Dataene som genereres fra vårt digitaliserte liv gir nye løsninger, men skaper også utfordringer. Nye regler for å styrke europeiske borgeres personvern er snart på plass, men utfordres allerede av internasjonale handelsavtaler og manglende oppfølging av eksisterende regelverk.
Personvern er viktigere og mer aktuelt enn noen gang, og Forbrukerrådet vil i dette innlegget belyse noen av de viktigste problemstillingene akkurat nå.
Stadig flere gjenstander kobles på nett. Hjemmet, bilen, helsen blir digital. Telefonen kan fortelle deg hvor mange egg du har i kjøleskapet og hvilken vei du bør kjøre for å unngå kø. Termostaten vet når du er hjemme. Armbånd med sensorer hjelper oss å følge med på eget søvnmønster og gjør det mer motiverende å holde seg i form.
Når vi tar i bruk disse tjenestene, genereres det data. Data som er en viktig del av tjenesten, men som samtidig kan ha en verdi i andre sammenhenger.
Den digitale markedsføringsbransjen samler inn store mengder data og bruker disse til å lage profiler og målrette reklame, produkter og tjenester. I 2014 omsatte bransjen for mer enn 30 milliarder euro bare i Europa. I Norge rapporterer INMA, som er den norske paraplyorganisasjonen, om stadig økende omsetning innen digitalmarkedsføring.
Men hvor går grensen for bruk av denne type data? Er det greit om data sammenstilles og bidrar til at reklame tilpasset deg dukker opp i Facebook-feeden din? Eller at TV-en registrerer hva du sier og potensielt formidler dette videre til aktører du ikke kjenner? Og hva om data fra sensorer i mobiltelefonen blir benyttet til at de som beveger seg lite får dyrere forsikring – eller i verste fall ikke forsikring i det hele tatt?
Liten kontroll
Vi vet ikke hvor dataene om oss blir av, hvordan de sammenstilles og benyttes. Det blir stadig vanskeligere å få kontroll over hvilke data vi deler, under hvilke vilkår og hvordan de eventuelt brukes til vår fordel eller ulempe.
Fristelsen blir veldig stor til å bruke dataene til stadig nye formål
Vi får valget mellom å gi mer eller mindre uinformert samtykke eller å takke nei til tjenester vi ønsker å bruke. Samtidig er omfanget av brukeravtaler enormt. Det er regnet ut at det vil ta minst 25 dager i året hvis en vanlig internettbruker skal lese alle erklæringene vi samtykker til. I tillegg preges ofte digitale tjenester av monopolliknende tilstander, noe som gjør at den reelle valgfriheten er lav. For eksempel er det ikke lett å permanent logge av Facebook dersom du er uenig med vilkårene, så lenge alle venner og familie er der. Konsekvensen er resignasjon og avtaleapati. Vi trykker «aksepter» og går videre fordi vi føler vi ikke har noe valg.
Hvorfor er dette så farlig?
Når mer data samles inn om oss, blir fristelsen veldig stor til å bruke dataene til stadig nye formål. Formålsutglidning i bruken av dataene er problematisk, både fordi forbrukere ikke har samtykket, fordi de ikke vet hva dataene brukes til og fordi de ikke har mulighet til å finne ut hvilke data som brukes for eller mot dem.
Diskriminering og at data kan ende opp med å brukes mot forbruker, er en mulig konsekvens. For eksempel utvikles det teknologi som gjør det mulig å avgjøre hvorvidt en Facebook-bruker er kredittverdig eller ei ut fra hvilke venner man har. Få vurderer dette når de takker ja eller nei til en venneforespørsel. Noen kan risikere å få dyrere varer og tjenester, eller til og med ikke få jobb, på grunn av beregninger basert på sosiale nettverk eller klikkhistorikk.
Slik formålsutglidning strider mot grunnleggende forbrukerrettigheter som retten til muligheten til å ta informerte valg og retten til personvern.
Lovgivning på etterskudd
Det tar tid å lage lover og regler. Dette er spesielt utfordrende på et felt hvor teknologien og tjenestene utvikler seg i rekordfart. EU er nå i ferd med å oppdatere personvernregelverket fra 1995, en tid da internett knapt fantes. Forhandlingene mellom Europaparlamentet og medlemslandene er i sluttfasen og vil forhåpentligvis munne ut i bedre regler for forbrukerne og mer forutsigbarhet for bransjen.
Dette regelverket kommer i de neste tiårene til å ha sterk innflytelse på håndteringen av personlige data i Europa. EU-reglene vil også gjelde i Norge via EØS-avtalen. Gode regler i EU er viktig, ikke bare for europeerne, men fordi EU-reglene på personvernområdet i større og større grad er «gullstandarden» som selskaper følger globalt.
Påtrengende behov for å styrke globale standarder
Til tross for sine klare personvernsvakheter, følger Facebook i utgangspunktet EUs personvernregler i hele verden, bortsett fra i Nord-Amerika. Google har allerede tapt en rettssak i EU-domstolen og har en rekke saker underveis i nasjonale domstoler. Det samme gjelder Facebook. Dette har ført til at strategene i Silicon Valley nå bruker mer tid og ressurser på å sette seg inn i reglene i Europa.
Dagens EU-regelverk gjør også at landenes personvernlovgivning er ulik. Uklarheter om jurisdiksjon og hvilke regler som gjelder for håndtering av data, bidrar også til at forbrukerne mister kontroll over sine data fordi ansvar pulveriseres. Denne situasjonen vil forhåpentligvis bedres innen EØS med harmonisert regelverk som en følge av de nye personvernreglene som nå forhandles.
Globale kjøreregler
Selv om et oppdatert europeisk regelverk vil være positivt og mest sannsynlig fungere disiplinerende globalt, er det et påtrengende behov for å styrke globale standarder og forbedre eksisterende regelverk.
Dette gjelder ikke minst Safe Harbour-avtalen, som skal sikre at amerikanske selskaper respekterer europeiske personvernregler når de opererer i Europa.
Dessverre har avtalen vist seg å skape falsk trygghet for europeiske forbrukere. Gang på gang er lover og regler blitt brutt. Dette er også bakgrunnen for at EU-kommisjonen i 2013 krevde revisjon av avtalen (pdf) og at amerikanske myndigheter satte inn økte ressurser til tilsyn med selskaper.
Forbrukerrådet har gjennom sin transatlantiske paraplyorganisasjon (TACD) flere ganger henvendt seg til amerikanske myndigheter angående tilsyn av Safe Harbour-selskaper, uten nevneverdig respons. Den amerikanske organisasjonen Center for Digital Democracy klaget i fjor inn mer enn 30 selskaper til Federal Trade Commission (FTC), også uten at det tilsynelatende har ført til noe.
Handelsavtaler utfordrer personvernet
Samtidig som EU legger siste hånd på nye personvernlover, settes personvernlovgivningen under press av internasjonale handels- og investeringsavtaler, slik som TTIP (handelsavtale mellom USA og EU) og TiSA (flerstatlig avtale om handel med tjenester). I praksis risikerer vi at avtalene overstyrer europeiske lover.
Begge avtalene inneholder klausuler som berører flyten av data («the free flow of data») mellom blokkene i tilknytning til e‑handel. Dette er problematisk så lenge det ikke er tilstrekkelige forsikringer om at europeiske regler skal gjelde for europeiske borgeres persondata. Regjeringen lovet derfor i juni at TiSA-avtalen i alle fall kom til å ha slike forsikringer. I TTIP-forhandlingene er dette ikke like klart, selv om europeiske myndigheter kjemper for at personvernreglene våre opprettholdes.
Forbrukerrådet deltar i diskusjonene og holdt i juni et innlegg i Europaparlamentet på vegne av 75 europeiske og amerikanske forbrukerorganisasjoner, hvor vi argumenterte for at eventuelle avtaler må ha klare klausuler som sikrer at de europeiske reglene ikke svekkes. Vår europeiske paraplyorganisasjon har også laget en fin oversikt (pdf) som forklarer problematikken greit.
Forbrukerorganisasjoner har historisk sett vært pådrivere for økt handel over landegrensene og felles standarder, nettopp fordi det bidrar til konkurranse og flere valgmuligheter for forbrukere. Men samtidig er det viktig at vi ikke firer på prinsipper knyttet til helse, miljø, sikkerhet og personvern, hvor skadene ikke kan reverseres.