Den nye databeskyttelsesforordning,
der gælder for alle virksomheder (IT- eller ej), myndigheder, private
organisationer og endda foreninger, giver de registrerede borgere en række
rettigheder og beskyttelse mod de store IT-firmaer. Det sker efter en
omsiggribende datahøst fra brugerne, som især Facebook, Google, Amazon,
Microsoft og Apple samt en række onlineannoncefirmaer står bag.
Enkelte
såkaldte databrokere har indsamlet detaljerede profiler om brugerne af
Internettet med op til 5.000 stykker enkeltdata. Dermed kan købere af sådanne brugerprofiler
danne sig et ret omfattende indtryk af en bruger – endda mere omfattende end
ægtefællens viden om én – og udnytte den i en for det meste kommerciel sammenhæng.
Persondataforordningen, der også
kaldes GDPR (General Data Protection Regulation), giver borgerne ret til bl.a.
at få indsigt i persondata; til at få dem rettet; og til at blive glemt. Borgerne
skal også give samtykke til, at persondata må indsamles og registreres og kun
til et bestemt formål. Skal data bruges i en ny sammenhæng, skal der indhentes
fornyet samtykke. Dette gælder dog ikke for offentlige myndigheder.
Det er ikke kun firmaer i EU, der
skal leve op til forordningen, men også alle andre udenlandske firmaer, der
registrerer persondata om EU-borgere – og dermed også amerikanske firmaer som
Facebook, Google, Microsoft, Amazon, Netflix og Apple. Især store IT-firmaer
kan idømmes en bøde på op til 4 procent af deres årsomsætning eller 20 millioner
euro (ca. 150 millioner kroner) for brud på persondatasikkerheden.
Hvordan er det gået?
Hvordan har firmaerne i Danmark og
udenfor landets grænser så forvaltet deres nye forpligtelser i det forgangne år?
Du har måske set overskrifter i medierne i det forløbne år, såsom:
- Datatilsynet: Anmeldelser om brud på persondatasikkerheden hos PFA Pension
- Datatilsynet: Alvorlig kritik og påbud til Rejsekort A/S
- Datatilsynet: Forbud til TDC om optagelse af telefonsamtaler uden samtykke
- Datatilsynet: Påbud til DK Hostmaster
- Datatilsynet: Datatilsynet indstiller taxaselskab til bøde på 1,2 mio. kr.
- Datatilsynet: Afgørelse: Modelaftale – samtykke eller kontrakt?
- Berlingske: Hvad er værste konsekvens af Forsvarets store datalæk?
- Datatilsynet: Datatilsynet fortolker EU-dom om Facebook
- Politiken: Borgere over hele landet er ramt af datalæk: Gladsaxe indrømmer mere ulovlig databehandling
- ComputerWorld: Erstatningssag på vej mod Gladsaxe Kommune efter datalæk
- BT: Kæmpe datalæk ryster eksperter: Op mod en milliard mennesker kan være ramt
- Facebook: Facebook afslører, at der er sket et større læk af billeder fra det sociale medie
- InputMag: Nyt Facebook datalæk blotter mails og kodeord
- Version2: Facebook står til stor bøde for datalæk i Cambridge Analytica-sag
- DR: Google lukker Google+ efter omfattende sikkerhedsbrud
- og man kunne blive ved …
Det danske Datatilsynet, der er borgernes vagthund, har udsendt deres rapport om det første år med den nye databeskyttelsesforordning. Status et år efter er, at opmærksomheden har betydet en væsentlig stigning i sager hos Datatilsynet – antallet af klager og spørgsmål er steget med over 150 procent - og borgerne er blevet mere opmærksomme på databeskyttelse.
"Vi er sat i verden for at sikre, at der bliver passet godt på
danskernes personoplysninger. Derfor er vi glade for at se, at rigtig mange
virksomheder og myndigheder gør et stort stykke arbejde for at efterleve
reglerne – samtidig er borgerne blevet mere bevidste om deres rettigheder og
gør brug af dem," siger Datatilsynets direktør Cristina Angela
Gulisano.
I perioden 25. maj 2018 til 22.
maj 2019 har Datatilsynet modtaget 5.962 klager og forespørgsler (heraf 2.294
klager og 3.668 forespørgsler) og 5.215 underretninger om brud på
persondatasikkerheden. Til sammenligning var der i perioden 1. januar 2017 til
31. december 2017 2.213 klager og forespørgsler (ikke opgjort separat). Der var
ikke pligt til at underrette Datatilsynet om brud på persondatasikkerheden før
25. maj 2018.
Datatilsynene i alle EU-lande har samlet det første år modtaget 89.271 anmeldelser af datalæk.
Lever de store IT-firmaer så op til GDPR?
Datatilsynene i alle EU-lande har samlet det første år modtaget 89.271 anmeldelser af datalæk.
Lever de store IT-firmaer så op til GDPR?
Facebook har været i krise fra
kort før GDPR trådte i kraft til dags dato. Dengang var de ramt af skandalen om
Cambridge Analytica – firmaet der havde indsamlet persondata om 57 millioner brugere
af Facebook – angiveligt til brug i en holdningspåvirkningskampagne op til det
amerikanske præsidentvalg i 2016. Desuden var firmaet også involveret i at finde
de mest påvirkelige Facebook-brugere op til Brexit-folkeafstemningen i Storbritannien.
Analysefirmaet var overbevist om, at Trump ville blive præsident, og at den
britiske folkeafstemning ville falde ud til fordel for Brexit-tilhængerne. Det
arbejdede firmaet for, og sådan blev resultatet.
De amerikanske, britiske og EU-parlamenter
afholdt i 2017 høringer, hvor Facebooks administrerende direktør, Mark
Zuckerberg, blev intenst udspurgt af politikere, som dog selv havde store interesser
i holdningspåvirkning via de sociale medier. Facebook-direktøren formåede at smyge
sig uden om at svare direkte på spørgsmålene, og han havde egentligt heller
ikke tid til det på den korte tid, der var afsat til høringerne. Der var for
mange spørgsmål, og han blev spurgt om emner, han ikke helt havde forberedt sig
på.
Facebook har oplevet flere
datalæk via tredjeparts tjenester i det forgangne år, som har givet potentiel mulighed
for andre firmaer at få fat i flere data, end de var berettigede til ifølge
deres aftaler med Facebook – og som Facebook-brugerne havde givet samtykke til.
Der kan derfor vente Facebook en større bøde fra EU’s konkurrencekommissær.
Siden har Facebook i nogen grad tilpasset
den europæiske del af det sociale medie, så det overholder GDPR. For nyligt har
Mark Zuckerberg udtalt sig til fordel for global gennemførelse af GDPR – således
også i USA. Problemet er, at det kan gå ud over forretningsmodellen og dermed shareholder value. Men selv aktionærerne
er ikke glade for den påvirkning, som Facebook har på deres egne familier og
samfund, så der er bevægelse internationalt for mere etiske måder at behandle
og indsamle data på samt påvirkning via sociale medier. Der har endda været advokeret for at splitte Facebook op.
Facebook forsøger desuden også at dæmme op for den alvorlige og tiltagende kritik ved at ændre på Facebook, Messenger, Instagram og WhatsApp, som den børsnoterede virksomhed ejer. Budskabet fra topchef Mark Zuckerberg er, at nu skal folk kunne kommunikere privat. Med Facebooks historie om massiv dataindsamling med henblik på målrettet reklame er det måske et udsagn, der skal tages med et gran salt.
Facebook forsøger desuden også at dæmme op for den alvorlige og tiltagende kritik ved at ændre på Facebook, Messenger, Instagram og WhatsApp, som den børsnoterede virksomhed ejer. Budskabet fra topchef Mark Zuckerberg er, at nu skal folk kunne kommunikere privat. Med Facebooks historie om massiv dataindsamling med henblik på målrettet reklame er det måske et udsagn, der skal tages med et gran salt.
Google har lukket deres Facebook-klon,
Google+, efter at flere sikkerhedsbrud er blevet opdaget, og datalæk er sket. Det
er dog næppe den fulde grund til, at de lukker deres sociale medie. Google+
blev ikke anvendt i nært samme omfang som Facebook. Derfor kan Google have
benyttet sikkerhedsbruddene som en undskyldning for at lukke tjenesten.
Google har for nyligt lanceret en ny funktion, hvor indsamlede data automatisk og løbende kan slettes efter enten tre eller 18 måneder.
EU har uddelt tre store milliardbøder til Google i tidens løb, men disse er ikke relateret til GDPR, men derimod til misbrug af Googles dominerende stilling på markedet over for konkurrenter.
Facebook og Google lever begge af deres viden om brugerne og deres adfærd. De indsamlede datamængder, som er massive, bruges til at sælge målrettede annoncer, der vises, når man bruger f.eks. Googles egne tjenester som søgemaskinen, eller når man besøger andre netsteder, der har en annonceaftale med Google, f.eks. via Google Analytics. Giganternes tiltag sker derfor med meget stort fokus på ikke at skade deres egen forretning for meget, men skandalesagerne gør de politiske og officielle indgreb til stadig mere præcise nålestiksangreb.
Google har for nyligt lanceret en ny funktion, hvor indsamlede data automatisk og løbende kan slettes efter enten tre eller 18 måneder.
EU har uddelt tre store milliardbøder til Google i tidens løb, men disse er ikke relateret til GDPR, men derimod til misbrug af Googles dominerende stilling på markedet over for konkurrenter.
Facebook og Google lever begge af deres viden om brugerne og deres adfærd. De indsamlede datamængder, som er massive, bruges til at sælge målrettede annoncer, der vises, når man bruger f.eks. Googles egne tjenester som søgemaskinen, eller når man besøger andre netsteder, der har en annonceaftale med Google, f.eks. via Google Analytics. Giganternes tiltag sker derfor med meget stort fokus på ikke at skade deres egen forretning for meget, men skandalesagerne gør de politiske og officielle indgreb til stadig mere præcise nålestiksangreb.
Kort efter GDPR trådte i kraft
indførte Microsoft ved installering eller opgradering af Windows 10 seks spørgsmål,
som brugeren skulle svare på, før Windows 10 blev aktiveret. Disse spørgsmål handlede
alle om at afgive samtykke eller ej til en mere eller mindre omfattende dataindsamling
om brugeren af Windows og styresystemets apps. Det gælder f.eks. spørgsmål som sending
af alle indtastede data, oplysninger om pc’en lokation, diagnostiske data og
oplysninger om, hvordan apps anvendes til Microsofts servere. Desuden skal man
også vælge, om man vil acceptere at få målrettede reklamer eller ej i apps.
Microsoft indsamler dermed en større mængde data om brugeren for at forbedre
brugeroplevelsen, som de siger, og for at gøre det muligt at dele de samme
oplysninger mellem alle ens Windows-enheder – hvilket øger brugervenligheden noget.
Et af spørgsmålene er, ligesom i Facebooks brugervilkår, formuleret på en sådan
måde, at sending af diagnostiske data (som man måske ikke vil have noget imod)
er koblet sammen med sending af data om, hvordan appsene bruges. Man kan
således ikke vælge den ene del fra og beholde den anden. Sammenkoblingen er
uden tvivl gjort med hensigt for at få brugerne til alligevel at acceptere den
omfattende dataindsamling. Her er et punkt, som EU med rette kunne tage et kig
på – både for Microsoft og Facebooks vedkommende.
Apple, der blandt andet sælger iPhones og iPads, har udtalt, at "privatlivsbeskyttelse er en menneskeret". Teknologigiganten har lagt mærke til, at der ved log-ind med Google- og Facebook-konti undertiden overføres en mængde data til disse firmaer - oplysninger, som de egentligt ikke er berettigede til at få. Det gælder f.eks. Facebook-appen, der høster alle ens SMS-beskeder, når man logger på. Apple har taget et nyt initiativ til kryptering af SMS-beskeder for at standse denne datahøst. Desuden lægger Apple op til, at der kan skabes en ny e-mailadresse for hver tjeneste, der logges på, så data fra e-mailkonti som f.eks. din gmail-kontos e-mailkontakter ikke kan høstes. De vil heller ikke længere tillade apps, der ikke har tilladelse til at bruge din placering at scanne Wi-Fi- eller Bluetooth-netværk for alligevel at finde ud af, hvor du befinder dig. Så Apple vil gerne sælge sig på, at dine data er mere trygge på Apple-udstyr, og at du har større kontrol med dem end på andre platforme - uanset om app-leverandørerne vil det eller ej.
Apple, der blandt andet sælger iPhones og iPads, har udtalt, at "privatlivsbeskyttelse er en menneskeret". Teknologigiganten har lagt mærke til, at der ved log-ind med Google- og Facebook-konti undertiden overføres en mængde data til disse firmaer - oplysninger, som de egentligt ikke er berettigede til at få. Det gælder f.eks. Facebook-appen, der høster alle ens SMS-beskeder, når man logger på. Apple har taget et nyt initiativ til kryptering af SMS-beskeder for at standse denne datahøst. Desuden lægger Apple op til, at der kan skabes en ny e-mailadresse for hver tjeneste, der logges på, så data fra e-mailkonti som f.eks. din gmail-kontos e-mailkontakter ikke kan høstes. De vil heller ikke længere tillade apps, der ikke har tilladelse til at bruge din placering at scanne Wi-Fi- eller Bluetooth-netværk for alligevel at finde ud af, hvor du befinder dig. Så Apple vil gerne sælge sig på, at dine data er mere trygge på Apple-udstyr, og at du har større kontrol med dem end på andre platforme - uanset om app-leverandørerne vil det eller ej.
Er det svært at leve op til persondataforordningen?
Store virksomheder har kunnet hyre
konsulenter til at analysere brug af data i virksomheden, og som har udfærdiget
omfattende dokumenter om databeskyttelse og vilkår for brug af virksomhedens tjenester,
som kunderne har skullet give samtykke til. De har også bistået med både
konsulentbistand samt software til varetagelse af persondata om nuværende medarbejdere
og jobansøgninger, som der er skærpede krav til efter indførelsen af GDPR. Det er alt
sammen noget, som virksomheden har kunnet betale sig fra, og ansætte en DPO
(Data Protection Officer eller Databeskyttelsesrådgiver, som det hedder på
dansk) til varetagelse af databeskyttelsen fremover. Det kan have betydet
ændringer og betydelige stramninger i behandlingen af persondata for såvel private
virksomheder som offentlige myndigheder.
Men hvad med mindre virksomheder?
Hvad hvis det er en håndværker eller endog en terapeut med en
enkeltmandsvirksomhed? Forfatteren har talt med en kvinde, der praktiserede kiropraktik
og massage, som var så voldsomt påvirket af kravet om at skulle leve op til
forordningen, at hun psykisk var ved at gå ned på det. Hun overvejede alvorligt
at lukke sin virksomhed. Hun registrerede personfølsomme oplysninger om sine
klienter i en bog med blanke sider og ikke på en computer. Hun kunne ikke
gennemskue, hvordan hun skulle leve op til loven. Det var helt kafkask for
hende. Hendes hoved var slet ikke indrettet til at beskæftige sig med abstrakte, administrative procedurer. Hun tænkte på behandlingen af sine klienter og kunne
netop det.
Hertil kan siges, at hun kunne
have deltaget i et af behandlernetværkene, som tager imod ordrer for behandlere
via Internettet. Disse netværk har skullet leve op til forordningen og har ressourcerne
til det. For en behandler ville det således kun kræve en mindre indsats at leve
op til persondataforordningen via disse.
Persondatabeskyttelse for foreninger
Nogle er måske ikke klar over, at
den nye persondataforordning også gælder for private foreninger som f.eks. skak-,
hygge-, pensionist- eller fotoklubben. Men det gør den. Forfatteren til bogen ”Bliv sikker på
nettet” har selv medvirket til at implementere GDPR i en gruppe
pensionistforeninger. Det har været rigtigt svært – ikke mindst fordi det
ligger seniorer fjernt at beskæftige sig med det abstrakte stof, som loven er
gjort af. Forfatteren har selv som formand for en foto- og videoklub sat sig
ind loven og fået skrevet alle de nødvendige dokumenter, implementeret procedurer
med samtykke for nye medlemmer og lagt klubbens dokumenter, der beskriver,
hvordan den beskytter medlemmernes oplysninger, ud på dens hjemmeside, så alle
kan få adgang til dem.
Men det er ikke lykkedes at engagere
andre medlemmer i klubben og heller ikke de ni andre klubber i klubfællesskabet
i udarbejdelse af procedurer for varetagelse af databeskyttelse samt skrivning
af de nødvendige dokumenter. Så de kører her et år efter indførelsen af loven
videre, som de plejer – flere af dem med en lommebog over medlemmernes navne og
telefonnumre som medlemskartotek og eventuelt også lagt ind i smartphonens
kontaktbog. De har svært ved at indse, hvorfor de skal gennem alt dette
bureaukratiske besvær blot for at styre en forening – noget som de har klaret igennem mange år uden problemer.
Andre foreninger, som forfatteren
har været i kontakt med, har været bekymret over den bøde på 4 procent af
årsomsætningen, de kan blive idømt, hvis Datatilsynet kommer på inspektion og
finder, at der ingen nedskrevne procedurer er for behandling af brud på
datasikkerheden. Andre igen siger, ”Pyt,” for hvad er 4 procent af de få
tusinde kroner, som foreningen har i årsomsætning? Det er lettere at betale
bøden end at leve op til persondataforordningen.
Spørgsmålet er også, hvor
interessante små private foreninger med 10-40 medlemmer er for Datatilsynet, og
om de kan finde på at komme på uanmeldt inspektion hos dem …
Hvor glade er danskerne for GDPR?
To ud af tre danskere udtrykker i
en undersøgelse, at de er glade for EU's databeskyttelsesforordning. Mange har desuden sat sig ind i, hvilke rettigheder de har fået med den
nye lov.
Resultaterne fremgår af en ny
undersøgelse blandt 2.000 danskere gennemført af Userneeds for
Ingeniørforeningen, IDA.
IDAs it-sikkerhedsekspert Jørn
Guldberg er positivt overrasket over, at så mange danskere på bare et år har
taget GDPR til sig.
”Når hver anden svarer, at de rent faktisk forstår de rettigheder,
de som borgere og forbrugere har fået i forbindelse med GDPR, synes jeg, at der
er tale om en succeshistorie på EU-fronten. Det øgede fokus på, hvordan vores
persondata opbevares og behandles, er vigtigere end nogensinde før. Hvis vi
skal høste fordelene ved digitaliseringen, kan det kun ske, hvis brugerne føler
sig trygge ved, at deres oplysninger behandles ordentligt,” siger han
i en pressemeddelelse.
Det absolut mest slagkraftige ved
EU's databeskyttelseslov er ifølge Jørn Guldberg, at der sammenlignet med
tidligere nu kan blive uddelt bøder i en helt anden størrelsesorden, hvis en
myndighed, organisation eller virksomhed ikke har styr på, hvordan og hvor længe
de opbevarer persondata.
”Det er mit indtryk, at bøderne for at sjuske med persondata har været
en øjenåbner for mange virksomheder. Før GDPR fik private virksomheder
herhjemme typisk bøder på mellem 2.000 og 25.000 kroner for overtrædelse af
persondataloven. Altså et rap over nallerne. Det seneste år har der været
mulighed for at udskrive bøder på 20 millioner euro, svarende til 150 millioner
kroner, eller fire procent af den årlige globale omsætning til private
virksomheder. Desuden er det besluttet, at offentlige myndigheder vil kunne få
bøder på op til fire procent af den såkaldte driftsbevilling, dog maksimalt 16
millioner kroner, hvis de ikke har styr på persondata. Det har uden tvivl har
haft en effekt,” siger han.
I marts politianmeldte
Datatilsynet for første gang en dansk virksomhed for brud på
databeskyttelsesforordningen, og tilsynet har indstillet en
bøde på 1,2 millioner kroner: Taxa 4x35 har ifølge Datatilsynet brudt
reglerne ved at opbevare kunders telefonnumre i mere end de tilladte to år.
Overholder andre lande GDPR?
I Danmark har de fleste
virksomheder spurtet for at opfylde GDPR-kravene. Det er dog stadig hver sjette
af Dansk Erhvervs medlemsvirksomheder, der kæmper med at leve op til kravene. De
siger, at to procent af virksomhederne meddeler, at de ikke på noget tidspunkt
kommer til at overholde databeskyttelsesloven med dens dokumentationskrav.
Der har hersket mange rygter og
myter om bøder og straffe for overtrædelse af de nye regler. Men de lader vente
lidt på sig – også i Danmark.
I Danmark modtog Datatilsynet som
nævnt ovenfor 2.780 GDPR-anmeldelser i 2018 – vel at mærke efter 25. maj, hvor
den nye lovgivning trådte i kraft.
Hvor meget er det i forhold til
andre EU-lande? Det er dobbelt så mange som i Frankrig. Det sender Danmark ind
på top tre over flest anmeldelser i forhold til indbyggertal i Europa. På
førstepladsen finder vi Holland, og på andenpladsen har vi Irland.
Tidligere på året har tilsynschef
i det danske datatilsyn, Jesper Husmer Vang, udtalt sig om mængden af
anmeldelser: ”Vi havde nok regnet med,
der ville komme mange, men ikke så mange.”
Der er endnu ikke udstedt bøder i
Danmark, men den første retssag skal dog føres mod et taxaselskab. De første bøder
har fundet deres vej ude i Europa:
- Den tyske chathjemmeside www.knuddles.de blev idømt en bøde på 20.000 euro (150.000 kr.)
- Det portugisiske hospital Centro Hospitalar Barreiro Montijo fik to bøder på i alt 400.000 euro (3 millioner kr.)
- Google modtog en bøde fra det franske datatilsyn i januar 2019 på hele 50 millioner euro (373 millioner kr.)
- Senest har et lille ungarsk firma modtaget en bøde på 3.135 euro (23.512,5 kr.)
Det tager tid at finde frem til de rette fortolkninger af databeskyttelsesloven. Det kræver, at sager prøves ved domstole for at skabe præcedens.
Hvis du vil vide mere
Du kan læse mere om IT-sikkerhed generelt, men også GDPR i
særdeleshed i bogen ”Bliv sikker på
nettet”:
- Side 409-421: Overvågning på nettet
- Side 428-430: Hvad går EUs nye persondataforordning ud på?
Lars Laursen, forfatter til bogen ”Bliv sikker på
nettet – PC- og onlinesikkerhed”.
Ingen kommentarer:
Send en kommentar