Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 20. september 2002.
Mængden af persondata på elektroniske netværk og dermed risikoen for misbrug øges hastigt. Derfor skal brugen af CPR-nummeret og digitale signaturer kombineres med virtuelle identiteter, mener Stephan Engberg fra Open Business Innovation.
På internettet er der ingen, der ved, at du er en hund.
Eller sådan plejede det at være. Realiteten er, at man i dag efterlader meget detaljerede spor, når man surfer rundt på nettet og logger sig ind og ud. Udviklingen går mod store identifikationstjenester som Microsoft Passport og konkurrenten Liberty Alliance, hvor både identitet, adresse, yndlingsinteresser og kreditkortnummer er kendt og lagret på centrale servere i for eksempel USA.
Også i det offentlige Danmark er store nye systemer som Erhvervsportalen, Sundhedsportalen og digital signatur på vej.
Stephan Engberg, der både er med i EU's Privacy Network of Excellence og stifter af firmaet Open Business Innovation, mener, at det fører frem til en situation, hvor man altid er identificeret og derfor mister kontrollen med den personlige information.
Stephan Engberg sammenligner persondata med plastisk sprængstof. I sig selv er profildata ikke farlige, men når personprofildata bliver kædet sammen med en person eller en virksomhed, giver det mulighed for misbrug. Identifikation er altså detonatoren, som kan få databomben til at eksplodere.
- Den bedste måde at beskytte persondata på er ved enten helt at undgå identificerende information eller isolere den identificerende information til de få, der er nødt til at kende identiteten. Alle andre har bedst af ikke at vide, hvem de har med at gøre, mener han.
Derfor arbejder Stephan Engbergs firma med at opbygge en infrastruktur, hvor man ikke kan lede dataene på nettet tilbage til en person eller en virksomhed. På den måde sikrer man, at de utrolige mængder af persondata, der bliver lagret, ikke længere er så farlige, hvis de bliver lækket, hacket eller etikken skulle glide.
Virtuelle identiteter
Han har indgivet et 180-siders patent, der beskriver hvordan, og løsningen på problemet hedder i korte træk virtuelle identiteter. Den virksomhed eller person, man kommunikerer med på nettet, ser som udgangspunkt kun ens virtuelle identitet.
- Det er i praksis sjældent nødvendigt at kende identiteten, hvis du kan kommunikere og være sikker på, at vedkommende må stå ved, hvad han foretager sig. Pointen er, at man altid kan identificere sig stærkt med sin rigtige digitale signatur, så løsningerne dækker fra næsten-anonymitet til stærk identifikation, siger Stephan Engberg.
Han mener, at man skal undgå at lande i modeller, hvor man er nødt til at stole på en tredjepart, som det i dag er tilfældet mange steder. Et eksempel er mikrobetalingssystemet Valus, hvor brugere få dage efter lanceringen fandt ud af, at de kunne få adgang til andre brugeres oplysninger.
- Jo flere gange, jeg efterlader identificerbare data i en database, jo mere reduceres sikkerheden i samfundet. Ved at bruge virtuelle identiteter kan dataene ikke føres tilbage til mig uden for min kontrol og derfor ikke misbruges. I fremtiden vil virksomheder for at skabe loyalitet, image og sikkerhed sikre sig ikke at kende identiteten på deres kunder, siger Stephan Engberg.
CPR-nummer udgør risiko
Det samme gør sig gældende i det offentlige, hvor specielt brugen af CPR-nummeret som en primær nøgle udgør en stor risiko.
- Vi skal begynde at tænke på det offentlige som et teknisk system, hvor individet har flere identiteter i systemet, siger Stephan Engberg.
Som eksempel nævner han, at områder som sundhed, kriminalitet og skat intet har med hinanden at gøre. Derfor kan den enkelte person godt have forskellige identiteter i de forskellige systemer, og på den måde undgår man risikoen for at data sammenkøres unødvendigt.
Open Business Innovation arbejder for tiden med at lave pilotprojekter inden for digital forvaltning, og Stephan Engberg er i gang med at vise organisationer og ministerier i Danmark, at virtuelle identiteter ikke introducerer et problem for dem, men tværtimod løser problemer.
Han er desuden blevet bedt om at tale om ikke identificerbarhed som et af fem vigtige nye områder inden for sikkerhed på EU's konference om informations- og kommunikationsteknologi i Danmark til november.
Her bliver hans pointe, at man godt kan få det bedste af begge verdener.
- Vi kan godt få effektiviseringsgevinster og servicefordele ud af at digitalisere samfundet og samtidig sætte individet i centrum og undgå overvågning, siger Stephan Engberg.
Billedtekst:
Stephan Engbergs firma arbejder på at opbygge en infrastruktur, hvor man ikke kan lede dataene på nettet tilbage til en person eller en virksomhed.
