I 2018, fikk EU og Norge nye personvernregler som alle nettaktører forplikter seg til å følge. Loven heter GDPR, eller personvernforordningen på norsk, og ble vedtatt i 2016. Reglene er ment å styrke personvernet ved behandling av personopplysninger på internett.
Det var store forventninger til GDPR og hvordan loven skulle sørge for at hver og en av oss i mye større grad kunne kontrollere hvilke opplysninger om oss selv vi legger igjen hos nettaktørene.
Men hvordan har det gått? Nylig skrev Dagsavisen om hvordan de store nettaktørene bruker personlige data for å blant annet lage skreddersydd reklame.
Tre år etter at de nye personvernreglene for nettaktører kom, er ekspertene delt i synet på hvor bra reglene har virket.
Forsker og ekspert på algoritmer, makt og politikk på sosiale medier, Petter Bae Brandtzæg (UIO), mener GDPR har mislyktes.
Har GDPR virket?
– GDPR har langt på vei feilet fordi nettbrukere hele tiden aksepterer vilkår som de ikke kjenner til. GDPR har lagt for mye ansvar over i hendene på brukerne, samtidig som store aktører som Facebook og Google har vist at de kan utnytte dette til sin fordel, sier Brandtzæg.
Forbrukerrådet mener GDPR ikke er perfekt, men har satt en høy standard for hvordan personopplysninger skal ivaretas.
– Dessverre ser vi at oppfølgingen, etterlevelsen og håndhevingen i mange tilfeller har vært svært mangelfull. Dette gjelder ikke minst det irske datatilsynet som har hovedansvaret for teknologigigantene som alle er etablert i Irland, sier fagdirektør i Forbrukerrådet, Finn Myrstad.
Det har vist seg svært krevende å gå etter de store globale plattformene, som Google og Facebook, på grunn av bestemmelser i GDPR, forklarer Forbrukerrådet. Reglene sier at det kun er er datatilsynsmyndighetene i det landet virksomheten har sitt hovedsete, som kan håndheve personvernreglene. Siden plattformene er etablert i Irland, har dette ført til en lang kø av klagesaker som det irske datatilsynet ikke har kapasitet til å ta unna.
I Norge er det Datatilsynet som har overordnet ansvar for å passe på at personopplysningsloven overholdes, og jobber for at internettbrukere i Norge skal få tilbake kontroll over sine opplysninger. De mener at GDPR har vært ganske effektivt.
– Vi ser at det er en større bevissthet om personvern i dag enn det bare var for noen få år siden. Dette gjelder både bedrifter og enkeltpersoner. Virksomheter, både offentlige og private, har fått et mye større ansvar for å behandle våre persondata på en god og forsvarlig måte. I dag forventer forbrukerne at personvernet ivaretas. Vi ser selskaper som jobber med utvikling av personvernvennlig teknologi. I Norge er det flere som utvikler innovative løsninger der teknologi og personvern går hånd i hånd, sier kommunikasjonsdirektør Janne Stang Dahl.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/37E5NC5JNBAP5FCKJPJFUJG5EE.jpeg)
Siden GDPR trådte i kraft sommeren 2018, har Datatilsynet delt ut et økende antall overtredelsesgebyrer (bøter), etter det nye regelverket.
– I 2019 ga vi tre overtredelsesgebyr for 3,3 millioner kroner kroner, i 2020 sju overtredelsesgebyr for 5,4 millioner kroner. Og i år er det ny rekord. Så langt har vi gitt 22 overtredelsesgebyrer for til sammen 16,2 millioner kroner. Vi har også flere varsler om gebyr for flere millioner kroner – men disse er ikke endelig vedtatt, forteller Dahl.
[ Kommentar: Hvem skal eie våre norske data? ]
Hvem eier dataene?
Men selv om Datatilsynet mener personvernreglene har bidratt til å skjerpe bevisstheten om personvern, advarer tilsynet likevel mot teknologigigantenes kontroll over dataene våre.
I en kronikk i Aftenposten gikk Datatilsynet, Forbrukerrådet og Amnesty Norge nylig ut og advarte mot teknologigigantenes forretningsmodell som de mener er i strid med grunnleggende menneskerettigheter, forbrukerrettigheter og retten til personvern. Utviklingen er alvorlig, mener Datatilsynet.
– Det pågår en viktig debatt om hvem som skal eie dataene våre og hvordan de skal kunne brukes. Hvis data er den nye oljen, må vi også snakke om forurensingen og de kollektive skadevirkningene det medfører, sier kommunikasjonsdirektør Dahl.
– Det ligger enorme verdier i innsamling og analyse av data. Store teknologiselskaper verden over lever av å dele persondata til annonsører og andre selskaper som utnytter dine data til egen gevinst. Brukerdata kan sammenstilles, gjenbrukes og foredles i det uendelige. Verdien øker når man finner nye bruksområder og raffinerer fra ulike kilder, forklarer Dahl.
Personvernet utsettes for kontinuerlig press
Alle de store internettaktørene har basert sin forretningsmodell på brukerdata, og store deler av dagens internettøkonomi baserer seg på overvåkningsbasert reklame. Finn Myrstad i Forbrukerrådet forteller at dette utsetter personvernet vårt for et kontinuerlig press - og regelverket sliter med å henge med.
– Innsamlingen og sammenstillingen av informasjon om oss bryter ikke bare med vår rett til privatliv, men gjør oss blant annet sårbare for manipulasjon, diskriminering og svindel. Dette skader både oss forbrukere og samfunnet som helhet, sier Myrstad.
I en undersøkelse YouGov har gjennomført for Forbrukerrådet, sier norske borgere klart ifra om at de ikke ønsker denne type overvåking. Kun én av ti er positive til at kommersielle aktører samler informasjon om en på nett, mens bare én av fem synes annonser basert på personlig informasjon er ok.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/WLQYHK3KVRF25EAXL37CWGC4OA.jpeg)
Datatilsynet kaller det et datakappløp i medie- og annonseindustrien, og at forbrukerne kjøpes opp én etter én på globale annonsebørser.
– Det fører til en ekstremt målrettet markedsføring. Selskapene og markedsførerne har inngående innsikt i våre vaner, interesser, smak og kontaktnett for å treffe best mulig. Våre data utnyttes i et enormt økonomisk marked, sier kommunikasjonsdirektør i Datatilsynet, Janne Stang Dahl.
Datatilsynet har valgt å droppe Facebook fullstendig. De har konkludert med at de ikke vil benytte plattformen fordi usikkerheten til hvordan Facebook bruker dataene, er for stor.
– Vi kan ikke forklare besøkende på vår Facebook-side hva opplysningene deres brukes til, og da kan vi ikke innfri GDPR-kravene. Vi tror at de som hadde besøkt vår side har en forventning om at vi vet hva som skjer med deres data dersom de for eksempel klikker «liker», eller hva slags opplysninger som registreres bare ved å besøke siden vår, noe vi ikke kan svare på. Med en egen side ville vi bidratt til å fore Facebook med informasjon. Vi mener at statlig forvaltning, og spesielt Datatilsynet, bør ha et spesielt ansvar for innbyggernes data, sier Dahl.
[ Varsler: Facebook velger profitt framfor trygghet ]
Norges største datainnsamler
Schibsted er kanskje Norges største innsamler av persondata. Medieselskapet eier blant annet VG, Aftenposten, Bergens Tidene, Fædrelandsvennen og Stavanger Aftenblad.
Ingvild Næss, sjef for personvern i Schibsted forteller at de har mye data på sine brukere, og at de bruker denne dataen til å utvikle og tilby mest mulig relevante produkter og tjenester.
– Konkret bruker Schibsted data til å tilpasse innhold og artikler basert på det brukergrupper har lest tidligere, og for å vise mest mulig relevante nyheter, tilbud eller for eksempel værmeldingen. Vi tilpasser blant annet innhold ut fra hvor ofte du besøker et nettsted, ser hvordan produktene benyttes, eller for å teste om en versjon av en tjeneste er bedre enn en annen. Data er dessuten viktig for både å levere og måle annonser som er mest mulig relevante for brukerne. Målrettede annonser er en helt avgjørende finansieringskilde for å sikre fri, uavhengig journalistikk tilgjengelig for flest mulig, sier Næss.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/YINDZP6Y55EYLFDYUWKN3GSPCU.jpeg)
Men hvordan sikrer dere personvernet for privatpersoner?
– Schibsted følger personvernreglene, inkludert GDPR, og har en rekke begrensninger og rutiner på plass for å sikre at data brukes på forsvarlig måte.
Disse begrensningene handler blant annet om at de ikke bruker detaljerte geografiske data, lagringstider, og tekniske og juridiske revisjoner med leverandørene, slik at de ikke bruker data om Schibsteds brukere til egne profiler. I tillegg jobber Schibsted med å gi informasjon og valgmuligheter, slik at du som bruker kan be om at dine data slettes, få innsyn eller gjøre andre valgt knyttet til bruk av data, forteller Næss.
Likevel har alle systemer svakheter. Næss forteller at de har hatt episoder der brukernavn og passord har blitt stjålet utenfor Schibsted og så har angripere brukt dette til å logge seg på Schibsted.
– Jeg vil understreke at det ikke er noe som tyder på at kontoer har blitt misbrukt når dette har skjedd. Men slike angrep viser hvor viktig det er å jevnlig oppdatere med nye passord, og ikke minst ha ulike passord for forskjellige tjenester, sier hun.
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/GNXEDYSAT5GAFGFU6GH6V3XOUM.jpg)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/ZUYBJTR7NFBJXEYRHN5XFYDRTE.jfif)
:quality(70)/cloudfront-eu-central-1.images.arcpublishing.com/mentormedier/GLZRPKU7LVD4NG4QGIWYSBECLI.jpg)