Personvernrevolusjonen er på vei: Snart gir EU deg mer kontroll over personopplysningene dine | Bjørn Stærk

Bjørn Stærk, skribent og programmerer

29. september 2017

Nå blir det vanskeligere for myndigheter og næringslivet å lagre informasjon om deg, skriver Bjørn Stærk. Brudd på GDPR-loven kan straffes med store bøter. HQuality / Shutterstock / NTB scanpix

GDPR er en knyttneve, og det vil gjøre vondt når den treffer.

Kronikk

Dette er en kronikk. Meninger i teksten står for skribentens regning.

Den 25. mai 2018 kommer en personvernrevolusjon til Norge og EU. Personvernforordningen GDPR - General Data Protection Regulation - vil gjøre det vanskeligere for myndigheter og næringslivet å lagre informasjon om deg, og gir deg rett til å vite hva de vet, rette det, eller få det slettet.

Kjernen i GDPR er at du bestemmer over informasjon om deg, og at man ikke skal sitte på flere personopplysninger enn de må. Hvis et firma ikke trenger å vite telefonnummeret ditt, så skal de ikke ha telefonnummeret ditt.

Bjørn Stærk er skribent, programmerer, og spaltist i Aftenposten. Han har over flere år skrevet om digitalt personvern, blant annet kronikkserien #nettsikker. Thomas Sirland

Eller de skal be om samtykke, på et klart og forståelig språk, slik at du forstår hva de trenger det til. De skal ikke lagre nummeret lenger enn nødvendig. Kanskje trenger de det en stund, men deretter må det slettes fra systemene deres.

Dessuten har du rett til å vite at de vet telefonnummeret ditt. Du har rett til å korrigere det. Du har rett til å kreve å bli glemt.

Lagring må begrunnes

Dette gjelder all informasjon som kan knyttes til deg som person, ikke bare det åpenbare, som navn og adresse. Hvis et nettsted følger med på hvilke sider du besøker eller hvilke temaer du er interessert i, må du gi samtykke til dette. Du må kunne se og slette disse dataene.

Eller de må lagres på en slik måte at de ikke kan knyttes til deg. For eksempel vil en nettavis ønske å vite hvilke artikler folk leser, men de behøver ikke vite at akkurat du leste akkurat denne artikkelen. Da kan de ikke lagre dette, i det minste ikke uten samtykke.

All lagring og alle unntak fra rettighetene dine må begrunnes, for eksempel med at en annen lov krever det. «Det hadde vært så praktisk» er ikke en god nok begrunnelse.

Og hvis du ønsker å gå over til konkurrenten, kan du kreve å få med deg dataene dine. For eksempel skal du kunne ta med deg spillelistene dine fra Spotify til en annen musikktjeneste. Personopplysningene tilhører deg.

Annonser

Dette gjelder til og med når man ikke vet hvem du er. Når du bruker nettet blir du overvåket av annonseformidlere. De vet ikke nødvendigvis hva du heter, men de vet at du ønsker å kjøpe ny kaffetrakter, eller er gravid. Disse opplysningene sendes videre ut på auksjon til et stort antall annonsører som vil selge deg kaffetraktere og barnevogner.

Etter at du har lest denne artikkelen på nettet vet de også at du er interessert i personvern, og kan selge deg annonser for advokatfirmaer som tilbyr rådgivning om GDPR.

Les også Nå skal Google lagre hva forbrukere handler i butikken

Les også Formidlingsduellen: Derfor bør du bry deg om overvåking

Også disse personopplysningene omfattes av personvernforordningen. Du har rett til å se, endre og slette dem. De som lagrer dem må ha en god grunn, og all bruk ut over det nødvendige krever at du gir samtykke.

Dette kan få stor betydning for annonsemarkedet på nettet. De du har en brukerkonto hos, som Facebook og Google, vil i teorien kunne håndtere kravene. Men de har også mest å tape hvis de ikke får det til. Hele forretningsmodellen deres bygger på å selge det GDPR er ment å beskytte.

En knyttneve i slow motion

GDPR er en knyttneve som er på vei i slow motion mot annonsemodellen på nettet, og all unødvendig og slurvete innsamling av data. Det vil gjøre vondt når knyttneven treffer. Brudd på loven kan straffes med store bøter.

Akkurat nå sitter ledere i det offentlige og private over hele Norge og kikker nervøst på kalenderen. Mange vet ikke en gang hvilke personopplysninger de har, og har lagret dem i systemer som er vanskelig eller umulig å endre.

De som ikke er nervøse, har ikke forstått hva som kommer, og vil få det travelt i 2018. Det finnes ingen overgangsperiode.

Mange rekker ikke i mål innen 25. mai, men når Datatilsynet kommer og krever en oversikt over alle persondataene deres, vil de som har analysert problemet og begynte å løse det slippe lettere unna enn de som ikke har det.

Praktisk å lagre

GDPR er nødvendig, fordi IT-folk som meg har skapt en verden hvor marerittrektanglene du stirrer inn i 16 timer i døgnet suger inn alt de vet om deg, selger det til annonsører, og lagrer det til evig tid.

Underveis blir dataene fanget inn av etterretningstjenester, og stjålet av kriminelle.

Les også Les også denne av Bjørn Stærk: Mens aktivister kommer for å lære datasikkerhet, vil Norge gi politiet lov til å totalovervåke deg

Les også Aftenposten mener: Overvåkning må treffe og være godt kontrollert

Det ble slik dels fordi det er mer praktisk å lagre informasjon enn å ikke gjøre det. Det er lettere å loggføre alt og ta backup av alt, og ta vare på det til evig tid, enn å filtrere bort det du ikke trenger.

Og det ble slik fordi det i internetts barndom vokste frem en tanke om alt på nettet skulle være gratis. Men et sted må pengene komme fra, så da begynte man å selge personopplysninger i stedet.

Færre personopplysninger

Det tragiske er hvor lite dataene dine er verdt på det åpne markedet. Som europeer er du verdt Facebook ca 12 kroner i måneden. Det er alt du har solgt deg for.

Ved å gjøre det vanskeligere å tjene penger på masseovervåkning vil GDPR kanskje gjøre det lettere å tjene penger på redelig vis, ved å selge innhold du velger å betale for.

Det som er sikkert er at det vil flyte mindre personopplysninger rundt på nettet og i datasystemene, fordi det vil koste for mye å håndtere dem på en lovlig måte. Hver eneste personopplysning noen ønsker å bruke vil føre med seg mer arbeid og dokumentasjon, høyere risiko og strengere sikkerhetskrav.

Det er enklere å la være. Dermed blir også konsekvensene mindre den dagen noen som vil misbruke dataene dine får tak i dem.

Kaotisk start

De største organisasjonene er vant til å håndtere kompliserte nye lovverk, og har råd til advokater og IT-konsulenter. De vil finne jobben lettere enn de små. Men de største sitter også på de største kruttønnene. Kjellerne deres er fulle av uforståelige IT-løsninger.

Store organisasjoner kan ha hundrevis av gamle systemer og databaser med persondata, som du fra mai neste år har rett til å få utlevert hvis du ber om det.

Les også Datamaskin viste seg å avdekke hvem som er homofil

Les også Krever sletting av store mengder pasientopplysninger

Ingen vet nøyaktig hva GDPR vil innebære. De forsiktige vil utsette IT-prosjekter som befinner seg i gråsonen.

I tiden fremover vil du kunne møte et overveldende antall samtykker som du må klikke deg gjennom. Du vil bli bedt om å ta stilling til ting du har aldri tenkt på før.

Starten blir kaotisk. Så kommer utbedringspåleggene, bøtene og erstatningssøksmålene. De som har lagret mest og gjort minst for å følge loven, vil stå først i giljotinkøen.

Twitter: @bjoernstaerk

Delta i debattene hos Aftenposten meninger på Facebook og Twitter