Artiklen er en del af DTU's tema om cybersikkerhed og publiceret på dtu.dk. Journalist Sole Bugge Møller. Foto: Colourbox
De fleste af os er bevidste om, at store tech-firmaer som Google, Facebook, Apple, Microsoft, Twitter, Netflix og Spotify sidder på enorme mængder data om vores adfærd på nettet, så de nærmest kender os bedre, end vi selv gør. Men hvem ligger ellers inde med dine personlige oplysninger? Det er efterhånden umuligt at vide og det vil et nyt EU-støttet projekt, som DTU er involveret i, gøre op med.
”Problemet er, at vores data ligger overalt og det er svært at finde ud af, hvilke virksomheder der har adgang til det og har solgt det videre. Vi vil gøre det hele mere gennemsigtigt,” siger Weizhi Meng, der er lektor i cybersikkerhed på DTU Compute.
DataVaults er en slags digital sikkerhedsboks, hvor man kan lægge sine persondata bag lås og slå og kontrollere, hvem der har adgang og hvornår. Man får besked, når virksomheder, myndigheder eller andre tilgår ens oplysninger og platformen kan vurdere risici forbundet med at dele ens oplysninger i forskellige sammenhænge.
Persondata som din alder, køn og adresse kan virke ganske uskyldige, men falder alle oplysningerne i de forkerte hænder, kan det få alvorlige konsekvenser.
”I en digitaliseret verden er persondata de vigtigste aktiver. Hvis dine data er blevet lækket, så kan hackere bruge det til at skabe en falsk identitet af dig. De kan potentielt lave falske pas eller kreditkort i dit navn eller sende meget specifikke phishing-emails til dig ud fra, hvad de allerede ved. Derfor er det så vigtigt at beskytte vores persondata,” siger Weizhi Meng.
GDPR er stadig en udfordring for virksomheder
Man kan ikke snakke om persondatasikkerhed uden at nævne GDPR. EU’s lovgivning om beskyttelse af persondata rykkede ved it-verdenens tektoniske plader, da den blev indført i 2018 og giver stadig anledning til forvirring blandt virksomheder. Og DataVaults skal ikke kun hjælpe privatpersoner, men også virksomheder, der kan bruge platformen til at sikre, at de overholder alle regler, når de indsamler oplysninger om alt fra medarbejdere til kunder og samarbejdspartnere.
”Det er en stor udfordring for mange virksomheder at overholde GDPR. De ved ikke, hvordan de skal implementere GDPR-retningslinjerne, fordi det er meget kompliceret stof,” siger Weizhi Meng.
En undersøgelse fra Rådet for Digital Sikkerhed har vist, at knap halvdelen af alle små og mellemstore virksomheder er udfordret af lovkravene til persondatabeskyttelse og 67% mener, at det er vanskeligt at vurdere, hvordan anvendelse af data kan ske på en dataetisk måde.
”Der er ikke nogen tvivl om, at det har været op ad bakke for langt størstedelen af virksomheder,” siger Henning Mortensen, formand for Rådet for Digital Sikkerhed.
Senest har EU’s såkaldte Schrems II-dom (se faktaboks) skabt usikkerhed, fordi den i praksis gør det problematisk at bruge amerikanske cloudtjenester og platforme, såsom Google Analytics, fordi de kan risikere at overføre persondata til deres moderselskab i USA.
”Det er et kæmpe problem for alle virksomheder og egentlig også myndigheder, og der kan GDPR blive en barriere for dem. I bedste fald er det uklart, hvad man må gøre, når man bruger internationale tjenester, især cloudtjenester, og i værste fald kan de slet ikke bruge dem,” siger Henning Mortensen.
Han hilser derfor et initiativ som DataVaults velkommen.
”Der er helt klart behov for løsninger, der kan indsamle data på en måde, der beskytter vores persondata. Det kan være med til, at der vil være en større grad af villighed til at stille sine data til rådighed for almennytte,” siger Henning Mortensen.
Kan bruges til sikker big data
I bund og grund vil DataVaults give os tilliden tilbage, så vi trygt kan dele data uden at frygte, at de bliver misbrugt. For der er stort potentiale i big data, hvor man bruger store datasæt til at se nye sammenhænge, men det skal gøres på ansvarlig vis. En af projektets partnere er den franske sundhedsplatform Andaman7, der bruger DataVaults til at indsamle data om patienter, som de bruger til klinisk forskning.
”Hvis du vil se på, hvor mange personer lider af en bestemt sygdom, så kan vi samle resultaterne, men anonymisere individerne,” siger Weizhi Meng.
På samme måde deltager en spansk solcellefabrikant i projektet og bruger DataVaults til at få data om brugernes elforbrug, så de kan forudsige efterspørgslen på el på forskellige tider af døgnet.
Men DataVaults vil også give de økonomiske incitamenter tilbage til os. For mens Google og Facebook skovler milliarder af annoncekroner ind på at høste vores data, så kan man som bruger af DataVaults selv blive belønnet for at dele sine data. Det kan både være i kroner og ører, men også som den italienske kommune Prato, der belønner indbyggere, der deler deres præferencer og vaner inden for kulturlivet, med eksempelvis billetter til en forestilling.
De oplysninger, vi allerede har givet væk kan DataVaults dog ikke gøre noget ved.
”Vi kan beskytte de data, der ligger i DataVaults, men hvis Google og Facebook allerede har dem, så er der ikke meget vi kan gøre,” siger Weizhi Meng.
Fremtidig løsning
DataVaults-projektet nærmer sig sin afslutning efter tre år og en beta-udgave af platformen er nu klar. På længere sigt er det håbet, at EU eller en anden myndighed vil være interesseret i at tage ejerskab over platformen, da det kræver forbrugertillid og ressourcer at håndtere potentielt set millioner af menneskers persondata.
”Jo flere mennesker bruger DataVaults, jo bedre bliver det. Når det handler om big data, så er det klart, at det fungerer bedst, hvis der er rigtig mange brugere,” siger Weizhi Meng.
Fremover vil presset på vores persondata kun blive større og DTU-lektoren mener, at selv om GDPR er en god start, så er der behov for fortsat at forbedre reglerne og løsningerne inden for beskyttelse af persondata.
”Det bliver kun vigtigere i fremtiden. Hvis metaverset (virtuelle verdener i 3D, red.) bliver en realitet, så bliver persondata en topprioritet. Når alt bliver digitaliseret, så kontrollerer dem, der har data, alt,” siger Weizhi Meng.
- EU’s General Data Protection Regulation blev vedtaget i 2016 og trådte i kraft i midten af 2018.
- Giver alle EU-borgere ret til at kontrollere, hvem der har adgang til ens persondata og til at få at vide, hvilke personoplysninger en virksomhed behandler om en.
- Siden hen har flere lande som Brasilien, Japan, Sydafrika og Sydkorea vedtaget lignende datalovgivning ligesom Storbritannien har fastholdt GDPR efter at være trådt ud af EU.
- Overtrædelser kan straffes med bøder op til 20 millioner euro eller fire procent af virksomhedens årlige omsætning.Indtil videre har EU udstedt omkring 1400 bøder for i alt 2,4 milliarder euro ifølge GDPR-overvågningstjenesten Enforcement Tracker. Den højeste bøde hidtil blev givet til Amazon i juli 2021 på hele 746 millioner euro – Amazon har dog anket dommen.