I det moderne digitale samfunnet er brukers samtykke før behandling av persondata viktigere enn noen gang. Personvernforordningen (GDPR) krever samtykke. Målet med å innhente samtykke er at du og jeg som brukere skal være i stand til å bedømme hva våre persondata brukes til, og gi aksept for at leverandøren av tjenesten kan behandle persondata. Vi brukere skal ha kontroll på egne data. Vi skal kunne styre vårt menneskerettslige krav til vern av privatlivet. Men er den vanlige personen i gaten tilstrekkelig kompetanse til å fatte samtykkebeslutninger, eller er vi alle inkompetente i den digitale verden?
Shoshana Zuboff er pensjonert professor ved Harvard Business School. Hun har brukt de siste syv årene til å studere et fenomen hun kaller overvåkningskapitalismen. Hun beskriver en situasjon der dine og mine persondata samles inn i massiv skala. Persondata er blitt råvaren i fabrikker som på samlebånd kvernes og analyseres for å skape personprofiler og sette selskapene i stand til å spå våre fremtidige handlinger. Selskapene tjener penger på målretting av reklame, og de selger våre personprofiler gjennom markedsplasser for slikt. Det er lett å la tankene flyte mot de store amerikanske it-selskapene. Det var derfor interessant å lese NRK sin artikkel om DNB den 22. september, med overskrift: «DNB vil tjene penger på kundene – videreselger data om handlingsmønster.» Har overvåkningskapitalismen også kommet til Norge?
Våre likes forteller mer enn vi aner. I 2015 publiserte Michael Kosinski og hans kolleger ved Stanford universitet en svært interessant studie. De fikk tilgang til brukerdata fra Facebook og analyserte brukernes likerklikk på annonser og innlegg. Funnene var oppsiktsvekkende. Det skulle ikke mer enn analyse av «likes» til for at forskerne kunne bygge personlighetsprofiler som var like valide som resultatene man får av anerkjente psykologiske selvtester. Resultatene kan brukes til å forutse stoffavhengighet, politiske holdninger eller psykisk helse. Ønsker vi at tjenesteleverandørene skal ha detaljkunnskap om vår personlighet, eller ha mulighet til å selge slike profiler?
Det skulle ikke mer enn analyse av «likes» til for at forskerne kunne bygge personlighetsprofiler som var like valide som resultatene man får av anerkjente psykologiske selvtester
Anonymiserte data er en sannhet med modifikasjoner. Anonymisering av data betyr at man fjerner all personidentifiserbar informasjon fra et datasett. Ved å anonymisere skal det ikke være mulig å re-identifisere enkeltbrukere i datasettet. Flere av selskapene som handler med persondata hevder å anonymisere datasettene før salg. Dette står også DNB fast på i artikkelen fra NRK. Anonymisert data faller ikke inn under GDPR. Ny teknologi og nye analyseteknikker utfordrer imidlertid det eksisterende regimet med anonymisering. Luc Rocher og hans forskerteam publiserte en tankevekkende studie tidligere i år. Ved hjelp av maskinlæring og prediksjonsmodeller hevder de å kunne re-identifisere anonymiserte datasett ved å koble sammen flere informasjonskilder.
Med disse eksemplene i bakhodet er det interessant å komme tilbake til betraktninger om verdien av samtykket. I helsesektoren har vi noe som heter samtykkekompetanse. Helsepersonell må vurdere pasientens evne til å samtykke til helsehjelp før slik hjelp gis. Forstår en dement person hvilken helsehjelp han eller hun går med på? I GDPR finnes det ikke noen krav til samtykkekompetanse. Kanskje det burde etableres noen slike krav?
For hva er egentlig samtykket vi gir til tjenesteleverandører verd hvis vi ikke forstår at analysen av våre «likes» og handlingsmønstre kan bidra til å bygge detaljerte personlighetsprofiler? Forstår vi at salg av anonymiserte datasett kan spores tilbake til oss som privatpersoner? Og forstår vi omfanget av den massive datainnsamlingen som foregår i dag, og markedene for kjøp og salg av persondata? Det er i denne sammenheng jeg stiller spørsmålet om vi alle er inkompetente i den digitale verden. Jeg tenderer mot å tro det – ikke fordi jeg tror folk er dumme, men fordi mulighetsrommet i teknologien og markedsmekanismene er for komplekse til å forstå dem.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.