Klaus Kvorning Hansen, formand for Dansk IT og direktør for strategi og udvikling i PenSam. Dansk IT slår på tromme for, at Danmark helt skal afskaffe persondataloven. Hvorfor nu det?
"Det gør vi lidt som en provokation, fordi vi mener, at man på vejen mod det, som vi har døbt 'd-land' (det digitale samfund, red.), bør se kritisk på den lovgivning, der har at gøre med det analoge samfund.
Her mener vi, at persondataloven er en af de lovgivninger, der i ringest omfang er tilpasset den nye digitale virkelighed, som vi er på vej mod.
Vi vil ikke afskaffe persondatasikkerheden, men persondataloven er et levn fra gammel tid."
Hvordan det?
"Den beskytter personoplysninger på en måde, som vi ser afkræftet i dag.
Et godt eksempel er Facebook, hvor folk ikke opfatter de oplysninger, de afgiver, som noget, de er specielt interesserede i at holde for sig selv.
Vi er desuden alle sammen udsat for - på godt og ondt - at de analyser, der udarbejdes på baggrund af vores adfærd, medfører, at vi får nogle målrettede tilbud.
Persondataloven virker hæmmende på nogle områder, hvor vi ellers kan udnytte de digitale teknologier.
Et andet eksempel er udnyttelsen af cloud'en, hvor mange virksomheder holder sig tilbage, fordi man er usikker på, hvad det kan have af konsekvenser i forhold til for eksempel persondataloven."
Fysisk placering er ligegyldig
Odense Kommune har uden held forsøgt at få Datatilsynets godkendelse til at bruge Google Apps på grund af usikkerhed om sikkerheden - primært fordi man ikke ved, hvor data vil blive opbevaret, ligesom Datatilsynet så problemer med håndtering af såkaldt 'uigenkaldelig sletning af data'. Hvordan skulle Odense Kommunes setup se ud, hvis du fik din vilje?
"Så skulle det naturligvis være muligt at kunne udnytte de muligheder, der ligger - i dette tilfælde for skoleelever - og at man kommer ind på en helt anden tankegang end den, hvor det er vigtigt, hvor data ligger fysisk.
Det passer simpelthen ikke sammen med det moderne samfund, hvor data fløjter rundt i universet, at man mener, at det giver en øget sikkerhed, at man kan gå hen og pege på den fysiske server, hvor data er placeret.
Dér hopper kæden af. Det er simpelthen ikke tidssvarende, og det giver falsk tryghed, for de data kan jo forvanskes eller opsnappes undervejs.
Der er kommet en udmærket vejledning fra IT- og Telestyrelsen om, hvad man skal gøre i forbindelse med cloud'en, hvor det bliver nævnt, at der jo er visse lande, der er godkendt som safe habour til opbevaring af data.
Men det at opsnappe personlige data er jo ikke et spørgsmål om at bryde ind i en serverfarm og stjæle en server. De kan sagtens opsnappes undervejs, og vi skal prøve at ændre ved ideen om, at data er fysisk til stede og skal beskyttes på samme måde som en gammeldags hængemappe."
Sikkerheden skal bevares
Persondataloven er til for at holde hånd i hanke med danskernes personlige data. Er det ikke nødvendigt at sikre disse data ved lov - uanset om vi lever i en digital eller analog verden?
"Jo, og vi skal heller ikke afskaffe sikkerheden for folks personlige data.
Men vi kan altså på en række områder se, at borgerne er mindre tilbageholdende med hensyn til at eksponere vores personlige data, fordi det er til gavn og nytte for den enkelte, mens persondataloven på visse områder er en hindring for at tage det næste skridt.
Når det gælder sagen med Odense Kommune, så tror jeg ikke, at hverken eleverne eller forældrene ville have opfattet det som en risiko at bruge Google Apps sammenholdt med, hvad de i øvrigt tillader deres unger at foretage sig."
Her er løsningen på problemet
Fortalerne for persondataloven mener, at det er vigtigt, at danskernes personlige oplysninger bliver i Danmark, fordi man er bange for, at stærkt personlige data om danskerne kan ende i Kina, USA, Afghanistan eller andre steder. Hvis man overhovedet aner, hvor de er. Er det en overvurderet frygt?
"Ja. I hvert fald til den adfærd, som vi ser den gennemsnitlige borger udfolde på nettet.
Man kunne jo overveje en model, hvor man overlader det til den enkelte at beslutte, og hvor den enkelte er oplyst om, hvor man efterlader sig personlige spor af data.
Dermed kunne det være et bevidst valg, som den enkelte træffer hver gang i stedet for at have en myndighed, der skal regulere det her på borgernes vegne.
I den moderne og globaliserede verden er det efter min mening en næsten umulig opgave at løse."
Anvendelsen er det afgørende
Nogen kan altså vælge at lægge deres data i Afrika, mens andre kan vælge Italien. Hvor går grænsen for hvilke persondata, den enkelte skal bestemme over?
"For mig er anvendelsen det afgørende. Jeg udleverer mine data til dem, som jeg har tillid til kan behandle dem på relevant vis. Jeg er ligeglad med, om mine data ligger på en server i Malawi, hvis dem, som jeg udleverer dem til, behandler dem på en måde, der er hensigtsmæssig for mig.
Det er jo mine data, og så er det vel også mig, der er bedst til at passe på dem - eller undlade at passe på dem.
Persondatalovens intentioner om at hindre suspekte virksomheder eller individer i at manipulere med eller misbruge data er ganske udmærket, men den er umulig at opfylde i en moderne verden."
Tager allerede stilling i dag
Kan man forvente, at alle danskere vil være i stand til at tage stilling til, hvor deres egne data skal placeres?
"Ja, for min pointe er, at vi alligevel tager aktivt stilling til det hver eneste dag. Vi udleverer dem hele tiden på sites rundt omkring i verden - som minimum navn og adresse.
Kig på Facebook, hvor man hælder sine personlige data ud til alle de venner, som man er meldt ind til. Og LinkedIn, hvor ens cv ligger frit tilgængeligt.
Jeg har ikke løsningen. Vores pointe i Dansk IT er, at vi er nødt til at se meget grundigt og fordomsfrit på persondataloven i det perspektiv, at den er tænkt i den analoge verden.
Vi bliver nødt til at tilpasse loven det faktum, at vi er på vej ind i en ny verden.
Det gælder også synet på, hvad personlige data egentlig er. Er det CPR-numre? Hmm tjah. Vi har jo efterhånden et andet syn på CPR, end vi havde for 20 år siden.
Er det min sygejournal? Ja, det er det jo nok, men vi fortæller jo hjertens gerne om alle vores gebrækkeligheder på Facebook, mens de vigtige ting til for eksempel en jobsamtale er oplysninger og billeder, der ikke er beskyttet, men som kan findes frit på Facebook.
Den slags forhold kan persondataloven simpelthen ikke rumme, og så burde ambitionen med den måske være en anden."
Hvordan ville det lyde, hvis du skulle formulere den ambition i én sætning?
"Så skulle det være, at "regulere personens egen ret til egne data."