Annonceansvarlig? Tjekliste, der sikrer etisk & lovlig online annoncering

datadeling-mediebureau-illustration-the-matrix-flickr-creative-commons-josepajares
datadeling-mediebureau-illustration-the-matrix-flickr-creative-commons-josepajares

Fra de Radikales adfærdsbestemte online annoncering til et moralsk & juridisk kompas
Ovenpå den heftige kritik af de Radikales adfærdsbestemte annoncekampagne op mod og under sidste valg, har der været stort fokus på datadeling mellem hjemmesideejere, mediebureauer og de licenserede teknologiske platforme, mediebureauerne bruger til at tracke og targete mennesker med.

Som annonce- eller webansvarlig er det altid en god idé inden en kampagne skydes i gang at forventningsafstemme deling af datasæt, herunder datasæt, der indeholder personlige og eller personfølsomme oplysninger.

Mit bud på en datadelingsaftale ifm. online annoncering lyder, som følger

1) Datasæt genereret under kampagnen ejes af den annoncerende virksomhed eller organisation.

2) Datasæt kan tilgås i analyseøjemed af førsteledspartnere, fx mediebureauet, for at optimere annonceringskampagnen; men ikke andre virksomheders eller organisationers kampagneindsatser.

3) Datasæt må ikke deles med tredjepart.

4) Datasæt må ikke anvendes til at generere statistike tvillinger eller re-targeting-puljer for andre end den annoncerende virksomhed/organisation.

5) Data skal fysisk befinde sig på danske servere underlagt dansk lovgivning.

6) Annoncer, herunder adfærdsbestemte annoncer, vises kun på hjemmesider, der lever op til cookiebekendtgørelsens bestemmelser om informeret samtykke.

7) Anvendes adfærdsbestemt annoncering, bør dataopsamlingen ikke indeholde personlige oplysninger/personfølsomme oplysninger, der er i strid med Persondataloven (se særligt afsnit 7 omhandlende registrering omhandlende politiske, religiøse, etniske eller seksuelle præferencer).

—-
Har du som onlineansvarlig, annonceansvarlig eller medieindkøber en anden holdning, hører jeg gerne fra dig. Det gælder både kritik af de syv punkter og forslag til flere områder, man bør sikre sig er dækket forud for kampagnestart.

Digitaliseringsstyrelsen & EU-kommissionens fortolkning af The Patriot Act i lyset af cloudløsninger

vmware-vmworld-cloudcomputing
I sidste uge lancerede jeg en cloud-sektionMediebevægelsen og et af emnerne var den diskussion og debat, som VmWares juridiske team rejste i forbindelse med VmWorld-konferencen i København i forrige uge.

Datasikkerhed og personfølsomme data i lyset af The Patriot Act
VmWare pegede på, at cloudløsninger, der blev tilbudt af amerikanske udbydere, var problematiske, fordi amerikanske myndigheder med The Patriot Act i hånden på baggrund af formodet mistanke kunne udbede sig adgang til data. Og det uanset, hvor de fysiske servere var placeret.

EU-kommissionens fortolkning af The Patriot Act i relation til datasikkerhed og personfølsomme data.

Kommentar fra Camilla Fisker fra Digitaliseringsstyrelsen
Her til morgen tikkede en informativ kommentar ind fra Camilla Fisker, der er projektleder for cloudområdet i Digitaliseringstyrelsen (den tidligere IT- og Telestyrelse). Hun kunne berette, at EU-kommissionen så sent som i august måned 2011 havde behandlet problemet — og EU-kommissionens fortolkning var diametralt modsat af VmWares juridiske eksperteam.

Amerikanske myndighedsorganisationer kunne _ikke_ få adgang til datasæt på fysiske servere i EU-lande uden at gå EU-retten eller lokalrettens vej.

Læs mere her: EU-kommissionens fortolkning af The Patriot Act i relation til personfølsomme data og datsikkerhed.

Personfølsomme data og cloudløsninger

Et af de ofte fremførte kritikpunkter i forbindelse med cloudhosting er datasikkerhed. Hvordan sikrer man sig, at datasæt, der flyder i skyen, er tilstrækkeligt sikret?

vmware-vmworld-cloudcomputing

Det emne var der også fokus på i forbindelse med VmWare VmWorld-seminar i sidste uge i Bella Center. VmWares juridiske eksperter tog den amerikanske The Patriot Act under behandling.

Læs også: Dansk case om cloud-servere.

Cloudløsninger i lyset af The Patriot Act
For den medfører, at amerikanske myndighedsorganisationer på baggrund af formodet mistanke kan kræve adgang til fx danske virksomheders datasæt, såfremt de er placeret på platforme, der ejes / drives af amerikanske virksomheder. Det kunne være alt fra webservere på Amazon EC2 og RackSpace til Google Apps-mails og Microsoft 365 dokumenter og regneark.

Læs mere her: Amerikanske cloudløsninger og persondataloven vs.The Patriot Act