Dette er en kommentar. Den udtrykker skribentens eller skribenternes holdning. Klik her, hvis du ønsker at sende et debatindlæg til Berlingske.

Tikkende databomber: Data fra din pacemaker eller din bil kan bruges mod dig

GDPR er et skridt i den rigtige retning, men vi bør stadig være varsomme med, hvilke data vi tillader store virksomheder at indsamle om os.

Tegning: Rasmus Meisler Fold sammen
Læs mere

I 2018 fik vi under stor fanfare EUs persondataforordning – GDPR. Et fremragende skridt i retning af forbrugerbeskyttelse af os og vores data.

Med GDPR skal virksomhederne opbevare mine data forsvarligt, og blandt meget andet godt skal jeg kunne flytte mine data med mig et andet sted hen, hvis jeg skifter leverandør, og jeg skal kunne »fortryde«. Det vil sige, at man skal slette mine data, hvis jeg ønsker det.

Der vanker store bøder, hvis man ikke overholder GDPR. Stor ros til EU, mens lande udenfor Europa kigger misundeligt på GDPR og begynder at kopiere dele af lovkomplekset.

Preben Mejer Fold sammen
Læs mere

Vi begynder så småt at bevæge os i retning af næste fase muliggjort af GDPR, kendetegnet ved databroker-funktioner og -virksomheder, som sælger data om os. Væksten inden for brokerområdet er især drevet af to ting.

For det første fordi vi som privatpersoner er blevet opmærksomme på, at vi faktisk forærer værdifulde data om os selv til f.eks. Facebook, ganske kvit og frit. For det andet fordi GDPR stiller strengere krav til virksomheders opbevaring af mine data forsvarligt og korrekt.

Derfor er der grobund for, at brokere og Personal Data Stores træder ind som mellemhandlere i fremtiden. Faktisk findes de allerede. Nogle af dem er en kende lyssky, bor geografisk uden for normal lovgivnings rækkevidde og sælger data, jeg ikke har givet samtykke til, der dermed bliver udnyttet. Men der toner flere og flere brokere frem, der bevæger sig i den lovlige ende af skalaen. De sælger data til websites, som ønsker at købe dem, og de kan også – afhængigt af forretningsmodel – optræde for privatpersoner som mig, der beslutter, hvilke data jeg vil sælge og til hvem. Her modtager jeg så en del af indtægten for mine data, i stedet for at forære det hele til en IT-gigant som f.eks. Facebook.

Wibson er et eksempel herpå og gør det via en app nemt at vælge, hvilke data man vil sælge. Afregningen foregår i en digital kryptovaluta, der kan veksles til ægte penge. Systemet er fint, selvom der ikke er så mange penge i det endnu. Flere undersøgelser peger i retning af, at mine personlige data blot er få kroner værd, men tendensen er dog stigende.

»Selv efter fremkomsten af GDPR-lovkomplekset er vi ikke sikret mod angreb globalt.«


Uden for EU er det ikke nemt at komme efter dem, der sjusker. Selv efter fremkomsten af GDPR-lovkomplekset er vi ikke sikret mod angreb globalt. Da jeg skrev denne klumme, var jeg faktisk udsat for et forsøg på et cyberovergreb! Og det er ikke det eneste, jeg har været udsat for i nyere tid.

For nogle måneder siden modtog jeg en mail fra Starwood-hotelkæden, der blandt andet ejer Mariott. Jeg er medlem af deres bonusprogram, og mailen beklagede, at omkring 327 millioner gæsters data var blevet stjålet. Et af de største datatyverier nogensinde, hvor passwords m.m. også røg med.

Et par måneder tilbage ignorerede jeg en afpresningsmail, der indeholdt mit Mariott-password, som jeg også bruger til andre lavrisiko-aktiviteter på grund af dovenskab.

For en måned siden fik jeg igen en mail, denne gang om at man havde forsøgt at tilgå min Apple-konto fra Taipei på Taiwan. Og senest da jeg forfattede denne klumme, var det min konto hos Evernote, et program jeg bruger til noter, der sendte en advarsel om, at to ukendte enheder var ved at forsøge at logge på min konto. Alt sammen takket være Starwoods manglende datasikkerhed.

Ja, listen er lang, selvom der i udgangspunktet kun var et brud, der førte til forsøg på flere. Men humlen er, at GDPR ikke sikrer os mod alt.

Store konsekvenser

Lektien må være, at man ikke blot skal man vælge sine partnere med omhu, man skal også bruge forskellige passwords. Systemerne er altså ikke mere sikre, end de kodeord jeg bruger. Havde jeg brugt mit Mariott-password til mine andre programmer, kunne skurke eksempelvis få adgang til min Philips Hue intelligent belysnings-app og se, om jeg er hjemme. De ville også kunne logge på min Telia Sense-app og se, hvor min bil holder henne. Holder den parkeret i Sydfrankrig, er der frit slag til at begå indbrud i mit hus herhjemme. Så skift dog de passwords!

Datasikkerhed og lovens lange arm går hånd i hånd med GDPR. Politiet er også blevet mere avanceret med et øget fokus på data. Alt fra vaskemaskiner til din pacemaker og din bil opsamler data, som kan bruges mod dig.

GDPR blev indført i 2018 og står for General Data Protection Regulation. Fold sammen
Læs mere
Foto: Ritzau Scanpix.

For et stykke tid siden fik jeg eksempelvis berøring med en sag, hvor vaskeprogrammet på en vaskemaskine fortalte, at en mistænkt havde kogevasket to gange midt om natten lige efter en forbrydelse. Det styrkede mildest talt mistanken.

Desuden er en amerikaner for nyligt dømt for forsikringssvig baseret på data fra hans pacemaker. Den dømte fortalte drabelige historier om, hvordan han kæmpede for at slukke ilden i sit hus og med nød og næppe fik få ejendele med fra det brændende hjem. Men dommerkendelsen og data fra hans pacemaker viste, at han var i hvilepuls under branden, hvilket styrkede formodningen om en planlagt forbrydelse.

Data blev også brugt, da en Tesla-bilist i Tyskland blev dømt for at køre 197 km/t. et sted, hvor man må køre 80. Myndighederne tvang ved dommerkendelse Tesla til at udlevere dataene.

I fremtiden skal politiets efterforskere måske ikke bare finkæmme mordstedet for fingeraftryk og DNA-spor, men tage alt hvad der er af elektronik og hvidevarer med til nærmere undersøgelse.

GDPR er en fin ting. Men indtil broker-funktionen er her, skal vi selv være bevidste omkring, hvad vi tillader Google og andre at indsamle af data om os. Og så skal vi have FORSKELLIGE passwords, der skal skiftes af og til.