Om GDPR og om at finde vej til Herning

Skrevet af Marie Louise Egelund, GDPR ekspert, Genpart.

Hvem ejer vores data? Kan vi kontrollere, hvem der ved hvad om os: vores indkøbsvaner, vores adfærd på internettet, endda vores færden i den virkelige verden? Og hvordan hænger retten til privatliv sammen med, hvordan vi finder vej til Herning?

I knapt 1½ år har GDPR været en realitet. Den 25. maj 2018 kom dette nye (og ganske langhårede) regelsæt for, hvordan man måtte behandle personoplysninger. Mange kender til betegnelsen “GDPR” – forkortelsen for “General Data Protection Regulation”. Eller på dansk: Databeskyttelsesforordningen. (Og som fodnote, så kom reglerne egentligt allerede i 2016. Men først fra maj 2018 var det ulovligt ikke at leve op til dem…)

Men hvorfor nu nye regler? Nu gik det jo lige så godt.

Når man nævner “GDPR” i en forsamling, så bliver de fleste en smule opgivende og trækker hen mod vinbaren. Så hvorfor er det overhovedet en god idé at indføre så omfattende et regelsæt? Og særligt ét, som ikke giver ret klare svar på, hvordan man som skal implementere reglerne, men hvor alting “kommer an på…”?

Først og fremmest skal man huske på, at en af kongstankerne bag EU er harmonisering: alle EU-borgere skal som udgangspunkt have et fælles grundlag for deres rettigheder og muligheder. En anden af kongstankerne er den fri bevægelighed: muligheder skal (kunne) udnyttes på tværs af landegrænser. Det er også tilfældet med GDPR, som både regulerer vores rettigheder, og hvordan personoplysninger kan udveksles indenfor EU og overføres til lande og organisationer udenfor EU. Så vi taler altså om 1) rettigheder og 2) udveksling af oplysninger.

Hvorfor taler vi om dét – og hvorfor nu?

Mange af os kender Nemlig.com, som leverer dagligvarer til døren. Fremragende service, synes jeg selv! Jeg vil gerne have leveret frisk mælk og kaffepulver søndag morgen, når jeg kommer hjem fra en ferie lørdag aften. For at Nemlig.com kan levere rullepølse og vaskepulver til mig, så har de selvfølgeligt brug for mine oplysninger: navn, adresse, betalingsoplysninger og emailadresse. Det giver jeg dem gerne, for jeg vil gerne have deres services.

Man kan også anvende eller købe andre services, hvor man skal afgive sine oplysninger: Netflix, magasinabonnementer, fodterapi, LinkedIn, køb på webshops, tidsbestilling hos frisøren, sine bankforretninger, medlemsskab af idrætsforeningen, tandlægebesøg, biografbilletter, flybilletter osv. Og de fleste af os vil rigtigt gerne aflevere vores oplysninger for at få disse services.

Samlet set flyder vores oplysninger rigtigt mange steder. Især nu, hvor vi lever i et digitaliseret samfund, og hvor teknologi er en del af dagligdagen: vi bruger Google Maps, når vi skal finde vej. Vi kommunikerer via mails, Snapchat, Facebook, Instagram, TikTok. Vi tjekker ind og ud med Rejsekort, når vi transporterer os med bus, tog og metro. Kommunerne tilbyder velfærdsteknologi, der hjælper massevis af borgere. Vi bruger medlemsapps, for at få de gode tilbud fra COOP. Vi fanger Pokemons i den virkelige verden. Vi finder ud af, hvor det nærmeste “Too Good To Go”-sted er, ved at vælge “Anvend min placering” i app’en.

Så altså: 1) vi producerer flere og flere data, 2) myndigheder, virksomheder og organisationer interagerer i stigende grad med data, 3) vi lever i et digitaliseret samfund med en hastig teknologiudvikling.

Og hvad er så det dér med at finde vej til Herning?

Jeg har ingen retningssans. Så er det sagt. Jeg er simpelthen DYBT afhængig af en GPS-dims, der hjælper mig til at finde vej. Andre er måske ikke nær så kompas-udfordrede men kan alligevel have brug for at kunne bruge fx Google Maps til at indtaste en adresse, hvor man gerne vil hen. Vi får en glimrende service af Google, som endda fortæller os, at der er kø på hovedvej 18 lige efter Brande.

Smart? Ja! Gratis? Nej. Hvis du ikke har hørt den før, så er her en tommelfingerregel:
There’s no such thing as a free lunch.

Det er ingen hemmelighed, at Googles forretningsgrundlag er vores data. Hvad vi så synes om dét hver især, er en privatsag, og det kommer jeg ikke ind på her – det ville kræve en hel artikelserie for sig selv. Men når jeg skal til Herning, så ved Google det (medmindre jeg ikke bruger Google Maps til at finde vej og i øvrigt har fravalgt lokationstjenester på min Android-telefon, som ligger i min taske undervejs). Og den information kan Google bruge til andre dele af deres forretning, fordi de også ved hvilke mails vi sender til hinanden (Gmail), hvilke feriebilleder vi gemmer (i Google Photos), hvilke hjemmesider vi besøger (i Google Chrome), og hvor mange kattevideoer, vi kan lide at se (på YouTube). Google kender os på den måde langt bedre, end vores bedste venner.

Og Nemlig.com ved, at jeg foretrækker økologisk leverpostej fra Aalbæk Specialiteter. Men er mine leverpostej-præferencer kritiske informationer om mig? Nej. Nemlig.com må gerne kende mine madpræferencer, sådan at jeg nemt kan finde de samme varer næste gang, jeg handler ind. Men jeg ville måske blive en smule beklemt, hvis firmaet bag Aalbæk Specialiteter begyndte at ringe mig op for at give mig tilbud på et års forbrug af leverpostej.

Og hvad har det så med GDPR at gøre?

Virker leverpostej-scenariet urealistisk? Tjah. Under alle omstændigheder: vi producerer enormt mange data hver eneste dag. Hver. Eneste. Dag. Og enormt mange interessenter har adgang til disse data. Vil vi gerne selv have kontrollen med, hvem der ved hvad om os? Måske. Mange vil måske sige, at “det kommer an på…”.

Og netop derfor har vi fået GDPR og databeskyttelsesloven (og vi havde faktisk også både databeskyttelsesdirektivet og persondataloven inden da – som de færreste dog fulgte i nogen nævneværdig grad). For her får vi som EU-borgere klare rettigheder: vi skal bl.a. oplyses om, hvem der anvender vores oplysninger og til hvilket formål, og om andre også får adgang til dem. Og vi kan få indsigt i dem, og i øvrigt kan vi bede om at få oplysninger slettet, korrigeret og begrænset.

Men det centrale i lovgivningen er, at nu skal vi også som virksomheder, foreninger, offentlige myndigheder og andre organisationer påvise ansvarlighed, når vi “som professionelle” behandler personoplysninger. Vi skal sørge for tilstrækkelig sikkerhed og omhu. Vi skal sørge for, at oplysningerne ikke bliver behandlet for vidt. Men samtidigt skal vi også sørge for, at ansvarligheden hænger sammen med den behandling af personoplysninger, der sker. For selvfølgelig skal en frisør ikke indføre samme høje sikkerhed som et misbrugsbehandlingscenter.

Og den ansvarlighed er vel i grunden heller ikke for meget forlangt, når det drejer sig om behandling af vores oplysninger?

Hvad skal du være opmærksom på som solo-selvstændig?

Når du som solo-selvstændig registrerer oplysninger om dine kunder, eventuelle ansatte eller andre personer, så skal du huske på, da du har pligt til at behandle oplysninger om personer ansvarligt. Ansvarlighed er et grundlæggende og vigtigt princip i GDPR, og man kommer i gang med dét, når man laver en risikovurdering af sine aktiviteter. Du skal derfor:

1. Finde ud af, hvordan du behandler personoplysninger – hvilke systemer eller registre bruger du, og hvilken sikkerhed har du omkring det på nuværende tidspunkt.
2. Vurdere hvilken konsekvens der er for den registrerede (dvs. personen, du behandler oplysninger om), hvis der sker et databrud.
3. Vurdere hvor sandsynligt det er, at du oplever et databrud.

Når du har beskrevet den vurdering, så er du nået et godt stykke hen ad vejen.