Datatilsyn efter skandale om masselagring af persondata: »De har ingen hæmninger«

Illustration: Nomad Soul/Bigstock
Datatilsynet i Norge har tjekket, hvad fire norske virksomheder vidste om en testperson. Det var ikke så lidt.

»Jeg blev skuffet. De har ingen hæmninger. Det, at man bliver overrasket over omfanget, er jo i sig selv et stort problem. Man skal vide, hvad de indsamler.«

Det siger juridisk rådgiver i det norske Datatilsynet Tobias Judin. Han står bag den i Norge meget omtalte gennemsigtighedsrapport 'Hva vet de om deg?', hvor det blandt andet kom frem, at mediekoncernen Schibsted har lagret brugerdata helt tilbage fra 2001. Det var NRK, som først omtalte sagen.

Digi.no har taget en snak med Judin om det, som kom frem i rapporten.

Også hos tre andre virksomheder gjorde Datatilsynet i Norge interessante fund, nemlig teleselskabet Chess, kundeloyalitetsprogrammet Trumf og tv-distributøren Canal Digital, som også er kendt i Danmark (Canal Digital Danmark).

»Ved at kombinere data, som fire norske virksomheder har lagret, så ved man alt om en person,« siger Judin til digi.no.

Keeping up with the Kardashians

Canal Digital Kabel, som er ejet af Telenor Norge, var den første virksomhed, hvor der blev bedt om indsigt. Baseret på de tilsendte oplysninger kunne tilsynet konkludere, at tv-distributøren lavede profiler på sine kunder.

En oversigt over testpersonens mest sete tv-kanaler. Illustration: Screendump fra rapporten

Profilerne bygger på kundernes tv-vaner og oplysninger fra pakke- og budselskabet Bring.

Baseret på dette har de gjort sig formodninger om, at Datatilsynets testperson har en årsindtægt på 560.000 kroner, har 330.000 kroner i formue, bor i lejlighed, har en humanistisk uddannelse og er en enlig mand uden børn.

Datatilsynets rapport skriver, at »ikke alle disse gæt rammer lige godt, men helhedsindtrykket stemmer alligevel meget godt overens med virkeligheden«.

En oversigt over, hvilke programmer testpersonen har set, hvornår han så dem og hvor længe, strakte sig tilbage til 2015 og indeholdt 281 programmer.

'Keeping up with the Kardashians' toppede hans liste over de mest sete tv-programmer – en oplysning, der måske er nogle, der IKKE vil have, at andre skal være bekendt med!

Formålet med at lagre alle disse oplysninger og at dele kunderne op i segmenter er ifølge selskabet at sikre god kvalitet på tjenesterne, give relevant information om produkter samt at yde kundeservice.

En liste over, hvilke tv-programmer testpersonen har set mest. Illustration: Screendump fra rapporten

Dette er noget, kunden har givet samtykke til på tv-skærmen, da tv-boksen blev taget i brug, bedyrer selskabet.

Selv om formålet med Datatilsynets gennemsigtighedsrapport ikke var kontrol af de fire virksomheder, medgiver Judin, at lovligheden i dette tilfælde er tvivlsom.

»Du får ingen information, før tv-boksen er hjemme hos dig. Så under installeringen skal du bl.a. ned til punkt 10 og tage luppen frem, før du får noget som helst at vide om datalagringen. Det er tvivlsomt, om dette er gyldigt samtykke,« siger han til digi.no

Fordelsprogram med problematisk privacyhistorie

Trumf er et kundeloyalitetsprogram som ligger under Norgesgruppen, der står bag supermarkedskæderne Kiwi, Meny, Spar og Joker.

I rapporten kommer det frem, hvad testpersonen har købt på 396 indkøbsture de seneste fem år. Det registreres, fordi testpersonen har handlet med Trumf-kort eller har registreret sit betalingskort hos Trumf. Hvornår og hvor du handler, og hvad du køber, lagres i fem år.

»I modsætning til Schibsted er Trumf pålagt af loven at lagre disse data pga. bogføringspligten,« understreger Judin.

Men Trumf har tidligere haft en mere lemfældig omgang med privacy. Tidligere kunne man registrere et hvilket som helst bankkort på sin Trumf-konto.

»Nogle havde selvfølgelig registreret kort, som ikke var deres, og kunne dermed spore en person og følge vedkommendes bevægelser.«

»Vi gjorde dem opmærksomme på, at det ikke var god stil, og de har siden strammet gevaldigt op på praksis,« fortæller Judin til digi.no.

Det er imidlertid stadig muligt for Trumf-medlemmer i samme husstand at dele konto.

Det åbner for, at overivrige forældre kigger deres børn i kortene, mens kontrollerende ægtefæller har mulighed for at overvåge deres bedre halvdele, påpeges det i rapporten fra Datatilsynet.

Tidligere fik alle Trumf-medlemmer også personlige tilbud baseret på deres handlemønster og købshistorik.

Efter dialog med Datatilsynet skal kunder nu afgive aktivt samtykke. Fordelsprogrammer i andre brancher holder formentlig stadig fast i obligatorisk personalisering.

Chess ved, hvor du er

Den sidste virksomhed, som blev undersøgt, var teleselskabet Chess, som nu bliver indlemmet i Telia Norge.

Dataene, som teleselskaberne indsamler, er metadata – data om dataene. Judin påpeger dog, at f.eks. et opkald til et center for seksuelt misbrugte mænd meget vel kan sige lige så meget om en person som indholdet i samtalen.

»Ved at se på metadata om, hvem man har ringet til, hvorfra, i hvilken rækkefølge og så videre, så ved virksomheden i realiteten rigtig meget,« siger han.

I rapporten henvises der til en af verdens mest berømte hackere, Kevin Mitnick, som skaffede sig adgang til telelogningen hos et teleselskab.

Han ville se, hvilke numre der ringede til en FBI-informant.

Ved at følge med i numrene formåede han at spore informanten, hver gang han blev flyttet og fik nyt telefonnummer.

»Det er klogt ikke at lagre denne type data længere end strengt nødvendigt,« siger han.

Det udgør en unødvendig risiko, påpeger Datatilsynet-rådgiveren.

»Ingen databaser er helt sikre, og alt kan hackes, sådan som Hellas’ telenet blev det i 2004,« afslutter Judin til digi.no.

Denne artikel er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Dan Mygind

Som et lille apropos, så fremhævede den nu detroniserede CEO for Cambridge Analytica, at noget af det mest spændende ved mikro-targeting var muligheden for at målrette annoncer baseret på data om enkeltpersoners kabeltv-programmer.
I denne video har jeg spolet frem til "perhaps the most exciting thing" som Alexander Nix formulerer det.
Og ja, Cambridge Analytica er væk, men der er mange andre virksomheder, der er i gang med hvad Cambridge Analytica havde gang i.
Læs mere i Prosabladets juni-nummer.

  • 4
  • 0
Log ind eller Opret konto for at kommentere