Lar du bedriftene fråtse fritt med dataene dine?

KRONIKK: Wanda Presthus og Hanne Sørum om personvern

Det var stor ståhei og mange presseoppslag om den nye personvernloven, The General Data Protection Regulation (GDPR), da den ble iverksatt i alle EU/EØS­land i 2018.

Ny teknologi gjør markedsfremstøt enklere, billigere og mer treffsikkert for bedrifter. Typisk bruker bedrifter personlige data til målrettet reklame, men også som salgsvare. En butikk innrømmer for eksempel at de tjener mer penger på å selge kundedata, enn de gjør på salg av dagligvarer. Et annet eksempel er nettbutikker som automatisk diskriminerer på pris ved å sjekke om mobilen eller PC­en det bestilles fra hører hjemme i et velstående land.

De nye personvernreglene har gitt forbrukere utvidede rettigheter til innsyn i data som bedrifter samler inn. Vi har ønsket å finne ut i hvilken grad norske forbrukere har benyttet seg av sine nye rettigheter i praksis.

Bruker vi rettighetene våre?

I 2019, ett år etter at reglene ble innført, gjennomførte vi en undersøkelse blant 327 forbrukere om deres forhold til de nye personvernreglene.

Halvparten av deltakerne svarer at de bare hadde litt kontroll over personlige data, mens fire av ti erkjenner at de ikke har noen kontroll i det hele tatt. Seks av ti forbrukere oppgir at de har kjennskap til GDPR, og tilsvarende antall mener at deres rettigheter har blitt bedre.

Det hjelper imidlertid lite å kjenne til rettighetene om man ikke benytter seg av dem. Uten unntak svarte majoriteten at de bare kanskje ville benytte seg av sine rettigheter. Tre av ti hadde likevel forsøkt å reservere seg mot personifisert reklame.

De nye personvernreglene styrker individets rettigheter, men ikke på alle områder. Særlig når det gjelder informasjonskapsler kan det se ut som at GDPR faktisk har virket mot sin hensikt. Vi klikker irritert bort samtykkeboksene og gir fra oss enda mer kontroll enn før.

Fra en forbrukers perspektiv kan vi stille oss spørsmål som: Endrer regelverket vår adferd og bevissthet knyttet til personvern, eller er GDPR foreløpig kun et svevende begrep «alle har hørt om, men ingen har sett»?

Kanskje har vi nordmenn råd til å betale mer for et hotellrom enn folk fra andre land. Gjør det virkelig noe om Facebook vet hvor vi står politisk – eller kan forutse hva vi stemmer på neste stortingsvalg?

Få bryr seg, hva kan det skyldes?

Forskningen vår viser at forbrukere ikke bryr seg nevneverdig.

Her er noen mulige årsaker til det. Begrepet personvern er ullent og vi forstår ikke hverken lovverket eller teknologien. I andre enden ser vi en bevisst beregning på å oppgi personlige data i bytte mot rabatter og andre goder (men vi vet ikke hvilken pris vi kan sette på dataene våre). Og noen har rett og slett gitt opp.

Altså kan være bra at myndigheter tar grep, og bøter har blitt gitt. Google ble dømt til å betale 50 millioner euro i Frankrike fordi regler om samtykke ikke var tydelige nok. I Norge fikk Tollvesenet varsel om bot på kr. 900.000, fordi det var mulig å identifisere sjåførens ansikt.

Har rett til å vite

Forbrukere har rett til å vite hvilke data som samles inn og lagres av bedrifter. I tillegg skal du få beskjed hvis dine personlige data blir stjålet eller kommer på avveie.

Rema 1000 gjorde en tabbe hvor kundedata ble eksponert, men reddet seg godt inn igjen ved å følge prosedyren: «dette har skjedd, grunnen er slik, vi gjør ditt for å rette opp, og datt for at det ikke skal skje igjen». Et eksempel mange kan lære av.

Hvis du får avslag av banken på lånesøknaden din, kan du be om innsyn. Kanskje finner du ut at banken har registrert lavere inntekt enn du egentlig har. Hvis du blir abonnent på en digital tjeneste kan du, for eksempel, nekte å oppgi fysisk gateadresse. Det er det ikke alle som er klar over.

Retten til å ta med seg dataene sine

Regelverket sier også at du har «rett til å bli glemt». Utvalgte data om deg skal altså kunne slettes. Vi skriver utvalgte fordi du kan ikke be arbeidsgiveren din slette hvor mye du fikk utbetalt i lønn slik at du slipper å betale skatt. Men du kan kreve at en brukerkonto blir slettet på sosiale medier. Denne paragrafen skaper mye hodebry for bedrifter, viser en av våre undersøkelser.

Noe helt nytt er retten til å ta med seg dataene sine (dataportabilitet). Du skal kunne henvende deg til en bedrift og få alle dine personlige data tilsendt i maskinlesbart format. Da kan du gå til den optikeren som har billigst synstest og be om resultatene, og så kan du få brillene av en annen optiker.

GDPR er grunnen til at «alle» websider nå kommer med den for mange irriterende pop­up­boksen: «Denne websiden bruker cookies. Klikk her for å godkjenne og for å bruke websiden». Men egentlig sier GDPR at du skal kunne godkjenne bare noen cookies (eller informasjonskapsler), og at du like lett skal kunne trekke dem tilbake. Bare noen få websider tilbyr imidlertid dette.

Ikke la bedriftene fråtse i dataene dine

Visste du forresten at når du besøker en norsk nettavis så vil nesten 200 informasjonskapsler lastes ned på din maskin i løpet av noen millisekunder? En auksjon holdes i rasende fart, og høystbydende kjøper seg plass til å reklamere på websiden din.

Det er heller ikke ulovlig for, la oss si en bank, å automatisk avgjøre om du får lån eller ikke. Men du skal opplyses om det. Alle beslutninger som påvirker oss, og som er basert på kunstig intelligens, skal du få vite om.

Ikke la bedrifter fråtse i dine data sånn helt uten videre. Det er lett å tenke at det ikke nytter, men noe kan vi gjøre. Be om innsyn. Lag litt lyd. Vær litt brysom. Lær deg hvordan du sletter informasjonskapsler. Si til venner at de skal verne om sine egne og dine data. Google deg selv med jevne mellomrom. Første skritt til endring begynner ofte med bevisstgjøring. Det har denne artikkelen hjulpet deg med.

Referanse:

Artikkelen er publisert som kronikk i Dagsavisen 28. februar 2020.

Illustrasjonsfoto: Vi har fått nye regler for personvern. Men, det er få som benytter seg av dem, viser studie fra Høyskolen Kristiania. Photo by Brooke Lark on Unsplash.

Tekst: Førsteamanuensis Wanda Presthus og førsteamanuensis Hanne Sørum, institutt for teknologi ved Høyskolen Kristiania.