Hvad er internetlovgivning?
Internetlovgivning — undertiden kaldet cyberlaw — henviser til de juridiske principper og bestemmelser, der regulerer brugen af internettet. Internetlovgivningen er ikke altid ligetil, fordi:
- Internettet er relativt nyt og fortsætter med at udvikle sig, hvilket betyder, at de juridiske rammer kan have svært ved at følge med.
- Internetlove indeholder og anvender ofte principper fra forskellige juridiske områder — såsom persondatalove eller aftalelove — som er skabt før internettet, og som kan være åbne for fortolkning.
- Der findes ingen enkelt lov, der regulerer beskyttelsen af persondata på nettet. I stedet gælder et kludetæppe af føderale og statslige love. Derudover kan forskellige jurisdiktioner rundt om i verden have forskellige fortolkninger af, hvordan man anvender love om beskyttelse af persondata på internettet.
EU har en overordnet databeskyttelseslovgivning, kendt som GDPR — den generelle forordning om databeskyttelse. I modsætning hertil har USA ikke en lov om beskyttelse af persondata på centralt føderalt niveau. I stedet findes der flere vertikalt fokuserede føderale love om beskyttelse af persondata og flere forbrugerorienterede love om beskyttelse af persondata i de forskellige stater. Denne oversigt ser på nogle af de vigtige love om internetsikkerhed, som du bør kende til.
US Privacy Act fra 1974
Selv om datoen ligger forud for internettet, udgør Privacy Act fra 1974 grundlaget for mange love, der dækker data og beskyttelse af persondata på internettet i USA. Loven blev vedtaget i erkendelse af mængden af personoplysninger, som amerikanske myndigheder opbevarede i computerdatabaser. Loven omfattede følgende:
- Amerikanske borgeres ret til at få adgang til data, som offentlige myndigheder opbevarer, og ret til en kopi af disse data.
- Borgernes ret til at rette eventuelle informationsfejl.
- Behovet for, at myndigheder og agenturer kun indsamler de oplysninger, der er relevante og nødvendige for at opfylde sine formål.
- Begrænsning af adgangen til data efter et nødvendighedsprincip.
- Begrænsning af informationsudveksling mellem føderale (og ikke-føderale) agenturer – dvs. kun tilladt under visse betingelser.
Men opfindelsen af internettet ændrede definitionen af beskyttelse af persondata og gjorde det nødvendigt at vedtage nye datasikkerhedslove vedrørende elektronisk kommunikation.
Federal Trade Commission Act
Federal Trade Commission Act fra 1914 etablerede US Federal Trade Commission (FTC) og har til formål at forbyde illoyale konkurrencemetoder og illoyale handlinger eller praksisser, der påvirker handelen.
I dag er det sådan, at selv om FTC ikke udtrykkeligt regulerer, hvilke oplysninger der skal indgå i websteders politik om beskyttelse af persondata, bruger handelskommissionen sin myndighed til at udstede bestemmelser, håndhæve privatlivets fred og beskytte forbrugerne. FTC kan f.eks. gribe ind over for organisationer, der:
- Ikke følger en offentliggjort politik om beskyttelse af persondata.
- Overfører personlige oplysninger på en måde, der ikke er korrekt beskrevet i en politik om beskyttelse af persondata.
- Udsteder unøjagtige erklæringer angående beskyttelse af persondata og sikkerhed for forbrugerne og i politikker om beskyttelse af persondata.
- Undlader at implementere og opretholde rimelige datasikkerhedsforanstaltninger.
- Ikke følger de selvregulerende principper, der kan gælde for organisationens branche.
FTC spiller en rolle i forbindelse med regulering af internettet, ikke mindst fordi handelskommissionen undersøger vildledende udtalelser fra førende teknologivirksomheder og sociale medievirksomheder om beskyttelse af persondata for de forbrugerdata, de indsamler. FTC har f.eks. tidligere undersøgt klager over Facebook vedrørende brugen af kundedata.
Children’s Online Privacy Protection Act
Children’s Online Privacy Protection Act fra 1998 – også kaldet COPPA – er en amerikansk føderal lov. Målet er at give forældre kontrol over, hvilke oplysninger der indsamles fra deres børn online. COPPA gælder for operatører af kommercielle websteder og onlinetjenester (herunder mobilapps og Tingenes internet), der er rettet mod børn under 13 år, og som indsamler personlige oplysninger fra børn.
Nogle af COPPAs vigtigste krav omfatter, at:
- Websteder, apps og onlineværktøjer, der er rettet mod børn under 13 år, skal give besked og indhente forældrenes samtykke, før de indsamler oplysninger fra børn.
- De skal have en tydelig og omfattende privatlivspolitik.
- De skal opbevare alle de oplysninger, de får fra børn, trygt og sikkert.
Selvom loven stammer fra internettets tidlige dage, er den blevet særlig relevant i en tid med sociale medier og programmatiske annoncer. Et centralt spørgsmål i COPPA er, i hvilket omfang et websted er "rettet mod" børn under 13 år. I USA vurderer Federal Trade Commission websteder baseret på forskellige kriterier, herunder:
- Emneområde
- Indhold
- Brug af animerede figurer
- Anvendelse af børneorienterede aktiviteter eller incitamenter
- Modellernes alder
- Tilstedeværelse af børnestjerner eller berømtheder, der appellerer til børn
- Reklame på webstedet rettet mod børn
Nogle websteder eller tjenester screener deres brugere efter alder, så de ikke behøver at overholde COPPA-reglerne. For eksempel har mange sociale netværk, hvis forretningsmodel er baseret på at indsamle og tjene penge på brugerdatasæt, en minimumsalder på 13 år for registrerede brugere.
Et andet spørgsmål fra COPPA er, hvad der udgør "indsamling af personlige oplysninger". Indsamling af navne, adresser og fotografier falder ind under denne kategori. Men mindre indlysende er adfærdsrettede annoncer – dvs. annoncer, der sporer brugeradfærd på tværs af websteder og apps – hvilket i henhold til COPPA også udgør indsamling af personlige oplysninger. Selvom en tredjepartsudbyder viser disse adfærdsrettede annoncer, er ejeren af webstedet ansvarlig for dem, hvis de vises på et websted, der er rettet mod børn. Da adfærdsrettede annoncer udgør en så stor del af internettets økosystem, har dette betydelige konsekvenser for websteder rettet mod børn.
California Consumer Privacy Act
California Consumer Privacy Act (CCPA) blev underskrevet i 2018. Målet var at tage hensyn til beskyttelse af persondata for indbyggere i Californien ved at udvide beskyttelsen af forbrugernes persondata til også at gælde internettet. CCPA betragtes som den mest omfattende internetfokuserede databeskyttelseslovgivning i USA, og der findes ikke nogen tilsvarende lov på føderalt niveau.
Som det er tilfældet med GDPR i EU, giver CCPA forbrugerne ret til at få adgang til deres data samt retten til når som helst at slette og fravælge databehandling. CCPA adskiller sig imidlertid fra GDPR, idet GDPR giver forbrugerne ret til at rette forkerte personoplysninger. Det gør CCPA derimod ikke. GDPR kræver også udtrykkeligt samtykke på det tidspunkt, hvor forbrugerne overgiver deres data. CCPA specificerer blot, at der skal findes en note om beskyttelse af personlige oplysninger på websteder, der informerer forbrugerne om, at de har ret til at fravælge visse dataindsamlinger. Andre emner i CCPA:
- Forbrugerne har ret til at få adgang til deres oplysninger via en anmodning om adgang fra den registrerede person.
- Virksomheder må ikke sælge forbrugernes personlige oplysninger uden at tilvejebringe en webmeddelelse herom og give forbrugerne mulighed for at fravælge dette.
- Forbrugerne har en begrænset ret til at sagsøge, hvis de er ofre for brud på datasikkerheden.
- Statsadvokaten har en mere generel kapacitet til at sagsøge virksomheder på vegne af indbyggere.
CCPA har en bred definition af begrebet personlige oplysninger: "Oplysninger, der identificerer, vedrører, beskriver, kan forbindes med eller med rimelighed kan knyttes direkte eller indirekte til en bestemt forbruger eller husstand". Dette svarer til GDPR's ekspansive opfattelse af personlige data.
Generel forordning om databeskyttelse
EU's generelle forordning om databeskyttelse, GDPR, trådte i kraft i 2018. Det er et juridisk rammevilkår, der fastsætter retningslinjer for indsamling og behandling af personlige oplysninger fra personer, der bor i EU. GDPR gælder, uanset hvor webstedet er baseret, hvilket betyder, at det skal overholdes af alle websteder, der tiltrækker europæiske besøgende. GDPR betragtes som en af de strengeste datasikkerhedslove i verden.
GDPR angiver, at webstedsbrugere skal underrettes om de data, som et websted indsamler, og brugerne skal udtrykkeligt give deres samtykke til denne dataindsamling. Derfor har mange websteder pop op-vinduer, der beder brugerne om at acceptere indsamling af cookies – dvs. små filer, der indeholder personlige oplysninger såsom webstedsindstillinger og præferencer.
De vigtigste emner i GDPR omfatter, at:
- Forbrugerne har ret til at vide, hvordan deres data indsamles og bruges.
- Forbrugerne kan rette henvendelse til websteder angående, hvilke oplysninger der er indsamlet om dem (uden at skulle betale et gebyr).
- Hvis der er fejl i forbrugernes data, kan forbrugerne anmode om, at disse data rettes.
- Forbrugerne kan anmode om, at deres data slettes fra registreringer.
- Forbrugerne har ret til at afvise databehandling, f.eks. til markedsføringsformål.
- Websteder skal underrette brugerne, hvis deres data er blevet kompromitteret eller brudt.
Europa-Kommissionen forklarer GDPR i detaljer på sit officielle websted. Der har været nogle iøjnefaldende straffe til store virksomheder for brud på GDPR – herunder at Google fik en bøde på 57 millioner dollars, fordi vigtige oplysninger blev skjult, når bruger konfigurerede nye Android-telefoner, hvilket betyder, at brugerne ikke vidste, hvilke dataindsamlingspolitikker de accepterede, og British Airways blev idømt en bøde på 28 millioner dollars, da 500.000 kundebookingoptegnelser blev stjålet ved et angreb.
Health Insurance Portability and Accountability Act
Health Insurance Portability and Accountability Act fra 1996 (HIPAA) er en amerikansk føderal lov, der fokuserer på regulering af sundhedsforsikring, herunder databeskyttelse og sikkerhed. Det forhindrer sundhedsudbydere, virksomheder og personer, der arbejder for dem, i at videregive forbrugernes sundhedsoplysninger uden forbrugernes tilladelse.
Når folk taler om HIPAA, henviser de typisk til bestemmelsen om beskyttelse af persondata, der blev etableret i 2003. Denne regel blev delvist indført, fordi den amerikanske kongres erkendte, at internettet gjorde brud på beskyttelse af persondata mere hyppige. HIPAA's bestemmelse om beskyttelse af persondata giver forbrugerne ret til at kontrollere videregivelsen af deres sundhedsoplysninger, så de kan fortælle deres sundhedsudbyder, hvad de må dele.
HIPAA beskytter dog kun sundhedsoplysninger, der opbevares af specifikke typer af sundhedsudbydere. Sundhedsdata på din fitnesstracker er f.eks. normalt ikke dækket af HIPAA. Genetiske data, du indtaster på hjemmesider som www.ancestry.com, er heller ikke omfattet af HIPAA. Andre love eller aftaler såsom fortrolighedserklæringer, der kræves på mange apps, kan beskytte disse oplysninger, men HIPAA gør det ikke.
Gramm-Leach-Bliley Act
Gramm-Leach-Bliley Act (GLBA) – også kendt som Financial Services Modernization Act fra 1999 – er en bank- og finanslovgivning, der indeholder både databeskyttelses- og sikkerhedselementer. Dens beskyttelse af personlige oplysninger bygger på tidligere love om forbrugerfinansielle data såsom Fair Credit Reporting Act (FCRA).
GLBA beskytter i det væsentlige ikke-offentlige personlige oplysninger, der defineres som enhver "information, der indsamles om en person i forbindelse med levering af et finansielt produkt eller en tjenesteydelse, medmindre disse oplysninger ellers er offentligt tilgængelige". "Offentligt tilgængelig" betyder ejendomsregistreringer eller visse oplysninger om realkreditlån, som kan være offentligt tilgængelige.
GLBA's sikkerhedsbestemmelse kræver, at dataindsamlere beskytter personlige oplysninger og opretter datasikkerhedssystemer i passende størrelse og format. Med andre ord har store nationale banker brug for mere sofistikerede sikkerhedsforanstaltninger end f.eks. et lokalt kreditselskab.
Reglen kræver, at virksomheder tester dette regelmæssigt. Desuden skal de gennemføre sikkerhedsforanstaltninger i deres daglige drift, f.eks. ved at køre baggrundstjek på medarbejdere og udarbejde handlingsplaner for sikkerhedsbrud i tilfælde af angreb.
GLBA gør pretexting ulovligt. Pretexting (påskud på dansk) refererer i denne sammenhæng til en person, der får ukorrekt adgang til ikke-offentlige oplysninger. Udtrykket er ofte forbundet med hackerangreb ved hjælp af social engineering – for eksempel når en person udgiver sig for at være leder eller en myndighed for at indhente oplysninger. Phishing-svindel, som undertiden indebærer oprettelse af falske websteder, der svindler folk til at videregive private oplysninger, er endnu et eksempel på pretexting. GLBA kræver, at finansielle institutioner indfører foranstaltninger, der forhindrer pretexting, som en del af deres sikkerhedsplaner.
Love om beskyttelse af persondata på internettet: Konklusion
Forskellige jurisdiktioner rundt om i verden har deres egne love om beskyttelse af persondata og datasikkerhed på internettet. Brasilien har f.eks. Lei Geral de Proteção de Dados (LGPD), mens Canada har Consumer Privacy Protection Act (CPPA), som begge stort set svarer til GDPR i EU eller CCPA i Californien.
I USA er der ingen omfattende føderal lov, der regulerer databeskyttelse. Internetregulering er et komplekst kludetæppe af sektorspecifikke og mediespecifikke love, herunder love og bestemmelser, der omhandler telekommunikation, sundhedsoplysninger, kreditoplysninger, finansielle institutioner og markedsføring.
En af de bedste måder at beskytte dine persondata og din datasikkerhed på online er at bruge en omfattende antivirusløsning. Et produkt som Kaspersky Total Security blokerer almindelige og komplekse trusler som virus, malware, ransomware, spionapps og de seneste hackeraktiviteter.
Relaterede artikler: