Et indslag i P1 Orientering torsdag eftermiddag havde it-ekspert Kåre Løvgren fra fagforeningen IDA på telefonen for at tale om den fuldstændige vanvittige dataindsamling, samt salg af persondata fra bilfirmaer, og i særdeleshed Tesla.
I kan høre indlægget "Teslaejere udsat for omfattende overvågning" fra 55:49 inde i udsendelsen her: https://www.dr.dk/lyd/p1/p1-orientering/p1-orientering-2024/p1-orientering-11802410044
I indslaget berettede Kåre Løvgren bl.a.:
(1)
Om hvordan bilfirmaer indsamler unødvendigt data i strid med GDPR:
Fra Hondas vejledning: "Personlig information, som relaterer til eller beskriver eller kan associeres med personen, og det inkluderes navn, underskrift, sygesikringsnummer, fysiske karakteristika, adresse, telefonnummer, nummeret på passet, nummeret på kørekortet, nummeret på forsikringspolicen, hvilken uddannelse man har, hvilket job man har, jobhistorie, bla, Bla, bla, bla, bla" det hele.
(2)
Angående forbundne smartphones i Tesla-biler:
så går de ind og suger alt hvad de kan. Hvis man har en fitness app, så har de jo lige ens vægt, ens højde og ens hvilepuls, og hvad ved jeg. Og har man sygesikringsappen, så har de jo sygesikringsnummeret, osv. osv.
(3)
Omkring bilkøb:
Man får en hel masse dokumenter stukket i hovedet. Virtuelt, selvfølgelig. På en skærm. I Toyotas tilfælde tror jeg det er 12 forskellige PDF'er man skal igennem. Og så skal man sige ja til det hele for overhovedet at kunne åbne sin bil. Så det er ikke jo ikke samtykke. Det er tvang. Du skal acceptere alle de her vilkår for overhovedet at kunne bruge din bil. Med det er ikke et informeret ja, og det er ikke et frivilligt ja.
Han påstår bilfirmaerne gør dette for at tjene penge, og at de sælger data til "data brokers".
(4)
De kommer ind på at GDPR siger man kun må indsamle data hvis det har et formål. Kun Renault og Dacia tillader at man kan slette sine data.
Det her det er pivulovligt, men de slipper afsted med det.
Artikel på IDA's hjemmeside
På IDA's hjemmeside kan man læse følgende relaterede artikel af Kåre Løvgreen:
Titel: "Tag bilen og bliv overvåget"
Første sætning: "Alle større bilmærker foretager i dag en ekstrem dataindsamling fra ejere af moderne biler. Det er dybt problematisk."
Link: https://ida.dk/om-ida/nyt-fra-ida/tag-bilen-og-bliv-overvaaget
Disse citater er taget fra artiklen og tegner i samme grad et billede af hvor grelt det står til med moderne biler:
(5)
Moderne biler er et mareridt, når det gælder privatlivets fred. De indsamler langt flere personlige data end nødvendigt og anvender dem til mange andre formål end at optimere og vedligeholde din bil.
Udover navn, adresse, telefonnummer og e-mailadresse omfatter dataindsamlingen nemlig også mere intime data som billeder, kalenderoplysninger, samtaler, kontakter, sundhed og geografisk placering. Og for at det ikke skal være løgn, oplyser Nissan og Kia i deres brugerbetingelser, at de kan dele oplysninger om førerens »seksuelle aktiviteter«. Med andre ord skal du være parat til at dele dit privatliv, når du køber ny bil.
(6)
Tesla, som er verdens største producent af elbiler, klarer sig dårligst af alle.
(7)
Og advarslen fra Tesla til deres kunder er klar: Hvis de siger nej til dataindsamling, kan det påføre bilen »nedsat funktionalitet, alvorlig skade, eller den kan holde helt op med at virke«.
Konklusion baseret på radioindslag og artiklen
Hvad Kåre Løvgren har skrevet i artiklen på IDA's hjemmeside, er meget sammenlignelig med hvad der blev sagt i programmet. Konklusionen er klar: Bilfirmaerne overtræder alle GDPR og man bliver som dansk bilkøber ladt i stikken uden chance for at sige nej til at få sine data solgt til højestbydende - også selvom det er "pivulovligt". Hvis dette var sandt, så taler vi om en historisk stor skandale.
Den originale undersøgelse
Som IT-nørd og bilnørd med erfaring indenfor IT-sikkerhed, så er dette noget af det vildeste jeg nogensinde har set! På mit "scorecard of evil" ville dette være næsten lige så skandaløst, som da Volkswagen blev snuppet for at fuske med dieselpartikeludledning, hvilket har forårsaget et ukendt antal for tidligt døde mennesker - specielt blandt folk med asthma.
Jeg dykkede derfor ned i anklagerne. Første skridt var at finde den originale undersøgelse. Artiklen linker desværre ikke til denne, men det er med garanti denne artikel der menes: https://foundation.mozilla.org/en/privacynotincluded/articles/its-official-cars-are-the-worst-product-category-we-have-ever-reviewed-for-privacy/
Artiklen fremviser et meget dystert resultat efter at have gennemgået privatlivspolitikerne og en masse relateret materiale for 25 bilmærker. Efter at have læst forsiden af artiklen, så ser det umiddelbart ud til at Kåre Løvgren har ret. Jeg havde troet, at det blot ville være for Amerikanske bilkøbere (hvilket Kåre Løvgren har en bemærkning om i indslaget), men der bliver også henvist til Europæiske bilkøbere og GDPR.
Gennemgang af de enkelte anklagepunkter
Ved en nærmere gennemgang af undersøgelsen, og specielt metodikken fra undersøgelsen, viser der sig et andet billede for de danske bilkøbere. Undersøgelsen får desværre mudret billedet mellem os, som er beskyttet af GDPR, og folk som ikke er. I sektionerne nedenfor vil jeg forsøge at afklare de enkelte punkter (1) til (7) ovenfor med udgangspunkt i danskere, hvor bilmærkerne er underlagt GDPR.
(1)
Citatet fra P1 Orientering gengivet:
Fra Hondas vejledning: "Personlig information, som relaterer til eller beskriver eller kan associeres med personen, og det inkluderes navn, underskrift, sygesikringsnummer, fysiske karakteristika, adresse, telefonnummer, nummeret på passet, nummeret på kørekortet, nummeret på forsikringspolicen, hvilken uddannelse man har, hvilket job man har, jobhistorie, bla, Bla, bla, bla, bla" det hele.
I originalartiklen https://foundation.mozilla.org/en/privacynotincluded/honda/ kan man læse følgende:
Here's a fun line we found in their privacy documentation: "Covered Information disclosed with Third Parties may include all or some of the following: Personal Identifiers; Audio electronic, visual, or similar information; Commercial Information; Geolocation Information; Personal information as described in Cal. Civ. Code § 1798.80(e)."
Som fortsætter:
Wait, what the heck is Cal. Civ. Code § 1798.80(e)?!? Well, it's a line in the state of California's set of regulations that defines personal information as, "any information that identifies, relates to, describes, or is capable of being associated with, a particular individual, including, but not limited to, his or her name, signature, social security number, physical characteristics or description, address, telephone number, passport number, driver's license or state identification card number, insurance policy number, education, employment, employment history, bank account number, credit card number, debit card number, or any other financial information, medical information, or health insurance information."
Citatet fra Kåre Løvgren kommer altså ikke fra Honda, men fra lovgivningen I Californien! Her: https://casetext.com/statute/california-codes/california-civil-code/division-3-obligations/part-4-obligations-arising-from-particular-transactions/title-181-customer-records/section-179880-definitions
I Danmark gælder en helt anden privatlivspolitik for Honda. Denne kan læses her: https://www.honda.dk/cars/useful-links/privacy-policy.html
Denne side er forholdsvis kort, og I kan derfor let bekræfte følgende, som modstrider indslaget i P1 Orientering:
- Der indsamles kun relevant data (se sektionen "Hvilke personlige data vi indsamler").
- Der forekommer en begrundelse for indsamling af det givne data (se "Hvorfor vi samler, bruger og opbevarer disse Personlige Data")
- Levering af data til 3. part (Se "Overførsler til virksomheder, der leverer tjenesteydelser i henhold til kontrakt"). Her er den eneste suspekte virksomhed Google LLC hvor de nu godt måtte fortælle præcist hvilke persondata der bliver delt.
- Dine data bliver ikke solgt til data brokers.
På baggrund af denne information ser det ikke umiddelbart ud til at Honda forbryder sig mod GDPR. Jeg kunne godt tænke mig at det var lidt mere præcist når der tales om virksomheder under kontrakt, men det ser ikke ud til at der sælges persondata til børser.
(2)
Angående forbundne smartphones i Tesla-biler. Originalartikel: https://foundation.mozilla.org/en/privacynotincluded/tesla/
Citater fra P1 Orientering:
så går de ind og suger alt hvad de kan. Hvis man har en fitness app, så har de jo lige ens vægt, ens højde og ens hvilepuls, og hvad ved jeg. Og har man sygesikringsappen, så har de jo sygesikringsnummeret, osv. osv.
Jeg antager der henvises til app'en "Sundhedskortet": https://apps.apple.com/dk/app/sundhedskortet/id1553871328 hvor følgende data bliver "linket til dig" i beskrivelsen på app-storen:
The following data may be collected and linked to your identity: Identifiers
Jeg antager at Kåre Løvgren påstår at Tesla-app'en kan få dit sygesikringsnummer hvis du har installeret app'en. Jeg har installeret app'en for at læse nærmere. Her står om modtagere eller kategorier af modtagere af personoplysninger: "Vi overlader dine personoplysninger til Digitaliseringsstyrelsens databehandlere, der bistår med drift og vedligehold af vores it-systemer. Digitaliseringsstyrelsen overfører ikke dine personoplysninger til modtagere uden for EU/EØS". Hvis påstanden om at Tes...
Content cut off. Read original on https://www.reddit.com/r/Denmark/comments/1adcwjd/p1_orientering_og_ida_ulovlig_dataindsamling_og/