Search form

Autentisering

Europakommissionen har öppnat en konsultation om dataskyddsdirektivet från 1995 som alltså har dödslinjen 15 januari inte 12 januari som jag felaktigt hävdade igår.

Undantaget bristande implementering av EU-direktivet i flertalet medlemsstater har jag funderat över hur bristande skydd mot bland annat profilering skulle kunna åtgärdas. Profilering är när ett företag eller en stat samlar stora (eller mindre) mängder information om en individ för att på så sätt kunna uttyda individens vidare handlingar eller egenskaper. Google adWords är ett bra exempel, liksom ICA:s kundkort och tillhörande reklamutskick. Datalagringsdirektivets ambitioner att via kommunikationsmönster förutsäta i vilken utsträckning den för datainsamlingen berörda individen eller dess kamrater kan utgöra en risk för sina medmänniskor eller staten är ett annat exempel.

Jerry Brito skrev för många år sedan en uppsats om ofarligheten med kommersiell profilering via RFID-chip. Han menar bland annat att kommersiella företag kommer ha mycket få incitament att samköra databaser för att kartlägga individer. Om det inte vore för mergers skulle jag vara benägen att hålla med, men jag ser också att flertalet stora företag tar över en så stor del av våra kommunikationsflöden att skyddet mot profilering knappast blir adekvat (sammanslagningar av försäkringsbolag och privat sjukvård skulle till exempel kunna utgöra ett problem, men blir likaledes problematiskt när staten själv uppmuntrar sammanslagningen, som i den nederländska implementeringen av e-journaler).

Jag har länge trott att mitt pass och ID-kort är statens garanti för att jag är den jag utger mig för att vara. En sorts autentiseringssystem där min befogenhet att utföra en viss syssla (köpa snus, ta ut pengar från banken, resa över brittiska gränsen) garanteras av staten gentemot en tredje part (kioskägaren, banken, Storbritannien). I ett autentiseringssystem skulle det dock inte finnas något behov av att inhämta garantin från bara en källa (svenska staten) utan rimligtvis borde jag då lyckas hålla mig med flera garanter, kanske hämtade från olika ställen för olika syften. Sverige kan garantera min identitet gentemot banken. Banken kan garantera min identitet gentemot kiosken. Identitetsbolaget Autentist garanterar min identitet gentemot Storbritannien baserat på kriterierna utbildning, postbox och potentiellt yrke eller arbetsstatus samt civilstånd (eller något sådant). Vem garanterar civilståndet? Förmodligen den gemensamma hyresvärden eller den part som vigt mig och min bättre hälft.

Nu har vi istället ett identifieringssystem, där min identitet jämställs med de papper som bevisar den. Alla identitshandlingar kommer från eller härstammar från samma part: svenska staten. Det gör att man mycket lättare kan samköra register eller koppla individens många förehavanden till en och samma person, adress och personens omgivning eller sociala kretsar. Det skapar en single point-of-failure i staten, mycket bra representerad av en familj från Gävle som försvann från alla statliga register till följd av ett byråkratiskt misstag och därmed inte kunde få lön eller betala av sina skulder. I eventualiteten att de haft flera autentiseringsparter hade de ju bara kunnat autentisera sin identitet med hjälp av en alternativ källa eller tredje part.

Resonemanget är smått filosofiskt och inte helt oproblematiskt (vad händer om man dödförklaras samtidigt som man har kvar huset - hur betalas skulderna av ifall banken tror att man är död och resurslös?). I verkligheten är dessutom både företag och nationalstater mycket mer intresserade av att kartlägga hela vårt beteende, kommunikations- och konsumentionsmönster samt bekantskapskrets än vad de är av att garantera privatliv och anonymitet. Det rimmar väldigt illa med samtidiga ambitioner att stärka mänskliga rättigheter och skapa en hållbar och human informationsålder.

Dataflödeskontroll är en fråga i tiden, för medborgare så väl som för europaparlamentariker, men lösningarna verkar i alla fall inte för mig helt triviala. "Det finns inga genvägar till det perfekta ljudet."

1 comment

Som allt annat vi människor hittar på så har även "profilering" sina begränsningar. Man skall inte ha en övertro på att "tekniska lösningar" fixar allt.

Slipade och välsmorda munläder till säljare som kan sälja in vilken crappy mjukvara som helst, till okunniga och lättlurade kunder, finns det gott om.

Hur skall ex-vis ICA veta vad jag vill köpa när jag oftast inte vet det själv, förutom vardagsinköpen?

Samma sak gäller all annan profilering. Jag kör "Track Me Not" på samtliga mina burkar. Track Me Not gör delvis slumpmässiga slagningar i världens sökmotorer, och besöker slumpmässigt några av de slumpade slagningarna.

Man kan därmed säga att profileringen blir mycket skoj.

Det är alltid roande att kolla loggarna i Googles Webbhistorik. Har på detta viss funnit en hel del intressanta websiter jag annars inte hade funnit alls.

Lustigt nog så blev det alltså det här en slags tvärtom profilering.

Add new comment