I en tidligere klumme skrev jeg om fire bærende og ufravigelige principper, som Microsoft opererer under.
Vores principper er ikke nye ej heller groundbreaking. Men i kølvandet på den generelle bekymring omkring internetsikkerhed har de stor værdi for os som virksomhed.
Disse ufravigelige principper er ikke alene fundamentet for en succesfuld forretning, de er også med til at sikre et demokratisk samfund som vores. Særligt princippet om retten til privatlivsbeskyttelse fortjener stor opmærksomhed i øjeblikket - fra borgere såvel som myndigheder og virksomheder.
Retten til privatliv er en menneskeret
Vi starter med det helt fundamentale.
I artikel 17 i verdenserklæringen om menneskerettigheder er retten til privatliv beskrevet som en grundlæggende rettighed. I den europæiske menneskerettighedsdeklaration definerer vi så et par omstændigheder, som kan retfærdiggøre at retten krænkes, herunder hensynet til landets sikkerhed, offentlig tryghed m.m.
Når vi definerer privatlivet som en grundlæggende ret, styrker det tilliden og trygheden blandt mennesker. Når vi samtidig definerer et par undtagelser, sker det for også at sikre, at vi som samfund har regler, der gælder i de tilfælde, hvor den samlede tryghed/sikkerhed i en nation, er i konflikt med den enkeltes ret til privatliv.
Som borgere nyder vi alle godt af disse principper og regler. Vi har generelt stor tillid til, at myndighederne udelukkende bringer undtagelserne i spil, når det er tvingende nødvendigt - og at dette kun sker efter en grundig juridisk proces.
På den måde ved vi, at samfundet forbliver trygt og godt; vi har tillid til samfundet. Og alt dette lyder jo herligt - men desværre ser vi også, at denne præmis er under pres.
Pres på princippet om retten til privatliv
Gennem mere end 20 år har internettet været i konstant vækst, og i dag er hovedparten af de tilbud og tjenester, vi som borgere, virksomheder og myndigheder anvender, baseret på én eller anden form for internetteknologi.
Desværre har vi set en række sager, hvor retten til privatliv og lovgivningen om behandling af vore personlige data er blevet krænket.
Dette er sket som følge af simple kriminelle handlinger (tys tys kilden), det er også sket i tilfælde af avanceret hacking (CSC-sagen), det er sket ved ubetænksom omgang med data (Integrationsministeriets "smutter") og desværre har vi også grund til at formode, at der har været tilfælde af statsstøttet hacking eller anden form for spionage og/eller overvågning.
I kølvandet på disse bekymrende sager ser vi i disse dage diskussionen om, hvorvidt man kan/skal slække yderligere på princippet om retten til privatliv.
Her mener nogle, at vi som samfund ikke kan sikre os godt nok, hvis vi fastholder de eksisterende principper. Emnet fylder endnu ikke så meget i den brede politiske debat, men enkelte politikere synes dog at mene, at man rent politisk måske er gået for langt i forhold til at bøje princippet om retten til privatliv.
En debat, som Microsoft hilser meget velkommen!
For selvom der umiddelbart kan syntes at være nogenlunde enighed om at fastholde princippet om retten til privatliv, så skal der oftest kampagner til som fx Forbrugerrådets 'Hvis din bagerjomfru var en app!', før det bliver tydeligt for den enkelte, hvor vigtigt et princip vi kan være i færd med at give køb på, og derfor overses effekten i jagten på at vise handlekraft, når det gælder vores digitale sikkerhed.
Cloud computing og princippet om retten til privatliv
For organisationer verden over - virksomheder, regeringer og NGO'er - er specielt brugen af cloud computing blevet en essentiel del af it-strategien.
Selv EU har set potentialet i cloud og adgangen til nærmest ubegrænset kapacitet for lagring og databehandling, ligesom de har set fordelene i frigørelsen af ressourcer fra vedligehold, indkøb, opgradering etc., når man kun betaler for den kapacitet, man reelt forbruger.
Desværre er der stadig en opfattelse af, at man ikke længere kan sikre retten til privatliv, når man ønsker at nyde godt af fordelene ved cloud computing.
Men dette er en stor misforståelse.
Når man gør brug af cloud computing-løsninger, opnår man som udgangspunkt hverken mere eller mindre privatlivsbeskyttelse. Man skal derimod overveje, hvilke principper der ligger bag en løsningen - og tænke over, hvordan man som bruger/kunde/borger sikrer sig, at disse principper efterleves.
Det bør altid være et kerneprincip at bygge løsningen med udgangspunkt i bedst mulig indbygget sikkerhed (security by design) og konstant at forbedre samme.
Ligeså bør det være helt naturligt, at netop privatlivsbeskyttelsen er tænkt ind fra starten (privacy by design), ligesom det er essentielt at sikre en løbende revision af principperne bag (compliance & transparens).
Hos Microsoft prioriterer vi disse grundprincipper meget højt i alle vores løsninger, og vi arbejder stålsat på at sikre princippernes udbredelse, kvalitet og tyngde både nationalt og internationalt.
Vi ser nu, hvordan både analytikere og branchen som sådan er nået til en konsensus om, at cloud computing i mange tilfælde sikrer et højere sikkerhedsniveau sammenlignet med de mere traditionelle løsninger. Dette er en positiv udvikling - selvom man altid bør vælge sin leverandør med omhu.
Kan man behandle personfølsomme data i cloud?
Det korte svar er ja. Det er dog underordnet, hvorvidt man bruger cloud eller ej - det handler netop om principperne og leverandøren bag.
I slutningen af 2014 etablerede den internationale standardiseringsorganisation (ISO) den første specifikke cloud privacy-standard (ISO27018), og i starten af 2015 kunne Microsoft annoncere, at vi har implementeret alle kontrollerne i standarden til fulde.
Ud over de kontraktlige forpligtelser, som er standard for vores cloud-løsninger (såsom EU Model Clause og den danske sikkerhedsbekendtgørelse), så baserer vi vores cloud-leverancer på følgende principper:
- Dine data bruges ikke til reklameformål
- Microsoft vogter over dine data og anvender dem udelukkende til de formål, som er nødvendige for de tjenester, du bruger
- Hvis en myndighed kontakter os med henblik på at få adgang til kundedata, sender vi forespørgslen videre til dig. Vi gør altid indsigelser ad rettens vej, hvis kravet er ugyldigt eller hvis vi forbydes at offentliggøre informationer om anmodningen
- Vi stiller vidtrækkende kontroller til rådighed, så du selv kan styre beskyttelsen af personlige oplysninger - herunder hvem i organisationen der har adgang til data, og hvilke data de har adgang til
- Vi offentliggør antallet af anmodninger fra ordensmagten via vores gennemsigtighedsrapporter.
- Og skulle du beslutte at forlade os, kan du naturligvis tage dine data med dig
Hvis vi alle kan blive enige om dette grundlag, så er der kun én ejer af dine data - og det er dig.