JUSS OG SAMFUNN

GDPR styrker rettighetene til mannen i gata, men hva er egentlig GDPR?

Den 25. mai er det nøyaktig ett år til EUs nye personvernforordning trer i kraft i Norge. I denne kronikken forklarer sikkerhetsekspert Thomas Tømmernes i Atea hva GDPR betyr for deg som forbruker.

Illustrasjonsfoto.
Illustrasjonsfoto. Bilde: NTB Scanpix
Thomas Tømmernes, Atea
25. mai 2017 - 06:00
Thomas Tømmernes leder IT-Security Norway Business and Strategy-virksomheten til Atea Norge. Tidligere har han blant annet vært med på å etablere Watchcom. <i>Foto: Harald Brombach, digi.no</i>
Thomas Tømmernes leder IT-Security Norway Business and Strategy-virksomheten til Atea Norge. Tidligere har han blant annet vært med på å etablere Watchcom. Foto: Harald Brombach, digi.no

GDPR er blant årets mest omtalte nyheter innen IT-sikkerhet. EUs nye personvernlovgivning, står for General Data Protection Regulation (GDPR). La meg forklare hva forordningen gjør for deg og meg. 

Personvernlovgivningen GDPR trer i kraft fra mai 2018. Alle virksomheter som samler inn eller bruker personopplysninger om EU/EØS-borgere er forpliktet til å følge den nye loven, også i Norge. Den nye forordningen sikrer privatpersoner rettigheter over egen personinformasjon:

  • Hovedtrekkene innebærer retten til å bli glemt, ved at det tydeliggjør borgernes rett til å få egne personopplysninger slettet og retten til å kreve begrensning.
  • Dersom det ikke ønskes at opplysninger skal slettes eller bestrider at opplysningene er korrekte, kan du kreve at behandlingen av personopplysningene begrenses. 
  • Dersom noen behandler personopplysninger basert på samtykke, for eksempel for å oppfylle en avtale med deg, kan du kreve å ta med opplysningene dine til en annen virksomhet.

Digitale fotavtrykk kan få følger

De fleste av oss etterlater digitale fotavtrykk uansett hvor vi snur oss, inkludert løpeapper, bildedeling og kaffeapper. Sannheten i dag er at vi ikke har kontroll over hva selskaper vet om oss – og ingen rett til det heller. Dette er en felle de fleste som deltar i det digitale samfunnet vårt går i daglig: du laster ned en applikasjon, melder deg på et sosialt medium eller oppgraderer programvare. Underveis er sannsynligheten stor for at du vil bli spurt om du godtar vilkårene satt av selskapet som eier programvaren. 

De fleste av oss krysser bare av for JA – uten å lese vilkårene i det hele tatt.

I det du godtar disse vilkårene, vil du i de aller fleste tilfeller si fra deg rettighetene til å ha noen innvirkning på informasjonen selskapet får tilgang til, og hvordan de siden kan benytte eller selge det videre til en tredje part.

For hvem gidder egentlig lese vilkårene forfattet av lovkyndig jurister? Med komplisert språk og liten skrift er tekstene skrevet tørrere og lengre enn de færreste setter seg ned og tenker gjennom. Her snakker vi også om kjente aktører som Facebook – Google – Æ og alt annet vi ukritisk godkjenner.

Vi tenker heller på fordelene den nye appen vil gi oss. Den gratis bollen du kanskje får ved å laste ned en kaféapp kan bli kostbar når du siden skal kjøpe helseforsikring og forsikringsselskapet vet at du faktisk spiser wienerbrød hver dag.

Den gratis bollen du kanskje får ved å laste ned en kaféapp kan bli kostbar når du siden skal kjøpe helseforsikring og forsikringsselskapet vet at du faktisk spiser wienerbrød hver dag.

Vil de kunne kreve at du gjennomgår en utvidet legesjekk for sukkersyke – fedme eller andre følgesykdommer et lite wienerbrød om dagen kan gi deg? Hemmeligheten du trodde bare var viktig for kona å ikke vite om, kan med ett bli mye vanskeligere å skjule.

La meg gi deg et annet eksempel: Jeg handler mye på nettet og ble i begynnelsen imponert over artiklene som dukket opp i nyhetsfeeden min. Utrolig bra, tenkte jeg, da slipper jeg å lete selv. I ettertid har jeg skjønt at visningen jeg så var optimalisert for min profil, basert på tidligere kjøp, søk og adferdsmønster. Dette er en vanskelig problemstilling, for på den ene siden forenkler det livet, lar meg utføre en raskere handel og med tilpasset reklame får jeg med meg spesialtilbud. På den andre siden, vil jeg virkelig at andre skal vite dette om meg?

Appen Æ registrerer alle kjøp og bevegelser. Vi som velger å bruke denne, gjør det fordi vi som forbrukere ønsker å få bedre tilbud og mer målrettet markedsføring. Skulle man av en eller annen grunn ikke ønske dette lengere – skal man like lett som man ble medlem og ga tillatelse til informasjonsinnhenting – kunne be om å slettes fra registeret. Nå vil vi ikke bare kunne be om sletting men også at all informasjon om meg blir sendt over til en database jeg ber om.

Dataportabilitet

Dataportabilitet er også en viktig del av GDPR. Det betyr at om jeg vil slette alt i Æ og gå over til tilsvarende løsning hos en konkurrende butikkkjede, kan jeg kreve at Æ overfører all data om meg til denne kjeden før sletting. Denne ordningen gjelder også alle forsikringselskaper, strømselskaper og alle andre som har tilgang til min informasjon.

Sterkere krav

Forbrukere har krav på svar innen én måned når man henvender seg til selskaper eller myndigheter med spørsmål eller ønsker knyttet til egne personopplysninger.

Det er like mange grunner til hvorfor man trenger oversikt over egne persondata som det finnes nettbrukere. Enten du er i jobbsøkerprosess, eller plutselig trenger å leve på skjult adresse, vil dette være en mye raskere fremgangsmåte for å få informasjonsoversikt om hva som er registret på deg enn i dag.

Slett meg

Man har også større rett til å be om at opplysninger om seg selv skal slettes. Dette må skje innen en gitt tidsfrist. Artikkel 17 i GDPR setter dette til 30 dager uten ugrunnet opphold. Norsis' tjeneste Slett Meg kan også være god hjelp for folk som trenger å få slettet informasjon fra nettet. Nå må også bedrifter etterfølge krav fra enkeltpersoner.

Bedriftene vil heller ikke ha mulighet til lagre slettet informasjon. Når man tidligere «slettet» en Facebook-profil med tilhørende bilder, var praksis at profilen ble skjult, men fortsatt lå på selskapets eget datasenter. Med de nye reglene vil Facebook måtte slettet alt. Det samme gjelder også Google og tilsvarende tjenester.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Store muligheter for norsk design i USA
Store muligheter for norsk design i USA

Innbruddsalarm

En annen ting som vil gjelde for mannen i gata, er at skulle man bli utsatt for en eller annen lekkasje eller større innbrudd (for eksempel hacket epost gjennom et større angrep på tjenestetilbyder), skal man bli informert om dette fra tjenestetilbyder – og ikke minst vite at tjenestetilbyder vil få en kraftig bot om de ikke ivaretar persondata etter gjeldende regulativer og praksis.

Velkommen GDPR

GDPR vil gi privatpersoner vesentlig mer pondus og kortere behandlingstid, og etter hvert som både rådgivere og advokater tilegner seg den samme kunnskapen om GDPR, vil man i langt større grad kunne sette og fremstille krav ovenfor tjenestetilbydere. Det setter oss med andre ord i en tryggere og mer oversiktig posisjon.

Alle som tilbyr digitale tjenester til forbrukere må oppfylle ti minstekrav:

  1. Hjelp meg å forstå vilkårene.
  2. Ikke endre vilkårene bak ryggen min eller uten forvarsel.
  3. Gi meg et reelt valg, slik at jeg selv kan bestemme over egne data.
  4. Ikke snok! Be ikke om mer data enn du trenger for å levere tjenesten.
  5. Ikke ta deg friheter med mine data.
  6. Ikke del for mye, bare det som er nødvendig for å tilby tjenesten. Informer meg om hva du deler med hvem.
  7. Ikke kast meg ut uten grunn.
  8. La meg ha andre venner også. Sikre interoperabilitet, slik at jeg kan overføre data enkelt.
  9. Slipp meg. Gjør det like lett å forlate og slette tjenesten, som det er å registrere seg. Oppbevar persondata kun i begrenset tid.
  10. Ikke glem å låse døren. Vis at du tar sikkerhet på alvor ved å beskytte mine data.

(Kilde: Datatilsynet)

Få også med deg denne: Nye EU-regler snur hverdagen til alle norske utviklere fullstendig på hodet (Ekstra)

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.