Det er en relativt velkjent holdning som forteller at dersom noe er gratis, så er det brukerne som er den egentlige handelsvaren. Det finnes unntak fra denne regelen, men de siste årene har kommersielle utnyttelse av brukerdata blitt langt mer omfattende og uoversiktlig enn det den var tidligere. Derfor arrangerte Forbrukerrådet mandag et seminar om nettopp salg av brukerdata.
Seminaret viste seg å være svært populært, slik at det ble flyttet fra Litteraturhuset i Oslo til Latter for å få plass til alle. Men også hos Latter ble det fullt.
Den østerrikske helten
En mulig årsak til dette var at den virkelige hovedattraksjonen var Max Schrems, den østerrikske jusstudenten som gjennom sin kamp mot Facebook også oppnådde å få ugyldiggjort Safe Harbour-avtalen, som var det juridiske grunnlaget for mange virksomheters utveksling av persondata mellom EU/EØS-land og USA.
_logo.svg.png){kind=logo}
Schrems fortalte om bakgrunnen for at han anla saken, som til slutt ble avgjort av EU-domstolen. Hovedargumentet hans var at PRISM-systemet til NSA hindrer et av kravene i avtalen, nemlig at den skal gi adekvat beskyttelse av dataene.
Schrems fortalte om sine opplevelser hos det irske datatilsynet, som tydelig manglet både ressurser og vilje til å følge opp saken, selv om de ifølge loven hadde plikt til å gjøre nettopp dette. Irland ble valgt fordi Facebook lagrer europeiske brukerdata der. Men prosesseringen skjer i USA.
Han fortalte også at han klagde inn Skype og Yahoo til datatilsynene i henholdsvis Luxembourg og Tyskland. Skype-saken ble avvist med påstand om utilstrekkelige bevis, mens det tyske datatilsynet fortsatt etterforsker.
Men Schrems mer enn antydet at amerikanske myndigheter har lagt mye press på de aktuelle landene.
Alternativet
I tomrommet som oppstod etter at Safe Harbour-avtalen ble erklært ugyldig i fjor høst, hadde selskapene med behov for utveksling av persondata i praksis bare ett alternativ som juridisk grunnlag for utveksling av persondata mellom EU/EØS og USA, nemlig det som omtales som standardkontraktklausuler.
Ifølge Schrems kan ikke disse brukes dersom de er i konflikt med nasjonal lovgivning. Derfor mener han at slike kontrakter ikke fungerer med USA som mottaker av dataene.
Men også disse standardklausulene blir nå testet juridisk i Europa.
Les mer: Kan bli nektet å sende europeiske brukerdata til USA
Privacy Shield
Schrems fortalte at EU-kommisjonen og USA kunngjorde erstatteren til Safe Harbour-avtalen lenge før den i det hele tatt eksisterte. Det kan virke som at det eneste som partene var kommet til enighet om, var navnet, EU-U.S. Privacy Shield. Først måneder senere ble avtaleteksten lagt fram.
– Den er i praksis Safe Harbour med et nytt navn. De har bare lagt et par ting til den opprinnelige teksten, sa Schrems.
Han mener at årsaken til hastverket var press fra næringslivet om å komme opp med en avtale, selv om det er en avtale som nok blir kortvarig. Det er allerede flere som har anlagt søksmål for å få den prøvd i rettssystemet i Europa. Schrems regner med at også Privacy Shield til slutt blir lagt død av EU-domstolen.
– Sett fra et juridisk ståsted, tror jeg ikke det er mulig for et europeisk selskap å overføre data på en sikker og trygg måte til USA, sa Schrems. Han sier at Microsofts nyåpnede datasentre i Tyskland, hvor Microsoft må søke om tilgang, er en mulig løsning for lagring hos amerikanske selskaper. Men ikke for selskaper som Facebook hvor alle kommuniserer med hverandre på tvers av hele kloden.
Schrems nevnte for øvrig at Facebook var et fantastisk mål for en slik gjennomgang som han gjorde.
– De gjør så mange feil og var totalt uforberedt på at noen skulle banke på døra og be om innsyn, sa han.
Enorme mengder med brukerprofiler
Også en annen østerriker, Wolfie Christl, holdt foredrag under seminaret. Christl er medgründer av Cracked Labs, en uavhengig forskningsinstitusjon som blant annet studerer den sosio-kulturelle påvirkningen til informasjonsteknologi.
Christl fortalte at metadata fra brukerne, altså om og rundt det vi gjør på nettet, er tilstrekkelig til å kartlegge personligheten til mennesker. Det er ikke nødvendig å se selve innholdet som brukerne oppsøker og ser, så lenger man har nok metadata.
Han fortalte blant annet at fire uker med telefonloggene til en person, er tilstrekkelig til å vurdere kredittverdigheten til vedkommende. Søkeloggene er minst like verdifulle.
Christl sa at det har vært en helt enorm vekst i antallet virksomheter som jobber med profilering av nettbruker i markedsføringsøyemed. Tallet nærmer seg nå 4000.
Han nevnte selskaper som trolig de færreste har hørt om, som har store mengder data om hundrevis av millioner mennesker. Disse selskapene samarbeider igjen med mange andre, også noen av de mest kjente bedriftsnavnene i internett- og IT-bransjen.
(saken fortsetter under bildet)
Brukerkategorier og diskriminering
Problemene handler ikke bare at dataene samles inn, men også hvordan de brukes. Christl sa at blant annet Facebook deler brukerne inn i kategorier, som igjen tilbys annonsørene. Disse har blant annet hatt mulighet til å ekskludere etniske grupper, i alle fall i USA, fra å se annonsene deres. Så sent som fredag i forrige uke lovet Facebook å slutte å tilby slike muligheter.
Trolig har dette ikke vært mulig i Norge, men ifølge Christl kan annonsører som retter annonser mot Norge ekskludere brukere som er interessert i temaer som blant annet arabiske språk, islam, multippel sklerose, online gambling, personlighetsforstyrrelser, klær i store størrelser, magekreft og rullestoler.
Dette kan være annonsører for for eksempel stillinger, forsikring, bank eller boliger.
– Slike profiler avgjør hvilke annonser vi får se, hvilke tilbud vi mottar, hvor lenge vi må vente i telefonkøen eller hvilke betalingsmetoder vi får benytte, sa Christl.
– Men dette er dine data, og du har rett til å kontrollere dem. Men disse aktørene snakker ikke med forbrukerne, bare bedriftene som er kunder av dem, sa han.
Tjener på uklare regler
Neste mann ut var tyske Jan Philipp Albrecht, som har ledet arbeidet til Europaparlamentet med den nye personvernforordningen til EU som trer i kraft i 2018. Han deltok via Skype.
Han påpekte at er et problem med at reglene for lagring av persondata er så forskjellige fra land til land, for da kan selskapene rett og slett bare velge de landene med de svakeste reglene til å lagre dataene.
Albrecht sa også at man ikke lenger kan skille sterkt mellom overvåkningen som gjøres fra myndighetenes side og det som gjøres av selskaper, interesseorganisasjoner, privatpersoner og kriminelle.
Men han mener at det som gjøres av næringslivet har blitt mer alvorlig i det siste fordi det kan bidra til diskriminering.
– Store deler av livet vårt bestemmes av hvordan disse tar hensyn til personvernreglene, sa Albrecht.
(saken fortsetter under bildet)
Samtidig er det et problem at lovene og reglene rundt personvern er uklare og dårlig tilpasset dagens virkelighet. Men dette er ifølge noe de store aktørene på internett tjener på.
– De kan ofte gjøre som de vil, fordi det er uklart om de faktisk bryter loven eller om noen kommer til å forfølge dem på grunn av dette, sa Albrecht.
Det virket likevel som at han så et lys i enden av tunnelen.
– Noen sier at strengere personvernlover vil hindre innovasjon. Men innovasjon og vekst avhenger av tillit. Noen av selskapene har forstått dette, sier han, men legger til at andre etter hvert vil slite i markedet fordi forbrukerne etter hvert vil kreve bedre og bedre personvern.
Økte valgmuligheter og innsyn
Det var ikke bare utenlandske eksperter som holdt foredrag. Det gjorde også Catharina Nes i Datatilsynet. Hun fortalte om en rapport som tilsynet hadde utarbeidet om selskapenes massive databruk og trakk fram tre hovedobservasjoner fra denne.
Det første punktet handlet om manglende innsyn.
– Det er få utenfor denne bransjen som har virkelig innsikt i hvordan bransjen fungerer og jobber. Det er nesten umulig for oss å få et klart bilde av hva av data og hvordan dataene samles inn, hva som lagres og hva som selges videre, sa Nes.
Hun påpekte riktignok at bransjen i dag ikke har noen incentiver til å lage tjenester med godt personvern, fordi det ikke er etterspørsel etter dette.
(saken fortsetter under bildet)
Valgmuligheter
Det andre punktet handlet om brukerne valgmuligheter, eller egentlig fraværet av dette.
– Du må godta betingelsene. Ellers er du ikke velkommen, sa Nes.
– Men samtykket må være basert på en ekte valgmulighet, ikke «take it or leave it», sa hun.
Det tredje punktet handlet om skjult manipulering og diskriminering. Her kom Nes inn på en del av det samme som Christl.
– Mange sier at de ikke har noe å skjule, men vi har alle våre sårbarheter som selskaper kan utnytte, for eksempel til prisdiskriminering. Mange nordmenn har vel opplevd å måtte betale mer for et hotellrom fordi de har bestilt fra en norsk adresse, sa Nes.
Hun sa videre at mye av dette kan være brudd på lovgivningen, som krever at selskaper må informere forbrukerne om hva de faktisk bruker de innsamlede dataene til.
Nes kom til med et budskap til bransjen om at de må tilby mer åpenhet, blant annet til de faktiske brukerprofilene. Hun sa videre at forbrukerne må få reelle valg, for eksempel at leserne av en nettavis som lagrer leservaner, kan få bruke dette til markedsføringsformål og ikke bare til å forbedre brukeropplevelsen.
Ifølge Nes vil den nevnte personvernforordningen gjøre det vanskeligere for aktørene å hindre forbrukerne slike valgmuligheter.
Nes sa også at profileringen av brukerne må bli mer ansvarlig, blant annet med grenser for hvor lenge selskapene får lov til å lagre dataene.
Til slutt påpekte hun fordelene med samarbeidet tilsynet har med andre reguleringsmyndigheter på dette området, spesielt Forbrukerrådet og Forbrukerombudet i Norge.
Hva gjør så bransjen?
Tre representanter fra Schibsted var de eneste fra bransjen som holdt foredrag. Selskapet, som har virksomhet i 30 land, er i gang med en ganske omfattende satsing på å få bedre kontroll på brukerdataene på tvers av tjenestene selskapet tilbyr. Samtidig må selskapet kunne konkurrere mot selskaper som Facebook og Google.
Ingvild Næss, som tidligere jobbet som advokat med personvern som spesialfelt, er personverndirektør i Schibsted Group. Hun fortalte at det ikke nødvendigvis er i forbrukernes interesse at aktørene lagrer minst mulig data om dem og bruker dem minst mulig, men at det er viktig at brukerne har mulighet til å ta kontroll over data, for å se hvordan de brukes og eventuelt få dem virkelig slettet.
(saken fortsetter under bildet)
– Vi vil bruke dataene dine til din fordel og til vår forretningsutvikling. Men vi vil gi deg kontrollen og dermed oppnå tillit til å gi oss mer data som vi kan bruke, sa Næss.
Under den avsluttende paneldebatten kom Næss også inn på de ekstremt omfattende betingelsene som tjenester og programvare benytter seg av. Forbrukerrådet har tidligere gitt dette mange timers oppmerksomhet.
– Det er ingen tvil om at vi må gå vekk fra de ti sider lange policyene, og at hver bruker selv kan skreddersy sin policy, sa Næss. Dette kan gjøres ved at alle tar utgangspunkt i en kort og generisk en, for deretter å bygge den ut gjennom valg som gjøres underveis.
Paneldebatt
Under paneldebatten deltok både politikere, advokater og representanter for tilsynsmyndighetene.
Statssekretær Paul Chaffey (H) at det som hadde kommet fram under seminaret hadde vært ganske skremmende, men samtidig balansert.
Stortingsrepresentant Torstein Tvedt Solberg (Ap) påpekte at det er et problem å få loven til å holde følge med teknologiutviklingen og tok til orde for at dette burde skje mer side om side.
Chaffey la da til at vi ikke må løse problemer som ikke eksisterer, og at det i noen tilfeller er tilstrekkelig å bruke eksisterende prinsipper som også fungerer med digitalisering.
Solberg sa videre at Norge er et lite land og må velge sine kamper, men uttrykte samtidig et ønske om at vi kunne være litt foroverlente og ta en ledende rolle på enkelte områder, som for eksempel innsyn og dataportabilitet.
(saken fortsetter under bildet)
Portabilitet
Bjørn Erik Thon, direktør for Datatilsynet, uttrykte også et visst engasjement for retten til å bringe sine data fra én leverandør til en annen, noe han sammenlignet med nummerportabiliteten som i sin tid ble innført av mobiloperatørene. Thon mener at dette kan bidra til betydelig økt konkurranse og sa at han er spent på hvordan dette vil fungere fra et personvernperspektiv.
Han la til at Norge, som bare har observatørstatus i Artikkel 29-gruppen med datatilsynene til EU-landene, har begrensede muligheter til å være proaktive. Men både han og fungerende forbrukerombud, Bente Øverli, sa at de ikke er nødt til å vente på klager for å gjøre noe.
Thon fortalte at et område som trolig vil bli prioritert fra Datatilsynets side i 2017, er å finne en metode for å revidere algoritmer, noe det er i dag er lite åpenhet om.
Ressurser
Han sa også, uten å peke direkte på det nevnte, irske datatilsynet, at han finner det dypt problematisk dersom datatilsyn nøler med å ta tak i saker, for eksempel på grunn av ressursmangler. Thon sa seg fornøyd med ressursene til sitt eget tilsyn.
Jon Wessel Aas, advokat og partner hos Bing Hodneland, sa blant annet at heller ikke den kommende personvernordningen er perfekt i målet om å gjøre personvernlovgivningen i Europa homogen. Til det åpner den for for mange unntak, og at den kanskje tar utgangpunkt mulighetene til det datatilsynet som har færrest ressurser til å få jobben gjort.
Finn
Initiativtakeren til arrangementet, Finn Myrstad, fagdirektør for digitale tjenester hos Forbrukerrådet, tok til orde for en merkeordning av tjenester på nettet. Han viste til at det innen mange produktkategorier er slik at leverandørene må bevise at produktene deres ikke er giftige, og at dette også burde kunne brukes for forretningsmodellene til blant annet nettgigantene.
Men både Thon og Øverli var avvisende til dette og pekte på at det har gått inflasjon i slike merkeordninger og at det ikke gir noen verdi lenger.
Med henvisning til det Christl fortalte om Facebooks kategorier, sa Myrstad at han gjerne skulle ha sett denne oversikten og lurte på hvorfor Facebook ikke publiserer den på eget initiativ.
Selv om mange forbrukere uttrykker bekymring over sporingen og datainnsamlingen, pekte Chaffey mot slutten av debatten på at undersøkelser viser at forbrukerne likevel ikke er så bekymret at de heller vil betale for tjenestene.
Thon sa da at han tror at mange vil velge den leverandøren som tilbyr åpenhet, framfor en som er mindre åpen, dersom de hadde et valg.
Et redigert opptak av hele arrangementet skal etter hvert bli tilgjengelig her.
