Privacy by Design – innebygd personvern

Nettleseren spør brukeren om lov til å innhente lokasjon på vegne av karttjenesten

Nettleseren spør brukeren om lov til å innhente lokasjon på vegne av karttjenesten. Full funksjonalitet er muliggjort, men personvern er standard og innebygget fra starten av slik at tjenesten fungerer ellers like godt ved manglende samtykke. Datadelingen er gjennomsiktig, og brukerens ønske er respektert.

Personvern er kanskje ikke det man forbinder mest med innovasjon. Noen vil kanskje påstå at krav til personvernhensyn heller hindrer innovasjon, fordi man ikke kan lage så fancy produkter og tjenester som man aller helst vil. Privacy by Design, eller innebygd personvern som man etterhvert kaller det på norsk, kan på mange måter være motsvaret til slik kritikk: I stedet for å marginalisere eller dekke over betydningen av personvern gjennom produktet eller tjenestens tilvirkning, kan vi heller vektlegge innovasjonsmulighetene i å integrere personvern-aspekter tett i hele designprosessen. Jeg skal i dette innlegget presentere syv prinsipper som er foreslått for å gi produkter og tjenester et konkurransemessig fortrinn, basert på den bærekraftige tilliten som godt personvern vil kunne skape, og ikke minst ivareta i det lange løp. I et senere innlegg skal vi dessuten se nærmere på noen erfaringer fra forskningsbasert anvendelse av disse prinsippene, primært fra helse- og velferdsteknologi.

Privacy by Design som designkonsept stammer på mange måter fra Ann Cavoukian og personvernombudet i Ontario, Canada (se www.privacybydesign.ca for original kilde til prinsippene nedenfor). Likevel er det flere som opererer med lignende konsepter, blant annet Microsoft (i sin Secure Development Lifecycle), HP og IBM. Datatilsynet har samtidig i sin strategi for godt personvern i helsesektoren (2011) tatt med førstnevnte versjon i sin helhet, og skriver blant annet at de konkret vil «jobbe for at det offentlige helsevesen stiller krav om … personvernvennlige … løsninger, bygd på prinsippene for innebygd personvern«. Dessuten er offentlige aktører i flere andre land på banen med samme anliggende for f.eks. web og mobile tjenester. I tillegg kommer EU som i sitt utkast til nytt personverndirektiv omtaler data protection by design and by default, og som i utlysningstekster til forskningsprogrammet deres nå konkret nevner privacy by design i samband med flere emner. Vi ser også at amerikanske Federal Trade Commision, som tidligere i år kom med en omfattende rapport om beskyttelse av forbrukeres personvern (2012), anbefaler bedrifter å bygge inn personvern i alle stadier av produkt- og tjenesteutviklingen (i denne rapporten omtales også initiativet Do-Not-Track som vi tidligere har skrevet om). Det er med andre ord flere dialekter ute og går, og nødvendigvis noen tilpasninger som må gjøres alt etter hvem dataene omhandler (individene/datasubjektene) og hvordan de anvendes. Helt sentralt er det uansett at man tenker personvern helt fra starten.

1. Proaktiv, ikke reaktiv
Majoriteten av personvernbrudd oppdages nok dessverre aldri. Innebygd personvern må søke å avverge personvernkonflikter/-brudd før de oppstår og skaden er skjedd. Dette innebærer blant annet å vurdere nøye hvordan data skal behandles og deles, og ikke minst hvilke data som behandles og opphevares. På dette punktet går gjerne personvern hånd i hånd med sikkerhet, men det trengs flere dimensjoner i tiltakene enn kryptering. Når vi snakker om design, handler det også om hvilke data vi beslutter å samle inn, og hvilke løsningsmuligheter som finnes for bruksscenarioene våre. (Trenger du forresten en kjapp påminnelse om forskjellen mellom sikkerhet og personvern? Sjekk f.eks. ut denne videoen på YouTube.)

2. Personvern som standard
Individer som ikke foretar seg noe spesielt, bør ikke være utsatt for svekket personvern sammenlignet med de som kanskje er mer kompetente og bruker tid på konfigurasjon. Gi gjerne informasjon om konfigurasjoner og funksjoner som kanskje gir brukerne større fordeler, om de måtte oppleve det slik, men la de i så fall få velge dette aktivt selv. Et eksempel er hvis en tjeneste benytter brukerens lokasjon (se illustrasjon ovenfor). Her spør man først, og tilbyr samtidig andre alternativer hvis brukeren er negativ, for eksempel mulighet til å plotte inn en annen eller mindre nøyaktig adresse, eller ganske enkelt la være å bruke noen lokasjon videre.

3. Personvern innebygd i design
Personvern er i likhet med sikkerhet ikke en enkel feature, et slags tillegg, som man bare kan «sette på» til slutt når man vet at produktet eller tjenesten er bra nok ellers. Tanker om personvern må med i designspesifikasjonen fra start. Ikke bare for å gjøre tidlige vurderinger av problematikk, men også for å tidlig oppdage potensialet som kan ligge i å differensiere seg fra konkurrentene på dette. Google+ (søkekjempens sosiale nettverk) tok for eksempel Facebooks manglende kontroll over deling av oppdateringer på kornet, ved å bygge hele brukeropplevelsen fra bunnen med sine «sirkler» som man alltid velger seg ut når man deler noe. I stedet for å ha grupper av venner som en funksjon litt i bakgrunnen, er det nesten vanskelig å unngå inndelingen i sirkler helt fra starten når man bygger opp en profil på Google+, noe Google i praksis gjorde et stort poeng ut av da tjenesten ble lansert. De ville være best på personvern (ihvertfall i de mer synlige delene av tjenestene sine).

4. Full funksjonalitet + godt personvern = vinn-vinn-situasjon
Mantraet til Privacy by designs nevnte opphavskvinne (Cavoukian) er at man ikke kan se på godt ivaretatt personvern som en byrde når man utvikler produkter. Derimot mener hun at personvern ikke bør ofres til fordel for funksjonalitet, men at man heller må trenge dypere inn i hvordan funksjonaliteten kan ivaretas på personvernvennlige måter. I tillegg er det et viktig poeng at negative hendelser omkring personvern raskt kan oppheve det positive man skaper på funksjonalitetssiden uten å gå de ekstra rundene med personvernet. Innovasjonen og fortrinnet skapes da i å lage nettopp funksjonsrike løsninger som samtidig ikke er sårbare for hendelser som er uønsket av både brukerne og tilbyderen. Noen anvendelser av data, f.eks. sensitive helsedata, kan være umulig å gjennomføre og langt mindre forsvare dersom man ikke innoverer i forhold til personvern samtidig. Dette kan altså kreve en del ekstra innsats for å få til, men kan hende man skaper desto større verdi om man lykkes?

5. Ende-til-ende-beskyttelse
All programvare har en viss levetid, helt fra ideen først er unnfanget, og inntil den siste brukeren er død. Som utvikler og utviklerorganisasjon gjelder det da å tenke personvern i alle faser av produktets livssyklus. I tillegg til den aktuelle «dingsen» som programvaren kjører på, må man ta høyde for hvilke andre steder personvernet trenger vern, enten det er med tanke på framtidig utlevering av data, sekundære anvendelser, eller hvorvidt prosessering av enkelte opplysninger faktisk bør lokaliseres til den personlige dingsen framfor å sende inndataene til en server eller mottaker som sørger for videre behandling. Hvilke konsekvenser får dette for systemarkitekturen? Og til slutt; hvor lenge bør data beholdes, og når er tiden inne for at de slettes?

6. Synlighet og gjennomsiktighet
Gjennomsiktighet handler om å gi individet oversikt over hvilke persondata som behandles. Innsynsrett er den lovfestede tilnærmingen til dette i Norge, men det er bedre om brukeren selv kan spore og kontrollere alle data som er tilknyttet en selv. Åpenhet gir tillit, særlig når åpenheten går ut over det ordinære. Dersom man vil holde stien sin ren, kan man f.eks. sørge for at alle kilder til data er uttrykkelig sporet og angitt, og at alle utleveringer og anvendelser av personrelaterte data er mulig å hente ut. Synlighet av slike mekanismer og hvordan de fungerer er et gode for brukeren.

7. Respekt for individets personvern
I mange tilfeller går det an å la brukerne velge om hvorvidt de trenger en funksjon eller ikke, dersom denne stiller ekstra krav til personvernet. Som vi så av karttjenesten i nettleseren ovenfor, kan brukeren med fordel gis en sterk opplevelse av personvern som standard.
Brukervennlige valg for å kontrollere deling/bruk av personopplysninger må gjøres lett tilgjengelige, og alternative løsninger tilrettelegge for svært kontrollert bruk. Og selvsagt er det ikke lønnsomt å si én ting om personvernpraksis og så gjøre noe annet i virkeligheten, for eksempel samle inn mer informasjon enn man gir til kjenne.

Dette er altså syv prinsipper og noen ganske generelle betraktninger. Kanskje har du erfaringer med praktisk anvendelse av disse? Legg igjen en kommentar i feltet nedenfor!