EU ser strengt på RFID og personvern

EU foreslår strenge regler for RFID-bruk, og lanserer en høring der absolutt alle kan delta.

EU har publisert et utkast til regelverk som stiller strenge krav til bruken av RFID-brikker («radio frequency identification tags») i forhold til personvern. Mange forbrukerorganisasjoner frykter at utstrakt radiomerking av klær og andre varer vil svekke personvernet, for eksempel ved at personopplysninger og annen privat informasjon kringkastes på offentlige steder, slik at de kan misbrukes eller fanges opp av uvedkommende.

Regelverket er gjenstand for en offentlig høring som skal vare til 28. april 2008.

Et høringsskjema er lagt ut på nettet, slik at alle og enhver kan gi tilbakemeldinger til hvert avsnitt som EU-kommisjonen foreslår. Skjemaet er tilgjengelig her: Draft Recommendation on the implementation of privacy, data protection and information security principles in applications supported by Radio Frequency Identification (RFID): your opinion matters!.

Bruken av skjemaet krever at man registrerer seg med e-postadresse. Personnavn er ikke påkrevet. Både privatpersoner og organisasjoner oppfordres til å gi tilbakemeldinger.

Hensikten med regelverket – formelt sett en anbefaling – er å sikre at anvendelser av RFID-teknologi legges opp og drives på en måte som er etisk, sosialt og politisk ansvarlig, heter det.

Innen en RFID-anvendelse settes ut i praksis, pålegges de ansvarlige å utrede hvordan personvernet vil påvirkes. Der det ikke kan utelukkes at data som prosesseres i en RFID-applikasjon vil kunne forbindes med en identifiserbar person, er man pålagt å ta hensiktsmessige tekniske og organisatoriske skritt for å motvirke risikoen for at personopplysninger og annen følsom informasjon kommer på avveie. Utredningen skall gjøres offentlig tilgjengelig seinest den dagen anvendelsen settes ut i praksis.

I tillegg til denne utredningen, vil regelverket også forplikte alle ansvarlige og medansvarlige for RFID-anvendelser å publisere forståelig formulert redegjørelse for hva anvendelsen går ut på. Denne redegjørelsen skal minst inneholde følgende punkter:

  • Navn og adresse på den ansvarlige operatøren
  • Formålet med RFID-anvendelsen
  • Hvilke data som prosesseres, særlig hvorvidt man vil overvåke hvor RFID-brikkene befinner seg
  • I hvilken utstrekning disse data koples opp mot persondata
  • Hvilke regler operatøren vil følge når det gjelder oppbevaring av data
  • Hvorvidt dataene kan aksesseres eller oversendes tredjepart

Dersom RFID anvendes på offentlig sted, pålegges operatøren å advare alle som ferdes på stedet om at det finnes RFID-lesere i området, for eksempel med skilt. Advarselen skal fortelle hva slags informasjon anvendelsen gjelder, hva slags regler anvendelsen følger, og hvem man kan henvende seg til for å få vite mer om den aktuelle RFID-anvendelsen.

For RFID-anvendelser innen detaljhandelen foreslår EU-kommisjonen egne regler. Her skal skilting klargjøre overfor alle:

  • At varene er merket med RFID-brikker
  • Hvorvidt merkingen har en klar og legitim anvendelse etter at varen er solgt
  • Personvernrisikoen ved RFID-merkingen og hvilke muligheter forbrukeren har til å redusere denne risikoen

Salgssteder som benytter seg av RFID-merking vil bli pålagt å deaktivere brikkene med mindre kunden eksplisitt uttrykker at så ikke skal skje.

Det understrekes at deaktivering eller fjerning av RFID-brikker ikke skal få noen som helst følger for selgeren eller produsentens ansvar overfor kjøperen. Deaktivering og fjerning av RFID-brikker skal gjennomføres gratis, og det skal være mulig for kunden å sjekke at dette faktisk er utført.

    Les også:

Til toppen