Vad betyder GDPR för mig?

Min gode och gamle vän Cybermicke har bett mig skriva ett gästinlägg om EU:s dataskyddsförording GDPR i hans blogg.

Det gör jag naturligtvis gärna, men jag vill och är tvungen att påpeka att jag skriver detta som en privat person och att texten inte har något att göra med varken min arbetsgivare eller mina uppdragsgivare. Åsikterna och påståendena nedan är alltså mina personliga synpunkter. Klicka gärna på något för att markera att du har blivit informerad och gett ditt samtycke för dessa villkor.

Jag har själv jobbat länge med informationssäkerhet och fungerar också som dataskyddsombud men här tänker jag skriva om vad dataskyddsförordningen innebär för oss  envar som användare,  som konsumenter och som medborgare.

Risker i praktiken

Personligen upplever jag att det är synnerligen viktigt att det inte på lömska sätt tummas på vår rätt till personlig integritet.  Man kan med fog fråga sig kan man överhuvudtaget längre skydda sina personuppgifter och annat känsligt och konfidentiellt i molntjänster och i sociala media. GDPR  i alla fall har tagits fram just för att råda bot på detta.

Meningen med GDPR är att våra personuppgifter skall hanteras på ett sakligt sätt. Uppgifterna ska behandlas på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade, står det i själva förordningen som huvudprincip.

Jag brukar försöka förhålla mig till både säkerhet och dataskydd på ett praktiskt sätt.  Det är bra att börja med att fundera vad man egentligen skall skydda, sedan fundera på vilka risker och krav det finns. En typisk risk är intrång till en slarvigt skyddad dator som kanske innehåller prekära personliga foton om dig och dina vänner. Ett typiskt krav är att du inte på flit eller av pga slarv läcker ur känsliga uppgifter om andra människor, det kan leda till krav på skadestånd.

Både säkerhet och dataskydd har ett pris, alltid är priset inte direkt utsatt i pengar utan priset kan synas som sämre användbarhet om man t.ex. använder sig av överdrivet långa och krångliga lösenord. Man ska skydda sin information på ett vettigt sätt,  men det lönar sig inte att varken överdriva eller slarva kapitalt heller, för den delen.

GDPR i ett nötskal

Den europeiska dataskyddsförordningen  GDPR (General  Data Protection Regulation) börjar gälla som lag inom hela EU de 25:e maj 2018, det har varit synnerligen mycket ståhej och hype  kring förordningen.

Förordningen förstärker våra rättigheter till personlig integritet när företag och andra organisationer behandlar och överlåter våra personuppgifter. I GDPR ingår bestämmelser om hur företag och andra organisationer skall skydda personuppgifter och allvarliga ekonomiska påföljder på upp till 20 MEUR för grövre försummelser. Detta är orsaken att ledningen i många företag har varit så nervös inför GDPR och för att konsulter och media kan skor sig på förordningen.

För oss privatpersoner betyder GDPR i första hand att vår rätt till våra egna personuppgifter blir starkare. Enligt GDPR har vi rätt bl.a. :

  • att få information om hur våra personuppgifter behandlas, vi ska få ett svar på vår fråga inom en månad
  • att i vissa fall kräva att våra personuppgifter raderas
  • att invända mot att våra personuppgifter används till exempel för marknadsföring om du inte har gett samtycke till det
  • att  i vissa fall kräva att vi har gett ett tydligt medgivande för att hantera våra uppgifter
  • att behandlaren meddelar om en incident till dataskyddsombudsmannen inom 72 timmar och informerat även oss om risken är stor
  • att flytta våra personuppgifter till en annan tjänst
  • att inte bli utsatta för automatiserat beslutsfattande och profilering
  • att lämna in klagomål till dataskyddsombudsmannen
  • att kräva skadestånd om våra personuppgifter har behandlats i strid med GDPR

En hel del rättigheter, inte sant?

Personuppgifter är all information som kan kopplas till en person. Namn, adress, bilder, t.om. en IP adress kan vara personuppgifter, det beror på sammanhanget.

GDPR kallar den som behandlar personuppgifter i egen regi för personuppgiftsansvarig, Data Controller på engelska. En underleverantör kan ha rollen som ett personuppgiftsbiträde, Data Processor på engelska. I GDPR finns det snirkliga bestämmelser om hur ansvaret fördelas mellan dessa roller. Det viktiga för oss är att våra rättigheter inte får bli sämre om man lägger ut behandlingen till underleverantörer dvs personuppgiftsbiträden, det kan man  inte använda som ursäkt om våra uppgifter kommer i fel händer.

GDPR har många krumelurer, frågan om samtycke hör till dem. I vissa fall krävs det att personen ger samtycke för behandling, vi vissa fall inte. Man kan t.ex. be om samtycke om man tar bilder av människor på en arbetsplats.  Vi är säkert alla irriterade över att vi är tvungna att klicka bort det irriterande fönstret  på de flesta webbplatser som berättar att sajten använder sig av kakor (cookies). Denna egenskap har lagts till för att begära samtycke och att informera om att kakorna kan eventuellt kopplas till läsarens person. Man kan fråga sig hur mycket bättre skyddet av våra personuppgifter blir av detta besvär? Samtycke är ändå enligt GDPR en grund för behandling i vissa fall, därför har de flesta seriösa sajter detta uppdykande och irriterande fönster, som försvinner ur sikte efter att sajten har registrerat in din webbläsare genom att sända en kaka till den.

Läck inte själv ut dina uppgifter

I och för sig stämmer det att det samlas oerhört mycket information om oss på nätet via system för att följa med våra köpvanor. Speciellt om du är inloggad  med din webbläsare till Facebook,  vilket folk ofta är, samlas det en himla massa information om var du surfar. Cybermicke hade visst avrått från detta, men lättjan gör att man inte ids logga ut och in. Ett alternativ är att använda olika läsare för olika ändamål.  Chrome för Gmail, Firefox för nöjessurfande och some, Safari för seriöst surfande, t.ex.

Det samlas in information om oss också när vi inte är inloggade i sociala media eller i molntjänster. Försök söka efter en specifik produkt på nätet, en bil t.ex., det tar inte lång tid innan du blir överöst med reklam för samma eller liknande produkter. Ibland verkar det som reklammakarna på nätet vet om våra behov innan vi själva är medvetna om dem! Det finns historier om att en kvinna kan få reklam för baby kläder innan hen själv vet att hen är gravid, som man säger på ett politiskt korrekt sätt.

I vissa fall finns det en laglig grund för behandlingen, då krävs inte samtycke.  Arbetsgivare har till exempel en laglig grund att behandla de anställdas personuppgifter. Myndighetsverksamhet är också en grund för att behandla personuppgifter.  Tyvärr kan man inte kräva att bli raderad som skattskyldig.

GDPR har speciella bestämmelser om behandling av särskilda eller sensitiva personuppgifter som hälsa,  sexualitet och sexuell böjning, straff, religiös tillhörighet och medlemskap i fackföreningar. Sådana uppgifter skall i princip inte behandlas eller överlåtas alls om det inte finns en uttrycklig laglig grund för det.

Enligt GDPR kan personuppgifter överföras fritt inom EU, men det finns också en hel del bestämmelser om sk. tredje länder.  I praktiken gäller dessa bestämmelser de amerikanska molnjättarna. En personuppgiftsansvarig får överföra personuppgifter till ett företag i USA om företaget har meddelat att det följer ett administrativt förfarande som kallas för Privacy Shield.  Nästan alla stora amerikanska molnjättar  har meddelat att de tillämpar Privacy Shield. Då är det förenligt med GDPR att lägga ut personuppgifter åt dessa företag trots att det i USA finns lagar som ger säkerhetsmyndigheter stora befogenheter att komma åt personuppgifterna. Liknande lagar förbereds även i Finland.

GDPR gäller inte  om  personuppgifter behandlas för försvar eller för nationell säkerhet. Trots detta tycks våra egna myndigheter inte tveka att lägga ut medborgarnas uppgifter i amerikanska molntjänster.  Googla gärna på Edward Snowden!

Facebook och Google har åtminstone i teorin grillats av EUs politiker, i praktiken är beroendet av dessa tjänster nästan totalt och det är mycket knapert med seriösa europeiska alternativ.

Det är dock möjligt att Privacy Shield kommer att falla i rätten, så gick det även åt föregångaren Safe Harbour som förklarades ogiltig av EU-domstolen år 2015. Eftersom de stora IT-företagen från USA  har direkt och via sin regering ett enormt inflytande på politiker, administration och företag inom EU kan det hända att om även Privacy Shield förklaras ogiltigt skapas det igen  hastigt  en mekanism som  gör det möjligt att exportera sina personuppgifter till USA.

GDPR på gott och ont

Man kan säga att hela poängen med GDPR är att göra EU konkurrenskraftig och självständig med tanke på produktion av digitala tjänster. Tyvärr verkar det som att många av de fina principerna i GDPR inte tillämpas på ett sätt som det ursprungligen var avsett.

Istället för att skydda personens rätt till integritet – vilket är huvudsyftet  med GDPR –  handlar diskussionen i huvudsak  om  hur företag och myndigheter ska skydda sig gentemot krav från kunder och medborgare.  Det viktigaste är, anser jag, är att tänka på hur företag och myndigheter kan skydda personuppgifter på ett effektivt och flexibelt sätt och hur man skall kommunicera detta utan snirkligheter.

Det är mycket sunt att personuppgiftsansvariga har nu blivit  tvungna att kartlägga  vilka risker hanteringen utsätts för.

Jag gillar huvudprinciperna i GDPR. Tyvärr är förordningen snårig och det görs mycket onödiga övertramp när  man  tillämpar förordningen i praktiken.  Det räcket inte med att bara skriva ett antal dokument för att skydda våra personuppgifter,  det behövs också praktisk datasäkerhet. Tyvärr är både förordningen och GDPR konsulterna väldigt vaga på denna punkt.

De globala kostnaderna för att genomföra  GDPR överskrider enligt Wikipedia i skrivande stund 200 miljarder euro.  Ett av de stora motiven med GDPR är  att göra Europa konkurrenskraftig i att producera digital tjänster. Idag domineras ju marknaden totalt av amerikanska företag som i praktiken har total kontroll över våra personuppgifter och alla andra uppgifter med, för den delen. Denna maktposition kan utnyttjas på många sätt.

En ytterligare  positiv sida med GDPR är att den har motiverat behandlare av personuppgifter i praktiken och pga kulturella orsaker speciellt i Finland, Sverige och i Tyskland att  se över vilka uppgifter de hanterar och vilka leverantörer de överlåter uppgifterna till. Som jag skrev i början av denna bloggtext, man kan skydda sig först när man vet vad man skall skydda.

Vad innebär GDPR då för dig?

Jag ger rådet att undvika tjänster som inte har en trovärdig  dataskyddspolitik och att undvika tjänster utanför EU som inte har förbundit sig till Privacy Shield.  Kolla eller fråga gärna behandlaren hur de hanterar dina personuppgifter. Jag ser det ändå  som moraliskt förkastligt att av illvilja försöka skapa onödigt besvär får våra egna företag och andra behandlare.  Varför skulle man göra det? Det finns också klausuler i GDPR som skyddar mot osakliga krav.

Jag rekommenderar att vara misstänksam över hur sociala media samlar in information om dig. Använd t.ex. en webbläsare för Facebook och en annan för andra ändamål.

GDPR skapar i första hand skyldigheter för organisationer, GDPR gäller för centrala IT- och arkivsystem. Kom ändå också ihåg att också som privatperson respektera dina medmänniskors rätt till personlig integritet, dela inte ut personuppgifter om andra utan att be om lov. Kom också ihåg vad GDPR säger om sensitiva personuppgifter, dela inte ut sådant om dina medmänniskor.

I skrivande stund är det drygt sju timmar tills GDPR träder i kraft. Varde ljus!

 

Upi

Upi
Upi

Författare: Urpo Kaila

Urpo Kaila har en lång och gedigen erfarenhet från informationssäkerhet och dataskydd.