Whistleblower – når systemet har givet fortabt

Hvad er det, der sker for tiden med de der whistleblower-historier? Efter bankkrakket virker det som om, at alle større virksomheder med respekt for sig selv skal have en “whisteblower-linie”, hvor ansatte kan ringe ind for anonymt at angive deres kolleger. Blandt andet har Danske Bank oprettet en whistleblower-linie.

Formålet er at stoppe vilde lån og tvivlsomme investeringer. Også Vestas har en sådan ordning – men ifølge denne artikel på business.dk er der faktisk mere “end 50 danske virksomheder [der] står i kø for at få godkendt deres whistleblower-ordning, så de i tide kan opdage korruption, bestikkelse, miljøforurening samt vold eller seksuelle overgreb mod ansatte.” Godkendelsen skal hentes hos Datatilsynet. De skal sikre, at Persondataloven overholdes. 

Jeg mener, en whistleblower-ordning – eller en sladrehanksordning, som det også kaldes – er et udtryk for at systemet har spillet fallit. Det ligger næsten i ordet sladrehank.

Jeg forstår sådan set godt bevæggrunden: Man har set masser af eksempler på, at ansatte i erhvervslivet ikke kan håndtere deres store ansvar. Som Vestas selv skriver, så handler det om at opdage “opdage uregelmæssigheder eller upassende opførsel på arbejdspladsen“.

Men jeg kan simpelthen ikke beskrive, hvor meget den formulering får det til at krybe ned af ryggen på mig. Pt. læser jeg en (i øvrigt rigtig god) bog, der hedder Barn nr. 44 af Tom Rob Smith. Den foregår i 1958 i Stalintidens Rusland. Der skulle man også angive hinanden, når man så upassende opførsel.

Jeg er godt klar over, at sammenligningen er totalt langt ude. Men uagtet det – så forstår jeg ikke, at det eneste Arbejdsmarkeds-Etisk Råd diskuterer er:

1. om offentligt ansatte har samme rettigheder som privatansatte
2. ytringsfrihed ift. loyalitetspligt over arbejdsgiveren
3. klare udmeldinger fra ledelsen og overskuelige procedurer.
4. Og på business.dk er det om Datatilsynets regler er for restriktive.

Angiverkultur

Hvorfor diskuterer Arbejdsmarkeds-Etisk Råd ikke oprettelsen af en angiverkultur og det problematiske aspekt i, at virksomhederne opretter ordninger, hvor de ansatte kan sladre anonymt hinanden?

Hvorfor diskuteres det ikke, om den kultur der skabes på arbejdspladsen er hensigtsmæssig for alle parter – eller om disse ordninger kun etableres til fordel for arbejdsgiverne? I forlængelse heraf skulle der være stor debat om intern kultur, uddannelse af ansatte, ledelsesformer etc.

Jeg synes ganske simpelt at fremkomsten af whistleblower-ordninger er et udtryk for et system, der er sygt og har givet fortabt. Og uagtet at en whistleblower-ordning måske havde været at foretrække i forhold til den finansielle krise, så forstår jeg ganske simpelt ikke fraværet af kritiske røster.

Beskyt individet i det digitale samfund

Man forsøger i Norge, men ikke i Danmark….

I Norge har man noget, der hedder Personvernskommisjonen. Det vil sige en kommission, der arbejder med personbeskyttelse. Centralt for kommissionens arbejde er at “… at kvart [hvert] einskilt menneske er ukrenkjeleg og har krav på respekt frå andre menneske, for eigen integritet og for fred i sitt privatliv.” Personvernskommisjonen er nedsat af den norske regering i 2007, og baggrunden for kommissionen “er ei stadig aukande [øgende] registrering og bruk av person­opplysningar innafor alle sektorar, offentleg/privat og nasjonalt/internasjonalt.”

Denne kommission har just udarbejdet en ny rapport, “Individ og Integritet: Personvern i det digitale samfundet“. Formålet med rapporten er “å gi en oversikt over hvilke utfordringer personvernet står overfor i dagens samfunn og samtidig vurdere hvordan personvernet bør ivaretas i møte med andre og ofte motstridende hensyn og verdier. Kommisjonen ble også bedt om å kartlegge og evaluere eksisterende virkemidler for ivaretakelse av personvernet og eventuelt fremme forslag til nye prinsipper og virkemidler.” Rapporten er afleveret til den norske Fornyings- og administrasjonsminister (hvad pokker det mon dækker over….) og indeholder blandt andet en række anbefalinger til det norske Datatilsyn og Forbrugerråd.

Personvernskommisjonens rapport fylder 300 sider.  Til sammenligning har Datatilsynet udarbejdet disse 10 anbefalinger til beskyttelse af privatlivets fred i sociale netværkstjenester. Konklusionen på det giver sig selv, synes jeg.

I rapporten kan man blandt andet læse følgende anbefalinger:

Vurder gyldigheden af de aftaler, man som bruger indgår med eksempelvis Facebook op i mod norsk lov

“Tilbydere av ulike nettbaserte informasjonstjenester, med Facebook og Google som de fremste eksemplene, forsøker å regulere personvernfeltet gjennom eksplisitte avtaler som inngås mellom selskapene og de som bruker selskapenes tjenester.

Disse avtalene inngås gjerne gjennom såkalt «click-wrap» (samtykke, samt at vilkårene i avtalen er gjennomlest og forstått, bekreftes ved at brukeren «klikker» med en dertil egnet innretning på en virtuell «knapp»), eller gjennom implisitt samtykke (en plakat på et passende sted informerer brukeren om at ved å gjøre bruk av tjenesten tilkjennegir brukeren at han samtykker i bestemte vilkår).

Disse avtalene er ofte urimelige sett fra brukerens ståsted. Som regel innebærer de blankoavskriving av ulike rettigheter, inklusive personvernrettigheter, og de inneholder klausuler som gir tjenesteyter rett til når som helst å endre avtalen. Etter Personvernkommisjonens oppfatning kan det stilles spørsmål ved om disse avtalene er gyldige, og vi vil oppfordre Forbrukerrådet til å gjøre en gjennomgang av avtalene knyttet til de mest populære tjenestene (eks.: Facebook, Gmail) for å vurdere lovligheten opp mot norsk lov, og hva som kan gjøres dersom disse avtalene strider mot norsk lov.”

Opret en tjeneste, der kan hjælpe, hvis man bliver krænket på nettet

“Personvernkommisjonen foreslår i denne forbindelse at det som en prøveordning kunne etableres en tjeneste bemannet med en person med teknisk kompetanse som kan bistå de som får sitt personvern på nettet krenket i oppgavene med å identifisere og oppnå kontakt med ansvarssubjekt og med bruk av selvbetjente slettetjenester.”

 Synlige etater på nettet

“Kommisjonen anbefaler at offentlige etater med barn og unge som målgruppe er til stede med egne profiler i nettsamfunn som Facebook og Nettby. Kommisjonen oppfordrer Datatilsynet og Barneombudet til å utrede hvordan virtuell tilstedeværelse på ymse sosiale arenaer på nettet kan integreres i etatenes informasjons-og veiledningsarbeide rettet mot barn og unge.”

 Udarbejd en medieansvarlov

“Kommisjonen foreslår at det utformes en egen medieansvarslov som definerer roller og fastslår ansvar for alle typer media, dvs. både tradisjonelle forhåndsredigerte media, og de nye, elektroniske brukerstyrte og brukerutgitte massemedia og publiseringsarenaer (dvs. blogger og personlige hjemmesider).”

Man kan ikke overføre disse anbefalinger direkte til Danmark. Men behovet for kommissionen er (blandt andet grundet den enorme udbredelse af Facebook) mindst lige så stort i Danmark, som det har været i Norge. Så MIN anbefaling til diverse partiers medieordførere (Venstres Ellen Trane Nørby, De konservatives Kulturminister Carina Christensen, Socialdemokraternes Mogens Jensen, SF’s Holger K. Nielsen, De Radikales Jørgen Poulsen, DF’s Karin Nødgaard): 

Få regeringen til at nedsætte en lignende kommision. Det er strengt nødvendigt, at den danske regering tager beskyttelsen af individets interesser i et digtalt (og grænseløst) samfund alvorligt.

Og slutteligt skal jeg huske at gøre opmærksom på Colt Kommunikasjons blog, hvor jeg oprindeligt fandt et indlæg om rapporten.

Datatilsynet har udfordringer på indernettet

Så har Datatilsynet været i gang igen. Nu har de udarbejdet Anbefalinger til beskyttelse af privatlivets fred i sociale netværkstjenester. Måske har de fundet det nødvendigt som en følge af Forbrugerstyrelsens og mediernes pres. Læs eksempelvis om det på business.dk. Jeg selv har også skrevet om det tidligere – blandt andet på Kommunikationsforum.

Det er nu dog formentlig hverken business.dk eller mig selv, der har været afgørende for udarbejdelsen af anbefalingerne. Men måske har Forbrugerstyrelsens pres været afgørende for, at der så forholdsvist hurtigt er blevet lavet en dansk oversættelse af den resolution, som anbefalingerne er baserede på. 

Resolutionen; “Resolution on Privacy Protection in Social Network Services“ er vedtaget på en Privacy Conference i Strasbourg d. 15. – 17 oktober i år. Konferencen havde deltagelse af masse landes datatilsyn og handlede om “Protecting privacy in a borderless world “. Spørgsmålet er så, om disse datatilsyn og resolutionen reelt set kan beskytte vores privatliv.

Anbefalinger – ikke krav

Det korte svar på ovenstående er stadig, at “Det skal du ikke regne med“. Der er godt nok udarbejdet en række anbefalinger, men de er – i sagens natur – kun anbefalinger og ikke lovkrav. Som der skrives: “Ud over at opfylde kravene i lovgivningen om beskyttelse af personoplysninger bør de [Udbydere af sociale netværkstjenester] også implementere følgende anbefalinger“. Det er mig, der har sat ‘bør’ i fed. 

Anbefalingerne er eller gode nok. Det er sådan noget som:

• Udbydere, der opererer i forskellige lande eller endda globalt, bør respektere standarder for beskyttelse af privatlivets fred i de lande, hvor de driver deres tjenester.
• Udbydere bør desuden forbedre brugernes kontrol over, hvordan deres profiloplysninger anvendes af andre medlemmer af netværket.
• Udbydere skal tilbyde privatlivsvenlige standardindstillinger for brugernes profil-oplysninger.
• Udbydere skal give enhver person (uanset om den pågældende er medlem af den sociale netværkstjeneste eller ej) ret til indsigt i – og om nødvendigt adgang til at korrigere – alle de oplysninger om den pågældende person, som behandles af udbyderen.
• Udbydere skal give brugerne mulighed for nemt at opsige deres medlemskab, at slette deres profil og ethvert indhold eller oplysninger, som de har offentliggjort på sociale netværk.
• Udbydere skal åbne for etablering og brug af pseudonyme profiler som en option, og de skal tilskynde til brug af denne mulighed.
• Og mere til. Se den fulde anbefaling her.

Udover at det blot er anbefalinger og ikke lovkrav, er der dog også et par andre problemer ved resolutionen.

Blandt andet anbefales brugen af pseudonymer. Problemet ved det er, at det er helt urealistisk i forhold til sociale netværk, da det strider imod deres “natur”. Hele humlen ved disse tjenester er jo, at vi på særdeles ekshibitionistisk vis udstiller os selv. Desuden bruges disse tjenester også fagligt, og derfor har det ingen relevans at eksistere på eksempelvis LinkedIn under pseudonym.

Det er også stadig særdeles uklart, hvem der holder mine rettigheder i hævd, hvis mine oplysninger misbruges. For på trods af at der i denne anbefaling står, at udbyderne af de sociale netværk skal overholde lovgivningen, så har eksempelvis Facebook jo ingen juridiske forpligtelser overfor dansk lovgivning pt. Og det er DE forpligtelser – og intet andet – vi mangler.

Arbejder Datatilsynet for hurtigt?

Yderligere så begår Datatilsynet nogle små, men irriterende fejl. Blandt andet halter oversættelsen. Der står eksempelvis:

Brugerne skal også respektere privatlivets fred for andre. De bør være særligt omhyggelige med at offentliggøre personlige oplysninger om andre personer – herunder billeder eller mærkede (“tagged”) billeder – uden den anden persons samtykke.

Det kan vel ikke passe, at jeg bør være “særligt omhyggelig” med at offentliggøre andres personlige oplysninger – men nærmere det modsatte. I den oprindelige udgave af dokumentet, står der: “They should be especially careful with publishing personal information…“. Med en lille smule kritisk læsning, så havde man nuppet sådan en fejl inden publicering.

Det er heller ikke optimalt, at anbefalingerne kun offentliggøres under sektionen for “Erhverv” og ikke også under sektionen for “Borger“. Flere af anbefalingerne er rettet direkte mod brugerne af disse sociale netværk – og burde derfor være let tilgængelige for dem. Desuden er disse anbefalinger i direkte forlængelse af Datatilsynets artikel om Persondataloven og sociale netværk.

Så hvad kan man sige om dette? Man kan sige, at Datatilsynet stadig har nogle udfordringer, når det kommer til det der, der hedder indernettet.

Mit liv er i Facebooks hænder

Eller oplysningerne om mit liv er i hvert fald….

Nu har Datatilsynet endeligt fundet det nødvendigt at tilføje et afsnit under Persondataloven om, hvad der gælder, hvis man offentliggør oplysninger (herunder billeder) på internettet. Der er jo to ting, der er interessant i dette.

1. Hvad er mine rettigheder i forhold Facebook, hvis jeg selv offentliggør oplysninger eller billeder?
2. Hvad er mine rettigheder, hvis andre offentliggør oplysninger eller billeder om/af mig?

Datatilsynets artikel var på tide, når man tager i betragtning, at næsten 1.2 million danskere har en profil på Facebook. Og rettigheder i forhold til billed-uploads bliver jo ofte diskuteret. Både i kantinen, når der er lagt billeder ud fra den sidste firmafest – og eksempelvis her i Ekstra Bladet  d. 16. oktober i artiklen Facebook ‘ejer’ 10.000.000.000 fotos (og tallet er 10 millarder). Så det er en del. Jeg selv har nok 300 fotos til at ligge derude. Men jeg har valgt at lukke øjnene for “overgrebet”.

Problemer med retsikkerheden

Men det er generelt et problem med retssikkerheden på de sociale netværk. Jeg har tidligere skrevet en artikel på Kommunikationsforum, der handlede om Facebook-grupper uden for lov og ret. Det tog udgangspunkt i, at jeg havde fundet billeder og adresser på påståede pædofile i Facebook-gruppen Vi kræver en højere straf for seksuelle overgreb på børn. Gruppen havde dengang 44.000 medlemmer, i dag har den 66.000, så jeg kan ikke just påstå, at mine holdninger har dannet skole i nogen henseende der. Men det havde jeg nu heller ikke regnet med….

Når jeg selv lægger oplysninger på Facebook

Spørgsmålet er, så hvordan Persondataloven beskytter os, hvis vi lægger billeder eller oplysninger op på Facebook. Er det så os selv eller Facebook, der har rettigheder til dem? Ja, der er artiklen forholdsvis klar: Jeg har selv offentliggjort dem – så må jeg også sejle min egen sø:

Når du offentliggør billeder af eller oplysninger om dig selv, gør du det samtidig muligt for andre at bruge oplysningerne. Datatilsynet vil som oftest ikke kunne hjælpe dig med at få andre til at slette de oplysninger eller billeder, som du selv har offentliggjort.

Du kan eventuelt påberåbe dig ophavsret til dine billeder – men Datatilsynet kan ikke hjælpe dig med spørgsmål om ophavsret.

Nå. Jamen så ved jeg da det. Og det gælder jo ikke blot billeder. Det gælder også min alder, min adresse, mit telefonnummer, mine interesser, oplysninger om mit arbejde, min familie, hårfarve, politiske orientering og alt muligt andet, som jeg måtte have lagt ud på Facebook. Alt dette er nu i Facebooks (og alle mulige andres?) hænder. Men kan Persondataloven så ikke sørge for, at Facebook ikke videresælger dem? Artiklen er mildt sagt ikke helt klar, men sandsynligvis ikke:

Hvad gælder for de oplysninger, som sociale netværk er ansvarlige for? [Herunder mit navn, adresse og telefonnummer, som jeg jo lige har givet Facebook adgang til at administrere]

De sociale netværk er dataansvarlige for de oplysninger, de behandler i forbindelse med deres administration af din profil.

Danske sociale netværk er omfattet af den danske persondatalov. Det vil sige netværk, der drives af virksomheder, der hører hjemme i Danmark.

Hvis det sociale netværk hører hjemme i et land uden for EU og indsamler personoplysninger fra Danmark, gælder den danske persondatalov i nogle tilfælde.

Hvis indsamlingen af oplysninger i Danmark sker fra et socialt netværk i et andet EU-land, kan det være omfattet af det andet lands persondatalov.

Det relevante er her følgende: “Hvis det sociale netværk hører hjemme i et land uden for EU og indsamler personoplysninger fra Danmark, gælder den danske persondatalov i nogle tilfælde.” Og det særligt relevante er specifikt det næsten grinagtige “i nogle tilfælde“. Hvad pokker skal jeg og de andre 1.2 mio. danskere bruge “i nogle tilfælde” til?

Hvis jeg så kommer i den uheldige situation, hvor det rent faktisk sker, at et de billeder, jeg har oploadet på Facebook ender i en obskur amerikansk fast food-kædes markedsføringsmateriale, så angiver artiklen, at den eneste til at tage affære er mig selv. Jeg skal ringe til Facebook (hvis der er en der har nummeret til Zuckerberg, så læg det gerne i kommentarfeltet. For alle tilfældes skyld):

Hvis du er utilfreds med noget, som et socialt netværk gør som dataansvarlig [eksempelvis hvis Facebook videresælger mit telefonnummer], skal du i første omgang kontakte det sociale netværk og forklare, hvad det handler om. Det gælder også, hvis du ønsker at få din profil slettet – det må du tage op med det sociale netværk, og du skal måske give dem flere oplysninger, så de er sikre på, at du er berettiget til at kræve profilen slettet.

Afhængigt af, hvor i verden det sociale netværk hører hjemme, vil Datatilsynet eventuelt kunne behandle spørgsmålet. Dette kan f.eks. ske, hvis det sociale netværk ikke vil give dig ret i noget, som du kan kræve efter persondataloven.
 

Så efter at jeg altså først givet Facebook ekstra oplysninger, så kan Datatilsynet eventuelt behandle spørgsmålet. Jeg tror hellere, at jeg vil gå ud fra, at når først jeg har lagt mit telefonnummer op på Facebook, så har jeg ingen sanktionsmuligheder i forhold til videresælgelse. Facebook ejer rettighederne. Nå….. Jeg kunne jo også vælge at bruge Berlingskes nye Din By som mit primære sociale netværk. Så er jeg bedre stillet. Både ift. min egen offentliggørelse af egne oplysninger og andres offentliggørelse af mine. For det er underlagt dansklovgivning.

Når andre lægger oplysninger om mig på Facebook

Men hvordan ser det så ud, hvis andre lægger billeder op på Facebook, som jeg ikke synes burde have været distribueret? Ja, her er jeg også alene om at skulle rede trådene ud:

“Hvis du ønsker at protestere mod, at en anden person har offentliggjort oplysninger om og billeder af dig på et socialt netværk, er det i første række noget, du skal tage op med den anden person. Du bør kontakte vedkommende. Den person, som har offentliggjort oplysningerne, er ansvarlig for det og skal tage stilling til din protest.

Hvis den ansvarlige ikke vil fjerne oplysningerne – og det er en person, som bor i Danmark – vil Datatilsynet eventuelt kunne hjælpe dig. Datatilsynet kan ikke hjælpe dig med at få fjernet oplysninger, som du ikke kan kræve slettet efter persondataloven. Det kan f.eks. være udtalelser og oplysninger, som er omfattet af ytringsfriheden.”

Fedt. Datatilsynet vil eventuelt kunne hjælpe mig. Så er der da ikke lovet for meget (Her kan du se en specifik artikel fra Datatilsynet om billeder på internettet).

Datatilsynet kunne lige så godt have skrevet: “Internettet er det vilde vesten. And there’s nothing you can do about it. Punktum.”

Kan det virkelig passe, at det er ok for Datatilsynet at skrive så vagt formuleret en redegørelse, om noget der involverer så stor en del af den danske befolkning? I så fald kan man vist konstatere, at udviklingen af lovgivningen har noget svært ved at holde trit med udviklingen af internettet.