IT-sikkerhet 25-11-2017

Hva betyr GDPR for deg?

De fleste av oss etterlater digitale fotavtrykk uansett hvor vi snur oss, inkludert løpeapper, barnehageapper, bildedeling og kaféapper. Sannheten i dag er at vi ikke har kontroll over hva selskaper vet om oss. Det behøver ikke være slik.

Thomas Tømmernes
Thomas Tømmernes
Leder for IT-sikkerhet
Par tar selfie utenfor hytte i snøvær

Denne bloggposten ble først publisert på Digi.no.

GDPR er blant årets mest omtalte nyheter innen IT-sikkerhet det siste året. EUs nye personvernlovgivning GDPR, står for General Data Protection Regulation (GDPR), uten at dette nødvendigvis sier hva forordningen gjør for deg og meg. La meg forklare.

Personvernlovgivningen GDPR ble vedtatt i 2016 og trer i kraft mai 2018. Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere er forpliktet til å følge den nye loven. Som en del av EØS-samarbeidet blir den derfor også gjeldende i Norge. Den nye forordningen, sikrer privatpersoner rettigheter over egen personinformasjon og vil medføre store endringer for hvordan næringslivet behandler slike opplysninger:

  • Hovedtrekkene innebærer retten til å bli glemt, ved at det tydeliggjør borgernes rett til å få egne personopplysninger slettet og retten til å kreve begrensning.
  • Dersom det ikke ønskes at opplysninger skal slettes eller bestrider at opplysningene er korrekte, kan du kreve at behandlingen av personopplysningene begrenses. 
  • Dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med deg, kan du kreve å ta med opplysningene dine til en annen virksomhet.

Men hva betyr dette egentlig for deg?

De fleste av oss etterlater digitale fotavtrykk uansett hvor vi snur oss, inkludert løpeapper, barnehageapper, bildedeling og kaféapper. Sannheten i dag er at vi ikke har kontroll over hva selskaper vet om oss – og ingen rett til det heller. Dette er en felle de fleste som deltar i det digitale samfunnet vårt går i daglig: du laster ned en applikasjon, melder deg på et sosialt medium eller oppgraderer programvare. Sannsynligheten er stor for at du vil bli spurt om du godtar vilkårene satt av selskapet som eier programvaren.

”De fleste av oss krysser bare av for "Jeg godtar" – helt ukritisk og uten å lese vilkårene i det hele tatt.”

I det du godtar disse vilkårene, vil du i de aller fleste tilfeller si fra deg rettighetene til å ha noen innvirkning på informasjonen selskapet får tilgang til, og hvordan de siden kan benytte eller selge det videre til en tredje part.

For hvem gidder egentlig lese vilkårene forfattet av lovkyndige jurister? Med komplisert språk og liten skrift er tekstene skrevet tørrere og lengre enn de færreste setter seg ned og tenker gjennom. Her snakker vi også om kjente aktører som Facebook, Google, Æ og alt annet vi ukritisk godkjenner gjennom diverse apper.

Vi tenker heller på fordelene den nye appen vi har så lyst på vil gi oss. Den gratis bollen du kanskje får ved å laste ned en kaféapp kan bli kostbar når du siden skal kjøpe helseforsikring og forsikringsselskapet vet at du faktisk spiser wienerbrød til lunsj hver dag.

Vil de kunne kreve at du gjennomgår en utvidet legesjekk for sukkersyke – fedme eller andre følgesykdommer et lite wienerbrød om dagen kan gi deg? Hemmeligheten du trodde bare var viktig for kona å ikke vite om, blir med ett mye vanskeligere å skjule.

Usannsynlig?

La meg gi deg et annet eksempel: Jeg handler mye på nettet og ble i begynnelsen imponert over artiklene som dukket opp i nyhetsfeeden min. Jeg var jo interessert i alle. Utrolig bra, tenkte jeg, da slipper jeg å lete og så videre. I ettertid har jeg skjønt at visningen jeg så var optimalisert for min profil, basert på tidligere kjøp, søk og adferdsmønster. Det er en vanskelig problemstilling, for på den ene siden ønsker jeg det slik. Det forenkler livet, lar meg utføre en raskere handel og med tilpasset reklame får jeg med meg spesialtilbud. På den andre siden, vil jeg virkelig at andre skal vite dette om meg? 

Appen Æ registrerer alle kjøp og bevegelser. De av oss som velger å bruke denne, gjør det fordi vi som forbrukere ønsker å få bedre tilbud og mer målrettet markedsføring. Skulle man av en eller annen grunn ikke ønske dette lengere – skal man like lett som man ble medlem og ga tillatelse til informasjonsinnhenting – kunne be om å slettes fra registeret. - Nå vil vi ikke bare kunne be om sletting men også at all informasjon om meg blir sendt over til en database jeg ber om.

Dataportabilitet

Dataportabilitet er også en viktig del av GDPR. Det betyr at om jeg vil slette alt i Æ og gå over til tilsvarende løsning hos en konkurrerende butikkkjede, kan jeg følgende kreve at Æ overfører all data om meg til denne kjeden før sletting. Denne ordningen gjelder også alle forsikringselskaper, strømselskaper og alle andre som har tilgang til min informasjon.

Sterkere krav

Denne nye loven gir større rom for oss som privatpersoner å kunne stille krav til selskapene. Vi som forbrukere vil neppe merke forskjell fra den ene dagen til den andre når denne loven blir gjeldende. Der det skjer brudd på regelverket vil vi derimot se store forskjeller fra dagens lovverk.

En av de viktige endringene er nemlig at man har krav på svar innen én måned når man henvender seg til selskap eller myndigheter med spørsmål eller ønsker knyttet til egne personopplysninger.

Det er like mange grunner til hvorfor man trenger oversikt over egen persondata som det finnes nettbrukere. Enten du er i jobbsøkerprosess, eller plutselig trenger å leve på skjult adresse, vil dette være en mye raskere fremgangsmåte for å få informasjonsoversikt om hva som er registret på deg enn i dag.

Slett meg

Man har også større rett til å be om at opplysninger om seg selv skal slettes. Dette må skje innen en gitt tidsfrist. Artikkel 17 i GDPR setter dette til 30 dager uten ugrunnet opphold.

I dag har Norsis en tjeneste som heter Slett Meg. Dette er god hjelp for folk som trenger å få slettet informasjon fra nettet, enten det er støtende, uriktig, eller bare informasjon de ikke ønsker skal være tilgjengelig lenger. Forskjellen blir altså at bedrifter må etterfølge krav fra enkeltpersoner.

Bedriftene vil heller ikke ha mulighet til lagre slettet informasjon. Tidligere når man «slettet» en Facebook-profil med tilhørende bilder, var praksis at profilen ble skjult, men fortsatt lå på selskapets eget datasenter. Med de nye reglene vil Facebook måtte slettet alt. Det samme gjelder også Google og tilsvarende tjenester.

Innbruddsalarm

En annen ting som vil gjelde for mannen i gata, er at skulle man bli utsatt for en eller annen lekkasje eller større innbrudd (for eksempel ved at noen har hacket eposten din – gjennom et større angrep på tjenestetilbyder), skal man bli informert om dette fra tjenestetilbyder – og ikke minst vite at tjenestetilbyder vil få en kraftig bot om de ikke ivaretar persondata etter gjeldende regulativer og praksis.

Velkommen, GDPR

GDPR vil gi privatpersoner vesentlig mer pondus og kortere behandlingstid, og etter hvert som både rådgivere og advokater tilegner seg den samme kunnskapen om GDPR, vil man i langt større grad kunne sette og fremstille krav ovenfor tjenestetilbydere. Det setter oss med andre ord i en tryggere og mer oversiktelig posisjon.

Alle som tilbyr digitale tjenester til forbrukere må oppfylle ti minstekrav:

  1. Hjelp meg å forstå vilkårene.
  2. Ikke endre vilkårene bak ryggen min eller uten forvarsel.
  3. Gi meg et reelt valg, slik at jeg selv kan bestemme over egne data.
  4. Ikke snok! Be ikke om mer data enn du trenger for å levere tjenesten.
  5. Ikke ta deg friheter med mine data.
  6. Ikke del for mye, bare det som er nødvendig for å tilby tjenesten. Informer meg om hva du deler med hvem.
  7. Ikke kast meg ut uten grunn.
  8. La meg ha andre venner også. Sikre slik at jeg kan overføre data enkelt.
  9. Slipp meg. Gjør det like lett å forlate og slette tjenesten, som det er å registrere seg. Oppbevar persondata kun i begrenset tid.
  10. Ikke glem å låse døren. Vis at du tar sikkerhet på alvor ved å beskytte mine data.

Kilde: Datatilsynet