Debat: Fortvivlende, at virksomheder er afhængige af tech-giganter

I en artikel i Markedsføring redegør Halfdan Timm, partner i Obsidian Digital, for konsekvenserne af, at Datatilsynet har vurderet, at Boligportal ikke kan påvise, at deres behandling af personoplysninger er sket i overensstemmelse med databeskyttelsesreglerne.

Databeskyttelsesreglerne (GDPR), der blev indført i 2018, skal blandt andet give europæiske borgere selvbestemmelse og beskytte imod ufrivillig indsamling af oplysninger, unødvendige risici og misbrug. Reglerne blev siden strammet for at opnå den ønskede effektivitet og som et signal om, at medlemsstaterne mener det alvorligt. 

Flere aktuelle undersøgelser viser, at befolkningen er bekymret for den indsamling af deres oplysninger, som finder sted. I en undersøgelse udarbejdet for Konkurrence- og Forbrugerstyrelsen (2020) var tre ud af fire danskere i større eller mindre grad bekymrede for, hvordan forskellige digitale platforme bruger deres persondata, når de handler på platformen.

Analyse & Tals befolkningsundersøgelse udført for det uafhængige Dataetisk Råd (2022) viste, at 80 procent var bekymrede over, at tech-giganter som Google og Facebook får stor magt gennem indsamling og salg af data, og 77 procent var bekymrede over, at virksomheder har data om dem, som de ikke kan styre brugen af.

Over halvdelen svarede, at de føler, de burde gøre mere for at beskytte sig selv imod opsamling af data via cookies eller på anden vis. Analysen viser også, at befolkningen mangler tro på, at man som enkeltperson kan gøre meget imod dataindsamling og foretrækker mere lovgivning på området. Analyse & Tals analyse viste, at 82 procent af dataene indsamles, uden at vi ved det.

Situationen er altså den, at et stort flertal finder dataindsamlingen bekymrende eller problematisk, selvom de kun ser toppen af isbjerget. Og at de forsøger at beskytte sig, men ikke kan overskue det og håber på hjælp fra lovgiver.

Den hjælp har de faktisk fået i vid udstrækning, for området er allerede reguleret, men Halfdan Timm vurderer, at håndhævelsen af reglerne kan få ødelæggende betydning for en række af Obsidian Digitals kunder, hvoraf nogle vil gå konkurs uden værktøjet Pixel, som flere landes datatilsyn har udtalt sig direkte eller indirekte om.

Det lyder relativt sårbart for en virksomhed at være 100 procent afhængig af et enkelt værktøj, men jeg kan ikke vurdere det og har ingen grund til at tro, at hans vurdering ikke er korrekt. Han kender sine kunder.

Det betyder altså, at Obsidian Digitals kunder har gjort sig så afhængige af Facebooks/Metas forretningsmodel, at de ikke har et tilstrækkeligt forretningsgrundlag uden den.

Jeg finder det fortvivlende, at danske virksomheder fortsat er afhængige af at understøtte big techs forretningsmodeller, som i flere henseender er etisk og retligt problematisk eller direkte ulovlige.

Jeg har den største respekt for små og mellemstore virksomheder. Både i form af at bidrage til at skabe vækst og arbejdspladser og den monumentale opgave, de har med at holde styr på lovgivningen og bureaukratiet. Derfor er jeg også ked af at høre, at nogle knækker nakken på denne udfordring. Det skal man ikke tage let på. Men ingen har krav på uanfægtet at anvende metoder, som er etisk betænkelige, og slet ikke hvis de tilmed er ulovlige.

Når jeg på den baggrund ser den måde, problemstillingen italesættes på i artiklen, synes jeg, at kæden hopper af. Halfdan Timm citeres for:

“Vi har kunder, der vil gå konkurs, hvis de skulle fjerne Pixel…” og at “det er Boligportalen, der nu står til ansvar for deres brug af Facebook Business Tools, fordi problemets rod ifølge ham er den længe ventede Privacy Shield-aftale mellem EU og USA.”

Halfdan Timm har på LinkedIn uddybet, hvad han mener, og mange har applauderet og budt ind.

Der synes kun at være to muligheder, hvis ikke en underskov af virksomheder skal dø: Enten accepterer vi, at Google og Facebook bestemmer, eller også må alle mulige andre levere et ligeværdigt alternativ til de berørte virksomheder.

Ingen eller kun meget få af brancherepræsentanterne synes at gøre sig overvejelser om de borgere, hvis oplysninger de mener sig berettiget til at indsamle og anvende. Og ingen synes at gøre sig overvejelser om det potentielle medansvar for misbrug af de indsamlede data ved overførsel til usikre tredjelande. 

Vi skriver altså 2023, ti år efter at Edward Snowden afslørede, hvordan USA indsamler og bruger vores data uden vores viden, og fem år efter afsløringen af Cambridge Analytica-skandalen, hvor oplysninger indsamlet til helt andre formål indgik i manipulation af demokratiske valg. Det var markedsføringsbranchens 9/11. Gav det aldrig anledning til refleksioner? Eller er det allerede glemt?

Jeg synes, at det er en ret bekymrende egenforståelse, der kommer til udtryk i udtalelserne fra Halfdan Timm og de øvrige fra branchen. Det underminerer demokratiet, hvis nogen stiller spørgsmålstegn ved, om landets og unionens love skal overholdes. Selvfølgelig skal de det, der er ikke noget “hvis”.

Reglerne i GDPR trådte i kraft i 2018, og Schrems II-dommen er fra 2020. Det har altså været klart et stykke tid, og den tid kunne være brugt på at udvikle alternativer eller sikre beskyttelsesniveauet på anden vis. Hvis vi skal vriste os fri af Big Techs herredømme på dette område, er det den eneste vej.

Ja, meget havde været lettere med en solid Privacy Shield-aftale mellem EU og USA, og det trækker ud (måske kommer den slet ikke?), men det skyldes efter min vurdering netop, at EU søger et højt beskyttelsesniveau for sine borgere, hvilket er godt. Og ventetiden på en (mulig) aftale kan aldrig være en undskyldning for ikke at overholde loven. Det her er ikke en leg i skolegården, hvor man kan have helle ved flagstangen.

I en tid med voksende kritisk fokus på privacy, dataindsamling, dataanvendelse, urimelige forretningsmodeller og ordentlighed i det digitale univers osv., forekommer det mig tonedøvt at stille spørgsmålstegn ved, om reglerne gælder for os alle, og blive overrasket, når de håndhæves.

Jeg siger ikke, at GDPR-compliance er nemt eller at alt kan lade sig gøre som i dag. Det har aldrig været formålet med GDPR. Nogle værktøjer og praksisser skal vi opgive, hvis vi skal indrette samfundet i overensstemmelse med de demokratiske spilleregler og ikke efter Big Techs forgodtbefindende, og det vil naturligvis koste.

Der har været fri leg i alt for mange år, og selv om det har skabt mange gode ting, har samfundet fået øje på nogle følgeomkostninger, som vi ikke er parate til at betale.

Derfor skal nogle af løsningerne fra i dag omformes til i morgen, selvom det er svært. Men det er opgaven. Ellers bliver vi ved med at understøtte en digital udvikling, som borgerne er utrygge ved eller direkte imod og som ikke kan forsvares.

Det er helt legitimt at mene, at de lovgivende organer er gået for langt og arbejde for ændringer. Men skuffelsen bør efter min mening rettes imod de dominerende virksomheder, som har dikteret et marked, der gør det umuligt at drive virksomhed uden at bryde loven, og de rådgivere, som ikke har advaret i tide. Lur mig om ikke vi kommer til at se erstatningssager ved domstolene om netop dette.

Beskyttelsen af privatlivet og selvbestemmelsesretten er afgørende for at opretholde tilliden mellem virksomheder og deres kunder og tilliden til det digitale generelt. Den har vi ikke råd til at miste.

Johan Busse er formand for Dataetisk Råd, men skriver dette indlæg som privatperson.

“Det er nemt at sige, at man er blevet for afhængig af Meta og Google – og sværere at præsentere et alternativ, som Johan Busse heller ikke gør. Virkeligheden på gulvet er desværre en anden, end hvad man måske håber og tror i Dataetisk råd. Det er flotte ord om dataetik, “markedsføringsbranchens 9/11” og Edward Snowden – men ingen løsninger.

Vi er tilbage ved, at danske virksomheder må vælge mellem at have pixels installeret – eller gå konkurs. Så kan man jo sige, at det er de danske virksomheders egen skyld, at de har bragt sig i en sårbar situation, men det gælder jo alle virksomheder i EU. Måske man skulle lade stater løse staters problemer og ikke uddele advarsler til Boligportalen.

Jeg holder fast i, at det ikke må blive den enkelte virksomheds ansvar, at der indgås en aftale omkring transatlantisk dataoverførsel ml. EU og USA, og at jeg i mellemtiden hellere ser en virksomhed beholde deres – med en ny Privacy Shield-aftale igen lovlige –  pixels end at lukke virksomheden ned. Det er det samfundsmæssigt eneste rigtige.

Det her er ganske rigtigt ikke en skolegård, hvor vi råber “helle”. Det her er rigtige virksomheder og rigtige mennesker.”