Personvern handler i sin kjerne om retten til et privatliv. Samtidig er innsamling av persondata en næringsvirksomhet som går ut på å svekke privatlivets grenser for å profittere på salg av algoritmer som viser atferdsmønstre. Dette kan ha både politiske og økonomiske ringvirkninger. Men personvern kan ikke reguleres av lover og forskrifter alene, det krever en holdningsendring om hva forbrukere forventer av behandlingen av egen informasjon.
Misbruk av persondata har vært hyppig diskutert i det siste. Den siste store saken har handlet om Cambridge Analytica, som lagde software basert på profilene til 87 millioner Facebook-brukere. Disse dataene ble angivelig brukt av Trump-kampanjen for å manipulere det amerikanske valget. Selskapet har også blitt knyttet til Brexit-bevegelsen, og anklaget for å bidra til å vippe valgresultatet.
Den teknologiske utviklingen tilsier at dette kommer til å være verken første eller siste gang store mengder persondata blir samlet for politiske og økonomiske formål. Også blant norske aktører samles det inn store mengder data. Schibsted har lagret detaljert informasjon om nettbruk som går tilbake til 2001. Telenor kjøpte opp big-data selskapet Tapad for hele tre milliarder, for å drive målrettet markedsføring. Og Forsvaret samler inn metainformasjon om e-poster og datatrafikk fra sitt nye anlegg i Hønefoss.
Forbrukerne har vanligvis ikke kontroll eller oversikt over sine persondata som blir samlet, delt og solgt videre. Få ville bevisst tillatt at en app delte HIV-statusen din til tredjeparter, slik SINTEF avdekket at den amerikanske dating-appen «Grinder» har gjort.
Nasjonale reguleringer for å beskytte eget eierskap av persondata har i hovedsak vært utilstrekkelig. Dette har i hovedsak vært på grunn av Norges manglende handlingsrom og pressmidler ovenfor store internasjonale aktører. Men den Europeiske Union innfører i disse dager omfattende personvernsreguleringer, kalt The General Data Protection Regulation, eller GDPR. Det siste personvernreglementet fra EU er over ti år gammelt, og var ikke basert på en hverdag hvor innsamling persondata av private aktører var så omfattende.
Innføringen av GDPR markerer et hamskifte for reguleringen og beskyttelsen av personvern. Den viktigste endringen er at er at de som får personlige opplysninger registrert har nye rettigheter. De sentrale elementene er at:
• GDPR er gjeldende for alle som behandler persondata av mennesker som bor innenfor EU/EØS, uavhengig av hvor i verden selve selskapet befinner seg.
• Det innføres nye, strengere muligheter for å straffe virksomheter som bryter loven.
• Ordningen krever sentral og aktivt samtykke ved innsamling av persondata.
• Innhentet samtykke må dokumenteres.
• Du kan kreve at informasjon om deg blir slettet.
Ambisjonen til GDPR er å endre maktforholdet mellom brukeren som deler data, og de som prøver å kapitalisere på din persondata. Det viktigste med de nye personvernreguleringene er straffeaksjonene. Straffeaksjonen medfører at bedrifters tilsynsmyndigheter får autoriteten til å kreve inn opptil 4 prosent av et selskaps årlige globale inntekt, eller 20 millioner euro, betinget på hva som er høyest.
Dette betyr at hvis Facebook, som hadde en profitt på over 40 milliarder dollar i løpet av 2017, bryter europeiske personvernsreguleringer, ville de måtte betale 12,7 milliarder kroner. Hvis GDPR hadde vært i effekt når Facebook brøt sine egne regler om å ikke tillate tredjeparter å bruke data til kommersielle forhold, slik de gjorde med Cambridge Analytica, kunne EU ha brukt de nye reglene til å straffe og bøtelegge Facebook i EU.
Godt personvern kan føre til markedsfordeler for norske virksomheter og gründermiljøer som integrerer godt personvern i sine tjenester; ved å vise god og oversiktlig styring av persondata, servere og teknologiske plattformer. Hvis virksomheter ikke er ansvarlige må konsekvensene være tydelige fra forbrukere og investorer: investorer må trekke sin kapital ut fra selskap som bryter god personvernpraksis, og forbrukerne må endre sine valg slik at bedrifter med godt personvern får konkurransefortrinn.
ACER-debatten ga momentum til Nei til EU-bevegelsen ved å aktivt fremme en upopulær suverenitetsavståelse. EUs arbeid med personvern og eierskap av personlig data er derimot et spørsmål om demokratisk kontroll av samfunnet som EU burde applauderes for. GDPR er en sak som i høyest grad har blitt diskutert i næringslivet som må innføre endringene, men er en liten del av diskusjonen ellers. For å endre dette, og øke forventningene til de som behandler vår persondata, trenger vi ambassadører, gode politikere som kan snakke positivt om europeisk personvernsregulering og GDPR. Det vinner vi og vårt personvern på.