JUSS OG SAMFUNN

Nordmenn til salgs: Overvåknings-økonomien er fortsatt ute av kontroll

GDPR skulle gi makten tilbake til brukerne og stoppe kommersiell profilering av oss. Men to år etter innføringen overvåkes vi som aldri før.

Direktør Tore Tennøe i Teknologirådet mener GDPR ikke fungerer etter intensjonen.
Direktør Tore Tennøe i Teknologirådet mener GDPR ikke fungerer etter intensjonen. Foto: Unsplash / Innfelt foto: Teknologirådet
Av Tore Tennøe, Direktør i Teknologirådet
5. des. 2020 - 15:00

Dette debattinnlegget gir uttrykk for skribentens meninger. Ønsker du selv å bidra i debatten, enten med et debattinnlegg eller en kronikk, les retningslinjene våre her.

I vår kjøpte NRK-journalister tilgang til lokasjonsdata fra 140 000 norske mobiler og nettbrett fra den britiske dataforhandleren Tamoko for 35 000 kroner. Ifølge selskapet var dataene anonymisert. Men NRK klarte enkelt å identifisere Stavanger-mannen Karl Bjarne Bernhardsen ved å koble hjemmeadresse og jobb – de to stedene han var daglig. De kunne dermed kartlegge Bernhardsens bevegelser over 200 dager, blant annet på jobbintervju og familietur til Dyreparken.

Ikke nok med det. Journalistene kunne også identifisere besøkende på krisesentre og i psykiatri, og følge stortingspolitikeren Lene Westgaard Halles komitéreise til Svalbard.

New York Times har gjort et lignende graveprosjekt. Avisen fikk tilgang til data om 12 millioner amerikanere – og 50 milliarder pings, det vil si presis geolokasjon, i for eksempel Wall Street, Det hvite hus, Mar-a-Lago, Pentagon og the Playboy Mansion. Alt dette fra bare én datamegler.

Forbrukerrådet avdekker i rapporten Out of Control hvordan selskaper systematisk samler inn store mengder sensitiv informasjon via apper, som deretter brukes i målretting av reklame og andre budskap. Sjekkeappen Grindr deler for eksempel personopplysninger med 19 andre selskaper. Ett av dem deler informasjonen videre med 168 selskaper, og ett av disse deler igjen videre med flere tusen andre!

Hvordan havnet vi i overvåkningsøkonomien?

Kort oppsummert deles sensitiv informasjon om oss med et svimlende antall kommersielle aktører og selges i sanntid på annonsebørser. Samtykkeerklæringen er mer eller mindre meningsløs, anonymitet en illusjon og sikker lagring en myte. Det er enkelt å kjøpe og koble data med annen personlig informasjon som alder, kjønn, telefonnummer, interesser og vennekrets.

Når noe er gratis på nett, så er vi ikke kundene, men produktet. Vi tror at tjenestene er gratis, mens vi i virkeligheten betaler med personopplysninger.

For å forstå hvordan vi havnet her, må vi 20 år tilbake, til årtusenskiftet. Da skjedde to ting som påvirket dagens overvåkningsnivå: Det ene var terrorangrepet 11. september 2001 og en sterk og varig utvidelse av myndighetenes overvåkning av borgerne.

Enda viktigere i denne sammenhengen er at dotcom-boblen sprakk i mars 2000, noe som bidro til at internettet endret karakter og forretningsmodell. I internetts spede begynnelse var det få kommersielle interesser. Tjenestene var gratis, og internett ble omtalt som en frigjørende teknologi: fri bruk av tjenester, deling av tanker og ideer, demokrati og ytringsfrihet.

Men hvordan skulle man finansiere internett når folk hadde vent seg til at det var gratis og investorene slikket sårene våren 2000? Det fantes ingen etablert infrastruktur for mikrobetalinger. Valget falt på målrettede annonser, og internett ble en kanal for persontilpasset markedsføring. I motsetning til TV og papirmedier, gjør nettet det nemlig mulig å analysere hvem det er som ser på nettsiden man eier, og tilpasse hvilken reklame som vises til den enkelte bruker.

Anne-Sofie Risåsen er på plass ved Googles Aker Brygge-kontor.
Les også

Ny Google Cloud-sjef: Skal jobbe tett med konsulentselskapene

De beste hodene i vår generasjon får oss til å klikke

Den beste illustrasjonen på dette skiftet er utviklingen av Google. I 1998 publiserte de to Stanford-studentene Lawrence Page og Sergey Brin en banebrytende artikkel der de beskrev hvorfor deres søkemotor fungerte bedre enn de andre.

I artikkelen tok Page og Brin også for seg problemet ved å koble annonsering og søkeresultater. Dersom kommersielle motiver fikk snike seg inn i søkeresultatene, ville kvaliteten synke og forbrukerne lide, påpekte de. Det var med andre ord behov for en transparent og akademisk søkemotor. I begynnelsen tjente derfor Google pengene på lisenser, blant annet som søkemotor for internettportalen og dotcom-stjernen Yahoo!

Men venture-kapitalistene i Silicon Valley var utålmodige. De så den eksplosive økningen i antall googlesøk, fra 3 millioner daglig i 1999 til 78 millioner bare ett år etterpå. Google brant millioner av dollar på drift hver dag, samtidig som de plutselig satt med fryktelig mye brukerdata.

Planen ble derfor endret, slik Rana Foroohar beskriver det i boken Don’t Be Evil. Inspirert av GoTo.com, som auksjonerte bort annonseplass ved siden av søkeresultater, lanserte Google sin egen pengemaskin AdWords i oktober 2000. Her kunne annonsører kjøpe seg plass øverst i søkeresultatene basert på søkeord og tidligere nettsider brukeren hadde besøkt.

Denne typen målrettet annonsering, der det betales per klikk og ikke visning, ble en enorm suksess for Google, og står fortsatt for brorparten av selskapets inntekter. Facebook og Google har alene 84 prosent av det digitale annonsemarkedet. Og rundt disse gigantene finnes det et økosystem av mindre aktører som dataforhandlere, annonsører og andre tredjeparter. Alle som kan betale blir invitert til å spionere på oss, og få tilgang til en hel verktøykasse av triks for å få oss til å klikke.

De mest verdifulle selskapene i verden akkurat nå handler med data og jobber kontinuerlig med å fange oppmerksomheten og modifisere atferden vår. Det handler om å bruke kunstig intelligens til å forutsi hva vi kommer til å føle, gjøre og kjøpe.

Som en av de første Facebook-ansatte uttrykte det: «The best minds of my generation are thinking about how to make people click ads – and that sucks.»

GDPR har så langt vist seg impotent mot de store

Det store håpet i kampen mot overvåkningsøkonomien er GDPR, verdens strengeste personvernlov som trådte i kraft i EU og Norge i 2018. På mange måter har loven vært en suksess. Bedrifter og borgere har blitt mer bevisste, og land som India, Brasil og Sør-Korea har fulgt opp med lignende regulering. Kan det være begynnelsen på slutten for overvåkningsøkonomien vi er med på?

Dessverre ser det ikke slik ut foreløpig. Sommerens toårsevaluering av personvernforordningen viser at det er problemer med å håndheve reglene. Så langt har så å si ingen saker mot big tech ført helt fram. GDPR har manglet muskler, rett og slett.

La meg ta et konkret eksempel. Forbrukerrådet dokumenterer i rapporten Every step you take fra 2018 at Google sporer lokasjonen til brukerne på en rekke måter. Dette brukes så til målrettet annonsering. I klagen til Datatilsynet argumenterte Forbrukerrådet for at Google lurer forbrukerne til å gå med på dette, ved å holde tilbake eller skjule informasjon, sleipt design, og «bundling» av tjenester. Dette er i strid med GDPR-vilkårene for databehandling.

To år etter er klagebehandlingen knapt i gang. En ny EU-rapport forklarer hvorfor. Alle klager skal behandles på ett sted – såkalt one-shop-stop. Dette er et viktig prinsipp for EUs indre marked og betyr i praksis at klager på Google, Facebook og Microsoft skal behandles av datatilsynet i Irland, der mange av de største selskapene holder til på grunn av gunstige skatteregler.

Det irske datatilsynet har liten kapasitet i forhold til tech-gigantene. Samtidig har irske myndigheter insentiver til å behandle «sine» selskaper mildt. For klagere som det norske Forbrukerrådet er situasjonen vanskeligere. De må opptre på bortebane med et annet rettssystem og på et fremmed språk, og kjemper mot de største irske advokatfirmaene – som naturlig nok har Google og Facebook på klientlisten.

Resultatet er at personvernklager mot de store står i stampe. Det irske datatilsynet fikk 7125 klager bare i 2019, men har så langt til gode gi GDPR-bøter eller rettslig bindende pålegg til hvordan Facebook, Twitter eller Google håndterer persondata. Retten til å bli glemt ser ut til også å gjelde personvern-verstingene.

Personvern med muskler

Det mest konkrete forslaget for å styrke førstelinjen for personvernet, er å opprette et felles europeisk datatilsyn for saker som går over landegrensene. Spesielt tyske personvernmyndigheter har tatt til orde for å temme big tech på denne måten. Så langt har EU-kommisjonen vært skeptisk til forslaget.

Et mer radikalt forslag er rett og slett å forby mikromålretting. Et slikt forbud går rett på forretningsmodellen i overvåkningsøkonomien, siden det blir umulig å tjene penger på å lage detaljerte profiler om oss.  

Høres det fjernt ut? Det er uansett mer ko-ko at en rekke mer eller mindre kjente selskaper sitter med tusener av datapunkter om hver enkelt av oss, uten at vi vet det. Faktisk er forbud mot mikromålretting allerede lansert på Stortinget og har fått bred støtte i EU-parlamentet. Det er et spor som er verdt å følge.

Norske virksomheter som skal risikovurdere og ivareta sikkerheten i leverandørkjeden sin, får fem råd av senioringeniør Erik Lervåg i Sopra Steria.
Les også

Fem råd for bedre leverandørsikkerhet

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.