Flere og flere personfølsomme oplysninger havner på internettet. Der er brug for en målrettet indsats fra politikerne, så forbrugerne ikke ender som gidsler i den digitale udvikling.
Bag om lovgivningen
Den danske persondatalov er gennemført på baggrund af EU’s databeskyttelsesdirektiv. Direktivet er vedtaget med det sigte at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder. Især retten til privatlivets fred i forbindelse med behandling af personoplysninger.
Kilde: Lovbemærkningerne til persondataloven
EU’s databeskyttelsesdirektiv, som den danske persondatalov udspringer af, stammer helt tilbage fra 1995. Nu vil EU-Kommissionen undersøge, om direktivet stadig er tidssvarende.
”Det er på tide, at direktivet bliver kigget efter i sømmene. Den måde, persondata bliver håndteret på i dag, er radikalt anderledes end for femten år siden. Flere og flere oplysninger er blevet digitale. Det gør meget arbejde lettere for både forbrugere, myndigheder og virksomheder, men det gør det også ganske let, for folk med ondt i sinde, at misbruge dem,” siger Anette Høyrup, jurist i Forbrugerrådet.
"De ved, hvem du er"
Når virksomhederne gerne vil målrette deres markedsføring, indsamler de bunker af information om forbrugerne.
Ny teknologi på vej
RFID er en fællesbetegnelse for de teknologier, der anvender radiobølger til at identificere mennesker og objekter. RFID kaldes også populært for fremtidens stregkode, da teknologien har nogle af de samme egenskaber som den traditionelle stregkode. Biometrisk information omfatter fysiologiske informationer om personer til brug for identifikation. Eksempler på biometrisk information er: fingeraftryk, iris-skan og stemmemønster.
”Alle disse data kan i princippet sammenkøres på tværs. Det giver et billede af hele din identitet. De ved, hvor du handler, hvilke bøger du læse, hvilken musik du hører, hvad dine børn hedder, og hvor de går i skole. Dertil kommer, at alle offentlige myndigheder også har dine skatteoplysninger og oplysninger om dit medicinforbrug i elektronisk form. Det er en cocktail, som kan være sprængfarlig i de forkerte hænder,” fortæller Anette Høyrup.
Ny teknologi kræver bedre beskyttelse
Det har altid været muligt at misbruge personlige oplysninger. Men den digitale udvikling har gjort det hundrede gange lettere.
”Der er spændende ny teknologi på vej, som for eksempel RFID-chips på mobiltelefoner eller i bilen – som er til stor gavn for forbrugerne. Men det er vigtigt, at der er styr på sikkerheden. Politikerne skal sørge for, at virksomhederne tænker privatlivsbeskyttelse ind i deres teknologiske løsninger fra start af,” siger Anette Høyrup.
Privatlivsbeskyttelse kan indtænkes ved hjælp af konceptet Privacy by Design, der er udviklet i 1990’erne af den canadiske privacy-ombudsmand. Læs mere om Privacy by Design i Forbrugerrådets nyhedsartikel: "Tjek dit CPR-nummer på nettet".
Forbrugerrådets krav til databeskyttelsesdirektivet
Forbrugerrådet støtter de eksisterende principper i direktivet - og dermed i den danske persondatalov, men følgende områder ønskes opstrammet:
1. Brugersamtykket skal være velinformeret, og ikke blot indirekte via lange og uklare vilkår på hjemmesiden.
2. Der skal være bedre håndhævelse af reglerne om beskyttelse af personoplysninger, hvilket opnås ved at give myndighederne tilstrækkelige ressourcer og teknisk kompetence,
3. Loven skal stille krav om Privacy by Design-løsninger, hvilket betyder, at al ny teknologi, som indsamler personlig data, skal implementere privatlivsbeskyttelse fra start af.
4. EU’s kompetenceområde skal understreges, således at databeskyttelsesmyndighederne har bedre mulighed for at tackle f.eks. amerikanske virksomheder, der behandler data i en medlemsstat.
5. Direktivets vide principper bør udfyldes ved hjælp af konkrete retningslinjer, som kan bidrage til at lovgivningen overholdes og sikre bedre gennemsigtighed. Derved vil virksomheder også kunne få vejledning til indførelse af f.eks. RFID-teknologi og biometriske løsninger på markedet.
6. Overholdelse af databeskyttelsesdirektivet vil højnes ved en generel regel om notifikation af brud på sikkerheden. I dag er det uklart, hvor datalækkene sker, og en sådan regel vil dels have en præventiv effekt, men også skabe mere gennemsigtighed på området.
