De fleste af os er bevidste om, at store tech-firmaer som Google, Facebook, Apple, Microsoft, Twitter, Netflix og Spotify sidder på enorme mængder data om vores adfærd på nettet, så de nærmest kender os bedre, end vi selv gør. Men hvem ligger ellers inde med dine personlige oplysninger? Det er efterhånden umuligt at vide og det vil et nyt EU-støttet projekt, som DTU er involveret i, gøre op med.
”Problemet er, at vores data ligger overalt og det er svært at finde ud af, hvilke virksomheder der har adgang til det og har solgt det videre. Vi vil gøre det hele mere gennemsigtigt,” siger Weizhi Meng, der er lektor i cybersikkerhed på DTU Compute.
DataVaults er en slags digital sikkerhedsboks, hvor man kan lægge sine persondata bag lås og slå og kontrollere, hvem der har adgang og hvornår. Man får besked, når virksomheder, myndigheder eller andre tilgår ens oplysninger og platformen kan vurdere risici forbundet med at dele ens oplysninger i forskellige sammenhænge.
Persondata som din alder, køn og adresse kan virke ganske uskyldige, men falder alle oplysningerne i de forkerte hænder, kan det få alvorlige konsekvenser.
”I en digitaliseret verden er persondata de vigtigste aktiver. Hvis dine data er blevet lækket, så kan hackere bruge det til at skabe en falsk identitet af dig. De kan potentielt lave falske pas eller kreditkort i dit navn eller sende meget specifikke phishing-emails til dig ud fra, hvad de allerede ved. Derfor er det så vigtigt at beskytte vores persondata,” siger Weizhi Meng.
GDPR er stadig en udfordring for virksomheder
Man kan ikke snakke om persondatasikkerhed uden at nævne GDPR. EU’s lovgivning om beskyttelse af persondata rykkede ved it-verdenens tektoniske plader, da den blev indført i 2018 og giver stadig anledning til forvirring blandt virksomheder. Og DataVaults skal ikke kun hjælpe privatpersoner, men også virksomheder, der kan bruge platformen til at sikre, at de overholder alle regler, når de indsamler oplysninger om alt fra medarbejdere til kunder og samarbejdspartnere.
”Det er en stor udfordring for mange virksomheder at overholde GDPR. De ved ikke, hvordan de skal implementere GDPR-retningslinjerne, fordi det er meget kompliceret stof,” siger Weizhi Meng.
En undersøgelse fra Rådet for Digital Sikkerhed har vist, at knap halvdelen af alle små og mellemstore virksomheder er udfordret af lovkravene til persondatabeskyttelse og 67% mener, at det er vanskeligt at vurdere, hvordan anvendelse af data kan ske på en dataetisk måde.
”Der er ikke nogen tvivl om, at det har været op ad bakke for langt størstedelen af virksomheder,” siger Henning Mortensen, formand for Rådet for Digital Sikkerhed.
Senest har EU’s såkaldte Schrems II-dom (se faktaboks) skabt usikkerhed, fordi den i praksis gør det problematisk at bruge amerikanske cloudtjenester og platforme, såsom Google Analytics, fordi de kan risikere at overføre persondata til deres moderselskab i USA.
”Det er et kæmpe problem for alle virksomheder og egentlig også myndigheder, og der kan GDPR blive en barriere for dem. I bedste fald er det uklart, hvad man må gøre, når man bruger internationale tjenester, især cloudtjenester, og i værste fald kan de slet ikke bruge dem,” siger Henning Mortensen.
Han hilser derfor et initiativ som DataVaults velkommen.
”Der er helt klart behov for løsninger, der kan indsamle data på en måde, der beskytter vores persondata. Det kan være med til, at der vil være en større grad af villighed til at stille sine data til rådighed for almennytte,” siger Henning Mortensen.
