Vi trenger mye mer enn GDPR for å stagge utviklingen
LEDER: Overvåkingssamfunnet er her, men det kan reguleres.
Franske myndigheter har nylig bøtelagt internettgigantene Facebook og Google med et milliardbeløp fordi de hadde plassert reklame-cookier på brukeres pc-er uten å innhente samtykke først. Dette vedtaket er forankret i GDPR, som beskytter enkeltpersoners rett til et privatliv. GDPR bruker en prosentsats av overtrederens globale omsetning som grunnlag for bøtenes størrelse, og når det kommer til selskaper som disse, så blir det naturligvis store tall. Vi tviler likevel på at 100 millioner euro i bot til Google og 35 millioner euro i bot til Facebook tar nattesøvnen fra noen av lederne i de respektive selskapene.
Våre svært dyktige kolleger over hos NRK Beta har i flere artikler i år dokumentert hvordan persondata hentes ut, omsettes og forflyttes gjennom flere selskaper inntil ingen – apputviklerne inkludert – egentlig vet hvor dataene har tatt veien. NRK-journalistene kjøpte selv en pakke med data som etter sigende var anonymiserte, og viste hvordan de klarte å identifisere personene det gjaldt. Ikke var det så vanskelig heller.
For vi gjør det jo, alle sammen: Klikker ok på GDPR-pålagte dialogbokser i apper og på nettsider, som regel uten å finlese de juridisk fininnstilte formuleringene som visstnok dekker ryggen til apputvikleren og eieren av nettsiden, når det kommer til å etterleve lovverket om personvernet. Det er mulig dette er godt nok for at disse to partene skal ha et forhold til hverandre innenfor GDPR-regimet, men hva med de neste leddene? Om dataene er vasket for personidentifisering når de omsettes videre, så er GDPR ikke i spill. Det er et problem når det så viser seg at personer likevel kan identifiseres av dataene, som nå er flyttet langt fra brukeren og appen som opprinnelig ble brukt.
Det er lett å føle avmakt. Absolutt alle, fra spill-apper til nettjenester for profesjonell bruk, samler inn data om oss. Lovlydig nok ber de aller fleste om samtykke, i alle fall så mange at vi som brukere er fullstendig overveldet av mengden av samtykker som må gis, nær sagt uansett hva vi ønsket å gjøre på nettet. Det er ingen tvil om at GDPR var påkrevd og på høy tid, men denne lovgivningen må bare være begynnelsen. Flere fasetter av datainnsamling og -bruk må eksplisitt inn i lovverkene, og verdens datatilsyn må få mandat til steinharde reaksjoner. Milliardbøter er vekslepenger for gigantene, er det på tide å innføre sterkere reaksjoner? Vi applauderer franske myndigheters vilje og evne til å reagere strengt på overtramp, og håper flere lands myndigheter følger etter.