Se eksemplerne: Absurde og groteske implementeringer af GDPR

EU's persondataforordning har haft et par utilsigtede resultater.

Sidste fredag trådte EU’s nye persondataforordning, GDPR, i kraft. Det er meningen, at den skal styrke europæiske borgeres digitale rettigheder - men den har altså også resulteret i nogle absurditeter. Flere er nærmest groteske.

Som Version2 har omtalt, har en del amerikanske medier lukket helt ned for europæiske brugere.

Og alle netbrugere er blevet tæppebombet med emails om, hvordan internettjenester overholder GDPR - eller er blevet bedt at om at afgive et nyt samtykke. Ofte uden at det er nødvendigt, kunne vi fortælle.

Men der er også mere absurde eksempler på implementering af GDPR, som eksempelvis nedenstående billede fra et sted i Tyskland viser:

'GDPR. Obs! Her bliver der fotograferet. Vær venlig altid at have en rød prik i panden, hvis du ikke vil fotograferes, så vil du bliver gjort ukendelig på billederne. Illustration: Screendump, digi.no

GDPR Hall of Shame

Freelance-udvikleren Owen Williams har etableret en blog kaldet GDPR Hall of Shame for at gøre opmærksom på andre af de mest groteske eksempler:

»Det er eksempler på implementeringer, som er meget halvhjertede og som slet ikke løser problemet med pesondata,« siger han til The Motherboard.

Et af de mere grelle er mikroblogger-sitet Tumblr, som beder brugeren om at gennemgå en liste med 250 checkbokse

Andre eksempler taler for sig selv:

Illustration: Screendump / Zoom

Hvad vælger du - flere nyhedsbreve eller flere nyhedsbreve?

Facebook genindfører ansigtsgenkendelse i EU

Facebook har også reageret pudsigt. Reaktioner fra persondataaktivister førte i 2012 til, at Facebook deaktiverede sin ansigtsgenkendelsesfuntion i EU og slettede alle tilknyttede data. Nu bruger Zuckerberg-selskabet GDPR som argument for igen at aktivere funktionen i EU.

Baggrunden er ifølge selskabet at sørge for, at dataene til Facebook-brugere er bedre sikret på denne måde. Funktionen skal imidlertid være valgfri.

Men de, som vil give biometriske data til Facebook, skal kunne bytte dataene mod følgende funktionalitet:

Brugeren modtager et varsel, når en tredjepart uploader et billede med ens ansigt. Det skal forhindre identitetstyveri, og at folk udgiver sig for at være en anden, end de er.

Hvis nogen uploader et billede af brugeren, hvor han/hun ikke er tagget, varsles brugeren. Så kan brugeren enten tagge sig selv eller bede vedkommende om at fjerne billedet.

Det skal være enklere for svagtseende at bruge Facebook. Det sociale medie scanner allerede billeder for at identificere genstande og så videre. Nu skal svagtseende og blinde også kunne se, hvem der befinder sig på et billeder, hvis de ikke er tagget.

Antisporings-værktøj udsendte e-mail med 500 personer i modtagerfeltet

En Twitter-bruger kunne fortælle om at have modtaget en GDPR-mail fra Ghostery – en browsertilføjelse, som skal forhindre, at brugere spores på tværs af hjemmesider – med 499 andre personer i modtagerfeltet.

Det ønskede tweet er blevet slettet eller kunne ikke findes.

En anden Twitter-bruger fortæller, at han fik en e-mail, som bad om samtykke klokken 10:29. Et minut senere fik han en ny e-mail som tak for samtykket. Ingen af e-mailene var åbnet.

Senere viste det sig, at hans antivirusprogram automatisk åbner alle links fra markedsføringsafsendere. Det tolkede afsender som et samtykke, selv om praksissen er en helt almindelig sikkerhedsprocedure.

Der meldes også om udbredt phishing, hvor svindlerne forsøger at blande sig i den store strøm af GDPR-mails. Det hævdes for eksempel, at man er forpligtet til at verificere sine kunders sensitive information, og så henvises der til artikel 8 i GDPR.

Mange af dem udgiver sig for at være Amazon, Ebay eller Paypal.

Denne artikel er fra digi.no.

Har du opdaget andre morsomme eller utilsigtede resultater af GDPR? Så skriv det i kommentarfeltet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (21)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Hvad flere stadig ser ud til ikke at have forstået er, at et samtykke skal være både aktivt og frivilligt. Hvis man ikke skal gøre noget for at give samtykket, fx ikke fjernet krydset i en boks, er det et passivt samtykke og ikke gyldigt. I eksemplet med Tumbler har de slet ikke noget samtykke, selvom folk klikker OK uden at fjerne noget.

Det samme gælder hvis det ikke er frivilligt. Man må fx ikke betinge et køb af at man giver samtykke til at modtage et nyhedsbrev.

  • 8
  • 0
Bo Andersen

Man behøver ikke gå længere end til den danske rendestenspresse for at møde absurditeter.

bt.dk (ansvarlig brug af dine data)
eb.dk (privatlivsvilkår)


Mht. samtykke og andet juridisk vrøvl, så kan man ikke bruge flere offentlige hjemmeside, med mindre man accepterer deres cookies. Tvangssamtykke, kan man vel kalde det.

  • 6
  • 0
Bo Andersen

Og version2 er ikke en skid bedre:

Vi bruger cookies til at tilpasse vores indhold og annoncer, til at vise dig funktioner til sociale medier og til at analysere vores trafik. Vi deler også oplysninger om din brug af vores website med vores partnere inden for sociale medier, annonceringspartnere og analysepartnere. Vores partnere kan kombinere disse data med andre oplysninger, du har givet dem, eller som de har indsamlet fra din brug af deres tjenester. Læs mere i vores cookiedeklaration.

  • 13
  • 0
Tobias Volfing

...
Version2.dk hverken benytter eller videregiver dine personoplysninger til markedsføringsmæssige formål, herunder til udsendelse af e-mails med reklameindhold, medmindre du udtrykkeligt har anmodet herom og accepteret dette.
...

Det lyder jo fornuftigt nok.

...
Version2.dk forbeholder benytter eksterne databehandlere, herunder udbydere af eksempelvis software, hosting, sociale og professionelle medier, backup, sikkerhed og opbevaring. Dine personoplysninger vil i så fald blive overladt til tredjeparter, der er instrueret af version2.dk til at behandle dine personoplysninger på version2.dk’s vegne og med de metoder, version2.dk har fastsat.
...

Det stykke forstår jeg ikke helt, men jeg tror her skal forstås at eksterne databehandlere behandler personoplysninger på vegne af version2.dk.

Så altså hvis version2.dk ikke videregiver mine oplysninger til markedsføringsmæssige formål, så må en databehandler heller ikke bruge det til markedsføringsmæssige formål?

...
Emediate (annonceafvikling)
Version2.dk benytter Emediate til at håndtere visning af annoncer. Du kan læse mere om Emediate og fravælge cookies her: http://classroom.emediate.com/doku.php?id=faq:emediate_privacy_policy

Teads (annonceafvikling)
Version2.dk benytter Teads til visning af video annoncer. Læs mere her http://teads.tv/

Facebook, Twitter & Google+ (social deling)
Version2.dk benytter widgets fra sociale tjenester som Facebook, Twitter og Google+ til at gøre deling og anbefaling af indhold muligt samt login. Disse widgets vil i flere tilfælde også sætte egne cookies.
...

...
Der kan desuden blive sat flere cookies, da de ovenstående kan have indgået aftaler med andre samarbejdspartnere, hvis cookies også bliver sat. Det gælder især for RTB (Real-time bidding) annonce-pladser, der bliver solgt i dynamiske netværk, som kan sætte mange cookies.
...

Nu er jeg forvirret. Version2 bruger ikke mine personoplysninger til markedsføringsmæssigeformål - Version2 benytter eksterne databehandlere - men dem kan vi stole lige så meget på som Version2 - alligevel kan de have indgået aftaler om real-time bidding? Hvordan har det ikke med markedsføring at gøre?

  • 7
  • 0
Mogens Hansen

Det er betryggende endnu en gang at observere graden af kildekritik som "journalisterne" på Version2 lægger for dagen, når de viderebringer Absurde og groteske ... løgnehistorier om, hvad der sker derude.

Helt ærligt. Den med folk der skal have en prik i panden er sku da så tyk, at selv min 8-årige nevø rynkede på panden af den.

  • 1
  • 0
Anne-Marie Krogsbøll

På DR kan man , så vidt jeg kan se, ikke vælge noget fra overhovedet - man kan bare sige "ok". Hvad bilder de sig ind - på en public service-kanal? Det troede jeg ikke var lovligt iht. GDPR.

Hvis det er det, synes jeg faktisk det er et ret begrænset fremskridt med GPDR. Så skal der i hvert fald søges mange indsigter for at tvinge dem på den måde...

  • 0
  • 0
Mark Klitgaard

På DR kan man , så vidt jeg kan se, ikke vælge noget fra overhovedet - man kan bare sige "ok". Hvad bilder de sig ind - på en public service-kanal? Det troede jeg ikke var lovligt iht. GDPR.

Uden at være inde i hvilke cookies DR bruger, så kan det være de f.eks. påkalder sig legitim interesse (artikel 6, 1, f) og derfor er det ikke muligt at vælge cookiesne fra.

Og det er så der nok kommer nogle sager om hvad der reelt er legitim interesse. Ud fra de forskellige tilgange til GDPR jeg ser rundt omkring, vil jeg mene at hvis man vil undgå tracking er adblocker m.m. stadig vejen at gå, for selvom trackingen måske ikke er lige så alt omfattende længere (i hvert fald hvis f.eks. Google Analytics er sat korrekt op), så er der stadig tracking.

  • 1
  • 0
Anne-Marie Krogsbøll

Tak for svar. Mark Klitgaard.

Ja, jeg er heller ikke sikker på, at der er noget egentligt ulovligt i det - det mener de i hvert fald ikke selv:

"DR’s hjemmeside dr.dk er anmeldt til Datatilsynet som en offentligt tilgængelig informationsdatabase og er således omfattet af bestemmelserne i lov om massemediers informationsdatabaser. Det betyder, at den behandling af personoplysninger, som er offentligt tilgængelige på dr.dk, er undtaget fra databeskyttelsesforordningen og databeskyttelseslovens bestemmelser.
https://www.dr.dk/service/drs-persondatapolitik"

Men det burde være ulovligt, efter min opfattelse. Hvad hjælper det, at man forbyder/begrænser private aktørers indsamling og profilering, hvis man i stedet giver offentlige institutioner ret til det samme?

*"Når du besøger dr.dk indsamler DR via cookies information om alle besøg på hjemmesiden. Disse informationer bruger DR til at forbedre din oplevelse, vurdere brugen af de enkelte elementer på dr.dk og til at understøtte vores udbud af det indhold, som du bliver præsenteret for på dr.dk.
DR registrerer via cookies data vedrørende dine bevægelser mellem forskellige sider og tjenester i dr.dk-universet. Disse oplysninger bliver ikke sammensat med personoplysninger, som du eventuelt selv har afgivet til DR, med mindre du har accepteret dette, f.eks. ved at benytte DR’s login.

DR bruger forskellige analyseværktøjer, såsom Adobe Analytics og Ensighten, der bistår DR med at indsamle statistiske oplysninger om brugen af dr.dk.

Der opsamles ligeledes oplysninger om din adfærd via cookies, når du anvender DR’s apps. "*

I mine øjne/ører lyder dette ikke anderledes end så mange private hjemmesider, der tracker - det lyder ikke mere nødvendigt for sidens fungeren, end det er for private.

Så hvis det er lovligt, så er der efter min opfattelse store huller i GDPR. Det var næsten også for godt til at være sandt.....

  • 1
  • 0
Jacob Christian Munch-Andersen

http://www.metacritic.com/ Har en liste fra helvede med alle de 3. parter som indsamler oplysninger, nogle af dem har en checkboks, mange af dem har kun et link til 3. partens hjemmeside, hvor man så formodentlig kan gøre noget tilsvarende, og en del kan man tilsyneladende ikke gøre noget ved.

De har også kreeret følgende geniale dialogboks:

Your browser is currently blocking 3rd party cookies. Many companies use 3rd party cookies to remember that you have opted out, so you will need to enable 3rd party cookies if you want all of the opt-outs on this page to work.

  • 2
  • 0
Dorthe Frøstrup

GDPR handler om PERSONDATA - det vil sige anonymiseret tracking har intet med persondata at gøre, hvorfor det ikke er noget problem. Kan ærligt heller ikke se problemet ud fra et bruger synspunkt?!
Login-procedurer kræver (på vores hjemmeside) cookie, det kan jeg heller ikke se problemet i, da brugeren jo selv har ønsket login og cookien ikke anvendes til andet end login.

Er vi ikke blevet en smule hysteriske omkring GDPR? Eller er det bare mig?

  • 3
  • 0
Christian Nobel

Er vi ikke blevet en smule hysteriske omkring GDPR? Eller er det bare mig?

Jeg må indrømme at jeg deler din mening, for der er en stor fare for at selve problemet forsvinder i støj.

For når "almindelige mennesker" bombarderes med meddelelser, hver gang de skal ind på en vilkårlig hjemmeside, så svarer de mere og mere ukritisk ja-ja-ja kan-vi-så-komme-videre, og dermed udvandes det hele - i i kølvandet står vi tilbage med at "de gode" skal lave alskens advarsler, mens "de onde" boltrer sig endnu mere med dataguf, fordi brugeren nu totalt har mistet overblikket.

Man kan sagtens lave en side uden at gemme en eneste cookie, eller i det hele taget gemme noget som helst om brugeren, så vi kunne håbe at vi går en tid i møde, hvor anstændige hjemmesider i stedet gør en dyd ud af intet at gemme om brugeren, og i stedet fokuserer på at levere et sobert indhold.

Og cirkusset har antaget groteske højder (man får næsten en fornemmelse af at det hele er iscenesat af advokatstanden, som jo har en fantastisk evne til at vride penge ud af folk, det uanset om der er tale om noget godt, eller noget skidt, bare de kan stikke sugerøret ned), som når f.eks.når Kaare Danielsen, direktør i Jobindex udtaler at man ikke kan sende en jobansøgning via mail, fordi:

»Fordi så sender man en ansøgning videre til en kollega, der måske printer den ud og lægger den på sit skrivebord. Og så har man ikke længere styr på sine persondata – og det skal man have ifølge den nye persondataforordning,«

Mage til gang vrøvl skal man da lede længe efter, for dels kan man jo sagtens lade en god gammeldags papiransøgning ligge og flyde på et skrivebord, eller man kan tage en fotokopi (bliver det næste forbud mod kopimaskiner, da de ikke overholder GDPR), ligesom man nok også sagtens kan lave en udskrift fra et sagsbehandlingsanlæg.

Det er jo fuldstændig grotesk at en frisør skal opbygge procedurer, handlingsplaner og fanden og hans pumpestok fordi hun har et kundekartotek med navn og telefonnummer på kunderne, samtidig med statsmagten er ved at opbygge et overvågningsprogram som Erich Honecker ikke engang havde forestillet sig i sin mest våde drøm.

  • 3
  • 0
Carsten Stenberg

Der findes ikke noget "anonymiseret tracking" på nettet.

Vi efterlader os spor i form af IP-adresser, browserdata mm, og dette kan sammen f.eks. med tracking fra websites, hvor du identificerer dig.

Og så vidt jeg kan se går de færrest kommentarer på brugen af cookies til login, men at "nødvendige" cookies inkluderer trediepartscookies, samt at brug af diverse cookies er tilvalgt som standard eller slet ikke kan fravælges (som f.eks. den amatøragtige modaldialog Version2.dk/Ing.dk benytter).

  • 2
  • 0
Anne-Marie Krogsbøll

GDPR handler om PERSONDATA - det vil sige anonymiseret tracking har intet med persondata at gøre, hvorfor det ikke er noget problem. Kan ærligt heller ikke se problemet ud fra et bruger synspunkt?!Login-procedurer kræver (på vores hjemmeside) cookie, det kan jeg heller ikke se problemet i, da brugeren jo selv har ønsket login og cookien ikke anvendes til andet end login.


Der må jo være en grund til, at disse cookie-dialogbokse dukker op netop nu - nemlig at de har med persondata at gøre.

Hvis det er - og vedbliver at være - anonym tracking, så nej, det er jo ikke et problem (tror jeg). Men som jeg har forstået det, så er det stort set umuligt at holde den slags anonymt ret længe, hvorefter det indgår i profilering etc.

DR's cookies lyder for mig ikke nødvendigvis anonyme (jeg kan tage fejl). Et eksempel:
"_ ga" - Registrerer et unikt ID, der anvendes til at føre statistik over hvordan den besøgende bruger hjemmesiden. - bliver liggende i 2 år. https://www.dr.dk/service/cookiepolitik

Lyder det ikke som tracking af samme gæst i over to år? Og hvis man så oven i købet har oprettet sig af en eller anden grund, så forstår jeg det på den måde, at der så trackes personhenførbart.

Er det mig, der har misforstået dette?

"Man kan sagtens lave en side uden at gemme en eneste cookie, eller i det hele taget gemme noget som helst om brugeren, så vi kunne håbe at vi går en tid i møde, hvor anstændige hjemmesider i stedet gør en dyd ud af intet at gemme om brugeren, og i stedet fokuserer på at levere et sobert indhold."

Ja, netop ....

Jeg kan så se, at hvor jeg i morges ikke kunne fravælge noget på DR.dk (de grønne hak kunne ikke fjernes), så kan jeg faktisk nu fravælge de ikke-nødvendige cookies - og det gør jo en stor forskel.

  • 0
  • 0
Jacob Christian Munch-Andersen

Der findes ikke noget "anonymiseret tracking" på nettet.

Der er rigtigt mange forskellige måder at tracke på. Et afgørende punkt er at man som dataindsamler ikke er tvunget til at gemme data, blot fordi de er tilgængelige, eksempelvis IP-adresser er lette at logge, og hvis brugeren er logget ind er det let at koble et bruger-id på en session.

Men man kan fint undlade at indsamle sådanne oplysninger og gemme sessionsdata hvor der hverken er ip, bruger-id, location, browser-indstillinger eller noget som helst andet som kan kæde de enkelte sessioner sammen med hinanden eller data som andre har indsamlet. Det kræver primært at man har dette mål for øje når systemet designes.

Men ja, almindelig tracking nu til dags er typisk designet til at gemme alt hvad gemmes kan, det er en designfilosofi som der skal laves om på.

  • 2
  • 0
Anne-Marie Krogsbøll

Det er jo fuldstændig grotesk at en frisør skal opbygge procedurer, handlingsplaner og fanden og hans pumpestok fordi hun har et kundekartotek med navn og telefonnummer på kunderne, samtidig med statsmagten er ved at opbygge et overvågningsprogram som Erich Honecker ikke engang havde forestillet sig i sin mest våde drøm.


Enig lige her - hvis altså frisøren kun lige opbygger kartoteket med det
nødvendige, og i øvrigt holder oplysningerne for sig selv. Men det er vel lidt her, hunden ligger begravet - at data har det med at gå videre til alle mulige, som ikke nødvendigvis har noget med ens frisure at gøre. Og så kan de via samkøring pludseligt blive "følsomme"

  • 0
  • 0
Gert Madsen

at data har det med at gå videre til alle mulige, som ikke nødvendigvis har noget med ens frisure at gøre


Lige nøjagtigt.
Min frisørs web består af 3 meget simple sider.
Der er ingen grund til at den er inficeret med statistik-indsamling.
Jeg er ikke ganske sikker på at det sendes videre, men det er ganske sandsynligt.
Frisør vil ikke ane hvad det handler om, så det er web-side leverandøren, som har sat det ind.

  • 2
  • 0
Christian Nobel

Enig lige her - hvis altså frisøren kun lige opbygger kartoteket med det
nødvendige, og i øvrigt holder oplysningerne for sig selv.

Jo jo, men hvis der er tale om noget der ikke en gang er sluttet strøm til, så kan absurditeten og misinformationen jo ende i noget som fremstår som taget ud af en Finn Søeborg novelle:

https://www.dr.dk/nyheder/regionale/fyn/frisoer-om-ny-persondatalov-det-...

Det er den slags latterligheder der er med til at underminere hele hensigten med GDPR, især i lyset af hvad magthaverne alligevel gør, godt skjult i mørkelygtens bekvemme skær.

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize