Kan jeg ha digital identitet og personvern samtidig?

Digital identitet gir oss rask og enkel tilgang til ressurser og fellesskap på nettet.

Men i takt med at vi i stadig større grad er avhengige av digitale identiteter i den daglige samhandlingen, blir personopplysningene våre både mer detaljerte og sårbare for misbruk, særlig hvis vi ikke er på vakt.

Så kan vi ha fullt personvern samtidig som vi skaper en digital personlighet som lar oss samhandle med andre på nettet på en genuin måte?

La oss utforske dette.

I denne artikkelen bruker vi begrepet "digital identitet" i vid forstand, både når vi snakker om identitet på nettet og offisiell digital legitimasjon. For å forstå forskjellen mellom begrepene, kan du lese Hva er forskjellen mellom nettidentitet og digital identitet?

Forstå personvern i forbindelse med digital identitet

Personvern har en lang historie og kan bety forskjellige ting, for eksempel

• Konfidensialitet i personlig kommunikasjon
• Retten til å "få være i fred"
• Beskyttelse mot svindel og digital kriminalitet
• Minimering av selskapers overvåking
• Frihet fra statlig overvåking, f.eks. i autoritære regimer
• Større kontroll over personlige data

Personvernbegrepet har endret seg dramatisk etter at store teknologiselskaper bygget forretningsmodeller rundt storstilt innsamling, analyse og inntektsgenerering fra brukerdata. Derfor handler personvern i dag ikke lenger bare om å beskytte informasjon mot uautorisert tilgang - det handler også om å gi enkeltpersoner kontroll over personopplysningene sine og hvordan de deles.

Denne visjonen er kjernen i personvern i forbindelse med digital identitet. Og selv om det stadig jobbes med å forbedre sikkerheten og bekjempe digital kriminalitet, er målet om å gi kontrollen tilbake til den enkelte fortsatt i stor grad ikke nådd.

Som vi skal se i denne artikkelen, krever det en helhetlig tilnærming som kombinerer tekniske løsninger og regelverk for å løse personvernutfordringene fullt ut.

Tekniske løsninger for personvern

Innebygd personvern er en systemteknisk tilnærming som innlemmer personvernhensyn i arkitekturen til digitale systemer fra starten av, i stedet for å legge dem til på et senere tidspunkt. Målet er å minimere eksponeringen av data, sørge for sikker datahåndtering og begrense datainnsamlingen til det som er strengt nødvendig. Rammeverket ble tidligere ansett som for teoretisk og abstrakt, men er nå blitt mer praktisk takket være fremskritt innen personvernfremmende teknologier og metoder for å kode personvernhensyn direkte inn i datahåndteringsprosesser.

Noen eksempler på teknologier som fremmer personvern:

• Homomorfisk kryptering, som gjør det mulig å utføre beregninger på krypterte data.
• Nullkunnskapsbevis, som gjør det mulig for en part å bevise at vedkommende vet noe uten å avsløre ytterligere informasjon.
• Sikker flerpartsberegning, som gjør det mulig for partene å beregne en funksjon i fellesskap over inndataene sine, samtidig som disse inndataene holdes private.
• Differensielt personvern, som gjør det mulig for en datainnehaver å dele aggregerte gruppemønstre og samtidig begrense informasjonen som avsløres om enkeltindivider.

Nasjonale personvernlover oppmuntrer til - og noen ganger pålegger - bruk av visse personvernfremmende teknologier.

Personvernregelverk

Personvernforordningen (GDPR) i EU, California Consumer Privacy Act (CCPA) i USA og lignende lover over hele verden fastsetter regler for databeskyttelse og krever at organisasjoner innfører bedre personvernpraksis.

Den europeiske personvernforordningen er utformet for å sikre at brukerne er fullt informert om dataene selskapene samler inn, og at de har mulighet til å gi sitt samtykke til å dele dem. Forordningen krever at virksomheter er transparente, og gir enkeltpersoner rett til å få tilgang til, administrere og slette opplysningene sine. Brudd på GDPR medfører strenge bøter. Den største boten Meta har blitt ilagt, er på 1,2 milliarder euro.

Men selv et regelverk med slike håndhevingsbeføyelser kan vise seg å ikke fullt ut innfri forventningene til personvernforkjempere og allmennheten. Se hvordan GDPR-samsvar ser ut i praksis.

Bannere med informasjonskapsler og GDPR

Etter at GDPR trådte i kraft i 2018, begynte nettsteder å introdusere informasjonskapselbannere. Disse meldingene inviterer deg til å lese retningslinjene for informasjonskapsler (som de fleste hopper over) og forklarer at sporing via informasjonskapsler er ment å forbedre nettleseropplevelsen din.

Bannere for informasjonskapsler er et resultat av en pågående debatt om digitalt personvern, inkludert spørsmålet om hvem som skal eie data og være ansvarlig for å beskytte dem. Selv om de har som mål å fremme åpenhet, blir de ofte sett på som en kilde til frustrasjon, og noen ganger blir de til og med kalt "cookie-bannerterror". Noen eksperter hevder dessuten at disse bannerne har blitt "nesten en ubrukelig øvelse", ettersom mange brukere klikker "godta" bare for å gå videre eller til og med installerer utvidelser for å omgå bannere helt og holdent.

En ubehagelig sannhet er at til tross for alle anstrengelsene for å styrke det digitale personvernet, mangler publikum ofte bevisstheten eller verktøyene som skal til for å dra full nytte av det. Og det er egentlig ikke brukernes feil. Bannere med informasjonskapsler, som er altfor komplekse i sin utforming, har gjort folk ufølsomme for deres tilstedeværelse og gitt selskapene enda en måte å manipulere brukerne på. Selskaper bruker nå "samtykkehåndteringsplattformer" for å optimalisere cookie-bannere for å få flere "godta"-klikk, noe som i realiteten gjør personvernverktøy til manipulasjonsverktøy, stikk i strid med intensjonen i GDPR.

Denne dynamikken bidrar til et bredere fenomen som kalles digital resignasjon. Selv om enkeltpersoner ønsker å beskytte personopplysningene sine, skaper systemene på plass et inntrykk av at det er umulig å gjøre det. Kompleksiteten i cookie-bannere og atferdsmanipulerende taktikker forsterker følelsen av at det er nytteløst å prøve å beskytte personvernet sitt.

Alt dette peker mot et bredere problem: Til tross for at myndighetene presser på for å øke det digitale personvernet, er det et betydelig gap mellom intensjonen bak personverntiltakene og hvordan de virker i praksis.

Personvern og brukeropplevelse

Som vi har sett med informasjonskapselbannere, er det naturlig at folk søker hastighet og bekvemmelighet på nettet. Når personverntiltakene blir for kompliserte, fører de ofte til frustrasjon og distansering.

Hvis vi ser på personvern fra en annen vinkel - som et middel til å beskytte mot digital kriminalitet og uautorisert tilgang - kan vi se på flerfaktorautentisering (MFA). MFA har som mål å øke sikkerheten og beskytte brukernes personvern ved å legge til ekstra trinn i identitetsverifiseringen. Dårlig utformet MFA kan imidlertid avskrekke brukere som synes de ekstra trinnene er tungvinte. MFA kan bli mindre effektivt hvis brukerne synes det er upraktisk og leter etter måter å omgå det på.

Den samme logikken gjelder for alle altfor komplekse identitetssystemer som, uansett hvor sikre de er, ikke blir tatt i bruk av mange. Derfor er det viktig å prioritere brukeropplevelsen når man utformer digitale identitetssystemer, også av hensyn til personvernet.

Personvern og sikkerhet

Debatten mellom personvern og sikkerhet har pågått i flere tiår, og myndighetene har slitt med å balansere nasjonal sikkerhet mot individuelle personvernrettigheter.

Flere prinsipielle saker har preget denne diskusjonen. En av de tidligste var Clipper Chip, som ble introdusert av amerikanske myndigheter i 1993. Initiativet hadde som mål å skape en bakdør i kryptert kommunikasjon for å hjelpe politimyndigheter. Det møtte betydelig motstand på grunn av frykt for at myndighetene skulle gå for langt, noe som førte til at det ble lagt ned i 1996.

I 2013 avslørte Edward Snowden NSAs masseovervåkningsprogrammer, og avslørte omfanget av myndighetenes tilgang til privat kommunikasjon fra både utenlandske og innenlandske statsborgere i terrorbekjempelsens navn. Dette utløste en bredere diskusjon om grensene for statlig overvåking.

Etter Snowdens avsløringer lovet Apple og Google å låse alle data som er lagret på smarttelefonene deres med kryptering som ikke engang selskapene selv kunne dekryptere, selv med en rettskjennelse.

Apple-FBI-striden om iPhone-kryptering i 2016 reiste igjen spørsmål om hvorvidt myndighetene bør kunne omgå kryptering i forbindelse med etterforskning av straffesaker.

Etter hvert som teknologien utvikler seg og overvåkningsmulighetene øker, vil spørsmålet om hvor mye tilgang myndighetene bør ha til privat informasjon, stadig dukke opp. Siden myndighetene spiller en nøkkelrolle i oppbyggingen av nasjonale digitale identitetssystemer, har dette direkte innvirkning på identitetsområdet.

Bedriftsovervåking

I tillegg til myndigheter driver også selskaper med overvåking i et omfang som aldri før har vært større.

Teknologigiganter som Google og Facebook sporer brukere på tvers av plattformene sine og andre steder, og bygger detaljerte profiler for å levere personlig tilpassede annonser og drive salg. Når du bruker "logg inn med Facebook" eller "logg inn med Google", gir du personopplysningene dine til en mellommann. Det er praktisk for deg, men det er enda mer fordelaktig for de store selskapene.

Bedriftenes overvåkingspraksis er allment anerkjent, men for å få bukt med dette kreves det et skifte til nye digitale identitetsmodeller som prioriterer brukernes personvern og kontroll. Desentralisert identitet (eller selvsuveren identitet) er et alternativ som gjør det mulig for enkeltpersoner å administrere personopplysningene sine og redusere avhengigheten av sentraliserte systemer. Denne transformasjonen har bare så vidt begynt å ta form.

Personvern og sosiale medier

Sosiale medier samler ikke bare inn enorme mengder data, men former også aktivt brukernes atferd. Algoritmer som er utformet for å maksimere engasjementet, oppmuntrer ofte brukerne til å dele mer personlig informasjon ved å utnytte sosial validering og påvirkning fra andre. Dette skaper ytterligere utfordringer når det gjelder å beskytte personvernet.

Konsekvensene av overdeling strekker seg lenger enn datainnsamling. Sosiale medier har visket ut grensene mellom privatliv og yrkesliv. Innhold som er ment for én målgruppe (som venner eller familie), blir tilgjengelig for utilsiktede målgrupper (som arbeidsgivere eller fremmede). Mange arbeidsgivere går for eksempel gjennom kandidatenes profiler på sosiale medier som en del av ansettelsesprosessen, noe som viser hvordan avsløringer på nettet kan få konsekvenser utenfor nettet.

Hva gjør vi nå?

For å løse personvernutfordringene knyttet til digital identitet kreves det en kombinasjon av teknologisk innovasjon, effektive reguleringer og økt bevissthet blant publikum. Effektive løsninger må balansere funksjonalitet og personvern for å sikre at identitetssystemene er sikre og brukervennlige på samme tid.

Den oppmuntrende nyheten er at identitetslandskapet er i ferd med å endre seg, og at desentraliserte identitetsmodeller er i ferd med å vinne terreng. Disse nye tilnærmingene står imidlertid overfor betydelige hindringer, blant annet teknisk kompleksitet, adopsjonsbarrierer og motstand fra virksomheter som drar nytte av dagens systemer.

For at digitale identiteter som bevarer personvernet skal bli normen, må vi ta gjennomtenkte beslutninger ved å prioritere brukerrettigheter, håndheve ansvarlighet og fremme samarbeid mellom interessenter. Valgene vi tar i dag, vil avgjøre om digitale identiteter virkelig vil tjene enkeltmennesker i fremtiden.