Nu när alla organisationer och företag är fullkomligt bajsnödiga över GDPR är det bara en tidsfråga till falska begäran om informationsutdrag enligt GDPR börjar strömma in. Risken blir att nervösa företag i praktiken gör GDPR till en sorts offentlighetsprincip och inte säkerställer att det faktiskt är rätt person som begär ut uppgifterna. Jag har själv i bloggens GDPR-information tagit höjd för detta.
Vem är det som sitter bakom tangentbordet? |
Vem är det egengtligen som sitter bakom ett tangentbord. Bara för att en e-postadress heter [email protected] så behöver det inte vara Sven Nilsson (med SoldF:s legendariska personnummer) som står bakom det hela. Men “Sven Nilsson” kan ändå skicka in begäran om att få ut “sina” uppgifter från ett företag eller myndighet. Hur säkerställer man att det verkligen är rätt person bakom?
I själva verket riskerar GDPR missbrukas av falska begäran om utlämnande av personuppgifter och bli en sorts offentlighetsprincip där personuppgifter läcker istället för skyddas. T ex att någon utger sig för att vara en kändis och begär ut dennes information från försäkringsbolag mm, inklusive mailkorrenspondens.
Man kan tänka sig en våg av falsk begäran om utelämnande av information. Skvallersajter, tabloider mm kommer ha julafton.
Jag har ägnat detta lite tankeverksamhet och skriver i bloggens GDPR-information följande angående utlämnande av uppgifter
“Du har rätt att begära ett utdrag över den information Ängsjödal Text AB har om dig (i princip ingen alls) och Ängsjödal Text AB är skyldiga att rätta felaktiga, ofullständiga eller missvisande uppgifter. Vid begäran måste du ange de uppgifter du vill matcha mot (namn, personnummer, IP-nummer (lagras ej) etc), samt styrka din identitet för att säkerställa att inga personuppgifter lämnas ut på falsk grund eller till fel mottagare. Om du t ex kommunicerar via pseudonym eller e-post måste du bevisa att du är denna pseudonym och att ditt eventuella pseudonymkonto inte hackats eller spoofats av någon tredje part. Begäran kan därför ej lämnas ut elektroniskt då e-postadress eller motsvarande kan vara falsk eller hackad och du måste bevisa att du representerar en specifik avsändare. För Ängsjödal Text AB är dina obefintliga personuppgifter heliga och det är av största vikt att inte tredje part falskeligen kan få del av dessa via en falsk begäran. Skicka därför in din begäran skriftligt signerat av notarius publicus eller vidimerat av två externa personer 18 år eller äldre ej tillhörande ditt hushåll (=folkbokförda på samma adress), inklusive fotokopior på din egen och vidimerande personers legitimation komplett med personnummer. Vidimerande personer kan komma att kontaktas för bekräftelse och dessas kontaktuppgifter och personnummer måste anges. Begärd information kommer skickas till officiell folkbokföringsadress om det finns några som helst uppgifter lagrade. För att kunna bekräfta officiell folkbokföringsadress måste du ange ditt personnummer. De begärna uppgifterna kan komma att skickas som rekommenderad post för att mot uppvisande av legitimation lämnas ut hos adressens postombud. Den skriftliga begäran och den på papper utlämnade informationen kommer sparas på papper i åtta år för att vid tvist bevisa att begäran kommit in, besvarats samt vad som lämnats ut.
Skriftlig begäran med vidimering eller underskrift av notarius publicus skickas till:”
Det är av största vikt att inte personuppgifter lämnas ut till fel personer, så jag ser ingen annan utväg än att gå via vidimerade eller av notarius publicus kontrasignerade skriftliga begäran på papper.
Och ja, det loggas inga IP-nummer längre. IP-nummer anses vara personuppgifter och det är ogörbart att begära in medgivande om detta från varje besökare. Så jag kan inte längre se vad ni sitter. Grattis. Google Analytics kan dock ge aggregerad data för gruppen, som t ex länder, men inte för någon enskild person.
Som det står i den övriga GDPR-texten så lagras endast det som är lagkrav på, dvs faktureringsuppgifter i förekommande fall, samt det som är nödvändigt för avtal företag emellan som kontaktuppgifter till berörda personer på respektive företag. E-post raderas när den inte längre är relevant, så jag kan inte heller se vad du skrivit till mig tidigare. Nästan tio års e-post raderas alltså härmed.
GDPR riskerar alltså bli en väg in för att obehörigt få ut känsliga personuppgifter. Jag avser att testa detta genom att registrera en ny e-postadress i mitt namn och testa att begära ut information från olika företag och myndigheter, för att se om denna nya e-postadress får ut information. Jag bryter inte mot någon lag, då jag begär mina egna uppgifter, men kommer noga kontrollera hur man bekräftar att jag är jag.
34 kommentarer
Roligt test! Detta scenario är täckt av GDPR så förhoppningsvis har de dyra konsulterna täckt in detta:
"The controller should use all reasonable measures to verify the identity of a data subject who requests access, in particular in the context of online services and online identifiers. A controller should not retain personal data for the sole purpose of being able to react to potential requests."
… och …
"If the personal data processed by a controller do not permit the controller to identify a natural person, the data controller should not be obliged to acquire additional information in order to identify the data subject for the sole purpose of complying with any provision of this Regulation. However, the controller should not refuse to take additional information provided by the data subject in order to support the exercise of his or her rights. Identification should include the digital identification of a data subject, for example through authentication mechanism such as the same credentials, used by the data subject to log-in to the on-line service offered by the data controller."
Återrapportera gärna vilka som misslyckas med detta.
Inte jättestor utmaning för de som har autentiserad användare i exempelvis kundklubb. Att alla som inte har ett bra verktyg för att identifiera den som begär informationen kräver vidimerade kopior på identitetshandling är närmast självklart och ett bra sätt att hålla nere antalet okynnesansökningar om utdrag av personuppgifter.
Många verkar ha missat att de haft en liknande rättighet under artikel 26 i PUL under hela 2000-talet plus ett par år innan dess. Antalet ansökningar har kunnat räknas på ena handens fingrar även hos större företag.
Vi får nog se några som testar systemet i alla fall under nästa vecka, innan de tröttnar och går ut i solen istället. GDPR-day kommer passera med en gäspning, för företagen är så rädda för konsekvenserna att de nästan säkert skaffat sig en konsultstab som hjälpt till att utbilda deras DPO inklusive inom detta område.
Uff..överkomplexiteten hägrar.
Bank ID?
Ja, online-identifikation är definitivt något som kommer öka framöver tror jag.
Du kan via olika medier beställa registerutdrag, men måste fysiskt och personligen själv hämta ut uppgifterna och då man självfallet måste legitimeta sig med godkänd legitimationshandlin, pass, internationellt körkort eller likmande. Enligt direktivet kommer det heller icke vara tillåtet att anlita ombud för detta, fysiskt, personligen, med legitimation, punkt.Direktiven är helt glasklar på denna punkt, så det kommer inte att kunna uppkomma någon risk att någon tar ut uppgifter i någon annans namn/ för någon annans räkning
Att "hämta ut"uppgifter om någon annan är i Sverige oerhört lätt genom offentlighetsprincipen.
Skolbetyg, utbildningar, fastighetsuppgifter, deklarationer mm, ja så gott som ALLT som är ingivet till en svensk myndighet är allmänna offentliga handlingar och kan begäras ut av "vem som helst" som heller inte heller behöver uppge siina egna uppgifter, data eller namn eller vad denne skall göra med de begärda uppgifterna.
"Oj", finns det "offentlighetsprincip" i Sverige? Det hade jag "ingen aning om". Fast den rör bara inkommande och utgående "handlingar", inte vad som finns i "register".
Uppgifter om fastigheter, utbildningar, barn, ex. etc. finns i register ja!
Personnumret är nyckeln och att ta reda på någons personnummer är mycket enkelt.
Arbetade själv en gång i tiden – andra hälften av 90-talet på Skatteverket IT enheten för folkbokföring..
Mera: Fordonsinnehav, senaste resultat på besiktning, företagsinnehav mm finns också i just register och lämnas ut på begäran.
Däremot kan jag dock inte exv. få ut uppgifter om @Ben Dover – eller någon annan – prenumererar på kalsonger eller annat från något privat företag eller verksamhet…
Vad har det med GDPR att göra, Bengt?
@Joakim Persson
Hänvisar tillv ad som skrivits i inledningen till detta blogginlägg…
".. När kommer första falska begäran om uppgifter enligt GDPR?
Nu när alla organisationer och företag är fullkomligt bajsnödiga över GDPR .."
.. alla organisationer…
Självklart gäller offentlighetsprincipen inte enkom inkommande och utgående handlingar. "Upprättad" är nyckelordet i sammanhanget, vilket en handling anses vara när den inkommit eller utgått från en myndighet men även en ren registeruppgift kan absolut anses vara upprättad.
Cornu: det går bra att kolla upp i registret också. Varit på SKV och kollat mitt skattekonto utan krav på legitimering.
Det är egentligen bara känsliga uppgifter som inte lämnas ut….
Vår käre bloggare skrev ju också: ".. Jag avser att testa detta genom att registrera en ny e-postadress i mitt namn och testa att begära ut information från olika företag och myndigheter,.."
Myndigheter…
Det är bara att traska in till valfri myndighet och begära ut uppgifter om [ personnummer ] och man behöver inte tala om vem man är eller vad man skall göra med dessa uppgifter.
undantaget är dock de uppgifter som polisen har i sina register och de uppgifter som sjukvården har i sina register. Dessa kan bara den enskilde själv få ut.
Uppgifter om domar i rättssystemet är däremot offentliga handlingar..
Men mina uppgifter om mina kalsongprenumerationer kan ingen annan än jag själv få ut! 😉 Så det så!
Ja Bengt, men det är inga konstigheter. Offentlighetsprincipen gäller som vanligt.
"Artikel 86
Behandling och allmänhetens tillgång till allmänna handlingar
Personuppgifter i allmänna handlingar som förvaras av en myndighet eller ett offentligt organ eller ett privat organ för utförande av en uppgift av allmänt intresse får lämnas ut av myndigheten eller organet i enlighet med den unionsrätt eller den medlemsstats nationella rätt som myndigheten eller det offentliga organet omfattas av, för att jämka samman allmänhetens rätt att få tillgång till allmänna handlingar med rätten till skydd av personuppgifter i enlighet med denna förordning."
Man kan säkerställa någons identitet genom att använda bank ids testsida för signering. Test.bankid.com
Be om den begärandes personnummer så får denna signerar testet. Du får namn och personnummer. Kräver dock att man i princip håller någon form av direkt dialog (telefon) för att förfrågan inte ska drabbas av timeout
Okänsliga uppgifter borde kunna skickas till folkbokföringsadressen till den som frågar.
Svenska språknämnden rekommenderar "begäranden" som pluralform, är nog smått böjd att instämma.
Jag tycker nog inte att det ligger i registrerande att säkerställa att begära rena identitet INTE blicken kapad dvs att någon annan kan identifiera sig med den.
Vidare finns det ofta ingen vits med att säkerställa annat än just den identitet de söker uppgifter om. Att säkra någons fysiska identitet (pnr) är helt meningslöst ifall man vill ha uppgifter om en pseudonym – du kan ju inte veta om de hänger ihop.
Utöver det senare så kan nog en övernitisk kontroll av begärarens identitet anses vara en vägran att lämna ut personuppgifter. Krav på notarius kan vara en sån faktor, isht ifall uppgifterna som skulle lämnas ut inte är speciellt känsliga.
Notera det andra stycket också innebär att man faktiskt blir hänvisad till att anta att kontroll över kontot är tillräckligt styrkan de av identitet.
Det är krav på identifikation, se Joakim Perssons första kommentar. Signerat och vidimerat, samt kopior på legitimation är rimliga åtgärder för identifikation. Notarius publicus är ett alternativ för den som inte har någon som kan vidimera.
Men till vilken nytta? I detta fallet styrker de ju på inget sätt att det är en behörig fråga. Det är fråga om det då kan kallas för identifikation egentligen?
Om jag t.ex skickar vidimerade kopior av id-handlingar för 460430-0014 vad hjälper det dig för att angöra vilka eventuella uppgifter du har för min pseudonym ("Anonym")? Inte ett dugg skulle jag vilja säga.
Du får väl posta något som Anonym, som bekräftar det hela. Oavsett måste du väl styrka att du är en privatperson. Du kan ju t ex vara en organisation som postar, t ex en PR-byrå, och inte en privatperson.
Och när man skickat in alla formulären korrekt ifyllda så returnerar Cornu ett tomt A4 ark då det inte fanns någon information lagrad…
Cornu: det där är ju bara trams (ja nästan iaf). Rent faktiskt sitter det en privatperson anställd och har möjlighet att bifoga handlingar som du inte har möjlighet att kontrollera relevansen av. Till och med om det är en robot så kan det luskas fram id-handlingar.
Så i praktiken så är du tvungen att lämna ut uppgifter även om det inte är en privatperson bakom pseudonymen. För att du inte kan veta.
Mnils: det var bara ett hypotetiskt exempel. I exemplet skall ju faktiskt antas att det finns uppgifter lagrade.
Kanske är man dock nödd att kolla Id innan man svarar att det inte finns några uppgifter (vissa fall kan annars känslig info läcka)
Jag tror din analoga hantering av utskick kan strida mot portabilitets-principen.
https://gdpr-info.eu/art-20-gdpr/
"The data subject shall have the right to receive the personal data concerning him or her, which he or she has provided to a controller, in a structured, commonly used and machine-readable format and have the right to transmit those data to another controller without hindrance from the controller to which the personal data have been provided, where:"
Att bara lämna ut utskrifter anses nog inte vara maskinläsbart – det går alltså inte att som i vissa filmer/verkligheten skicka källkod eller liknade till en domstol på utskrivet papper efter ett domstolsutslag.
Då får det väl stå en URL i brevet att ladda ner innehållet från.
OCR programvara har funnits länge, om inte det är maskinläsning vad är det då?
Det blir väl som när Telia tvingades lämna ut uppgifter till andra operatörer, de tillhandahölls på magnetband som var så gamla att det det var fullständigt omöjligt att få tag på utrustning som kunde läsa dem…
Med lite erfarenhet är det bästa sättet att avskräcka från detta att lägga till en text med att förfrågningar av uppenbart onödig karaktär (gärna så otydligt skrivet som möjligt då första ska vara gratis) kommer att debiteras en administrativ kostnad.
Risken är dock att det kanske inte avskräcker någon som vill djävlas. Då istället för att begära ut uppgifter så informerar man myndigheterna om det.
Frågan är vilket som är värst: att behöva svara på 5 okynnes-förfrågningar eller behöver förklara sig för myndigheterna varför man inte följer GDPR (med risk för straff)?
Ja, visst råder det en viss förvirring kring GDPR. Vi får väl se vad som händer när den väl träder i kraft…
https://www.svt.se/nyheter/lokalt/vastmanland/salabostader-vill-registrera-sexuell-laggning-etnicitet-och-politisk-asikt-pa-blivande-hyresgaster
Hehe, du avslöjade precis min hemliga taktik för att sänka en tidningsredaktion.