Geoinformatik-direktør: »EU's persondataforordning vil ødelægge big data-forretning«

Med big data og geografisk kodning kan man effektivisere salgsindsatser, den offentlige transport og blive smartere til byplanlægning. Men det er innovativ teknologianvendelse, som i fremtiden bliver umulig med ny EU-forordning, anfører selvstændig it-direktør.

Den nye EU-persondataforordning, som man forventer bliver vedtaget om få måneder, vil for alvor sætte en kæp i hjulet på udvikling af big data-løsninger.

Sådan lyder kritikken fra Martin Glarvig, der er geograf og master i geoinformatik, og som for 13 år siden stiftede udviklings- og videncenteret Geomatic, der er specialiseret i geoinformatik-løsninger. Virksomheden har i dag 35 ansatte i København samt ansatte i Norge, Sverige og Finland.

»Hvis den nye EU-forordning bliver for restriktiv, bliver det overordentligt svært for virksomheder at styrke deres forretning ved at bruge data om kunder til analyse, udvikling og markedsføring,« siger han.

Forordningen indeholder formuleringer om blandt andet forbrugerens ret til at blive glemt og de rammer, som indsamling og behandling af persondata skal foregå inden for.

Det kan ifølge Martin Glarvig skabe omfattende restriktioner for virksomheder i Danmark og resten af EU, mens resten af verden går fri.

I det udkast til forordningen, der forelå i oktober, fremgik det, at al persondata udelukkende må indsamles til ét meget specifikt og legitimt formål, at de kun må behandles inden for disse rammer og være nødvendige til dette formål.

Desuden forudsætter al indsamling og behandling af persondata et eksplicit og aktivt samtykke til disse formål fra den registrerede.

»Hvis forslaget bliver vedtaget med en sådan formulering, vil ingen være i stand til at indsamle data til de behandlingsmuligheder, som vi i dag ikke kender til. Hvem havde for et par år siden tænkt på, at vi med big data og geografisk kodning kunne effektivisere salgsindsatser, den offentlige transport eller blive smartere til byplanlægning,« spørger Martin Glarvig retorisk.

Netop sådanne anvendelser er baseret på data, som umiddelbart ikke blev indsamlet med den hensigt. Men fordi data var til rådighed, har man kunnet gennemføre analyserne og innovationen.

»Hverken den registrerede eller den dataansvarlige virksomhed kan i et specifikt formål beskrive, hvilke muligheder der vil være i fremtiden. Samtykket ville dog være afkrævet, hvorfor risikoen ville være en ny opfordring til at give samtykke hver dag,« siger Martin Glarvig.

Retten til at blive glemt

Dataforordningen, som den foreligger nu, beskriver desuden den registreredes ret til at blive glemt. Det klinger for mange fint med, at fortiden ikke skal kunne indhente den enkelte på en måde, som man finder ubehagelige eller uretfærdig.

Men det åbner samtidig ifølge Martin Glarvig en mulighed for, at meget data bliver slettet, så man i fremtiden kommer i en situation, hvor der ikke findes et solidt grundlag til forskning – hverken bagudrettet til at lære af historien eller fremadrettet til at være innovativ.

Læs også: Har du styr på organisationens persondata og din DPO? Gigabøder ved datalæk er på trapperne

Derfor er det ifølge ham vigtigt at advokere for, at når en person gerne vil blive glemt og har legitime grunde dertil, bliver persondata anonymiseret men ikke slettet.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Det er en gammel sandhed, at der altid er nogen, som er villige til at bruge andre folks penge, og her ser vi så, at det også gælder for andre folks data.

Når man sætter den begrænsning, at data kun skal bruges til det formål, hvormed de er indsamlet, så er det netop fordi, at man ikke kan forudsige, hvad de ellers vil kunne blive brugt til, af gode og onde formål. Når vi siger ja, så er det ikke til alt i al fremtid, og vil du mere, så må du spørge igen.

Derfor er det ifølge ham vigtigt at advokere for, at når en person gerne vil blive glemt og har legitime grunde dertil, bliver persondata anonymiseret men ikke slettet.

Som tidligere nævnt, så er anonymisering et meget lille og utilstrækkelig fignenblad at gemme sig bag. Vi ser til stadighed kedelige eksempler på af-anonymisering af data, som man troede var sikret. Det er ikke en risiko, som jeg vil lade dig tage på mine vegne - det er ikke dig, som har noget at tabe ved utilstrækkelig anonymisering; det er mig!

  • 13
  • 0
Thomas Hedberg

En stor del af ovenstående er allerede i effekt i dag og har været det i over 15 år, så det er absolut ingen nyhed. Det primære nye er at der nu er ordenlige sanktioner på vej, så ulovligt brug af persondata forhåbenligt kan stoppes.

Tusinde tak til EU og lovgiverne for at have mod til at etablere lovgivningen dengang og endnu mere for at forstærke den i dag. Den handel med persondata som man ser i USA ville jeg personligt meget nødigt have i EU.

  • 16
  • 0
Michael Hansen

»Hvis den nye EU-forordning bliver for restriktiv, bliver det overordentligt svært for virksomheder at styrke deres forretning ved at bruge data om kunder til analyse, udvikling og markedsføring,« siger han."

Ser ikke noget negativt i ovenstående, hvis virksomheder vil styrke deres forretning, så gør det uden at krænke kundernes ret til et privatliv.

"Men det åbner samtidig ifølge Martin Glarvig en mulighed for, at meget data bliver slettet, så man i fremtiden kommer i en situation, hvor der ikke findes et solidt grundlag til forskning – hverken bagudrettet til at lære af historien eller fremadrettet til at være innovativ."

Vi så det med DAMD, nej tak, ting skal slettes når man beder om det, end of discussion.

  • 10
  • 1
Kevin Johansen

Hvis man ellers gad læse den danske persondatalov, ville man opdage at der på intet tidspunkt omtales anonymitet; derimod omfatter loven personhenførbarhed, som er noget HELT andet en anonymitet.

Hvis loven omfattede anonymitet, ville en IP adresse ikke være omfattet af loven. Det er den, netop fordi man med snablen i teleudbyderens data kan fremsøge personlige data.

Hvis man udtaler sig om persondatalovgivning, bør man som minimum have en forståelse for begreberne i loven.

Men det kan være man har ladet sig inspirere lidt for meget af USA, hvor anonymitet er sidestiller med personhenførbarhed.

Iøvrigt, min personlige holdning er, at alle data stammende fra "juridisk eksisterende personer" (hvilket udtryk!) er personhenførbare, da man ALTID kan lave et inference-angreb. Jeg kender hvertfald ikke til nogen form for anonymisering (k-l-m whatever bogstav de er nået til nu), der ikke i sidste ende er sårbar, når blot du øger mængden af "3. parts" viden.

Bottom line:
Stammer data fra en bruger er de underlagt persondatalovgivning (DK og nok snart EU) indtil det tidspunkt hvor data slettes. Uagtet hvilke manipulationer man så måtte udsætte data for i tidsrummet herimellem. Anonymitet KAN ikke matematisk, og dermed ej heller juridisk, opnåes.

  • 5
  • 0
John Foley

Stop klykeriet Martin og kom igang med at yde dit bidrag til sikring og beskyttelse af borgerens rettigheder. Endelig tvinges de der så længe har været ligeglade og sløset omgang med befolkningens data, til at tage sagen alvorligt. Både private og offetlige.

Med forordningen kan de der tidligere var ligeglade nu rammes på pengepungen, og så kan det nok være de begynder at tænke sig lidt bedre om. Men se til DI DIGITAL, de taler kun profitmagernes sag, ikke borgerenes. Sølle mamon har sit eget sprog.

  • 9
  • 0
Anne-Marie Krogsbøll

Hvordan er det overhovedet nået til at blive et problem, at firmaer og offentlige institutioner tror, at de ejer disse Big Data? Jeg har da indtil for nylig troet, at det allerede var et krav, at der skulle samtykke til opsamling og videregivelse af persondata, så hvorfor lyder Martin Glarvig som om, det er et nyt krav?

Har der været en gråzone? Eller er det de evindelige forretningsbetingelsesafkrydsningsfelter, cookies o.l., som man er nødt til at sige ja til, hvis man vil købe noget på nettet etc., som er synderen?

Eller ligger djævlen i detaljen: "eksplicit og aktivt samtykke til disse formål " - at det ikke hidtil har være et krav, at det helt specifikke formål skal have samtykke?

Eller må man bare erkende, at man i mange år ikke har håndhævet allerede eksisterende lovgivning, og derfor er nødt til at starte forfra for at signalere, at man (nu) faktisk mener det?

  • 4
  • 0
Anne-Marie Krogsbøll

Mon de nye EU-regler kan lykkes med at få gjort kål på DAMD-data? De er fortsat ikke slettede i følge nye oplysninger fra Persondataforeningen: https://www.facebook.com/BevarTavshedspligten/posts/1636542723287013

Og hvordan vil man får det til at "passe ind" i lovgivningen, når man i Holbæk Kommune er i gang med at indsamle gentests på 3000 spædbørn mhp. fedmeforebyggelse? Kan spædbørn give samtykke? Ejer de selv deres gendata, eller kan disse højst følsomme data genbruges til andre dejlige formål (f.eks. af medicinalindustrien i et "offentligt/privat samarbejde)?

Og hvem kommer i følge de nye EU-regler til at eje de gendata, som man nu går i gang med at indsamle på mange tusinde danskere - gerne i samarbejde med Novo? Kan man fortryde sit tilsagn, eller har det "offentligt/private" samarbejde postet så mange penge i en, at der ikke er nogen vej tilbage - heller ikke forhold til fremtidige nye formål?

Hvor mange regionspolitikere (og andre) af Carl Holsts støbning er mon involverede i at gennemtvinge disse projekter? Hele dette område er efterhånden kvalmende.

  • 0
  • 0
Anne-Marie Krogsbøll

De er ligefrem i gang med underskriftindsamling mod forslaget: http://ugeskriftet.dk/nyhed/kraeftens-bekaempelse-samler-underskrifter-i...

Kræftens Bekæmpelse er en af de mest velhavende patientforeninger, og de er i den grad viklet ind i medicinalindustrien. Jeg har ingen tiltro til, at vi får lødig og patientgavnlig forskning derfra.

Jeg synes, at man fra forskerside skulle have udvist lidt rettidig omhu mht. at passe ordentligt på persondata og respektere retten til privatliv, i stedet for at have lobbyet for skrækeksempler som DAMD og offentligt/privat samarbejde, der gør det uklart, hvornår data gives videre.

Man har ødelagt manges tillid til, at man kan passe på data, og at man respekterer en privat grænse, og man må så leve med, at det kan tage år at genoprette denne tillid.

At begynde at modarbejde de nye forslag til regler på dette område er desværre udtryk for, at man ikke har forstået det endnu - borgerne ejer deres eget privatliv, og hvis man vil forske personhenførbart, må man spørge pænt om lov, og til et helt afgrænset formål.

En kur mod kræft ville være dejlig, men for mig er retten til privatliv og egne data mere fundamental. Man må afgrænse brugen af data og komme med langt bedre garantier for sikkerheden - så kan vi begynde at tale om det igen.

  • 4
  • 0
Bjarne Nielsen

Kræftens Bekæmpelse er en af de mest velhavende patientforeninger, og de er i den grad viklet ind i medicinalindustrien.

Ah, ja, "patientforening" er desværre ofte en eufemisme på linje med "Den tyske demokratiske republik". Der er ingen tvivl om, at der er tale om interesseforeninger, men man kan for flere af dem godt komme i tvivl om, hvilke interesser der er tale om.

Som en anden debattør så rammende udtrykte det, så vender grise sig mod foderet, og så skal man lige tænke over, hvor den anden ende vender hen...

Jeg må indrømme, at mit kendskab til netop Kræftens Bekæmpelse er ganske begrænset, men jeg var faktisk temmelig skeptisk allerede inden dette skete, og det har ikke just forbedret mit indtryk af dem.

  • 2
  • 0
Anne-Marie Krogsbøll

Inden man hopper på Kræftens Bekæmpelses medicinalpropaganda for at kræve forskere adgang til private sundhedsdata uden samtykke m.m. (som de økonomisk lever højt på), skal man lige læse omtalen af denne nye og meget interessante bog om bagsiden af medaljen mht. kræftforskning pga. personaliseret medicin(anmeldelsen er på dansk): http://ugeskriftet.dk/debat/boganmeldelse-die-krebs-industrie-wie-eine-k...

Der argumenteres (overbevisende) for, at personaliseret medicin netop vil drive prisen i vejret, og derved vil komme til at koste god behandling andre steder i systemet.

Så der er vist ingen grund til ukritisk at give køb på kravene til privatliv og persondatasikkerhed for at tækkes hverken Kræftens Bekæmpelse eller forskerne.

  • 1
  • 0
Log ind eller Opret konto for at kommentere