Restauranter vil registrere gæsters kontaktoplysninger i kampen mod corona

Illustration: PongMoji / Bigstock Photo
En ny it-løsning hos Restaurantkæden Bone’s skal gøre det muligt for gæsterne at registrere deres navn frivilligt, så de kan blive kontaktet i tilfælde af smittespredning.

Restaurantkæden Bones vil registrere navne og kontaktoplysninger på deres gæster for at kunne give dem besked, hvis der opstår smittespredning.

Det skriver DR Nyheder.

Derfor er restaurantkæden gået i gang med at udvikle et it-system, der efter planen skal være klar til brug i landets 25 Bone’s-restauranter fra næste uge.

»Vi gør det, fordi vi har et ønske om at kunne kontakte gæster i tilfælde af, at der er en eller anden form for registreret smittespredning,« siger restaurantkædens direktør, Jan Vinther Laursen til DR Nyheder.

Beslutningen hos Bone’s er taget efter mandagens corona-pressemøde, hvor sundhedsminister Magnus Heunicke (S) kom med en opfordring til landets cafeer og restauranter om at tilbyde at registrere gæsters kontaktoplysninger.

Helt konkret forventer restaurantkæden, at den tekniske løsning skal være en QR-kode, som gæsterne kan scanne med deres egne telefoner, hvorefter de så får mulighed for at indtaste navn og telefonnummer.

Den nye løsning bliver frivillig for gæsterne at bruge, og Jan Vinther Laursen understreger overfor DR Nyheder, at den skal leve op til gældende persondataret. Han uddyber, at data vil blive indsamlet elektronisk og slettet efter »formentlig højst« fire uger.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (38)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Niels Larsen-Ledet

Hvorfor navn? Hvis man nøjes med at lade gæsterne registrere en mailadtresse, som de ønsker at få besked på, ville der ikke være tale om en personoplysning.

Man registrerer vel også det tidsrum, man har befundet sig i restauranten, og ikke bare datoen? Måske placering i lokalet, eller blot hvilket lokale, hvis der er flere?

Hvor får restauranten beskeden fra om coronasmitte?

  • 2
  • 4
#2 Christian Schmidt Blogger

Hvorfor navn? Hvis man nøjes med at lade gæsterne registrere en mailadtresse, som de ønsker at få besked på, ville der ikke være tale om en personoplysning.

Hvis der er tale om personens personlige e-mailadresse (enten privat eller via arbejdsgiver), er der tale om en personoplysning.

En personoplysning behøver ikke være noget, der identificerer en person. Enhver oplysning om en person, som kan identificeres, er en personoplysning. Givet en e-mailadresse er det i reglen muligt at identificere ejermanden.

  • 9
  • 1
#5 Niels Larsen-Ledet

Ja, man kan helt frivilligt opgive en mailadresse, der viser ens navn, men man kan også have en mailadresse, der hedder MickeyMouse123@hotmail.com

På hvilken måde er det en personoplysning?

Hvis jeg frivilligt maler mit navn i en graffiti på en mur, så er det også en personoplysning. Betyder det, at husets ejer er forpligtet til at gøre noget for at overholde GDPR? Næppe!

  • 1
  • 9
#6 Christian Schmidt Blogger

Hvordan identificerer du personen bag en hotmail-adresse?

Hvis A har en Hotmail-adresse og skriver en hilsen til sin ven B, så vil både A og B være i stand til at identificere personen bag Hotmail-adressen. Det behøver ikke være offentlig tilgængelig information.

Fx en unik identifikator i en Google Analytics-cookie er også en personoplysning, selvom Google ikke selv kan cookien den til en fysisk person. Men bare det at identifikatoren ligger i en cookie på en computer tilhørende en bestemt person, gør den til en personoplysning.

  • 6
  • 1
#7 Henrik Morell

Personoplysninger er oplysninger, der kan identificere en person (eller omvendt oplysninger om en person). At man ikke altid kan finde frem til personen ændrer ikke på det.

At man frivilligt afgiver oplysninger ændrer heller ikke på, om det er personoplysninger, og det er ikke noget problem, at det bliver gjort, men man skal blot overholde regelerne for behandling af de oplysninger. Længere er den vist ikke.

Hvordan man skal forholde sig til dit huseksempel, må du vist spørge en jurist om. Jeg ville gætte på, at du ikke må skrive navnet på Facebook, da det betragtes som hærværk, og at det vil være parallelt til sager om butikstyve. Så GDPR kunne også være relevant i den sammenhæng.

  • 3
  • 2
#8 Niels Larsen-Ledet

Hvis jeg med blyant og blokbogstaver skriver en barndomserindring fra jeg var 7 år i en gæstebog på en restaurant, er der altså tale om en personoplysning i GDPR-forstand, for kun jeg kan skrive den (du skriver jo "At man ikke altid kan finde frem til personen ændrer ikke på det", så det er ligegyldigt, at der ikke er nogen reel metode til at koble erindringen til netop mig).

Dermed er restauranten vel forpligtet til at destruere gæstebogen ifølge GDPR. Hvor lang tid har restauranten til det?

Dette er naturligvis et hysterisk eksempel, men jeg synes, at hysteriet starter allerede ved at mene, at en liste over frivilligt afgivne mailadresser og tidsrum uden anden identifikation end selve mailadressen er personoplysninger i GDPR-forstand. Hvor er jeres juridiske belæg for at mene det? Jeg synes, det ligner 'synsninger', hvor enhver anden mening kan være lige så valid, men en konkret reference til et overbevisende belæg vil hjælpe.

  • 2
  • 9
#10 Dennis Benneballe Grade

Din IP-adresse er også en personoplysning. Ja, selv en eksamensopgave er blevet kategoriseret som personoplysning (og her skal der påpeges, at eksamensopgaverne var renset fuldstændig fra navn o.lign.) Eksamensopgavens selve besvarelse er en personoplysning, da der kan udtrykkes personlige holdninger og tænkemåder og mere. Og det er der endda en Datatilsyn-dom på.

Dermed er restauranten vel forpligtet til at destruere gæstebogen ifølge GDPR. Hvor lang tid har restauranten til det?

Restauranten må opbevare denne gæstebog så længe som de har angivet at det gør i deres persondatapolitik. Gør de ikke det, bryder de oplysningspligten. Og når de ikke længere har et formål, skal det slettes.

Derfor undrer jeg mig også gevaldigt, når folk skriver deres personoplysninger på en seddel og smider denne seddel i en papkasse hos deres lokale Spar, fordi de håber på at vindeet eller andet i en lodtrækning, og derved glemmer at der altså er noget som hedder GDPR, databeskyttelseslov, etc. (givet denne fiktive Spar ikke gennemgår deres persondatapolitik med alle deltagere i lodtrækningen).

Vi lever i en ny verden - du kan komme med nok så mange "hysteriske" eller andre eksempler på, hvordan GDPR kunne lyde mærkeligt set fra en gammeldags perspektiv. Men ja, internettet lød også som en mærkelig størrelse inden det blev lanceret, men det har vi også kunne tilpasse os til.

Det handler vel om at disse restauranter, hvor man kan skrive sig op hos ifm. Corona, opfylder alle krav til a) at kunne indsamle data, b) at kunne behandle data, c) at slette data. Så de har brug for en persondatapolitik, mere ikke. Og skulle de bruge nogle services som får adgang til disse data, ja så skal der en databehandleraftale til. Og så helst også en procedure for sletning af persondata, samt nogle sikkerhedsforanstaltninger til at sikre, at integriteten, tilgængeligheden og fortroligheden ikke krænkes.

Ikke så svært jo :-)

  • 3
  • 2
#11 Dennis Benneballe Grade

Jeg synes, det ligner 'synsninger', hvor enhver anden mening kan være lige så valid, men en konkret reference til et overbevisende belæg vil hjælpe.

Her vil jeg nok referere til GDPR samt de adskillige domme fra de nationale tilsynsmyndigheder i Europa. Og der er ingen tvivl hos nogen, at mail-adresser helt klart er en personoplysning. Selv hvis det er info@virksomhed.dk, hvor der sidder måske flere folk bag, så er det stadig en personoplysning. Læs gerne nogle af Datatilsyns sager, nyheder, vejledninger, etc.

Men ja, som angivet foroven, så er der en sag fra Datatilsynet om at nogle forskere har videregivet anonymiserede versioner af eksamensopgaver fra et gymnasie til andre forskere. Dette så Datatilsynet som en overtrædelse af GDPR, da besvarelsen stadig er en personoplysning.

  • 4
  • 0
#12 Silvio Condric

Når du opretter en E-mailkonto, så får du jo lov til selv at vælge hvad den skal være. Derfor er den også personlig, i og med, at du ikke vil være i stand til at finde samme mailadresse hos en anden person. Du vil nok finde en meget lignende mailadresse hos andre personer, men E-mailudbydere vil aldrig tillade at have 2 ens E-mailadresser til 2 forskellige personer / brugere.

En anden ting som gør din E-mailadresse personlig, er netop indholdet af alle samtlige mails du får. Tænk på det sådan her: Når en IT-kriminel får adgang til din E-mailkonto, så kan det også betyde at vedkommende kan finde informationer om dig, samt at han kan danne sig et billede af hvordan du er som menneske, gennem samtlige mails du har sendt og modtaget - Og det giver mere målrettet social engineering :-)

  • 0
  • 3
#13 Niels Larsen-Ledet

Du tænker vel på sagen om, at Lectio uberettiget havde videregivet elevers (copyrightbelagte) opgaver til forskere - det var også ulovligt før GDPR, når man ikke havde fået elevernes tilsagn til at firmaet måtte bruge gymnasiernes/elevernes data til andet formål end det, de var afleveret til.

  • 3
  • 0
#14 Niels Larsen-Ledet

Jeg giver mig - det skal nok passe, at juristerne har lavet et makværk af det format, I beskriver. Man har et problem, som man så løser på en måde, der generer i alle mulige ligegyldige sammenhænge. På min skole har det været overvejet at fjerne klassebilleder af studenter fra 1948, og det var næppe den slags personoplysninger, der var formålet med GDPR.

At juraen er skuet hysterisk sammen betyder ikke, at det er fornuftigt. Denne tråd viser bare et lille hjørne af, hvordan GDPR generer. Man kunne klare sig med en regel om, at virksomheden ikke måtte gøre noget for at identificere personerne ud fra mailadresserne, og dermed ville de kunne afleveres helt anonymt.

Vi bliver også allesammen tvunget til at spilde tiden med at besvare det samme trivielle spørgsmål om cookies ved hver eneste opslag på en hjemmeside på grund af regler med overkill, ligesom GDPR er overkill. Effekten er den modsatte af den ønskede - alle godkender bare, fordi man ikke kan sætte nogle minutter af til at analysere den enkelte sides politik. Hvis man tillod, at brugeren kunne tillade en cookie fra en side, som forhindrede spørgsmålet på den side i et selvvalgt antal dage, kunne man sætte tid af til at overveje tilsagnet.

Ingen har endnu besvaret spørgsmålene om, hvor restauranterne skal få information om corona fra, eller hvorfor de skal bruge navnene.

  • 1
  • 1
#15 Christian Nobel

Når en IT-kriminel får adgang til din E-mailkonto ....

Og det er så lige en antagelse at fordi man har en email konto, så er der nogen der kan få adgang til den?

Betyder det så også at verden var et voldsomt farligt sted i gamle dage, fordi man tilfældigvis stod opført i telefonbogen - gik folk så ind i ens hus (pga. telefonnummeret) og ribbede hytten?

Alle slag skal vælges med omhu, men der må altså også være grænser for hysteriet.

  • 2
  • 3
#18 Silvio Condric

"Og det er så lige en antagelse at fordi man har en email konto, så er der nogen der kan få adgang til den?"

Det er ikke en antagelse. Det er noget som sker hver dag. Folk bliver udsat for phishing angreb hver dag :-)

  • 0
  • 3
#19 Niels Madsen

I gamle dage kunne man uden besvær selv vælge om man ville stå i telefonbogen på tilmeldingsformularen. Man kunne også vælge om hele ens navn og adresse skulle fremgå eller kun efternavn. I gamle dage kunne man få en telefon uden at teleselskabet ville drømme om også at kræve cpr nummer. I gamle dage kunne telefonselskabet ikke drømme om at vidresælge abonnentens personoplysninger til marketingsbureauer og analysefirmaer i ind- og udland.

  • 5
  • 1
#21 Christian Nobel

Det er ikke en antagelse. Det er noget som sker hver dag. Folk bliver udsat for phishing angreb hver dag :-)

Det var ikke det du skrev, du skrev:

Når en IT-kriminel får adgang til din E-mailkonto, så kan det også betyde at vedkommende kan finde informationer om dig, samt at han kan danne sig et billede af hvordan du er som menneske, gennem samtlige mails du har sendt og modtaget

Og det er altså noget helt, helt andet, for her antager du at en person har adgang til selve mailkontoen.

Problemet med phishing er et langt stykke af vejen af teknisk karakter, og kan minimeres med fornuftig email opsætning samt, hvilket Digitaliseringsforstyrrelsen effektivt har forpurret, digital signering.

  • 2
  • 2
#22 Dennis Benneballe Grade

Det er nok heller ikke din skoles gamle fotografier, nogen har været interesseret i, da man lavede GDPR.

Man skal ikke tænke på, hvor mange der "generes" af bedre persondatasikkerhed. Man skal huske, at data er ved at blive mere værd end nogensinde før, og samtidig mere tilgængelig en nogensinde før. Det handler lige så meget om fremtidssikring, som at sikre data her og nu.

Selvom nogle måske synes, det er generende, så er de fleste ret enig i, at dette kommer til at gavne os i kampen om privatlivets fred. Privatlivets fred er stadig en del af både menneskerettighedskonventionen, grundloven og flere andre grundlæggende lovgivninger. GDPR er i mine øjne en lov, der er lavet til at belyse, at vi har brug for nogle internationale ordninger til at sikre, at Kina, Rusland, USA, eller andre store spillere, eller organisationer med kriminel henseender, ikke får mere indflydelse over europæiske borgere, end Europa og dets nationer. Og samtidig at lægge op til en minimumsstandard, som skal sikre, at data ikke bliver misbrugt, når det forlader vores hænder.

Ja, nogle gange kan GDPR være lidt besværlig - men fortæl mig at SKAT ikke ligeledes er til besvær, og trodsalt betaler vi alle SKAT og gør det med den viden, at det gavner os.

GDPR er lidt ligesom racisme. Førhen har man ikke skænket det en tanke, når man brugte racistiske ord, men nu passer man lidt bedre på - så vi derved ikke kommer til at skade nogen med vores egen lemfældig omgang.

Vi må se at få holde kritiske holdninger til datasikkerhed, i stedet for at smide rundt med data som om vi prøver på at lokke den næstbedste hacker til at stjæle ens data eller udgive nogle data, som man ikke ønsker udgivet.

Bare tænk på følgende: ønsker du at skulle betale løsepenge? Jeg formoder, at du ikke ønsker det. Men for at kunne forhindre at blive afpresset, kan man kun se til, at man beskytter det, som man kan blive afpresset med.

Det handler ikke om, hvorvidt man stoler på Bone's, på ens lokale Spar-marked, eller på en opslagstavle i et offentligt sted, eller en foto-væg på en skole. Det handler om at data hurtigt kan deles med nogen, de ikke bør deles med. Og derfor skal man være skeptiske og påpasselige, når man videregiver personoplysninger... de kunne havne hos nogen, du ikke ønsker, skal få adgang til data om dig. Det handler om ens grundlæggende rettigheder som menneske ikke at kunne blive udsat for den fare der ligger i at andre har oplysninger om dig. Det handler om at føle sig tryg i hjemmet, udendørs, og i internettet. Det handler i bund og grund om at bevare friheden.

  • 4
  • 2
#23 Silvio Condric

Det kan muligvis godt ses som antagelse, men læs sætningen "Når en IT-Kriminel FÅR adgang" :-)

Men uanset hvad, så vil jeg godt sige at e-mail er personlig information, som jeg også prøvede på at sige med min første kommentar :-)

  • 1
  • 3
#24 Christian Nobel

Det kan muligvis godt ses som antagelse, men læs sætningen "Når en IT-Kriminel FÅR adgang" :-)

Jamen så oplys mig - hvordan FÅR en IT-kriminel så adgang?

Men uanset hvad, så vil jeg godt sige at e-mail er personlig information, som jeg også prøvede på at sige med min første kommentar :-)

Der er intet der forhindrer en i at have flere mailkonti - f.eks. til brug for "ikke personlige" ting.

  • 2
  • 2
#25 Silvio Condric

De kan få adgang ved at placere en malware, gennem en phishing mail, hvis en email-bruger trykker på den vedhæftede fil eller linket i phishing mailen :-)

Malwaren vil indhente mulige oplysninger, herunder e-mailadresser og passwords. Yderligere kan det være muligt for it-kriminelle at aflæse auto-save informationer, gennem malwaren, hvis email-brugeren bruger denne funktion på sin webbrowser :-)

  • 0
  • 2
#26 Christian Nobel

Og hvorfor bruger folk ikke bare smittestop-appen, som netop tager privatliv seriøst?

Ja hvorfor mon:

https://www.version2.dk/artikel/hver-ottende-corona-smittet-bruger-smitt...

Registrering af email/telefonnummer på diverse restaurationer og lignende steder er jo decideret tåbeligt.

Det da på ingen måde det er, det er da den bedste måde at lave manuel smitteopsporing på - men det er klart at det fordrer at etablissementet kun bruger oplysningerne til dette formål, og løbende sletter dem efter ca. 3 uger, når man ved at måleperioden er smittefri.

Og før man går for meget i selvsving, så giver man altså selv tilsagn, al den stund:

"Den nye løsning bliver frivillig for gæsterne at bruge"

  • 1
  • 2
#27 Dennis Benneballe Grade

[quote]Der er intet der forhindrer en i at have flere mailkonti - f.eks. til brug for "ikke personlige" ting.[/quote

Ja, det er rigtigt. Men det betyder ikke, at alle disse mail-konti ikke er oprettet af dig, derfor er de personhenførbare.

Det er jo dig, der opretter mail-kontoen. Og det ved din mail-provider. Du har dit password, du har dit brugernavn, og du har logget ind med den IP, som du har. Du tjekker mails, og derfor er der to menneskelige øjne placeret i en persons hoved, der kigger på det, nogen har sendt dig. Alene det betyder, at hvis nogen har de oplysninger, så kan de potentielt lokke dig til at gøre noget, fx klikke på et link, opsnappe data om dig, etc hvilket gør det til en personhenførbar oplysning.

Selv når du opretter fra en offentlig pc (hvor der vil være logs og adgangsstyring) eller en vens pc (hvor det er din vens IP), så er mail-adresser altid personoplysninger.

Mail-konti bliver ikke oprettet for robotters skyld. Uanset om det er en organisation bestående af konstant skiftende medlemmer, der opretter 100 mailadresser som alle har adgang til, så vil det STADIG være en personoplysning. Det vil altid være spor tilbage til den person/de personer, som opretter mailkontoen, eller som bruger mail-kontoen.

Det er der ikke så meget at rafle om. Det er fastsat.

  • 2
  • 2
#28 Martin Bøgelund

Betyder det så også at verden var et voldsomt farligt sted i gamle dage, fordi man tilfældigvis stod opført i telefonbogen - gik folk så ind i ens hus (pga. telefonnummeret) og ribbede hytten?

I gamle dage stod ens navn endda sammen med nummeret. Nu har GDPR åbenbart gjort det til en farlig personoplysning, at telefonnummeret står på en seddel uden navnet ;-)

Med forbehold for at "gamle dage" betyder noget andet for jer end det gør for mig: I "gamle dage" havde man ikke samme muligheder for at massebehandle informationer som man har nu. Og som en følge deraf er det også blevet billigere at massebehandle information. Også for dem der begår chikane, berigelseskriminalitet, mv. Desuden er der sket en teknisk globalisering, uden at der nødvendigvis er sket en juridisk tilpasning til dette, og derfor er der efterhånden bygget mere forhåndsbegrænsende forebyggelse ind i vores lovgivning, fremfor som før, hvor forebyggelsen bestod i at der var gode muligheder for pågribelse, og for at udmønte en straf. Mere og mere af vores økonomi og flere af vores aktiviteter er også flyttet over i den digitale verden, hvor ækvivalenterne til låse, pigtråd, stål, beton, og skydevåben ikke rigtigt har manifesteret sig helt endnu, og afværgning og afskrækkelse derfor må ske på anden vis end "i gamle dage".

  • 2
  • 1
#30 Henning Wangerin

Og hvorfor bruger folk ikke bare smittestop-appen, som netop tager privatliv seriøst?

Fordi der er rigtigt mange som ikke KAN bruge den, da deres telefon ikke understørtter den.

Registrering af email/telefonnummer på diverse restaurationer og lignende steder er jo decideret tåbeligt.

Tåbeligt at gøre det i et online-system. Har de styr på sikkerheden? Hvem kan se de pågældende data? Kan vi være sikre på at de bliver slettet?

I tyskland har der været en del debat om lige netop det emne, og mange stede skal man derfor udfylde et stykke papir med data.

Jeg kender et sted hvor de ved lukketid samle dagens formularer sammen i en kuvert, hvorpå der skrives dato. Efter X dage bliver kuverten så destrueret, hvis ikke der har været bud efter indholdet. (Har de ikke haft endnu - heldigvis)

Ja. Mange vil kalde det low-tech, gammeldags og meget andet, men det bliver ret svært at hacke sådan et setup.

/Henning

  • 3
  • 2
#33 Christian Nobel

Mailadresser er defineret som en almindelig personoplysning.

Ifølge dit link:

"Hvis det er muligt at identificere en person på nogen som helst måde via en information, så er dette en personoplysning."

Så hvis jeg opretter en mailadresse hos en given mailudbyder, der ikke stiller krav til at vide hvem jeg er, og adressen f.eks. hedder plingplangdynamolygte@mailudbyderitimbuktu.com, hvordan vil du så være i stand til at identificere mig ud fra det?

Og ud fra ovenstående, så må udsagnet:

Selv hvis det er info@virksomhed.dk, hvor der sidder måske flere folk bag, så er det stadig en personoplysning.

altså anses for ikke at være korrekt.

Personoplysninger kan være email adresser, men det er ikke det samme som at sige, at derfor er email adresser (nødvendigvis) det samme som personoplysninger.

Herudover så håber jeg virkelig at folk bruger deres kræfter lidt bedre, end at forarges over at gæster på restauranter frivilligt (dvs. opt-in) tilmelder sig med en emailadresse som sågar kan være opfundet til formålet for at kunne få notifikation hvis der har været et smitteudbrud på det pågældende tidspunkt.

Hvor mange af hyklerne her er ikke på Fæcesbog?

  • 1
  • 3
#34 Silvio Condric

Ifølge dit link:

"Hvis det er muligt at identificere en person på nogen som helst måde via en information, så er dette en personoplysning."

Så hvis jeg opretter en mailadresse hos en given mailudbyder, der ikke stiller krav til at vide hvem jeg er, og adressen f.eks. hedder plingplangdynamolygte@mailudbyderitimbuktu.com, hvordan vil du så være i stand til at identificere mig ud fra det? Og ud fra ovenstående, så må udsagnet:

Selv hvis det er info@virksomhed.dk, hvor der sidder måske flere folk bag, så er det stadig en personoplysning.

altså anses for ikke at være korrekt.

Sidstnævnte vil jeg godt give dig ret i :-) Men husk, at gdpr omhandler borgere(os), og derfor kan nogle email-adresser anses som personlige oplysninger, da de lige netop tilhører os selv. Hver E-mailadresse er "unik", og kan derfor ikke tilhøre andre end dig selv :-)

  • 1
  • 1
#35 Martin Bøgelund

Så hvis jeg opretter en mailadresse hos en given mailudbyder, der ikke stiller krav til at vide hvem jeg er, og adressen f.eks. hedder plingplangdynamolygte@mailudbyderitimbuktu.com, hvordan vil du så være i stand til at identificere mig ud fra det?

Tag et kig på dette svar på spørgsmålet "Hvad er personoplysninger?": Personoplysninger er enhver oplysning, der vedrører en identificeret eller identificerbar levende enkeltperson. Forskellige oplysninger, der sammen kan føre til identifikation af en bestemt person, udgør også personoplysninger.

Du har har her på siden netop koblet din person til email-adressen plingplangdynamolygte@mailudbyderitimbuktu.com, og derved selv gjort den personhenførbar - principielt, ihvertfald.

Du kan sagtens få det til at se fjollet ud her i debatten, og jeg forstår også din argumentation, Christian. Det er bare sådan mekanikken i personhenførbarhed fungerer. Humlen er jo at du typisk vil få en bekræftelsesmail til den email-adresse du angiver, for at sikre at det rent faktisk er dig man rammer ved at skrive til den. Og så har du personhenførbarheden.

I den anden ende - altså dem der anvender email-adressen til at henvende sig til dig - er der også et krav om at man har styr på sine data, så virksomheder og offentlige institutioner har faktisk en bunden opgave i at sikre at din email-adresse rent faktisk er personhenførbar til netop dig, hvis du har angivet den som din email-adresse ifm eksempelvis en brugeroprettelse.

Men jeg vil vove det ene øje, og udtale mig om noget jeg ikke har konkret viden om: Jeg tror ikke politikerne havde hverken dig eller mig i tankerne da de skrev lovgivningen om personhenførbarhed. De har ganske almindelige borgere i fokus, dem der har én email adresse som de bruger til alt, og ikke har en dybere interesse i mekanikken bag email-systemet og hvor enkelt det er at masseproducere fjollede email-adresser. Så når denne ene email-adresse er ganske almindelige borgeres ident hos Facebook og Google, og er dén de får notifikationer på om digital post i e-boks, så skal den naturligvis beskyttes, både af hensyn til individet, men også som beskyttelse af hele setup'et omkring digital kommunikation og identifikation.

For email-adresse-systemet tilhører ikke nogen, og er globalt kendt og forstået. Hvis den almindelige borger mister tilliden til sin indboks, og stiger over på firma-specifikke identer og kommunikationssystemer udbudt af Facebook, Google og Alibaba, risikerer vi en fragmentering af hele online kommunikations- og identifikations-setup'et, for så skal man pludselig have én af hver af disse identer for at komme ind på de sider, der tilfældigvis bruger dét. Og resultatet vil være at vi i stedet for den frie og åbne standard omkring email og emailadresser, står med et oligopol af 2-3 amerikanske firmaer + måske 1 kinesisk og 1 indisk, på ident- og kommunikationssiden. Eller endnu værre, hundredevis af nationale specialløsninger der ikke taler sammen.

Derfor giver det mening at yde en ekstra beskyttelse af email-adresser som værende personoplysninger, selvom der ganske rigtigt er masser af eksempler på at det ikke altid behøver være sådan.

  • 4
  • 0
#36 Dennis Benneballe Grade

Personoplysninger kan være email adresser, men det er ikke det samme som at sige, at derfor er email adresser (nødvendigvis) det samme som personoplysninger.

Alle mail-adresser er personoplysninger. Der er ingen mail-adresse, som ikke er en personoplysning. Får du som person eller virksomhed stukket en fremmed mail-adresse i hånden, skal du behandle den som persondata.

Som jeg skrev tidligere her i tråden, så er der ALTID mindst ÉN person bag en mail-adresse, dvs. den person, der ejer mail-adressen i sidste ende.

Skriver du en truende mail igennem denne mail-adresse til en statsleder, kan du stole på at man prøver at finde personen bag mail-adressen.

Robotter sender ikke mails af deres egen vilje. Så der må under alle omstændigheder altid være mindst én identificerbar person bag en mail-adresse. Derfor er alle mail-adresser personoplysninger.

Det kan ikke gradbøjes.

Og som Martin hentyder til i ovenstående, så er loven skrevet til både at give individet flere rettigheder og friheder, men også give flere pligter overfor dem, der har oplysninger på individer. Og så er det ikke spørgsmålet, om du personligt synes, at dine oplysninger skal beskyttes. Alle personoplysninger skal beskyttes.

Så hvis jeg opretter en mailadresse hos en given mailudbyder, der ikke stiller krav til at vide hvem jeg er, og adressen f.eks. hedder plingplangdynamolygte@mailudbyderitimbuktu.com, hvordan vil du så være i stand til at identificere mig ud fra det?

Tro mig, det er muligt :-) Du skal blot kigge på, hvordan brugen af mail-adressen er. Eller noget så simpelt som at spørge, hvem der kender adgangsoplysninger til kontoen. Der må jo være nogen :-) Din mail-udbyder vil jo også skulle identificere dig som person ud fra a) din mail-adresse, b) din kodeord. Så de to parametre - for sig selv og som helhed - er personoplysninger. Ellers vil det være lidt svært at lade dig komme til at læse dine mails, hvis ikke din mail-udbyder succesfuld har kunne identificere dig... (og at give dine loginoplysninger væk, gør det ikke mindre til en personoplysning - man kan også dele fysisk adresse, og stadig er din adresse en personoplysning om dig).

Og jeg vil vove at påstå at der ikke er nogen, der ikke i det mindste under oprettelsen logger en IP adresse... og IP'er er jo også personoplysninger.

  • 3
  • 1
#37 Ivan Munk

Ja, hvis Smittestop var tilstrækkeligt udbredt, var den jo løsningen. Men Netcompany og Digitaliseringsstyrelsen missede at lave den interessant nok. Gaming-delen "hvor mange andre med app´en har jeg været sammen med i dag i de 15 min" blev sparet væk (læs evt https://www.cxo2.dk/corona-app-kaploebet/)

Men skal vi ikke sænke paraderne for papir-registrering som foreslået. De har gjort det i GDPR-tunge Tyskland i mange måneder. Restauranterne i Tyskland kræver man udfylder sedlen, og påser at det gøres . Og man kan vide hvem der var på restauranten i samme timer, men ikke hvem man var sammen med ved bordet.

Det er i samfundets - og vores egen - interesse, at blive advaret hvis man har været tæt på en smittet person.

  • 2
  • 2
Log ind eller Opret konto for at kommentere