Hva skjer:
Ett år etter at EU innførte personvernforordningen (GDPR), hvordan har virkningen av den og digitalt personvern påvirket nyhetsutgivere?
Hvorfor det er viktig:
GDPR, som var utformet for å oppdatere personvernrettighetene til internettbrukere og sikre at organisasjoner er transparente og ansvarlige når de håndterer kunders personopplysninger, trådte i kraft i mai 2018, akkurat da personvern og samtykke toppet nyhetene etter episoder som
Facebook- og Cambridge Analytica-data skandale. Selv om loven var spesifikk for EU, på grunn av internettets åpne og globale natur, var virkningen verdensomspennende ettersom utgivere over hele verden hastet med å etterkomme den. Ett år senere, hva har effektene vært, og hva skjer videre?
Global effekt
Denne utvidede rekkevidden over hele verden har ført til noen uventede utfall, skriver Danny Palmer på
ZDNetHan gir ett eksempel: «Europeiske internettbrukere som ønsker å besøke noen amerikanske nyhetspublikasjoner, kan oppleve at de ikke kan se nettstedene – i stedet blir de møtt med sider som forklarer at publikasjonen ikke er i samsvar med den nye lovgivningen, og de blokkerer dem i stedet.» Men Palmer sier at utover flommen av e-poster som ber om eksplisitt samtykke til markedsføring og varsler på nettsteder som advarer om tilstedeværelsen av tredjeparts informasjonskapsler, skjer det et større skifte. Forbrukerne ser i stor grad på dette som en irritasjon, snarere enn et regulatorisk skifte til forbrukerkontroll og innsyn i sine egne data. Likevel er GDPR sannsynligvis bare toppen av isfjellet, ettersom land rundt om i verden ser etter å implementere sine egne, lignende personvernregler, inkludert Brasil, Japan, India og Sør-Korea. I USA er
Californias lov om forbrukervern skal innføres 1. januar 2020. I motsetning til GDPR setter imidlertid ikke den californiske loven en tidsfrist for å varsle forbrukere om datainnbrudd, og den kommer heller ikke med utsikter til bøter for manglende overholdelse. Likevel ser det ut til at det allerede har en viss effekt på hvordan de store selskapene i Silicon Valley opererer. Google, Facebook og Apple snakker alle om personvern og forbrukerdata. «Det er mulig at innføringen av GDPR har bidratt til å anspore denne endringen, ettersom selskaper som Google jobber for å imøtekomme brukernes behov for å bli mer bevisste på digitalt personvern», sier Palmer, og legger til at det er innenfor kunstig intelligens at personvern kan ha størst innvirkning.
Kunstig intelligens
Det er én ting å snakke om menneskebasert dataakkumulering, selv når disse aktivitetene er automatiserte. Når vi begynner å diskutere kunstig intelligens, blir det imidlertid en helt ny strategi. De fleste AI-baserte algoritmer er avhengige av å samle inn og analysere enorme mengder data, og det er ikke alltid klart hvor disse dataene kommer fra eller om de involverte individene har gitt samtykke. Emma Wright, kommersiell teknologipartner i advokatfirmaet Kemp Little, sier at debatten rundt etiske datainnsamlingspraksiser raser når det gjelder AI. «AI tillater massebehandling og analyse av data. På mange områder ser vi plutselig etter at generelle advokater skal se på etikken i noe, ikke bare lovligheten i noe. Det handler ikke om hvordan du kan oppføre deg, det handler om hvordan»
burde du oppfører deg.»
Mindreårige og databeskyttelse
Et annet ekstremt sensitivt område på dette området er barns digitale identiteter og personvernet rundt dette – som med rette blir et mye større sikkerhetsspørsmål. EU har ikke en uavhengig lov som omhandler beskyttelse av barns data; snarere krever noen av GDPR-bestemmelsene en høyere standard for å beskytte barns data. I USA er data om mindreårige beskyttet under Children's Online Privacy Protection Act fra 1998. International Association of Privacy Professionals (IAPP) publiserte en
Personvernsporing serie som ser på lover fra hele verden, inkludert COPPA, og sammenligner dem med GDPR. «GDPR og COPPA ble skrevet med et annet fokus», sier Tay Nguyen fra IAPP. «GDPR har et bredere fokus på databeskyttelse for alle fysiske personer. COPPA har et smalere fokus og forbyr urimelig eller villedende praksis knyttet til barns data på nettet.»
Leverandører og andre organisasjonsavdelinger
Datavern begynner og slutter ikke med utgiverne og nettstedene selv; ansvaret strekker seg til sikkerhetstiltakene til leverandører og leverandører, og det er bedriftenes ansvar å sørge for at de også er i samsvar med regelverket. «Mange organisasjoner har et leverandørstyringsprogram på plass, men det økte fokuset på outsourcing av databehandling gjør det avgjørende og presserende at GDPR-samsvar bekreftes», sier Bob Bruns fra Forbes. «Spesifikt har GDPR fem artikler – artikkel 28, 30, 32, 33 og 36 – som gjelder tredjeparters ansvar.» På samme måte er GDPR-samsvar ikke bare et IT-problem i selve bedriften. Bruns sier at bedrifter kan se på dette som en mulighet til å styrke partnerskap på tvers av andre avdelinger i organisasjonen, for eksempel personalavdelinger, juridiske avdelinger og markedsføring. «Markedsførere har spesielt måttet gjennomgå et skifte i tilnærminger til kampanjer og datautvinning, og kan trenge hjelp fra juridiske, samsvars- eller IT-ressurser. Markedsføring bør samarbeide med andre avdelinger for å sikre at data innhentes og administreres riktig, inkludert kundenes samtykke og kommunikasjon om hvordan deres personopplysninger vil bli brukt.»
Konklusjonen:
Et selskaps samlede kontrollrammeverk som bidrar til å sikre samsvar med GDPR, kan også sikre prinsipper for databeskyttelse og kan anvendes på alle forretningsområder. Én ting GDPR har oppnådd er å øke bevisstheten om personvernspørsmål, selv om dette bare er begynnelsen på en mye større samtale om de overordnede etiske retningslinjene for internettteknologi og -informasjon.
