Jagten på genbrug af offentlige it-systemer til brug for en serviceorienteret arkitektur (SOA) udfordrer privatlivsbeskyttelsen, hvis vi ikke undgår at bruge den laveste fællesnævners sikkerhed til beskyttelse af privatlivet.
Det siger Søren Duus Østergaard, senior eGovernment advisor hos IBM og formand for Alexandra Instituttets forskningscenter for sikkerhed, som i denne uge var taler på privacy-konferencen Pyt med Privatlivet.
Truslen fremkommer for ham at se, hvis man blot laver generelle single-sign-on-løsninger, altså en adgangsløsning hvor borgeren umiddelbart har adgang til samtlige systemer, uden at der etableres kontrol med, hvilke dele af de enkelte it-systemer, brugeren har adgang til.
"Det er den mindst smarte måde at gøre det her på, for der ligger jo sikkerhedsregler for, hvad den enkelte må få adgang til på enkelte systemer," siger Søren Duus Østergaard.
I stedet fremhæver han sundhed.dk som et eksempel på en løsning, hvor brugerne har en rollebaseret adgang. Til de forskellige systemer.
"Hvis du er læge, kan du få adgang til nogle oplysninger. Hvis du er patient, kan du få adgang til andre, typisk færre, mere specifikke oplysninger med et bestemt formål," siger Søren Duus Østergaard.
Den idé til adgang ser han gerne indført på alle offentlige og for den sags skyld også private systemer.
Hvem skal eje dine data
Ifølge Søren Duus Østergaard er en af problemstillingerne i forhold til privatlivets fred og offentlige systemer, spørgsmålet om, hvem der har ejerskabet over data.
"På længere sigt er holdningen nok, at det bør være den enkelte, som skal kunne gå ind og eje sine egne data," siger Søren Duus Østergaard.
Det vil til gengæld give et ansvar for den enkelte borger overfor at holde data ajour og opdateret og sikre, at det er de rigtige data, som er til rådighed for systemet.
"Hvis man tænker tanken igennem, vil man om nogle få år have en anden borgertilgang til begrebet privacy," siger Søren Duus Østergaard.
Alle data som et stort tag selv-bord
Ifølge Søren Duus Østergaard er spørgsmålet, hvilket samfund vi ønsker i fremtiden. Der er udsigt til flere dystopier for privacy, afhængigt af hvad vej vi vælger. En af mulighederne er big brother-samfundet, hvor staten ejer alle informationer om borgerne.
Omvendt har vi også muligheden for den globale landsby, hvor informationen flyder frit på nettet, og alle data er et stort tag selv-bord, en slags videreførelse af de helt unge netbrugers tilgang til privatlivsbeskyttelse, forklarer Søren Duus Østergaard.
"Det er nok ikke så hensigtsmæssigt, og det kan være meget svært at få den offentlige service til at fungere i sådan et samfund," siger Søren Duus Østergaard.
Muligheden for et fuldstændigt anonymt samfund er også reel. Men ifølge Søren Duus Østergaard dur denne samfundsstruktur ligesom de to førnævnte ikke, fordi grundlaget i et demokrati er, at man tager ansvar og identificerer sig i de sammenhænge, hvor det er nødvendigt.
"Det bliver formentlig ikke til noget, for vi kan ikke samtænke en offentlig service i sådan et miljø," siger Søren Duus Østergaard.
Derfor er løsningen ifølge Søren Duus Østergaard at opnå en formålsbestemt privacy, hvor borgeren kan nøjes med at afgive den information som er nødvendig i den givne sammenhæng og med borgerens viden om formålet.
Han peger på det kommende tyske id-kort som eksempel på en løsning, som opfylder dette krav.
Nok information i situationen
Ifølge Søren Duus Østergaard er Danmark det eneste land foruden Kroatien, som ikke har et internationalt europæisk id-kort. Tyskland har været længe om det, fordi landet har en meget krads datasikkerhedslovgivning, men er ved at indføre et kort, som har de omtalte kvalifikationer.
Kortet gør det eksempelvis muligt for borgeren at nøjes med at bevise, at han er en tysk statsborger, som er gammel nok til at købe alkohol eller stemme. Men han kan også afgive sin fulde id, eksempelvis i forbindelse med ansøgning om offentligt tilskud.
"Afhængig af informationen, bestemmer du selv hvor meget information du vil slippe," siger Søren Duus Østergaard.