En gang for lenge siden, i 2010, handlet GDPR primært om å fremme innovasjon og styrke den europeiske dataøkonomien. Det handlet om å promotere fri flyt av data også over landegrenser. Disse elementene ser du fremdeles nedskrevet. Et sentralt element rundt GDPR er dataportabilitet. Skulle dette bli fullt realisert så kan du som forbruker flytte dine personopplysninger som du vil fritt mellom selskap. Da kan man kombinere data på helt nye måter og skapt et datagrunnlag for IoT som andre verdensdeler bare kunne drømt om. Imidlertid ble en rekke personvernsskandaler utslagsgivende for at fokuset falt nærmest utelukkende på personvern.
For mange er GDPR blitt redusert til kjas og mas, enten på arbeidsplassen eller som vanlig borger. Torsdag 29. november arrangeres det dialog rundt dette temaet.
Man må se langt etter 2010-visjonen i dag. I det daglige blir vi nedlesset i cookie-samtykker på hver nettside og endeløst GDPR-arbeid på jobben. Vi føler at vi må velge mellom personvern og innovasjon, og det er ikke nødvendigvis personvernsiden som vinner. De største selskapene i verden har personvernsøksmål hengende over seg, med bøter på størrelse med lommerusk for dem. Til sammenligning ligger Kina langt fremme når det gjelder maskinlæringsteknologi, ikke minst fordi det finnes rikelig med materiale å trene opp algoritmene på. De fleste Fortune-500 selskap har etablert FoU-avdelinger i Kina for å nettopp ta del i denne utviklingen. Vi ser i dag få bevis på at innovasjon og personvern kan styrke hverandre, snarere tvert imot.
Men eksemplene som viser at personvernsprinsippene kan fremme innovasjon kommer fra uventet hold. Tim Berners-Lee, opphavsmannen bak World Wide Web, sa en gang at feilen med internett er at det mangler et identitetslag. Nettsider har ofte et behov for å vite hvem du er av helt legitime årsaker. I dag vet ikke nettsider hvem du er, men har nærmest fri tilgang til å samle inn alle mulige opplysninger når du er innom. Et identitetslag vil medføre at alle nettsider vet hvem du er. Det ville være lettere for individer å kontrollere hvem skal ha tilgang og betingelsene for lagring av informasjon.
Som et resultat av denne mangelen har et mylder av identitetstjenester dukket opp. Og her kommer det overraskende eksempelet: Facebook Connect er kanskje den mest populære. Det fungerer som en portal hvor du kan verifisere din identitet ovenfor nye tjenestetilbydere og overføre personopplysninger. Hele prosessen er drevet via samtykke og viser at samtykkebaserte tjenester kan være enkle og brukervennlige. Tjenesten møter også et reelt behov tjenestetilbydere har for å verifisere identitet og hente inn nødvendige personopplysninger for å yte tjenesten. Nå har skandalene vist at Facebook Connect ikke er helt transparent, eller stanser selskap fra å grafse mer informasjon enn de trenger, eller oppfyller retten til å bli glemt - men dette er ikke nødvendigvis så vanskelig å fikse heller.
At det finnes forretningsverdi bak prinsippene i GDPR så man også i sommer da Facebook, Twitter, Microsoft og Google gikk sammen for å lansere Data Transfer Project (DTP) – en slags plattform som skal gi individer muligheten til å overføre personopplysninger fra ett foretak til et annet, med tilhørende API-miljø for utviklere. Dette kan for eksempel brukes for å sende data til ny leverandør og sikkerhetskopiere data, men kan også brukes til å skape helt nye tjenester. Hva som er motivasjonen til disse selskapene klarer vi fint å gjette – ingen forretning gjør noe som ikke vil øke bunnlinjen.
Dataportabilitet har en svært begrenset standardisering. Du ser det i få bransjer, f.eks. helsesektoren eller banksektoren via PSD2. I sistnevnte tilfelle ser man at access-to-account rettigheten (en variant av dataportabilitet) faktisk åpner opp fintech-industrien. Men uten en fungerende dataportabilitet som eksisterer utenfor forslag til lovgivning vil vi ikke se innovasjon.
Tim Berners-Lee jobber for tiden med prosjektet Solid, som skal tilby brukere muligheten til å administrere sine personopplysninger og tjenester. Et utviklermiljø skal følge med der man kan forvente å se nye datadrevne tjenester. Han er for tiden ikke alene. Det er andre startups som jobber med lignende konsepter, f.eks. Digi.me. Om disse selskapene skal tiltrekke nok brukere for å overleve, så må de ha et stort nettverk tjenestetilbydere som vil støtte og ta i bruk standarden på plattformen.
Hvilke tjenester vi bruker for å forvalte våre data om 5-10 år er det ingen som vet, og det finnes heller ingen riktige svar. Men hvis vi vil unngå å være passive tilskuere til utviklingen som vil forme vårt samfunn, må vi ha en reell diskusjon mellom politikere, store og små aktører i næringslivet - og de viktigste interessentene: individene. GDPR vil ikke nå sitt fulle potensiale hvis ikke vi klarer å realisere innovasjonsaspektene i forordningen. Hvis ikke borgere klarer å se at personvern er ukomplisert og gir verdi utover seg selv, er sjansene store for at de blir enda mer passive.
