Personoplysninger skal forstås meget bredt i de nye  privatlivsregler, der gælder fra maj næste år. Registrerer du blot en enkelt oplysning, der principielt kan trævles tilbage til en navngiven bruger, hænger du på den. IP-adressen er din værste fjende her.

Sig ordet ”personoplysninger” og de fleste tænker på navn, adresse, cprnr. Eller måske ens email, eller kundenummer i elselskabet, f.eks. Men i de nye privatlivsregler er der andre boller på suppen. Reglerne, der er kendt som ”persondataforordningen” eller under den engelske GDPR-forkortelse, træder i kraft til maj 2018. Og her gælder det, at alle oplysninger, der kan bruges til at spore ens rigtige identitet, bliver betragtet som personhenførbare. Også selvom de ved første øjekast slet ikke ser personlige ud.

Drakonisk bøderamme

Personhenførbare oplysninger er ikke sådan at spøge med. Hvis du misbruger dem, hvilket du blandt andet gør, hvis du f.eks. ikke klart og tydeligt fortæller brugeren, hvad du ved om ham, når han spørger, og ofte også giver ham mulighed for at slette det hele igen, risikerer du med de nye regler drakoniske bøder på op til 150 mio. kr. (20 mio euro). Hvis ikke du er i en stor virksomhed, for i så fald kan bøderne nemlig gå helt op til 4% af jeres årlige globale omsætning. Derfor er der god grund til at tage persondata-spørgsmålet alvorligt.

De nye regler gælder både fysiske butikker, kundeklubber, CRM- og finanssystemer, websites og apps. Og alle andre steder, hvor du som virksomhed bider mærke i hvem slutkunder eller medarbejdere (reglerne gælder også intern registrering i virksomheder) er. Der er derfor masser af steder, hvordet betyder meget, om kæden hopper af. Og hvor de svage led befinder sig.


Relaterede services: Vi hjælper dig med at leve op til de nye persondata-regler – læs hvordan


 

Det svageste led

Det mest udbredte, og sandsynligvist svageste led af alle, har det lidet sexede navn ”IP-adresse”. Det er en krypisk udseende talstreng på op til 12 cifre, som du, dvs. din browser, sender i retning af alle hjemmesider du besøger. Min IP-adresse er f.eks. i skrivende stund  “87.60.44.133”. Du kan finde din eget IP-adresse hos f.eks. IPnr.dk, hvis du er nysgerrig.

IP-adressen er interessant, fordi EU i de nye GDPR-regler mener, at netop IP-adressen kan udpege dig i mængden. Den er ”personhenførbar” – ligesom din fysiske adresse eller dit kundeklubnummer. Så registrerer du som virksomhed en EU-borgers IP-adresse, kan du snart komme i problemer. Og da det er vanskeligt at finde en virksomhed, som ikke har en hjemmeside, og da næsten alle hjemmesider helt pr automatik opsamler og gemmer de fritflydende IP-adresser – om ikke andet i webservernes logfiler – er det meget få, der kan smyge sig uden om IP-adresse-suppedasen.

Umiddelbart er der ellers ikke meget persondata over den lille talstreng. Ingen almindelige mennesker, heller ikke ham eller hende, der sidder og styrer en hjemmeside eller serveren bag, kan udlede noget der bare minder om et personnavn eller adresse fra IP-adressen.

Kun Internetudbyderen ved, hvem der er bag

Når IP-adressen alligevel er nok til at gøre de data der logges personhenførbare, skyldes det, at der faktisk er en instans, der kan pege på, hvem der sidder bag musen på et givent IP-adresse: internetudbyderen. Altså Yousee, Stofa, Oister og 3 og hvad de allesammen hedder. Det er nemlig dem, der giver dig din IP-adresse, når du starter en surftur. Godt nok er det hemmeligt for alle andre end internetudbyderen selv, hvem der står bag hvilke IP-numre. Hjemmesideejeren har f.eks. ingen mulighed, for selv at hvem der gemmer sig bag de mange IP-numre, der rammer hans site.

…hvis ikke du har en dommerkendelse

De eneste der kan bryde internetudbydernes tavshedspligt er domstolene: hvis der er mistanke om en forbrydelse, kan en dommer pålægge internetudbyderen at rykke ud med de faktiske kundeoplysninger. Og det er dette, at det i teorien er muligt at gå fra IP-adresse til navn og adresse, der er nok til, at den lille talrække, i myndighedernes øjne, gør trackingen personhenførbar. Også selvom det kun er internetudbyderen, der ligger inde med nøglen, og også selvom det kræver en dommerkendelse faktisk at finde ud af, hvem vedkommende med IP-adressen i virkeligheden er. Det gjorde EU domstolen klart sidste år, i en sag mod den tyske regering.


Læs også: Case: Skjult tracking saboterer virksomheders persondata-bestræbelser – sådan løses problemet


Nøglen til detaljeret profil

Det betyder mere end man umiddelbart skulle tro, at en registrering af et besøg på en hjemmeside, kan føres tilbage til en given person. For med en IP-adresse har en hjemmeside-ejer ikke blot muligheden for at knytte en person sammen med besøget på hans site. Hjemmesideejeren kender også indholdet af de sider,  brugeren har besøgt. Ved hvad brugeren har klikket på, evt. bestilt eller søgt på. Hjemmeside-ejerens web-analyse system kan fortælle ham, om  brugeren har kommenteret på noget, og hvad han har skrevet. Og det kan kæde forskellige besøg sammen over en periode, og tegne et samlet billede af brugerens adfærd og interesser. Nogen gange vil hjemmesideejeren også kunne knytte brugeren til f.eks. hans Facebook-profil. Samt en del andre ting.

Det er denne mulighed for at kunne tegne rimeligt klare profiler af brugerne, der lurer bag de nye GDPR-regler om beskyttelse af privatlivets fred i online sammenhænge. Og forklarer, hvorfor EU domstolen er lidt hys med de tekniske knæbøjninger.

Det er derfor, IP-adressen kan få GDPR-fælden til at klappe om dit site. Også selvom du, før du læste denne artikel, aldrig havde hørt om den før. Endsige vidste, at du sandsynligvis selv tracker den på dit eget site.

Heldigvis kan der gøres noget ved sagen. Et sted at starte er i den grundlæggende analytics – altså de analysesystemer, der fortæller dig om brugen af dit site. Faktisk kan du med tre kliks i både Adobe og Google Analytics, sno dig uden om fælden. Det kan du læse mere om her.

PS: Skriv gerne

Ring eller skriv endelig til mig, hvis du arbejder med analytics og/eller GDPR i din virksomhed, og bloggen her har fanget din interesse. Mine kontaktinformationer står lige her. Du kan også tage fat Andreas Petersson på +45 51 71 43 63 eller ap@ecapacity.dk. Han styrer vores analyseafdeling og har det store teknologiske overblik.

PPS: Gratis white paper om persondataforordningen

Kan du lide hvad du har læst? Så hent White paper’et ”Persondata, Analytics og Tag Management”. Det samler seks skarpe nedslag i persondataforordningens betydning for de digitale kanaler. 28 sider. PDF. Helt gratis. Klik på den grønne knap her på siden, hvis du have dit eget eksemplar tilsendt.