Fortsetter masseovervåkingen i Europa?

Forbrukerrådet mener at vi i nær fremtid kan merke alvorlige og direkte konsekvenser av manglende personvern. 

Foto: Berit Roald / NTB scanpix
Trine Lejon
Fast journalist i Ny Tid.

I dag kan amerikanske myndigheter finne ut hvem du er, hvilke preferanser du har og hva du tror på. De kan lese dine private epostkorrespondanser, samle informasjon fra deg om datingnettstedet du bruker, helse-appen din og hvor du handlet sist. Listen er lang. Hva informasjonen om deg og meg brukes til, vet hverken vi eller Datatilsynet. Privacy Shield-avtalen (se faktaboks) skal være vårt skjold mot overvåkning. Den skal beskytte personvernet europeiske borgere har krav på.
«Det vil være et stort antall personer som utfordrer denne avtalen hvis den blir seende ut som den gjør nå. Det er også stor sannsynlighet for at jeg vil være en av dem,» sier den østerrikske internettaktivisten Maximillian Schrems.
Han omtaler det nye avtaleutkastet som «det samme gamle svinet under ti lag med ny sminke». «Svinet» han referer til er den 15 år gamle forgjengeren Safe Harbour, som han selv var med på å velte da han saksøkte gigantkonsernet Facebook for å få utlevert sine persondata.

Bekrefter overvåking. «I utkastet erklærer USA at datainnsamling skal brukes til seks formål. Kontraspionasje, terrorisme, cybersikkerhet, masseødeleggelsesvåpen, trusler mot USAs væpnede styrker og transnasjonal kriminalitet,» heter det i en uttalelse fra Schrems’organisasjon Europe versus Facebook.
Organisasjonen mener ingen av punktene i den nye avtaleteksten adresserer de grunnleggende feilene i amerikanske overvåkingslover, og heller ikke den manglende beskyttelsen for personvernet i amerikansk lovgiving.Screen Shot 2016-04-13 at 14.17.03
«USA bekrefter at de bryter med fundamentale rettigheter i minst seks tilfeller,» kommenterer Schrems.
Han er ikke alene. Avtalen høster massiv motstand fra amerikanske NGO-er og et stort flertall av forbrukerorganisasjonene i Europa. Amnesty International USA skriver blant annet i et brev til presidenten i Artikkel 29-gruppen, som er EUs rådgivende organ i personvernspørsmål, at statlige myndigheter i USA fortsatt har fullmaktene de hadde før avgjørelsen i EU-domstolen som gjorde Safe Harbour ugyldig.
«Det som blir spennende, er hvor sterke mekanismene amerikanerne har lovet å sette på plass, blir – og om de da klarer å garantere gode klagemuligheter for europeiske borgere,» sier avdelingsdirektør og jurist Kim Ellertsen i Datatilsynet.
Han mener Privacy Shield er bedre enn sin forgjenger, og at den reparerer svakhetene Schrems-dommen avdekket og la vekt på.
«Det er en stor mengde opp-lysninger som går frem og tilbake mellom Europa og USA. Mange av de store kommersielle aktørene er basert i USA – Google, Facebook, Microsoft, Yahoo, Twitter – og jeg ser ikke for meg at det blir noen lett oppgave å eventuelt stanse en slik overføring av opplysninger.»


Vet lite.
Ifølge Datatilsynet overføres opplysninger om oss i dag til USA på to måter. Gjennom vår private bruk av nettjenester og sosiale medier, og gjennom norske virksomheter. Sistnevnte bruker tjenester fra amerikanske selskaper som sosiale medier, skytjenester, personaladministrasjon og serverdrift. Privacy Shield skal ifølge tilsynet beskytte personvernet vårt ved overføringer av begge typer.
«Når det gjelder skytjenester, kan man jo se for seg at alt som vil ligge i en epostkorrespondanse kan være tilgjengelig. Da er det jo snakk om alt mulig, alt hva folk snakker sammen om. Mange norske virksomheter som bruker skytjenester og digitale tjenester fra amerikanske selskaper, overfører persondata til USA,» opplyser juridisk seniorrådgiver Jørgen Skorstad i Datatilsynet.
Idet våre persondata overføres på vei inn i USA, forsvinner den rettslige beskyttelsen. Årsaken er at USA ikke har de samme personvernrettsreglene som Europa.
«Man har vært sent ute med å gripe inn i denne overvåkingen. Regelverket i Europa er ganske gammelt. Jeg er nok enig i at det samles inn persondata over en lav sko. Myndighetene har vært trege med å reagere, men det begynner å skje ting,» sier Skorstad.
Han synes det er et problem at vi vet så lite om hva som skjer med persondataene.
«Hvis folk visste hva som skjer med disse, ville de kanskje hatt et annet syn på dette også,» understreker han.

Frykter diskriminering. Dersom vi som forbrukere ikke får mer forutsigbare vilkår og reell kontroll på de opplysningene som samles inn om oss, kan de misbrukes, mener Forbrukerrådet.
«Jeg frykter at informasjonsmengden kan brukes til diskriminering – ved at folk for eksempel ikke får tilgang på like lånevilkår i banken eller når de ønsker helseforsikring,» sier fagdirektør Finn Myrstad hos Forbrukerrådet for digitale tjenester.
Myrstad er også europeisk leder i digitalkomiteen til den transatlantiske forbrukerorganisasjonen (Transatlantic Consumer Dialogue, TACD), og er bekymret for at vi i nær fremtid vil kunne merke potensielt alvorlige og direkte konsekvenser av manglende personvern.
«Den samme formen for diskriminering kan vi også se for oss i arbeidslivet. Ved at enkelte søkere nærmest ekskluderes på bakgrunn av slutninger som er trukket om dem basert på årevis av digitale spor som de har etterlatt seg, uten at de er klar over det eller får mulighet til å få innsyn i opplysningene som er samlet inn om dem,» forklarer han.
Han mener Privacy Shield-avtalen må innebære en grunnleggende reform i USA for at reglene i høyere grad skal kunne samsvare med europeisk lovgivning.
«I TACD, hvor Forbrukerrådet leder digitalkomiteen, vil vi komme med våre anbefalinger i løpet av april. Her vil vi være konkrete på hvilke endringer som bør skje i USA og EU for å få en mer balansert tilnærming til behandling og bruk av forbrukerdata.»

«Jeg tror ikke vi skal spørre oss selv hva vi som internettbrukerne kan gjøre. Det er lite vi kan gjøre.»

Screen Shot 2016-04-13 at 14.17.23Big Business. I dag generer datautveksling større verdier globalt enn fysisk varehandel, ifølge konsulentselskapet McKinseys rapport «Digital globalization: The new era of global flows».
Flertallet av norske bedrifter og organisasjoner vil bli berørt av Privacy Shield-avtalen og mulige utfall av den, mener direktør Torgeir Waterhouse, som er direktør for for internett og nye medier i IKT-næringens interesseorganisasjon IKT-Norge.
Dersom Privacy Shield-avtalen ikke kommer i havn og standardavtaler blir erklært ugyldige, blir det ifølge Datatilsynet vanskelig å kunne overføre personopplysninger på tvers av Atlanteren.
«Mange tjenester er helt avhengige av å kunne overføre informasjon til tredjepart dersom brukeren har gitt samtykke,» sier Kjetil Thorvik Brun, fagsjef for IKT og digitale næringer i Abelia, NHOs forening for kunnskaps- og teknologibedrifter. Foreningen har mer enn 1700 medlemsbedrifter og 44 000 ansatte.
«Så vidt meg bekjent er det i dag tillatt å overføre informasjon til tredjepart dersom brukeren har gitt sitt samtykke. Eksempelvis er jeg glad for at reklamen jeg blir vist, treffer mine preferanser bedre. Jeg foretrekker å se reklame for sykler og fiskeutstyr fremfor rullatorer eller tamponger,» sier Thorvik Brun.
Han understreker at han ikke har lest innholdet av Privacy Shield-avtalen, men mener den bør ivareta grunnleggende rettigheter for norske og europeiske borgere. Samtidig frykter han økonomiske konsekvenser for bedriftene.
«Vi er bekymret for at ønsket om – og behovet for – en bedre juridisk ivaretakelse av dataoverføringen skal medføre ulemper som vil belaste innovasjonsevnen og skaleringsmuligheter for IKT-næringen og norsk næringsliv for øvrig,» sier Thorvik Brun.
Et mulig utfall er at det stilles strenge krav til omfattende tredjepartssertifiseringer.
«Dette er en økonomisk belastning som de store ikke vil ha særlig problemer med, men som kan være svært krevende for småbedrifter,» mener han.
Det vil ta tid å få på plass en ny avtale, understreker Waterhouse. I likhet med Schrems mener han den vil bli utfordret, uavhengig av om det blir godkjent av datatilsynene i Europa.
«I mellomtiden er det viktig å ha et fornuftig overgangsregime, og vi er nødt til å passe på at vår bruk av data kan fortsette. Hvis ikke, må vi stoppe å dele data med USA slik som det fungerer i dag. Det vil bety at for eksempel brukertjenester som sosiale medier og de underliggende systemene som bedrifter er avhengige av i dag, kan bli ulovlige. Alt vil gå i lås,» mener Waterhouse.

«Pest eller kolera.» Maximillian Schrems logger seg fortsatt inn på Facebook, selv om han mener konsernet er et monopol. For, som han påpeker, alternativet er å bruke tjenester der han deler bildene sine med seg selv fordi ingen andre bruker tjenestene.
«På det beste har du et duopol, og valget står mellom pest eller kolera. Et eksempel er valget mellom smarttelefoner – der har du Google eller Apple. Teknologiene er bygget for å være et lukket nettverk. Så jeg bruker dem fortsatt, og jeg antar at de fleste andre gjør det også.»
Som internettbrukere er vi maktesløse. Selv om de fleste bruker tjenester og teknologier, bør vi være bekymret for den enorme mengden persondata som finnes om meg og deg, mener Schrems.
«Jeg tror ikke vi skal spørre oss selv hva vi som internettbrukerne kan gjøre. Det er lite vi kan gjøre. Vi må spørre hvorfor selskaper ikke følger lovene, og hvorfor europeiske myndigheter ikke håndhever dem,» sier Schrems.


Lejon skriver fast for Ny Tid,
og arbeider som nyhetsvikar hos NTB.

---
DEL