Det en signatur ikke kan fikse
Når en teknisk kanal ikke er egnet for sensitive data, blir den ikke mer passende av en signert autorisasjon. Det eneste en signatur endrer, er den falske tryggheten hos den som henter den inn; dataene følger nøyaktig samme vei.
Løsningen som virker fornuftig
Scenen gjentar seg på kontorer, klinikker og i byråer — og også på langt mindre formelle steder. Maleren som sender bilder av en kundes leilighet, rørleggeren som videresender en faktura med navn, adresse og telefonnummer, drosjesjåføren som lagrer adressen til den de henter hver morgen på mobilen, eller frilanseren som sender ID-en til sin oppdragsgiver over en chat. Det kreves ikke en rettssak fra filmene for at andres data skal sirkulere via en telefon.
Og på alle disse stedene dukker før eller siden den samme elegante løsningen opp. Noen reiser tvil — er det riktig å sende dette her? — og før samtalen blir ubehagelig, kommer det praktiske svaret: la kunden signere en autorisasjon. Hvis han gir tillatelse, er det i orden.
Det er en tiltrekkende utvei fordi den fjerner ubehaget uten å tvinge frem et bytte av verktøy, uten å måtte lære noe nytt, og uten kostnad. Den har formen av grundighet: et dokument, en signatur, en dato. Likevel løser den ikke problemet den var ment å løse. Den skjuler det bare.
En signatur flytter ikke dataene
Det er verdt å begynne med det enkleste, for det er nettopp det man overser. En autorisasjon er et papir. Det endrer ikke hvor meldingen reiser, eller hvilken server en kopi blir liggende på, eller hvem som kan lese den hvis en rettslig ordre foreligger eller hvis det oppstår et sikkerhetsbrudd. Kundens dokument vil fortsette å gå gjennom den samme infrastrukturen, i det samme landet, administrert av det samme selskapet, med eller uten signatur.
Det eneste som endres med signaturen, er profesjonens sinnstilstand: man går fra tvil til en falsk trygghet som ikke tilsvarer noen reell endring i dataenes reise. Signaturen er en tillatelse man gir seg selv for å fortsette å gjøre nøyaktig det samme.
Tillatelsen som ingen i rommet kunne gi
Her er kjernen i saken. La oss tenke på en skilsmisse. Kunden signerer autorisasjonen: greit, la dataene hans gå der det er nødvendig. Men gjennom den kanalen reiser ikke bare kundens data. Navnet på motparten reiser også. Dataene om den mindreårige hvis foreldrerett diskuteres, reiser også. Sakkyndigrapporten, vitnemålet fra en tredjepart, ektefellens kontonummer — alt reiser.
Ingen av disse personene har sittet på kontoret. Ingen har signert noe. Den profesjonelle har fått tillatelse fra den eneste personen som ikke var hele problemet, og har fortsatt å behandle dataene til alle de som faktisk var det uten å spørre dem om noe — fordi han ikke kunne spørre dem.
Det samme gjelder en personalmappe som nevner andre ansatte, en klinisk rapport som snakker om pårørende, eller en erklæring som inneholder kundens egne leverandører og kunder. Informasjonen til en tredjepart slutter ikke å være beskyttet bare fordi personen som bringer den inn, har signert et papir. Det var ikke vedkommendes informasjon å autorisere.
Ting en signatur ikke rekker over
Det finnes en grense vi nesten aldri tester: en signatur rekker bare så langt som det som er ditt. Det som er ditt, kan du gi fra deg. Det som tilhører en annen, kan du ikke — uansett hvor pent du signerer.
En far kan ikke signere en tillatelse til at noen skal skade sønnen hans. Det papiret er ingenting verdt, og ikke fordi det mangler et stempel, men fordi den tillatelsen aldri var hans å gi. Kundens autorisasjon fungerer på samme måte — den dekker sitt eget og stopper der.
Og selv innenfor den grensen, dekker den ikke alt. En signatur gjør ikke det loven forbyr lovlig, uansett hvem som signerer. Samtykke er ikke en universalnøkkel: det er en nøkkel som bare åpner én dør, ens egen, og ikke engang den døren gir passasje til det som er forbudt.
Og det må sies rett ut, for dette er den delen som nesten aldri blir sagt: å be om — eller å gi — en signatur for å beskytte det loven ikke tillater, er ikke en nøytral handling som bare ikke har noen virkning. Avhengig av tilfellet er selve forsøket en ny overtredelse i seg selv, som forverrer problemet i stedet for å løse det.
Signaturen som slår tilbake
Og det finnes en vending man bør se i hvitøyet. Å hente inn autorisasjonen etterlater ikke den profesjonelle der han var: det gjør det verre.
Fordi det papiret er først og fremst beviset på at noen stilte det rette spørsmålet — er dette passende? — og besvarte det med en placebo i stedet for en løsning. Den dagen man må forklare hvorfor dataene til en tredjepart endte opp der de ikke burde, vil ikke den signerte autorisasjonen være det skjoldet man forestilte seg: Det vil være dokumentet som beviser at risikoen var kjent, og at man valgte å skjule den med en signatur. Den tilsynelatende grundigheten etterlater spor. Signaturen arkiverer ikke problemet; den daterer det.
Det eneste som faktisk fikser det
Hvis en signatur ikke fikser noe, hva fikser det da? Bare én ting: At dataene ikke havner der de ikke skal havne.
Når kanalen ikke leverer en kopi av dokumentet til en tredjepart — fordi det går direkte fra enheten til den som sender det til enheten til den som mottar det, uten en server imellom som lagrer det — er det ingenting å autorisere, ingen å be om tillatelse, og ingen ubehagelige spor å rettferdiggjøre senere. Problemet håndteres ikke med et skjema: Det forsvinner fordi arkitekturen aldri lar det oppstå.
Dette er en egenskap ved designet, ikke bare ved ett enkelt verktøy, og det finnes mer enn én måte å oppnå dette på. Det som skiller disse verktøyene fra de andre, er ikke et bedre formulert løfte i personvernerklæringen, men at de ikke trenger at noen signerer for at man skal følge reglene.
En signatur er den siviliserte måten å be om tillatelse på. Men man kan bare be om tillatelse fra den som står foran deg. Og i nesten alle sensitive data en profesjonell håndterer, er personene hvis privatliv faktisk står på spill, ikke i rommet, de kommer ikke til å signere, og de har ingen grunn til å stole på at noen signerer på deres vegne. Derfor var det rette spørsmålet aldri «hvordan får jeg dette autorisert?», men «hvorfor trenger jeg autorisasjon for noe en riktig valgt kanal ikke ville tvunget meg til å be om?».
For videre lesning
- Dette Cuaderno (Notatblokk) legger bevisst til side de regulatoriske detaljene — artiklene og dommene —, fordi argumentet det demonterer ikke er juridisk: det er en enkel utvei. Det juridiske rammeverket for hvorfor kanalen betyr noe, finnes i de to neste Cuadernos.
- GDPR og profesjonell meldingstjeneste: hvorfor de fleste bryter reglene uten å vite det — internasjonale overføringer, behandlingsansvarlig og retrospektive digitale spor.
- Taushetsplikt i den digitale tidsalderen — hvorfor konfidensialitet må garanteres gjennom arkitektur og ikke gjennom løfter.