Til Justitsministeriet
Høring om udkast til bekendtgørelse om videregivelse og behandling af oplysninger om restaurationsforbud.
Forbrugerrådet har modtaget ovennævnte høring pr. mail 7. marts 2011 (Sagsnr. 2010-1110-0003) og skal hermed afgive sine bemærkninger.
Forbrugerrådet er meget optaget af at sikre forbrugernes rettigheder i et digitaliseret samfund, hvor flere og flere personlige oplysninger indsamles og lagres centralt. Problemet med nærværende forslag er, at politiets videregivelse af oplysninger om konkrete restaurationsforbud til et privat, centralt register understøtter den massive registrering af gæster, som diskoteker står over for at etablere.
Det er naturligvis vigtigt, at politiet kan underrette diskoteker om konkrete personers restaurationsforbud, så det sikres, at disse personer ikke får uretmæssig adgang til de diskoteker, som de har fået forbud mod at komme i. Men der lægges også op til, at oplysningerne samtidig vil blive videregivet til centralt, fælles diskoteksregister, som alle virksomheder, der er tilsluttet registeret, kan trække oplysninger fra.
Som Forbrugerrådet har forstået diskoteksbranchens planer, skal fælles-registeret suppleres med navne, cpr-numre, fotos og e-mails på samtlige gæster, som besøger diskoteker, restaurationer eller lignede virksomheder tilsluttet registeret. Problemet er ikke fællesregisteret som sådan, men det faktum, at de registreredes personers data er 100% identificerbare for de personer, som har adgang til registeret. Der forslås dermed en løsning, der ikke er sikkerhedsmæssigt forsvarlig, fordi der ikke er bygget privatlivsbeskyttelse ind i it-systemet fra start af.
Det undrer os meget, at der ikke i forslaget, som er uhyre vidtgående i forhold til hensynet til privatlivsbeskyttelse, stilles krav om brug af nye sikkerhedsmodeller. Som regeringens IT-sikkerhedskomite og IKT-råd er blevet orienteret om, har IT- og Telestyrelsen dels lavet et værktøj til privatlivsimplikationsanalyse (en såkaldt PIA), og dels for nylig lavet oplægget ”Nye digitale sikkerhedsmodeller”, som netop påpeger vigtigheden af ”privacy by design”-løsninger i et digitaliseret samfund. I ITST’s rapport anvises eksempler på, hvordan virksomhederne teknisk kan etablere IT-systemer, som både kan sikre virksomhedernes interesse i fx at holde uvedkommende ude og samtidig sikre, at de almindelige forbrugeres data ikke risikerer at komme i hænderne på uvedkommende.
Forslaget åbner desuden for en vidtgående adgang til at beslutte, hvem i virksomhederne, der kan søge i registeret og fastslår, at der skal gentagne misbrugssituationer til, før virksomheden midlertidigt afskæres adgangen til registeret.
Forbrugerrådet finder disse bestemmelser helt utilstrækkelige i betragtning af, at teknisk sikkerhed/privacy ikke er en del af bekendtgørelsens løsning, og ikke mindst fordi forslaget i praksis får den konsekvens, at samtlige gæster bliver registrerede centralt - uanset om de kan betragtes som ”bøller” eller ej.
