Därför vill Google veta allt om dig

Transkript

1 Datainspektionens tidning nr 1/2012 Vi har svaren på frågorna om din patientjournal Tips: Så här försvinner du från Googles radar Därför vill Google veta allt om dig

2 omvärlden Integritet i fokus produceras av Data inspektionen Box 8114, Stockholm Tfn (växel) Ansvarig utgivare Göran Gräslund Redaktör Per Lövgren Formgivning Fredrik Karlsson Omslag Foto: Rene Tillmann/Scanpix Tryck Tryckt hos Ineko AB i Årsta på Arctic Volume White papper. Miljömärkt trycksak ISSN Kontakta redaktionen Har du synpunkter, tips på artiklar eller frågor om tidningen? Mejla till redaktionen@datainspektionen.se. Nej till Google i Norge Norska Datatilsynet säger nej till de företag och organisationer i landet som vill använda molntjänsten Google Apps. Google Apps strider på flera sätt mot vår dataskyddslagstiftning, säger myndighetens chef Björn Erik Thon. Datatilsynet har granskat hur Narviks kommun använder sökjättens tjänster för e-post och kalender. Myndigheten är kritisk till att kommunen inte har någon faktiskt möjlighet att kontrollera att personuppgifterna hanteras i enlighet med lagens krav. Till exempel vet de inte var i världen som deras information lagras, och vem som kan komma åt den, skriver Datatilsynet i ett pressmeddelande. Om Google och andra internationella företag vill erbjuda molntjänster till norska företag, måste de erbjuda tjänster som tar hänsyn till norsk och europeisk dataskyddslagstiftning. ta reda på vilket TV-program som hushållet ser på genom att analysera elförbrukningen. Företaget bakom tjänsten menar att man använder så korta mätintervall för att kunna erbjuda kunden tjänster som till exempel att varna att man glömt strykjärnet på. Biometrisk databas ska förhindra visumshopping Nu har det första steget tagits för att införa VIS eller Visa Information System. VIS är en central databas som ska lagra personuppgifter, fotografier och biometriska uppgifter i form av fingeravtryck för personer som ansöker om visum till något av länderna i Schengenområdet. Tanken med VIS är att förhindra så kallad visumshopping, vilket innebär att en person som nekas visum i ett land söker visum till något annat Schengenland för att därifrån ta sig vidare till det första landet. Systemet ska användas av samtliga tretton EU-länder som ingår i Schengenområdet. För svensk del införs VIS först på ambassaderna i Kairo i Egypten och i Rabat i Marocko. Gratis prenumeration En prenumeration på Integritet i fokus är gratis. Lättast anmäler du dig på vår webbplats. Integritet i fokus kan även laddas ner i pdf-format från vår webbplats. Tidningen kommer ut fyra gånger per år. Besök På vår webbplats kan du läsa mer om integritetsfrågor. Passa även på att prenumerera på vårt nyhetsbrev så får du pressmeddelanden och annat aktuellt från Datainspektionen. Forskare oroliga för smarta elmätare Två tyska forskare uttrycker oro för smarta elmätare. Denna typ av mätare registrerar kontinuerligt ett hushålls elförbrukning och rapporterar det vidare till en tjänst på Internet. Forskarna anslöt sig till en sådan tjänst för att se hur mycket information som kunde samlas in om dem. Den smarta elmätaren registrerar strömförbrukningen med två sekunders intervall vilket enligt forskarna kan göra det möjligt att upptäcka väldigt små nyansskillnader i förbrukningen, som exempelvis olika ljusstyrka för olika scener i TV-program. Teoretiskt sett ska det alltså vara möjligt att Google vill veta ÄNNU mer I USA har Google bjudit in användare att delta i en användarpanel. Orsaken är att företaget bättre vill förstå hur vi använder webben, vilken tid på dagen vi surfar, hur länge man besöker olika sajter och liknande. Som deltagare i panelen installerar man ett tillägg i sin webbläsare som gör att Google löpande får information om sajterna som besöks och vad man gör på dem. Deltagarna får fem dollar i lön plus ytterligare fem dollar var tredje månad som man deltar. Google har nu stängt antagningen till panelen och skriver att intresset varit överväldigande med många, många tusen sökande. 2 Integritet i fokus nr Datainspektionen

3 sverige Vad retar dig mest på Facebook? 56% 19% 8% 6% Irritation gör att var tredje vill lämna Facebook Enligt Aftonbladet överväger var tredje svensk att lämna Facebook. Den främsta orsaken? Irritation över människor som publicerar för mycket om allt varje dag. Tidningen hänvisar till en undersökning som en kommunikationsbyrå låtit genomföra där personer i åldrarna 18 till 65 år i flera olika länder svarat på frågor om sociala medier. Men, som tidningen också säger, det återstår att se hur många som faktiskt gör slag i saken och raderar sitt Facebook-konto. Datainspektionen står maktlös 11% Vänner som skriver om allt varje dag Vänner som klagar på allt och alla Vänner som skryter i sin status Vänner som publicerar bilder på sina barn Vänner som inte kan stava Fråga på Aftonbladets webbplats i samband med artikeln om att många vill radera sitt Facebook-konto svarade. Alla gör det. Publicerar listor över vem som har mest makt i Sverige. Men vem har egentligen minst makt? Det undrar Aftonbladet och publicerar en lista över vad tidningen anser vara de 100 mest maktlösa i Sverige. Datainspektionen kommer in på en mindre hedrande 51:a plats, dock efter Caremas anställda, de vietnamesiska bärplockarna och arbetsförmedlarna. Aftonbladet hänvisar till en debattartikel där Datainspektionens generaldirektör uttrycker maktlöshet när det gäller att bekämpa kränkningarna på Internet. Listan i sin helhet hittar du här: Ytterst få åtal för brott mot personuppgiftslagen Kränkningar på Internet kan vara fråga om både ärekränkningsbrott och brott mot personuppgiftslagen. Åklagarmyndigheten har under åren registrerat misstankar per år om brott mot personuppgiftslagen, att jämföra med registrerade misstankar om ärekränkningsbrott per år. Under åren finns det dessutom endast två registrerade åtal för brott mot personuppgiftslagen. Eftersom många ärekränkningsbrott numera äger rum på Internet kan det antas att ett stort antal misstankar om brott mot personuppgiftslagen inte anmäls eller registreras hos varken polisen eller Åklagarmyndigheten, skriver myndigheten i ett så kallat rättspm. En orsak till detta kan vara att en del klagomål ställs direkt till Datainspektionen, som sedan gör en första gallring och därefter i några enstaka fall beslutar att polisanmäla personuppgiftsbehandlingen. En annan förklaring kan vara okunskap om regelsystemet hos dem som blivit utsatta för en kränkande publicering. Rekryterare kontrollerar Facebook-profiler Internetsökningar och att kontrollera sociala medier som Facebook blir en allt viktigare källa till information för Är du rädd för att chefen ser din Facebook-profil? 87% Ja, då skulle jag få sparken Nej, jag är fläckfri 13% Fråga på DN:s webbplats svarade. dem som arbetar med rekrytering. Det visar en undersökning som gjorts av Stockholms Handelskammare och Info- Torg. Enligt undersökningen kontrollerar 40 procent av alla rekryterare kandidater på Facebook och 37 procent söker information på nätet. Det blir allt vanligare att företag söker information om jobbkandidater på Facebook och Google. Därmed gäller det att arbetstagare tänker på vad de lägger ut för information på Facebook, säger Johan Treschow vid Stockholms Handelskammare. Frivilliga brottsutdrag ökar lavinartat Antalet arbetsgivare som kräver att en arbetssökande frivilligt ska visa upp ett utdrag från Polisens belastningsregister ökar lavinartat, skriver tidningen Dagens Juridik. Tidningen refererar till statistik från Rikspolisstyrelsen som visar att antalet fall där enskilda begär registerutdrag mer än fyrdubblades mellan åren 2003 och 2011, från till Rikspolisstyrelsen uppskattar att runt 90 procent av de som begär utdrag över sig själva är arbetssökande. Integritet i fokus nr Datainspektionen 3

4 Därför vill Hur hanterar Google sina data om oss användare? Och varför tycks många vara oroliga för Googles nya regler? Sydsvenskanjournalisten Andreas Ekström, författare till den enda svenskspråkiga boken om Google, reder ut begreppen. När Google börsintroducerades 2004 valde grundarna Sergey Brin och Larry Page att göra saker på sitt eget sätt. Det gör de alltid. Det betydde bland annat att aktiepriserna togs fram efter en gammal holländsk auktionsmodell, och att den programförklaring som medföljde börsintroduktionen fick en alldeles egen språkdräkt. Den väckte stor uppmärksamhet för sina offensiva formuleringar kring socialt ansvar, kundhänsyn, miljöhänsyn och anständighet i största allmänhet. Det finns personer på Google, framför allt sådana som arbetar med lobbyism och politik och pr, som avskyr det där brevet nästan lika mycket som de avskyr Googles informella slogan don t be evil. För så fort något ändras, så fort Google närmar sig vad styrelseordförande Eric Schmidt har kallat the creepy line, gränsen där saker och ting blir lite läskiga eller obehagliga då måste Google räkna med att möta stor misstänksamhet och stark kritik. Ni sa ju att ni skulle vara extra snälla? Är ni verkligen det? Vårens stora förändring av användarregler hos Google är ett strålande exempel på de här mekanismerna. Förändringen är egentligen bara ett slags uppstädning. Google har haft ett sjuttiotal olika policydokument om hur våra data hanteras och vilka rättigheter vi har som användare nu standardiseras de till ett enda, och Google säger öppet för första gången det som alla redan vet: 4 Integritet i fokus nr Datainspektionen

5 Google veta allt om dig Från och med nu samlar vi all information om ditt Googlerelaterade nätbeteende. Det låter kanske lite obehagligt. Google vet alltså vem jag mejlar med? Vilka adresser jag besöker? Vilken sorts klipp jag brukar kolla på YouTube? Ja. Visst är det så. Men så var det förut också. Hade världens användare på allvar oroat sig för konsekvenserna av detta hade Google inte tjänat sina knappt svenska kronor netto i sekunden även i år. Google-trogna svenskar När jag möter företag, bokläsare, lärare, skolelever, tekniker, medicinfolk, politiker och andra som vill diskutera de här frågorna brukar jag peka på en intressant paradox. Svenska folket har visat sig strålande duktigt och engagerat i digitala privatlivsfrågor när det gäller statens inblandning i våra liv. Vi blev så engagerade att vi röstade in Piratpartiet i Europaparlamentet. Samtidigt är vi ett av världens mest Google- och Facebook-trogna folk. Hur kunde det bli så? Hur kan vi vara så misstänksamma mot vår egen demokratiskt framröstade regim, men så aningslösa inför amerikanska storföretag? Det finns en strålande rolig skämtteckning som cirkulerar på internet, som i sin enkla genialitet förklarar precis. Två grisar står och pratar med varann och konstaterar att de har det jättebra. De betalar ingen hyra för stian. Maten är också gratis. Påminnelsen undertill är självklar: När du inte är den betalande kunden, då är du i själva verket sannolikt produkten som säljs. Just så är det för oss alla som använder Google. Googles affärsidé är att erbjuda den extremt väl nischade annonsen till precis rätt kund. För att lyckas med det, och ta ännu mer än de cirka 35 procent av världsmarknaden för nätannonsering som företaget har, så behöver de helt enkelt veta så mycket som möjligt om oss. När jag som är 36 år, hårlös och bosatt i Skåne får en annons för hårtransplantationer i Malmö så är det naturligtvis en lite rolig och mycket lyckad nischning. Men den är inte svår att göra. Det behövdes bara tre parametrar för att matcha just den annonsen mot just mig. Vad händer om man lägger till hela mitt samlade nätbeteende? Då kommer Google, och även Facebook, att presentera mig för böcker, resor, saker och idéer som jag inte ens visste att jag ville ha. För sent att ändra sig Kost och logi är gratis i svinstian. Väger fördelarna över? Om Google sköter sig dåligt är svaret givetvis nej. Om Google ändrar sina principer om att inte sälja detaljerad information vidare till tredje part är svaret nej igen. Google gör nu inte det, eftersom det skulle leda till uppror och användarflykt. Men om det ändå händer då är det för sent att göra något. Då har vi alla redan matat världens mest kraftfulla superdator, en kombination av ett fyrtiotal serverhallar i Googles ägo världen över, med allt vi har. Så varför reser sig inte världens nätmedborgare i ett gigantiskt uppror mot denna Den 1 mars 2012 ändrades Googles användarvillkor. Förändringen innebär bland annat att ett sjuttiotal olika policydokument blir till ett. Hur kan vi vara så misstänksamma mot vår egen demokratiskt framröstade regim, men så aningslösa inför amerikanska storföretag? Integritet i fokus nr Datainspektionen 5

6 mardröm av potentiell privatlivsinsyn? Det finns några möjliga förklaringar, där den enklaste är den troligaste: Google hjälper mig i vardagen på ett sätt som har gjort det svårt för mig att ens i fantasin försöka fundera ut hur jag ska kunna leva mitt nätliv utan Google. Det funkar. Det känns bekant. Det känns pålitligt. Jag väljer att ta risken, eftersom tjänsten jag får i utbyte är så lysande bra. De flesta av oss vet inte särskilt mycket om hur nätteknik faktiskt fungerar. Ett enkelt exempel finns i det tankefel som de flesta användare gör sig skyldiga till. Vi tänker på Google som en sajt till vilken vi ställer en fråga, och sedan får ett svar. Det verkligt intressanta går dock i motsatt riktning. Vi ställer ungefär frågor per sekund till Google, i hela världen, på nästan alla språk, om precis allt. Recept på fisksoppa, Carl Bildts cv, Datainspektionens postadress, backhoppningen i Garmisch-Partenkirchen på nyårsdagen Alla våra frågor ställer vi till Google, hela tiden, i en sådan omfattning att ingen annan aktör i världen vet så mycket om vad mänskligheten vill just nu. Vad vill vi köpa? Sälja? Vad är vi rädda för? Vem tänker vi rösta på? Vilka sexuella preferenser har vi? Avancerade sökanalyser Google kan på ett mycket sofistikerat sätt analysera sina sökströmmar. Redan 2008 prickade man resultatet i det amerikanska presidentvalet i förväg, bara genom att analysera sökningarna på Barack Obama och John McCain delstat för delstat. Samma höst kunde man följa den världsomspännande influensans utbredning i realtid eftersom alla googlar på saker som feber, frossa och vaccin när de blir sjuka, och dessutom gör det innan de går till doktorn. Att pricka en vinnare i Eurovision Song Contest? Inte ens svårt, det är ju bara att se vilket bidrag som har flest visningar på YouTube och vilket som är mest eftersökt i sökmotorn. Ska man se det från Googles eget perspektiv är hela saken mest teknisk. Om vi vet Frågor och svar om Googles nya policy fakta 1. Vilket är huvudmålet med förändringen? Ett: att du ska få vassare sökresultat. Två: att du ska bli ett tydligare mål för annonsörer. 2. Vad händer om du är Googleanvändare med Googlekonto? Du kommer att få påstötningar om att det finns en ny användarpolicy, genom annonser och genom e-post. Du kan sedan räkna med att dina sökresultat blir allt mer personliga. Så är det visserligen redan i dag, men den funktionen vill Google nu prioritera. Webbläsaren Google Chrome, shoppingverktyget Google Wallet och Google Books samkörs inte. 3. Hur gör jag för att slippa? Det kan du inte, med mindre än att du slutar vara inloggad Googleanvändare. Du kan dock obstruera datainsamlingen, genom att vara noga med att logga ut och genom att använda olika webbläsare och ha en internetleverantör som kontinuerligt byter ditt IP-nummer. Googla också Ads preferences manager för att se hur du lagras som användare gentemot annonsörer. 4. Om jag har en Androidtelefon, vad händer då? Mitt bästa råd: Acceptera att du är Googleanvändare fullt ut. Är du inte bekväm med det kommer du aldrig att vara bekväm med en Android. Du kan dock gå runt det, genom att ta en backup på dina data och sedan återställa telefonen, utan att logga in med ditt Googlekonto, och så sedan aktivt välja andra lösningar för webbläsning och mejl och så vidare. 5. Om jag inte har ett konto då men ändå brukar använda Google? Då är det lugnt. Google använder visserligen data om ditt surfande ändå, men mer för den genomgripande statistiken än för att ringa in dig som användare och kund. 6 Integritet i fokus nr Datainspektionen

7 mycket om dig får du en bättre service från oss, punkt slut. Ingenjörens perspektiv kommer alltid först hos Google, och det måste var och en som försöker förstå företagets själ inse. Nej, Google har sannolikt inga planer på politiskt världsherravälde, eller på att sälja känsliga uppgifter om vår hälsa till tredje part, eller att låta någon tveksam regim ta en titt i företagets databaser för att hitta dissidenter. Alla sådana frågor och värden är sekundära. Google handlar om teknik, ingenjörens status kommer alltid att vara högre än privatlivsexpertens eller den politiska analytikerns, och det enda målet är att bygga en så bra tjänst som möjligt. Att sedan sälja annonser eller på annat sätt tjäna pengar på tjänsten i fråga, det är alltid steg två. Egentligen inget nytt Återstår nu att fråga sig varför en ny samlad privacy policy får så många att reagera. Normalt sett sansade teknikkommentatorer kallar vårens förändringar för Googles slutliga steg till den onda sidan. Det är svårt att se rimligheten i det. Så långt bak som till oktober 2005, möjligen ännu längre, har Google klart och tydligt deklarerat följande: We may combine the information you submit under your account with information from other Google services or third parties in order to provide you with a better experience and to improve the quality of our services. I ungefärlig översättning: Vi kan komma att kombinera den information du lämnar ifrån dig med information från andra Googletjänster eller samarbetspartners för att bygga en bättre tjänst för användaren. Vem trodde egentligen att det inte var så? Personer som oroar sig för vad Google vet hänvisas ofta till Google Dashboard, som på svenska har ett ännu bättre namn, nämligen Google Översikt. Där listas rakt och enkelt vilka Googletjänster som varje användare har, och vad som finns lagrat där. Och det är förstås utmärkt. Men det är samtidigt långt från pudelns kärna för det verkligt intressanta i kommersiell mening, och givetvis också ur ett integritetsperspektiv, är knappast hur många filmer jag har laddat upp på YouTube eller hur många kontakter jag har i Google Plus. Det intressanta är summan av hela mitt beteende, främst mina sökningar och mina sociala interaktioner med andra människor. Och på det djupet kan den vanlige användaren inte se, analysera eller påverka nästan något alls. Googles ställning är stor, dominant och komplex. Internet förtjänar användare som sätter helt annan press på de företag som vi låter sköta så många viktiga saker för oss. Men det i sig betyder inte att våra liv inte även framgent kan ha en privat sfär. Mark Zuckerberg, Facebooks grundare, har varit mycket tydlig i sina besked om motsatsen: privatliv är något som hör det förflutna till. Det han sannolikt menar är då inte att varje detalj i en människas liv ska vara möjlig att hitta för vem som helst han pekar snarare på en kulturförändring. Är man född in i den digitala revolutionen kommer man att ha en annan syn på vad det vill säga att vara människa. En trettiosexåring som söker jobb i dag kan mycket väl nekas på grund av ett gammalt utbrott på Facebook eller en ofördel- Googles mål med sin nya policy är att du ska få bättre sökresultat, och bli ett tydligare mål för annonsörer. Nej, Google har sannolikt inga planer på politiskt världsherravälde eller på att sälja känsliga uppgifter om vår hälsa. Integritet i fokus nr Datainspektionen 7

8 aktig partybild. Om tio år tror Mark Zuckerberg kommer den som anställer snarare att säga visst, du kräktes på en bild på Facebook när du var yngre, men vem har inte kräkts på en bild på Facebook? Välkommen!. Den som lever får se. foto: pontus tideman Andreas Ekström är journalist och författare till boken Google-koden. Rätten att bli borttagen I det här sammanhanget bör också Googles framtid som supercensor nämnas: I flera europeiska länder drivs frågan om rätten att bli glömd. I korthet är detta en lagidé som ska göra det lättare för var och en som har råkat ut för ofördelaktig publicitet att slippa den. En tandläkare som prickats av Hälsooch sjukvårdens ansvarsnämnd för åtta år sedan, och som vill slippa en sådan träff vid sökning på hans namn, ska enligt lagidén som diskuteras i Frankrike och Spanien då ha rätt att kräva av Google att ta bort länken i sökresultaten. Man kan bara ana vilken enorm apparat detta skulle bli, med anmälningar och överklaganden och manipulationer. Det är inte sannolikt att någon lagstiftande församling kan klara att skriva en sådan lagtext men det är värt att observera känslorna bakom idén. Samtidens reflex är att lösa saker juridiskt, i stället för att lösa dem kulturellt, enligt Mark Zuckerbergs tankesätt här ovan. Så länge inte världen lyder under en enda global jurisdiktion är lagstiftning ett mycket trubbigt vapen. Aktiva användare, som sätter sig in i vad som gäller och som tillsammans genom sitt beteende formar en ny kultur, kommer alltid att vara starkare. Den som känner sig misstänksam kan naturligtvis avsluta sitt Googlekonto. Men det kan vara väl så ansvarsfullt att verka inom systemet i stället, och göra sig mer bekant med vad som faktiskt gäller. Rädsla är en sämre drivkraft än nyfikenhet. Andreas Ekström Stoppa spårningen i Googles annonsnätverk AdSense Google tjänar sina pengar på att sälja annonser. Företagets annonssystem AdSense visar annonser som är anpassade efter dina surfvanor och intressen. Vilka intressen du har är kopplat till en annonscookie som lagras i webbläsaren. Vill du se vilka intressen Google anser att du själv har, och vill ändra dessa intressen eller helt stänga av möjligheten för Google att visa intressebaserade annonser besöker du följande webbsida: För att stänga av kartläggningen av dina intressen klickar du på Välj bort. Använder du Googles egen webbläsare Chrome kan du dessutom installera tillägget Keep My Opt-Outs som gör att flera andra annonsnätverk inte kan kartlägga dina surfvanor. Det gör du genom att öppna Chrome och besöka adressen (var noga med små och stora bokstäver). Se till att Google inte letar efter ditt trådlösa nätverk Sedan Street View-skandalen uppdagades under 2010, har Google nu sett till att alla som har trådlöst nätverk kan ställa in detta så att Googles kamerabilar ignorerar uppgifter om det trådlösa nätverket. Alla trådlösa nätverk har ett namn, ett så kallat SSID. Genom att lägga till _nomap i nätverksnamnet så kommer Google inte att lagra några uppgifter om nätverket. Heter ditt nätverk Linksys, ändrar du alltså namnet till Linksys_nomap. Hur du byter namn på just ditt nätverk står i manualen till din trådlösa router. 8 Integritet i fokus nr Datainspektionen

9 Så försvinner du från Googles radar Oroad över hur Google kan spåra dig på Internet? Lugn, det finns hjälpmedel att ta till som gör dig mindre synlig i sökjättens ögon. Google Analytics är ett verktyg som gör det möjligt för den som har en webbplats att samla in statistik om sina besökare. Verktyget är bra och gratis vilket gjort att många webbplatser nu använder Analytics för att se hur många unika besökare de har, vilka sidor som besöks, hur länge en besökare stannar på en viss sida med mera, med mera. Samtidigt innebär det att Google får enormt mycket uppgifter om våra surfvanor. Det går dock att säga åt Google att man inte vill att ens egna besök på olika webbplatser ska redovisas till Google Analytics. Det gör man genom att installera ett tillägg i sin webbläsare. Det är Google självt som tagit fram tillägget. För att installera det öppnar du din webbläsare och besöker adressen: /gaoptout Vad som händer därnäst beror på vilken webbläsare du har. Om du använder Internet Explorer 1. Klicka på Get Google Analytics Optout Browser Add-on för att hämta tillägget till webbläsaren. Acceptera användarvillkoren och installera tillägget. 2. När installationen är klar behöver Internet Explorer startas om. 3. När webbläsaren startats om måste du till sist välja att aktivera tillägget. Om du använder Firefox 1. Klicka på Get Google Analytics Optout Browser Add-on. Du måste sedan tillåta Firefox att hämta tilllägget. 2. Klicka på Installera nu i nästa dialogruta som visas. 3. Även Firefox måste startas om för att tillägget ska kunna installeras. Om du använder Chrome I Googles egen webbläsare Chrome installerar du tillägget genom att gå till webbadressen ovan. 1. Klicka på Get Google Analytics Opt-out Browser Add-on. 2. Nu visas Chromes sida för tillägg till webbläsaren. Klicka på Add to Chrome i dialogrutan som visas. 3. Klicka därefter på Installera för att bekräfta installationen. Så flyttar du dina data från Google Burfria data. 100 procent frigående. Så står det skämtsamt på en klisterdekal från Data Liberation Front. Denna befrielsefront består av en grupp ingenjörer från Google med ett annorlunda mål: att se till att det ska vara så lätt som möjligt för användare att sluta använda Googles tjänster och att flytta sina data till andra företags tjänster. På webbplatsen org finns information om hur man gör för att flytta från Google. Det är fronten för datafrigörelse som tagit fram tjänsten Google Takeout som företaget introducerade förra året. Tjänsten gör det möjligt att kopiera sina data från olika Google-tjänster, som Docs, kontakter och Picasa-bilder. Använder du någon av Googles tjänster och vill prova Takeout besöker du webbadressen: Där väljer du vilken tjänst du vill hämta ett arkiv ifrån. Resultatet tycks dock variera, när vi själva provade att hämta våra kontakter i Gmail följde en bråkdel av alla kontakter med. Fronten för datafrigörelse består av en grupp Google-anställda som ska göra det så enkelt som möjligt att sluta använda företagets tjänster. Integritet i fokus nr Datainspektionen 9

10 Finns morgondagens patien Ny teknik kommer att flytta mycket av vården från sjukhus och vårdcentraler till hemmet, menar Drasko Markovic. På Facebook delar allt fler med sig av allt mer privata uppgifter. Nästa trend tycks vara att göra samma sak när det gäller sina allra mest känsliga uppgifter, de som rör ens hälsa. I framtiden kommer sensorer i din mobil samla in uppgifter om din hälsa som du diskuterar med likasinnade. År 2050 kommer vi att använda: Sensorer kopplade till mobilen som analyserar blod, urin, svett och utandningsluft. Mätdata som man samlar in själv kan skickas till den patientjournal som man har i den offentliga vården. Webbtjänster där man rapporterar om sin hälsa, kost, motion. Personer med samma sjukdom ger varandra råd samtidigt som avidentifierade uppgifter säljs till andra företag. Kommersiella DNA-analyser som visar risker för olika sjukdomar Expertsystem som ställer de allra flesta diagnoser. Dessa system används både av läkare och av patienterna själva. Mobiltelefonen för att omedelbart utvärdera och kommentera vård, medicin, med mera. I ett nyhetsinslag på TV i februari framkom att fler patienter än någonsin valt att spärra sina journaluppgifter från att lämnas ut mellan olika vårdgivare. Är det en indikation på att vi i framtiden kommer att vara väldigt restriktiva med hur vi lämnar ut uppgifter om vår hälsa till andra? Sannolikt inte. Tvärtom tyder mycket på att vi i framtiden kommer att lämna ut våra allra känsligaste uppgifter, uppgifter om hur vi mår, på helt nya sätt, till helt nya grupper av personer och företag. Otroligt? Nej, snarare är det redan nu verklighet. Ny teknik kommer att flytta mycket av vården från sjukhus och vårdcentraler till hemmet. Redan idag finns ett antal sensorer som kan användas för e-hälsa i hemmet: vågar, blodtrycksmätare, aktivitetsmätare och pulsmätare, säger Drasko Markovic som fått i uppdrag av Socialdepartementet att ta fram en rapport som beskriver hur hälso- och äldrevården kan komma att se ut år Den mest populära sensorn idag är pulsmätare kopplade till klockor och mobiltelefoner som mäter olika fysiska aktiviteter. Ofta är dessa kopplade till en molntjänst och via den kan användarna dela med sig av sina löprundor och pulsvärden. År 2050 kommer användningen av sensorer i e-hälsa att vara betydligt mer utbredd än idag. Sensorer som används i hemmet kommer att kunna analysera blod, urin, svett och utandningsluft. Alla dessa sensorer kan kopplas upp mot molntjänster och många kommer att öppet dela med sig av sina mätvärden med likasinnade. Automatiska expertsystem Även inom den formella hälsovården kommer en mängd nya billigare och effektivare sensorer att användas. Resultaten av dessa mätningar, i kombination med loggar där patienten rapporterar sina kost- och motionsvanor, kommer att kunna samlas och analyseras i datorbaserade expertsystem både inom den formella vården och i hemmen. Expertsystemen kommer att automatisk larma om vård behövs när vitala värden försämras. Kompletterar man även med DNAinformation, sjukhistorik och mer detaljer om sin livsstil kommer framtidens expertsystem att kunna ställa väldigt exakta diagnoser, bättre än vad dagens sjukvård klarar. Expertsystemen kommer också att kunna göra prognoser för framtida hälsa vid olika scenarior som exempelvis om man motionerar mer eller ändrar sin kost. 10 Integritet i fokus nr Datainspektionen

11 tjournal på Facebook? I framtiden kommer patienter kunna välja att komplettera sin vanliga patientjournal med de mätvärden som man samlat in själv. Många patienter kommer dessutom att donera sina mätvärden och journaler till forskning. I USA finns flera e-hälsotjänster som indikerar åt vilket håll framtida vård är på väg. Två av dessa är PatientsLikeMe och CureTogether. Tjänsterna går ut på att användarna matar in sina symptom, sjukdomar, behandlingar och behandlingarnas effektivitet. Användarna, en majoritet är kvinnor, får här tips om hur de ska lindra symptom och bota sjukdomar. Båda tjänsterna tjänar pengar på att sälja information de får in från sina användare. Vi tar den information som patienter som du delar med sig av om sina sjukdomserfarenheter och säljer den till våra partners, skriver PatientsLikeMe under rubriken Hur vi tjänar pengar. DNA-analyser allt vanligare Drasko Markovic tror även att den privata användningen av DNA-analyser kommer att öka markant. Det mest kända företaget i USA som säljer sådana tjänster är 23andme. Företaget erbjuder en DNA-analys som ger kunden sannolikheter att han eller hon utvecklar olika sjukdomar i förhållande till befolkningen i allmänhet samt vilka läkemedel och vilken kost som är mindre lämpade för personen ifråga. DNA-informationen kan också användas för att spåra nära och fjärran släktingar. I framtiden kommer vi att kunna importera och exportera vårduppgifter som vi samlat in själva eller fått via offentlig sjukvård. CureTogether har redan nu en tjänst som gör det möjligt att läsa in DNA-analyser från 23andme i sitt system så att matchningen med andra patienter blir mer exakt. CureTogether har dessutom visst stöd för att importera sensorvärden, också det för att ge en bättre bild av användarens hälsoutveckling. År 2050 kommer patienternas åsikter att kunna påverka vården i större utsträckning än idag. Med en snabb tryckning på mobiltelefonen kan patienten utvärdera och kommentera en behandling, vårdenhet eller medicin. Vårdpersonal kan även de dagligen utvärdera behandlingsprocesser, arbetsbelastning och stressnivå. Genom att utvärderingarna omfattar hela vårdprocessen kan alla aspekter av vården kontinuerligt få underlag till förbättringar. Administratörer kan hitta problemområden där behandlingar inte fungerar eller där personalen är överbelastad. Det går också att få fram ett subjektivt komplement till sensorernas mätvärden, och få fram de behandlingar som patienter upplever fungerar bäst. Data från diverse sensorer kopplade till din mobiltelefon kommer att användas av expertsystem för att ställa exakta diagnoser. Integritet i fokus nr Datainspektionen 11

12 nytt från datainspektionen 90 händelser påverkade integriteten under 2011 För fjärde året i följd redogör Datainspektionen för lagar, lagförslag, beslut och andra händelser som påverkade den personliga integriteten under det gångna året. I Integritetsåret 2011 kan du läsa om nya informationsutbyten mellan myndigheter, sexbrottslingar som hängs ut på webben, hur vårdgivare brister i informationen till sina patienter om hur deras journaluppgifter kan komma att spridas, felfaxade förundersökningsprotokoll, registrering av dementa, miljonviten till kreditupplysningsföretag som inte sköter sig, fotbollsklubben Djurgårdens huliganregister och förslaget att publicera uppgifter om dopningsavstängda elitidrottare och motionärer på Internet. Bland mycket annat. Skriften har skickats till riksdagsledamöter, departement, nyhetsredaktioner, journalister och andra påverkare. Du kan själv hämta Integritetsåret 2011 i pdf-format på Datainspektionens webbplats eller beställa den som trycksak som du utan kostnad får hemskickad. Domstol säger nej till övervakning i entréer 2008 beslutade Datainspektionen att en hyresvärd måste upphöra med kameraövervakningen i entréerna i sina fastigheter. Fastighetsägaren har därefter överklagat Datainspektionens beslut till länsrätten och kammarrätten som båda avslagit överklagandet. Hyresvärden har då överklagat till högsta förvaltningsdomstolen som i december förra året meddelade att den går på Datainspektionens linje och avslår överklagandet. Tydliga riktlinjer krävs när känsliga uppgifter mejlas Datainspektionen har granskat hur tre socialnämnder och tre vårdgivare utformat riktlinjerna för sina anställda när det gäller att skicka känsliga personuppgifter via e-post. I samtliga sex fall är riktlinjerna inte tillräckligt tydliga. Med otydliga instruktioner lämnas mycket av ansvaret över på den enskilde anställde. Då riskerar man att det växer fram en praxis där känsliga uppgifter ändå skickas via oskyddad e- post, säger Magnus Bergström, som är IT-säkerhetsspecialist på Datainspektionen och som lett granskningarna. På Datainspektionens webbplats finns fördjupad information om IT-säkerhetsaspekterna då personuppgifter skickas via e-post: Lagerarbetare får inte övervakas i realtid Datainspektionen har tagit emot ett klagomål om att anställda vid varumottagningen vid ett lager- och transportföretag i Göteborg utsätts för en närgången och omfattande övervakning. Enligt klagomålet används flera av systemen utan någon facklig förhandling, de anställda har inte informerats och realtidsövervakning förekommer. Stopp för Sveriges största forskningsprojekt LifeGene startade 2010 och skulle bli den största och mest långsiktiga befolkningsstudie som någonsin genomförts i Sverige. Planen var att rekrytera en halv miljon människor i åldrarna 0-45 år. Deltagarna skulle följas under många år med regelbundna webbenkäter, hälsokontroller och deras blodoch urinprover skulle sparas i en biobank. Strax före jul förra året satte Datainspektionen stopp för projektet efter att ha inspekterat det. I myndighetens granskning framkommer att ändamålen med forskningsprojektet är för otydliga. Enligt personuppgiftslagen måste den som deltar i den här typen av forskningsprojekt få reda på hur personuppgifterna som samlas in kommer att användas och därefter ge sitt medgivande till att uppgifterna registreras. I LifeGene-projektet har man angivit att syftet är att använda uppgifterna för framtida forskning. Men det går inte att samtycka till något så diffust som framtida forskning. Ändamålen måste vara bättre preciserade än så. Därför förelägger Datainspektionen Karolinska sjukhuset, som driver projektet, att sluta samla in fler uppgifter och att sluta använda de uppgifter som redan samlats in. För att projektet ska kunna fortsätta krävs lagändringar, säger Datainspektionens generaldirektör Göran Gräslund. Karolinska institutet har överklagat Datainspektionens beslut. 12 Integritet i fokus nr Datainspektionen

13 Bolaget uppger att det tar fram personuppgifter på individnivå för att mäta produktivitet och kvalitet på vissa arbetsuppgifter. Företaget tar till exempel fram alla kundreklamationer på individnivå och detta ligger till grund för kvalitetsbedömningen i lönesystemet. Det finns IT-system där det är möjligt att övervaka medarbetare i realtid. Det finns även möjlighet att ta ut tidloggar för vissa arbetsuppgifter för enskilda medarbetare som till exempel tagit för långa raster trots muntliga tillsägelser. Det är tillåtet att kontrollera de anställda för att betala ut prestationsbaserad lön och kunna hålla uppföljningssamtal. Det är däremot inte tillåtet att i realtid övervaka hur de anställda utför sina arbetsuppgifter och när de tar raster, säger Datainspektionens generaldirektör Göran Gräslund. Integriteten i blickfånget den 28 januari Den 28 januari stod skyddet av den personliga integriteten i fokus, inte bara i Sverige utan i övriga länder i Europa. Europarådet har utnämnt den dagen till Data Protection Day. Tanken är att Europas dataskyddsmyndigheter ska ordna olika aktiviteter denna dag för att öka medvetenheten om hur personuppgifter samlas in och behandlas och vilka rättigheter man har som medborgare. Datumet har valts eftersom Europarådets Dataskyddskonvention antogs den 28 januari Datainspektionen genomförde flera aktiviteter i anslutning till denna internationella dataskyddsdag. På fredagen den 27 januari publicerade myndigheten en vägledning för privacy by design, något du kan läsa mer om på sidan 14 i tidningen. Samma dag var Datainspektionens generaldirektör och myndighetens expert på nätkränkningar med i en välbesökt chatt på Svenska Dagbladets webbplats. Några dagar tidigare hade samma personer deltagit i en chatt på Dagens Nyheters webbplats. Färdtjänsten lagrar för mycket om sina resenärer Färdtjänsten i Göteborg lagrar känsliga personuppgifter i sitt verksamhetssystem som inte behövs för handläggningen. Färdtjänstnämnden menar att handlingarna sparas på grund av krav i arkivlagen. Men arkivlagens bestämmelser ger inte en myndighet rätt att fortlöpande lagra stora mängder integritetskänsliga uppgifter i det IT-system som används i den dagliga verksamheten, konstaterar Datainspektionen i sin granskning. Uppgifter som inte längre behövs för handläggningen ska tas bort från verksamhetssystemet och i stället arkiveras. Företag får inte använda dold kameraövervakning Datainspektionen har granskat två företag som använt dold kameraövervakning för att avslöja tjuvar. Det ena företaget är SJ som till Datainspektionen uppger att det haft stora problem med svinn på sina tåg och att det därför använt dolda kameror på två av sina tåg när de stod uppställda för att städas och underhållas. Hemköp i Östersund uppger att det också haft problem med svinn. För att ta reda på vem eller vilka som stjäl installerade företaget en dold övervakningskamera i lunchrummet. För kameraövervakning på platser dit allmänheten inte har tillträde, som exempelvis det inhägnade område där tåg städas eller företags lunchrum, är det personuppgiftslagens regler som gäller för hur kameraövervakning får bedrivas. Datainspektionens bedömning är att personuppgiftslagen inte är mer tillåtande till dold kameraövervakning än den lagstiftning som reglerar kameraövervakning i andra situationer, som exempelvis lagen om allmän kameraövervakning. Att övervaka på det här sättet för att få tag i en gärningsman har stora likheter med den hemliga kameraövervakning som endast polisen och andra brottsbekämpande myndigheter får genomföra, och då endast för att utreda allvarlig brottslighet, säger Datainspektionens generaldirektör. Kommuner brister i sin publicering på Internet Datainspektionen har granskat hur ett 50-tal kommuner på sina webbplatser publicerar diarier, protokoll och andra liknande dokument som kan innehålla personuppgifter. Undersökningen visar att i princip samtliga kommuner brister i sin publicering. Datainspektionen tar ofta emot klagomål från enskilda som fått sina personuppgifter publicerade på kommuners webbplatser. Bland de stickprovskontroller som vi utfört har vi sett ett antal exempel på att kommunerna inte följer reglerna i personuppgiftslagen, säger Ingela Alverfors som lett undersökningen. Bristerna som upptäckts har lett till att Datainspektionen nu tagit fram en checklista för kommuner och landsting som tar upp de viktigaste punkterna vid webbpublicering av protokoll och diarier. Checklistan kan hämtas kostnadsfritt på myndighetens webbplats. Integritet i fokus nr Datainspektionen 13

14 hallå där... Hallå där, Mikael Ejner......IT-säkerhetsspecialist på Datainspektionen som tagit fram en vägledning om privacy by design. Vad är egentligen privacy by design? Personuppgiftslagen bygger på ett par grundläggande principer: man ska inte samla in mer information än vad som behövs, inte ha kvar informationen längre än man behöver och inte använda den till något annat än vad man samlade in den för. Det är dock få ITsystem som tar hänsyn till de här principerna. Lösningen blir ofta att bygga till funktionalitet i efterhand vilket ökar den totala kostnaden för IT-systemet. Bygger man in integritetstänket redan från början finns det stora pengar att tjäna vid systemutveckling, och det är just det som privacy by design handlar om. Kan du ge några exempel på åtgärder som skyddar integriteten? Ett mycket enkelt exempel är att minimera antalet fritextfält. När vi inspekterar företag ser vi ofta exempel på hur man använt fritextfält kreativt och matat in personuppgifter som är otilllåtna och kränkande i lagens mening. Idealiskt ska integritetstänket även blicka framåt så att IT-systemet har stöd för att gallra uppgifter som inte längre behövs eller för att avskilja data som ska arkiveras. Hur sköter sig den svenska IT-branschen när det gäller privacy by design? Intresset har ökat och systemleverantörer kontaktar oss och vill veta mer. För att underlätta för beställare och leverantörer av IT-system har Datainspektionen tagit fram en kostnadsfri vägledning som antingen kan hämtas som pdf-dokument eller beställas i tryckt format. Vad gör du förutom att skriva vägledningar om privacy by design? Enligt personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. En teknisk åtgärd vi ofta tittar på är hur säker inloggningen till ett IT-system är. Organisatoriska åtgärder handlar om säkerhetsarbetets organisation och rutiner och instruktioner till personalen. Som IT-säkerhetsspecialist är det min uppgift att bedöma om en viss uppsättning personuppgifter är tillräckligt skyddade. Vid vissa inspektioner följer jag med som rådgivare åt den jurist som leder inspektionen. När inspektionen har ett tydligt IT-säkerhetsfokus är det jag som är förrättare, alltså som leder inspektionen. Det kan handla om att undersöka en IT-säkerhetsincident eller inspektioner då vi granskar det tekniska skyddet av personuppgifterna snarare än hur uppgifterna samlas in och används. Förutom inspektioner arbetar jag med att yttra mig över IT-säkerhetsaspekterna i lagförslag och är föreläsare på våra utbildningar. Hur många IT-säkerhetsspecialister arbetar på myndigheten? Vi är tre stycken som ingår i det som vi internt kallar för VITS-gruppen, vilket står för Virtuella IT-säkerhetsSub- Gruppen. Vi träffas en gång i veckan och har dessutom en stående mötestid hos myndighetens generaldirektör. Då informerar vi honom om vad som händer på vårt område och diskuterar IT- Bygger man in integritetstänket från början finns stora pengar att tjäna, säger Mikael Ejner. säkerhetsaspekterna i vår tillsynsverksamhet. Vad är roligast med ditt jobb? Att inspektera. Ingen inspektion är den andra lik vilket gör det spännande. Och vad är tråkigast? Att vi bara är tre stycken som arbetar med de här viktiga frågorna. fakta Mikael Ejner Yrke: IT-säkerhetsspecialist På myndigheten: sedan 2009 Favoritmat: hemmagjorda hamburgare gjorda på enbart 100 procent ekologisk köttfärs och nymalet salt och peppar. Favoritpryl: jag har ett harem av prylar som var och en har varit min favorit under en kort tid. Antifavoritpryl: Min vattentäta, stöttåliga och gamla Samsungmobil, så långt ifrån en smartphone man kan komma. 14 Integritet i fokus nr Datainspektionen

15 frågor & svar???! Kan jag begära att få se min egen sjukjournal? Ja, du har som patient rätt att få se vad som står om dig i din egen sjukjournal. En vårdgivare har också möjlighet, men ingen skyldighet, att låta dig få tillgång till den via Internet. Hur spärrar jag min sjukjournal? För att spärra din sjukjournal måste du vända dig till din vårdgivare, till exempel den läkarmottagning eller vårdcentral dit du brukar gå. Behöver du mer information är det också din vårdgivare du ska fråga. Datainspektionen har tyvärr inga möjligheter att hjälpa till med att visa eller spärra din sjukjournal. Vad innebär en spärr i sjukjournalen hos en och samma vårdgivare? Som patient har du rätt att spärra alla dina vårduppgifter, det vill säga uppgifter som behövs för vård och behandling. Exempel på sådana uppgifter är diagnoser, läkemedel, besöket, provsvar och röntgenbilder. Att uppgifterna är spärrade hos en och samma vårdgivare innebär att de inte finns tillgängliga för andra vårdenheter/vårdprocesser hos vårdgivaren genom elektronisk åtkomst. Tänk på att rätten att spärra uppgifter endast gäller elektroniska system som journalsystem och patientadministrativa system, inte pappersjournaler. Vad innebär en spärr mellan olika vårdgivare? Varje vårdgivare ska föra sina egna patientjournaler. Genom så kallad sammanhållen journalföring får vårdgivarna möjlighet att elektroniskt ge eller få åtkomst till patientuppgifter hos en annan vårdgivare. Om uppgifterna är spärrade innebär det att andra vårdgivare inte har någon direktåtkomst till uppgifterna. Om min sjukjournal kan ses av andra, måste inte min vårdcentral informera mig om det? Ja, vårdgivarna måste informera patienten innan de gör sjukjournaler tillgängliga för andra vårdgivare. Informationen ska bland annat förklara anledningen till att man vill börja med sammanhållen journalföring, vilka uppgifter man vill göra tillgängliga, för vilka andra vårdgivare uppgifterna ska vara tillgängliga samt att patienten måste godkänna att uppgifterna visas för andra vårdgivare. Kan alla som jobbar inom vården ta del av mina uppgifter när vårdgivaren använder sig av sammanhållen journalföring? Nej, det ska inte vara möjligt eftersom det finns flera krav i patientdatalagen som vårdgivarna måste uppfylla. För att någon ska få läsa uppgifter om dig krävs bland annat att de har en aktuell patientrelation med dig, att uppgifterna kan antas ha betydelse för din vård och att du lämnar ditt samtycke till det. Kan jag få skadestånd om vårdgivaren bryter mot patientdatalagen? Ja, om vårdgivaren har brutit mot patientdatalagen finns det en möjlighet att få skadestånd för skada och kränkning av den personliga integriteten. Rätten till skadestånd står i både patientdatalagen och personuppgiftslagen. Om du vill kräva skadestånd vänd dig i första hand till din vårdgivare. Kan ni inte komma överens kan tingsrätten pröva tvisten. Datainspektionen har tyvärr inga möjligheter att hjälpa till med tvister som gäller skadestånd. Kan sjuksköterskestudenter titta på uppgifter i det elektroniska journalsystemet när de är ute på praktiktjänstgöring? För att en sjuksköterskestuderande ska kunna ta del av uppgifter om en patient i patientjournalsystemet krävs det att patienten ger sitt samtycke. Men om studenten är inblandad i vården och behandlingen av patienten eller av annat skäl behöver uppgifterna för att fullgöra sitt arbete inom hälsooch sjukvården behövs det inte. Vad är en patientjournal? fakta En patientjournal är de anteckningar och handlingar som upprättas eller inkommer i samband med vård och som rör en patients hälsotillstånd, behandlingsåtgärder eller andra personliga förhållanden. Till patientjournalen hör även alla de dokument och intyg som kommer in till den aktuella sjukvårdsenheten. Även videofilmer, röntgenbilder, EKG-kurvor och fotografier är journalhandlingar. Vävnadsprover räknas dock inte till en journalhandling. En sjukjournal ska föras för varje patient. Gemensamma journaler för två eller flera patienter får inte förekomma. Integritet i fokus nr Datainspektionen 15

16 sista ordet... Snabbtäta nu, helrenovera eller se skutan sjunka Förra året trädde nya regler i kreditupplysningslagen i kraft. Enligt lagändringarna måste den som begär en kreditupplysning via Internet ha ett legitimt behov av upplysningen, till exempel kan en hyresvärd behöva veta mer om den person som ska hyra en bostad. En kopia av kreditupplysningen måste dessutom skickas till den som upplysningen gäller så att denne kan rätta eventuella felaktigheter. Sedan lagändringarna trädde i kraft har vi granskat samtliga större kreditupplysningsföretag. Till en början fick ändringarna effekt men nu kan vi litet uppgivet konstatera att flera företag hittat ett sätt att kringgå lagen. Kryphålet gäller tekniska upptagningar av kreditupplysningar. Det är kreditupplysningar som lagras på exempelvis cd-skivor och som i lagen i princip jämställs med tryckta kataloger med historiska fakta. Flera företag har börjat skicka ut kreditupplysningar via usb-minne till sina kunder. Informationen på usb-minnet uppdateras varje vecka. På usb-minnet finns omfattande kreditupplysningsinformation om hela Sveriges befolkning över 16 år lagrad i krypterad form. När en abonnent vill ta del av kreditupplysningar loggar Nu kan vi litet uppgivet konstatera att flera kreditupplysningsföretag hittat ett nytt sätt att kringgå lagen. han eller hon in på kreditupplysningsföretagets webbplats och söker på ett enkelt sätt fram personen som man vill ha information om. Därefter får man en kryptonyckel för att låsa upp informationen på usb-minnet. Det går då att få fram en rad olika upplysningar om personen ifråga, allt utan att den som tar del av informationen har ett legitimt behov och utan att personen får reda på att någon begärt en kreditupplysning. Eftersom lösningen bygger på att själva utlämnandet av upplysningen sker på kundens egen dator, kringgås lagändringarna. Onekligen ett smart sätt att kringgå de lagändringar som skulle stärka skyddet för enskilda personer. Därför har vi i dagarna skickat en skrivelse till regeringen där vi föreslår att det görs en snabbutredning för att täppa till luckan eller att regeringen tar initiativ till en mer omfattande översyn av lagen. Snabbutredningen hjälper på kort sikt men på längre sikt är det en helrenovering som behövs. Göran Gräslund Generaldirektör Datainspektionen Datainspektionen, Box 8114, Stockholm Nästa nummer kommer i juni