I løbet af sommeren 2011 kommer EU-Kommissionen med et nyt udkast til en revision af persondata-direktivet. I København blev der forleden afholdt en europæisk workshop om emnet, hvor Forbrugerrådet, Teknologirådet og DI ITEK sammen med EU-Kommissionens repræsentation i Danmark inviterede udvalgte eksperter til debat om, hvordan de nye principper skal se ud.
Resultatet af disse drøftelser er blevet til ”Copenhagen Privacy Principles”, som netop er offentliggjort. Disse anbefalinger skal nu sendes videre til EU-Kommissionen.
Blandt de væsentligste pointer er, at direktivet i langt højere grad end i dag skal sikre at it-systemer designes på en sådan måde, at privatlivets fred beskyttes. Der skal anvendes en såkaldt Privacy Impact Assessment. Desuden anbefales det, at den offentlige sektor kan agere som driver på området, at de europæiske datatilsyn skal styrkes særligt på det tekniske område og at der er behov for mere opmærksomhed på området.
Workshoppens deltagere har bl.a. ønsket at det kommende persondatadirektiv baner vejen for at der sker en ensartet implementering af beskyttelse i de forskellige EU-lande.
”I dag fortolkes persondatadirektivet forskelligt i de forskellige lande. Det vil styrke borgernes sikkerhed at de ved at de samme regler gør sig gældende uanset hvilken europæisk online service de benytter, så de ikke skal sætte sig ind i de enkelte landes regulering. Tilsvarende vil det være en lettelse for europæisk erhvervsliv, der ikke skal indrette deres services efter fortolkningerne i de enkelte lande, men i stedet kan tilbyde én samlet sikker service”, siger Henning Mortensen fra DI ITEK, som er en af initiativtagerne til workshoppen.
Han fortæller at deltagerne på workshoppen gav udtryk for at de europæiske datatilsyn generelt har for få ressourcer til at løfte deres opgaver. Særligt på den tekniske front er der behov for at styrke datatilsynene så de bliver i stand til at stille krav, der svarer til, hvad man kan opnå af beskyttelse ved at anvende moderne privatlivsbeskyttende teknologier.
”Vi kan konstatere at de nye metoder og teknologier, som er udviklet til at beskytte privatlivets fred anvendes i alt for begrænset omfang. Workshoppens deltager har lagt vægt på, at privatlivets fred designes ind i it-systemerne, og at man anvender særlige privatlivsfremmende teknologier. Det vil være særdeles nyttigt hvis man fra centralt europæisk hold kan lave nogle retningslinjer for hvordan dette kan foregå på en ensartet måde i Europa”, siger Henning Mortensen til ComON.
Han mener at datatilsynene sidder med en vigtig nøgle til en harmoniseret implementering af loven mellem landene. Derfor skal de samarbejde bedre på europæisk plan og komme med enslydende fortolkninger af hvordan loven skal implementeres.
”Workshoppen finder det helt afgørende at man i fremtiden laver en risikoanalyse set fra brugernes synspunkt når et it-system behandler personfølsomme data. Risikoanalysen skal vise, hvor der er behov for at sætte ind. Den skal også vise om der er behov for at lave en grundigere analyse kaldet en Privacy Impact Assessment. EU Kommissionen har allerede lavet en skabelon for privacy risiko analyser på RFID-området. Dette arbejde bør følges op af skabeloner for analyserne på andre områder, så vi kan sikre en ensartet fortolkning og implementering af direktivet i Europa," slutter han.
Principperne kan ses på projektets hjemmeside og hos DI.
