1 Personvernteknologi DRI 2002, 7. mars 2006 Stipendiat Thomas Olsen, AFIN

2 Oversikt Terminologi Forholdet til lovgivningen Forholdet til personvernteori –Personvernprinsippene –Interesseteorien Anonymitetstjenester for Internett Pseudonymiseringsteknikker Teknologi til støtte for informerte valg Teknologistøttet identitetshåndtering (Identity Management)

3 Personvernteknologi Hvordan kan informasjonsteknologi benyttes som til støtte for personvernet? Personvernteknologi / sikkerhetsteknologi: –Reduksjon i mengden av identifiserbare elektroniske spor –Sikring av kommunikasjon ved bruk av kryptering –Sikring av informasjonssystemer og PC-er mot innbrudd og uautorisert tilgang

4 Terminologi Personvernteknologi: Privacy-Enhancing Technologies (PETs) / Personvernøkende teknologi –Teknologier som i sin natur bidrar til å sikre personvern For eksempel anonymitet / pseudonymitetstjenester Privacy Friendly Technologies / Personvernvennlige teknologier –Teknologier som lar brukeren selv ta valg som påvirker eget personvern, men som ikke nødvendigvis gir et positivt resultat for personvernet For eksempel automatisk lesing av personvernpolicier

5 Eksempler på PETs som ikke blir gjennomgått i detalj Krypteringsverktøy –E-post: PGP –Forbindelse nettleser – server: SSL ”Filtre” Andre eksempler: Cookie-verktøy, proxy-er, brannvegger, ad-blockers etc EPAL for detaljert tilgangstyring (Se tekn.rådets rapport) Oversikt over mange tekniske hjelpemidler: Electronic Privacy Information Center (EPIC)

6 Forholdet til lovgivningen Lovgivningen viktig for å sette opp rammene for lovlig og ulovlig behandling av personopplysninger –Lav kunnskap/etterlevelse/håndheving fører til ”papirtigre” –Vanskelig å lage generelle lover som er passende i forhold til hvordan teknologi og praksis utvikler seg over tid –EU Direktivet om personvern: 1995 (sml Internetts utberedelse) Tekniske sperrer vanskelige å omgå –”Håndhever” gjeldende innstillinger –Teknologien designet i henhold til lovgivningens krav –Kan gi brukeren kontroll –Kan gi brukeren større tillit til behandling av personopplysninger Utfordringer: –Personvernlovgivningen retter seg mot den behandlingsansvarlige, ikke mot den som utvikler teknologien –Datatilsynene lite villige til å slå ned på produkter som er allment tilgjengelig på markedet (f. eks tidligere versjoner av nettlesere ifht cookies)

7 Gjennomføringen av EU direktivet i nasjonal rett (COM (2003) 265(01): Bruk av utbredte teknologier gjør det umulig for behandlingsansvarlige å opptre i henhold til lovgivningen Store vanskeligheter for datatilsyn å håndheve lovgivningen Mangel på bevisstet og kjennskap hos brukere om personvern og eksistensen av PETs Manglende etterspørsel etter PETs Brukere er forvirret pga flere personvern- nivåer/standarder. Ikke alle PETs er i henhold til den relevante standarden - “ The use of appropriate technological measures is an essential complement to legal means and should be an integral part in any efforts to achieve a sufficient level of privacy protection ”

8 Forholdet til personvernprinsippene Rettferdighet og rettmessighet –Behandlingsgrunnlag, berettigede forventninger Medbestemmelse –Transparent og forståelig behandling Minimalitet (begrenset innsamling) –Krav på anonymitet? Informasjonssikkerhet –Konfidensialitet, integritet, tilgjengelighet Formålsbestemthet Opplysningskvalitet Sensitivitet

9 Minimalitetsprinsippet Personopplysningsloven § 11 Pol § 11 Grunnkrav til behandling av pers.opplysninger: Den behandlingsansvarlige skal sørge for at personopplysningene som behandles: –d) er tilstrekkelige og relevante for formålet med behandlingen, og –e) er korrekte og oppdatert, og ikke lagres lenger enn det som nødvendig ut fra formålet med behandlingen, jf. §27 og §28.

10 Minimalitetsprinsippet El kommunikasjon-/telekomsektoren EU direktivet om elektronisk kommunikasjon, (2002/58/EC), fortalen nr 30: ”Systems for the provision of electronic communications networks and services should be designed to limit the amount of personal data necessary to a strict minimum

11 Minimalitetsprinsippet Tysklands føderale personopplysningslov (Bundesdatenschutzgesetz av 1. januar 2002) § 3a Data reduksjon og data økonomi –Systemer som behandler personopplysninger skal designes og velges med sikte på registrere, prosessere eller anvende så få personopplysninger som mulig. –Særlig skal muligheter for bruk av pseudonymer og anonymisering benyttes så langt dette er mulig og ressursene som kreves for dette står i forhold til det ønskede nivået for personvern.

12 Forholdet til interesseteorien - Interessen i å bestemme over opplysninger om egen person Utgangspunktet: Det er opp til den enkelte selv å velge når, til hvem og under hvilke forutsetninger personopplysninger skal utleveres og behandles Ved daglig samkvem med andre og ved vanlig deltakelse i samfunnet må nødvendigvis andre håndtere opplysninger om deg –MEN: Opplysninger skal i minst mulig grad behandles med grunnlag i tvang eller ved at noen tar seg til rette

13 Konsekvenser av interessen i å bestemme over tilgangen til opplysninger om en selv Samfunnet bør innrettes slik at det reelt sett er mulig å velge om man vil utlevere opplysninger Eksempler –Begrenset bruk/utlevering av transaksjons-opplysninger ved bruk av mobiltelefoni og Internett-tjenester –Sporingsfrie epenger –Anonym ferdsel i bompengeringer:

14 Anonymitetstjenester for Internett Eksempelet AN.ON

15 AN.ON Anonymity Online

16 Bakgrunn Samarbeid mellom Universitetet i Dresden, Freie Universitet Berlin og Independent Centre for Privacy Protection Schleswig-Holstein Finansiert av det føderale departementet for økonomi og teknologi Oppstart januar 2001

17 Teknisk oversikt AN.ON prosjektet fokuserer på å utvikle et system som åpner for anonym web-aksess Garanterer også brukerne anonymitet i forhold til operatørene av mix-en Består av: –JAP klient software (open source. Lastes ned på lokal maskin) –En rekke servere (mix-er) som opptrer som proxy

18 Kilde:

19 Kilde: Mix-er (David Chaum, 1981) Samle meldinger i en batch, forandre kodingen og send dem videre samlet, men i en annen rekkefølge enn de kom inn. Alle meldinger har samme lengde Bruk mer enn en mix som alle er drevet av ulike operatører Minst en mix må ikke være korrupt Oppnår da anonymitet (unlikablity) for sender og avsender

20 Kilde: JAP krypterer bare kommunikasjonen mellom brukeren og mix-serverne. -Etter den siste mix-en sendes data ukryptert Tilleggskryptering, for eksempel SSL, er nødvendig for å sikre konfidensialitet og integritet overfor andre servere AN.ON sikrer bare anonymitet, ikke konfidensialitet/integritet

21

22 Pseudonymiseringteknikker Datatilsynene i Nederland og Ontarios felles rapport: PETs – The path to anonymity –Analyserer i hvilken grad det er behov for identifiserende opplysninger i ulike typer informasjonssystem –Innfører en ”Identity Protector” som kobler identifiserende data med pseudonyme data –Konklusjon: I de aller fleste informasjonssystemer er det mulig å tilby løsninger hvor brukerne operer under pseudonymer. Dette trenger ikke gå ut over funksjonalitet (for eksempel mulighet for fakturering eller ansvarliggjøring ved misbruk)

23 Hes, Borking (2000), PET – The path to anonymity

24 Hes, Borking (2000), PET – The path to anonymity

25 Hes, Borking (2000), PET – The path to anonymity

26 Hes, Borking (2000), PET – The path to anonymity

27 Reseptregisteret (Forskrift nr Oppstart ) Formålet med registeret er å følge legemiddelbruken til hver enkelt person over tid for å avdekke helseeffekt, bivirkninger etc Muligheter for å krysskoble data med krefteregisteret, dødsårsaksregisteret osv ”Pseudonyme helseopplysninger”: –Helseopplysninger der identitet (fnr) er kryptert eller skjult på annet vis, men likevel individualisert slik at det lar seg gjøre å følge hver person uten at identiteten røpes

28 Reseptregisteret Ingen skal ha samtidig tilgang til både pseudonym, helseopplysninger og personens identitet. –Pseudonymene er underlagt taushetsplikt –Sikret gjennom tekniske/organisatoriske tiltak. (Dessuten straffbart) Dataflyt: –Apotekene sender månedlig sine resepter (i kryptert form) og fødselsnummer (ikke kryptert) til SSB Har reseptopplysningen og fødselsnummer (lang tradisjon for dette) –SSB er TPF (Tiltrodd Pseudonymforvalter). Foretar pseudonymisering av fødselsnummer og rekvirentnummer Har fødselsnummer og pseudonym Reseptopplysninger i kryptert form –Reseptregisteret mottar reseptene og dekrypterer dataene, men nå med pseudonyme identiteter Pseudonym Reseptopplysningene (i dekryptert/lesbar form)

29 Personvernvennlig teknologi - Teknologistøtte for informerte valg EU-direktivets samtykke-modell: ”frivillig, uttrykkelig og informert samtykke” –Personopplysninger ofte samlet inn på en utilfredstillende måte ifht lovgivningens krav –Forhandling om personopplysninger for tilgang på tjenester –”Usynlig og ubevisst” utlevering/innsamling av opplysninger (IP-adresse, informasjonskapsler, etc) HCI (Human Computer Interface) viktig –Hvordan lage brukervennlige løsninger som gir brukeren kontroll og oversikt over tjenestene

30 P3P (Platform for Privacy Preferences) –Utviklet av Word Wide Web Consortium: ( –Final P3P 1.0 Recommendation ferdig 16. april 02 –Et nettsted kan uttrykke sin personvernpolicy i XML-format –Internet Explorer 6 kan lese denne automatisk og sammenlikne denne med brukerens egne personvernpreferanser

31 Virksomhetens server Kilde:

32 Brukerens PC Kilde:

33

34

35

36

37

38 Teknologistøttet identitetshåndtering (Identity Management) Hvordan kan teknologi støtte brukernes håndtering av ulike identiteter? Hjelp til å veksle mellom ansvarlige pseudonym og pseudonymer som vanskelig kan knyttes til brukeren Funksjonalitet for å garantere attributter knyttet til pseudonymer Støtte for informerte valg Tilgjengelighetsstyring

39 Microsoft.Net Passport Internet autentiseringstjeneste som tilbyr “single sign-in” på tvers av mange deltakende websider –Brukere sparer tid og unngår repeterende innlogginger –Blir medlem bla ved å opprette en hotmail-konto Oppstart i 1999 Januar 2003: 250 millioner kontoer worldwide, 69 eksterne websider Har endret og fjernet noen tjenester pga pålegg fra personvernmyndigheter

40 Microsoft.NET Passport Identity Provider Service Provider End users

41 Art. 29 WP on on-line authentication services Krav om endringer: –Informasjonen til sluttbrukere –Innhentingen av samtykke –Proporsjonaliteten og kvaliteten av lagrede og overførte opplysninger –Personvernstandarden til tilknyttede sider –Nødvendigheten av en unik identifikator Råd: Klare avtaler mellom partene hvor forpliktelsene til hver part gjøres eksplisitt Vurderingene gjelder også andre identity management / autentiseringssystemer

42 Liberty Alliance Et ad-hoc prosjekt, startet opp i 2001, mer enn 150 selskaper, ideelle organisasjoner, og myndigheter verden over Støtter utviklingen og bruk av en ”open, interoperable standard for federated network identity” Det finnes allerede en rekke Liberty- enabled products, bla fra HP, Novell and SUN.

43 Source: Identity Management Systems (IMS): Identification and Comparison Study Independent Centre for Privacy Protection and Studio Notarile Genghini 2003, p. 159

44 Forskning på IDM PRIME -

45 Forventninger til PETs Med tilgjengelige PETs burde man forvente at det må begrunnes hvorfor man velger den personvernkrenkende løsningen Med tilgjengelige PETs vil personvern- ekspertise og systemutviklere kunne snakke ”samme språk” PETs vil kunne bidra til å øke publikums tillit til tjenester fordi personvernet er ivaretatt

46 Utfordringer for PETs Personvern på autopilot? Holder krypteringen i lengden? PETs for hvem? –Sluttbruker, infrastruktur og virksomheter Gir PETs den fleksibilitet som folk ønsker når de vil kommunisere med andre? Hvordan skal hensynet til personvern (og anonymitet) balanseres med hensynet til kriminalitetsbekjempelse?