NOU 2009: 1

Individ og integritet— Personvern i det digitale samfunnet

Til innholdsfortegnelse

4 Personvernøkende teknologi og identitetsforvaltning

Thomas Olsen Avdeling for forvaltningsinformatikk, UiO

4.1 Innledning

Den teknologiske utviklingen åpner opp for stadig nye tjenester som vil kunne sette personvernet i fare. Er det gitt at ny teknologi og ny teknologianvendelse nødvendigvis må medføre redusert personvern? Eller kan det tenkes at teknologien kan designes på en måte som fremmer eller øker personvernet? Personvernøkende teknologi (engelsk: Privacy-Enhancing Technologies – «PETs») antyder at dette er mulig. Som vi skal se, har PETs i snever forstand omhandlet tekniske og organisatoriske tiltak som tar sikte på å begrense andres mulighet til identifisere den enkelte. Tilnærmingen bygger på utgangspunktet om at personvernhensyn kun gjør seg gjeldende dersom transaksjoner eller opplysninger kan knyttes til den de gjelder. Dette tradisjonelle fokuset på PETs som løsninger for anonymitet og pseudonymitet er fremdeles viktig. Imidlertid skal vi se at utviklingen går i retning av å betrakte disse spørsmålene om identitet og identifiserbarhet under synsvinkelen identitetsforvaltning . Identitetsforvaltning tar utgangspunkt i individets ulike roller og hvordan identifisering og autentisering kan tilpasses disse rollene og relasjonene. I det følgende skal vi se nærmere på bakgrunnen for PETs og identitetsforvaltning, hvordan slike løsninger kan styrke personvernet, samt forholdet til det rettslige vernet om personopplysinger.

4.1.1 Bakgrunn

Begrepet PETs kan føres tilbake til 1995 da datatilsynsmyndighetene i Ontario (Canada) og Nederland la frem sin felles rapport «Privacy-enhancing technologies: the path to anonymity». 1 Rapporten ble presentert på den 17. internasjonale datatilsynsmyndighetskonferansen i København samme år. I følge John Borking, den gang tilknyttet Registratiekamer – senere «PETs-evangelist», skapte budskapet stor oppsikt. Rapporten viste at de fleste informasjonssystemer kan designes slik at brukerens identitet holdes helt eller delvis skjult. Nøkkelen til slik personvernøkende design var «the identity protector» – en koblingssentral hvor personidentifiserende identifikatorer (som f. eks. fødselsnummer) ble gjort om til pseudonymer som ikke direkte kunne knyttes til noen identifiserbar person. Slike koblingssentraler mellom identifiserbare identifikatorer og pseudonymer kunne plasseres i informasjonssystemets ulike deler, eller være under brukerens direkte kontroll. Videre viste rapporten hvordan slike koblinger kunne skje automatisk i systemet, eller etter nærmere bestemte regler av en uavhengig og tiltrodd pseudonymforvalter.

Den prinsipielle betraktningen om at personvernet kan ivaretas ved å begrense muligheten til identifisering var imidlertid ikke ny. Allerede i 1981 publiserte David Chaum sin banebrytende artikkel om hvordan man kunne oppnå anonymitet for avsender og mottaker av elektronisk kommunikasjon. 2 Innenfor kryptografien hadde man lenge forsket på hvordan kryptering av elektronisk kommunikasjon kunne sikre innholdet fra uautorisert innsyn. Chaums tilnærming var en helt annen: det faktum at noen kunne observere hvem som kommuniserte med hvem kunne være uheldig fra et sikkerhets- og personvernsynspunkt.

Også Norge kan skilte med pionerarbeid innenfor personvernøkende teknologi. Tidlig på 1990-tallet arbeidet et offentlig utvalg ledet av professor Erik Boe med hvordan man kunne forene samfunnets behov for forskning på helseopplysinger samtidig som den enkeltes personvern ble ivaretatt. Mens man tidligere hadde skilt mellom anonyme eller avidentifiserte opplysninger (som ga relativt begrensede muligheter for forskning) og fullt ut identifiserbare opplysninger (som medførte en ikke ubetydelig personvernrisiko), ble det i NOU 1993:22 «Pseudonyme helseregistre» foreslått en radikal endring i måten å organisere helseregistre på. I stedet for å lagre helseopplysinger med fødselsnummer, ble det foreslått at opplysningene skulle lagres under pseudonymer generert av en tiltrodd pseudonymforvalter. Tankegangen og prinsippet var det samme som i PETs-rapporten fra 1995: ved å bytte ut personidentifiserbare identifikatorer med pseudonymer kunne man oppnå samme funksjonalitet, samtidig som risikoen for personvernkrenkelser ble vesentlig redusert.

4.1.2 Forsøk på definisjon

Selv om begrepet «personvernøkende teknologi» og akronymet «PETs» er relativt kjent i miljøer som arbeider med personvernspørsmål, 3 finnes det fremdeles ingen omforent definisjon. Kjernen i begrepet har imidlertid hele tiden vært dataminimalitet, nærmere bestemt på å begrense muligheten for å identifisere den opplysningene gjelder. Dette fremkommer av Herbert Burkerts mye siterte definisjon: 4

“The term privacy-enhancing technologies (PETs) refers to technical and organizational concepts that aim at protecting personal identity.”

Fokuset på identitet kan forklares ved at personverninteresser ikke gjør seg gjeldende dersom den opplysningene gjelder ikke kan identifiseres. Dette faktum gjenspeiles i personopplysningslovgivningen som bare gjelder i den grad det behandles opplysninger om en identifiserbar person.

I personvernkretser har det vært en debatt om kryptografi faller innenfor PETs-begrepet. Uenigheten kan skyldes at kryptografi har mange bruksområder. Benyttes kryptografi som ledd i en anonymiserings- eller pseudonymiseringsprosess, vil dette falle inn under den opprinnelige forståelsen av PETs. Er det snakk om innholdskryptering av opplysninger som kommuniseres eller som er lagret, vil dette være et rent informasjonssikkerhetstiltak. Kryptering har da som siktemål å verne opplysningene fra uautorisert innsyn (konfidensialitet) eller endring (integritet), og angår ikke identitet og muligheten for identifisering. Dette prinsipielle skillet mellom informasjonssikkerhetstiltak og PETs vil bli nærmere kommentert i eksemplet om pseudonyme helseregistre. 5

Av deler av diskusjonen om PETs kan man få inntrykk av at PETs er avgrenset til å gjelde programvare som kan bidra til å løse personvern- og sikkerhetsutfordringer på Internett. Det er ingen tvil om at Internett medfører nye trusler som kan avhjelpes med ulike typer tekniske løsninger. Eksempler på dette er brannmurer, antivirus, antispyware, spamfilter osv. Om PETs også skal omfatte slike tekniske tiltak, som gjerne er knyttet til den enkelte brukers personlige utstyr, kan diskuteres. Jeg er av den oppfatning at slike løsninger primært knytter seg til informasjonssikkerhet, og at man med fordel bør forbeholde PETs om tekniske og organisatoriske tiltak som gjelder identitet og identifisering. Et ensidig fokus på brukerstyrte «tools» henleder tanken til at PETs er begrenset til noe som den enkelte bruker kan anvende. Som vi skal se i kapittel 3.2, vil mange av identitetsspørsmålene ved elektronisk kommunikasjon avhenge av tekniske og organisatoriske forhold knyttet til brukerutstyr, «infrastruktur» og kommunikasjonsmotpart (her kalt «tjenesteyter»).

Mens PETs-begrepet altså må anses forholdsvis innarbeidet, dog med varierende meningsinnhold, har viktige deler av forskningen og utviklingen siden begynnelsen av 2000-tallet skjedd innenfor området identitetsforvaltning (engelsk: identity management). Særlig har utviklingen vært drevet frem av store tverrfaglige EU-prosjekter. 6 Personvernøkende identitetsforvaltning tar utgangspunkt i enkeltindividets ulike roller , f.eks. ansatt, student, eller kunde, og hvordan identifisering og autentisering kan tilpasses rollene. Dette reiser spørsmål om tildeling av hensiktsmessig identifikator (f.eks. brukernavn) og autentiseringsmekanisme (f eks passord). I tillegg til å rette oppmerksomhet mot roller, har forskningen også opptatt seg med spørsmålet om muligheten for å autentisere, dvs etablere tilstrekkelig sikkerhet for, andre forhold enn identitet/roller. Ved å autentisere andre relevante egenskaper , f.eks. medlemskap, alder eller kjønn, vil det være mulig å tilby en lang rekke tjenester uten å knytte dette til noen identitet. 7 Deler av denne forskningen tar altså utgangspunkt i PETs-tilnærmingen og dens fokus på dataminimalitet. 8 Forskningen innenfor identitetsforvaltning har imidlertid løftet spørsmålene om identitet og identifiserbarhet opp på et nivå hvor man ikke ensidig ser på muligheten for å begrense identifiserbarhet. Vel så viktig er det å stille spørsmål med hva (f.eks. hvilken rolle) som skal identifiseres, og å sørge for at dette gjøres på en tilstrekkelig sikker måte (autentisering). Identitetsforvaltningsperspektivet innebærer derfor en mer helhetlig tilnærming til elektronisk samhandling hvor mange av de tradisjonelle PETs-komponentene settes sammen til mer brukervennlige løsninger. Se nærmere om sammenhengen mellom PETs og identitetsforvaltning i kapittel 3.2-3.5.

Parallelt med den akademisk forankrede forskningen har det i IT-industrien skjedd en rivende utvikling av tekniske standarder for identitetsforvaltning. 9 Motivasjonen bak dette arbeidet har særlig vært å effektivisere tilgangsstyringen til virksomheters ulike ressurser og tjenester. Bak arbeidet ligger også ønsker om å imøtekomme regulatoriske krav i forhold til informasjonssikkerhet og i forhold til å ha kontroll på hvem som har tilgang til hva. Det er slike standarder som ligger til grunn for felles tilgangsløsninger (single sign-on), slik MinSide og Altinn er eksempler på. Selv om informasjonssikkerhet og personvern er sentrale hensyn ved utvikling av standardene, vil personvernimplikasjonene langt på veg avhenge av hvordan disse implementeres. 10 I den forbindelse bør det nevnes at PETs av og til også benyttes om standarder og systemer som gjør det mulig for den behandlingsansvarlige å etterleve personvernlovgivningens krav. Dette er imidlertid langt fra den opprinnelige betydningen av begrepet. Til dette kan det også anføres at teknologi som er personvern økende bør være noe utover teknologi som «gjør det mulig» å behandle opplysninger i henhold til lovens krav. Se nærmere om systemer og standarder for identitetsforvaltning i kapittel 3.6.

Denne korte oversikten viser altså at PETs (og senere personvernøkende identitetsforvaltning) brukes om et nokså bredt spekter av tekniske og organisatoriske tiltak for å ivareta personvernet. Av den grunn er det etter min oppfatning hensiktsmessig å holde fast ved den opprinnelige betydningen knyttet til identitet og begrenset identifiserbarhet, jf. Burkerts definisjon over. Dette utelukker imidlertid ikke at PETs-begrepet – utover denne snevre betydningen – kan fungere utmerket som generell betegnelse på teknologi som er ment å ivareta personvernhensyn. Slik sett kan PETs benyttes om tekniske og organisatoriske løsninger som har blitt utviklet med en intensjon om å ivareta personvernet. 11 Dette understreker betydningen av at personvernspørsmål ikke er noe som kan håndteres til slutt når alle designvalg er tatt, men at personvernhensyn må vektlegges i alle trinn i utviklingsprosessen.

4.1.3 Politisk ønske om å fremme personvernøkende teknologi

Internasjonalt har det i en årrekke vært politisk oppmerksomhet rundt teknologiens rolle som en trussel mot personvernet, men også som en mulig strategi for å sikre personvernet. Til tross for pionervirksomhet i forhold til pseudonyme helseregistre, må det sies at bevisstheten her hjemme i forhold til PETs har vært nokså lav. Norske myndigheter har i liten grad løftet disse spørsmålene opp på dagsorden, og Datatilsynet har i liten grad arbeidet proaktivt i forhold til utvikling og anvendelse av teknologi for å sikre personvernet. Enkelte datatilsynsmyndigheter, som f.eks. datatilsynsmyndigheten i den tyske delstaten Schleswig Holstein, det nederlandske datatilsynet (Registratiekamer), og tilsynsmyndigheten i Ontario, Canada, har utmerket seg med aktivt å forsøke påvirke teknologiutvikling og -anvendelse. Deler av arbeidet kan karakteriseres som en «strategisk entusiasme» til ny teknologi, hvor deltakelse i forskningsprosjekter og aktiv dialog med IT-industrien gjør det mulig å påvirke aktørenes bevissthet om personvernspørsmål. Slikt arbeid krever ressurser og en klar strategi for hvilken rolle tilsynsmyndigheten skal ha. Som vi skal se i kap 0 er dagens personopplysningslovgivning teknologinøytral. Lovgivningen regulerer anvendelse av teknologi for å behandle personopplysninger, og ikke teknologien i seg selv, noe som kan forklare at tilsynsmyndigheter ofte har liten innflytelse på selve teknologiutviklingen.

Fra EUs side er det en klar politisk vilje til å fremme PETs. I forbindelse med evaluering av medlemsstatenes implementering av personverndirektivet (95/46/EF) i 2003, ble videre satsning på PETs løftet frem som et av satsningsområdene. 12 Dette er senere fulgt opp fra EU-kommisjonen med en handlingsplan for å fremme PETs. 13 Kommisjonens strategi er for det første å fremme utvikling av PETs, legge incentiver for næringslivets og offentlige myndigheters anvendelse, samt å heve folk flest sin bevissthet om PETs og personvernsspørsmål.

I Norge er spørsmål knyttet til personvern og personvernøkende teknologi berørt i St.meld. nr 17 (2006-2007) («IKT-meldingen»). Av meldingen fremkommer det at Regjeringen ønsker å styrke satsningen på personvernøkende teknologi. Her er PETs beskrevet som «Teknologi som støttar opp under personvern i elektronisk kommunikasjon over Internett». Dette er en noe unyansert beskrivelse, da PETs som vi skal se ikke bare er relevant i forhold til Internett. Beskrivelsen sier heller ikke noe om hvordan teknologien kan styrke personvernet. Kryptering nevnes som eksempel på PETs. Som nevnt over strides det om kryptering er en sikkerhetsteknologi eller PETs. Gode grunner taler i alle fall for at man må skille mellom innholdskryptering og kryptering i forbindelse med anonymisering og pseudonymisering. For øvrig fremhever meldingen viktigheten av at det i samfunnet legges til rette for anonyme eller pseudonyme løsninger i sammenhenger der det ikke er nødvendig å identifisere seg (kapittel 8.3.3 «Retten til å være anonym»). I den forbindelse nevnes viktige områder som faller inn under kjerneområdet for PETs og identitetsforvaltning:

  • Pseudonyme løysingar som alternativ til full anonymitet og full identifikasjon

  • Pseudonyme sertifikat i løysinger for digital signatur der dette er tilstrekkeleg

  • Anonyme betalingskort som alternativ til bankkort/kredittkort som er knytte til identitet.»

Det er naturlig å lese meldingen slik at ønsket om å bevare muligheten for anonymitet nødvendigvis må legge føringer for utvikling og anvendelse av teknologi. Sammenhengen mellom anonymitet/pseudonymitet og PETs/identitetsforvaltning vil bli nærmere belyst i den videre fremstillingen.

4.2 Pseudonyme helseregistre

Boe-utvalgets forslag til en ny registerform for lagring av helseopplysninger til forsknings- og administrasjonsformål er et godt eksempel på hvordan tekniske og organisatoriske tiltak kan bidra til å sikre personvernet. Som nevnt i innledningen tar registerformen utgangspunkt i selve grunntanken med PETs ved at opplysningene som lagres er knyttet til et pseudonym som ikke direkte kan knyttes til noen identifiserbar person.

Forslaget var nyskapende og dristig, og ble ikke helt uventet møtt med en god del skepsis. Til tross for en noe kronglete lovgivningsprosess, 14 er den pseudonyme registerformen nå tatt inn i dagens helseregisterlov. 15 Loven skiller i § 2 mellom fire opplysningstyper:

«helseopplysninger : taushetsbelagte opplysninger i henhold til helsepersonelloven § 21 og andre opplysninger og vurderinger om helseforhold eller av betydning for helseforhold, som kan knyttes til en enkeltperson,

avidentifiserte helseopplysninger: helseopplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson, og hvor identitet bare kan tilbakeføres ved sammenstilling med de samme opplysninger som tidligere ble fjernet,

anonyme opplysninger : opplysninger der navn, fødselsnummer og andre personentydige kjennetegn er fjernet, slik at opplysningene ikke lenger kan knyttes til en enkeltperson,

pseudonyme helseopplysninger : helseopplysninger der identitet er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person gjennom helsesystemet uten at identiteten røpes»

Et hovedskille går mellom anonyme og avidentifiserte opplysninger, og personidentifiserbare (kalt «helseopplysninger» over) og pseudonyme opplysninger. De to førstnevnte er ikkepersonentydige , det vil si at de ikke er tilknyttet noen entydig identifikator som gjør det mulig å legge til flere opplysninger på et senere tidspunkt. Disse to opplysningstypene gir derfor begrensede muligheter for forskning, siden man ikke kan følge et individ over tid eller samkjøre dataforekomster angående samme individ fra ulike registre. Personidentifiserbare opplysninger og pseudonyme opplysninger er derimot begge personentydige. Forskjellen er at personidentifiserbare opplysninger er knyttet til identifiserbare opplysninger (typisk fødselsnummer), mens pseudonyme opplysninger er knyttet til et pseudonym som hindrer direkte identifisering av den opplysningene gjelder.

Begrunnelsen for at et pseudonymt register anses å kunne ivareta forskningens behov samtidig som personvernet ivaretas på en hensiktsmessig måte, kan illustreres med informasjonsflyten i det pseudonyme reseptregisteret, jf. figur 4.1. 16

Figur 4.1 Informasjonsflyt i reseptregisteret

Figur 4.1 Informasjonsflyt i reseptregisteret

Apotekene registrerer reseptopplysninger og fødselsnummer på rekvirenten. Hver måned sender apotekene disse opplysningene til tiltrodd pseudonymforvalter («TPF» – i dette tilfellet Statistisk sentralbyrå (SSB)). Selve reseptopplysingene er kryptert for TPF. TPF kjører fødselsnumrene gjennom en en-veis krypteringsalgoritme som generer et entydig pseudonym. Pseudonym og tilknyttede reseptopplysninger blir så oversendt til reseptregisteret hvor opplysningene lagres. Siden krypteringsalgoritmen genererer det samme pseudonymet hver gang, vil opplysninger om nye reseptutleveringer legges til den enkeltes profil i registeret. Registeret er altså i likhet med et personidentifiserbart register personentydig , noe som gjør det mulig å følge enkeltindivider over tid. Forskjellen er identifikatoren som er knyttet til opplysningene. I et pseudonymt register er fødselsnummer byttet ut med et pseudonym som er generert av en tiltrodd tredjepart. I prinsippet skal derfor et personidentifiserbart og et pseudonymt register være like godt egnet til å oppfylle helseforsknings- og administrasjonsformål. Vi kommer tilbake til innvendingene mot dette utgangspunktet rett under.

Flertallet i Boe-utvalget bygget på standpunktet om at et pseudonymt register vil ivareta personvernhensyn bedre enn et personidentifiserbart register. Poenget med den pseudonyme registerformen er å sikre at de som får tilgang til opplysningene, også autoriserte personer, ikke skal kunne identifisere personen opplysningene omhandler. Risikoen for personvernkrenkelser er derfor vesentlig redusert.

I et personidentifiserbart register vil ivaretakelsen av personvernet i mye større grad avhenge av sikkerhetstiltak og tilgangskontroll. Spørsmålet om valg av registerform dukket opp igjen i forbindelse med Norsk pasientregister. Utfallet ble her et identifiserbart register med «internt krypterte identiteter». I forarbeidene til endring av helseregisterloven ble det argumentert med at personvernet vil bli tilfredsstillende ivaretatt med tradisjonelle sikkerhetstiltak som skal sikre at bare autorisert personell skal ha tilgang til de identifiserbare opplysningene. 17 Med tanke på den etablerte oppfatningen om at den største sikkerhetstrusselen kommer fra virksomheters egne ansatte, kan dette sies å være betenkelig.

Det er altså her den prinsipielle forskjellen mellom den pseudonyme og identifiserbare registerformen ligger: sikkerhetstiltak som «internt krypterte identiteter» sikrer bare mot uautorisert tilgang, og løser ikke den sårbarheten som ligger i at autorisert personell har tilgang til identifiserbare opplysninger. Et pseudonymt register må også vernes mot uautorisert tilgang med tradisjonelle sikkerhetstiltak, men gjør registeret vesentlig mindre sårbart for misbruk fra de som faktisk er autorisert til å behandle opplysningene. Det er dette som gjør at man, etter min oppfatning, kan kalle den pseudonyme registerformen for «personvernøkende». Innholdskryptering og tilgangskontroll er bare tradisjonelle sikkerhetstiltak, jf. sondringen PETs og sikkerhetsteknologi i kapittel 1.2.

I debatten rundt Norsk pasientregister ble det brukt som argument for et identifiserbart register at den pseudonyme registerformen ikke gir like god datakvalitet som et identifiserbart register. Et annet argument var at et pseudonymt register gir begrenset anvendelighet fordi rettslige og tekniske hindre gjør det umulig å kontakte den opplysningene gjelder. Det er ikke anledning til å gå inn på disse spørsmålene her. 18 Det man kan slå fast er i hvert fall at den pseudonyme registerformen oppfattes som mer kompleks, noe som har gitt grunnlag for forvirring og skepsis fra politikere og helseforskere. 19

4.3 Elektronisk kommunikasjon

4.3.1 Elektroniske spor og identifisering

Personverndebatten både her hjemme og internasjonalt har de senere år vært preget av nye personvernutfordringer knyttet til «elektroniske spor». Elektroniske spor er et bilde på et bredt spekter av opplysninger som typisk genereres og lagres ved bruk av ulike elektroniske hjelpemidler. Studier av personvernproblematikk knyttet til elektroniske spor viser at det siden begynnelsen av 1990-tallet har vært en drastisk økning i mengden elektroniske spor og at disse blir stadig mer innholdsrike. 20 Metodene for å analysere slike data har utviklet seg i takt med den teknologiske utvikling, og gjør det mulig å gi et nyansert bilde av gruppers eller enkeltpersoners bevegelsesmønster, omgangskrets og interesser. 21

Forskningsresultater viser også at utbredelsen av elektroniske tjenester gjør at man som enkeltindivid i stadig større grad og på stadig flere samfunnsområder oppfordres eller tvinges til å identifisere seg. 22 Dette gjelder både for å få tilgang til kommunikasjonstjenester og i forhold til virksomheter som yter innholdstjenester som forutsetter elektronisk kommunikasjon. På visse områder er det klart at det er et legitimt behov for å kunne identifisere den man kommuniserer med eller disponerer rettslig i forhold til. Dette gjelder f eks i forhold til å sørge for at bare autorisert helsepersonell får tilgang til lagrede helseopplysninger, at en medkontrahent kan holdes ansvarlig for kontraktsrettsbrudd, eller at den som gjør seg skyldig i straffbare forhold kan identifiseres og holdes ansvarlig for sine ugjerninger. På andre områder, f eks i forhold til mange av våre dagligdagse trivielle gjøremål, kan det imidlertid tenkes at identifisering er mindre viktig.

Fra et personvernsynspunkt gir hyppigere krav til identifisering grunn til å reise prinsipielle spørsmål knyttet til om identifisering er nødvendig , hva som eventuelt skal identifiseres og hvordan man foretar en identifisering.

  • Nødvendig sikter til at det i mange transaksjoner ikke er nødvendig å vite hvem man samhandler med. Det man egentlig trenger å vite er f.eks. alder, kjønn, medlemskap, om betalingen er mottatt, eller om vedkommende har betalingsevne og -vilje.

  • Hva henspeiler på det faktum at vi alle har ulike roller, og at det er den relevante rollen som skal identifiseres, jf. introduksjonen til identitetsforvaltning i kapittel 1.2.

  • Hvordan sikter til at identifiseringen må ha tilstrekkelig kvalitet slik at man f.eks. unngår forveksling og identitetsmisbruk.

Et sentralt begrep i forhold til disse spørsmålene er autentisering . Autentisering er en prosess som tar sikte på å etablere tilstrekkelig sikkerhet for en påstand. Påstanden kan f.eks. knytte seg til identitet, rolle eller egenskap. Eksempelvis kan en påstand om at man er over 18 år autentiseres ved å vise gyldig ID-kort i skranken. Videre kan en påstand om at man har rådighet over en bestemt brukerkonto på Internett autentiseres ved hjelp av et passord. Se nærmere om autentisering i kapittel 3.5.

I det følgende skal vi se nærmere på hvordan utfordringene knyttet til elektroniske spor, identifisering og autentisering kan betraktes som et spørsmål om identitetsforvaltning på Internett.

4.3.2 Identitetsforvaltning i tjeneste- og kommunikasjonslag

Det er innen elektronisk kommunikasjon, og spesielt Internett, at det har vært mest fokus på personvernøkende teknologi. Mye av diskusjonen har vært knyttet til enkelte brukerstyrte tekniske løsninger som kan hindre «tjenesteytere» i å opparbeide profiler over brukeres gjøren og laden på Internett. Vi skal her se at dette er én viktig problemstilling, men at det også er andre spørsmål som omhandler identitet og identitetsforvaltning som fortjener oppmerksomhet. Utgangspunktet for den videre fremstillingen er figur 4.2 som sondrer mellom tjeneste- og kommunikasjonslag, og som angir relasjonene mellom bruker, ISP og tjenesteyter.

Figur 4.2 Identitetsforvaltning i tjeneste- og kommunikasjonslag

Figur 4.2 Identitetsforvaltning i tjeneste- og kommunikasjonslag

Modellen er en forenkling av informasjonsflyten mellom en bruker og en tjenesteyter på Internett. 23 Poenget er å synliggjøre at visse identitetsforvaltningsspørsmål kan knyttes til den tekniske infrastrukturen som Internett utgjør (kommunikasjonslaget), mens visse spørsmål må løses i tjenestelaget. Mens kommunikasjonslaget i hovedsak gjelder identifisering og autentisering av maskiner (brukers klient og tjenesteyters server), handler tjenestelaget om identifisering og autentisering av brukeren og tjenesteyteren. Vi skal i det følgende se nærmere på de enkelte relasjonene, og hvordan de mest omtalte PETs kan bidra til å sikre personvernet.

4.3.2.1 Relasjonen ISP – bruker (1) og (2)

For å kunne knytte sin datamaskin til Internett må brukeren for det første inngå avtale med en tilbyder av elektronisk kommunikasjon («ISP», nr 1 i figuren). Tilbyder av telefontjeneste har etter ekomforskriften § 6-2, jf. ekomloven § 2-8, plikt til å føre oversikt over enhver sluttbrukers navn, adresse og nummer/ adresse for tjenesten. Oversikten skal inneholde opplysninger som gjør det mulig å entydig identifisere de registrerte. Tilbyderen må dermed sørge for å legge til rette for hensiktsmessige rutiner for identifisering og autentisering av sluttbrukere. Dette gjelder særlig der salg av abonnement skjer via mellomledd (kiosker etc) eller via Internett. Kvaliteten på disse rutinene er grunnleggende for datakvaliteten i tilbyders oversikt over sluttbrukere. Dersom abonnementet knyttes til feil person vil følgelig all loggføring av senere trafikkdata være knyttet til feil person. Antakeligvis kan det ikke utledes noen plikt for tilbydere av Internettaksess til å identifisere sine abonnenter etter ekomloven § 2-8. Sett i lys av en eventuell implementering av EUs datalagringsdirektiv 2006/24/EF, og dets krav til tilbydere om lagring av ulike typer transaksjonsopplysinger, vil imidlertid dette spørsmålet om identifisering og datakvalitet bli aktualisert også i forhold til Internettabonnenter. Se nærmere om registreringsplikten i kapittel 4.1.

Tilbyder har som hovedregel taushetsplikt for lagrede trafikkdata og abonnementsopplysninger, men kan, dersom vilkårene for dette foreligger, utlevere slike opplysninger til politiet og påtalemyndigheten. Reglene om taushetsplikt for tilbyder, og andre som utfører arbeid eller tjeneste for tilbyder, følger av ekomforskriften kapittel 7, jf. ekomloven § 2-9. I utgangspunktet er det derfor bare tilbyder som vil ha kjennskap til koblingen mellom bestemte IP-adresser og den sluttbruker som har anvendt IP-adressen. Som vi skal se, har dette betydning for andre aktørers, f.eks. tjenesteyteres , mulighet til å anvende IP-adresser til å identifisere brukere av sine tjenester.

For å sikre at ikke uvedkommende får tilgang til brukerens maskin er det hensiktsmessig at maskinen er satt opp med et tilgangskontrollsystem (nr. 2 i figuren). Formålet med tilgangskontrollen vil ikke bare være å sikre at ikke uvedkommende kan tilegne seg de ressurser og tjenester som maskinen gir tilgang til, men også at ikke andre benytter maskinen til handlinger på Internett som brukeren kan risikere å bli konfrontert med, f.eks. handlinger som kan medføre straff eller erstatningsplikt. En særlig utfordring knytter seg til trådløse nettverk. Dersom brukeren ikke har satt opp tilfredsstillende sikkerhet på sitt trådløse nettverk vil andre, f.eks. naboer eller andre som befinner seg i nærheten, kunne knytte seg til nettverket og kommunisere på Internett ved hjelp av brukerens abonnement. Tilbyderen av elektronisk kommunikasjon vil normalt ikke kunne skille mellom abonnentens anvendelse av sitt abonnement og andres uautoriserte anvendelse. Alle loggførte transaksjonsopplysninger vil dermed i utgangspunktet assosieres med abonnenten. Dette vil kunne ha betydning for bevisbyrden dersom transaksjonsopplysninger lagret hos tilbyderen benyttes i en senere straffesak eller sivil tvist.

4.3.2.2 Relasjonen bruker – tjenesteyter (3) og (4)

I mange tilfeller vil det være viktig for brukeren å vite hvem han kommuniserer med over Internett. For eksempel vil det være viktig for brukeren å ha sikkerhet for at den websiden han har lastet ned faktisk tilhører nettbanken eller nettbutikken han ønsker å benytte seg av (nr 4 i figuren). Identifisering og autentisering av et nettsted og dets innehaver bygger på egenskaper ved kommunikasjonslaget, nærmere bestemt koblingen mellom virksomheten og et domenenavn (se nr 3 i figuren). Brukerens mulighet til å vurdere hvilket nettsted han har lastet ned avhenger av egenskaper ved brukerens nettleser, eventuelle sikkerhetstjenester som tilbys av webserveren og av hvordan sikkerhetstjenestene presenteres av nettleseren. Dersom brukeren er sikker på domenenavnet på det aktuelle nettstedet, vil en sjekk av nettstedets URL 24 i adressefeltet på nettleseren gi bekreftelse på at det er korrekt webside. Ytterligere sikkerhet kan oppnås ved bruk av serversertifikater 25 som krypterer kommunikasjonen mellom klient og server. Dette presenteres for brukeren ved at adressefeltet viser «https://». Enkelte nettlesere benytter i tillegg symboler, f.eks. hengelåssymbol i Internett Explorer, for å indikere at man er på en «sikker» webside med kryptert forbindelse. Et problem knyttet til standard serversertifikater er imidlertid at det tidligere har vært liten eller ingen kontroll med aktøren som har kjøpt tjenesten. Det har derfor ikke vært noe i veien for at serversertifikat har blir satt opp på «falske» nettsider hvor hensikten er å forlede brukeren med hensyn til hvem som faktisk står bak siden. Hvis brukeren da utelukkende bygger sin tillitt på adressefeltets visning av https eller hengelåssymbolet, men ikke sjekker den faktiske URL eller hvem som faktisk har fått sertifikatet utstedt til seg, vil brukeren kunne bli forledet til å utlevere opplysninger til et «utrygt» nettsted – riktignok med en «sikker» forbindelse. 26 Innføringen av EV (Extended Validation) SSL-sertifikater tar sikte på å endre denne situasjonen, hvor man som kjøper av et slikt sertifikat må gjennomgå en godkjenningsprosedyre som skal sikre at den som får et sertifikat utstedt til seg er den vedkommende hevder å være, og at nettstedet ikke blir brukt til ulovlig virksomhet. 27

4.3.2.3 Relasjonen tjenesteyter – bruker (5a) og (5b)

Vi har nå ryddet veien for å ta fatt på den relasjonen som har fått mest oppmerksomhet i personverndebatten, og hvor behovet for PETs blir aktualisert: virksomheters identifisering og autentisering av brukere (nr 5a og 5b i figuren). Ovenfor så vi at virksomhetens domenenavn (som korresponderer med en unik IP-adresse) ble benyttet for å autentisere webservere og bakenforliggende virksomhet. Brukeren vil imidlertid normalt ikke ha en unik IP-adresse som er egnet til å identifisere vedkommende overfor virksomheten, dessuten er kunnskap om koblingen mellom IP-adresse og bruker i utgangspunktet forbeholdt tilbyder av elektronisk kommunikasjon. Identifiseringav brukeren vil derfor hovedsakelig finne sted i det jeg har kalt tjenestelaget (nr 5a i figuren). Utfordringene her knytter seg blant annet til valg av hensiktsmessig identifikator (f.eks. brukernavn) og autentiseringsmekanisme (f.eks. passord). Se nærmere om dette i kapittel 3.3 under.

Proxyservere for å undertrykke IP-adresse

Selv om tjenesteyteren normalt vil måtte basere identifisering og autentisering av brukeren på tjenestelaget, er det enkelte personvernmessige utfordringer som knytter seg til kommunikasjonslaget (nr 5b i figuren). Her finner vi også en rekke tekniske tiltak (PETs) som brukeren kan ta initiativ til å anvende for å ivareta sitt personvern. 28 For eksempel vil brukerens IP-adresse være en potensiell mulighet for tjenesteytere til å generere en profil over nettbrukeres bruksmønster. Dette vil særlig kunne være et problem i tilfeller hvor brukeren har fast IP-adresse, 29 som gjør det mulig for tjenesteyteren å kjenne igjen IP-adressen fra sesjon til sesjon. Dersom brukeren ved en anledning blir identifisert (i tjenestelaget), vil tjenesteyteren i prinsippet kunne knytte denne informasjonen til IP-adressen for fremtidig bruk. Ved senere samhandling vil da brukeren anses som identifisert. Et teknisk tiltak for å avhjelpe disse personvernutfordringene knyttet til IP-adresser er bruk av anonymitets- eller pseudonymitetstjenester som undertrykker brukerens IP-adresse. Slike tjenester bygger på ruting av kommunikasjonen via flere proxyservere, slik at IP-adressen som formidles til tjenesteyter ikke er brukerens reelle adresse. Siden slike tjenester gjør det vanskelig å avdekke hvor den aktuelle server befinner seg, kan de også benyttes til (anonym) publisering som er motstandsdyktig mot sensur. 30

Håndtering av informasjonskapsler

En annen personvernmessig utfordring som hører hjemme i kommunikasjonslaget er bruk av informasjonskapsler («cookies»). Protokollen for web, HTTP, er en statusløs protokoll som ikke holder rede på transaksjonshistorikken mellom nettleser og webserver. Dette er et problem ved f. eks. netthandel hvor det vil være en viktig funksjonalitet å sikre at websiden holder rede på hvilke varer kunden har valgt. Informasjonskapsler er en løsning på dette problemet og gjør det mulig for webserveren å lagre, og senere lese, små tekstfiler på brukerens maskin med blant annet statusinformasjon om den aktuelle eller tidligere sesjoner. Selv om informasjonskapsler slik sett er en nyttig teknologi, innebærer den også visse personvernmessige utfordringer. For eksempel gir informasjonskapsler tjenesteytere en potensiell mulighet til å kjenne igjen og danne profiler over brukeres nettbruk på tvers av sesjoner og nettsteder. Særlig gjelder dette for enkelte aktører, f.eks. leverandører av reklame eller søketjenester, som er representert på mange nettsteder og som kan følge nettbruken fra nettsted til nettsted. I likhet med IP-adresser vil en identifikasjon av brukeren i tjenestelaget i prinsippet gjøre det mulig å knytte identifiserende opplysninger til informasjonskapsler. Det finnes en rekke tekniske tiltak som kan gi brukeren kontroll over de personvernmessige implikasjonen ved informasjonskapsler. I tillegg til at standard nettlesere har funksjonalitet for å gi brukeren kontroll, finnes det software som brukeren kan velge å laste ned («cookie cutters» etc). Se nærmere om den rettslige reguleringen av informasjonskapsler i kapittel 4.1.

Støtte for informerte valg

I tillegg til tekniske løsninger for å undertrykke brukerens IP-adresse og kontrollere informasjonskapsler, har tekniske løsninger for å understøtte brukeren i å foreta informerte valg gjerne blitt omtalt som PETs. P3P (Platform for Privacy Preferences) er den tekniske løsningen som har fått desidert mest oppmerksomhet. 31 Formålet med P3P er å gjøre det enklere for brukeren å forstå nettsteders personvernpolicy, samt å legge til rette for automatiserte beslutninger basert på sammenlikninger mellom brukerens personvernpreferanser og nettstedets personvernpolicy. Dersom et nettsted samler inn personopplysninger vil personvernpolicyen være et naturlig sted å oppfylle personopplysningslovens krav til informasjon etter §§ 19 og 20. P3P gjør det mulig for virksomheten å uttrykke personvernpolicyen på tre nivåer: en kort og standardisert policy, en full policy og en maskinlesbar policy. Brukeren på sin side må benytte en nettleser som støtter P3P (f.eks. Internett Explorer), og stille inn nettleseren på ønsket personvernnivå før han kan surfe rundt på nettet. Så lenge de besøkte nettstedene har en P3P-personvernpolicy i overensstemmelse med brukerens angitte personvernnivå, vil brukeren ikke merke noe til P3P. Men dersom det ikke er match mellom brukers nivå og virksomhetens policy, vil brukeren bli gjort oppmerksom på det og få mulighet til å lese virksomhetens standardiserte policy i kort- eller fullt format. Mens det tidligere var stor entusiasme og forhåpninger knyttet til P3P, spesielt fra deler av IT-industrien, er det i dag en utbredt oppfatning om at P3P har sine begrensninger. Det er i hovedsak brukerrettede nettsteder tilknyttet store internasjonale selskaper som benytter teknologien, få brukere er kjent med den, og det er ingen garantier for at det som uttrykkes i slike policyer faktisk er korrekt eller overholdes i virksomheten. 32 P3P har i dag størst praktisk betydning i forhold til å automatisk godkjenne eller hindre lagring av informasjonskapsler. 33

4.3.3 Nærmere om «identitet» og identitetsforvaltning

Som avsnittet over viser dukker spørsmålet om identitet og identitetsforvaltning opp i flere relasjoner. Her skal vi se nærmere på relasjonen mellom brukeren og tjenesteyteren (5a) i figuren. Problemstillingen videre er hva som menes med «identitet». Videre skal vi se nærmere på hvordan tjenesteyteren kan få etablert tilstrekkelig sannsynlighet for at en påstand om identitet er riktig.

Identitet er et sammensatt og komplekst begrep. I forhold til elektronisk samhandling kan det være nyttig å sondre mellom individet og individets ulike roller i den fysiske verden, og representasjon av slike roller i form av brukerkontoer i informasjonssystemer. Se figur 4.3.

Figur 4.3 Individ, roller og brukerkontoer

Figur 4.3 Individ, roller og brukerkontoer

For så vidt kan begrepet «identitet» benyttes om alle de tre nivåene (individ, roller og brukerkontoer) i figur 4.3. I tilegg kan begrepet benyttes både om selve brukerkontoen og om identifikatoren (f.eks. brukernavnet) som skiller brukerens brukerkonto fra andre brukerkontoer. For å unngå misforståelser er det derfor viktig å presisere hva man mener med identitet. Dette gjelder ikke minst i spørsmål knyttet til såkalt «identitetstyveri».

Erkjennelsen av at man som samfunnsborger daglig veksler mellom ulike roller er viktig for å kunne legge til rette for tekniske løsninger som er hensiktsmessige og forsvarlige fra et personvernsynspunkt. For eksempel vil det kunne være stor forskjell på hvilke opplysninger som vil være relevante og som det vil være ønskelig å dele med familie, venner, lærested, arbeidsgiver, helsevesen, forsikringsselskap, skattevesen eller Internett- og telefonleverandør. Utviklingen i retningen av økt elektronisk samhandling skaper utfordringer i forhold til å tilpasse identifisering og autentisering til den aktuelle rolle og relasjon.

Figur 4.4 Faser

Figur 4.4 Faser

«Et eksempel er dagens bruk av e-post. For mange arbeidstakere og studenter utgjør e-postadressen de har fått tildelt av arbeidsgiver eller lærested en viktig kommunikasjonskanal. Det er blitt vanlig å benytte denne e-postadressen ikke bare i forhold til jobb eller studier, men også til fortrolig kommunikasjon med familie og venner, og gjerne også offentlig etater og kommersielle aktører. E-postadressen, som i utgangspunktet er ment å bli brukt til jobbrelatert kommunikasjon, blir på denne måten også benyttet i mange sammenhenger hvor rollen som ansatt eller student er helt uvesentlig, men hvor det er vedkommendes rolle som familiemedlem, venn, borger eller kunde som er det sentrale. Det er nok flere grunner til at mange velger å benytte e-postadressen til mange formål som ikke er relatert til vedkommendes arbeidsoppgaver. For det første kan det gjerne oppleves som tungvint å benytte flere e-postadresser da dette med normalt medfører at man må holde seg à jour med flere e-postadresser. For det andre har det i mange tilfeller ikke vært noe i veien for å benytte e-postadressen til annet enn jobb/studierelatert kommunikasjon. Samtidig har skillet mellom arbeid og fritid gradvis blitt visket ut – noe som også kan forklare hvorfor jobbrelatert e-postadresser også blir benyttet til andre formål. Spørsmålet om arbeidsgivers innsynsrett i arbeidstakers e-post har av Datatilsynet, domstolene og lovgiver tatt utgangspunkt i skillet mellom privat e-post (som arbeidsgiver i utgangspunktet ikke har hatt innsynrett i), og virksomhetsrelatert e-post (hvor utgangspunktet har vært rett til innsyn). Skillet mellom privat og virksomhetsrelatert har i praksis vist seg å være vanskelig å trekke opp. Hadde det vært lagt bedre til rette for at arbeidstakere enkelt kunne bytte fra en rolle til en annen ville antakelig denne problemstillingen ikke vært like aktuell. Det kunne da stilles krav til at arbeidstakere benyttet denne muligheten, noe som ville sikre at det allerede ved utsendelse og mottak av e-post ble skilt mellom jobbrelatert og annen «privat» kommunikasjon. Et eventuelt innsyn av arbeidsgiver ville da være med utgangspunkt i det som allerede fremstår som virksomhetsrelatert e-post. Dette ville i så fall være vesentligere enklere og mer personvernvennlig enn det som har vært tilfellet tidligere: gjennomgang og sortering av all e-post.»

I det følgende skal vi se nærmere på identitetsforvaltningens grunnleggende faser. Som vi skal se, avhenger de personvernmessige aspektene særlig av valg av identifikator og autentiseringsmekanisme.

4.3.4 Sentrale faser

Identitetsforvaltning kan, som illustrert i figur 4.4, brytes opp i tre grunnleggende faser: innrullering, løpende autentisering og autorisering.

Nærmere om de enkelte fasene:

(1) Innrullering

I innrulleringsfasen er det gjerne fire spørsmål som må adresseres:

  • Med hvilken grad av sikkerhet trenger man å vite hvem som innrulleres? Trenger man å vite hvem brukeren er? Hvis ja, hvordan etablere tilstrekkelig sikkerhet for at brukeren er den han hevder å være (autentisering)?

  • Hvilken identifikator skal være knyttet til denne brukeren? (f.eks. brukernavn)

  • Hva slags autentiseringsmekanisme skal brukeren utstyres med? (f.eks. passord)

  • Hva skal denne brukeren eventuelt være autorisert til å foreta seg i systemet?

(2) Løpende identifisering og autentisering

Når brukeren vender tilbake for å benytte tjenesten, må det skilles mellom to prosesser:

  • Identifisering: brukeren individualiseres fra andre lagrede brukere på bakgrunn av identifikatoren som oppgis (f.eks. brukernavn)

  • Autentisering: brukeren benytter autentiseringsmekanismen som bekrefter at han/hun er den som fikk utdelt identifikatoren.

Merk at resultatet av disse to prosessene ikke nødvendigvis medfører at systemet har avdekket hvem brukeren er (i betydningen personens alminnelige brukte navn eller identifikator). Hva man vet om brukeren etter vellykket identifisering og autentisering avhenger av innrulleringsfasen og kvaliteten på identifiserings og autentiseringsprosessene der. Dersom det ikke ble foretatt noen autentisering av brukeren i innrulleringsfasen, vil resultatet her simpelthen være at man har en viss grad av sikkerhet for at det er den samme brukeren som nå har logget inn.

(3) Autorisering

Dersom den løpende identifiseringen og autentiseringen er vellykket er spørsmålet hvilke ressurser og tjenester brukeren skal ha tilgang til (autorisering).

4.3.5 Nærmere om autentisering

I gjennomgangen av fasene over kan man få inntrykk at autentisering bare knytter seg til å etablere tilstrekkelig sikkerhet for en påstått identitet. Det er imidlertid også andre forhold det kan være viktig å etablere sikkerhet om. I mange tilfeller er ikke nødvendigvis identitet så interessant i forhold avgjørelser om å gi eller nekte tilgang til en tjeneste eller ressurs. Man kan skille mellom autentisering av:

  • Identitet (I betydningen personidentifiserende opplysninger som f.eks. navn, adresse og fødselsnummer)

  • Rolle (Man trenger ikke nødvendigvis vite hvem personen er, så lenge man kan få bekreftet at vedkommende innehar en relevant rolle som f.eks. student, ansatt eller kunde)

  • Attributt (Egenskaper som alder, kjønn, betalingsevne og -vilje etc)

Ved tradisjonelle kommunikasjonsformer vil det ofte være mulig å fysisk observere den identitet, rolle eller egenskap som påberopes. Hvis en godt voksen person ønsker å kjøpe kinobillett til en forstilling med 7-årsgrense, ville det vekke oppsikt om kassadamen ba om ID-kort for å sjekke personens alder. Dersom hun mot formodning skulle be om ID-kort, ville autentiseringen bygge på følgende premisser: Er dette et ID-kort som ser ekte ut og som er utdelt etter en tilfredsstillende identitetsautentisering? Er personen den samme som er avbildet på kortet? Normalt vil kontantbetalingen også godtas også uten forespørsel om hvem personen er. I dette tilfellet kan kassadamen fysisk observere alder og kontanter – egenskapene er det man kan kalle selvautentiserende . 34 Videre vil det normalt ikke være behov for å lagre personidentifiserende opplysninger.

Ved elektronisk kommunikasjon er utgangspunktet at vi ikke kan basere oss på slik selvautentisering hvor egenskaper kan sanses eller observeres. Opplysninger som kan underbygge påstanden må da kommuniseres av den enkelte, eller av andre som har tilgang til slike opplysninger. Dersom billetten kjøpes på nettet ville det normale forløpet være at personens identitet blir kjent i forbindelse med gjennomføring av betalingen. Videre vil opplysinger om brukerens kjøp kunne bli lagret både hos kortselskap og billettselger.

Eksemplet overfor viser at den samme transaksjonen vil arte seg forskjellig avhengig av om den foretas ved fysisk nærvær eller over Internett. Videre skal vi kort se nærmere på hvordan man autentiserer ved elektronisk samhandling. Det skjelnes gjerne mellom fire ulike mekanismer for autentisering, nemlig noe man:

  • er (biometriske kjennetegn),

  • vet (f.eks. passord)

  • har (f.eks. smartkort, kortleser, informasjonskapsel, mobilnummer eller postforsendelse til folkeregistrert adresse)

  • gjør (f.eks. karakteristika som trykk, hastighet og bevegelsesmønster når man påfører en signatur)

Enkelte av autentiseringsmekanismene, f.eks. biometri, reiser nye personvernspørsmål som det ikke er anledning til å ta opp her. Budskapet i denne sammenheng er at man fra et personvernsynspunkt bør gå vekk fra betraktningen om at identifisering handler om å avdekke den enkeltes «sanne» identitet. I enkelte tilfeller er identitet irrelevant, i stedet bør det legges til rette for å autentisere den rolle eller egenskap som er av interesse. 35

4.3.6 Systemer og standarder for identitetsforvaltning

Utviklingen i retning av stadig mer elektronisk samhandling med et økende antall relasjoner, medfører et behov for systemer og løsninger for identitetsforvaltning.

Fra den enkelte brukers perspektiv handler identitetsforvaltning om håndtering av ulike «brukerkontoer». Rent praktisk vil det si håndtering av et økende antall korresponderende identifikatorer og autentiseringsmekanismer (passord, smartkort, digitale sertifikater etc). Fra brukerens synspunkt kan dette oppleves som en stadig større utfordring, noe som kan føre til at enkelte skriver ned passordene eller velger det samme passordet flere steder. Fra et sikkerhets- og personvernperspektiv er dette uheldig. En brukerstyrt teknisk løsning på denne utfordringen er f.eks. å finne i standard nettlesere hvor brukeren kan velge å bli assistert i å knytte brukernavn og passord til rett nettsted.

Fra virksomheters perspektiv dreier identitetsforvaltning seg om tildeling og vedlikehold av brukerkontoer. Dette inkluderer, som nevnt i kapittel 3.4, innrullering, løpende identifisering/autentisering og autorisering av brukere. Tradisjonelt har dette vært løst av virksomhetene selv, gjerne med én særegen løsning for hvert system. Mange virksomheter har erfart at det kan være en ressurskrevende oppgave å drifte mange systemer med ulike påloggingsløsninger. Dette kan medføre dårlig oversikt over eksisterende brukerkontoer, og brukerne må forholde seg til mange brukernavn og passord. Identitetsforvaltning handler derfor om hvordan man kan effektivisere de aktuelle arbeidsprosessene, blant annet ved å legge til rette for felles tilgangssystemer (single sign-on) hvor én innlogging gir tilgang til flere systemer og tjenester. Med utgangspunkt i åpne tekniske standarder er det nå mulig å implementere identitetsforvaltningsløsninger som ikke bare gjelder virksomhetens egne ansatte, men som også omfatter kunder og samarbeidspartnere. Nye e–forvaltningsløsninger som MinSide er et eksempel på dette, der én enkelt autentisering gir tilgang til nett-tjenestene til flere uavhengige statlige og kommunale etater.

Nye identitetsforvaltningsløsninger gir altså muligheter for nye forretningsmodeller og e-forvaltningsløsninger ved at sentrale arbeidsprosesser knyttet til innrullering og løpende identifisering/autentisering kan foretas av spesialiserte identitetsforvaltere. Hva brukeren skal få tilgang til (autorisering), blir som oftest besluttet lokalt etter en vellykket autentisering av en ekstern identitetstilbyder (f.eks. BankID). I utgangspunktet må det forventes at personvernet og informasjonssikkerheten blir bedre ivaretatt når profesjonelle identitetforvaltere tar hånd om deler av identitetsforvaltningen, enn om f.eks. hver enkelt statlige og kommunale etat skulle drifte sine egne løsninger. Det er også opplagt at felles tilgangsløsninger som MinSide gjør det mulig å tilby samfunnsnyttige tjenester, men også tjenester som direkte kan gavne personvernet, f.eks. ved å gi innsyn i hvilke opplysninger de enkelte etatene har om den enkelte borger. Det skal imidlertid ikke legges skjul på at utviklingen reiser prinsipielle personvernspørsmål. Tradisjonelt har virksomhetsgrenser vært en av de viktigste barrierene for ivaretakelse av personvernet: ved å holde relasjoner og kontekster atskilt har man kunnet unngå enkeltaktører som «vet alt» om den enkelte borger. Spissformulert kan man si det slik at løsninger for identitetsforvaltning tar sikte på å bryte ned slike barrierer og gjøre opplysninger tilgjengelige på tvers av system- og virksomhetsgrenser. Riktignok tar løsningene gjerne utgangspunkt i at det bare er brukeren selv som skal ha fordelen av å kunne få enkel tilgang til de ulike tjenester, og at opplysningene fremdeles skal være lagret hos den enkelte virksomhet. Dette er imidlertid ingen garanti for at løsningene ikke vil kunne være sårbare for misbruk og legge til rette for utveksling av personopplysninger som ellers ikke ville blitt utvekslet. 36 Et annet aspekt som bør synliggjøres er at identitetsforvaltningsløsninger tar sikte på å tilby en sømløs og brukervennlig brukeropplevelse på tvers av virksomhetsgrenser. Dette hensynet kan i noen tilfeller komme i konflikt med personvernhensyn, hvor prinsippet om brukermedvirkning og kontroll tilsier at brukeren skal være i stand til å vurdere implikasjonene ved å benytte en tjeneste. Dette fordrer at aktørene er sine roller og oppgaver bevisst og at informasjon om disse forhold formidles til brukeren på en hensiktsmessig måte. 37

4.4 Personopplysningslovgivningen

Fremstillingen har så langt gitt en oversikt over de personvernmessige aspektene knyttet til personvernøkende teknologi og identitetsforvaltning. Når fokuset nå rettes over på det rettslige vernet om personopplysninger er hensikten å kortfattet synliggjøre enkelte sammenhenger mellom jus og teknologi. Dette gjelder for det første i hvilken grad personopplysningslovgivningen stiller krav til teknologien (kapittel 4.1). For det andre forholdet mellom enkelte av personopplysningsrettens grunnleggende prinsipper og PETs/identitetsforvaltning (kapittel 4.2).

4.4.1 Hva reguleres?

Personopplysningsloven (pol) er den sentrale loven på området. Loven gjennomfører Norges forpliktelser etter personverndirektivet 95/46/EF og gjelder for «behandling av personopplysninger». Dette betyr at loven kun gjelder i den grad opplysninger kan knyttes til en identifiserbar enkeltperson. Loven retter seg mot den «behandlingsansvarlige», det vil si den som bestemmer formål og virkemidler for behandlingen. Den behandlingsansvarlige må således følge visse materielle og prosessuelle krav for at behandlingen skal være lovlig.

Personopplysningsloven stiller i utgangspunktet ikke direkte krav til teknologien. Det som reguleres er den behandlingsansvarliges behandling av personopplysninger. Loven sier altså ikke noe direkte om hvordan ny teknologi skal utvikles eller hvordan tekniske standarder skal utformes. Det er først når teknologien anvendes av en behandlingsansvarlig for å behandle personopplysninger at de rettslige kravene gjør seg gjeldende. I utgangspunktet gir det derfor ikke mening å snakke om «godkjente» produkter, systemer eller standarder. Ikke overraskende vil det være lettere å overholde personopplysningslovgivningen dersom man har tatt hensyn til personverninteresser og lovens krav ved utvikling av teknologien. Det avgjørende i følge loven er imidlertid hvordan teknologien implementeres og anvendes av den behandlingsansvarlige. Dersom den behandlingsansvarlige velger å sette bort hele eller deler av behandlingen til en databehandler, er lovens system at det fremdeles er den behandlingsansvarlige som har ansvaret for at lovens regler følges. Det er grunn til å tro at det hersker en utbredt misoppfatning om at man kan overholde personopplysingsloven ved å kjøpe en fiks ferdig teknisk løsning, eller ved å delegere bort behandlingen til en profesjonell aktør. Gode tekniske løsninger og kompetente samarbeidspartnere er vel og bra, men den behandlingsansvarlige sitter altså fremdeles med hovedansvaret.

I forhold til temaet personvernøkende teknologi og identitetsforvaltning er det også relevant å rette oppmerksomheten mot enkelte bestemmelser i lov og forskrift om elektronisk kommunikasjon (ekomloven og –forskriften). Bestemmelsene retter seg primært mot tilbyder av elektronisk kommunikasjonsnett eller -tjeneste, det vil si aktører som enten gir tilgang til elektronisk kommunikasjon (herunder telefonitjenester og Internett), eller som overfører signaler for slike tjenester. Som nevnt i kapittel 3.2 har tilbydere av offentlig telefontjeneste plikt etter ekomforskriften § 6-2, jf. ekomloven § 2-8, til å føre oversikt over enhver sluttbrukers navn, adresse og nummer/adresse for tjenesten. Oversikten skal inneholde opplysninger som gjør det mulig å entydig identifisere de registrerte. Selv om lov og forskrift ikke sier det direkte, må det antas at det implisitt i registreringsplikten er et krav om autentisering av sluttbrukeres identitet ved tegning av abonnement. Hvis ikke vil abonnentopplysningene riktignok kunne entydig identifisere den registrerte, men man vil ikke ha noen sikkerhet for at det er rett person. I praksis har det vist seg at tilbyderne av elektronisk kommunikasjon har hatt problemer med å oppfylle registreringsplikten på en tilfredsstillende måte. 38 Dette kan for det første skyldes ønsket om å gjøre tegning av abonnement så enkelt som mulig, f.eks. over Internett eller i kiosken på hjørnet. For det andre skyldes det en lav kollektiv bevissthet om skillet mellom identifisering og autentisering. Fødselsnummer er en personentydig identifikator som er godt egnet til identifisering ved at den individualiserer ett individ fra alle de andre. Fødselsnummer skal imidlertid ikke benyttes til autentisering. Fødselsnummeret er nemlig ingen hemmelighet som gir sikkerhet for at den aktuelle personen er den han hevder å være. Dersom man har anledning til å benytte fødselsnummer som identifikator, jf. pol § 12, må det derfor i tillegg benyttes en eller flere autentiseringsmekanismer som gir sikkerhet for at et fødselsnummer faktisk er knyttet til den aktuelle personen, jf. kapittel 3.5 over.

Ekomloven med forskrift innholder også andre viktige bestemmelser om vern av personopplysninger. Dette gjelder blant annet regler om taushetsplikt og om behandling av trafikk- og lokasjonsdata. Som nevnt i kapittel 3.2 har det i personvernkretser vært mye fokus på informasjonskapsler og de muligheter denne teknologien gir til å samle informasjon om internettbrukere på tvers av nettsteder og sesjoner. Faktisk er informasjonskapsler regulert i ekomforskriften § 7-3, hvor utgangspunktet er at det er forbudt å benytte informasjonskapsler «uten at bruker er gitt informasjon av den behandlingsansvarlige i henhold til personopplysningsloven, herunder om behandlingsformålet og er gitt anledning til å motsette seg behandlingen.» Forbudet gjelder likevel ikke dersom det gjelder «teknisk lagring» utelukkende for det formål å overføre eller lette overføringen, eller dersom slik lagring eller adgang til opplysninger er «nødvendig for å levere en informasjonssamfunnstjeneste etter brukerens uttrykkelige forespørsel». Bestemmelsen er oppsiktsvekkende. Den retter seg for det første ikke primært mot tilbydere slik loven og forskriften ellers gjør, men mot « tjenesteytere » som benytter informasjonskapsler (jf. skillet mellom ISP og tjenesteytere i figur 4.2). For det andre er det et forsøk på rettslig regulering av et spørsmål av svært praktisk karakter hvor gjennomføringen av informasjonsplikten nødvendigvis må skje gjennom tekniske tiltak. I praksis er nok denne bestemmelsen relativt ukjent for pliktsubjektene, og brukerne må sies å være best stilt ved å stole på de tekniske hjelpemidler de har til rådighet for å kontrollere lagring og lesning av informasjonskapsler, jf. kapittel 3.2. Bestemmelsen står dessuten i sterk kontrast til personvernregelverket ellers, som gjennomgående er teknologinøytralt. Generelt kan det sies at personvernbestemmelsene i ekomloven og ekomforskriften er viktige, men at de er godt gjemt i et regelverk som primært angir konkurranseregler innenfor elektronisk kommunikasjon.

4.4.2 Grunnleggende personvernprinsipper

Personvernopplysningsretten kan uttrykkes gjennom noen grunnleggende prinsipper som gjelder for all behandling av personopplysninger. De grunnleggende prinsippene kan sies å være selve kjernen i internasjonal og nasjonal personvernregulering. Hvert prinsipp representerer således et sett med mer detaljerte regler som skal ivareta et nærmere bestemt hensyn eller en regulatorisk strategi som anses hensiktsmessig for å ivareta personvernet i forbindelse med behandling av personopplysninger. Prinsippene kan skisseres på følgende måte:

Rettmessig og rettferdig behandling:

All behandling av personopplysninger krever rettslig grunnlag, og den behandlingsansvarlige skal ta tilbørlig hensyn til den registrertes berettigede personverninteresser. Sensitive personopplysninger er underlagt strengere vern enn alminnelige personopplysninger.

Brukermedvirkning og kontroll:

Den behandlingsansvarlige skal gjøre behandlingen transparent og forståelig for den registrerte, slik at denne gjøres i stand til å overskue behandlingens konsekvenser og er i stand til å ivareta sine personverninteresser.

Formålsbestemthet:

Den behandlingsansvarlige skal før innsamling og behandling av personopplysninger angi et klart og uttrykkelig formål med behandlingen. Opplysningene skal ikke senere benyttes for uforenlige formål.

Minimalitet:

Personopplysninger bare skal innhentes, lagres og behandles i den grad de er nødvendige for å oppnå formålet med behandlingen av opplysningene.

Datakvalitet:

Personopplysninger skal ha tilstrekkelig kvalitet i forhold til det formålet de skal anvendes til. Dette innebærer blant annet at opplysningene skal være tilstrekkelig oppdaterte, presise og relevante sett opp mot formålet med behandlingen.

Informasjonssikkerhet:

Den behandlingsansvarlige (og databehandleren) skal sørge for tilfredsstillende informasjonssikkerhet med hensyn til konfidensialitet, integritet og tilgjengelighet ved behandling av personopplysninger.

De personvernutfordringene PETs og identitetsforvaltning (se kapittel 2 og 3) tar sikte på å løse eller avhjelpe, kan i og for seg knyttes til alle disse prinsippene. Etter min oppfatning er det imidlertid særlig grunn til å se nærmere sammenhengen mellom PETs/identitetsforvaltning og prinsippene brukermedvirkning og kontroll, minimalitet og datakvalitet.

4.4.2.1 Brukermedvirkning og kontroll

Prinsippet om brukermedvirkning og kontroll kommer til uttrykk i personvernlovgivningens bestemmelser som skal sikre transparens, det vil si bestemmelser om samtykke som behandlingsgrunnlag, informasjonsplikt, innsynsrett og meldeplikt. Gjennomgangen av P3P viser at det finnes tekniske løsninger for å støtte opp under formidlingen av såkalte personvernpolicyer. Videre har vi sett at autentiserings- og identitetsforvaltningsløsninger gjør det mulig å gjennomføre innsynsretten på en mer effektiv måte. Brukermedvirkning og kontroll handler også om at brukeren skal kunne ha kontroll på utlevering og videre behandling av egne personopplysninger. Et grunnleggende skille er derfor mellom «transaksjonsfasen» hvor brukeren kan velge å utlevere opplysninger, og «videre behandling» hvor opplysninger om brukeren er blitt utlevert. Når opplysninger først er blitt utlevert har brukeren liten eller ingen kontroll på behandlingen. Fra et personvernsynspunkt er det da særlig to spørsmål som gjør seg gjeldende: (1) hvem i virksomheten skal ha tilgang til opplysningene; og (2) i hvilken grad kan opplysninger utveksles mellom virksomheter og ulike registre. Skillet mellom transaksjonsfasen og videre behandling illustreres i figur 4.5.

Figur 4.5 Transaksjonsfase og videre behandling

Figur 4.5 Transaksjonsfase og videre behandling

Som vi så av gjennomgangen i kapittel 3.2, kan det være hensiktsmessig å skille mellom identitetsforvaltning i kommunikasjons- og tjenestelaget. Begge disse lagene knytter seg til transaksjonsfasen i figuren. Som nevnt har de klassiske PETs tatt sikte på å gi brukeren kontroll over potensielt identifiserende opplysninger i kommunikasjonslaget (f.eks. proxyservere eller «cookie-cutters» for å undertrykke IP-adresse eller informasjonskapsler).

4.4.2.2 Prinsippene minimalitet og datakvalitet

Som vi har sett har PETs tradisjonelt vært sett på som tekniske og organisatoriske tiltak som tar sikte på å kontrollere adgangen til å identifisere den opplysningene gjelder. Også på det rettslige og politiske planet er minimalitet og anonymitet viet stor oppmerksomhet – dog med litt forskjellige innfallsvinkler. Viktigheten av anonymitet fremkommer for det første av en rekke internasjonale rekommandasjoner angående Internett og autentiseringsløsninger. 39 Her hjemme har spørsmålet om anonymitet særlig blitt synliggjort av Datatilsynet som i tilknytning til bompengeringene har fremhevet viktigheten av å kunne ferdes anonymt. I personvernteori legges av og til prinsippet til grunn for en rett til anonymitet eller et eget prinsipp om anonymitet. 40 Også i regjeringens IKT-politikk fremheves «at det fremdeles må være tilbud om anonyme løsninger i sammenhenger der det ikke er nødvendig å identifisere seg.» 41

Gjeldende lovgivning står imidlertid etter min mening i en klar kontrast til de nevnte uttalelsene om viktigheten av anonymitet. Prinsippet kan skimtes i personopplysningsloven § 11 d) som stiller krav til at opplysninger er «tilstrekkelige og relevante« 42 for formålet med behandlingen, og § 11 e) om at opplysningene ikke skal lagres lenger enn det som er nødvendig ut fra formålet med behandlingen. Videre kan man kanskje innfortolke et krav om å begrense innsamling av opplysninger i «nødvendighetsvilkårene» i §§ 8 og 9 ut fra synspunktet om at dersom formålet kunne vært oppnådd uten identifiserbare data så er behandlingen av opplysningene ikke nødvendig. 43 Konklusjonen må uansett være at personopplysningsloven i liten grad setter krav til eller legger føringer for minimalitet og anonymitet. Kort oppsummert oppstiller loven et forbud mot å samle inn irrelevante opplysninger, og en plikt til å slette eller anonymisere opplysninger når formålet er oppnådd. Loven legger altså ingen føringer for anonymitet eller pseudonymitet i det jeg i Figur 5 har kalt «transaksjonsfasen». Det er, som vi har sett i avsnittet over, i denne fasen brukeren har en reell mulighet til å ha kontroll på egne opplysninger. Når identifiserende opplysninger først er samlet inn (videre behandling) har brukeren liten eller ingen kontroll.

I forbindelse med revisjon av personopplysningsloven er det blitt fremmet forslag om unntak fra deler av loven for personopplysninger som er «strengt pseudonymisert». 44 Forslaget er interessant i forhold til at det legges incentiver for utvikling og anvendelse av personvernøkende teknologi for å ivareta personvernet. Imidlertid er det uklart om man her tar sikte på bruk av pseudonymer i forbindelse med transaksjoner , eller om det er snakk om pseudonymisering av i utgangspunktet identifiserbare opplysninger (fasen «videre behandling» i figur 4.5). Etter min mening er begge tilnærminger viktige, men den første varianten vil, som vi har sett, være klart mer personvernøkende fordi den hindrer at det samles inn direkte identifiserbare opplysninger.

Mens minimalitetsprinsippet i liten grad er synliggjort i personopplysningsloven, er derimot prinsippet om datakvalitet gitt stor plass og tyngde. Prinsippet om datakvalitet fremgår av personopplysningsloven § 11, samt lovens formålsbestemmelse som uttrykker at loven skal bidra til at personopplysninger blir behandlet i samsvar med «grunnleggende personvernhensyn, herunder behovet for personlig integritet, privatlivets fred og tilstrekkelig kvalitet på personopplysninger» (min kursivering). Når § 11 stiller krav til at opplysninger skal være «tilstrekkelige og relevante» og «korrekte og oppdaterte», må dette nødvendigvis også omfatte det forhold at opplysningene som er lagret gjelder rett person. Dette forutsetter imidlertid at den behandlingsansvarlige har tilstrekkelig gode rutiner for identifisering og autentisering. Etter som stadig mer samhandling skjer elektronisk er det grunn til å spørre om ikke lovgivningen burde være tydeligere på forskjellen mellom identifisering og autentisering, jf. kapittel 3.4 og 3.5. Lovens § 12 som regulerer bruk av fødselsnummer og andre entydige identifikasjonsmidler gir ikke klarhet i denne distinksjonen. Det er uklart om «entydige identifikasjonsmidler» her refererer til bruk av entydige identifikatorer og/eller bruk av autentiseringsmekanismer. En annen mulig tilnærming er å anse krav til identifisering og autentisering som et spørsmål om informasjonssikkerhet under betraktningen om at f.eks. utlevering av opplysninger vil være i strid med konfidensialitet eller tilgjengelighet. Dette blir imidlertid en for snever tilnærming siden spørsmålet om autentisering da først og fremst kommer på spissen i forhold til utlevering av opplysninger. Gode grunner taler derfor etter min mening for at distinksjonen klargjøres i § 11 eller i en ny revidert bestemmelse som skiller mellom adgangen til å benytte identifikatorer (f.eks. fødselsnummer) og hvilke krav som ellers stilles til autentisering.

4.5 Samlende synspunkter – veien videre

Den tradisjonelle tilnærmingen til PETs har vært minimalitet, det vil si tekniske og organisatoriske tiltak som tar sikte på å begrense adgangen til å identifisere den opplysningene gjelder. Forskningen og utviklingen innen personvernøkende identitetsforvaltning bryter ikke med PETs-tankegangen, men plasserer tradisjonelle PETs i et videre perspektiv som også omhandler sikker identifisering og autentisering.

Det er etter min mening viktig å opprettholde et skille mellom PETs og identitetsforvaltning på den ene siden og informasjonssikkerhetstiltak på den annen side. PETs og identitetsforvaltning retter fokuset på identitet og identifiserbarhet. Spørsmålet her er om det er nødvendig å samle inn identifiserende opplysninger i den enkelte transaksjon, eventuelt hvilken rolle eller identitet det er behov for å autentisere. Informasjonssikkerhetstiltak derimot tvinger oss ikke til å stille spørsmål om og med hvilken identifiserbarhet opplysninger skal innhentes og lagres. Her er fokuset kun på å sikre de opplysninger som er blitt lagret. Begge tilnærminger er selvsagt viktige. Faren ved kun å holde fast ved informasjonssikkerhetstilnærmingen er at man ikke legger noen begrensninger på hvilken informasjon som samles inn under dekke av at informasjonssikkerheten er tilstrekkelig. Den første tilnærmingen derimot, er personvernøkende i den forstand at den gir den enkelte bedre kontroll over egne opplysninger ved at mengden elektroniske spor og lagrede identifiserbare opplysninger holdes på et minimum. Ved vurdering av hvordan tekniske og organisatoriske tiltak kan støtte opp under personvernet, bør man derfor alltid starte med å vurdere spørsmål knyttet til identitet og identifiserbarhet (PETs/identitetsforvaltning), for deretter å vurdere relevante informasjonssikkerhetstiltak (f.eks. kryptering, tilgangskontroll etc). 45

I fremstillingen av elektronisk kommunikasjon har siktemålet vært å synliggjøre hvordan personvernspørsmål knyttet elektroniske spor og krav til identifisering kan håndteres under synsvinkelen identitetsforvaltning. Etter min mening er det her klargjørende å skille mellom de spørsmål om identitet og identifiserbarhet som kan relateres til den grunnleggende infrastrukturen for Internett ( kommunikasjonslaget ), og de spørsmål som må finne sin løsning i form av identitetsforvaltning i tjenestelaget . Det siste tiåret har vi vært vitne til en voldsom aktivitet, internasjonalt og nasjonalt, knyttet til utvikling av nye standarder og systemer for identitetsforvaltning. Disse løsningene og måten de implementeres på vil utvilsomt ha betydning for personvernet ettersom Internett blir en stadig viktigere kontaktflate mot omverdenen. I den forbindelse er det relevant å se hen til den satsningen som gjøres fra norske myndigheter med å legge til rette for nasjonalt ID-kort med eID. 46 Muligheten for sikker identifisering åpner for nye e-handel- og e–forvaltningstjenester. Imidlertid er det viktig å være bevisst på i hvilke tilfeller det vil være passende å stille krav til slik identifisering. Det faktum at man har eID som sikrer sterk autentisering av identitet betyr ikke at det bør benyttes i alle tilfeller. Fra et personvernsynspunkt er det dessuten betenkelig å legge opp til en sårbar infrastruktur med kun én eID-løsning. Det bør heller legges til rette for virksom konkurranse som gir valgfrihet mellom alternative identitetstilbydere. 47 Jeg vil holde fast ved det prinsipielle som ligger i at man i alle tilfeller starter med å stille spørsmål med hvilken påstand som skal autentiseres. Er identitet overhodet relevant? Eller holder det å få etablert tilstrekkelig sikkerhet for f.eks. en rolle eller en egenskap? Et eksempel på denne tilnærmingen finner man f.eks. hos Australske myndigheter som har utarbeidet et omfattende rammeverk som skal hjelpe forvaltningen med å finne frem til hva som skal autentiseres, samt til hvordan dette kan gjøres på en forholdsmessig og sikker måte. 48

Det er gledelig å se at både EU og norske myndigheter uttrykker ønske om å støtte opp under personvernøkende teknologi, og ser dette som en viktig strategi for å kunne ivareta personvernet (jf. kapittel 1.3). Jeg mener det er all grunn til å legge videre trykk på de tiltakene som allerede er identifisert. EU kommisjonens strategi er, som nevnt, for det første å fremme utvikling av PETs, legge incentiver for næringslivets og offentlige myndigheters anvendelse, samt å heve folk flest sin bevissthet om PETs og personvernsspørsmål. Det er også god grunn til å følge opp Regjeringens IKT-melding som synliggjør utfordringene på dette området og som foreslår konkrete tiltak. 49 Det er ikke anledning til å diskutere disse tiltakene i detalj her. Jeg vil derfor heller rette oppmerksomheten mot en av hovedutfordringene – nemlig at PETs i liten grad har blitt tatt i bruk. Foreløpig har det vært liten etterspørsel etter PETs og få virksomheter har klart å gjøre godt personvern til et konkurransefortrinn. Grunnene til dette kan være mange, blant annet har det vært liten bevissthet blant virksomheter og forbrukere om hva som er personvernøkende og hva som ikke er det, og dermed har etterspørselen uteblitt. Den aktøren som synes best stilt til å endre denne situasjonen er det offentlige, som bør ha en klar ambisjon om å legge til rette for personvernøkende løsninger. Myndighetene har f.eks. anledning til å stille krav til at personvernhensyn blir et førende hensyn i utviklingsprosjekter og at dokumentering av personvernøkende design (ikke bare informasjonssikkerhet) løftes frem som et kriterium i anbudskonkurranser om levering av nye løsninger. Slike krav vil gi markedsaktørene incentiver til å satse på personvernøkende teknologi, noe som vil kunne føre til økt tilgjengelighet også i privat sektor. Viktigheten av det offentliges innsats og prioriteringer på dette området kan ikke understrekes sterkt nok. Det er etter min mening naivt å tro at markedsaktørene vil satse på PETs hvis ikke det offentlige går foran som et godt eksempel.

I IKT-meldingen er regelverksendring som gir mer direkte støtte til bruk av personvernøkende teknologi et av de foreslåtte tiltakene. Jeg mener det er grunn til å holde fast ved prinsippet om teknologinøytral lovgivning. Mer detaljerte krav eller anbefalinger til konkrete tekniske løsninger kan med fordel utarbeides innenfor konkrete sektorer, f.eks. som bransjevise normer, men hører nok ikke hjemme i den sentrale lovgivningen. Et aspekt som lovgiver med fordel bør vurdere å få tydeligere frem i lovgivningen er minimalitetsprinsippet. Som nevnt i kapittel 4.2.2 stiller personopplysningsloven ikke tydelige krav til eller føringer for minimalitet (anonymitet/pseudonymitet) i transaksjoner. Ved tydeligere krav til minimalitet vil det f.eks. måtte dokumenteres hvorfor man har behov for å samle inn identifiserende opplysninger. Dette vil være å snu dagens situasjon på hodet hvor det selvsagte er at man behandler identifiserbare opplysninger. Et eksempel på en slik bestemmelse er å finne i Tysklands føderale personopplysningslov § 3a:

« § 3 Data reduction and data economy

Data processing systems are to be designed and selected in accordance with the aim of collecting, processing or using no personal data or as little personal data as possible. In particular, use is to be made of the possibilities for aliasing and rendering persons anonymous, in so far as this is possible and the effort involved is reasonable in relation to the desired level of protection.»

Som nevnt i kapittel 4.2.2 er det videre grunn til å se nærmere på om ikke personopplysningsloven bør innføre et tydelig skille mellom adgangen til å benytte bestemte identifikatorer (f.eks. fødselsnummer), og krav til autentisering og bruk av bestemte typer autentiseringsmekanismer (f.eks. biometri).

Avslutningsvis, etter å ha pekt på tiltak som krever en betydelig innsats og oppfølgning, kan det synes som vi har en lang vei å gå i forhold til å la personvernhensyn være med på å styre teknologiutvikling og -anvendelse. Det er nok dessverre også tilfellet. Samtidig er det mange og enkle tiltak som det er anledning til å gripe fatt i. Eksempelvis å følge lovens krav om å gi god informasjon om behandlingen av personopplysninger, samt å gjøre den enkelte kjent med sine rettigheter. Til syvende og sist handler dette om å heve bevisstheten om personvernspørsmål og PETs i alle ledd i næringskjeden – fra utviklere, til databehandlere og behandlingsansvarlige. Særlig trenger vi opplyste forbrukere og borgere som stiller krav og forventninger til virksomheters innsats på personvernområdet.

Bibliografi

Lovgivning, forarbeider mv

Personverndirektivet, 95/46/EF av 24. oktober 1995

Direktivet om personvern og elektronisk kommunikasjon, 2002/58/EF av 12. juli 2002

Datalagringsdirektivet, 2006/24/EF, av 15. mars 2006

Lov om behandling av personopplysninger (personopplysningsloven), lov 14. april 2000 nr 31

Lov om helseregistre og behandling av helseopplysninger (helseregisterloven), lov 18. mai 2001 nr 24

Lov om elektronisk kommunikasjon (ekomloven), lov 4. juli 2003 nr 83

Forskrift om elektronisk kommunikasjonsnett og elektronisk kommunikasjonstjeneste (ekomforskriften), forskrift 16. februar 2004

Forskrift om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret), forskrift 17. oktober 2003 nr 1246

Ot.prp. nr 49 (2005-2006) Om lov om endringer i helseregisterloven (Norsk pasientregister)

Artikkel 29-gruppen (WP 6/1997) anonymitet på Internett

Artikkel 29-gruppen (WP 68/2001) om autentiseringstjenester

St.meld. nr 17 (2006-2007) Eit informasjonssamfunn for alle

Tysklands føderale personopplysningslov, (Bundesdatenschutzgesetz), 15. november 2006

Bøker, artikler mv

Andresen, Herbjørn, «On Pseudonymous Health Registers: While they Work as Intended, they are Still Controversial in Norway», Proceedings of the First International Conference on Health Informatics, Funchal, Madeira – Portugal , Vol 1 (2008) 59-66

Australian Government, Australian Government e-Authentication Framework , (2005)

Boe, Erik, «Nye helseregistre inn bakveien?» Kritisk juss , Årg. 27, nr 1/2 (2000) 63-77

Brands, Stefan A., Rethinking public key infrastructures and digital certificates: building in privacy , (Cambridge, Mass. 2000)

Burkert, Herbert, «Privacy-enhancing technologies: typology, critique, vision», I: Technology and privacy: the new landscape, Agre, Philip og Rotenberg, Marc (red), (Cambridge, Mass. 1997)

Bygrave, Lee A., Data protection law: approaching its rationale, logic and limits , (Dortrecht 2002)

Bygrave, Lee A., «Privacy-Enhancing Technologies – Caught between a Rock and a Hard Place», Privacy Law & Policy Reporter , (2002) 135-137

Cameron, Kim, Laws of Identity , (2007)

Chaum, David, «Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms», Communications of the ACM , vol. 24 no. 2 (1981)

Clarke, Roger, Identity Management (Canberra 2004)

Datatilsynet, E-forvaltning – Datatilsynets tilrådning til regjeringen , Datatilsynets nettsted, (2007)

EU Commission, First report on the implementation of the Data Protection Directive (95/46/EC) (Brussel 2003)

European Commission, Communication on Promoting Data Protection by Privacy Enhancing Technologies (PETs) (Brussels 2007)

Hannemyr, Gisle, «Feil nummerbruk», Lov&Data , 92 (2007) 29-30

Hannemyr, Gisle, Hva er internett , (Oslo 2005)

Hansen, Marit et al., «Privacy-enhancing identity management», Information Security Technical Report , 1 (2004) 35-44

Justis- og politidepartementet, Nasjonalt ID-kort , Oslo, (2007)

Kent, Stephen T. og Millett, Lynette I., Who goes there?: authentication through the lens of privacy , (Washington, DC 2003)

L"Abée-Lund, Åsa, Pseudonymisering av personopplysninger i sentrale helseregistre , Oslo, (2006)

Lessig, Lawrence, Code: version 2.0 , (New York 2006)

Mahler, Tobias og Olsen, Thomas, «Reputation Systems and Data Protection Law», I: eAdoption and the Knowledge Economy: Issues, Applications, Case Studies, Cunningham, Paul og Cunningham, Miriam (red), (Amsterdam 2004)

Norsk Regnesentral, Elektroniske spor , (Oslo 2005)

Olsen, Thomas og Mahler, Tobias, «Identity management and data protection law: Risk, responsibility and compliance in `Circles of Trust"», Computer Law & Security Report , 4 & 5 (2007) 342-351 & 415-426

Olsen, Thomas og Mahler, Tobias et al, Identity management & Privacy , Complex, (2007)

Olsen, Thomas, «Lovgivningsprosessen bak registreringsplikt for kontantkort til mobiltelefon», Lov & Data , 85 (2006) 1-6

Registratiekamer, IPC og TNO-FEL, Privacy-enhancing technologies: the path to anonymity (Vols I & II) , (1995)

Riisnæs, Rolf, Digitale sertifikater og sertifikattjenester – roller, oppgaver og ansvar , (Bergen 2007)

Schartum, Dag Wiese og Bygrave, Lee A., Utredning av behov for endringer i personopplysningsloven (Oslo 2006)

Schartum, Dag Wiese og Bygrave, Lee A., Personvern i informasjonssamfunnet: en innføring i vern av personopplysninger , (Bergen 2004)

Søiland, Arne, «Sikrere mot id-tyveri», Computer World , 15.01.2007, sist nedlastet 02.06.2008

Tanenbaum, Andrew S., Computer networks , 4th (Upper Saddle River, N.J. 2003)

Teknologirådet, Elektroniske spor og personvern (Oslo 2005)

Øverlier, Lasse, Anonymity, privacy and hidden services , (Oslo 2007)

Nettsider

Australian Government e-Authentication Framework: http://www.agimo.gov.au/infrastructure/authentication/agaf_b/overview

Credentica: http://www.credentica.com

EPAL: http://www.w3.org/Submission/2003/SUBM-EPAL-20031110/

EPIC, Privacy Tools: http://epic.org/privacy/­tools.html

FIDIS: http://www.fidis.net/

GUIDE: http://istrg.som.surrey.ac.uk/projects/guide/

Jan Camenisch, IBM Zürich: http://www.zurich.ibm.com/%7Ejca/publications.html

P3P: http://www.w3.org/P3P/

Personvern på nettet, 6. november 2006, «Åpen høring om Norsk pasientregister»: http://www.personvern.uio.no/pvpn/nyheter.html

PET Workshop: http://petworkshop.org/

PICOS: http://www.picos-project.eu/

PRIME: https://www.prime-project.eu/

PRIMELIFE: http://www.primelife.eu/

TOR: http://www.torproject.org/

Fotnoter

1.

Registratiekamer, Privacy-enhancing technologies: the path to anonymity (Vols I & II) , 1995

2.

Chaum, “Untraceable Electronic Mail, Return Addresses, and Digital Pseudonyms”, Communications of the ACM , vol. 24 no. 2, 1981

3.

For eksempel har det siden år 2000 vært avholdt en årlig internasjonal workshop om PETs, se http://petworkshop.org/.

4.

Burkert, "Privacy-enhancing technologies: typology, critique, vision", I: Technology and privacy: the new landscape , Agre og Rotenberg (red), 1997

5.

Se tilsvarende Burkert, "Privacy-enhancing technologies: typology, critique, vision", I: Technology and privacy: the new landscape , Agre og Rotenberg (red), 1997 s 125: ”PETs have to be set apart from data-security technologies. It is one of the merits of the discussion on PETs that the concept of data security has been reclarified as to its limits with regard to privacy protection. Data-security measures seek to render data processing safe regardless of the legitimacy of processing. Data security is a necessary but not a sufficient condition for privacy protection. PETs on the other hand, seek to eliminate the use of personal data altogether or to give direct control over revelation of personal information to the person concerned. PETs are therefore closer to the social goals of privacy protection.”

6.

Se f.eks. EU-prosjektene PRIME, GUIDE, FIDIS, PRIMELIFE og PICOS.

7.

Se f.eks. Brands, Rethinking public key infrastructures and digital certificates: building in privacy , Cambridge, Mass. 2000, løsninger levert av selskapet http://www.credentica.com/ og arbeider av Jan Camenisch, IBM, http://www.zurich.ibm.com/%7Ejca/publications.html.

8.

Se f.eks. Hansen et al., "Privacy-enhancing identity management", Information Security Technical Report , 1, 2004 35-44.

9.

Særlig toneangivende har standardiseringsorganisasjonene Liberty Alliance og OASIS vært i forhold til utvikling av standarder for såkalt føderert identitetsforvaltning.

10.

Enkelte forskere har vært kritiske til denne standardutviklingen og hevder at virksomhetenes interesser i å legge til rette for nye forretningsmodeller har fått mer gjennomslag enn hensynet til brukernes personvern. Se f.eks. Clarke, Identity Management , 2004. Se nærmere om personvernspørsmål i forbindelse med implementering av standarder for føderert identitetsforvaltning i Olsen og Mahler, "Identity management and data protection law: Risk, responsibility and compliance in `Circles of Trust"", Computer Law & Security Report , 4 & 5, 2007 342-351 & 415-426 og Olsen og Mahler, Identity management & Privacy , Complex, 2007.

11.

Se tilsvarende Bygrave, "Privacy-Enhancing Technologies – Caught between a Rock and a Hard Place", Privacy Law & Policy Reporter , 2002 135-137.

12.

EU Commission, First report on the implementation of the Data Protection Directive (95/46/EC) , 2003.

13.

European Commission, Communication on Promoting Data Protection by Privacy Enhancing Technologies (PETs) , 2007.

14.

Boe, "Nye helseregistre inn bakveien?" Kritisk juss , Årg. 27, nr 1/2, 2000 63-77. http://www.afin.uio.no/forskning/notater/6_00.html.

15.

Lov om helseregistre og behandling av helseopplysninger (helseregisterloven), lov 18. mai 2001 nr 24.

16.

Registeret er nærmere regulert i Forskrift om innsamling og behandling av helseopplysninger i Reseptbasert legemiddelregister (Reseptregisteret), forskrift 17. oktober 2003 nr 1246.

17.

Se Ot.prp. nr 49 (2005-2006) Om lov om endringer i helseregisterloven (Norsk pasientregister).

18.

Innvendingene har blitt imøtegått av Kompetansesenteret for IT i helsesektoren (KITH) og professorene Dag Wiese Schartum og Erik Boe. Dokumenter er tilgjengelig på nettsiden Personvern på nettet under tittelen ”Åpen høring om forslaget til Norsk Pasientregister”, 6. november 2006, http://www.personvern.uio.no/pvpn/nyheter.html.

19.

Forskningsresultater viser for øvrig at de pseudonyme registrene er velfungerende i praksis, men at det fremdeles hersker en del tvil om hva et pseudonymt register faktisk innebærer. Se nærmere Andresen, "On Pseudonymous Health Registers: While they Work as Intended, they are Still Controversial in Norway", Proceedings of the First International Conference on Health Informatics, Funchal, Madeira - Portugal , Vol 1, 2008 59-66 og L"Abée-Lund, Pseudonymisering av personopplysninger i sentrale helseregistre , Oslo, 2006.

20.

Se Teknologirådet, Elektroniske spor og personvern , 2005 og Norsk Regnesentral, Elektroniske spor , Oslo 2005.

21.

Se nærmere om automatisert profilering i Bygrave, Data protection law: approaching its rationale, logic and limits , Dortrecht 2002, s 104-105 og kapittel 17.

22.

Se f.eks. Teknologirådet, Elektroniske spor og personvern , 2005, s 106, Norsk Regnesentral, Elektroniske spor , Oslo 2005, s 65 og Kent og Millett, Who goes there?: authentication through the lens of privacy , Washington, DC 2003, s 30. Se også Datatilsynet, E-forvaltning – Datatilsynets tilrådning til regjeringen , Datatilsynets nettsted, 2007, s 6, hvor tilsynet tilråder regjeringen om at det “trekkes opp retningslinjer som sikrer at identifisering kun skjer når det er reelt behov for sådan”.

23.

Modellen tar utgangspunkt i TCP/IP-referansemodellen for Internett og dens lagdeling av protokoller og tjenester. Av figuren kan man få inntrykk av at bruker og tjenesteyter kan kommunisere direkte med hverandre i tjenestelaget. I realiteten går all kommunikasjon gjennom kommunikasjonslaget. Ettersom visse spørsmål knyttet til identifisering og autentisering ikke løses av kommunikasjonslaget må disse løses på toppen av eksisterende infrastuktur og tjenester. Se nærmere om datanett-teori i Hannemyr, Hva er internett , Oslo 2005, s 57-64 og Tanenbaum, Computer networks , 4th, Upper Saddle River, N.J. 2003, s 37-48.

24.

URL er forkortelsen for Uniform Resource Locator.

25.

SSL (Secure Sockets Layer) og etterfølgeren TLS (Transport Layer Security) er krypteringsprotokoller basert på offentlig-nøkkel infrastruktur (PKI) som sikrer autentisering av server (men ikke klient), samt konfidensialitet og integritet for meldinger mellom klient og server.

26.

Selv om brukeren skulle ta seg tid til å sjekke hvem som står som sertifikatinnehaver, er det ikke sikkert at denne informasjonen er egnet til å gi brukeren noen holdepunkter for hvem som står bak nettstedet. Hvis f.eks. utvikling av nettstedet har vært delegert bort, har det forekommet at dette selskapets navn, og ikke oppdragsgivers navn, har blitt oppført som sertifikatinnehaver. Se nærmere om brukeropplevelsen av serversertifikater i Riisnæs, Digitale sertifikater og sertifikattjenester - roller, oppgaver og ansvar , Bergen 2007, kapittel 8.4.

27.

EV SSL er utviklet av organisasjonen Certification Authority/Browser Forum (CAB Forum), se http://www.cabforum.org/. (sist nedlastet 25.01.2008). Utviklingen har skjedd i nært samarbeid med ledende nettleserprodusenter, som forventes å implementere løsningen blant annet ved bruk av fargekoder for å indikere sikkerhetsnivå nettsteder. Se omtale, Søiland, "Sikrere mot id-tyveri", Computer World , 15.01.2007, sist nedlastet 02.06.2008.

28.

Se f.eks. denne oversikten over ”Privacy Tools” hos Electronic Privacy Information Center (EPIC), http://epic.org/privacy/tools.html

29.

I motsetning til dynamisk IP-adresse hvor brukeren tildeles en ny adresse for hver oppkobling til Internett.

30.

I dag er TOR-nettverket mest utbredt med flere hundretusen brukere internasjonalt, se http://www.torproject.org/. Se nærmere om slike tjenester i Øverlier, Anonymity, privacy and hidden services , Oslo 2007.

31.

Se http://www.w3.org/P3P/

32.

Det skal nevnes at det også er blitt forsket på tekniske løsninger som gjør det mulig å angi detaljerte regler for hvordan lagrede personopplysninger skal behandles. IBM har f.eks. utviklet EPAL (Enterprise Privacy Authorisation Language) som bygger på forutsetningen om at alle personopplysninger i en virksomhet tagges med metadata, og det angis regler for hvem, som for hvilket formål og under hvilke forutsetninger, kan behandle opplysningene. Tilnærmingen har en viss sammenheng med P3P. Begge bygger på bruk av XML-baserte regelsett, og man har sett for seg at det som uttrykkes utad om virksomhetens behandling av personopplysninger gjennom P3P kan håndheves internt gjennom EPAL. Se http://www.w3.org/Submission/2003/SUBM-EPAL-20031110/.

33.

Her kan det sondres mellom informasjonskapsler som faktisk er fra nettstedet man besøker, informasjonskapsler fra tredjeparter (f.eks. fra reklamebannere) og informasjonskapsler fra sider som benytter/ikke benytter P3P.

34.

Se Lessig, Code: version 2.0 , New York 2006, s 40.

35.

Et interessant eksempel er eBay og enkelte andre e-handelsplatformer som har hatt suksess med omdømmesystemer for å formidle informasjon om selgere og kjøpere. I slike systemer er det aktørenes opparbeidede omdømme som er det sentrale, ikke identitet. Se nærmere Mahler og Olsen, "Reputation Systems and Data Protection Law", I: eAdoption and the Knowledge Economy: Issues, Applications, Case Studies , Cunningham og Cunningham (red), 2004.

36.

Et eksempel på en kommersiell løsning som hadde åpenbare personvernsvakheter var Microsoft .NET Passport. Tjenesten tok utgangspunkt i Microsoft sin Hotmail-tjeneste (e-post), hvor innlogging her gav anledning til single sign-on hos f.eks. eBay og andre store kommersielle aktører. Etter kritikk fra Artikkel 29-arbeidsgruppen (rådgivende arbeidsgruppe bestående av representanter fra datatilsynsmyndighetene i EU-landene), endret Microsoft i 2003 tjenesten til kun å gjelde egne tjenester. I tillegg til kritikk for selve implementasjonen (måten samtykke ble innhentet på, manglende informasjon, uklare ansvarsforhold etc) var arbeidsgruppen kritisk til den tekniske arkitekturen som innebar Microsoft selv som eneste identitetsforvalter, samt bruk av en unik identifikator for hver bruker. Arkitekturen var sårbar for misbruk siden Microsoft satt på mye informasjon om bruken av tjenesten, og hvor kun avtalemessige forhold hindret tjenesteyterne fra å samkjøre informasjon om felles kunder. Se nærmere om dette i Olsen og Mahler, "Identity management and data protection law: Risk, responsibility and compliance in `Circles of Trust"", Computer Law & Security Report , 4 & 5, 2007 342-351 & 415-426.

37.

Se nærmere om roller og oppgaver og om oppfyllelse av informasjonsplikten etter personopplysingslovgivningen i Olsen og Mahler, "Identity management and data protection law: Risk, responsibility and compliance in `Circles of Trust"", Computer Law & Security Report , 4 & 5, 2007 342-351 & 415-426 og Olsen og Mahler, Identity management & Privacy , Complex, 2007.

38.

Sommeren 2007 ble f.eks. nett-tjenesten til Tele2 benyttet til å hente ned fødselsnummer, navn , adresse og kredittverdighet for 60 tusen personer. Se omtale i Hannemyr, "Feil nummerbruk", Lov&Data , 92, 2007 29-30. Se også Olsen, "Lovgivningsprosessen bak registreringsplikt for kontantkort til mobiltelefon", Lov & Data , 85, 2006 1-6.

39.

Se f.eks. Artikkel 29-gruppens rekommendasjoner om anonymitet på Internett (WP 6/1997) og autentiseringstjenester (WP 68/2001).

40.

Se f.eks. Schartum og Bygrave, Personvern i informasjonssamfunnet: en innføring i vern av personopplysninger , Bergen 2004, s 93-94.

41.

Se St.meld. nr 17 (2006-2007), kapittel 8.3.3 ”Retten til å være anonym”.

42.

I direktivet er dette formulert som ”relevante og ikke for omfattende”. Minimalitetsprinsippet er altså noe tydeligere i direktivet, mens personopplysningsloven synes altså å vektlegge tilstrekkeliget i større grad enn minimalitet.

43.

Se Bygrave, Data protection law: approaching its rationale, logic and limits , Dortrecht 2002, s 343-344.

44.

Schartum og Bygrave, Utredning av behov for endringer i personopplysningsloven , 2006, radikalt forslag til ny § 3d.

45.

Det må antas at PETs vil kunne ha konsekvenser for informasjonssikkerhetsarbeidet ved at lagring av færre identifiserbare opplysninger medfører lavere sannsynlighet for og mindre konsekvenser av brudd på informasjonssikkerheten.

46.

Justis- og politidepartementet, Nasjonalt ID-kort , Oslo, 2007.

47.

Dette synes å være gjengs oppfatning i identitetsforvaltningsmarkedet, se f.eks. Cameron, Laws of Identity , 2007, som fremhever ”Pluralism of operators and technologies” som et av syv grunnprinsipper for identitetsforvaltning.

48.

Se Australian Government, Australian Government e-Authentication Framework , 2005.

49.

Se særlig kap 8.3.3 Retten til å vere anonym , 8.3.4 eID og valfridom og 8.3.5 Utnytting av teknologien for å styrkje personvernet .

Til dokumentets forside