fredag den 31. maj 2019

GDPR 1 år efter

Den 25. maj 2018 trådte EU's nye persondataforordning (GDPR) i kraft i Danmark og de andre EU-lande efter en indkøringsperiode på to år. Den 25. maj 2019 var det 1-årsdagen for GDPR. Hvordan er det så gået med beskyttelsen af persondata i Danmark og EU siden da? Har der været nogle store sager? Er Facebook, Amazon, Netflix, Google, Microsoft og Apple blevet sat på plads?

Den nye databeskyttelsesforordning, der gælder for alle virksomheder (IT- eller ej), myndigheder, private organisationer og endda foreninger, giver de registrerede borgere en række rettigheder og beskyttelse mod de store IT-firmaer. Det sker efter en omsiggribende datahøst fra brugerne, som især Facebook, Google, Amazon, Microsoft og Apple samt en række onlineannoncefirmaer står bag. 

Enkelte såkaldte databrokere har indsamlet detaljerede profiler om brugerne af Internettet med op til 5.000 stykker enkeltdata. Dermed kan købere af sådanne brugerprofiler danne sig et ret omfattende indtryk af en bruger – endda mere omfattende end ægtefællens viden om én – og udnytte den i en for det meste kommerciel sammenhæng.

Persondataforordningen, der også kaldes GDPR (General Data Protection Regulation), giver borgerne ret til bl.a. at få indsigt i persondata; til at få dem rettet; og til at blive glemt. Borgerne skal også give samtykke til, at persondata må indsamles og registreres og kun til et bestemt formål. Skal data bruges i en ny sammenhæng, skal der indhentes fornyet samtykke. Dette gælder dog ikke for offentlige myndigheder.

Det er ikke kun firmaer i EU, der skal leve op til forordningen, men også alle andre udenlandske firmaer, der registrerer persondata om EU-borgere – og dermed også amerikanske firmaer som Facebook, Google, Microsoft, Amazon, Netflix og Apple. Især store IT-firmaer kan idømmes en bøde på op til 4 procent af deres årsomsætning eller 20 millioner euro (ca. 150 millioner kroner) for brud på persondatasikkerheden.

Hvordan er det gået?

Hvordan har firmaerne i Danmark og udenfor landets grænser så forvaltet deres nye forpligtelser i det forgangne år? Du har måske set overskrifter i medierne i det forløbne år, såsom:
Det danske Datatilsynet, der er borgernes vagthund, har udsendt deres rapport om det første år med den nye databeskyttelsesforordning. Status et år efter er, at opmærksomheden har betydet en væsentlig stigning i sager hos Datatilsynet – antallet af klager og spørgsmål er steget med over 150 procent - og borgerne er blevet mere opmærksomme på databeskyttelse.

"Vi er sat i verden for at sikre, at der bliver passet godt på danskernes personoplysninger. Derfor er vi glade for at se, at rigtig mange virksomheder og myndigheder gør et stort stykke arbejde for at efterleve reglerne – samtidig er borgerne blevet mere bevidste om deres rettigheder og gør brug af dem," siger Datatilsynets direktør Cristina Angela Gulisano.

I perioden 25. maj 2018 til 22. maj 2019 har Datatilsynet modtaget 5.962 klager og forespørgsler (heraf 2.294 klager og 3.668 forespørgsler) og 5.215 underretninger om brud på persondatasikkerheden. Til sammenligning var der i perioden 1. januar 2017 til 31. december 2017 2.213 klager og forespørgsler (ikke opgjort separat). Der var ikke pligt til at underrette Datatilsynet om brud på persondatasikkerheden før 25. maj 2018.

Datatilsynene i alle EU-lande har samlet det første år modtaget 89.271 anmeldelser af datalæk.


Lever de store IT-firmaer så op til GDPR?

Facebook har været i krise fra kort før GDPR trådte i kraft til dags dato. Dengang var de ramt af skandalen om Cambridge Analytica – firmaet der havde indsamlet persondata om 57 millioner brugere af Facebook – angiveligt til brug i en holdningspåvirkningskampagne op til det amerikanske præsidentvalg i 2016. Desuden var firmaet også involveret i at finde de mest påvirkelige Facebook-brugere op til Brexit-folkeafstemningen i Storbritannien. Analysefirmaet var overbevist om, at Trump ville blive præsident, og at den britiske folkeafstemning ville falde ud til fordel for Brexit-tilhængerne. Det arbejdede firmaet for, og sådan blev resultatet.

De amerikanske, britiske og EU-parlamenter afholdt i 2017 høringer, hvor Facebooks administrerende direktør, Mark Zuckerberg, blev intenst udspurgt af politikere, som dog selv havde store interesser i holdningspåvirkning via de sociale medier. Facebook-direktøren formåede at smyge sig uden om at svare direkte på spørgsmålene, og han havde egentligt heller ikke tid til det på den korte tid, der var afsat til høringerne. Der var for mange spørgsmål, og han blev spurgt om emner, han ikke helt havde forberedt sig på.

Facebook har oplevet flere datalæk via tredjeparts tjenester i det forgangne år, som har givet potentiel mulighed for andre firmaer at få fat i flere data, end de var berettigede til ifølge deres aftaler med Facebook – og som Facebook-brugerne havde givet samtykke til. Der kan derfor vente Facebook en større bøde fra EU’s konkurrencekommissær.

Siden har Facebook i nogen grad tilpasset den europæiske del af det sociale medie, så det overholder GDPR. For nyligt har Mark Zuckerberg udtalt sig til fordel for global gennemførelse af GDPR – således også i USA. Problemet er, at det kan gå ud over forretningsmodellen og dermed shareholder value. Men selv aktionærerne er ikke glade for den påvirkning, som Facebook har på deres egne familier og samfund, så der er bevægelse internationalt for mere etiske måder at behandle og indsamle data på samt påvirkning via sociale medier. Der har endda været advokeret for at splitte Facebook op.

Facebook forsøger desuden også at dæmme op for den alvorlige og tiltagende kritik ved at ændre på Facebook, Messenger, Instagram og WhatsApp, som den børsnoterede virksomhed ejer. Budskabet fra topchef Mark Zuckerberg er, at nu skal folk kunne kommunikere privat. Med Facebooks historie om massiv dataindsamling med henblik på målrettet reklame er det måske et udsagn, der skal tages med et gran salt. 

Google har lukket deres Facebook-klon, Google+, efter at flere sikkerhedsbrud er blevet opdaget, og datalæk er sket. Det er dog næppe den fulde grund til, at de lukker deres sociale medie. Google+ blev ikke anvendt i nært samme omfang som Facebook. Derfor kan Google have benyttet sikkerhedsbruddene som en undskyldning for at lukke tjenesten.

Google har for nyligt lanceret en ny funktion, hvor indsamlede data automatisk og løbende kan slettes efter enten tre eller 18 måneder. 

EU har uddelt tre store milliardbøder til Google i tidens løb, men disse er ikke relateret til GDPR, men derimod til misbrug af Googles dominerende stilling på markedet over for konkurrenter.

Facebook og Google lever begge af deres viden om brugerne og deres adfærd. De indsamlede datamængder, som er massive, bruges til at sælge målrettede annoncer, der vises, når man bruger f.eks. Googles egne tjenester som søgemaskinen, eller når man besøger andre netsteder, der har en annonceaftale med Google, f.eks. via Google Analytics. Giganternes tiltag sker derfor med meget stort fokus på ikke at skade deres egen forretning for meget, men skandalesagerne gør de politiske og officielle indgreb til stadig mere præcise nålestiksangreb.

Kort efter GDPR trådte i kraft indførte Microsoft ved installering eller opgradering af Windows 10 seks spørgsmål, som brugeren skulle svare på, før Windows 10 blev aktiveret. Disse spørgsmål handlede alle om at afgive samtykke eller ej til en mere eller mindre omfattende dataindsamling om brugeren af Windows og styresystemets apps. Det gælder f.eks. spørgsmål som sending af alle indtastede data, oplysninger om pc’en lokation, diagnostiske data og oplysninger om, hvordan apps anvendes til Microsofts servere. Desuden skal man også vælge, om man vil acceptere at få målrettede reklamer eller ej i apps. Microsoft indsamler dermed en større mængde data om brugeren for at forbedre brugeroplevelsen, som de siger, og for at gøre det muligt at dele de samme oplysninger mellem alle ens Windows-enheder – hvilket øger brugervenligheden noget. Et af spørgsmålene er, ligesom i Facebooks brugervilkår, formuleret på en sådan måde, at sending af diagnostiske data (som man måske ikke vil have noget imod) er koblet sammen med sending af data om, hvordan appsene bruges. Man kan således ikke vælge den ene del fra og beholde den anden. Sammenkoblingen er uden tvivl gjort med hensigt for at få brugerne til alligevel at acceptere den omfattende dataindsamling. Her er et punkt, som EU med rette kunne tage et kig på – både for Microsoft og Facebooks vedkommende.  

Apple, der blandt andet sælger iPhones og iPads, har udtalt, at "privatlivsbeskyttelse er en menneskeret". Teknologigiganten har lagt mærke til, at der ved log-ind med Google- og Facebook-konti undertiden overføres en mængde data til disse firmaer - oplysninger, som de egentligt ikke er berettigede til at få. Det gælder f.eks. Facebook-appen, der høster alle ens SMS-beskeder, når man logger på. Apple har taget et nyt initiativ til kryptering af SMS-beskeder for at standse denne datahøst. Desuden lægger Apple op til, at der kan skabes en ny e-mailadresse for hver tjeneste, der logges på, så data fra e-mailkonti som f.eks. din gmail-kontos e-mailkontakter ikke kan høstes. De vil heller ikke længere tillade apps, der ikke har tilladelse til at bruge din placering at scanne Wi-Fi- eller Bluetooth-netværk for alligevel at finde ud af, hvor du befinder dig. Så Apple vil gerne sælge sig på, at dine data er mere trygge på Apple-udstyr, og at du har større kontrol med dem end på andre platforme - uanset om app-leverandørerne vil det eller ej. 

Er det svært at leve op til persondataforordningen?

Store virksomheder har kunnet hyre konsulenter til at analysere brug af data i virksomheden, og som har udfærdiget omfattende dokumenter om databeskyttelse og vilkår for brug af virksomhedens tjenester, som kunderne har skullet give samtykke til. De har også bistået med både konsulentbistand samt software til varetagelse af persondata om nuværende medarbejdere og jobansøgninger, som der er skærpede krav til efter indførelsen af GDPR. Det er alt sammen noget, som virksomheden har kunnet betale sig fra, og ansætte en DPO (Data Protection Officer eller Databeskyttelsesrådgiver, som det hedder på dansk) til varetagelse af databeskyttelsen fremover. Det kan have betydet ændringer og betydelige stramninger i behandlingen af persondata for såvel private virksomheder som offentlige myndigheder.

Men hvad med mindre virksomheder? Hvad hvis det er en håndværker eller endog en terapeut med en enkeltmandsvirksomhed? Forfatteren har talt med en kvinde, der praktiserede kiropraktik og massage, som var så voldsomt påvirket af kravet om at skulle leve op til forordningen, at hun psykisk var ved at gå ned på det. Hun overvejede alvorligt at lukke sin virksomhed. Hun registrerede personfølsomme oplysninger om sine klienter i en bog med blanke sider og ikke på en computer. Hun kunne ikke gennemskue, hvordan hun skulle leve op til loven. Det var helt kafkask for hende. Hendes hoved var slet ikke indrettet til at beskæftige sig med abstrakte, administrative procedurer. Hun tænkte på behandlingen af sine klienter og kunne netop det.

Hertil kan siges, at hun kunne have deltaget i et af behandlernetværkene, som tager imod ordrer for behandlere via Internettet. Disse netværk har skullet leve op til forordningen og har ressourcerne til det. For en behandler ville det således kun kræve en mindre indsats at leve op til persondataforordningen via disse.

Persondatabeskyttelse for foreninger

Nogle er måske ikke klar over, at den nye persondataforordning også gælder for private foreninger som f.eks. skak-, hygge-, pensionist- eller fotoklubben. Men det gør den. Forfatteren til bogen ”Bliv sikker på nettet” har selv medvirket til at implementere GDPR i en gruppe pensionistforeninger. Det har været rigtigt svært – ikke mindst fordi det ligger seniorer fjernt at beskæftige sig med det abstrakte stof, som loven er gjort af. Forfatteren har selv som formand for en foto- og videoklub sat sig ind loven og fået skrevet alle de nødvendige dokumenter, implementeret procedurer med samtykke for nye medlemmer og lagt klubbens dokumenter, der beskriver, hvordan den beskytter medlemmernes oplysninger, ud på dens hjemmeside, så alle kan få adgang til dem.

Men det er ikke lykkedes at engagere andre medlemmer i klubben og heller ikke de ni andre klubber i klubfællesskabet i udarbejdelse af procedurer for varetagelse af databeskyttelse samt skrivning af de nødvendige dokumenter. Så de kører her et år efter indførelsen af loven videre, som de plejer – flere af dem med en lommebog over medlemmernes navne og telefonnumre som medlemskartotek og eventuelt også lagt ind i smartphonens kontaktbog. De har svært ved at indse, hvorfor de skal gennem alt dette bureaukratiske besvær blot for at styre en forening – noget som de har klaret igennem mange år uden problemer.

Andre foreninger, som forfatteren har været i kontakt med, har været bekymret over den bøde på 4 procent af årsomsætningen, de kan blive idømt, hvis Datatilsynet kommer på inspektion og finder, at der ingen nedskrevne procedurer er for behandling af brud på datasikkerheden. Andre igen siger, ”Pyt,” for hvad er 4 procent af de få tusinde kroner, som foreningen har i årsomsætning? Det er lettere at betale bøden end at leve op til persondataforordningen.

Spørgsmålet er også, hvor interessante små private foreninger med 10-40 medlemmer er for Datatilsynet, og om de kan finde på at komme på uanmeldt inspektion hos dem …

Hvor glade er danskerne for GDPR?

To ud af tre danskere udtrykker i en undersøgelse, at de er glade for EU's databeskyttelsesforordning. Mange har desuden sat sig ind i, hvilke rettigheder de har fået med den nye lov.

Resultaterne fremgår af en ny undersøgelse blandt 2.000 danskere gennemført af Userneeds for Ingeniørforeningen, IDA.

IDAs it-sikkerhedsekspert Jørn Guldberg er positivt overrasket over, at så mange danskere på bare et år har taget GDPR til sig.

”Når hver anden svarer, at de rent faktisk forstår de rettigheder, de som borgere og forbrugere har fået i forbindelse med GDPR, synes jeg, at der er tale om en succeshistorie på EU-fronten. Det øgede fokus på, hvordan vores persondata opbevares og behandles, er vigtigere end nogensinde før. Hvis vi skal høste fordelene ved digitaliseringen, kan det kun ske, hvis brugerne føler sig trygge ved, at deres oplysninger behandles ordentligt,” siger han i en pressemeddelelse.

Det absolut mest slagkraftige ved EU's databeskyttelseslov er ifølge Jørn Guldberg, at der sammenlignet med tidligere nu kan blive uddelt bøder i en helt anden størrelsesorden, hvis en myndighed, organisation eller virksomhed ikke har styr på, hvordan og hvor længe de opbevarer persondata.

”Det er mit indtryk, at bøderne for at sjuske med persondata har været en øjenåbner for mange virksomheder. Før GDPR fik private virksomheder herhjemme typisk bøder på mellem 2.000 og 25.000 kroner for overtrædelse af persondataloven. Altså et rap over nallerne. Det seneste år har der været mulighed for at udskrive bøder på 20 millioner euro, svarende til 150 millioner kroner, eller fire procent af den årlige globale omsætning til private virksomheder. Desuden er det besluttet, at offentlige myndigheder vil kunne få bøder på op til fire procent af den såkaldte driftsbevilling, dog maksimalt 16 millioner kroner, hvis de ikke har styr på persondata. Det har uden tvivl har haft en effekt,” siger han.

I marts politianmeldte Datatilsynet for første gang en dansk virksomhed for brud på databeskyttelsesforordningen, og tilsynet har indstillet en bøde på 1,2 millioner kroner: Taxa 4x35 har ifølge Datatilsynet brudt reglerne ved at opbevare kunders telefonnumre i mere end de tilladte to år.

Overholder andre lande GDPR?

I Danmark har de fleste virksomheder spurtet for at opfylde GDPR-kravene. Det er dog stadig hver sjette af Dansk Erhvervs medlemsvirksomheder, der kæmper med at leve op til kravene. De siger, at to procent af virksomhederne meddeler, at de ikke på noget tidspunkt kommer til at overholde databeskyttelsesloven med dens dokumentationskrav.

Der har hersket mange rygter og myter om bøder og straffe for overtrædelse af de nye regler. Men de lader vente lidt på sig – også i Danmark.

I Danmark modtog Datatilsynet som nævnt ovenfor 2.780 GDPR-anmeldelser i 2018 – vel at mærke efter 25. maj, hvor den nye lovgivning trådte i kraft.

Hvor meget er det i forhold til andre EU-lande? Det er dobbelt så mange som i Frankrig. Det sender Danmark ind på top tre over flest anmeldelser i forhold til indbyggertal i Europa. På førstepladsen finder vi Holland, og på andenpladsen har vi Irland.

Tidligere på året har tilsynschef i det danske datatilsyn, Jesper Husmer Vang, udtalt sig om mængden af anmeldelser: ”Vi havde nok regnet med, der ville komme mange, men ikke så mange.”

Der er endnu ikke udstedt bøder i Danmark, men den første retssag skal dog føres mod et taxaselskab. De første bøder har fundet deres vej ude i Europa:
  • Den tyske chathjemmeside www.knuddles.de blev idømt en bøde på 20.000 euro (150.000 kr.)
  • Det portugisiske hospital Centro Hospitalar Barreiro Montijo fik to bøder på i alt 400.000 euro (3 millioner kr.)
  • Google modtog en bøde fra det franske datatilsyn i januar 2019 på hele 50 millioner euro (373 millioner kr.)
  • Senest har et lille ungarsk firma modtaget en bøde på 3.135 euro (23.512,5 kr.)
Lande som Polen og Grækenland har andre ting at tænke på. De skænker ikke GDPR så mange tanker, og de gør måske heller ikke så meget for at leve op til EU-lovgivningen som danskerne.

Det tager tid at finde frem til de rette fortolkninger af databeskyttelsesloven. Det kræver, at sager prøves ved domstole for at skabe præcedens. 

Hvis du vil vide mere

Du kan læse mere om IT-sikkerhed generelt, men også GDPR i særdeleshed i bogen ”Bliv sikker på nettet”:
  • Side 409-421: Overvågning på nettet
  • Side 428-430: Hvad går EUs nye persondataforordning ud på?
Med venlig hilsen

Lars Laursen, forfatter til bogen ”Bliv sikker på nettet – PC- og onlinesikkerhed”.

Kilde: IDA – EU-beskyttelse af privatlivet tiltaler danskerne

Ingen kommentarer:

Send en kommentar