The rise and fall of Facebook – kan GDPR gøre kål på dette monster?

Hej Martin

Det er nok ikke sandsynligt at den nye lovgivning gør kål på monsteret - men måske vil den decimere den lidt.

Jeg tror i hvert fald ikke på at Facebook (og mange andre) kan overleve uændret efter 25. maj. Der vil blive nødt til at ske ændringer - også mange flere end de allerede har implementeret.

Men vi bliver allesammen meget klogere når de første bøder er faldet efter 25. maj.

Den dag ender måske med at blive en mærkedag fremover, så den ikke kun er håndklædedag (ved du hvor dit håndklæde er?)

M.v.h.
Olav

Min egen dystopiske forventning er nok nærmere, at når konsekvenserne har ramt de første virksomheder, vil vi se en bølge af "du bliver nødt til at logge ind og give os ordentligt samtykke".
Selv i de tilfælde vil det være svært at argumentere for at det er ok at finansiere sin forretningsmodel med udveksling af de store persondata klumper, som der betales med for hver sidevisning (hos fx Version2).

Så her kommer min dystopiske forudsigelse så ind i billedet... jeg kunne nemlig godt frygte at alternativet så i stedet bliver at Facebook og Google får styrket deres monopol ved at være de eneste der kan udveksle dine data for nyhedsmedier osv.

Vores alternativer kunne meget vel ende med at være:
1) Log ind og betal med penge på Version2
2) Log ind i Facebook og få vist Version2's nyheder i Facebook - du betaler med dig selv

I alternativ 2 overtager Facebook den samlede data-brokering og har fuldstændig viden om dig (men udveksler ikke med andre, for det må de jo ikke) - du kan acceptere alternativ 2 eller betale direkte i alternativ 1. Jeg frygter at alternativ 2 bliver weapon of choice for mange.
Det er lidt samme ting vi ser på de markeder, hvor Amazon har etableret sin markedsplads - virksomhederne får ikke adgang til data om egne kunder, de får bare lov til at acceptere betingelserne eller at leve med den decimerede kundemængde der handler direkte hos dem.

“Det undrer mig dog, at alle de kedelige sager, som har været i den seneste tid ikke har påvirket Facebooks aktiekurs mere? Burde de ikke være i frit fald?”

Det er fordi der ikke har været nogle sager
Ja, der har været nogle dumme mennesker der har fundet ud at det koster penge at køre facebook, og de penge skal jo komme et eller andet sted fra, men udover det er der ikke sket noget

Og hvis folk skal holde op skal der jo være et alternativ

TL;DR Nej

Løfter Facebook sig bare som en fugl Phønix og får juristerne til at skrive nogle nye samtykkeerklæringer, hvor vi alligevel forsætter som om intet var hændt? Eller finder Facebook bare noget andet at leve af?

Facebook har indtil nu lukreret på brugernes afhængighed af tjenesten, og at Facebook kunne præsentere brugerne for et sæt "take it or leave it" aftalevilkår. Du kan ikke kommunikere med dine venner, hvis du ikke accepterer totalovervågning og at Facebook må bruge enhver information, som kan indsamles om dig, til målrettede reklamebudskaber.

Den strategi går ikke længere i Europa.

GDPR strammer kravene til et frivilligt samtykke. Artikel 7, stk, 4 siger for eksempel, at et samtykke ikke kan anses for at være frivilligt, hvis levering af en tjeneste gøres afhængig af samtykke til behandling af personoplysninger, som ikke er nødvendige for denne tjeneste.

En totalovervågning af brugernes adfærd online med henblik på kommerciel profilering og visning af målrettede reklamer er en så omfattende behandling af personoplysninger, at der næppe kan være noget andet behandlingsgrundlag end samtykke (det eneste alternativ, legitim interesse, vil næppe overveje balanceringstesten).

Facebook er en kommunikationstjeneste. Behandling af personoplysninger til målrettede reklamer er ikke nødvendigt for at levere denne tjeneste. På grund af artikel 7, stk. 4 kan Facebook derfor ikke gøre brugen af Facebook afhængig af, at brugerne accepterer et samtykke til målrettede reklamer. Det skal præsenteres som et særskilt samtykke, som brugerne kan sige ja eller nej til.

GDPR stiller generelt krav om granularitet i samtykke. Forskellige behandlingsformål (der kræver samtykke) skal præsenteres som særskilte punkter, som der kan siges ja eller nej til.

Næste problem for Facebook: mange brugere klikker bevidstløst OK til hvad som helst, så Facebook kunne vel præsentere dem for en samtykkeerklæring, hvor alle ja-felterne er forudafkrydset?

Nej, det kan Facebook ikke. Der står eksplicit i GDPR, at samtykke ikke er gyldigt, hvis det præseneres med forudafkrydsede felter. Det samme gælder passivitet, som "ved at blive på dette website accepterer du totalovervågning, som deles med ukendte tredjeparter". Det er heller ikke et gyldigt samtykke om seks dage og to timer.

Og Facebook kan ikke bare være ligeglade og henholde sig at brugerne har klikket OK, og så må det være frivilligt (ellers ville de ikke gøre det, ha ha).

Nope.. Hvis ikke betingelserne for et frivilligt samtykke er overholdt, er samtykket ikke gyldigt. Det betyder at Facebook ikke har et retlig grundlag for at behandle de nævnte personoplysninger. Eller sagt med andre ord: Facebook behandler personoplysninger ulovligt, hvilket kan sanktioneres med bøder på op til 4% af den globale omsætning.

Ansigtsgenkendelse vil volde Facebook nogle helt særlige problemer, men lad os gemme det til en anden gang (se her).

Har Facebook anerkendt alt dette og rettet ind, så Facebook overholder GDPR fra 25. maj?

Nej, absolut ikke. Facebook har nærmest ikke gjort andet end at flytte et par kommaer i Facebook's brugerbetingelser og måske gjort dem lidt mere læselige. Der er på ingen måde tale om at give Facebook brugerne den kontrol med deres personoplysninger, som GDPR kræver.

Vil Facebook slippe af sted med dette? Time will show, men der er temmelig mange som står parat til at gå i flæsket på Facebook efter den 25. maj. Det gælder både privatlivsaktivister i Østrig (Noyb) og andre EU-lande, men formentlig også datatilsynsmyndigheder i lande som Tyskland, Frankrig og Belgien, som tidligere har kørt sager mod Facebook under deres nationale persondatalove.

En af de mange oversete detaljer ved GDPR er at sager mod Facebook fremover ikke bare skal afgøres af det irske datatilsyn. Fordi Facebook har brugere i hele EU, skal sagerne behandles af det Europæiske Databeskyttelsesråd, den nuværende Artikel 29 Arbejdsgruppe, men fremover langt mere magtfuld.

Og alle personer i EU få gavn af afgørelserne. I dag er det sådan, at når belgiske domstole afsiger domme om at Facebook's cross-website tracking og cookie-misbrug er ulovlig, så gælder denne afgørelse kun i Belgien for belgiske Facebook brugere. Fremover bliver det afgørelser efter en fælles EU-lovgivning, og afgørelsene gælder i hele EU (med et lille forbehold indtil e-privacy direktive og cookie-reglerne er erstattet af e-privacy forordningen).

Vil dette påvirke Facebook's aktiekurs? Igen: time will show..

Når Facebook er banket på plads og overholder GDPR, vil der formentlig være en del europæiske brugere som siger nej til totalovervågning og målrettede reklamer. Det kan meget vel skade Facebook's indtjening i Europa, men de 300 millioner (?) Facebook brugere i EU/EØS udgør trods alt kun 15% af Facebook's samlede brugerbase.

Som en del af GDPR-forbedelserne, fik Facebook pludselig meget travlt med at meddele, at Facebook-brugere uden for EU/EØS ville blive flyttet ud af Facebook Ireland Limited, hvor de ellers har været i mange år. Nok ikke fordi Facebook elsker den europæiske databeskyttelseslovgivning, men Facebook elsker den lave irske selskabsskat.

Det handler om, at Facebook ikke vil være mere forpligtet af GDPR end nødvendigt. Mens Zuckerberg til høringer i Kongressen siger, at Facebook-brugere i hele verden vil få de samme privacy-indstillinger (spin spin spin, men medierne åd det råt), er det altså reelt kun bindende (og til gavn for brugerne) i EU. I den øvrige del af verden, vil Facebook kun overholde GDPR, hvis det passer Facebook.

De 1,5 mia Facebook brugere i Facebook Ireland Limited, som er uden for EU/EØS, har indtil nu haft de samme databeskyttelsesrettigheder som personer i EU, fordi den irske persondatalov var gældende for alle brugere. Fra 25. maj 2018 bliver Facebook nødt til at tage skeen i den anden hånd for EU-brugere af Facebook, men til gengæld slagtes alle rettigheder for de 1,5 mia ikke-EU brugere uden for USA/Canada (som har deres aftale med Facebook Ireland Limited).

Det sidste kunne i sig selv sagtens forklare hvorfor Facebook's aktiekurs ikke falder. Selv om misbrugsmulighederne overfor EU-brugere vil blive indskrænket voldsomt på grund af GDPR, vil Facebook få flere muligheder for at udbytte Facebook-brugere uden for EU.

Jesper Lund
Formand, IT-Politisk Forening

Har funderet. Måske Jesper Lund fra Formand, IT-Politisk Forening kan hjæpe.

Hvad med Google og deres platform på Android, google play ?

Har de ikke et ansvar for at de programmer vi kan tilgå som Europærer overholder GDPR. Så Kinesiske applikationer til diverse smart IOT eller lommelygte aplication med krav om adgang til Kontaktpersoner, må vel være en saga efter den 25 Maj 2018. Eller så risikere de vel som 3 part, eller ansvarlig for platformen at blive straffet ?

Så enten må de se at få ryddet gevaldigt op i deres store. eller risikere en bøde ?

Formoder også at Sony, Samsung og de andre telefon producenter, som så gerne vil lave deres egne stores og sælge software. Får krav om email, registrering og adgang til telefonen fjernet fra deres software ?

Microsoft må også være betænkelig, ved den malware som de levere deres produkter med, især når vi taler opdatering ?

“Artikel 7, stk, 4
som ikke er nødvendige for denne tjeneste.”
Men da facebook lever at sælge data, er din data nødvendig for tjenesten

“Facebook er en kommunikationstjeneste.”
Forkert, Facebook er et Anonnence netværk,

“Behandling af personoplysninger til målrettede reklamer er ikke nødvendigt for at levere denne tjeneste.”
Forkert, Hvis du lever at sælge personlige reklamer, er personlige oplysninger nødvendige

“Der står eksplicit i GDPR, at samtykke ikke er gyldigt, hvis det præseneres med forudafkrydsede felter”

Bruger du overhoved facebook ?
Jeg gætter på Nej!
Da jeg startede Appen op for nyligt, kom der netop en masse spørgsmål, som ikke var forudkrydsede

Men vi ved også godt, at Facebook sælger mere end bare adds. De sælger store klumper af data. Cambridge Analytica, som nu er opløst, er ikke et enkeltstående eksempel.

Det er ganske enkelt forkert. Facebooks forretningsmodel går på at vide en masse om os sådan at de kan levere ekstremt målrettede reklamer. De har ingen interesse i at sælge data for det tillader andre at lave målrettede reklamer udenom facebook.

Lækket af data gennem facebooks API var ikke noget Facebook tjente (store) penge på. Måske var det derfor de opførte sig næsten kriminelt dumt da de blev gjort opmærksom på overtrædelser ifbm. licensbetingelserne. En anden årsag var nok at de ikke anså privacy som vigtigt.

Derfor kommer GDPR kun til at hjælpe Facebook og Google med at opretholde deres (næsten-) monopoler. Forbuddet mod at indsamle oplysninger om folks generelle færden på nettet vil gøre det endnu sværere for konkurrenter at komme ind på markedet. De eksisterende mastodonter vil kunne leve fint af den viden om brugerne deres egne websites genererer når brugere "liker" frisører, politikere, kattevideoer og dvæler over historier om veteranbiler.

(I øvrigt er jeg alvorlig bekymret over hvad specielt facebook gør ved vores demokrati med deres ekstremt målrettede reklamer ... det har bare ikke noget at gøre med at sælge data)

Jeg tror simpelthen ikke på, at Facebook giver denne viden (som er deres kronjuvel) ud til at andre uden at få noget igen. Deraf "sælge".

Det som Facebook primært får igen når folk bruger deres API er mere viden.

Her er i øvrigt en god beskrivelse af hvad der skete:

... As has been widely reported, the original data set was collected by Global Science Research (GSR), a small firm belonging to University of Cambridge quantitative psychologist Aleksandr Kogan, for SCL, the parent company of Cambridge Analytica. Kogan used a personality quiz named “thisismydigitallife,” hosted on Facebook, to obtain access to the Facebook profiles of the 270,000 people who took the quiz. That allowed him to use Facebook’s API—which was then much more permissive than it is today—to scrape the data of their Facebook friends, allegedly a total of 87 million. (That’s much more than the 30 million profiles that SCL says it contracted for.) Cambridge Analytica then combined the Facebook data with other data sets to build robust, integrated profiles of 30 million US voters.

...

However, though Cambridge Analytica built profiles of 30 million US voters, its central goal wasn’t to craft ads targeted at those people. Rather, the models it built from that much smaller cohort of 270,000 quiz-takers would allow an advertiser to create proxy profiles of much larger collections of similar people on Facebook. This capability is what enabled the company to craft ads precisely targeted at small groups of voters based on personality traits. And it continues to exist even after the original data is deleted.

(kilde: https://www.technologyreview.com/s/610801/facebook-may-stop-the-data-lea...)

Og det er kernen: Kogan lavede en test som 270000 brugere udfyldte. Det kunne så korreleres med facebooks data og på den måde finde dem der var billigst at flippe bland de 30 mill.

Muligheden for at korrelere mellem andre test og facebook vil stadigvæk være muligt under GDPR hvis brugeren giver adgang. Hvis man smider tilstrækkeligt data væk til at man ikke kan finde tilbage til personen, så kan man gemme lige hvad man har lyst. Og på den måde lave micro-targetting til den store guldmedalje ...

Hvis man smider tilstrækkeligt data væk til at man ikke kan finde tilbage til personen,

Det er jeg nu ikke så sikkert på. Der skal stadig samtykke til fra samtlige. Og da du også stadig har pligten til at kunne fjerne, den også "anonyme" data fra dine data sæt. Sammen med det at du ikke kan dele med 3 part, så kan du ikke få adgang til andre test data, som du hentyder til. Hvis man samtidigt skal overholde de regler der kan give 4%. (den dyre overtrædelse)

Men jeg ved det ikke Michael, det gør andre sikkert heller ikke endnu, det kræver nok nogle domme og sager, før loven og brugen er helt på plads.

Men hvis det er som du skriver. at data er helt anonym, og ikke kan bruges til at tage, eller på anden måde komme tilbage til brugerne. På nogen som helst måder. Så har de data som jeg ser det, ikke så meget kommerciel værdi ? Men de kan bruges til søgning og i forsknings øjemed. Noget som jeg så synes, inden for kontrolleret rammer, er ok.

Det er jeg nu ikke så sikkert på. Der skal stadig samtykke til fra samtlige. Og da du også stadig har pligten til at kunne fjerne, den også "anonyme" data fra dine data sæt.

Uddrag af GDPR regulativet:

The principles of data protection should apply to any information concerning an identified or identifiable natural person.

...

The principles of data protection should therefore not apply to anonymous information, namely information which does not relate to an identified or identifiable natural person or to personal data rendered anonymous in such a manner that the data subject is not or no longer identifiable.

kilde

Jeg læser det som at man godt må beholde data når det først er anonymiseret (men skal være rigtigt anonymiseret ... ikke sådan som sundhedsdatastyrelsen gør det).

Men hvis det er som du skriver. at data er helt anonym, og ikke kan bruges til at tage, eller på anden måde komme tilbage til brugerne. På nogen som helst måder. Så har de data som jeg ser det, ikke så meget kommerciel værdi ? Men de kan bruges til søgning og i forsknings øjemed. Noget som jeg så synes, inden for kontrolleret rammer, er ok.

Det kan bruges til at lave modeller over folks holdninger. Og det var præcist det som Cambridge Analytica brugte det til. De var ligeglade med hvem personerne var. Men de var ret glade for at have 270.000 detaljerede udfyldte "spørgeskemaer" som de kunne korrelere med udfylderens facebook data. Ved at mine det data kunne de måske se at folk på landet som så på kattevideoer, var over 60 år, ingen familie havde ved USA's kyster, ... var i midtersegmentet som kunne gå til begge sider. Og så kunne man lave reklamer til netop den slags mennesker ... med lige præcist det indhold som ramte deres følelser lige på.

GDPR er bare en forsinket politisk "patch" på et langt større problem. Jeg har valgt en mere direkte teknisk løsning for at blokere både FB og Google. Kan sagtens leve udenfor deres selvetablerede overvågnings-økonomi. Vil hverken direkte eller indirekte bidrage til disse vampyr-virksomheders indtjening. Derfor, som en first-line-of-defense har jeg tilføjet følgende blokeringslister til hosts filen og anbefaler andre at gøre det samme:

https://raw.githubusercontent.com/jmdugan/blocklists/master/corporations...

https://raw.githubusercontent.com/jmdugan/blocklists/master/corporations...

https://raw.githubusercontent.com/jmdugan/blocklists/master/corporations...

https://raw.githubusercontent.com/jmdugan/blocklists/master/corporations...

Hvis nogen kender til flere sådanne blocklists, må I gerne poste dem her.

Droppede hurtigt FB efter at have læst deres privatlivspolitik (ja, det hele). Alternativer til den smule jeg ellers brugte Google til: duckduckgo.com & openstreetmap.org

Og der ikke har er en hardcore IP programmeret ind, et eller andet sted.

Men hvis man så kun tillader adgang til IP, som har været igennem navneopslag, så skulle det være løst. Synes nu et fornuftigt valg af OS og Browser i forening med et par adon, og fravalg af flash og java. Samt begrænsninger i Java(script) er nok. Det betyder også en højere sikkerhed på andre sider.

Tja, jeg ved ikke om der bliver gjort kål på monsteret, men brugerne er i hvert fald stille og roligt på vej væk:

https://www.bloomberg.com/news/articles/2018-05-31/america-s-teens-are-c...

https://www.alexa.com/topsites/countries/US
(reddit har lige overhalet Facebook)

Og så er der div. retssager, f.eks. denne her:
https://www.eastbaytimes.com/2018/04/17/facebook-photo-scanning-lawsuit-...

Men der går nok lidt tid endnu, før de er helt i knæ :-)

Olav

Tak for en glimrende beskrivelse af Facebook med udgangspunkt i virksomhedsmodellen. Det fortæller jo tydeligt, hvorfor det aldrig vil lykkes at regulere Facebook til noget, der ikke har så voldsom en indflydelse på så mange mennesker og i den proces bruger de data som privatpersoner mere eller mindre ubekymret oplyser. Og i øvrigt tak for mange gode kommentarer.
Og det siger jo også at alternativet til Facebook ikke er en anden mastodont, men er nødt til at være en decentraliseret tjeneste, hvor ejerskabet over data er reguleret af et kundeforhold eller en demokratisk struktur, fx beboerforeninger, lokalråd, fagforeninger o.s.v. Men disse decentraliserede strukturer skal selvfølgelig være i forbindelse med hinanden, så jeg stadig kan være ven med min fætter i Ringkøbing og min skolekammerat i DaDL og så videre.
Og systemet findes, faktisk næsten for mange af dem. Fx diaspora* (der benytter OStatus protokollen) og Mastodon (der benytter ActivityHub), men der er dog flere ulemper ved disse, der gør dem mindre hensigtsmæssige. (Vi har skrevet lidt mere om det, inkl adgang til testsites, her: http://www.okedb.dk/?s=facebook+alternativ). Men det rigtige distribuerede alternativ skal nok komme: Facebook har vist at der er behov for sociale netværk og at en løsning, hvor en enkelt virksomhed kan få Jorden til at dreje den anden vej rundt, ved at sige "Hop", nok ikke er sagen.