Udledte følsomheder

Iflg. Techcrunch og gode kilder på LinkedIn har EU-domstolen talt:

Udledte persondata er persondata, og skal behandles som sådan. Og udledte følsomme persondata skal behandles som følsomme persondata, efter den særligt restriktive Artikel 9 i GDPR.

Afgørelsen beskriver udledte persondata som resultatet af “an intellectual operation involving comparison or deduction”, og nævner som konkret eksempel, at en partners navn kan sige noget om seksualitet:

[…] it is possible to deduce from the name-specific data relating to the […] partner of the declarant certain information concerning the sex life or sexual orientation of the declarant and his or her […] partner.

EU-domstolens afgørelse

Det er jo klar tale. Men implikationerne rækker langt videre end behandling af ægtefælleoplysninger. Andre eksempler på data, der på samme måde kan bruges til at udlede følsomme persondata, kan være en persons valg af særlige produkter (fx flymåltid, beklædningsgenstande, hygiejneprodukter) eller lokationsoplysninger (fx ophold på steder som normalt er forbeholdt personer med bestemt seksualitet, alder, fysisk eller psykisk sygdom, indkomst eller med særlig religiøs betydning).

Og det er i øvrigt værd at bemærke, at ovenstående gælder, uanset om de udledte oplysninger er korrekte. Gætter du på, at en besøgende på dit website person er en mand, er dette strengt taget en personoplysning – uanset om den besøgende skulle vise sig at være kvinde.

Nærmest enhver præference eller konkret adfærd kan, under de rette betingelser, bruges til at udlede andre oplysninger om en person – dette er jo i en vis forstand motoren bag mikrosegmentering, den mekanisme, de globale adtech-virksomheder (herunder Meta og Google) har skabt deres forretningsimperier på.

Nu har vi rettens ord for, at sådanne udledte informationer også er persondata, og skal behandles som sådan. Og mange virksomheder (som minimum naturligvis adtech-branchen, men reelt alle virksomheder og myndigheder med en afdeling, der står for BI/AI/ML/Analytics) vil nok gøre klogt i at dobbeltchecke, om man nu også gør det.

#EngangVarJegFri

En lang række debattører, politikere og foreninger protesterer i øjeblikket mod forslaget til den nye logningslov på Twitter under hashtagget:

#EngangVarJegFri

Selvom selve tagget er en kende dramatisk formuleret for min smag (for at være ‘fri’ eller det modsatte er ikke en binær tilstand – og er det lige præcis den nye logningslov, der skubber min tilstand over grænsen fra fri til ufri?) sympatiserer jeg absolut med budskabet: Den kommende logningslov er ikke et godt bud på den rigtige balance mellem hensynet til efterforskningsmuligheder og hensynet til den enkeltes privatliv, tværtimod.

Ved hjælp af slet skjulte gummiklausuler sikrer loven, hvis den bliver vedtaget, at regering og myndigheder kan operere på præcis samme måde (der jo er dømt ulovlig af EU-domstolen) som i dag. Det kræver i princippet bare at man vurderer, at trusselsniveauet er tilstrækkelig højt – og hvem afgør det?

At man fra regering og folketings side her forinden vedtagelse har erkendt, at der er overhængende risiko for at også denne lov vil blive underkendt af EU-domstolen (men samtidig kynisk konstaterer, at den slags kan tage mange år, hvori myndighedernes reelt ulovlige praksis kan fortsætte), gør det ikke bare trist og forkert, men også umoralsk.

#ÆrligOgBalanceretLogningslovNu

Mindre overvågning: 200 mio. kr.

I nedenstående ekstremt interessant indlæg beskriver Poul-Henning Kamp hvordan prisen for digital overvågning er problematisk lav – ja, faktisk argumenterer han for, at den er blevet negativ, og at man, hvad enten man er borger, virksomhed eller myndighed, således i praksis må betale for at undgå overvågning:

https://queue.acm.org/detail.cfm?id=3511661

Som eksempel fremhæver han overvågningen af brugernes færden i mobilnetværk, en logning der som bekendt er genstand for ganske meget debat fordi den gældende danske regelsæt er fundet ulovlig af EU-domstolen.

Til støtte for Poul-Hennings argument om overvågningens negative pris kan man fremhæve høringssvaret fra Teleindustrien vedr. den foreslåede nye logningslov. Forslaget til den nye lov indeholder en regel om, at teleselskaberne skal kunne “slå” generel og udifferentieret logning “til og fra” afhængig af trusselbilledet mod Danmark. Hvis man slår det til, vil tilstanden være som i dag, og slår man det fra, vil overvågningen kun gælde dem, der har særlig mistanke rettet mod sig.

Af høringssvaret fremgår det, at Justitsministeriet anslår teleselskabernes omkostninger ved blot at indføre muligheden for mindre logning til at være 200 millioner kroner – og at teleselskaberne mener, at implementeringsomkostningerne reelt vil være væsentligt højere.

https://www.teleindu.dk/wp-content/uploads/2022/01/TI-indlaeg-retsudvalgets-hoering-vedr-logning-13-januar-2022.pdf

Dette er altså kontantprisen for (muligheden for) mindre overvågning i mobilnetværkene. Gad vide hvad det ville koste at blive overvåget mindre i andre brancher?