“Demokratin rämnar och det är Facebooks fel”

 

Gråmulen januarimorgon i Bryssel. Jag gör sällskap med en handfull konsulter och forskare till kommunen Schaarbeek och privacykonferensen CPCP. Det har gått någon vecka sedan franska CNIL meddelade att Google ska betala omkring en halv miljard kronor i sanktionsavgift. Panoptykon Foundation har just anmält samma företag för otillåten personuppgiftsbehandling kopplad till annonsering.

Under konferensens hashtag diskuteras nyheten om att Apple blockerat Facebook Research, en app som ska ha använts för att samla in bl a platsdata, konversationer och sökhistorik. De stående samtalsämnena är just de återkommande skandalerna, EU-valet i maj och inte minst Facebooks och Googles närvaro vid konferensen. Själv har jag just varit värd för ett seminarium om plattformsföretagens samhällspåverkan, vid vilket författaren och analytikern Mattias Beijmo tecknade en helt annan bild av Facebooks datahantering än den företagets VD Mark Zuckerberg målar upp i en debattartikel i Expressen.

– Demokratin rämnar under oss och det är Facebooks fel, suckar en ung konsult. Hon är inte ensam. Liknande tongångar hörs från lagstiftare, professorer, företrädare för tillsynsmyndigheter och även företag längre ner på listan över sponsorer. En återkommande uppfattning är att plattformarna söker rikta fokus mot enkla lösningar och från sådant som microtargeting, bit requests, ad auctions, profilering, inhämtande av samtycken och frågan om självreglering kontra lagstiftning.

– Vad ska de säga? GDPR går på tvärs mot själva affärsmodellen, säger konsulten.

Europeiska datatillsynsmannen Giovanni Buttarelli, en av årets mottagare av EPIC:s International Data Privacy Champion Awards, konstaterar i ett anförande att mytologin kring affärsmodeller som sammankopplat allt och alla börjat tappa sin lyster. Med avstamp i Shoshana Zuboffs nysläppta bok The Age of Surveillance Capitalism och EU:s antitraffickingdirektiv manar han till kamp mot det digitala slaveriet. Företrädare för EU-kommissionen säger med eftertryck att de vill se åtgärder från plattformarnas sida nu, före valet.

Plattformarna är representerade såväl på scen som i mässhallen. I mitten av det som en gång var en marknadsplats för traktens bönder delar Google utbroschyrer med information om insatser för att skydda data i samband med det stundande valet. Project Shield, ett verktyg som skyddar sajter mot DDOS-attacker, kommer exempelvis göras tillgängligt för alla politiska organisationer. Jag får också en dosa för tvåfaktorssautentisering.

Mark Zuckerberg skriver i Expressen att företaget han startade för 15 år sedan strävar mot en värld där makten ligger i människors händer. Facebook säljer inte användares personuppgifter. Transparensverktyg gör det möjligt för användare att se varför annonser visas, polariserande innehåll tas bort. Samtycken hämtades in inför att GDPR skulle börja gälla.

Det är inte försäljning av data kritiker som Harvardprofessorn och författaren Shoshana Zuboff skjuter in sig på, utan just maktförhållandet: Företagen vet inte bara vad användarna gjort utan också vad de kommer att göra. Samtidigt är systemen utformade för att hålla användarna i okunskap och fast i en ny ekonomisk ordning. I förlängningen ersätter algoritmerna de demokratiska institutionerna, offentliga handlingar ersätts av företagshemligheter. Assymetrin saknar motstycke i mänsklighetens historia, menar hon.

Många av de närmare 100 000 anmälningar som ska ha kommit in till tillsynsmyndigheterna rör just plattformsföretagen. CNIL konstaterar i sitt beslut om sanktionsavgift att det är svårt för användare att överblicka hur data hanteras, trots design patterns och transparensverktyg. Datainspektionen har nyligen inlett en egen granskning av företaget (se Datainspektionens presentation från vårt seminarium den 28 januari här). Amerikanska FTC utreder just nu Facebook med anledning av bland annat Cambridge Analytica-skandalen och väntas besluta om rekordsanktioner.

Företagen återkommer till att de anställer medarbetare och vidareutvecklar tekniska verktyg för att identifiera och ta bort otillåtet innehåll. De motsätter sig, på det stora hela, reglering – och det med kraft. Enligt amerikanska medier lade Apple, Microsoft, Facebook, Amazon och Google rekordbelopp på lobbying förra året. Google ska exempelvis ha spenderat 21 miljoner dollar på lobbying enbart i Washington.

Paul Nemitz, direktör vid EU-kommissionen, betonar under konferensen att dataskyddsreformen genomförts trots omfattande lobbying. Åsikterna om huruvida regelverken är tillräckliga eller om det behövs ytterligare lagskärpningar går isär.

Sir Timothy Berners-Lee uppfann webben för 30 år sedan. Idag hör han till skaran som varnar för plattformarnas dominans och som efterlyser regelverk som kan tygla dem. Hans forskningsprojekt Solid, och startupen Inrupt, syftar till att decentralisera webben och ge användare bättre kontroll över hur data används. Macron och Merkel har tidigare talat om behovet av insyn i hur algoritmerna fungerar. Lagstiftare på båda sidor om Atlanten har bett Zuckerberg övertyga dem om att reglering inte behövs. Apples Tim Cook efterfrågade en amerikansk motsvarighet till dataskyddsförordningen när han gästade Bryssel i höstas. För egen del saknar jag en diskussion om huruvida det bör vara tillåtet för plattformar att upplåta utrymme till i praktiken anonyma användare.

Vi lyfte frågan vid Nordic Privacy Arena i november, då med hjälp av representanter för kommissionen, EDPS, Bird & Bird och Mozilla. Vid 2017 års konferens, ett halvår innan Cambridge Analytica-skandalen rullades upp, talade EPIC:s president Marc Rotenberg om dataskydd och demokrati. Vi återkommer till ämnet vid årets konferens, då Googles Global Privacy Officer Peter Fleischer möter bl a företrädare för CNIL.

Vi har kritiserats för att legitimisera företagen genom att ge dem talarplats. Jag förstår invändningen. Samtidigt har det tidigare varit, och är delvis fortfarande, ett problem att plattformarna inte varit närvarande där de här frågorna diskuteras. Jag är fast övertygad om vikten av dialog. Vi kan inte tvinga talare att delta i paneler, och vi kan inte tvinga dem att tala om sådant de inte vill tala om. Men vi kan samla dataskyddsombud och andra som faktiskt styr över hur företagen hanterar data, ministrar, journalister och dataskyddsexperter i samma rum. Och vi kommer aldrig ta emot betalning för talartid.

Den yttrandefrihet och det integritetsskydd vi har idag är resultatet av en dragkamp mellan olika aktörer, exempelvis mellan lagstiftare som velat begränsa det fria ordet och publicister som försvarat det. Idag tar vi för givet att medieföretag deltar i samtalen och även att de berättar om hur de resonerat inför olika beslut. Så har det inte alltid varit. I pressens barndom bestod tidningar, om de kunde kallas det, bokstavligt talat av fake news. Professionaliseringen av kåren, pressetiken och synen på medierna som något mer än vinstdrivande företag – en statsmakt – kom senare.

Nu ser vi en liknande civilisationsprocess, med andra aktörer och andra förutsättningar. Dataskyddsombud och andra experter på området är en viktig röst i sammanhanget. De får en allt starkare ställning och har möjlighet att påverka utvecklingen. Google har exempelvis skrotat en ”censurerad” version av sökmotorn avsedd för den kinesiska marknaden efter interna protester. Men de behöver inte nödvändigtvis agera bromsklossar. De kan bidra till att hitta nya lösningar där teknik och juridik går hand i hand. De lösningarna diskuteras kanske i de lite mindre hörsalarna, men diskussioner pågår.

 

Fredrik Svärd
Generalsekreterare Forum för dataskydd

Sveriges signalspaning prövas i Grand Chamber

I somras godkände Europadomstolen en reviderad version av den så kallade FRA-lagen. Detta efter en anmälan från Centrum för rättvisa. Fem domare har nu beslutat att målet ska tas upp för prövning av Europadomstolens Grand Chamber.

– Det här målet väcker viktiga rättsfrågor som kräver ett vägledande avgörande från Grand Chamber, säger Fredrik Bergman, chef för Centrum för rättvisa.

– Europeiska stater möter idag allvarliga hot från terrorism och gränsöverskridande brottslighet. Hemlig övervakning är en del av hur vissa stater bemöter dessa hot. Utan tillräckliga garantier mot missbruk riskerar dock hemlig massövervakning att kränka just de grundläggande fri- och rättigheter som staterna vill skydda från sina fiender.

2 500 incidentrapporter sedan 25 maj

Enligt en undersökning från DLA Piper har europeiska dataskyddsmyndigheter tagit emot omkring 59 000 incidentrapporter sedan dataskyddsförordningen började gälla.

Datainspektionen ska ha tagit emot omkring 2 500 anmälningar, nästan dubbelt så många som franska CNIL. Sverige placerar sig på delad sjätteplats sett till antalet anmälningar efter Irland, Tyskland, Storbritannien, Irland och Danmark.

Enligt rapporten har 91 beslut om sanktionsavgifter fattats sedan den 25 maj 2018.

Läs också: Hur långt räcker 30 miljoner?

 

Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde?

Svenska Datainspektionen ska leda en arbetsgrupp som på uppdrag av EDPB ska ta fram nya riktlinjer och vägledning för hur begreppen personuppgiftsansvarig och personbiträde ska tolkas.

– De befintliga riktlinjerna måste anpassas till bestämmelserna i GDPR som bland annat innehåller tydligare regler om personuppgiftsbiträdens roll. Dessutom har det uppstått nya, ofta komplicerade frågeställningar som måste tas om hand. Ett sådant exempel är situationer då det finns ett gemensamt personuppgiftsansvar, alltså då flera organisationer har delat ansvar för en och samma behandling av personuppgifter, säger Elisabeth Jilderyd, internationell samordnare vid Datainspektionen.

Läs mer hos Datainspektionen.

Medlemmar kan ta del av inspelningen från Forum för dataskydds seminarium på samma tema från juni 2018 under medlemssidorna.

 

Nu ska GDPR utvärderas

Irlands dataskyddsmyndighet har tagit emot fler än 4 000 anmälningar sedan den 25 maj 2018. Kommissionären Helen Dixon beskriver regelverket som något av “ett mästerverk” och konstaterar att medvetenheten om rättigheter blivit bättre.

Hon berättar också att antalet incidentrapporter ökat, liksom kvaliteten i rapporterna:

Paul Nemitz, direktör vid EU-kommissionen, beskriver också GDPR som en framgångssaga:

– Vi utsattes för alla tänkbara former av lobbying, men regelverket antogs ändå.

Kommissionären Věra Jourová menar att reformen är ett steg i rätt riktning, “inte bara för Europa, utan för världen”. Hon meddelade på onsdagen att kommissionen nu ska arrangera en konferens för att “öppet och ärligt” utvärdera reformen och undersöka hur regelverket fungerat i praktiken samt vilken kritik som förekommit. Konferensen äger rum i juni i år.

EPIC:s International Privacy Champion Awards till Buttarelli och McNamee

Epic.org:s International Privacy Awards går i år till europeiska datatillsynsmannen Giovanni Buttarelli och Joe McNamee, executive director vid European Digital Rights Initiative.

Utmärkelserna delades ut av Max Schrems och Shoshana Zuboff i Bryssel på torsdagen:

Europarådet ger pris till dataskyddsforskare

Forskarna Eva Lievens och Ingrida Milkaite vid Ghent University tog i veckan emot Europarådets Stefano Rodota Award för deras projekt A children’s rights perspective on privacy and data protection in the digital age. Projektet går ut på att studera barns rätt till integritet i ljuset av bl a den tekniska utvecklingen. Europarådet uppmärksammar också Jef Ausloos vid KU Leuwen och University of Amsterdam för hans avhandling The Right to Erasure: Safeguard for Informational Self-Determination in a Digital Society?.

Video: Datainspektionen om Googleärendet

Forum för dataskydd internationella dataskyddsdagen 2019 (Data Protection Day / Data Privacy Day) med ett seminarium om plattformsföretagens personuppgiftshantering och samhällspåverkan.

Nazli Pirayehgar, jurist vid Datainspektionen, berättade om det tillsynsärende myndigheten nyligen inlett mot Google:

Talade gjorde också Robin Vetter (Fores), Pär Lannerö (Metamatrix), Dag Wetterberg (Wetterberg Advokatbyrå) samt digitala strategen och författaren Mattias Beijmo.

Vi förmedlar de böcker som presenterades vid seminariet till medlemspriser, läs mer under medlemssidorna.

 

Vårens bokerbjudanden

Måndagen den 28 januari uppmärksammades internationella dataskyddsdagen (Data Protection Day / Data Privacy Day) världen över. Forum för dataskydd välkomnade Datainspektionen och en rad författare till Haymarket i Stockholm för mingel och föreläsningar om bl a Googles och Facebooks hantering av personuppgifter.

Vid seminariet presenterades Dag Wetterbergs och Monika Wendlebys GDPR: Förstå och tillämpa i praktiken (2 uppl), Fores antologi Plattformssamhället och Mattias Beijmos reportagebok De kan inte stoppa oss. Vi är glada att i samarbete med förlagen kunna erbjuda böckerna till medlemspriser. Läs mer under medlemssidorna (inloggning krävs).

Färre incidenter hos GDPR-förberedda företag

Organisationer som investerat i förberedelser inför GDPR rapporterade färre läckor under 2018 jämfört med andra. Det visar en undersökning bland 3 200 dataskyddsexperter i 18 länder genomförd av Cisco.

59 procent uppger att de uppfyller de flesta av kraven i förordningen. Av de övriga uppger 29 procent att de väntas uppfylla kraven inom ett år.

74 procent av de som bedömer att de uppfyller kraven har drabbats läckor under det senaste året, att jämföra med 89 procent av de som uppger att anpassningen till GDPR kommer ta mer än ett år.

De som uppfyller kraven rapporterar inte bara färre incidenter, utan också att de incidenter som konstaterats omfattat färre uppgifter samt att de haft lägre kostnader relaterade till läckor.

 

 

 

 

 

 

Logga in

Ej medlem? Registrera dig

Återställ lösenord

Bli medlem

Medlemmar går gratis på våra seminarier och till rabatterat pris på Nordic Privacy Arena.

Studentmedlemskap upphör automatiskt efter ett år, därefter behövs ny ansökan. Ange också ert mecenatkortnr i meddelandefältet.

Ordinarie medlemskap: 1645 kr per år.
Student: 400 kr per år.











This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.
Go to cart