Dette indlæg er alene udtryk for skribentens egen holdning.

GDPR vs moderne hjemmesider: Holdninger, jura og gråzoner

9 kommentarer.  Hop til debatten
GDPR og hjemmesider
Illustration: Nanna Skytte.
Blogindlæg7. april kl. 13:49
errorÆldre end 30 dage

For nogle uger siden skrev jeg et blogindlæg med overskriften "GDPR vs moderne hjemmesider", hvor jeg varslede en serie af indlæg med fokus på det "clash", der i disse tider synes at være mellem GDPR på den ene side, og på den anden den kommercielle og teknologiske virkelighed, som kendetegner internettet og de fleste moderne hjemmesider. Indlæggene er i øvrigt en optakt til et oplæg jeg skal holde om samme emne på V2's infosecurity-konference i maj.

Overskriften på såvel mit blogindlæg som mit kommende oplæg på V2 konferencen er bevidst sat konfrontatorisk op, med en antydning af, at man må vælge i mellem moderne hjemmesider på den ene side, eller at overholde GDPR på den anden. Det affødte en del kommentarer i kommentarsporet, og en anden blogger her på V2, Henrik Beiring, har også samlet bolden om under henvisning til mit indlæg, og fremsætter nogle (gode!) principielle synspunkter til fordel for EU's regulatoriske tilgang.

Virkeligheden er selvfølgelig mere nuanceret end min overskrift antyder, men jeg synes alligevel det føles som som, at vi pt. står i orkanens øje i form at et kæmpe clash mellem hhv. teknologiens og retssystemets udvikling. Jeg fortsætter derfor min serie af indlæg, og i denne omgang dykker jeg ned i følgende:
1. En kort (!) opsamling på nyeste praksis
2. Forskellige folk har forskellige holdninger
3. GDPR er ikke de eneste "værktøj i værktøjskassen"
4. GDPR regulerer kun "behandling af personoplysninger"
5. Jeg har brug for jeres hjælp

(P.s.: Til brug for dette indlæg har jeg fået værdifuld sparring fra bl.a. webbureaet Ovdal, den altid skarpe privacy-ekspert Pia Tesdorf samt to advokater med passion for tech ligesom jeg selv, nemlig Henrik Mansfeldt Witt fra Aumento og Emil Agerskov Thuesen fra DLA Piper.

1. En kort (!) opsamling på nyeste praksis

I en erkendelse af, at de fleste folk har andet at lave, følger her en ultrakort oversigt over den seneste udvikling på området, som er årsagen til, at vi i disse dage har så meget fokus på bl.a. Google Analytics:

Artiklen fortsætter efter annoncen

Man kan starte tidsregningen mange steder, eksempelvis i 1995 data persondatadirektivet blev vedtaget eller i 2002 da ePrivacy-direktivet inkl. cookieregler første gang blev vedtaget i 2002. Men sandheden er, at det først var da vi fik GDPR og truslen om store bøder kombineret med omfattende krav til dokumentation, at emnerne for alvor begyndte at få opmærksomhed.

Siden da er der afsagt forskellige afgørelser, som har fået bred opmærksomhed, herunder to afgørelser afsagt af EU-Domstolen med fokus på hhv. Facebook-sider og Facebook-pixels. Sidstnævnte har også relevans for dem der bruger en Facebookpixel på deres hjemmeside.

Der er dog ingen afgørelser, der har modtaget så meget opmærksomhed som EU-Domstolens Schrems II-afgørelse fra juli 2020. Jeg har selv skrevet adskillige indlæg om den, og det samme har mange andre. Og det er i vidt omfang også Schrems II-sagen, som har affødt den serie af sager, som pt. ruller, idet Max Schrems og hans organisation None-Of-Your-Business (NOYB) kort tid efter dommen indgav 101 klager til alle 27 EU-datatilsyn, og det er de sager, som nu begynder at blive afgjort, herunder følgende:

  • Østrig: Google Analytics (22. december 2021) - link
  • EDPS (EU's eget datatilsyn): Google Analytics og Stripe (?? januar 2022) - link
  • Tyskland: Google Fonts (20. januar 2022) - link
  • Frankrig: Google Analytics (10. februar 2022) - link

I kølvandet på ovennævnte sager har en række datatilsyn udtrykt opbakning og anbefalet at man vælger alternativer til Google Analytics, fx i Norge og Lichtenstein.

Artiklen fortsætter efter annoncen

Omvendt har Google, ikke så overraskende, fremsat modargumenter, herunder offentligt henvist til, at de i GA's 15 års levetid "never once received the type of demand the [Austrian] DPA speculated about. And we don't expect to receive one because such a demand would be unlikely to fall within the narrow scope of the relevant law." Og så har nogle af mine advokatkolleger været ude med budskaber om, at det kan lade sig gøre at fortsætte med at bruge GA med brug af diverse tekniske og juridiske indgreb, eksempelvis en imponerende dybdegående artikel med overskriften "How to legally use Google Analytics in Europe" fra en Schweizisk advokat - som endda også har lavet en omfattende "Transfer Impact Assesment" til at understøtte konklusionen om fortsat lovlig brug af GA. Og for få dage siden har Google så også annonceret en række ændringer til GA, netop for at addressere ovennævnte afgørelser.

Endelig er det også værd at fremhæve, at det danske datatilsyn tillige er ganske aktiv på dette område, fx:

  • DMI-afgørelsen (link): Alvorlig kritik, herunder for brug af diverse tjenester fra Google, herunder DoubleClick, Google Ads, AdSense, AdWords. Afgørelsen fastslår i øvrigt også fælles dataansvar med Google, hvilket Google mig bekendt aldrig har fulgt op på, hvilket teknisk set betyder, at brug af de pågældende Google tjenester er i strid med GDPR artikel 26.
  • Sag mod Næstved kommune (link): Sagen handlede bl.a. om et vildledende cookiebanner, men datatilsynet slog også fast, at kommunen i det konkrete tilfælde lovligt kunne bruge statistikcookies uden samtykke (det fremgår ikke, hvorvidt der blev brugt Google Analytics eller en anden tjeneste).
  • Sag mod dba.dk (link): Kritik af DBA.dk i forbindelse med brug af Google Analytics, på trods af DBA's argumenter om deaktivering af ”Data sharing for Google Products”, "Cross device tracking via User ID” samt aktivering af ”Anonymize IP”-funktionen.
  • Endelig er det også værd at fremhæve Datatilsynets spritnye vejledning om cloud-tjenester: Selvom den ikke udtrykkeligt handler om hjemmesider, så medfører vejledningen store krav til compliance i forbindelse med brug af diverse digitale tjenester til at understøtte hjemmesider, webshops, SaaS-løsninger mv.

2. Forskellige folk har forskellige holdninger

Mit netværk, og dermed også mit LinkedIn-feed, består af lige dele tech-entusiaster og privatlivsforkæmpere., og her er en, lidt karikeret, gengivelse af de to "fløjes" synspunkter:

Privatlivsforkæmperne kan eksempelvis finde på at henvise til følgende synspunkter:
Internettet og dets bagvedliggende teknologier og aktører har udviklet sig i en retning, hvor der indsamles data om vores adfærd konstant. Harvard-professor Shoshana Zuboff går så vidt som til at betegne det som en moderne udgave af hele den kapitalistiske samfundsmodel, nemlig "Surveillance capitalism". Det er således på høje tid, at hjemmesideejere og SaaS-leverandører begynder at forholde sig bare en smule kritisk til de tjenester de benytter, og eksempelvis stiller sig selv spørgsmålet, hvad forretningsmodellen egentlig er, når fx Google stiller Analytics gratis til rådighed for millioner af hjemmesider. Selv en af internettets grundlæggere, Tim Berners-Lee, tager afstand fra den udvikling internettet har taget de seneste årtier, og arbejder på at opbygge en alternativ model, hvor vi som brugere selv er i reel kontrol over vores egne data.

Det er derfor positivt, at vi nu langt om længe begynder at se håndhævelse overfor nogle af de "syndere", som uretmæssigt snylter på vores alle sammens data. Med Schrems II-sagen slog EU-Domstolen fast, at vi ikke bare ukritisk kan bruge amerikanske cloud-tjenester, og ignorerer at US-myndighederne med hjælp fra bl.a. FISA 702 har snablen dybt nede i EU-borgeres data. Siden da har EU's datatilsyn i en fælles vejledning gjort det klart, at det kræver grundige og dokumenterede overvejelser, hvis man vil bruge en leverandører, som enten selv, eller via underleverandører, potentielt giver efterretningstjenester i eksempelvis USA adgang til de data, som behandles i vores IT-systemer og digitale løsninger.

De fleste dataansvarlige har dog valgt "at se tiden an" (læs: Ignoreret dommen og den nye vejledning fra EDPB), men heldigvis er vi nu langt om længe begyndt at se håndhævelse fra de enkelte datatilsyn rundt om i EU. En stor del af disse sager har baggrund i de 101-klager, som Max Schrems og hans organisation None-Of-Your-Business indgav kort tid efter EU Domstolens afgørelse fra juli 2020. Det er særligt positivt at se, at eksempelvis det østrigske og franske datatilsyn har modet til at afvise Googles argumenter om at de har implementeret tilstrækkelige "supplerende foranstaltninger", bl.a. under henvisning til, at der selv med disse foranstaltninger konstant overføres adfærdsdata inklusive IP-adresser på EU-borgere til USA og dermed fri adgang til snagen fra US-myndighederne.

Den modsatte fløj, som bl.a. består af folk der er tilhængere af cloud, analytics, datadrevet markedsføring, online medier mv, har nogle helt andre holdninger:

Det handler i bund og grund handler om innovation og konkurrenceevne: Data er i dag verdens mest værdifulde ressource, og stort set alle industrialiserede lande arbejder med politiske målsætninger om at udnytte det enorme potentielle som data har, både nu og i fremtiden.

Fokuseres der konkret på indsamling af data via hjemmesider, så har dette ofte helt legitime formål, eksempelvis at analytics-data bruges til at afdække omfang, karakter og præferencer for de brugere, der besøger hjemmesiden. Det er således helt legitimt, at man som ejer af en webshop, en onlineavis eller en SaaS-løsning ønsker at få indblik i, hvilke dele af en hjemmeside der vækker interesse for brugerne, hvor der er plads til forbedring osv.

Dernæst relaterer en del af dataindsamlingen sig også til den grundlæggende samfundsmodel, som nutidens digitaliserede samfund er baseret på: Vi kan som brugere få adgang til en hel masse gratis indhold ved alene at betale en symbolsk "pris" i form af at nogle virksomheder får lov at vise os så relevante annoncer som muligt. Siden GDPR's vedtagelse er modellen dog ved at blive nedbrudt og flere og flere online medier er nødt til at afsøge andre finanseringskilder - herunder også Version2.

Intet her i verden er gratis - heller ikke compliance. For hver en krone der bliver brugt på alverdens former for risikovurderinger og påtvunget anvendelse af dyrere og/eller ringere europæiske løsninger, så må vi også regne med, at de produkter og ydelser vi køber bliver tilsvarende dyrere. Og når det gælder offentlige myndigheders påtvungne complianceomkostninger, så må det nødvendigvis gå udover vores alle sammens velfærd. Alle disse omkostninger skal vel at mærke retfærdiggøres på baggrund af en teoretisk risiko for at NSA måske kan se at at min IP-adresse har besøgt Version2 her til morgen...

3. GDPR er ikke de eneste "værktøj i værktøjskassen"

Jeg kan afsløre, at jeg kan se valide synspunkter i "begge lejre", men min holdning er jo ikke særligt interessant. Derimod er det mere interessant at se på, hvordan lovgivningen egentlig forholder sig til disse emner. Og her vil jeg godt lige bruge lidt krudt på at fremhæve, at de udfordringer nutidens internet har, er reguleret i en række andre regelsæt end GDPR:

  • EU har helt tilbage i 2002 indført specifikke regler til regulering af cookies (ePrivacy-direktivet), og de regler er pt. under revision i EU. Og i Danmark håndhæves reglerne af Erhvervstyrelsen, ikke Datatilsynet.
  • Det er helt legitimt at mene, at hjemmesider ikke bør snylte på vores (adfærds)data uden at vi som forbrugere får noget til gengæld - men EU har faktisk også vedtaget specifikke regler, der sidestiller afgivelse af personoplysninger med betaling ifbm. onlinetjenester og dermed giver os forbrugerbeskyttelse for "gratis" tjenester finansieret via behandling af personoplysninger link
  • Dernæst kan man også være af den opfattelse, at visse US-udbydere i dag kontrollere så store mængder data, at de har en form for "data-monopol" - men heller ikke dette skal løses med GDPR, men derimod af konkurrencereglerne, herunder de kommende regler i Digital Markets Act.
  • Endelig kan det også nævnes, at der i forbindelse med de aktuelle forhandlinger af Digital Services Act også er rejst forslag om helt at forbyde målrettede annoncer baseret på følsomme data.

4. GDPR regulerer kun "behandling af personoplysninger"

Netop fordi de aktuelle sager rammer ned i krydsfeltet mellem flere regler, er det efter min opfattelse vigtigt, at vi får helt styr på, hvilke former for data og analytics, der er omfattet af GDPR og hvilke der ikke er.

På et overordnet plan er formålet med GDPR at beskytte personoplysninger , og GDPR har således ikke, eller bør i hvert fald ikke have, nogen holdning til, hvorvidt det er også at registrere brugeres adfærd på en hjemmeside, så længe der blot ikke er tale om "personoplysninger". Og her er det væsentligt at have for øje, at eksempelvis IP-adresser ikke uden videre falder ind under begrebet, og dermed heller ikke nødvendigvis ind under GDPR. EU-Domstolen har således flere gange haft muligheden for at slå fast, at IP-adresser per definition falder indenfor GDPR's (mange) krav, men har gang på gang alene ladet IP-adresser være omfatter i afgrænsede scenarier. Eksempelvis udtalte Domstolen i Breyer-sagen, at dynamiske IP-adresser registreret via en hjemmeside som udgangspunkt udgør personoplysninger, hvis indehaveren af hjemmesiden har de nødvendige "retlige midler" til at få udleveret navnet på personen bag IP-adressen fra internetudbyderen.

På trods af dette synes en række af de nyeste sager, herunder nogle af dem fra det danske datatilsyn, at anlægge en udvidende fortolkning af GDPR's anvendelsesområde. Og dette vil altså ikke kun have konsekvenser for Google Analytics, men for meget stort dele af internettet, som vi kender det i dag.

5. Jeg har brug for jeres hjælp

I næste indlæg vil jeg dykke mere ned i de retskilder, som forholder sig til, hvornår data relateret til hjemmesider falder hhv. indenfor og udenfor GDPR, og om det overhovedet er muligt at gøre data "anonyme nok" i juridisk forstand, selv hvis man ingen interesse har i at kende brugeren.

I mellemtiden kunne jeg godt bruge noget hjælp til følgende spørgsmål:

  1. Hvor almindeligt er det, at der opsættes tjenester på hjemmesider, webshops, SaaS-løsninger mv, som registrerer IP-adresser og/eller brugeres adfærd?

  2. Hvor let er det i dag at finde frem til brugeren bag en IP-adresse, selv hvis man ikke kan få oplysningerne udleveret fra internetudbyderen? Og hvad med "device fingerprinting" og andre lignende tracking teknologier?

  3. Står den store fokus på cookies og IP-adresser mål med risikoen, også sammenholdt med det høje sikkerhedsniveau der typisk er på tjenester såsom Google Analytics? Og er der i øvrigt nogen der kan sige noget om, hvorvidt Googles nye ændringer til GA rent faktisk medfører en substantiel forbedring af privatlivsbeskyttelsen?

På forhånd tak!

9 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
9
11. april kl. 12:41

Hvis de der DataMinere mener data er så værdifulde...

Burde de så ikke betale ejerne af data (dem de indsamler data om) for det?

Fidusen er jo at det er tyveri ved højlys dag (de hugger vores data bag vores ryg - normale mennesker kan ikke sætte sig ind i sammenhængene og værdierne i det).

I princippet er det nemt nok: loven skal formuleres at data ejes af dataenes subjekt (ie. den som dataene omhandler) og denne ejendomsret er ikke overførbar til andre. Straffen for overtrædelse er xx år

6
25. marts kl. 14:12

2 yderliger synsvinkler.

Nu ved jeg ikke om dine synsvinkler er udvalgt, men jeg kan komme på et par yderligere problematikker med dataindsamling:

Det er jo fint at der længe har været lovgivning, som har foreskrevet begrænsninger på indsamling af oplysninger om folks færden på nettet.

Men specielt med det fravær af håndhævelse, vi ser her tillands, så er det faktisk at betragte som bedrag. Når hjemmesideejerne "ser tiden an", så er det selvfølgelig fordi at chance for en straf er mindre, end at vinde i Lotto. Og skulle man endelig blive ramt, så er straffen mindre end man bruger på at trykke sælgernes visitkort.

Så er der en åbenheds og konkurrencemæssig problematik. Hvad er prisen for den vare man køber? Jeg kan godt se prisen på hjemmesiden, men det er jo ikke den reelle pris. Der er en pris, som er skjult, i form af at data bliver indsamlet og solgt. Den slags bliver i andre sammenhænge kaldet falsk markedsføring. Det jo også her, at man har en af de alvorlige konkurrencemæssige udfordringer, som små spillere har i forhold til feks. Amazon. Amazon kan udnytte data bedre (øge den skjulte pris), uden at det ses på prisskiltet.

5
25. marts kl. 13:47

Jeg synes det kunne være rigtig spændende også at inddrage lidt om Privacy Shield 2.0, nu hvor Von der Leyen lige har annonceret den:

  1. Er EUCs vurdering af sagen og at de har fundet "principiel enighed", overhovedet noget værd, hvis ikke EUCJ er med ind over?
  2. Hvordan går Privacy Shield 2.0 hånd i hånd med DMA, som begge angiveligvis er blevet fundet enighed omkring? DMA i sin essens føles meget mere at være på siden af privacy-aktivisterne end ervhervs-fortalere. Privacy Shield 2.0 ser dog meget mere ud som om det er pro-handel og mod regulering. Er der ikke noget clash of ideologies and priorities?
  3. Hvorfor er der pludselig mulighed for at indgå denne aftale, hvis der fra mange blev henvist til at det er svært at løse noget, uden at US-lovgivningen ændres? Er det pga det, som Peter Swire og Kenneth Propp et al. henviser til i fx denne artikel: https://europeanlawblog.eu/2022/01/31/eu-us-adequacy-negotiations-and-the-redress-challenge-whether-a-new-u-s-statute-is-necessary-to-produce-an-essentially-equivalent-solution/ ?
  4. Hvor længe kunne der reelt gå fra at den endelige tekst i Privacy Shield 2.0 udgives, til Schrems/NOYB eller en anden gruppe står foran EUCJ igen, og EUCJ afsiger dom? Altså: skal man indstille sig på at det hele ikke er løst, når "løsningen" bliver officiel?
4
25. marts kl. 13:37

Jeg må desværre indrømme, at selv om Jesper Løffler Nielsens blogindlæg om GDPR og cookies er sympatiske og interessante og vigtige, og jeg ser frem til kloge svar på de gode spørgsmål, så kan jeg ikke frigøre mig fra en fornemmelse af, at de i sidste ende er endnu et forsøg fra tech-branchen på at "forhandle" borgernes ret til privatliv væk. Den fundamentale respekt for denne ret forekommer mig simpelthen ikke at være der - den opfattes som noget, der er til forhandling: "Hvor stor må risikoen være, for at det er i orden at stjæle jeres data?" "Hvordan skal erhvervslivets og tech-branchens behov afvejes ift. individets ret til privatliv?" osv. osv. Jeg tænker, at Jesper Løffler Nielsen selv oplever det som et forsøg på en udstrakt hånd - en mægling mellem parterne. Men for mig opleves det altså, hvis jeg må stille det skarpt op, som en udstrakt hånd i retning af "Kan vi ikke forhandle lidt om, hvad I kan nøjes med, for at vi kan få lov at voldtage jer." Lidt lissom når Ukraine opfordres til at forhandle om, hvor meget Rusland må få lov at besætte og annektere Ukraine, så vi allesammen kan få fred igen. Det er og bliver i mine øjne en form for voldtægt og magtmisbrug, hvor techgiganterne - ganske som Zuboff så glimrende beskriver - forsøger med et snuptag og diverse juridiske fiksfakserier og røgslør bid for bid at gøre privatlivet til fælles ejendom, som på en eller anden måde skal deles mellem borgerne og giganterne. Som om giganterne har en eller anden ret i den sammenhæng.

DET HAR DE IKKE! Det er sagen i en nøddeskal. De har ikke noget at forhandle med, ganske som en indbrudstyv ikke kan begynde at forhandle om, hvor meget af rovet han skal have lov at beholde.

Bare ved at disse spørgsmål stilles, kommer jeg til at opleve det som om, skribenten i sidste ende er på giganternes side, netop fordi det for mig at se lægges op som en forhandling.

7
26. marts kl. 10:28

hej @Anne-Marie. Det er helt fair, at du er kritisk. Jeg vil blot sige, at netop fordi der er så stærke følelelser på spil her på begge sider (du bruger fx en analogi, hvor du sidestiller det at indsamle data vis hjemmesider med at voldtage nogen), så bliver folk nok ikke lige foreløbigt enige om, hvordan tingene BØR være, men det gør det efter min opfattelse endnu vigtigere at være helt skarpe på, hvordan retsstillingen rent faktisk ER. Jeg håber at du vil blive ved med at læse med og byde ind :)

8
26. marts kl. 14:36

det gør det efter min opfattelse endnu vigtigere at være helt skarpe på, hvordan retsstillingen rent faktisk ER

Tak for svar, Jesper, men min frygt er netop, at den særdeles rige techbranche via ihærdigt lobbyarbejde (jeg går ud fra, at du ikke er bestilt til den slags) netop vil lykkes med at påvirke retsstillingen i retning af netop deres dagsorden, nemlig at gøre menneskehedens privatliv til hlet elleer delvist deres ejendom.

Er du enig i, at såfremt de særdeles detaljerede data ikke kan bruges til profilering og målrettet annoncering og manipulation, så har de faktisk ikke nogen særlig værdi for selskaberne?

3
25. marts kl. 11:47

Hvor almindeligt er det, at der opsættes tjenester på hjemmesider, webshops, SaaS-løsninger mv, som registrerer IP-adresser og/eller brugeres adfærd?

Siden de første WWW-servere har man haft en server-log, som registrerer mindst

  • Tidspunkt
  • IP-adresse
  • URL: Hvilken ressource (side/billede/javascript/video etc) på serveren, der blev hentet. Ofte også query parameters, f.x. søgestrenge
  • Referer: Hvilken side kom brugeren fra
  • User agent: Browserversion

Jeg tror ikke, at der findes mange hjemmesider, som ikke har sådan en log. Men den er kun tilgængelig for hjemmesideejeren.

I gamle dage brugte nogle denne log til at danne sig et vist indblik i brugernes adfærd på et site.

Senere kom tjenester som Google Analytics til, som bruger JavaScript på siden til at opsamle mere detaljerede oplysninger og sende dem til en logtjeneste (f.x. Google).

Udbredelsen af denne slags tjenester kan nærmest 1:1 aflæses af udbredelsen af cookie-bokse: Det er som regel brugen af sådanne værktøjer, der kræver cookie-accept.

Hvor let er det i dag at finde frem til brugeren bag en IP-adresse, selv hvis man ikke kan få oplysningerne udleveret fra internetudbyderen? Og hvad med "device fingerprinting" og andre lignende tracking teknologier?

Det kommer an på, hvad du mener med at finde frem til brugeren. Der er mange typer identitet. Navn/adresse/CPR-nummer er bare en blandt mange og er ikke nødvendigvis mere korrekt end Facebook-profil, GitHub-handle eller Google-brugernavn.

Som Simon skriver, så er det ikke nødvendigt at kende din CPR-identitet for at kunne målrette annoncer. Du skal bare kunne fastslå en identitet.

Med IP-adresse og fingerprinting kan du ret sikkert fastslå en identitet på en bruger. Test selv med EFF's Cover Your Tracks

Hvis du så går ind på en hjemmeside, der både bruger Facebook og bruger Google Analytics, så kan Google koble din Google- og din Facebook-identitet sammen. Hvis du logger ind på en offentlig hjemmeside, der bruger GA, så kan Google potentielt koble din Google-identitet sammen med din CPR-identitet.

For almindelige mennesker er det ikke nødvendigvis nemt at finde frem til en CPR-identitet ud fra IP-adresse. Men Google ved, hvem du er.

Står den store fokus på cookies og IP-adresser mål med risikoen, også sammenholdt med det høje sikkerhedsniveau der typisk er på tjenester såsom Google Analytics?

Sikkerhedsniveauet er ikke nok. Det er selvfølgelig rart, hvis Google passer på ikke selv at blive hacket. Men anken er primært, at de kan bruge oplysningerne selv, sælge dem direkte eller indirekte, og udlevere dem til myndigheder.

Og er der i øvrigt nogen der kan sige noget om, hvorvidt Googles nye ændringer til GA rent faktisk medfører en substantiel forbedring af privatlivsbeskyttelsen?

Deres "nye ændringer" er bare, at de udfaser nogle ældre versioner af Google Analytics. Og beder folk om at bruge GA4.

Jeg kan se i afgørelsen fra Østrig, at der beskrives, at i hvert fald den ene indklagede ikke har brugt seneste version (GA4). Det ser diog ikke ud til at have været afgørende for udfaldet. Men jeg vil tro, at Google har grebet fat i det strå og håber, at de kan købe tid ved at udfase nogle gamle versioner, som de alligevel gerne ville af med.

1
25. marts kl. 10:11

Hvor almindeligt er det, at der opsættes tjenester på hjemmesider, webshops, SaaS-løsninger mv, som registrerer IP-adresser og/eller brugeres adfærd?

Jeg er ikke den bedste at spørge om det, men jeg har dog lavet en smule arbejde på webshops. Mit umiddelbare indtryk er at webshop-ejere ønsker al tracking de kan komme i nærheden af og ser GDPR som en ligegyldighed. Hvis ikke de både kører Pixel, GA, og knytter det hele til målrettede reklamer, så kan de ikke køre en virksomhed (selvom virksomheder har eksisteret længe før internettet og Big Data var en ting). IP-adresser kan du så ikke undgå at registrere, de er en essentiel del i at sende indholdet til den rigtige person, men også i forbindelse med sikkerhed. Hvis du ikke registrerer IP-adresser og har systemer til at tjekke skadelig adfærd (mange login-forsøg, forsøg på at tilgå /config.php.old, osv.) så vil du risikere at blive udsat for et hacker-angreb uden du ved noget af det før det er for sent. Med hensyn til brugeres adfærd så bliver det oftest serviceret igennem Pixel eller GA, så webshop-ejere har ikke nødvendigvis det store overblik over hvad der bliver tracket. Men hvis du har 2-3 forskellige ankre til at knytte data op mod, en IP-adresse, User Agent, måske også en cookie, så kan du opnå et meget nøjagtigt billede af den enkelte bruger. Dette er ikke teoretisk da jeg, meget mod min vilje, har siddet med implementeringer hertil (heldigvis er min kode ikke i drift mere, så det hjælper lidt på samvittigheden). Hvad så med når brugere benytter forskellige enheder? Det er lige præcis der hvor du finder måder der kan lokke folk til at registrere en bruger. Så snart de logger ind på en enhed så kan du koble al adfærd, både fremadrettet men også hvad brugeren har foretaget sig indtil nu, på brugerens identitet og krydsreferere med deres øvrige adfærd. Det er et beskidt trick, men det bruges desværre oftere end man skulle tro.

Hvor let er det i dag at finde frem til brugeren bag en IP-adresse, selv hvis man ikke kan få oplysningerne udleveret fra internetudbyderen? Og hvad med "device fingerprinting" og andre lignende tracking teknologier?

Jeg tror det mange glemmer er, at man ikke nødvendigvis behøver at vide hvem en person er før man kan misbruge deres data. Jeg nævnte i dit sidste indlæg hvordan internetbrugeres data blev misbrugt til at få gennemført Brexit. Det er ganske vist ikke noget der er direkte skadeligt for individet i dette tilfælde, men det er skadeligt for samfundet og demokratiet at man kan påvirke adfærd uden man behøver at kende personen. Lidt mere nede på jorden kan vi snakke om at påvirke adfærd til at få et salg som køberen reelt set ikke var interesseret i. Så hvor let er det at finde frem til brugeren bag en IP-adresse er ikke det relevante spørgsmål; det er nemlig ikke i en data-virksomheds interesse at kende den fysiske identitet på personer. Når du ved at jeg hedder Simon og og kender mit CPR-nr., så lærer du reelt set ikke noget nyttigt om mig, men du får trosalt et meget solidt anker som du kan knytte fremtidig data til. Hvis du derimod ved at jeg sætter pris på fred, så har du en information du kan bruge til noget; du kan sælge dit budskab så det harmonerer med min adfærd og mine værdier. "Indvandrerne vil jo skabe problemer og bliver de fremtidige terrorister! Beskyt din fred!". Om du så bruger min CPR-nr. til at skabe en profil om mig eller om du bruger en IP-adresse og skaber en profil bag den er lige meget. Selv hvis jeg har en dynamisk IP og derfor deler den med mange andre danskere så er IP-adressen ikke det eneste anker du kan bruge (og des flere ankre du bruger, des tættere kommer vi på device fingerprinting). Hvad mit fulde navn og mit CPR-nr. er påvirker jo ikke min adfærd nu hvor det allerede er kendt at jeg sætter pris fred. Måske bortset fra at mit CPR-nr. afslører min alder som rent faktisk kan have en hvis betydning for adfærden, men en estimering af at jeg ofte søger på et givent universitet, kilder til forskellig undervisningsmateriale og lavprisrejser vil nok give et meget godt billede af min alder i sig selv. Så det handler ikke om hvorvidt du kan finde den reelle identitet på brugeren ud fra et data-punkt, men hvad du kan bruge den information til. Hvis jeg var ude og vandre og stod overfor en bjørn ville jeg heller ikke forsøge at finde ud af om det var bjørnen der var i nyhederne den anden dag, hvor en hiker blev angrebet, men kigge på dens adfærd; er den truende, gør sig stor, brøler den eller passer den bare sig selv som om jeg ikke eksisterede? Det er netop den type af data-punkter jeg kan udnytte for at få bjørnen til at agere som jeg ønsker. Så er jeg reelt set ligeglad om den hedder Bo eller Ib.

Står den store fokus på cookies og IP-adresser mål med risikoen, også sammenholdt med det høje sikkerhedsniveau der typisk er på tjenester såsom Google Analytics? Og er der i øvrigt nogen der kan sige noget om, hvorvidt Googles nye ændringer til GA rent faktisk medfører en substantiel forbedring af privatlivsbeskyttelsen?

For mig set er det ikke personoplysinger der er problemet, men adfærden. Lad os antage at cookies og IP-adresser er personoplysninger. Du kan, som jeg nævnte, ikke bruge oplysningen at "det her, det er Simon" til noget i sig selv, det er adfærden som fortæller hvem jeg er og hvordan jeg agerer, som med lidt psykologi kan udnyttes. Det der er problemet med personoplysninger er, at de er super effektive ankre til at knytte data sammen så man har et helhedsbillede af en bruger og ikke et par tusind fragmenterede datapunkter. Nogle gange behøves du kun ét anker til at fæstne data på en person og dermed skabe en god profil, men des flere ankre du har at gøre med, des mere kan du samle puslespillet af fragmenterede datapunkter og dermed opnå en profil der giver dig et indblik i hvilke ting der vækker hvilke følelser i en given person. En person der ellers er ganske anonym da du ikke har et navn eller CPR-nr.

Så står det store fokus på med med risikoen? For mig set, nej, der er ikke nok fokus. Problemet er at det er svært at komme ind til kernen af problemet som netop er identificeringen af adfærd og den bagvedliggende fæstning af datapunkterne op mod forskellige ankre som vi ikke kan undgå at sende til hjemmesider da de er en essentiel del af internet-protokollerne. Det handler ikke om at Google nok skal passe godt på mine data, for det tror jeg såsandelig de vil; data er værdifuldt og det vil koste dem deres monopol at andre for hold i dem. Men hvad har denne sikkerhed af mine data af reel effekt når det er selvsamme virksomhed der indsamler dataene, behandler dataene, og målretter budskaber baseret på dataene? Google behøves ikke, og det vil også ødelægge deres forretning, at give andre indblik i dataene; tredjeparter har heller ikke brug for meget mere end at kunne målrette deres budskaber efter "20-30 årige mænd med interesse for fred og er aktive i politiske kredse der ønsker en skarpere linje mod indvandring". Jeg kan dog ikke sige noget om hvorvidt Google's ændringer forbedrer noget, det har jeg ikke lige fulgt op på, men så længe der profileres brugeradfærd til brug i målrettede budskaber, så har vi et problem, ikke blot som person, men også som samfund og demokrati.

2
25. marts kl. 10:47

Det handler ikke om at Google nok skal passe godt på mine data, for det tror jeg såsandelig de vil; data er værdifuldt og det vil koste dem deres monopol at andre for hold i dem. Men hvad har denne sikkerhed af mine data af reel effekt når det er selvsamme virksomhed der indsamler dataene, behandler dataene, og målretter budskaber baseret på dataene?

Ja, det er også min tanke (hvis jeg forstår dig ret). Så længe Google og de andre techselskabers business case er helt eller delvist baseret på udnyttelse af brugernes data, så kan disse data ikke gøres "privatlivssikre" - for det ligger jo i selv forretningsmodellen, at disse data skal bruges, og de skal bruges til at profilere og manipulere brugerne. Hvis ikke de kan bruges til det, er de stort set værdiløse, og så ville der ikke være nogen grund for datarøverbranchen til at kæmpe med næb og klør for at beholde retten til at høste dem.