Hva vet tjenestene om deg? – Og hva betyr dette for din sikkerhet og ditt personvern?
Har du tenkt over hvor mye digital informasjon vi legger fra oss i løpet av en dag? Liker-klikk på nettsider og i Facebook, statusoppdateringer i sosiale medier, bompasseringer, tekstmeldinger og private meldinger, påkoblinger på trådløse nett og e-post som sendes og mottas er bare noe. Dessverre tenker de fleste at dette umulig kan være så farlig, og disse informasjonsbitene ikke er av interesse for andre.
Og det er mulig man har rett i at det er ufarlig og at dette må til for å være en del av det digitale samfunnet. Men før du trekker din endelige konklusjon så les gjennom denne artikkelen, som nok kan gi deg et litt annet perspektiv på det hele.
Du kan jo starte med et enkelt eksperiment for deg selv:
Lag en liste over alle steder du har en brukerkonto…Fyll så på hvilken informasjon disse lagrer om deg, og hva den benyttes til i tjenesten. Fyll også på hvor sikker du mener informasjonen er lagret og hvilke konsekvenser det ville hatt om den ble offentlig kjent.
Svært få vil være i stand til å lage denne listen. Husker du f.eks. alle steder du har opprettet en konto? Hvordan skal du vite hvilken informasjon som oppbevares? Nye spørsmål dukker kanskje også opp…. Har du f.eks. avsluttet alle kontoer du ikke lenger benytter? Ble i så fall informasjonen slettet når kontoen ble avsluttet?
La oss starte med en liten gjennomgang av hva Facebook og Google offentlig har gått ut å fortalt at de faktisk samler og lagrer om oss, før vi senere i artikkelen går gjennom noen vurderinger av farer.
Facebook tilbyr oss faktisk å selv laste ned informasjonen de har samlet. Dette kan enkelt gjøres gjennom å velge “Innstillinger” og så “Last ned en kopi av dine Facebook-data.” I tillegg har de en egen liste der de forteller hvilken informasjon som er tilgjengelig.
Kort oppsummert innebærer dette bl.a.:
- Alle bilder og poster.
- All informasjon om sivilstatus, kjønn, interesser, adresse, fødselsdato osv.
- Liste over alle dine venner.
- Alle likerklikk, kommentarer og delinger du har gjort.
- Alle likerklikk på ditt materiale som andre har gjort.
- Alle personlige meldinger du har sendt/mottatt.
- Liste over alle sendte og mottatte venneforespørsler.
- All historikk for endringer av informasjon.
- Alle annonser du har klikket på.
- Alle steder du har besøkt og sjekket inn på.
- Alle innlogginger/besøk du har gjort i Facebook med tid, IP-adresse og potensielt også lokasjon ut i fra IP-adressen.
- En analyse av alle bilder der du er tagget, som gjør at Facebook kan gjennkjenne ansiktet ditt også på bilder som andre brukere laster opp.
- All tilleggsinformasjon som ligger i bilder du laster opp, slik som kameratype, tidspunkt og lokasjon (om mobilkamera er benyttet).
- Alle venner som er fjernet.
- Alle søk du har foretatt i søkeboksen.
Som man ser er mye av denne informasjonen ting du finner igjen på din egen brukerkonto/tidslinje. Det er jo slik Facebook vet hva som skal vises på din profil. I tillegg er det en hel del informasjon som du ikke like enkelt ser at Facebook har, slik som innlogginger, historiske data, annonseinteraksjon, posisjon osv.
Det er også interessant å merke seg at Facebook tar vare på tidligere data. Så når vi endrer eller fjerner informasjon på vår profil, betyr ikke det nødvendigvis at informasjonen forsvinner. Den blir bare ikke lenger synlig for oss selv…
Google tilbyr tilsvarende en oversikt gjennom sin tjeneste history.google.com.
Her kan du bl.a. finne og administrere informasjon om:
- Alle nettsider du har besøkt i en Google-nettleser.
- Alle søk du har gjort i en Google søkemotor.
- Alle posisjoner du har befunnet deg på og forflytninger du har foretatt deg med bruk av Google utstyr/tjenester.
- Alle stemmeprøver Google har av deg.
- Alle videoklipp du har sett på Youtube.
Vi har skrevet en egen bloggpost om Google sin posisjonssporing.
Hva er farene?
Som mange andre spør du deg kanskje nå om hvorfor det egentlig er så farlig at bedrifter har denne informasjonen. Det er et god spørsmål, for i seg selv er det jo nettopp disse dataene som gjør at tjenestene fungerer og at vi får både eksisterende og fremtidige funksjoner som vi setter pris på.
Informasjon på avveie
La oss starte med tanken om at data kommer på avveie, hva kan de da medføre av farer og ubehag? Vi skal ta for oss hvordan det kan skje senere i artikkelen, men starter med konsekvensene.
Tenk for eksempel situasjonen der familie, venner eller arbeidsgiver fikk tilgang til din søkehistorikk i Google eller hvilke nettsider du har besøkt i nettleseren. Ville dette kunne skape problemer eller ubehaglige situasjoner? Hva om noen fikk tilgang til ditt barns eksakte posisjon på vei hjem fra skolen eller bildene og meldingene du sendte til en venn etter forrige firmafest?
Det er faktisk ekstremt mye data som er samlet om oss, og som ikke alle bør få vite om. Enten fordi det anses som personlig, at det kan skape konflikter eller at det kan avsløre både store og små hemmeligheter og løgner.
I tillegg til ubehagelige situasjoner, vil også slik informasjon enkelt kunne benyttes til svindel. Jo mer personlig og “hemmelig” informasjonen svindler klarer å flette inn i e-post, SMS, oppringninger eller nettsider, jo mer sannsynlig er det at vi går på. Informasjonen Google, Facebook og andre sitter på er en gullgruve for svindlerne. Det samme gjelder for de som ønsker å utføre ulike grader av ID-tyveri.
Analyse av informasjon
Med innføringen av stadig mer dataanalyse og stadig mer intelligente metoder, vil også forholdsvis “uskyldig” data kunne avsløre langt mer om oss enn det dataene i seg selv tyder på. Et typisk eksempel er kundekort slik som Trumf og Coop Medlem. Folk flest ser innsamlingen av informasjon om handler som en metode for å beregne bonus eller gi oss tilbud på varer vi handler mye. I realiteten kan bedriftene analysere seg frem til svært mye informasjon om oss. Hvordan familien er sammensatt, inntekt, hobbyer, syn på helse osv. Disse data kan så benyttes internt eller selges til andre for markedsføring av helt andre tjenester. Der er jo en grunn til at vi får “betalt” gjennom rabatter og gode tilbud for å identifisere oss når vi handler.
Det samme gjelder annonser på nett. Du har sikkert lagt merke til at etter å ha sett på en bukse eller en bil dukker det opp reklamer for dette over alt. Det er ikke tilfeldig. Vi legger igjen spor på nettsider som samles sammen av store aktører slik som Google og Facebook gjennom samarbeid med disse nettsidene. Informasjonen deles så igjen med annonsører. Annonsørene får da vite ting som alder, kjønn, interesser og relaterte handlinger for å lage målrettede annonser til potensielle kunder.
Og det fleste tenker da; hva er problemet med målrettet markedsføring? Jeg blir jo ikke påvirket likevel. Jo… det blir du faktisk. Har du f.eks. tenkt på at andre gang du gjør samme søk etter flybilletter vil flyselskapene kunne øke prisen litt. De vet at du er interessert (du kom jo igjen) og gir da inntrykk av at det haster å bestemme seg fordi det er færre billigbilletter igjen.
Men hva når ikke lenger de effektive markedsføringsteknikkene benyttes til å fremme salg, men heller benyttes til å påvirke meninger og politiske syn? Nylig ble det avslørt at et analysebyrå klarte å samle informasjon om 50 millioner brukere gjennom en personlighetstest på Facebook. Kun 270.000 brukere tok selve testen, men disse brukerne avslørte også all informasjon om sine kontakter. Mye tyder på at denne informasjonen ble grundig analysert og at man så benyttet den for å påvirker velgere i det amerikanske valget. Hver eneste velger kunne da få informasjon om politiske saker vinklet slik at de var mest mulig effektive for nettopp dem. Vi har skrevet mer om slike personlighetstester i en egen bloggpost
Teknikkene for dataprosessering blir også mer og mer avanserte. Gjennom teknikker for maskinlæring og kunstig intelligens kan noen ytterst få bruddstykker av det som virker som helt ukritisk informasjon være nok til å lage svært eksakte profiler av personer. Og med de mengdene av informasjonen Facebook og Google har tilgjengelig kan de danne seg et svært nøyaktig bilde av hvor du bor og arbeider, samt runtier som arbeidstid, pendling og trening. De har også informasjon om hvem du kommuniserer med, når og om hva. De finner interesser, politiske syn og personlighetstrekk.
Vi bør også ta med i betraktningene hvilke teknologiske fremskritt som vil skje innen dataprosessering om noen få år, før vi tillater selskaper å samle våre data i dag…
Ønske om personvern endres
Et annet viktig poeng er at det vi anser som privat og personlig informasjon endres over tid. Informasjon vi tillot noen å samle om oss uten å blunke på ett tidspunkt, kan noen år senere bli ansett som langt mer kritisk. Kanskje ikke en flåsete Facebook-post på et innlegg et selskap la ut er like heldig når vi noen år senere ønsker å søke jobb i det samme selskapet.
Hvordan i all verden skal slik gammel informasjon kunne finnes igjen tenker du? Jo søkemulighetene i informasjon er enorme. Har man tilgang til de rette informasjonskanalene og de rette søkemotorene kan man i løpet av få sekunder finne ut “alt” en person har kommentert eller reagert på i sosiale medier om et spesielt tema. I mange tilfeller også etter at informasjonen er slettet av personen selv. Dette fordi tjenesten kan tenkes å oppbevare “slettet” informasjon, eller fordi andre, slik som den parten informasjonen omhandler, kan ha tatt automatiske kopier mens informasjonen var synlig.
Hva vet selskapene egentlig?
Hvordan vet vi egentlig hva tjenestene samler om oss? De store aktørene er blitt flinke til å fortelle det, men forteller de hele sannheten? Eller er listene de offentliggjør kun en måte å dempe diskusjonene og bekymringene?
Det finnes så uendelig mange muligheter for å samle data, som få forstår. Vi kan igjen ta Facebook som et eksempel. Tenk på alle nettsider som har en “like”-knapp på seg. Har du noen gang fundert over hvordan denne knappen kan vite om du har “liket” nettsiden fra før eller ikke? Har du ved et tidligere besøk på den aktuelle nettsiden trykket “like” vil den jo vise grafikk som forteller at du alt liker siden. Her burde en rekke alarmbjeller ringe. Det betyr jo at ved ditt besøk på nettsiden identifiseres du som en Facebook-bruker og det sendes en forespørsel til Facebook om siden alt er “likt”. Det betyr at alle besøk på nettsider som har en “like-knapp” fra Facebook på seg i prinsipp kan registreres hos Facebook under din bruker. For de fleste er jo “alltid innlogget”.
Bare det at du leser denne artikkelen vil Facebook nå vite ettersom det finnes en “like-knapp” her. Så er spørsmålet… lagrer Facebook denne informasjonen og benyttes det til noe som er “farlig”? Det kan vi ikke påstå. Men bare det at du nok ikke engang har tenkt på at dette var en mulighet for Facebook burde gjøre deg litt mer bekymret.
Allikevel er det få personer som ofrer det faktum at all denne informasjonen kan samles og oppbevares en tanke. Dette skyldes nok mye at ikke det alltid er så enkelt å se farene “fysisk”. Vi er generelt lite gode til å se hvordan informasjon som samles av tjenester kan benyttes i andre hensikter enn de som er hovedårsakene til at de samles.
Som et eksempel vil det å sette opp videoovervåkning på en arbeidsplass for å sjekke når de ansatte kommer og går medført store protester. Men få tenker over at bevegelsessensoren for lyset på kontoret kan logge den samme informasjonen for arbeidsgiver. Til og med det at din mobiltelefon kobler seg på bedriftens trådløse nett kan enkelt benyttes til å finne ut når du er til stede eler ikke. Det synes bare ikke like godt, og derfor tenker få over faren.
Når tjenestene feiler eller går for langt
Det at selskaper vet “alt” om oss gjør som nevnt at man får mange nye smarte tjenester. Google har mange eksempler på dette. F.eks. leser i dag Google all din e-post på Gmail maskinelt, og plukker ut informasjon om bestilte flybilletter, pakker du skal motta og mye annet. Dette fører så til automatiske varsler om endringer i status gjennom tjenesten Google Now på smarttelefoner. De scanner også e-post etter spor av barneporno og rapporterer funn til myndighetene. Slik prosessering av personlig e-post har de fleste uten å tenke over det akseptert gjennom å uten å lese godta avtalevilkår for tjenestene…
Men hvor går grensen for hva det er greit at Google henter ut fra vår personlige e-post? Det faktum at de gjør dette betyr jo i bunn og grunn at de har tilgang på alt vi kommuniserer om. De aller fleste er jo helt enig i at barneporno, terrorisme og andre farer bør kunne avverges gjennom tilgang til “spionering” på brukere i tjenestene. Men hva om eksakt de samme mekanismene skulle benyttes for å identifisere personer som ikke støtter regjeringspartiene i et land? Eller for å nedprioritere ytringer fra personer som ikke liker produktene til tjenestens største annonsør?
Slike maskinelle prosesseringer av data kan også gå galt. Det er flere eksempler der personer har blitt både anmeldt til politi og utestengt fra tjenester fordi de har delt eller oppbevart feriebilder der egne små barn har badet nakne. De maskinelle mekanismene har nemlig tolket dette som barneporno. En ting er at man faktisk blir klar over slike “feilklassifiseringer”, en annen er når man havner på svartelister uten å vite det selv.
Hvordan kan våre data komme på avveie?
La oss nå si at vi stoler på tjenestene og synes det er helt greit at tjenesten samler oppbevarer og bruker informasjon om oss slik de har sagt at de skal gjøre. Hvordan kan vi være sikker på at ingen andre får tilgang til informasjonen? Og hva vil i så fall de benytte informasjonen til?
Hackingangrep
En opplagt fare er at tjenesten hackes og data lekkes. I selve definisjonen ligger det at et hackerangrep ikke er noe ønskelig, og at informasjon eller tjenester benyttes på en måte de ikke skal. Hvordan kan vi vite at dette ikke kan skje? Svaret er at det alltid kan skje. Det finnes ikke noen tjeneste eller systems om ikke kan hackes. Det er mer et spørsmål om hvor vanskelig det er, og hvor mye ressurser som legges i å gjøre dette. For oss brukere er dessverre ikke denne faren lett å bedømme.
Det beste rådet er å tenke nøye over hvor seriøs tjenesten er, og hvor store konsekvenser det ville vært for tjenestens rykte, og dermed også inntekter, om et hackerangrep skulle finne sted. Vil tjenesten tape alle brukerne/kundene vil de antakeligvis legge ned mye ressurser i å sikre løsningene. Vil et hackerangrep kun resultere i noen få tapte kunder og en rask forbigående mediesak vil innsatsen for å sikre systemene være langt mindre.
Det er dessverre en rekke eksempler på at denne “tommelfingerregelen” ikke er så god. Data på avveie etter ulike former for angrep er ikke uvanlig. Også store kritiske lekkasjer skjer ofte. Brukerne virker imidlertid ikke å ta det spesielt seriøst, og av den grunn er det ikke noe direkte tap for bedriftene. Så lenge brukerne tilgir og fortsetter å benytte tjenestene, så vil lite bli gjort med sikkerheten. Selv ikke mediene er spesielt ivrige på å dekke slike saker. Det ender ofte en en liten artikkel som få leser, og så er det stilt. Dermed kan bedriftene trygt spare penger og ressurser på å nedprioritere sikkerheten.
Intern bruk, deling og salg
I tillegg til at tjenester kan hackes utenfra, kan også mye skje internt. På samme måte som at enkelte bedrifter øker inntektene ved å selge kundedata videre til telefonselgere, kan også bedrifter som oppbevarer digital informasjon om brukere av en tjeneste få ekstra inntekter ved å bevisst selge dette. Salg som gjøres på tross av at de har lovt brukerne at det ikke skal skje.
Det samme kan gjelde enkeltansatte i bedrifter som har tilgang til informasjonen og på tross av strenge retningslinjer internt blir fristet til å “spe på lønna”. Ofte spres informasjonen gjennom flere ledd, der informasjonen først blir gitt til noen man stoler på, men som samtidig har litt mindre fokus på personvern ettersom den som informasjonen omhandler ikke vet at de har den eller er kunder av de. Så blir informasjonen stadig gitt videre og hvert ledd har mindre og mindre grunn til å tenke på deg som bruker. Til slutt havner den hos noen som aktivt ønsker å missbruke informasjonen.
Og husk at i andre tilfeller har du faktisk aktivt sagt ja til at informasjon kan spres til tredjepart gjennom å akseptere lisensavtalen til tjenesten. Det viser seg at svært få leser denne før de tar tjenester i bruk. Det er jo på en måte forstålig nok, for de er ganske lange og tunge å lese. Det som er pussig er at brukere som ikke leser avtalen benytter tjenesten som om avtalen de ikke leste skulle vært til brukerens beste. Tar man seg ikke tid til å lese avtalen bør man jo heller ha som utgangspunkt at den er verst mulig… Det holder jo i hvert fall ikke å tenke at “dette er en kjent tjeneste, og andre har sikkert lest den”.
Du avslører informasjonen selv
Men det er jo ikke gitt at bedriften avslører informasjonen. Du kan også tenkes å gjøre dette selv. Tenk f.eks. på all informasjonen som Facebook og Google har om deg, og som du selv kan se og hente ut. Alt som skal til at noen andre får se informasjonen er at de får tilgang til din brukerkonto. Dette kan f.eks. skje ved at noen låner eller stjeler din telefon eller maskin der du “alltid” er innlogget. Det kan også være at de får tilgang ved å kjenne ditt passord gjennom gjettninger eller phishing-angrep.
I mange tilfeller gir vi også selv gladlig vekk våre data til andre. Ofte gjennom separate tjenester som kobles inn i eksisterende tjenester vi benytter. Et typisk eksempel er “personlighetstester” på Facebook. Trykker vi litt for fort “godta” her uten å lese nøye, så gir vi ubevisst fra oss bilder og informasjon fra vår lukkede profil til et selskap vi ofte ikke aner noe som helst om. Vi har skrevet en egen sak om slike personlighetstester som vi anbefaler alle å lese.
Venner avslører informasjon om deg
I en rekke tjenester er vi også koblet mot andre brukere. At vi selv har et god personvern og passer på våre opplysninger betyr ikke at våre kontakter gjør det samme. Og blir de utsatt for svindlere eller hackere så er også informasjonen om oss, som de hadde tilgang på, avslørt. Typisk kan dette være private meldinger vi har sendt på e-post eller Facebook-messenger til personen. Men også all informasjonen på våre profiler som er lesbare for andre brukere.
Vi bør også tenke over at våre kontakter vil ha langt færre begrensninger knyttet til ditt personvern. Kanskje du legger ut et bilde på Facebook kun dine venner skal få se, men som en venn kopierer ut og deler med andre. Vårt syn på personvern vil derfor bli tilsidesatt hver gang informasjonen kopieres videre. Til slutt havner det hos noen som ikke engang vet hvem vi er, og som totalt gir blaffen i hva vi tenker om at bildet legges ut helt offentlig.
Utlevering av informasjon
Bevisst utlevering av informasjon er et annet problem. De fleste er enige i at tjenesteleverandørene må utlevere data til politiet når det foreligger en etterforsking og en begjæring. Men hvor går grensen? Skal NAV, skole, forsikringsselskaper, arbeidsgiver osv. også få tilgang for å enklere kunne gjøre sin jobb med å kontrollere kunder og brukere? De fleste vil nok si nei…
Men hvordan vet vi at våre innsamlede data ikke når disse? Et konkret eksempel er at amerikanske myndigheter ønsker tilgang til all data fra dine sosiale medier ved innreise. Foreløpig ber de om brukernavn og passord fra personene selv, og hvis du nekter kan du bli nektet innreisetillatelse. Men når kommer det en lov som pålegger tjenestene å dele denne informasjonen med staten automatisk? Alt i dag finnes det slike lover dersom det er misstanke at personen utgjør en fare, og det er ikke store endringen som skal til før den gjelder alle.
Noen tanker til slutt…
Det er helt greit, og også helt riktig, at man i mange tilfeller kommer til konklusjonen om at viss informasjon og visse tjenester ikke utgjør noen risiko, eller at risikoen er mindre enn fordelene man får. For enkelte er kanskje all informasjon grei å dele fra seg. Det er ikke paranoia denne artikkelen forsøker konkludere med.
Det største problemet med personvern er derimot at for få bryr seg, og at for få faktisk gjør en vurdering. De aller fleste trykker gladelig på “jeg aksepterer” og “jeg har lest avtalevilkårene” uten å i det hele tatt ane hva de aksepterer eller skulle ha lest. Man gjør ingen vurdering av om man stoler på tjenestenes håndtering av data eller hva informasjon benyttes til. Har du f.eks. lest avtalevilkårene til Facebook før du opprettet en konto? Er du klar over hvilke rettigheter du gir Facebook for dine egne bilder og informasjon? Likevel benytter du nok tjenesten flittig.
De fleste lever i dag også med en ide om at de ikke har noe å skjule og at det sikkert ordner seg om det går galt. Og mange vil dessverre bli overrasket over det motsatte. Det er nettopp denne overraskelsen man må forsøke å unngå, ikke tjenestene i seg selv. Dette krever imidlertid kunnskap og vurderinger, og begge deler er både strevsomt og tar tid.
Selve teknologien og datasikkerhet et område få behersker godt nok. Det er derfor svært vanskelig for en normal bruker å identifisere alle farene som finnes. Litt for mange vurderer personvern ut i fra hva de selv ville vært i stand til å gjøre, naturlig nok. Dessverre er få brukere hverken eksperter på maskinlæring, big data eller hacking.
Husk også at det vi tror er våre egne meninger og prinsipper i stor grad er påvirket av hva andre mener og gjør. Det at andre har tatt i bruk en tjeneste betyr jo ikke at de har tenkt nøye over personvernet, men allikevel tenker mange at det nok er trygt siden venner benytter det.
På samme måte kan “press” fra venner gjøre at man avviker fra sine prinsipper. Svært mange av de som tidligere var skeptiske til Facebook har likevel tatt det i bruk, på tross av svært gode argumenter i mot. Det er mer trolig at følelsen av å “gå glipp av noe” har blitt for sterk, enn at man mistet tro på de gode argumentene man hadde. Dette ser man også tydelig i at f.eks. foreldre på tross av stor redsel, skepsis og en 13 års aldersgrense hjelper barn til å jukse med alderen for å få seg en Facebook-konto. De gjør dette for å hindre at barnet går glipp av noe, når “alle” barnets venner har en Facebook-konto.
I tillegg er det ikke å komme fra det faktum at tjenester som samler mye data om oss også er praktiske og behagelige. F.eks. ser vi på det som en stor fordel at Netflix lager en “profil” av oss for å kunne foreslå filmer vi kan like, at Amazon tipser oss om varer vi har “glemt å kjøpe” og at Google på magisk vis vet når vi skal på jobb denne dagen og kan varsle oss om kø på veien vi pleier å kjøre. Og dette er fantastisk. Men dette har også en bakside vi bør vurdere nøye… Nemlig vårt personvern.
Og til slutt kanskje det viktigste poenget. Har du tenkt over hvordan alle de store tjenestene i dag kan gi bort produktene sine til oss kunder? Hvorfor tilbyr Facebook, Google, Youtube, Twitter, LinkedIn og andre sine tjenester gratis? Det koster jo en formue å utvikle og drive disse tjenestene. Enkelt tenker du… det er fordi de tjener penger på annonser. Til en viss grad er dette riktig, men ordinære annonser i seg selv er ikke tilstrekkelig inntektsbringene.
Det som gjør at disse selskapene kan drive slik de gjør er at du ikke er kunden deres slik mange tror…du er produktet. Ved å samle enorme mengder data om deg kan selskapene tilby annonsører målrettet annonsering. Annonsering som, på tross av hva vi brukere selv tror, er så påvirkende og effektiv at de betaler for alt selskapene gjør. Men vi skal huske på at det allikevel er en begrenset mengde inntekter man kan få fra annonsører. Behersker mange nok denne datainnsamlingen blir pengepotten de skal fordele kanskje ikke stor nok. Vi skal være klar over at i en slik skvis vil selskaper som sliter raskt endre sine moralske prinsipper om til hvem og hvordan tilgang til data skal gis, om dette kan redde den finansielle situasjonen…
GDPR
En av de store omveltningene dette året er innføringen av den såkalte GDPR forordningen fra EU. Til tross for store endringer både for brukere og de som utvikler tjenester, har det vært forholdsvis lite snakk blant folk flest om hva denne EU-forordningen medfører når den innlemmes i de norske lover.
I korte trekk vil GDPR først og fremst merkes hos brukerne gjennom følgende endringer hos alle tjenester:
- All data om brukerne som samles inn skal godkjennes gjennom et eksplisitt samtykke som forteller både hva som samles inn, hva det skal benyttes til og hvor lenge informasjonen skal lagres.
- Brukere kan be om å få utlevert alle sine data på en enkel og lesbar måte.
Disse punktene innarbeides nå for fult i tjenester, og alt må være klart den 28. mai 2018 slik det ser ut nå. Tanken er veldig god, og for de interesserte brukerne kan det gi et nytt syn på tjenester, personvern og informasjon. Dessverre vil nok de fleste brukere bare trykke “OK” til samtykket og heller aldri be om å få se sine eller slette data. Dermed forsvinner en stor del av hensikten…
Noen råd
Men hva skal vi så gjøre? Det er ikke lett å gi noen fasitsvar, men under følger våre litt mer generelle råd:
- Før du tar i bruk en ny tjeneste, sørg for å finne ut hvilken informasjon de samler om deg og hva dette skal benyttes til. Dette gjelder både hva de selv sier, og hva de faktisk er i stand til. Dette tar tid, men er viktig.
- Tenk over hva informasjonen som blir samlet om deg kan bety om den kommer på avveie. Ta også en nøye vurdering av hva det vil si om denne informasjonen kobles med annen “uskyldig” informasjon fra andre tjenester. Vær nøye med å tenke over hvem som kan få tilgang, og ikke bare tenk at dette er “ukjente hackere”. Hva betyr det om familie, venner, arbeidsgiver, NAV og andre får tilgang på informasjonen.
- Gjør en en så god som mulig vurdering på hvordan informasjonen oppbevares. Hvor mye fokus tror du tjenesten har på sikkerhet? Vil de være lett match for en hacker? Vil de kunne være troverdige til å gi ut informasjonen i det skjulte?
- Sørg for å ha en liste over hvilke tjenester som vet hva om deg. Det er fort gjort å glemme tjenester som du ikke benytter lengre, og en slik liste vil hjelpe deg med å huske å avslutte kontoen.
- Ikke oppbevar eller produser data som er svært kritisk om kommer på avveie i ulike tjenester. Dette gjelder f.eks. å sende passord til noen via meldingstjenester eller lagre sensitive bilder i Dropbox.
- Aktiver sikkerhetsmekanismer i tjenester som oppbevarer kritisk data. Dette er f.eks. varsler om innlogginger eller tofaktorautentisering.
- Husk at det i alle tjenester både er synlig og “usynlig” data som lagres. I Facebook er f.eks. meldinger, poster og bilder synlige data. Våre innlogginger, posisjon, enheter er “usynlige” data