Premium

Hur svårt är det att begära ut din data efter GDPR? Vi har testat

Foto: Jörgen Appelgren, Alamy
Foto: Jörgen Appelgren, Alamy

Alla företag måste lämna ut vilka uppgifter de har om dig, det säger den nya dataskyddsförordningen GDPR. Ny Teknik har testat hur bra det fungerar i verkligheten.

Publicerad

Redan innan GDPR trädde i kraft skrev vi på Ny Teknik om hur svenska storföretag har väldigt olika rutiner för att ta emot sådana här ärenden. Men hur ser det ut i praktiken?

Dagarna efter att GDPR trädde i kraft bestämde jag mig för att undersöka saken – och samtidigt hämnas på de svenska företag som fyllt min inkorg med GDPR-information i flera månaders tid.

Totalt kontaktade jag ett 40-tal svenska företag och bad om ett registerutdrag med hänvisning till den nya dataskyddsförordningen GDPR. Resultatet blev minst sagt blandat.

Från att jag skickat min förfrågan har företagen 30 dagar på sig att svara. De kan välja att hänvisa till hög belastning och skjuta upp utdraget i ytterligare ett par månader – men de måste svara.

Så här många svarade på GDPR-begäran

Nu när en månad har passerat kan jag konstatera att sju bolag inte har bemödat sig att svara alls. Förutom en liten restaurang där jag bokat bord per mejl en gång är det rätt stora bolag. En resebyrå, ett blomsterbud och ett parkeringsbolag.

Och så Göteborgs-Posten och Journalistförbundet.

När jag kontakter Göteborgs-Postens kundtjänst får jag beskedet att ärendet skickas vidare internt, men att de inte vet varför det har dragit ut på tiden. Efter några timmars undersökning får jag höra från pressavdelning på Stampen, som äger GP och en rad andra tidningar, att mitt ärende har fastnat på grund av ett handläggningsfel.

– Det är helt den mänskliga faktorn som ligger bakom. Av misstag lades ditt ärende som vilande, säger Daniel Olsson som är kommunikationsansvarig på Stampen.

Han säger att Stampen tagit emot över 2 000 förfrågningar om registerutdrag eller att få sina uppgifter raderade sedan GDPR trädde i kraft. I snitt ska man få svar på mellan en och två dagar, enligt honom.

Registerutdragen kommer i många olika varianter

Resten svarar glatt med datainformation i olika former

Några samma dag, de flesta inom en vecka. Förutom betalningsföretaget Klarna som hänvisar till överbelastning, och tidningen ETC som berättar att de inte har några uppgifter kvar om mig. Förmodligen beror det på att de genomfört en rejäl rensning av inaktiva kunder (och jag har ingen prenumeration) när förordningen trädde i kraft, skriver en kundtjänstmedarbetare i mejl.

Jag har fått alltifrån snygga Excel-dokument med mina personuppgifter prydligt uppradade till svarsmejl med uppgifterna inklistrade för hand.

I ett fall valde ett företag rentav valt att skicka mig hopklippta skärmdumpar från sina kundsystem.

Jag måste ge den personen som bemödat sig med detta en eloge. Även om jag är nyfiken på vad som hänt om jag mejlat samma företag och åberopat dataportabiliteten – att jag kan få ut mina uppgifter i ett format som är maskinläsbart.

En grundpelare i GDPR är ju att ingen tredje part ska få ta del av mina personuppgifter utan att jag godkänt det. Ibland kan jag tycka att företagen jag kontaktat ger mig min data lite väl lättvindigt.

Ett tiotal bolag väljer att bara skicka ett registerutdrag över mejl, utan någon som helst kontroll av min identitet.

Visst skickar jag mejlen från en e-postadress de förmodligen har registrerad i sina system, men en e-postavsändare är lätt att fejka. Och jag vill helst inte att valfri femtonåring med kunskaper i att googla ska kunna begära ut uppgifter om mig.

Vissa registerutdrag innehåller rätt känslig information. En app jag använder skickar utan kontroll en lista över vilka gps-koordinater jag loggat in ifrån. En betalningsförmedlare listar alla mina inköp under flera års tid. En mäklare skickar en lista över bud jag lagt på en lägenhet för några år sedan.

Det är inte liv och död, för mig i alla fall, men får jag välja vill jag inte att den typen av uppgifter lämnas ut utan eftertanke.

Id-kontrollen inte reglerad i GDPR

Det finns inga klara regler för hur företag ska säkerställa att registerutdragen hamnar i rätt händer. Dataskyddsförordningen säger bara att den som är personuppgiftsansvarig på företaget ska se till att registerutdraget hamnar i rätt händer.

– Vad man behöver ha för underlag för att kunna identifiera personen bör avgöras från situation till situation. Det ställs högre krav på att utlämnandet sker på ett säkert sätt och till rätt person när det rör exempelvis en vårdgivare med känslig information om en individs sjukdomar än på ett företag som har ett fåtal uppgifter och som inte är känsliga, säger Camilla Sparr som är jurist på Datainspektionen.

Hon menar att det i vissa fall kan räcka med att mejlet kommer från rätt e-postadress eller med enklare kontrollfrågor som var man bor eller vilket kundnummer man har.

– Enligt dataskyddsförordningen får den personuppgiftsansvarige begära ytterligare information om den har rimliga skäl att betvivla identiteten. Men det ska inte heller slå över åt andra hållet så att man begär mer information än vad som egentligen behövs, man får göra en proportionalitetsbedömning, säger Camilla Sparr.

Det ska väl ändå sägas att merparten av bolagen jag kontaktade krävde någon form av garanti för att jag var den jag utgav mig för.

Större bolag kräver Bank-id eller kontrollfrågor

En handfull av de större bolagen har implementerat ett system där jag kan få ut mina uppgifter genom att logga in med Bank-id. Andra har lagt registerutdrag så att jag enkelt kan komma åt dem genom att logga in på mitt vanliga konto. Andra mejlade en rad kontrollfrågor som när jag gjort mitt senaste köp, vilken min folkbokföringsadress är eller bad att jag angav mitt senaste fakturanummer.

En andra kategori företag valde Datainspektionens linje med någon form av fysisk verifikation. Antingen postades registerutdragen till min folkbokföringsadress eller så krävde de att jag skickade in ett formulär med snigelpost. Underskrivet och i ett par fall även med en vidimerad kopia av mitt körkort.

Ett litet gym på Hisingen här i Göteborg kräver rentav att jag åker dit och legitimerade mig. Eftersom gränsen för min research går vid Götaälvbrons södra uppfart får jag helt enkelt lita på att de hade lämnat ut ett fullgott utdrag om jag bemödat mig resan.

Jag är i alla fall glad att de säkerställer att min data inte hamnar fel.

Om företag tanklöst skickar ut mina registerutdrag till vem som än begär dem har de inte bara misslyckats med att implementera GDPR, de har lyckats med den direkta motsatsen till vad förordningen vill åstadkomma.

De har gjort det enklare att ta del av min persondata utan att jag får reda på det.

Så svarade företagen

11 företag skickade registerutdrag över mejl utan att göra någon kontroll.

7 företag har inte svarat alls.

6 företag sa att jag kunde logga in på hemsidan för att få ett registerutdrag.

4 företag ville att jag skulle identifiera mig med Bank-id.

4 företag ville ha en underskriven begäran per post.

3 företag ställde kontrollfrågor över mejl.

3 företag postade registerutdrag till min folkbokföringsadress.

1 företag ville att jag skulle besöka deras kontor och legitimera mig.

1 företag uppger att jag blivit raderad ur systemet.

1 företag uppger att registerutdraget kommer att dröja på grund av hög belastning.