Advokat om retten til at flytte egne data: Hvordan i h... skal det lade sig gøre?

EU's nye dataregler giver forbrugerne rettigheder, der ser gode ud på papiret, men kan være svære at overholde i praksis, mener privacy-advokat.

EU's nye datareglement giver digitale forbrugere en række nye værktøjer i værktøjskassen, hvis de ønsker at få styr på persondata.

Men nogle af dem ser ud til at være særdeles svære at føre ud i livet, bemærker Paolo Balboni, der er formand for European Privacy Association og har en ph.d. i jura.

Retten til at flytte data fra en tjeneste til en anden ser flot ud på papiret, men kan være meget vanskelig at udføre i praksis, vurderer Paolo Balboni, der er jurist og formand for European Privacy Association.

Læs også: Retten til at gøre indsigelse

Databeskyttelsesforordningen giver brugeren ret til at blive slettet fra en virksomhedsdatabase og ret til at begrænse behandling af persondata.

Men det er særligt retten til at udtrække eller flytte egne data, som advokaten har svært ved at se for sig.

Retten betyder formelt, at hvis du har betroet en virksomhed dine data, og virksomheden behandler data på baggrund af et samtykke, kan du bede det selskab om at overføre dataene til dig i et format, der kan læses af en maskine.

Læs også: Med dataforordningen på vej: Virksomheder tager ikke logning alvorligt nok

»Eller om at overføre dataene til et andet selskab,« forklarer Paolo Balboni ved konferencen Nordic IT Security 2016, der onsdag fandt sted i Stockholm.

Et eksempel på, hvordan retten kan bruges, er blandt andet blevet givet af chefen for det hollandske datatilsyn, der fastslog, at forbrugere i fremtiden kan flytte en profil på Facebook til et andet socialt medie.

Læs også: Justitsministeriet: Dataforordning skal turbo-behandles

»Hvordan skal det virke i praksis?!« spørger Paolo Balboni retorisk og fortsætter:

»Det ser fint ud som en politisk beslutning, men i praksis er arkitekturen hos et socialt medie et aktiv for virksomheden. Hvordan i helvede skal de dele den viden og gøre den interoperationel med andre tjenester?!«

Læs også: Jurist: Blockchain-teknologier kan komme i karambolage med retten til at blive glemt

Dataene omfatter ifølge advokatvirksomheden FeldFisher ikke bare et profilbillede og nogle grundinformationer som navn og job. Brugeren skal kunne flytte alle filer, de har posted online, og alle beskeder sendt.

»I praksis vil retten til at flytte data skabe mange spørgsmål,« fastslår Paolo Balboni.

Læs også: Ny persondata-vejledning: Sådan undgår du giga-bøder

En anden rettighed, som kan blive en sten i skoen på virksomheder, der arbejder med persondata, er reglen om, at brugeren eller 'dataemnet' skal informeres om, hvor længe virksomheden har tænkt sig ar beholde dataene.

»Alle, der har arbejdet med privacy, ved, at virksomheder ikke har lyst til at slette data,« bemærker Paolo Balboni.

Ikke desto mindre kræver forordningen, at virksomheder sætter en timer på dataene, de indsamler.

»Og det er en gamechanger.«

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (28)
Bjarne Oldrup

Måske var det bare lige det der manglede, et kærligt EU skub til at få gjort data flytbare mellem patientjournalsystemerne... For det fungerer sådan her i dag: "Jeg kan måske printe din journal ud til dig - men MR scanningen kan vi jo godt nok ikke printe :/ "

Aj det er en interessant overvejelse, men er der nogen forestilling om at en eventuel lovgivning bliver mindre tandløs end cookie-loven?

Bent Jensen

Men hvis bare krav om sletning og udløbsdato virker fra dag et, Så er det fint for mig.

Det er rigtigt godt, at også blev knyttet en ordentlig bøde til overtrædelsen af loven, men synes stadig at der mangler fængselsstraf og de samme krav skal stille til det offentlige.

En bøde i det offentligt virker på en måde ikke ret godt, så skal den knyttes personligt til de dataansvarlige i det her tilfælde. Men fængselsstraf i meget grove og gentagne tilfælde ville også være på sin plads.

Bjarne Nielsen

Når du skifter bank, beder den modtagende bank, den afgivende bank om at overføre informationer om kunden (dig).

Jeg skulle hilse og fortælle, at det bestemt ikke er noget, som er sket af sig selv. F.eks. er det ikke nødvendigvis en god ide, hvis en bank kunne henvende sig direkte til en anden bank og sige: "fortæl os alt, hvad I ved om X" - f.eks. i situationer, hvor det ikke er hele arrangementet som flyttes. Der er også en del lovgivning, som har en mening om det.

Princippet skal bare udvides, hvilket er en god ide.

Helt enig. Der er store fordele ved det, ikke mindst øger det markedets effektivitet.

Jeg vil dog lige nævne, at det ikke er sådan lige "bare" at gøre - det er en opgave, som man ikke skal undervurdere.

Nikolaj Bech

Med mindre at man ligefrem forlanger at en virksomhed selv skal stå for at importere data ind i en anden virksomheds produkt, kan jeg ikke se de store tekniske problemer.

Hvis kravet udmøntes som at alle data eksporteres i et format der, som det også skrives, kan læses af en maskine, findes der masser af formater til dette. Det er så op til andre virksomheder at lave kode der kan importere disse data og dette er selvfølgelig frivilligt om man vil og fra hvilke andre man vil importere fra. Måske nogen stamdata skal eksporteres efter bestemte krav, så nogen data kan flyttes med standard indstillinger.

Der skal måske også være et krav om ikke at ændre sin eksport hver uge for at genere konkurrenterne.

Martin Wolsing

Alt man nogensinde har postet på medie A skal altså kunne overføres til medie B?

Gælder det også for eksempel journalister der får nyt job? Skal de have samme rettigheder til at tage al deres produktion med eller bede om at få den slettet? Hvad med forskere eller enhver anden der vil overføre sin profil (læs: skifte arbejdsplads)?

Svaret her vil sikkert være "Nej, de er jo blevet betalt af virksomheden som derfor ejer produktionen". Men hvordan adskiller det sig principielt fra for eksempel Facebook? Her bliver man også betalt for sine data. Godt nok ikke i kontant udbetaling, men ved at få stillet indhold og en profil til rådighed uden betaling. Man kan også vende den om og sige at man betaler for indhold med sine data. En byttehandel med andre ord. Hvorfor skal man have ret til data man har byttet væk, mens data man har solgt ikke nyder samme beskyttelse?

Alt der kan stække Facebooks position er i mine øjne en god ting, men omvendt kan jeg ikke gå med til at bryde Facebooks principielle rettigheder til ejerskab over indhold som brugerne selv har givet dem. Præcis som jeg mener at en virksomhed har retten til det arbejde deres ansatte har udført. Skifter man arbejde, kan man tage sin hjerne og sine erfaringer med sig. Resten bliver. Omvendt skal ens tidligere arbejdsplads så heller ikke begrænse en fremadrettet. Sådan bør det også være på de sociale medier.

Bemærk: Jeg taler ikke om tracking af brugerne. Den slags skal selvfølgelig slettes på anmodning omend man nok bør holde sig helt væk, hvis ikke man bryder sig om den slags.

Peter Hansen

Det ser fint ud som en politisk beslutning, men i praksis er arkitekturen hos et socialt medie et aktiv for virksomheden. Hvordan i helvede skal de dele den viden og gøre den interoperationel med andre tjenester?!

Det virkede fint i gamle dage takket være IETF og RFC-systemet. SMTP og XMPP er vel to af de bedre eksempler på, at interoperabilitet sagtens kan trives i et domæne, der ellers godt kunne trues af netværks-eksternaliteter.

Men ja det er korrekt observeret, at Facebook og lignende sociale medier har indfanget de fleste almindelige brugere og deres brug af nettet og spundet dem ind i en proprietær arkitektur, som de har meget lidt lyst til at dele med konkurrenterne. At få det til at se ud som en umulighed er imidlertid misvisende, da det teknisk set er en triviel udfordring, som vi allerede har løst én gang. Det er alene de smarte forretningsfolk og advokater, der har set bonus-potentialet i at gå fra standard-baseret udvikling til proprietære, patent- og ophavsret-beskyttede monopoler. Hvis der skal ændres på det, kræver det politisk vilje, men de fleste politiske beslutningstagere er enten så naive, at de tror på lobbyist-retorikken om, at kilden til vækst og beskæftigelse går gennem monopoler eller også er de direkte på virksomhedernes lønningsliste - direkte eller indirekte.

Casper Jensen

Jeg formoder der referers til artikel 20 om ret til data portabilitet.

Hvis det er rigtigt står der under Artikel 20 punkt 2:

Når den registrede udøver sin ret til dataportabilitet i henhold til stk 1, har den registrede ret til at få transmitterede personoplysninger direkte fra en dataansvarlig til en anden, hvis det er teknisk muligt..

bemærk: Hvis det er teknisk muligt!

Så jeg ser det kun som et problem hvis en registred vælger at få dataerne sendt til sig selv. Hvis vedkommende ønsker at sende disse til en anden udbyder.. fx facebook til google+ så kan facebook sige nej fordi det ikke er teknisk muligt.

Peter Hansen

"Hvis det er teknisk muligt" er klassisk lobbyist-røgslør, designet til at overbevise lovgiverne. Selvfølgelig er det teknisk muligt. Der er bare ikke forretningsmæssig vilje til at investere i at udvikle funktionaliteten, så længe man hver især lukrerer på at holde kunderne fanget i sin proprietære arkitektur.

Kenn Nielsen
Nicolaj Hansen

Det der er lidt paradoksalt i retten til at blive glemt er jo, at man, som virksomhed, på mange måder bliver pålagt at gemme data om personen.

Alene regnskab og bilag skal gemmes i 5 år fra årsregnskabets afslutning, hvilket vil sige, at data om, hvilke produkter en kunde har købt skal gemmes.

Derudover er der jo hele privacy diskussionen om, hvorvidt man skal tracke brugeres færden på nettet som ISP.

Bjarne Nielsen

Alene regnskab og bilag skal gemmes i 5 år fra årsregnskabets afslutning, hvilket vil sige, at data om, hvilke produkter en kunde har købt skal gemmes.

Men kun de oplysninger, som er nødvendige for regnskabet. Og data må, hvis de kun bevares af regnskabsmæssige grunde, kun bruges til dette formål.

Det er der ofte en tendens til at glemme. Der er ikke udstedt en blanco-check til at gemme alt om alle i fem år, eller til vilkårlig brug af dette.

Baldur Norddahl

En af værdierne i et socialt netværk er data om hvordan brugerne er forbundet til hinanden. De data kan ikke overføres da det kræver samtykke fra de andre brugere.

Så hvis vi forestiller os at jeg kan overføre min Facebook profil til Google+, så bliver det uden venner. Selv hvis mine venner har en profil begge steder, så har vennerne ikke givet samtykke til at man må forsøge køre den registersamkørsel.

Hvis en eller anden downloader data, har jeg så givet samtykke til at hans download indeholder personfølsomme data om mig? Det fører til at data skal anonymiseres før det kan downloades. Ingen navne på vennerne.

Hvad med kommentarer skrevet af andre? Teknisk set har du ophavsret til dine kommentarer, så en anden kan ikke bare kopiere dem over på et andet socialt medie. Kommentarer kan i øvrigt også indeholde følsomme data.

Thomas Hildebrandt

Nu er kommentarerne taget ud af en kontekst, men det er alligevel tankevækkende, at en ph.d. i jura primært udtaler sig om hvad der er TEKNISK umuligt.

Selvfølgelig er det ikke teknisk umuligt, at en bruger kan få sine personhenførbare data i maskinlæsbar format (hvilket er minimumskravet), heller ikke at få dem slettet/anonymiseret eller få oplyst formålet.

Problemerne opstår, fordi mange af de eksisterende it-systemer ikke rigtig understøtter dette, og især når virksomheder ikke har styr på hvor personhenførbare data gemmes og videresendes, i hvilke sammenhænge og med hvilket formål de er blevet indhentet etc.

Og ja, sådan er virkeligheden jo mange steder, selvom jeg skulle mene, at den danske lovgivning har påbudt noget andet længe (men på det punkt vil jeg lade juristerne udtale sig skråsikkert).

Det skyldes jo blandt andet at data gemmes uden "kontekst" (det formål den må bruges til) og også sendes mellem og behandles i andre systemer end dem de blev indhentet i (og selvfølgelig også uden for it-systemerne) - ofte fordi vores it-systemer ikke rigtig passer til de arbejdsgange, hvor vi benytter dem. Og her nytter det ikke noget kun at skyde på at lovgivningen er for kompleks og skal forenkles (hvilket den givet er i mange tilfælde) men også at erkende at vores IT og udviklingsmetoder skal kunne favne kompleksiteten, da vi IKKE kan tro at vores lovgivning - eller verdenen omkring den - vil begynde at være enkel og forudsigelig, blot fordi den nu skal digitaliseres.

Vi har derfor desparat brug for nye metoder til at udvikle på een gang fleksible, brugervenlige og sikre it-systemer (så de kan tilpasses skiftende lovgivning og forretningsprocesser, forstås af brugerne og leve op til sikkerhedskrav).

En vigtig forudsætning er, at vi (istedet for at udtale os skråsikkert i hvert hjørne) får bragt juristerne, datalogerne (både dem med forstand på programmering og dem med forstand på brugere), forretningsfolkene og brugerne SAMMEN om at løse udfordringerne.

Det er noget vi arbejder på i vores forskning på IT-universitetet i samarbejde med virksomheder og andre universiteter, som man f.eks. kan høre om på mandag i finanssektorens hus:

http://www.cfir.dk/Arrangementer/andrecfirarrangementer/Forberedt%20på%...

Henrik Biering Blogger

Jeg er meget enig i Baldurs betragtninger.

Paragraffen om dataportabilitet gælder eksplicit data om personen selv:

Den registrerede har ret til i et struktureret, almindeligt anvendt og maskinlæsbart format at modtage personoplysninger om sig selv, som vedkommende har givet til en dataansvarlig

Hvis man f.eks. laver en anmeldelse af en virksomhed på en omdømmeportal, må det som udgangspunkt betragtes som oplysninger om virksomheden og såfremt virksomheden har besvaret indlægget vil det være meningsløst at flytte anmeldelsen som hvis den ellers er korrekt heller ikke må slettes jf. forbrugerombudsmandens retningslinjer til en anden omdømmeportal, så anmeldelse og svar mister forbindelsen til hinanden.

Det samme gælder med hensyn til offentlige debatter om forskellige emner, hvor forståelsen af den samlede debat (der evt. efter ophavsretsloven kan udgøre et fællesværk / samleværk) helt kan mistes ved at fjerne en enkelt debattørs indlæg.

I begge disse tilfælde vil jeg derfor formode at datatilsynets nuværende vejledning om sletning eller anonymisering i hovedtræk fortsat vil være retningsgivende efter den ny forordning.

Martin Jünckow

Kan man forlange at sine data slettes fra samtlige backups?
Har man overlevet kravet hvis dataene stadig ligger på en tape-backup og samler støv i kælderen?
Hvad når backups indlæses på ENTW/SYST/INTG/UAT etc. miljøer, for at have realistiske data tilrådighed - skal det også sikres at alle dataene er forsvundet fra alle disse miljøer?

Hvordan skal det fungerer i praksis? Hvis et bank-system er blevet anmodet om at slette alle data for en tidligere kunde, hvordan skal transaktioner så kunne føres tilbage til personen? Hvad med modtageren af pengene fra en sådan transaktion - står pengene nu som værende modtaget af "deleted_user_893745" ?

Der er en masse praktiske problemer med det her krav.
Kravet er ikke nyt, men den eneste grund til at verden stadig fungerer er fordi ingen i praksis efterlever de her krav - det skal bare se godt ud på overfladen, så DJØF'erne er glade.

Det samme bliver tilfældet med kravet om overførsel af data.

Henrik Sørensen

Et af de helt grundlæggende udfordringer med Databeskyttelsesforordningen er, at den kolliderer med anden lovgivning på en lang række områder og at man I sin lovgivningsiver har lavet en kolos på lerfødder.

Det aktuelle eksempel med import/export er et meget godt eksempel. Uden at tage stilling til det fornuftige i selve ideen så støder den ind i allehånde udfordringer ...

HVEM har hvilke forpligtelser - er eksportøren forpligtet til at aflevere i et format importøren kan læse, eller er det importøren der er forpligtet til at finde ud af hvordan han får læst det eksporterede ind i sit system?,

HVORDAN gør man det ... data der flyttes skal jo også være beskyttet mens de bliver flyttet fra A til B og alle skal vel næppe have forbindelser til alle andre ...

RETTIGHEDER ... kan man overdrage sine data-rettigheder til andre, fx. en agent, der skal handle på vegne af en og sikre den praktiske udførelse? - hvad med data-objekter der er et samlet udtryk for flere personers data ... skal der så indhentes tilladelse fra disse personer eller kan man nægte udlevering af hensyn til beskyttelsen af de andre i gruppen? ... og man kan blive ved.

Endnu værre er, at man har overladt en lang række forhold til national implementering, hvilket udhuler den overordnede tanke med forordningen - nemlig at gøre det nemt og letforståeligt hvordan man beskytter data.

Derfor kommer det til at kræve at man alligevel skal sætte sig ind i lokal implementering. ... og for at gøre det endnu værre så har DK i hvert tilfælde endnu ikke svar parat på den lokale implementering så man kan ikke en gang forberede sig ordentligt.

Jeg forstår behovet for at beskytte borgernes data, men den aktuelle forordning er i bedste fald en kladde ...

Peter Hansen

En af værdierne i et socialt netværk er data om hvordan brugerne er forbundet til hinanden. De data kan ikke overføres da det kræver samtykke fra de andre brugere.

Så hvis vi forestiller os at jeg kan overføre min Facebook profil til Google+, så bliver det uden venner. Selv hvis mine venner har en profil begge steder, så har vennerne ikke givet samtykke til at man må forsøge køre den registersamkørsel.


Interessant påstand, som desværre ikke forholder sig til det faktum, at det har været muligt at portere adressebøger fra én serviceudbyder til en anden via WebDAV og vCard i ti år eller mere uden at det kræver nogen form for samtykke fra tredjepart.

Du kan godt prøve at bilde mig ind, at persondatalovgivningen forbyder, at jeg skifter udbyder af adressebog, men jeg må så bare henvise til, at det gør millioner af mennesker hvert år, uden at det har nogen praktisk, retlig konsekvens.

Peter Hansen

HVEM har hvilke forpligtelser - er eksportøren forpligtet til at aflevere i et format importøren kan læse, eller er det importøren der er forpligtet til at finde ud af hvordan han får læst det eksporterede ind i sit system?,


Data skal naturligvis afleveres i et format, der implementerer en åben standard.

HVORDAN gør man det ... data der flyttes skal jo også være beskyttet mens de bliver flyttet fra A til B og alle skal vel næppe have forbindelser til alle andre ...

HTTPS/TLS (åben standard) sikrer data, mens de downloades til brugerens computer og når de uploades herfra til den nye tjenesteudbyder.

RETTIGHEDER ... kan man overdrage sine data-rettigheder til andre, fx. en agent, der skal handle på vegne af en og sikre den praktiske udførelse?

Al databehandling indebærer, at man overdrager sine datarettigheder til en agent, der handler på vegne af en.

Henrik Biering Blogger

Interessant påstand, som desværre ikke forholder sig til det faktum, at det har været muligt at portere adressebøger fra én serviceudbyder til en anden via WebDAV og vCard i ti år eller mere uden at det kræver nogen form for samtykke fra tredjepart.

Du skal skelne mellem dataansvarlig (for en "normal" adressebogstjeneste vil det normalt være dig selv) og databehandler (altså hvem du vælger til at behandle dine data).

Hvis du som i tilfældet med Facebook videregiver adgang til at råde selvstændigt over data (videresælge/kontakte), er Facebook ikke blot databehandler, men også selvstændigt dataansvarlig. Og den overlevering fra din side kan være problematisk ift. persondatalovgivningen.

Peter Hansen

Du skal skelne mellem dataansvarlig (for en "normal" adressebogstjeneste vil det normalt være dig selv) og databehandler (altså hvem du vælger til at behandle dine data).


Det 'sjove' er så, at grunden til, at Facebook blev så populær tilbage i 2005 netop var, at de spredte sig viralt lidt på samme måde som "I LOVE YOU!"-virussen, fordi de snød brugerne til at foretage præcis denne ulovlige handling - dvs. overdragelse af personlige oplysninger fra en adressebogs-databehandler til en Facebook-dataansvarlig uden tredjeparts eksplicitte, informerede samtykke - uden at brugerne reelt var klar over det, idet man i forbindelse med oprettelsen som bruger på tjenesten fik et meget implicit tilbud om, at Facebook kunne kontakte alle deres venner, hvis de blot uploadede deres adressebog til tjenesten. Man skulle bare fjerne fluebenet i browseren inden man trykkede videre, hvis man ikke ville have overført adressebog og sendt emails ud til alle sine venner i ens navn.

Det er klart, at Facebook i dag selvfølgelig er at finde blandt de stærkeste fortalere for, at ordlyden i persondataforordningen skal overholdes til punkt og prikke. Særligt den del, der handler om, at "noget skal være teknisk muligt", før det kan lade sig gøre at overføre data.

Peter Hansen

Du skal skelne mellem dataansvarlig (for en "normal" adressebogstjeneste vil det normalt være dig selv) og databehandler (altså hvem du vælger til at behandle dine data).


Det er med andre ord fuldt ud tilladt at flytte sin adressebog fra en WebDAV-udbyder til en anden, men hvis man flytter sin WebDAV-adressebog til GMail uden kontaktpersonernes samtykke, begår man en ulovlig handling?

Her må jeg igen henvise til "the facts on the ground", som netop er, at millioner af menneskeer foretager denne handling hvert år, uden at det har nogen praktiske, retlige konsekvenser overhovedet.

Peter Rosenberg

..Kundens data i aftalte formater.
Det kræver en standard, og som bekendt tager standarder tid, men kunne man ikke læne sig op ad defacto standarder først. For Intelligent Home Appliances, er det Z-Wave (og et par andre), for Arkiv Materialer er det Statens Arkiver's format (det er kun i DK), osv.
Det er Device InterOperabilitet, for de digitale dimser man kan få. Og disse er ofte Cloud eller Business forbundne til sin Service Operatør, men så skal Presentation Laget, ud imod Kunden, kunne tilbyde Eksport af data.

Claus Nielsen

Hvad når backups indlæses på ENTW/SYST/INTG/UAT etc. miljøer, for at have realistiske data tilrådighed - skal det også sikres at alle dataene er forsvundet fra alle disse miljøer?

Jeg går ud fra at ENTW/SYST/INTG/UAT er navne på forskellige udviklings og/eller testmiljøer el.lign. og der er da ingen der kopierer personfølsomme data til den slags miljøer, vel?

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017