Id-jakt med gode hensikter

Id-jakt med gode hensikter
Id-jakt med gode hensikter
Artikkelen fortsetter under annonsen

I USA sporer forskere opp folk som er i faresonen for id-tyveri, og varsler dem. En ide også for Norge?

Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

Artikkelen fortsetter under annonsen

Formelt sett er det greit: I Norge er du og jeg vernet av loven mot krenkelse av personvernet. Men i realiteten sprer både institusjoner, bedrifter og medborgere informasjon om oss i øst og vest. Mange av oss bidrar selv også. Og noe av dette kan være ting vi absolutt ikke vil ha på avveie.

Ikke minst har vår innveving i alskens digitale tjenester økt faren for brudd på personvernet. Identitetstyveri er en reell trussel . Mange har skandalen med tyveri av personnumre fra blant andre Tele2 friskt i minne.

Derfor er forskning på såkalt personvernfremmende teknologi, forkortet PET, blitt et eget fagfelt. Målet er å finne fram til teknologiske løsninger som styrker personvernet, ikke svekker det.

Digitalt detektivbyrå

IT-forskere ved Carnegie Mellon University i Pennsylvania har valgt en original tilnærming til sine PET-prosjekter. De arbeider som et slags digitalt detektivbyrå. Et av prosjektene, kalt "Identity Angel", skal forebygge id-tyveri. Forskerne har laget et program som søker gjennom webben etter informasjon om personer. Når de klarer å påvise at en person er i fare for å få sin identitet misbrukt, går alarmen. Personen blir varslet og kan ta sine forholdsregler.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

- Personvern dreier seg om smulene av informasjon vi legger igjen etter oss i dokumenter spredd utover nettet - i pasientjournaler, finanstjenester, CV-er og annet, sier Latanya Sweeney, leder for Data Privacy Lab ved Carnegie Mellon, til Scientific American.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

Id-tyveri: Ubehagelig og kostbart

En vennligsinnet form for personvernsniffing kunne vært fullt mulig, mener Åsmund Skomedal ved Norsk Regnesentral. Foto: Olav Anders ØvrebøEn vennligsinnet form for personvernsniffing kunne vært fullt mulig, mener Åsmund Skomedal ved Norsk Regnesentral. Foto: Olav Anders Øvrebø

I USA holder det å få tak i navn, adresse, fødselsdato og såkalt Social Security-nummer for å kunne opprette et kredittkort i en annens navn. En tilsvarende tjeneste som Identity Angel i Norge ville fungere annerledes, siden informasjonen som gjøres offentlig av myndighetene er forskjellig i Norge og USA, påpeker forskningsdirektør Åsmund Skomedal ved Norsk Regnesentral.

I Norge ville for eksempel skattelistene være en ganske rik kilde for den som vil bygge seg opp et datagrunnlag.

Artikkelen fortsetter under annonsen

– Man kunne lage en sånn type tjeneste som en vennligsinnet form for personvernsniffing, som kunne varsle folk som er i faresonen for å bli misbrukt i forbindelse med id-tyveri og annet. Det er fullt mulig, sier Skomedal til ABC Nyheter.

Han mener bevisstheten om personvern har vært økende de siste årene.

- Konsekvensene av brudd på personopplysningsloven er ikke bare ubehag. Et ordentlig identitetstyveri er kostbart. For den som blir frarøvet identiteten sin, men også for banker og kredittkortselskaper.

Teknologer må våkne

En av de største truslene mot personvernet er at IT-folk ikke tenker på dette når de teknologiske løsningene utformes, mener Skomedal. Veldig få teknologer har kompetanse på personvern. Det betyr at man ikke bygger personvernet inn i den tekniske løsningen. Isteden "tas det hensyn til" i form av et regelverk på papir.

Artikkelen fortsetter under annonsen
Artikkelen fortsetter under annonsen

- Så sier man at man har rutiner for å ivareta personvernet, og da er problemet løst - tenker man, sier Skomedal.

For teknologer er "standardinnstillingen" å lagre all informasjon i evig voksende databaser som det tas backup av. Dette henger sammen med et typisk personvernproblem: data blir ikke oppdatert eller fjernet når de bør fjernes - det vil si når det ikke lenger er rimelig grunn til å lagre dem.

- Man skal alltid ha et bevisst forhold til hvilket formål man har med å lagre personopplysninger. Når det formålet ikke eksisterer lenger, skal dataene slettes, sier Skomedal.

Flere tjenester, større personvernfare

I et av sine prosjekter vurderer forskere ved Norsk Regnesentral nå personvernproblemer i web-baserte portaler. Den statlige portalen Minside brukes som case. Tjenesten skal effektivisere kommunikasjonen mellom den enkelte statsborger og en rekke offentlige organer og tjenester, som skattemyndigheter, folkeregister, fastlegeordning og så videre.

Artikkelen fortsetter under annonsen

Dette kan være praktisk, men det er nettopp når flere tjenester som inneholder sensitive personopplysninger kobles sammen med din identitet at personvernproblemene øker, påpeker Skomedal. I loven som regulerer personvernet er blant annet disse opplysningene ansett som sensitive: etnisk bakgrunn, politiske/religiøse oppfatninger, helseforhold, kriminelt rulleblad.

Forskerne har foreløpig ikke konkludert i denne studien.

Kamerainflasjonen

Med jevne mellomrom diskuteres effekten på personvernet av alle overvåkningskameraene som utplasseres i det offentlige rom.

Artikkelen fortsetter under annonsen

Et annet av prosjektene ved Carnegie Mellon går ut på å "de-identifisere" personer som fanges opp av overvåkningskameraer. Dette gjøres ved at et program forandrer ansiktstrekkene til personene som er filmet. Når myndighetene kan dokumentere en gyldig grunn til å søke etter personer i databasen, kan de "riktige" ansiktene presenteres igjen. En slik grunn kan være en konkret terroretterforskning. Hensikten er å hindre at opptak kan brukes til noe annet enn det de er ment for. Et godt eksempel på PET-anvendelse, mener Åsmund Skomedal.

Artikkelen fortsetter under annonsen

Vil spore innsyn

Offentlige myndigheter kan med loven i hånd få innsyn i sensitive personopplysninger. Det sentrale er at innsyn gjøres riktig og kan etterprøves, mener Skomedal.

- Dette er også en form for PET: Teknologi som gir sporbarhet på alt innsyn, sier han.

Temaet har vært diskutert i forbindelse med innsyn i pasientjournaler. Datatilsynet har foreslått at du skal bli informert om alle innsyn i din journal. Bakgrunnen er meldinger om at sykehusansatte misbruker sin tilgang til journalene.

Regjeringen oppnevnte tidligere i år en egen personvernkommisjon som skal komme med forslag som kan styrke personvernet. Regjeringen har tidligere sagt at den vil støtte utviklingen av personvernfremmende teknologi.