Det store personverneksperimentet er nå i gang, sier sikkerhetsekspert Bruce Schneier. Han mener Europa kan tvinge hele verden til å ta bedre vare på vår private informasjon.
– Europas nye personvernlover er et angrep på overvåkningskapitalisme, sier Bruce Schneier, som i 2015 skrev boken Data and Goliath, en dyster utgreiing om hvor lite kontroll vi har over vårt eget privatliv.
Der kommer det blant annet frem hvor vanlig det er at amerikanske selskaper deler informasjon med myndighetene, ofte som et resultat av hemmelige rettsordre. I boken tar han til orde for et Magna Carta, et dokument som sikrer vanlige borgere rettigheter til å beskytte eget privatliv.
Med de nye personvernlovene (GDPR) som ble innført i EU 25. mai, og innføres 20. juli i Norge, har Schneier langt på vei fått ønsket sitt oppfylt.
– Europa er den regulatoriske supermakten i verden og de er ikke redde for å håndheve de nye lovene. Det vil være bra for alle, ikke bare Europa, sier Schneier, som var på norgesbesøk i anledning sikkerhetskonferansen Paranoia.
Bruce Schneier anses som en betydelig skikkelse innen IT-sikkerhet og personvern. I tillegg til å ha gitt ut 15 bøker, er han teknisk sjef for sikkerhetsselskapet IBM Resilient og styremedlem i den digitale rettighetsorganisasjonen Electronic Frontier Foundation (EFF).
Hva nå?
I mai ble GDPR en del av europeisk lov, men slaget vil stå om Europa klarer å tvinge også amerikanske selskaper til å følge det ambisiøse lovverket.
Konfliktens kjerne er at de mest populære digitale tjenestene i dag er amerikanske, og at de heller vil følge de langt svakere personvernreglene i USA.
Med GDPR kan europeiske datatilsyn gi bøter på opptil – avhengig av hva som er størst – fire prosent av en bedrifts årlige omsetning eller 20 millioner euro.
Om Europa klarer å håndheve regelverket og eventuelt gi ut store bøtene kan det få globale konsekvenser.
Bekymringen er at GDPR uthules bit for bit i rettsalen, og at den til slutt blir tannløst. Blant annet scorer nettstedet Politico Facebook og Google som de med mest kunnskap og innflytelse over regelverket.
Det er dette Schneier sikter til når han beskriver GDPR som det viktigste personverneksperimentet i verden.
De første søksmålene som følge av GDPR ble sendt allerede samme dag som lovverket trådde i kraft. Max Schrems, en østerriksk advokat og personvernforkjemper, sier til CNN:
– Vi ser etter store selskap som bevisst bryter loven, som på en måte prøver å ignorere den, og komme unna med det.
Vinner Schrems alle de fire søksmålene kan det gi Facebook og Google en bot på 7,6 milliarder euro.
- Retten til å bestemme hvem du deler din personlige informasjon med, og hva det brukes til
- Retten til å vite hva et selskap vet om deg
- Retten til å korrigere opplysninger om deg som er feil
- Retten til å slette informasjon om deg selv
- At dine data lagres sikkert
I USA er det svakere personvernlover
I Europa har det lenge vært forholdsvis strenge lover for personvern, men USA har til i dag svært svake lover for å verne om folks privatliv.
For eksempel eier man i USA som hovedregel ikke sin egen private informasjon, noe Schneier beskriver som «sykt». Bedrifter bøtelegges heller ikke første gangen personlige data kommer på avveie, noe som kan skje i Europa.
Demokratene i USA øyner på sikt å få vedtatt flere rettigheter for personvern, men disse vil være langt mildere enn hva som ligger i det europeiske lovverket. Det er også høyst usikkert om det kommer til å skje noe på denne fronten.
Demokratene, som tradisjonelt er mer positive til forbrukerrettigheter, mangler tross alt flertall i Senatet og Kongressen, og de har ikke presidentskapet.
– Personvern blir knapt diskutert i USA, sier Schneier, men nevner at det finnes et initiativ som kan ha påvirkning i USA.
I California ble det nylig vedtatt et nytt lovverk for personvern som er det strengeste i USA noensinne, men det gir langt færre rettigheter til vanlige borgere enn GDPR. Schneier er også bekymret for at regelverket vil svekkes ytterligere innen det trer i kraft om to år.
Her har vi snakket mye og lenge om det store bildet, hva kan du og jeg gjøre på et personlig plan?
– Du kan slå av telefonen, men ærlig talt: Det er mange dumme råd der ute, som ikke å ha bankkort eller epostadresse.
Men, det må jo være noe fornuftig jeg kan gjøre?
– Nei, egentlig lite. Det finnes noe som hjelper litt, men dette er systemiske problemer. Det eneste som virkelig hjelper er reguleringer som GDPR.
Opptatt av personvern? Dette er noe av det vi har skrevet om det tidligere:
- Flere hundre selskaper sitter på min personlige informasjon, slik finner du dem
- Facebook har en lang historie med å beklage seg, men gjør faktisk lite
- Ta kontroll på Facebook: Slik deler du mindre om deg selv
- Facebook og Google manipulerer og villeder deg til å dele privatlivet ditt, mener Forbrukerrådet