formål (f.eks. kontraktindgåelse, ejerskabsregistrering, statistiske formål etc.). Dette ændrer ikke ejerskab af data.

Keep it simple :-)

Uanset hvad man kalder det, så er det i mine øjne uetisk, såfremt udgangspunktet ikke er retten til at sige "Nej" til indsamling af ens data, og retten til at kræve ens data slettet. Og en deklaration som den skitserede lyder nu for mig meget som de "Brugerbetingelser", som folk nemt bevidstløst kommer til at sige ja til rundt omkring, fordi de ikke kan gennemskue indholdet. Det egentlige indhold forekommer mig at ligge gemt mellem linjerne, i det ikke-sagte: Vi vil gerne have fat i dine data og have lov til at sælge disse.</p>
<p>Jeg håber, at jeg tager fejl - det er jo ikke umuligt, og i så fald beklager jeg - men det er altså det indtryk, jeg får, når jeg kigger lidt nærmere på de enkelte sætninger.

Du tager heldigvis - men måske forståeligt - fejl! Hele pointen for en MyData virksomhed er at hjælpe den enkelte person med at administrere sine data. Enten via et værktøj eller i form af en tjeneste. Og meningen med MyData bevægelsen er at skabe et marked for sådanne værktøjer og tjenester. Så en udbyder af MyData tjenester ville hurtigt gå konkurs, hvis den ikke ville give brugeren mulighed for at være i kontrol.

Men tak for kommentarerne, der giver stof til eftertanke omkring formuleringerne i deklarationen.

<i>"We intend to help Data Sources make these data available securely and easily, in a structured, commonly-used and machine-readable format. This applies to all personal data regardless of the legal basis (contract, consent, legitimate interest, etc.) of data collection, with possible exceptions for enriched data."</i>
Kunne du uddybe for en ikke-fagmand, hvad "enriched data" dækker over, og hvorfor de skal undtages?

Persondataforordningen giver umiddelbart kun ret til "dataportabilitet" for data opnået ved "consent" og delvis for "contract". Sætningen understreger altså et videregående krav i forhold til persondataforordningen, men friholder potentielle afledte forretningshemmeligheder.

Lyder indtil videre fornuftigt, men jeg er straks stødt en linje, som lyder "• Maximising the collective benefits of personal data, by fairly sharing them between organisations, individuals and society."
. . . .
Har jeg ret i, at det initiativ, du skitserer ovenfor, måske mere er rettet mod at få lovgivningen og folkestemningen omkring fremtidens kommercielle databrokers på plads?

• Nogle tager udgangspunkt i den nuværende situation, hvor vores data opbevares og sælges/distribueres af diverse data-brokere. Det umiddelbare mål for disse er at samle disse data under brugerens kontrol og gøre det fordelagtigt for både borgere og virksomheder at handle direkte uden om databrokerne.

• I den anden ende er de, der ønsker at lave mere radikale ændringer, f.eks. ved konsekvent at pseudonymisere eller anonymisere brugere over for virksomheder - eller kræve at virksomhedernes relevante data flyttes til forbrugeren, så al analyse foregår på forbrugerens side.

Det fælles element er måske således i højere grad på "MyControl" end på end på den konkrete håndtering af "MyData". For der kan være brugere, der personligt favoriserer både den ene eller den anden skitserede type - eller noget helt andet. Mange MyData deltagere ser gerne en form for certificering for at øge troværdigheden, men det er selvsagt svært, sålænge der er stor spredning på brugernes krav og ønsker.

Generelt kan MyData betragtes som et svar på den europæiske Data Protection Supervisors efterlysning af et marked for Personal Information Management Systems. Altså som et praktisk redskab til understøttelse og supplering af Persondataforordningen.

Der fandt jeg vist svaret på flere af mine ovennævnte spørgsmål:"Use the Declaration to further your own projects and intentions. Base your trust framework, or your terms of services, on it. Use it to lobby and convince clients, partners, stakeholders etc."

Der er jeg i hvert fald stået af - dette har - uanset om man så prøver at hanke op i tilstandene på området - et kommercielt sigte, ikke et etisk/idealistisk.

Uanset hvad man kalder det, så er det i mine øjne uetisk, såfremt udgangspunktet ikke er retten til at sige "Nej" til indsamling af ens data, og retten til at kræve ens data slettet. Og en deklaration som den skitserede lyder nu for mig meget som de "Brugerbetingelser", som folk nemt bevidstløst kommer til at sige ja til rundt omkring, fordi de ikke kan gennemskue indholdet. Det egentlige indhold forekommer mig at ligge gemt mellem linjerne, i det ikke-sagte: Vi vil gerne have fat i dine data og have lov til at sælge disse.

Jeg håber, at jeg tager fejl - det er jo ikke umuligt, og i så fald beklager jeg - men det er altså det indtryk, jeg får, når jeg kigger lidt nærmere på de enkelte sætninger. At der ligger rigtigt meget vigtigt gemt mellem linjerne om det egentlige formål. Jeg har meget svært ved at se, at denne deklaration overhovedet kan sammenlignes med "Copenhagen letter" - jeg foretrækker absolut det sidste.

Med fare for, at det er mig, der har overset noget: Det forekommer mig, at jeres deklaration kun forholder sig til administrationen af data, som allerede er indsamlede - mens der ikke er noget om retten til at kunne sige "Nej" til, at ens data overhovedet indsamles? Er det rigtigt opfattet, at retten til at kunne sige nej til indsamling af ens data ikke er en del af jeres formål?

Desuden:"We intend to help Data Sources make these data available securely and easily, in a structured, commonly-used and machine-readable format. This applies to all personal data regardless of the legal basis (contract, consent, legitimate interest, etc.) of data collection, with possible exceptions for enriched data."

Kunne du uddybe for en ikke-fagmand, hvad "enriched data" dækker over, og hvorfor de skal undtages?

hej hej, Henrik Biering. Al ære værd med dette initiativ (håber jeg) - det tager lid tid at gnave sig igennem, for det er jo koncentreret stof. Lyder indtil videre fornuftigt, men jeg er straks stødt en linje, som lyder "• Maximising the collective benefits of personal data, by fairly sharing them between organisations, individuals and society."

Hvad dækker denne sætning mon over? Har jeres bevægelse f.eks. en holdning til det nye "nationale genomcenter"? Vil det falde ind under denne sætning (i så fald bliver jeg bekymret)?

En anden ting, der bekymrer mig lidt: Copenhagen Letter var - som jeg læste det - rent idealistisk. Har jeg ret i, at det initiativ, du skitserer ovenfor, måske mere er rettet mod at få lovgivningen og folkestemningen omkring fremtidens kommercielle databrokers på plads? Sådan kunne det i hvert fald godt lyde for mig - måske helt uretfærdigt. Men det lyder lidt som de samme argumenter, som DataForGood er kommet med. Jeg håber, at du kan berolige mig - kan du opridse forskellen på MyData og DataForGood?