GDPR’s varetagelse af forbrugernes interesse er en sandhed med modifikationer

[Jeg fik i starten af august en bestillingsopgave til en klumme i IT-Reload. Her er 1ste udkast.]

Er det danske forbrugeres oplevelse, at GDPR kommer til at løse et alvorligt problem?

Og vil reguleringen få betydning for de danske forbrugeres anvendelse af nettet?

Det er næsten en naturlov. Når mennesket opfinder en ny teknologi, eller finder på at tilpasse eller bruge en teknologi på anden måde end oprindeligt tilsigtet, så er det et spørgsmål om tid, før en regulering kommer på banen i et forsøg på at balancere de nyskabte tilstande. Denne type af reguleringer siges ofte at varetage befolkningens eller forbrugernes interesse.

Airbnb og Uber er eksempler på nytænkende digitale services, der efterfølgende er blevet fulgt op med nationale reguleringer. I begge tilfælde nyder især de traditionelle, kommercielle interesser godt af reguleringen, mens det modsatte gør sig gældende for de borgere, der har formået at udnytte de nye muligheder til en ekstra indtjening. I begge tilfælde synes reguleringerne også at efterlade et forbruger oplevet tomrum, som de traditionelle udbydere ikke kan udfylde.

Baggrund for EU-Kommissionens regulering af nethandel i Europa

Udbuddet af digitale services og online handel eksploderer, og forbrugerne følger med og vil have mere.

EU-kommissionen har vurderet, at det er en stigende europæisk problemstilling, at virksomheder ikke behandler persondata på en måde, der er i forbrugernes interesse, og at forbrugerne som følge deraf føler sig utrygge. Samtidig har analyser vist, at en række forhold gør det svært for Europæerne at handle på tværs af EU’s grænser. EU-Kommissionens Digital Single Market Strategy er EU-Kommissionens forsøg på at nedbryde nuværende barrierer for online handel på tværs af landene i EU, bl.a. med nye lovgivninger inden for geoblocking, rerouting og persondata. Sidstnævnte, lovgivningen med det diagnose lignende navn GDPR (General Data Protection Regulation), træder i kraft fra maj 2018 og har, udover at ensrette lovgivningen om persondata på tværs af EU, også til formål at beskytte EU-borgernes personoplysninger samt at regulere europæiske virksomheders håndtering af datasikkerhed.

Spørgsmålet er, om de danske forbrugere overhovedet oplever behovet for at få deres personoplysninger beskyttet af en europæisk lovgivning?

Og om der blandt forbrugerne en oplevelse af, at den kommende regulering vil varetage deres interesse og gøre deres liv som global netbruger lettere?

Virksomheder vil finde måder at omgå GDPR

Når en offentlig instans eller privat virksomhed eksempelvis ved en fejl lægger 3.000 CPR-numre til offentlig skue, vil de fleste nok hilse EU-Kommissionens regulering og ikke mindst hårde bødestraffe velkommen. Skærpelsen af lovgivningen og truslen om de høje bødestraffe vil formodentlig få Europas virksomheder til at gå deres databehandling efter i sømmene. Men man kan aldrig regulere sig ud af menneskelige fejl. Sådanne situationer vil opstå, GDPR eller ej. Bøder eller ej. Og når det er skattefinansierede institutioner, der fejler, så er det i sidste ende forbrugerne, der kommer til at betale bøden.

GDPR er også målrettet de stadig flere virksomheder, der baserer deres interaktion med kunden på indsamling og og ikke mindst anvendelse af data, bl.a. med henblik på at kunne skyde målrettet og personaliseret indhold ud til forbrugerne. Det er dén måde, man i dag fanger og fastholder forbrugernes opmærksomhed. Det gælder begge ender af erhvervs spektret – fra små enkeltmands online butikker til store mastodonter som Facebook og Amazon.

Det er især de små online erhvervsdrivende, der bliver sårbare, når reguleringen træder i kraft. De er nødt til at gøre sig synlige for forbrugerne for at kunne overleve den globale konkurrence. Samtidig har de ikke de nødvendige ressourcer til at endevende og eksekvere de mange detaljer og krav i den kommende lovgivning. For de små online spillere ikke vil der ikke være plads til at fejle, da én bøde vil kunne lukke dem dem ned øjeblikkeligt. Vi vil formodentlig se mange små virksomheder lukke ned i ét navn og genopstå i et andet – men med samme kundedata i bagagen.

Modsat har eksempelvis Facebook lige nu flere hundrede ansatte siddende alene med det formål at styre Facebook forretningen sikkert gennem de kommende reguleringer. Der er en grundlæggende forventning om, at EU-kommissionen vil sætte et eksempel og manifestere lovgivningen ved at slå hårdt ned på især de store spillere, der træder ved siden af. Brud på den del af lovgivningen, som EU ser som de vigtigste elementer i databeskyttelse, vil kunne give bøder på op til €20 millioner eller 4% af den globale årsomsætning (alt efter hvad der giver den største bøde). For andre og “mindre” forseelser vil der kunne gives bøder på op til €10 millioner eller 2% af den globale årlige omsætning.

Forbrugerne ser på persondata med forskellige øjne

En uddøende del af befolkningen (40+) er opvokset med truslen om grufulde koldkrigs-aflytnings-metoder, og denne interessentgruppe har en medfødt og og fast forankret tro på, at man skal vogte sit CPR-nummer med livet. Selv om mange i denne gruppe er aktive på nettet, ser en del både risici og blå blink ved ovennævnte virksomheders fremgangsmåde. Ingen tvivl om, at en del af denne gruppe vil se deres interesser varetaget af GDPR.

En anden interessentgruppe er den del af befolkningen, der i stigende grad opponerer mod sociale medier og andre digitale løsninger, der gennem aggressiv brug af persondata opfattes som krænkende på privatlivets fred. Denne gruppe ønsker at bevare en anonymitet på nettet og er repræsenteret af borgere i alle aldre. Denne interessentgruppe vil formodentlig se deres interesser varetaget af GDPR. Men kan også meget vel være modstandere af en så kontrolleret indblanding fra EU-kommissionens side.

Men en tredje hastigt voksende interessentgruppe er de digitalt indfødte, der er født med en i Ipad i hånden og er vant til digitale input ‘on demand’. En stor del af denne gruppe har anden indgangsvinkel til udbredelsen og anvendelsen af data. For mange i denne gruppe er det helt naturligt at smide om sig med data, så længe det giver en personlig værdi retur. Give and take! Her ser man ikke indsamling og anvendelse af data som noget sårbart og farefuldt men derimod som en naturlig del af ”digital way of living”. Her opfattes det ikke som et problem, at virksomheder aktivt gemmer, anvender og videredistribuerer persondata, eller at der er risiko for identitetstyveri. Man ser det snarere som et problem, at individers eksistens i samfundet er bundet op på ét CPR-nummer, som er sårbart og kan misbruges. Det opfattes som oldnordisk, at vi som individer ikke kan få nye persondata eller en ny identitet, med mindre vi er udsat for et vedvarende identitetsmisbrug. Flere og flere argumenterer for, at borgerne i Danmark er fastlåst i et rigidt nationalt datasystem og proceshiearerki, der har et gammeldags ensporet syn på data og sikkerhed, og som ikke har fulgt med den digitale udvikling. I forhold til denne voksende interessegruppe må GDPR’s påståede varetagelse af forbrugernes interesser siges at være en sandhed med modifikationer.

Forbrugerne ser forskelligt på behovet for regulering

Forbrugere med et traditionelt eller skeptisk data syn vil formodentlig først og fremmest finde det beroligende at vide, at reguleringen findes. De vil måske finde det besværligt at skulle sætte sig ind i nye processer, eks. omkring at skulle give tilladelse (consent). De vil påskønne at graden af kommercielle henvendelser kan reduceres og kontrolleres, men måske vil de omvendt også komme til at savne at blive inspireret uanmeldt.

Forbrugere med et mere løssluppent datasyn vil i teorien måske nok finde det rimeligt, at virksomheder pålægges at skulle håndtere data på ansvarlig vis, men i praksis vil de synes, at det er besværligt, og at det vil begrænse deres udfoldelser på nettet. Mange vil foretrække det nuværende vilde vesten frem for at skulle lære at begå sig i en labyrint af regler og krav.

Et kig ind i en GDPR-reguleret fremtid

Umiddelbart er der lagt op til, at den enkelte virksomhed kan etablere egne processer og systemer for at imødegå eller omgå GDPR. Dermed vil vi som forbrugere blive præsenteret for forskellige tilgange, alt efter hvilken virksomhed vi interagerer med. Den enkelte virksomhed vil nok forsøge at gøre det nemt for sig selv og forbrugerne – men set med forbrugernes øjne bliver der en myriade af manuelle tilgange at skulle forholde sig til, når der i fremtiden skal handles på nettet.

Der er stor sandsynlighed for, at tilladelse (consent) ender som endnu en overfladisk pop-up på forbrugernes skærm. Akkurat som cookie pop-uppen, som de fleste brugere i dag bare accepterer – ukritisk. For vi gider ikke bøvlet. Evt. krydret med en unsubscribe mulighed, som vi også kender det fra i dag, hvor det at stoppe ens email adresse i at blive anvendt i andre sammenhænge, end hvad den er givet til, er som at fange et stykke vådt håndsæbe.

Der er også nogle, der mener, at de fysiske butikker vil mærke et mindre opsving. Det bliver lettere at gå i storcenteret end manuelt at skulle navigere rundt i en jungle af forskellige net praksisser.

På sigt, som skrevet indledningsvist, vil naturloven træde i kræft. Nogle vil opfinde en løsning, der per automatik igen åbner dørene mellem virksomheder og forbrugere. Hvorefter reguleringen måske vil blive skærpet yderligere. Og så fremdeles. Men da EU-Kommissionen tager tid om at udfærdige selv den mindste ændring i lovgivning, har forbrugere og virksomheder da ro så længe.

Set med forbrugerøjne kan man argumentere for, at ville være at foretrække, hvis der bliver udviklet én national løsning, eks. i e-Boks, hvor man som forbruger kan tage stilling til, hvordan ens persondata må blive anvendt og eks. krydse af hvilke kategorier, man er interesseret i at blive kontaktet af. Ja tak, jeg skal købe hus i løbet af det næste par år, så banker på gerne kontakte mig. Mine børn er teenagere, så nej tak til babybutikker.

Afslutningsvist  – som samfund bør vi vurdere, om CPR-modellen er en holdbar vej frem i en verden, hvor der bliver flere og flere digitalt indfødte. Hvis vi tror på, at synet på data gradvist vil ændres mod det mere løsslupne, så er det på tide, at vi ikke bare bruger reguleringer til at håndterer den digitale udvikling. Det er symptombehandling. Men at vi i stedet begynder at se på, hvordan vi kan skabe en national persondata struktur, der understøtter de digitale forbrugeres behov.

Reklamer
Lagt i Digital Transformation, GDPR, Personalisering

Skriv et svar

Udfyld dine oplysninger nedenfor eller klik på et ikon for at logge ind:

WordPress.com Logo

Du kommenterer med din WordPress.com konto. Log Out / Skift )

Twitter picture

Du kommenterer med din Twitter konto. Log Out / Skift )

Facebook photo

Du kommenterer med din Facebook konto. Log Out / Skift )

Google+ photo

Du kommenterer med din Google+ konto. Log Out / Skift )

Connecting to %s

Arkiver
Kategorier
Follow digitalchange on WordPress.com
%d bloggers like this: