Martin Ernst bloghoved

Det bliver en årelang kamp: Facebook har foreløbig vundet 7-0 over GDPR

Illustration: krearandi

Denne blog er en opfølger på bloggen, som jeg skrev om ”The rise and fall of Facebook”. Lidt som status en lille tid efter GDPR’s D-dag – eller G-dag, som det måske kærligt er blevet kaldt.

Har det fået en betydning for Facebook? Ikke en hujende hørm! Har det fået betydning for os andre? Ja, i den grad. Men vi er forsat enige om, at GDRP er godt for demokratiet, som Mogens Nørgaard bliver citeret for i en artikel på Version2.

Vi har brug for denne regulering, så der ikke går det ”vilde vesten” i brugen af vores private data. Senest er det kommet frem, at Facebook gav producenter af bl.a. mobiltelefoner adgang til data om brugere og deres venner. Det bliver ikke det sidste, vi ser komme til overfladen.

Grunden til, at jeg interessere mig for dette emne er, at GDPR skal tænkes ind som en central del af forretningsmodellen – og det vil der naturligvis være en business case for. Lige nu er er det ikke os brugere, men Facebook som står som vinder. Lad os se på kampreferatet (hvem sagde, at bold-feberen er tiltagende?) …

Facebooks første mål til 1-0

Først mål var høringen i den amerikanske kongres (både i Senatet og i Repræsentanternes Hus). Jeg ved godt, at GDPR er en europæisk ting, og at US plusler med et lignede GDPR-tiltag. Men de forsøgte alligevel at komme i kødet på Facebook.

Mark var glat som en ål, men fik heller ikke spørgsmål med bid i. Men kunne se den amerikansk kongres sende et signal om, at de gjorde noget – men de formåede kun at lade bolden trille ind mellem benene til en 1-0 føring.

Facebooks andet mål til 2-0

Andet mål var høringen i EU-Parlamentet. Igen et selvmål. For er der seriøst nogle, som tror de får svar på de spørgsmål under seancen, som Mark ikke besvarede? EU burde have nærstuderet (selv)målet til 1-0 og sikret sig, at angrebet var bedre organiseret.

I stedet truede Mark med at flytte aktiviteter ud af Irland. Sandsynligvis betyder det også, at det kommende datacenter i DK måske også få reduceret deres revir, som følge af at Facebook flytter brugere – dvs. data – ud af EU. Dvs. EU mister arbejdspladser, skatteindtægter etc. 2-0 til Facebook.

Facebooks tredje mål til 3-0

Har det flyttet noget hos Facebooks mht. vores rettigheder? Måske et par kommaer i brugerbetingelserne. Det var vist det. Dette mål må næsten være et mål scoret på kontra –myndighederne er helt fremme i angrebet, men når ikke at komme tilbage og dække af.

Det er som det gamle cookie direktiv, hvor det eneste, der skete, var, at vi fik en pop-up, som vi så kunne trykke ok til. Nu er pop-up’en bare blevet større – og vi kan stadigvæk kun trykke OK til det. Det anerkender man jo også i denne artikel.

Mark lover og lover, men vi skal ikke forvente, at der sker noget som helst. Vi har bare skulle acceptere de nye betingelser eller få sin konto lukket. Det samme er sket med Facebook datterselskabet Instagram – acceptér eller smut.

Der er enkelte personer som forsøger at gøre en forskel – bl.a. Max Schrems, som anmelder Google og Facebook for GDPR-overtrædelser. Men hvorfor er det en privatperson, der anmelder og ikke en stat eller flere stater? 3-0 til Facebook.

Og fire selvmål mere, hvor Facebook ser til, mens brugerne løber boldene i eget mål

4-0 Vi spammede hinanden til døde.

Men var det nødvendigt med alle de mails jf. denne artikel i Version2?

»Selv om de (virksomhederne, red.) skal have samtykke, betyder det ikke, at de nu skal bede om samtykke igen. Punkt 171 i GDPR gør det klart, at det er nok med det samtykke, der tidligere er afgivet, bare det lever op til Persondataforordningen,« siger Toni Vitale fra i juristfirmaet Winckworth Sherwood til The Guardian.

DI har en klar sang om dette. "Det nye er, at samtykket skal være utvetydigt! Samtykket er utvetydigt, når de registrerede foretager en bekræftende handling, som tilkendegiver, at de registrerede accepterer den konkrete behandling af personoplysningerne til det konkrete formål.

Eksempler på et sådant samtykke inkluderer, at de registrerede klikker i en boks, vælger indstillinger, afgiver en erklæring eller på anden måde udviser en adfærd, der tilkendegiver samtykket. Den dataansvarlige er forpligtet til at kunne dokumentere, at samtykket er givet. Hvis der behandles følsomme personoplysninger, skal samtykket være eksplicit."

I mit lille firma har vi overført emails på kursusdeltagere, respondenter og eventdeltagere. Langt størstedelen af de 1200 på nyhedsbrevet er derfor tilført listen by ”admin” - ud fra, at vi har nævnt, at de bliver tilføjet, når de henter en skabelon til business cases eller andet. Men de har ikke selv klikket det af - og så kan vi ikke leve op til kravet om at bevise, at de selv har accepteret at være med på listen.

Vi ser en voldsom reduktion af nyhedsbrevsmodtagere, og har kun 40% tilbage af de 1200. Det er der mange grunde til:

  • Folk har fået et ton mail om det samme og bare slettet dem

  • Mailen er røget i et spamfilter (enten det spamfileter på klienten eller i et spamfilter på vejen fra afsender til modtagerens mailserver).

  • Eller man faktisk forholder sig til det og tænker – det har jeg ikke meldt mig til (selv om man faktisk har).

Det kommer til at tage mit firma ca. 7-8 mdr. at opnå det samme niveau af respondenter, som vi havde før den 25. maj 2018. Dette mål til 4-0 mindede om et mål i miniput foldbold. En sværm af spillere jagtende en bold. Og bum så var den i nettet – bare i det forkerte net.

5-0 Phisterne fik en ny mulighed for at narre folk

I det spamhav af mail, hvor man skulle bekræfte eller i bedste fald vælge mellem muligheder, så fandt svindlerne jo en mulighed for at lokke noget ud af os ved at udnytte mail-infernoet. Selvfølgelig.

Bl.a. derfor vi bør styrke Politiets Cybercenter (NC3) endnu mere – for det går kun én vej. Vi burde også have tænkt os om. Det kunne være en central og troværdig løsning, som administrerede samtykker. Det er svært at forholde sig til mails, når de kommer i et så stort antal.

Klart dårligt forsvar og manglende planlægning er grunden til dette mål.

6-0 De amerikanske hjemmesider gav op uden kamp og blokerede besøg fra EU

I Europa fik vi også den kolde skulder fra en række amerikanske hjemmesider, da de blot opgav det lille område, som hedder Europa. De blokerede os bl.a. fra LA Times og andre større sites.

Europa fylder en meget lille del af Facebooks portefølje (jeg hører 15%). Den ultimative konsekvens er, at Facebook lukker ned for at undgå mere støj om det der GDPR.

Det svarer nærmest til, at facebook fjerner deres målramme fra banen - ingen mulighed for Europa at score, ingen kamp.

Hvis dette skal virke, så skal vi have en global løsning (US er ikke nok, da vi mangler Rusland og Asien), men der kan vi nok gætte, hvilken skæbne det får – den samme skæbne som de globale klimaaftaler. De taler og taler og en eller anden part løber fra aftalen i 11. time.

7-0 Pressen med flere jagter alle, som ikke har styr på det

Vi kommer til at se at pressen eller ”interesseorganisationer” jagte firmaer eller offentlige organisationer, som ikke har styr på det. Bl.a. nævnes det, at flere en 40 kommuner ikke er klar til GDPR, skolernes apps ikke er klar eller vink til din dataansvarlige-dag.

Vi kommer i den grad ikke til at skabe værdi i virksomhederne eller samfundet ved nogle af de øvelser. Jeg mener, at pressen og ”interesseorganisationerne” kommer til at jagte de forkerte, når det er Facebook, Google etc., som GDPR er tiltænkt. De store ”data-monstre” skal have vores opmærksomhed - ikke de virksomheder som forsøger at føre en ærlig forretning.

Og der er også en masse absurde eksempler på GDPR tiltag.

Det virker nærmeste som om, GDPR tackler sig selv, mens de prøver at score i eget mål.

Konklusionen er: GDPR er kommet for at blive, men vi har godt nok svært ved at få hånd omkring opgaven

Hvordan kan vi få noget ud af det, så det ikke bare bliver et nyt pop-up vindue, som vi skal sige ja tak til (og i øvrigt ikke kan andet)? Hvad kan være vores business case her?

Igen skal vi tilbage til forretningsmodellen. Hvordan bliver den påvirket af de regler, som nu en gang er GDPR? Jeg mener, at der er fire hovedbidrag til business casen:

1) Få styr på systemer og data og skab en reduktion

2) Få nye kunder

3) Få styr på kundernes mønstre samt

4) Få bedre aftaler med kunderne

Se også denne artikel

Men det handler også om moral og etik. Jeg var lidt inde på det i min blog om Amazon, hvor det handler om at fodre det dyr, som man gerne vil se leve. Dette statement følges op af et statement fra den seneste blog om netop Facebook; nemlig at vi skal have et alternativ, som er bedre end Facebook. Facebook har sejret, knust alt på deres vej og vil forsætte ad den vej så længe, de kan. De har brugt alle midler, og vi har nok ikke set dem alle endnu.

Hvis vi alle havde behandlet viden om hinanden med respekt, så havde vi ikke dette behov for GDPR. Det bliver bare en benhård kamp, som vil tage år – hvis det overhovedet kommer til at lykkes. Der vil altid være nogle, som ikke har etik og moral.

Persondata vil over tid helt sikkert blive solgt i ”the dark web” version af facebooks big data database. For der er så mange penge i det, at det for alt i verden bliver beskyttet for senere at få profit eller magt ud af det.

Hvis det sker, så kan vi appellere lige så meget til folks moral og etik. Det foregår ude af vores hænder, som det gør i dag. Forskellen er blot, at det foregår i fuldt dagslys i dag – den ene scoring efter den anden …

Men som det vindende holds fans synger til de tabendes holds fans: ”Go tur hjeeemm …”. Jeg hører Facebook synge lige præcis den sang lige nu!

Relateret indhold

Kommentarer (27)
Simon Mikkelsen

Der er netop sat gang i adskillige GDPR-sager mod Facebook, Google og andre. Flere kommer nok med tiden. Nej, de har ikke rettet ind, men der er muligheder for at komme efter dem og det er ved at blive efterprøvet. Jeg ser absolut ingen grund til at give op før man overhovedet er kommet i gang.

Og de amerikanske virksomheder der blokere EU. Flere skal blot have mere tid og resten kan nok undværes. Det vil give mulighed for flere spillere på det marked, og lidt sund konkurrence plejer ikke at skade. Vi skal ikke sælge vores privatliv for at få adgang til lidt flere ting!

Jesper Lund

Der har været et voldsomt fokus på datoen 25. maj i en grad som vel ikke er set siden Y2K.

Men der er ret stor forskel på de to situationer.

Y2K var make or break. Enten virkede systemerne efter midnat nytårsaften 1999, når datoen skiftede til 1. januar 2000. Eller også gjorde de ikke.

GDPR er en proces, som startede mellem 0 og 900 dage før 25. maj 2018 (afhængig hvem den dataansvarlige er), og som fortsætter i de kommende år. Ingen bliver nogensinde færdig med GDPR.

Selvfølgelig har datoen 25. maj betydning. Det er den dag, hvor GDPR finder anvendelse som det hedder i EU-speak ("træder i kraft" vil man sige på almindelig dansk, hvis det var en lov). Fra 25. maj kan man få bøder og man kan komme i nærkontakt med Datatilsynets udvidede palette af handlemuligheder, som er meget andet end bøder. For eksempel påbud og forbud.

Og aktivistiske organisationer kan indgive klager efter GDPR, som Martin Ernst nærmest opfordrer os til :)

Men det er ikke make-or-break på den måde at enten er man klar eller også er man ikke klar. Meget få dataansvarlige er formentlig 100% klar, alene af den grund at der uundgåeligt med nye lovbestemmelser er en masse fortolkningstvivl i GDPR, som skal afklares i de kommende år (vejledninger fra EDPB, afgøreslser fra datatilsynsmyndigheder, retssager med henvisninger til EU-Domstolen).

Eksempel: hvordan skal de nye skærpede krav til et frivilligt samtykke fortolkes? Det spørgsmål bliver centralt i de klager som allerede er indgivet af NOYB og La Quadrature du Net.

TL;DR Ro på... GDPR er en proces der reelt først lige er startet.

Men det bliver rigtigt rigtigt spændende, og borgerne får med GDPR nogle muligheder som de ikke havde får. For de fleste vil de kræve hjælp fra organisationer som NOYB at få gavn af disse muligheder, fordi det er kompliceret. Så støt NOYB, så NOYB bliver ved med at være her!

Jesper Lund
Formand, IT-Politisk Formand

Bjarne Nielsen

Jeg må også sige, at jeg synes Martin Ernst er noget utålmodig.

Tager man sagen om den såkaldte datr-cookie, hvor Facebook blev bedt om at stoppe tracking af ikke-brugere af de belgiske myndigheder, så har den mere eller mindre cyklet rundt i retssystemet siden, uden at Facebook har ændret praksis.

Max Schreems har også en sag kørende, hvor der senest var en afgørelse om, hvorvidt sagen kunne køre som gruppesøgsmål. Det kunne den så ikke, men Schreems kunne fortsætte på egne vegne. Sådan kan man så forhale en sag med alle mulige indvendinger.

Og på samme måde bliver vi nødt til at væbne os med tålmodighed med de sager, som er afledt af de "nye" regler - det er ikke engang 2 uger siden, at de blev rejst.

Interessant bliver det også at se, om man kan sno sig ud af ethvert ansvar, ved at pege på, at "siden er hos Facebook" eller nogle andre. Eller "det er Facebooks like-knap - vi ved ikke, hvad den gør".

Hans Nielsen

Eller selvmål.

0-1 Kunder der siver

0-2 Browser og Telefoner der blokere for dataindsamling.

0-3 Flere lande følger efter EU med GDPR

0- 4 "ydmyget" på tv, og fremstår som den store stykke ulv

0-5 Fravalg af sider og steder der bruger likes

0-6 Unge mennesker bruger ikke det gammeldags Facebook

0- 10^9 Bøder på flere milliarder, af flere gange

På privacy synes jeg Appel viser teten, selv om jeg ikke er stor fan. Så viser de, at når man tager en overpris på 2-3 gange for hardware. Så behøves man ikke også at sælge sine kunders data. Her kunne sony, samsung og alle de andre telefonproducenter lære noget. Microsoft er nok på grund af konkurrence, mere på vej i den anden grøft. De har ikke været slemt til at misbruge deres kunder. Men når de kun får 10-20 kr, for en windows licens, og det gamle guldæg, officepakken også er truet. Så strammer økonomien.

Om Appel og FB
https://www.bbc.com/news/technology-44360273

Jesper Lund

Det et omvendt, at det ikke er værdiskabende at vi klager over hinanden, når fokus skal rettes et andet sted.

Hvor skal fokus rettes hen? Jeg er ikke bekendt med at datatilsynsmyndighederne er blevet oversvømmet med alle mulige klager, men de har modtaget klager over Facebook, Google og andre i GAFAM-familien.

Facebook har nærmest ignoreret GDPR og kun lavet latterlige små ændringer, hvorefter Facebook påstår at de overholder GDPR. De mange GDPR-jurister hos Facebook arbejder stadig ud fra mantraet, at de skal skrive tekster som ingen forstår og derfor bare klikker OK, selvom GDPR meget eksplicit gør op med denne fremgangsmåde.

Ja, Facebook har sågar benyttet lejligheden til at bringe automatisk ansigtsgenkendelse tilbage i EU, selvom GDPR indeholder nogle subtile ændringer som gør det langt sværere (og formentlig ulovligt) at bruge automatisk ansigtsgenkendelse på den måde, som Facebook gør det.

Men den adfærd som Facebook har udvist er der ikke andet at gøre end at skride direkte til klager som NOYB har gjort.

Facebook er eksperter i misinformation. Vi får at vide at man siden 2015 ikke har kunnet videregive sine Facebooks venners personoplysninger via 3. parter som Cambridge Analytica, men kun egne oplysninger. Fint nok... indtil et par uger senere, hvor det så afsløres at Facebook alligevel gør dette i forhold til 60 smartphone producenter, der åbenbart ikke er 3. parter, men er med til at skabe Facebook-oplevelsen. Og disse "betroede" smartphone tredjeparter har lovet ikke at misbruge data, så alt er godt... (det samme havde Alexander Kogan, men det forhindrede ham ikke i at give oplysningerne til Cambridge Analytica).

Blogindlæggets 7-0 Facebook score er på sin vis meget passende, hvis man tæller situationer hvor Facebook intet har gjort og blot ignoreret GDPR.

Retssystemet reagerer altid langsommere end lovovertræderne, og nu starter processen hvor Facebook forhåbentlig bliver indhentet af loven, således at den endelige score ikke bliver 7-0.

Ivo Santos

Det ville til gengæld give større mening hvis det rent faktisk var muligt at sammenligne GDPR med antipirat loven.
Eneste meget store problem er at EU ikke tør at benytte de samme midler så som Rusland og Kina, og rent faktisk total blokere for alle ip adresserne til de relevante firmaer som ikke lever op til, hvad normale mennesker vil kalde for god etik og moral. Sådan et indgreb burde få de relevante firmaer til at ændre politik.

Martin J. Ernst Blogger

Hvor skal fokus rettes hen? Jeg er ikke bekendt med at datatilsynsmyndighederne er blevet oversvømmet med alle mulige klager, men de har modtaget klager over Facebook, Google og andre i GAFAM-familien.

Det har jeg heller ikke hørt, og jeg skriver ikke om myndighederne. Jeg skriver derimod om journalister og interesseorganisationer (som f.eks. vink til din dataansvarlig ...).

Vi er enig om det ikke er slut endnu. Nu skrev jeg bloggen som et kampref. Jeg er godt klar over vi er ude i en større turnering. Så det kan være revanchekampen får en helt anden stilling (forhåbentligt). På det tidspunkt kommer der sikkert en blog til ...

Jesper Lund

Det har jeg heller ikke hørt, og jeg skriver ikke om myndighederne. Jeg skriver derimod om journalister og interesseorganisationer (som f.eks. vink til din dataansvarlig ...).

Hvis du med "vink til din dataansvarlig" mener information til borgerne om, at de har ret i indsigt i personoplysninger som en dataansvarlig behandler om dem, så er det et helt naturligt element i en informationskampagne om GDPR.

Hvis altså den danske regering havde sat midler af til en sådan kampagne... (hvilket ikke er tilfældet).

Retten til indsigt har i øvrigt eksisteret siden 1987 for private edb-registre (og længere for offentlige registre).

Virksomheder som behandler personoplysninger vil være nødt til at instille sig på langt mere transparens om hvad de laver, herunder fortælle folk hvilke oplysninger der er registreret om dem.

Jacob Hvam

Kender godt fornemmelsen af, at man skal levere alle sine pointer (og tak for godt indspark) Men, den klart vigtigste drukner lidt. Nemlig at GDPR i hvert tilfælde på kort sigt risikerer at tilgodese de store giganter, da vi er afh af deres services. Modsat denne tråd, sorry. Et ex er min irritation over at Endomondo vil ha mig til at acceptere, at mine data sendes til US. I forsøget på at finde løbe-app der gemmer data i EU, gik min vej via nærmest samtlige tech-giganters søge- og socialplatforme, hvor jeg så sku godkende tæt på samme betingelser. Læs; jeg gav op. Ligesom de fleste andre givetvis.

Bjarne Nielsen

Må jeg tilføje, at dommen efter sigende lagde vægt på, at Wirtschaftsakademie Schleswig-Holstein modtog detaljerede oplysninger om brugerne af deres Facebookside, og derfor ikke kunne være uvidende om, at der blev indsamlet personoplysninger af Facebook. En indsamling, som ikke kunne fravælges.

Man kan ikke out-source ansvar.

PS: Jeg har ikke studeret dommen, men baserer mig på flg. artikel i Süddeutsche Zeitung, som har en lidt anden vinkel end den i de danske medier fremherskende.

Bjarne Nielsen

https://www.information.dk/2018/06/information-droppede-facebook-tre-uge...

Interessant apropos til den "link skat", som i disse dage rammer EU parlamentet (sammen med en række andre - efter min mening - pænt dårlige ideer). Man vil gøre det ulovligt at linke til nyheder uden at have fået lov af udgiveren, "for at redde medierne", men Informations eksperiment viser med al tydelighed, at medierne er afhængig af opmærksomheden.

Får det lov at gå igennem, så ville Version2 skulle stoppe os i at linke til Information på ovenstående måde (medmindre at de har fået lov af Information).

Det virker igen til, at "mørkekammeret" i Kommision og Ministerråd er en rugekasse for dårlige ideer og snævre særinteressers lobbyisme, og at det er hit-or-miss, om det kan rettes op, når det kortvarigt rammer dagslyset i Parlamentet. Sørgeligt nok, er det ikke meget anderledes end, hvordan politik forgår her i landet.

Der er mange kilder, f.eks. denne (hun er politiker, og derfor per definition ikke upartisk): https://juliareda.eu/eu-copyright-reform/

Hans Nielsen

. Et ex er min irritation over at Endomondo vil ha mig til at acceptere, at mine data sendes til US.


Hvis de overholder love og regler for det samt GDPR, så er det intet problem i det.
Men der er mange potente retssager på vej :-)

Men jeg synes du skal søge aktindsigt, og se om de overholder svartider og får sendt dig alt den information som de skal. Samtidigt kan man måske lave en side hvor mistanke om overtrædelse er stor.. Eller give et hint og hjælp til Max Schreems og hans organisation. Det kan godt være der ikke sker noget i morgen, og retssystemet arbejder langsomt. men hvis sagen mod facebook og de andre vindes. Så tager man jo bare og arbejder sig ned på listen med sagsanlæg, og på et eller andet tidspunkt, så kommer man også til Endomondo.

Er med på at de fleste store som udgangspunkt er uetiske og umoralske og ikke overholder loven, hvis det kan betale sig. Som med skatteunddragelse, miljø og her data etik.. Men hvis prisen for overtrædelse stiger som det jo gør nu. Så kan det være at det på sigt kan betale sig at overholde lovgivningen.
Ellers skal prisen for overtrædelse op, som fængselsstraffe til de ansvarlige og ledelse samt evt inddragelse af tilladelse eller tvangsopløsning. - Det tænkes ud over GPDR, også på SKAT og miljølovgivning.

Som et eksempel på et firma, som er sluppet alt for nemt i EU, er der folkevogn med deres "miljø" software.

Gert Madsen

Det virker igen til, at "mørkekammeret" i Kommision og Ministerråd er en rugekasse for dårlige ideer og snævre særinteressers lobbyisme


Nu er et af problemerne jo at vore hjemlige politikere og myndigheder bruger deres tid og kræfter på at spænde ben for privatlivsregler. Hvis man i stedet havde brugt kræfterne på at beskrive en fornuftig implementering af reglerne, så tror jeg vi var sluppet for disse mailstorme, og generende cookie-beskeder.

Kasper Hansen

Dine punkter (mål) 2 og 6 er det rene vrøvl. Facebook flytter ikke deres aktiviteter ud af Irland, for uden datalagre i EU kan de godt opgive at udbyde deres tjeneste i EU.

Og din påstand om at de bare skulle trække sig ud af EU - med nogen amerikanske aviser som bevis - er helt ude i hampen. Jeg ved ikke hvor stor en del af Facebooks omsætning der pt kommer fra EU, men jeg ved at der bor flere mennesker og er flere penge at tjene end i USA. Hvis Facebook reelt har så lille en del af sin indtægt fra EU pt så er det fordi de er et oprindeligt amerikansk selskab - men det betyder også at deres vækst muligheder i USA er stort set udtømte, mens EU er et vigtigt vækstområde for dem.

At påstå at et par amerikanske aviser uden nogen interesser i EU overhovedet skulle være sammenligneligt med Facebook er så latterligt at det undergraver hele din blog - også selvom nogen af dine andre punkter er mere interessante.

Thomas Toft

DI har en klar sang om dette. "Det nye er, at samtykket skal være utvetydigt! Samtykket er utvetydigt, når de registrerede foretager en bekræftende handling, som tilkendegiver, at de registrerede accepterer den konkrete behandling af personoplysningerne til det konkrete formål.

Og man skal have adgang til siden selvom man siger nej til tracking m.m. Det "glemmer" DI (selvfølgelig).

Log ind eller Opret konto for at kommentere