Foto: Dag-Rune Z. Vollen

STOR PERSONDATAINTERESSE: Datatilsynsdirektør Bjørn Erik Thon, flankert av Schibsteds personvernsjef Ingvild Næss og fungerende forbrukerombud Bente Øverli, poengterte at det er mange interesser inne i bildet om tilgangen til persondata på nett. Foto: Dag-Rune Z. Vollen

Dine data er til salgs

Gamle lover, dårlig regulering og mangel på felles it-politikk betyr at sporene som alle nettbrukere legger igjen på nett kan brukes og misbrukes. Helt lovlig.

- Dette handler ikke bare om datasikkerhet lenger. Nå handler dette om regler for håndtering av personopplysninger og data og det gjelder datatilsyn, forbrukermyndigheter og konkurransemyndigheter over hele Europa, poengterte Bjørn Erik Thon, direktør i Datatilsynet i en paneldebatt etter seminarinnledningene.

Thon oppsummerte dermed hva som gjør personvern så mye mer komplekst enn tidligere. Dagens muligheter for innsamling av store mengder data, analysere dem og faktisk kunne bruke dem gjør at en felles politikk og regulering må ta flere hensyn enn før.

Reklame minst skummelt

Bakgrunnen var erkjennelsen av at «dine data er til salgs». Det konstaterte Forbrukerrådet og inviterte til seminar. Deltakerne i salen fikk høre innledninger med siste nytt og en del litt mer kjente fakta om hvordan nettaktiviteten til vanlige bruker og forbrukere kontinuerlig samles inn. De brukes til å lage profiler og for å målrette markedsføring og reklame. I beste fall.

Men også de alternative bruksområdene ble belyst. De små digitale agentene som sjekker hva personer gjør kan legges igjen eller settes til å overvåke nærmest alle typer nettsteder. De er enkle å utvikle, og den som samler inn opplysningene kan godt være kriminelle eller overvåkere av ikke-kommersielt slag.

Det som samles inn er adferdsdata og andre metadata, som kan gi viktige mønster: hvem man er, hva man gjorde, hvem man snakket med, når det skjedde og så videre. Det er ikke innholdet i kommunikasjonen som nødvendigvis er interessant. Men jo større mengder metadata, jo mer vet en innsamler om en persons oppførsel, valg og forventet adferd.

Død av metadata

Wolfie Christl, som er personvernaktivist og skribent i Cracked Labs, satte det på spissen med et sitat fra NSA-rådgiver Stewart Baker: «Metadata forteller faktisk alt man trenger å vite om en persons liv. Om du har nok metadata, trenger du ikke vite noe om innhold».

Han la til et høydepunkt til, som visstnok var en respons til Baker fra general Michael Hayden, tidligere direktør både i NSA og CIA: «Han [Baker] har helt rett. Vi dreper folk basert på metadata.»

Jo større mengder metadata, jo mer vet innsamler om en persons oppførsel, valg og forventet adferd.

Christl gikk deretter gjennom hvordan store aktører som Google og Facebook samler inne enorme mengder informasjon om brukerne og deres handlinger. Dette selges blant annet til markedsførere som kan målrette reklame basert på svært detaljerte profiler. Ofte ikke de mest hyggelige innretningene heller. I et land med store problemer med rasisme som USA har Facebook høstet kritikk for at annonsører kan ekskludere folkegrupper som afro-amerikanere eller latin-amerikanere fra annonser.

På tross av et nokså dystert bakteppe, ville ikke Christl gå så langt som å fraråde bruk av nett og sosiale medier. Men han var klar i meldinga om at brukere må være mer kritiske til hvor de er og hva de gjør. Og at bedre regulering og lovgiving må på plass for å verne den enkelte brukeren.

Felles europeiske regler

En som allerede er i gang med å bruke lovene til å hindre de verste utslagene er Max Schrems. Advokaten fra Østerrike er en personvern-aktivist som har brukt egne lands lover og EU-lovverket til å skaffe tilgang til egne persondata. De har han brukt for å demonstrere hva som gjøres, og hvor svakt lovvern det er mot overtramp.

- Man må være klar over at svak og lite sammenhengende regler i Europa, gjør at de fleste store selskaper i USA mener det er fritt fram for å gjøre nesten hva som helst når det kommer til innsamling og bruk av persondata fra europeiske borgere, advarte Schrems.

Schrems gikk deretter igjennom hvordan reglene for personvern i Østerrike ga ham sterkere rettigheter enn EU-regler. Dette ble satt på spissen da han gikk til sak mot Facebook, og dette måtte foregå i republikken Irland. Der var lovene både for selve søksmålet og prosessreglene for enkeltpersoner som anlegger sak annerledes og svakere enn i hjemlandet.

Brukere må være mer kritiske til hvor de er og hva de gjør.

Irland er allerede i klinsj med EU for andre deler av EU-retten som rammer landets lukrative virksomhet som billig havn for allehånde internasjonale teknologiselskaper og deres satsing i Europa. I år har den store konflikten spørsmålet vært om Apple skal slippe unna skatt på virksomheten i Europa fordi irske reguleringer tillater det.

- En utfordring i en global sammenheng er naturligvis at det finnes flere rettsprinsipper og ikke en felles forståelse av hva som er rett og galt. Derfor er det så viktig å få til felles regler i hele Europa slik at alle borgerne her er under felles regler og gjennom samarbeidet får til en effektiv håndheving, sa Schrems blant annet.

Ikke lovtomt

Statssekretær Paul Chaffey poengterte i debatten at selv om innsamling av personinformasjon og bruken av den både var interessant og skremmende, så eksisterer den ikke i et lovtomt eller uregulert rom.

- Vi kan ikke løse problemer som ikke eksisterer.  Ofte må vi akseptere en teknologisk utvikling først, og heller endre lovene i etterkant. Det er heller ikke slik at vi må endre lovene fordi samfunnet digitaliseres. Grunnprinsippene i retten finnes alltid, så de kan ofte brukes i en ny kontekst.

Chaffey la også til at av og til kan markedet løse slike utfordringer sjøl.

Han poengterte at i en europeisk sammenheng er det viktig ikke bare å få til felles personvernregler av hensyn til borgerne. Felles regler er også viktig av hensyn til like konkurransevilkår. Det involverer også de positive sidene av tilgang til persondata, for eksempel hvordan de gjør digitale tjenester enklere å bruke.

Personvern