Ekspert: Virksomheder bryder persondataloven
Mange virksomheder bryder GDPR-reglerne på deres hjemmesider, og i langt de fleste tilfælde uden konsekvenser. Beskyttelsen af borgernes privatliv bør prioriteres over virksomhedernes behov for data, også når det gælder Google Analytics, skriver Mads Schaarup Andersen.
Mads Schaarup Andersen
Sikkerhedsekspert, Alexandra InstituttetI januar dømte Østrigs datatilsyn brugen af Google Analytics ulovlig. Det er en vurdering, der siden er understøttet af det franske datatilsyn.
Kort fortalt skyldes det, at Google Analytics ikke kan garantere, at de data, de behandler, ikke også ryger forbi USA. I USA er der ikke den samme databeskyttelse i lovgivningen som i EU, og deres databehandling er dermed ulovlig her.
Borgernes ret til privatliv og databeskyttelse
Datatilsynet herhjemme er på nuværende tidspunkt ved at undersøge, om de følger trop på afgørelsen, men det er svært at se andet end, at de vil nå samme konklusion, og at Google Analytics derfor bliver ulovligt at anvende i Danmark.
Vi ved, at danske virksomheder skal overholde GDPR. Vi ved også, at det er der mange virksomheder, der ikke gør på deres hjemmesider i forhold til cookies
Mads Schaarup Andersen
Sikkerhedsekspert, Alexandra Instituttet
Det har givet anledning til debat, og jeg har eksempelvis læst artikler med budskaber som, 'ny afgørelse kan gøre livet svært for virksomheder'. Altså artikler med et fokus på hvorfor virksomhederne bør have lov til at blive ved med at bruge Google Analytics, uagtet hvor problematisk det så måtte være.
Det er måske ikke så mærkeligt, for mange danske virksomheder bruger Google Analytics, men jeg undrer mig alligevel over, at vi ikke i højere grad ser indlæg i debatten a la, 'borgeres ret til privatliv og databeskyttelse kommer først, og vi bør stoppe med at anvende Google Analytics og finde bedre alternativer'.
Vilde vesten-mentalitet
At vi ser så mange virksomheder i Danmark bruge Google Analytics, er som sådan ikke overraskende. Det er faktisk netop et godt eksempel på en væsentlig udfordring i tech-udviklingen, hvor der længe har været en udpræget vilde vesten-mentalitet, hvor alt er tilladt.
Når det eksempelvis kommer til cookies og de irriterende cookie-popups, ser vi stadig rigtig mange overtræde loven, og bøderne udebliver
Mads Schaarup Andersen
Sikkerhedsekspert, Alexandra Instituttet
De største virksomheder, der har ressourcer til at udvikle nye services som de første, har i mange år kunne nyde, at der endnu ikke var lovgivning på området, eller at denne i bedste fald har været vag eller ikke er blevet overholdt. Det betyder, at de har haft mulighed for at anvende data på bekostning af vores privatliv uden at blive straffet.
Den adgang til data har givet dem et forspring i forhold til at udvikle services, som er en hjælp i virksomheders hverdag, men som igen og igen har vist sig at kompromittere borgeres privatliv og rettigheder. Og når først man har taget en service til sig, er den svær at slippe igen. Det gør det svært for virksomheder, der har udviklet alternative services på ansvarlig vis, at komme ind på markedet.
Virksomheder tager ikke GDPR-regler og cookies alvorligt
Som nævnt ved vi endnu ikke, hvad datatilsynets afgørelse i forhold til Google Analytics bliver. Men vi ved, at danske virksomheder skal overholde GDPR. Vi ved også, at det er der mange virksomheder, der ikke gør på deres hjemmesider i forhold til cookies.
Når Datatilsynet ikke sørger for, at loven bliver overholdt, og virksomhederne er mere interesserede i at tjene penge end at passe på data, så lægger vi hele ansvaret over på os borgere
Mads Schaarup Andersen
Sikkerhedsekspert, Alexandra Instituttet
Reglerne for cookies er blandt andet, at det skal være lige så nemt at takke nej som at takke ja, det skal være gennemskueligt, hvem man deler sine data med, og indhold må ikke tilbageholdes på grund af manglende samtykke. Alligevel skal man på mange hjemmesider klikke flere gange for at takke nej, men kun en gang for at takke ja. Der er også ukategoriserede cookies, som virksomheden ikke engang selv lader til at vide, hvad gør (og hvilke data de henter til hvem), og indhold skjules, indtil man har givet samtykke.
Da GDPR trådte i kraft, var der meget snak om bøder i million-størrelsen, som man nu risikerede, hvis ikke man havde styr på reglerne. Men når det eksempelvis kommer til cookies og de irriterende cookie-popups, ser vi stadig rigtig mange overtræde loven, og bøderne udebliver.
Faktisk er der ikke nogen, der reelt har fået en straf endnu. DMI.dk fik en såkaldt alvorlig påtale, fordi deres cookiesamtykke ikke lever op til lovgivningen, men det blev ved det. For nylig skete det samme for dba.dk for en lignende overtrædelse. Praksis er altså stadig at undlade at give bøder.
Det er svært at se som andet end et signal om, at man kan fortsætte med at bryde loven, til man ender under tilsyn hos Datatilsynet, og at man først derefter behøver gøre noget ved det.
Virksomheder skal tage ansvar og overholde loven
Når Datatilsynet ikke sørger for, at loven bliver overholdt, og virksomhederne er mere interesserede i at tjene penge end at passe på data, så lægger vi hele ansvaret over på os borgere. Og alle os, som synes, det er irriterende at skulle håndtere cookie-popups, må være enige om, at det er en dårlig idé. Ikke bare fordi det er tidskrævende, naturligvis, men mest af alt fordi, at vi ikke kan forlange af den enkelte borger, at man skal være opdateret på de gældende datahåndteringsregler og forstå, hvad der står i cookie-popups, og hvordan virksomhederne agerer i praksis.
I sidste ende bliver vi nødt til at tage stilling til, om vi vil tage beskyttelse af vores rettigheder som borgere alvorligt, eller om vi er OK med, at virksomheder reelt ikke overholder persondataloven
Mads Schaarup Andersen
Sikkerhedsekspert, Alexandra Instituttet
Løsningen, som jeg ser det, er todelt. For det første skal virksomheder tage ansvar for at overholde lovgivningen og vælge ansvarlige alternativer til eksempelvis Google Analytics. Det er simpelthen ikke godt nok, når man gemmer sig bag argumenter som, at det er svært for virksomhederne at klare sig uden.
Der findes alternativer, der kan næsten det samme som Google Analytics uden at kompromittere vores rettigheder, og det kan derfor ikke være en undskyldning. På den måde kan vi på samme tid støtte ansvarlige danske og europæiske virksomheder i stedet for de store tech-virksomheder som Google, som gang på gang har vist sig at pleje egne interesser på bekostning af deres brugere – dig og mig.
For det andet skal datatilsynet håndhæve mere konsekvent og give bøder for lovovertrædelser. Selv på den danske del af internettet er der rigtigt mange, der ikke overholder lovgivningen. At der på nuværende tidspunkt kun er to virksomheder, der har fået kritik for deres håndtering af cookies og persondata på deres hjemmesider, peger på, at virksomhederne simpelthen ikke tager det alvorligt.
I sidste ende bliver vi nødt til at tage stilling til, om vi vil tage beskyttelse af vores rettigheder som borgere alvorligt, eller om vi er OK med, at virksomheder reelt ikke overholder persondataloven. Vi kan ikke have begge dele. Det er nok ikke svært at gætte, hvad min holdning er, men vi skylder i det mindste hinanden at være ærlige, hvis vi mener, at virksomhedernes behov kommer før borgernes rettigheder.
'%3e%3cpath%20d='M174.5%205.49985C138.877%20-19.5379%20106.875%2013.5814%2091.8511%2029.6115C65.0748%2058.1778%2099.1498%2080.3465%20117.152%2037.3094C135.153%20-5.72759%2022.8866%200.0578454%2015.1662%2097.217'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3cpath%20d='M3.65346%2080.8587L15.109%2097.3301L29.6131%2086.6665'%20stroke='%23EA1718'%20stroke-width='3'%20stroke-linecap='round'%20stroke-linejoin='round'/%3e%3c/g%3e%3cdefs%3e%3cclipPath%20id='clip0_627_569'%3e%3crect%20width='163.796'%20height='107.816'%20fill='white'%20transform='matrix(-0.999973%20-0.00733143%20-0.00733143%200.999973%20164.582%201.24609)'/%3e%3c/clipPath%3e%3c/defs%3e%3c/svg%3e)
