Timingen kan ikke være bedre.
Samme dag som en konference stiller skarpt på, hvordan teknologi kan sikre enkeltindividers privatliv, er de engelske avisers forsider domineret af nyheden om, at 25 millioner englænderes personfølsomme data er gået tabt.
Timingen er god, men hændelsen dybt beklagelig.
Konferencen 'Privacy Enhancing Technologies: How to create a trusted information society' støttes blandt andet af EU-kommissionen, der vil bruge konferencens konklusioner til sin prioritering af forskningsprojekter.
Her diskuteres, hvordan man bedst sikrer den såkaldte privacy, som dækker over privatlivets fred og dermed også personfølsomme data.
Vi befinder os i Deans Yard ved siden af Westminster Abbey. Midt i London og kun et stenkast fra det engelske parlament, hvor premierminister Gordon Brown bliver hudflettet af oppositionen for den hidtil største privacy-skandale i England.
I den imponerende bygning Church House er formiddagen afsat til en række talere fra EU, Microsoft, universiteter og sikkerhedsfirmaer.
De fleste vælger at se de bortkomne personoplysninger som en mulighed for at få mere opmærksomhed omkring privacy.
Privacy er sikkerhed
"Det er en elendig dag for engelsk privacy, men et godt udgangspunkt for at tale om hvordan vi sikrer privacy," siger Jonathan Bamford, fra den engelske databeskyttelsesmyndighed (Office of the Information Commisioner), mens han vifter med The Times.
'25 millioner risikerer at blive udsat for ID-svindel', står der på forsiden sammen med et billede af politifolk, der er igang med at lede efter de to diske med ukrypterede personfølsomme data, som er forsvundet, efter de blev sendt fra det engelske skatevæsen som almindelig post til en anden offentlig myndighed.
En skandale, der blot ventede på at ske, ifølge flere konferencedeltagere.
Problemet med de fleste it-systemer er, at man ikke indtænker privatlivsbeskyttelse i design af it-systemer.
"Databeskyttelse skal indbygges i systemerne, det skal ikke blot hæftes på bagefter," siger Jonathan Bamford.
Konferencen er ikke kun aktuel på grund af de bortkomne personfølsomme data, men også grundet den store indsamling af data om privatpersoner som vestlige regeringer for tiden er i gang med.
Dataindsamlingen sker for at sikre befolkningen og er et led i den såkaldte krig mod terror. Her er tankegangen, at hvis man vil have mere sikkerhed, bliver man nødt til at ofre noget privacy.
Men den tankegang er forkert, er meldingen fra konferencen.
Privacy er en forudsætning for sikkerhed.
Den skandinaviske model er forældet
Det mener blandt andre Ulf Dahlsten, leder af EU-kommisionens Emerging Technologies og Infrastructures, der ser sikring af privacy som en forudsætning for den tillid et samfund bygger på.
"Samfundet bryder sammen, hvis der ikke er tillid. Vi skal derfor finde ud af, hvordan vi sikrer tillid mellem befolkning og politikere, samtidigt med at der tages initiativer til terrorbekæmpelse. Privacy er en del af sikkerheden"
Han suppleres af Peter Schaar, formand for EU-gruppen Article 29 Working Party, der rådgiver EU-Kommisionen om databeskyttelse. Han angriber ideen om centraliserede systemer med een central nøgle til alle oplysninger. Et princip som anvendes i stor stil i Danmark med cpr-nummer som unik nøgle:
"Privacy er sikkerhed. Vi får sikkerhed ved at indbygge privacy i systemerne. Den skandinaviske tankegang med et globalt unikt ID er en gammeldags tankegang. Hvad er alternativerne? Pseudonymisering og anonymisering."
Han nævner blandt andet selvgenererede pseudonymer som eksempelvis email-adresser. Her kan brugeren selv vælge et pseudonym, som han er kendt under i en given sammenhæng.
En anden form er reference pseudonym, som blandt andet anvendes i medicinske test. Her er alle data anonyme, men det er muligt at bryde anonymiteten, hvis det er nødvendigt af hensyn til forsøgspersonernes sikkerhed.
En tredje mulighed er en-vejs anonymisering, som anvendes i statistik. Her er alle data anonyme.
Selvgenererede pseudonymer er en måde hvor kontrollen med data lægges ud til borgerne.
Borgere skal have kontrollen over data
At borgerne skal have større kontrol over data, er en udbredt holdning blandt de forsamlede forskere, EU-folk, it-folk og sikkerhedsfolk.
"Forskellige ID-data og profiler skal kontrolleres af brugeren," siger Ulf Dahlsten.
"Det er et spørgsmål om Identity Management. Brugere skal have kontrol over deres information," lyder det fra Jonathan Bamford.
Danskeren Stephan Engberg, som har specialiseret sig i Privacy Enhancing Technology (PET) gennem sin virksomhed Priway, er på konferencen for at fortælle om, hvordan PET kan anvendes.
"Privacy er sikkerhed. Ved hjælp af PETs bryder vi med forestillingen om nulsums-tradeoff (hvis en del øges, formindskes en anden del tilsvarende, red.) i eksempelvis
frihed kontra sikkerhed og deling kontra privacy," siger Stephan Engberg.
Som eksempel på en PET-teknologi nævner han RFIDsec, som giver brugeren mulighed for at tage kontrollen over RFID-chips.
Stephan Engberg mener, at man skal gentænke store dele af den danske offentlige it-arkitektur og indbygge teknologi, der sikrer privacy.
"Uden PET eroderer sikkerhed hurtigt. Vi tror, vi gør alting sikrere, men i realiteten bliver det mere usikkert," mener Stephan Engberg.
Stephan Engberg efterfølges af Caspar Bowden, Chief Privacy Advisor, Microsoft EMEA, der slutter sig til kritikken af centraliserede monolitiske løsninger.
Det er en kritik, som blandt andet bygger på Microsofts dyrtkøbte erfaringer med sit passport-projekt.
"Med en universel ID, så er privacy essentielt forbi. Samtidigt skal løsningerne ikke invadere brugernes oplevelse, når de bevæger sig rundt på nettet.
.Net Passport var centraliseret og monolitisk," siger Caspar Bowden,
I stedet for et globalt unikt ID, kan brugeren have en række forskellige digitale identiteter, som brugeren kontrollerer.
Den løsning udforsker Microsoft for tiden i Windows CardSpace.
Efter formiddagens præsentationer, fortsatte konferencen i en række arbejdsgrupper, der skulle kommentere på en række teknologier.
Computerworld deltog i arbejdsgruppen omkring videoovervågning.
Læs mere om videoovervågning, der identificerer unormal opførsel, indbyggede fordomme i overvågningsystemer og overvågningssystemer, der hackes, her:
