Persondataforordningen ikke kun godt
Er det danske forbrugeres oplevelse, at GDPR kommer til at løse et alvorligt problem? Og vil reguleringen få betydning for de danske forbrugeres anvendelse af nettet?

Persondataforordningen ikke kun godt

Er det danske forbrugeres oplevelse, at GDPR kommer til at løse et alvorligt problem? Og vil reguleringen få betydning for de danske forbrugeres anvendelse af nettet?

Af Cathie Heming, Digital Transformation Lead, Tata Consultancy Services, Danmark

EU-Kommissionen har vurderet, at det er en stigende europæisk problemstilling, at virksomheder ikke behandler persondata på en måde, der er i forbrugernes interesse, og at forbrugerne som følge deraf føler sig utrygge. Samtidig har analyser vist, at en række forhold gør det svært for Europæerne at handle på tværs af EU’s grænser.

EU-Kommissionens Digital Single Market Strategy er EU-Kommissionens forsøg på at nedbryde nuværende barrierer for online handel på tværs af landene i EU, bl.a. med nye lovgivninger inden for geoblocking, rerouting og persondata. Sidstnævnte, lovgivningen med det diagnose lignende navn GDPR (General Data Protection Regulation), træder i kraft fra maj 2018 og har, udover at ensrette lovgivningen om persondata på tværs af EU, også til formål at beskytte EU-borgernes personoplysninger samt at regulere europæiske virksomheders håndtering af datasikkerhed.

Spørgsmålet er, om de danske forbrugere overhovedet oplever behovet for at få deres personoplysninger beskyttet af en europæisk lovgivning?

Virksomheder vil finde måder at omgå GDPR

Når en offentlig instans eller privat virksomhed eksempelvis ved en fejl lægger 3000 CPR-numre til offentlig skue, vil de fleste nok hilse EU-Kommissionens regulering og ikke mindst hårde bødestraffe velkommen. Skærpelsen af lovgivningen og truslen om de høje bødestraffe vil formodentlig få Europas virksomheder til at gå deres databehandling efter i sømmene. Men man kan aldrig regulere sig ud af menneskelige fejl.

Sådanne situationer vil opstå, GDPR eller ej. Bøder eller ej. Og når det er skattefinansierede institutioner, der fejler, så er det i sidste ende forbrugerne, der kommer til at betale bøden.

Det er især de små online erhvervsdrivende, der bliver sårbare, når reguleringen træder i kraft. De er nødt til at gøre sig synlige for forbrugerne for at kunne overleve den globale konkurrence. Samtidig har de ikke de nødvendige ressourcer til at endevende og eksekvere de mange detaljer og krav i den kommende lovgivning.

For de små online spillere vil der ikke være plads til at fejle, da én bøde vil kunne lukke dem ned øjeblikkeligt. Vi vil formodentlig se mange små virksomheder lukke ned i ét navn og genopstå i et andet – men med samme kundedata i bagagen.

Modsat har eksempelvis Facebook lige nu flere hundrede ansatte siddende alene med det formål at styre Facebook forretningen sikkert gennem de kommende reguleringer.

Brud på den del af lovgivningen, som EU ser som de vigtigste elementer i databeskyttelse, vil kunne give bøder på op til 20 millioner euro eller 4 % af den globale årsomsætning (alt efter hvad der giver den største bøde). For andre og ’mindre’ forseelser vil der kunne gives bøder på op til 10 millioner euro eller 2 % af den globale årlige omsætning.

Forbrugerne ser på persondata med forskellige øjne

En uddøende del af befolkningen (40+) er opvokset med truslen om grufulde koldkrigs-aflytnings-metoder, og denne interessentgruppe har en medfødt og fast forankret tro på, at man skal vogte sit CPR-nummer med livet.

En anden interessentgruppe er den del af befolkningen, der i stigende grad opponerer mod sociale medier og andre digitale løsninger, der gennem aggressiv brug af persondata opfattes som krænkende på privatlivets fred. Denne gruppe ønsker at bevare en anonymitet på nettet og er repræsenteret af borgere i alle aldre. Denne interessentgruppe vil formodentlig se deres interesser varetaget af GDPR. Men kan også meget vel være modstandere af en så kontrolleret indblanding fra EU-Kommissionens side.

Men en tredje hastigt voksende interessentgruppe er de digitalt indfødte, der er født med en i iPad i hånden og er vant til digitale input ‘on demand’. En stor del af denne gruppe har en anden indgangsvinkel til udbredelsen og anvendelsen af data. For mange i denne gruppe er det helt naturligt at smide om sig med data, så længe det giver en personlig værdi retur.

Her ser man ikke indsamling og anvendelse af data som noget sårbart og farefuldt men derimod som en naturlig del af ’digital way of living’. Her opfattes det ikke som et problem, at virksomheder aktivt gemmer, anvender og videredistribuerer persondata, eller at der er risiko for identitetstyveri.

Flere og flere argumenterer for, at borgerne i Danmark er fastlåst i et rigidt nationalt datasystem og proceshierarki, der har et gammeldags ensporet syn på data og sikkerhed, og som ikke har fulgt med den digitale udvikling. I forhold til denne voksende interessegruppe må GDPR’s påståede varetagelse af forbrugernes interesser siges at være en sandhed med modifikationer.

Forbrugerne ser forskelligt på behovet for regulering

Forbrugere med et traditionelt eller skeptisk data syn vil formodentlig først og fremmest finde det beroligende at vide, at reguleringen findes. De vil måske finde det besværligt at skulle sætte sig ind i nye processer, eks. omkring at skulle give tilladelse (consent). De vil påskønne, at graden af

kommercielle henvendelser kan reduceres og kontrolleres, men måske vil de omvendt også komme til at savne at blive inspireret uanmeldt.

Forbrugere med et mere løssluppent datasyn vil i teorien måske nok finde det rimeligt, at virksomheder pålægges at skulle håndtere data på ansvarlig vis, men i praksis vil de synes, at det er besværligt, og at det vil begrænse deres udfoldelser på nettet. Mange vil foretrække det nuværende vilde vesten frem for at skulle lære at begå sig i en labyrint af regler og krav.

Et kig ind i en GDPR-reguleret fremtid

Umiddelbart er der lagt op til, at den enkelte virksomhed kan etablere egne processer og systemer for at imødegå eller omgå GDPR. Dermed vil vi som forbrugere blive præsenteret for forskellige tilgange, alt efter hvilken virksomhed vi interagerer med. Den enkelte virksomhed vil nok forsøge at gøre det nemt for sig selv og forbrugerne - men set med forbrugernes øjne bliver der en myriade af manuelle tilgange at skulle forholde sig til, når der i fremtiden skal handles på nettet.

Der er stor sandsynlighed for, at tilladelse (consent) ender som endnu en overfladisk pop-up på forbrugernes skærm.

Akkurat som cookie pop-uppen, som de fleste brugere i dag bare accepterer – ukritisk. For vi gider ikke bøvlet. Evt. krydret med en unsubscribe mulighed, som vi også kender det fra i dag, hvor det at stoppe ens email adresse i at blive anvendt i andre sammenhænge, end hvad den er givet til, er som at fange et stykke vådt håndsæbe.

På sigt, som skrevet indledningsvist, vil naturloven træde i kræft. Nogle vil opfinde en løsning, der per automatik igen åbner dørene mellem virksomheder og forbrugere. Hvorefter reguleringen måske vil blive skærpet yderligere. Og så fremdeles. Men da det tager tid for EU-Kommissionen at udfærdige selv den mindste ændring i lovgivning, har forbrugere og virksomheder da ro så længe.