Denne blogpost er inspireret af Jesper Løffler Nielsens nylige blogpost som fokuserer på hvordan GDPR sætter restriktioner for brugen af en række gængse værktøjer og mekanismer i forbindelse med "moderne hjemmesider". Det er en helt valid juridisk problemstilling, som selvfølgelig er meget relevant for virksomheder, der bevidst eller ubevidst har gjort sig afhængige af disse værktøjer og mekanismer.
Jeg vil imidlertid forsøge at anskue GDPR's rolle fra et andet perspektiv, nemlig det politiske. Formålet med lovgivning som GDPR er først og fremmest at påvirke den overordnede udvikling og styring af vores samfund. Men når man vil gennemføre større ændringer, kræver det tid til omstilling. Og mangel på omstillingsparathed fører til forsøg på omgåelse af de overordnede retningslinier og dermed behov for detailstyring af lovgivningen og dens fortolkning.
Forestil dig f.eks. at man i en provinsby er træt af at kæmpe arealer er lagt ud til parkeringspladser og hellere vil skabe rekreative arealer for borgerne. Man henviser i stedet biler til at holde på en parkeringsplads ved omfartsvejen uden for byen, bortset fra korttidsparkering. Nu er kreativiteten stor blandt de borgere og virksomheder, der ønsker at alt skal forblive som hidtil. Nogle opfinder mulighed for hurtig afklikning af 2 hjul, når bilen parkeres, da den jo så må betragtes som en motorcykel eller scooter. Andre opfinder smarte rullestande, så bilerne kan fortsætte med at køre på stedet, når de forlades. Alle disse moderne tiltag for at undgå parkeringsbegrænsningerne resulterer dog til innovatørernes store fortrydelse gentagne gange i forbudsdomme.
Det samme principielle billede genkender de fleste nok fra skattelovgivningen. Som virksomhed bør man derfor finde balancen mellem indsatsen på at modsætte sig omstillingen til ny forretningsvilkår og forsøg på bedst muligt at positionere sig under de ny markedsvilkår. I eksemplet her muligvis ved at sikre sig plads til en ny filial ved parkeringspladsen på omfartsvejen.
I GDPR sammenhæng kan man som undskyldning for virksomhederne sige at de fleste gradvis har ladet sig indrullere i et økosystem, som de færreste på forhånd har kunnet gennemskue, og som det som enkeltvirksomhed i dag er praktisk taget umuligt at stå uden for. Måske har det også virket som en sovepude at persondatadirektivet fra 1995, den tilhørende persondatalov samt "cookie-direktivet" fra 2009 generelt kun blev tolket som forblommede hensigtserklæringer. GDPR er primært blot en præcisering og indskærpelse af den overordnede kurs, der blev udstukket allerede i 1995. Men politisk er den med bødetruslerne et vink med en vognstang, om at der nu omsider skal rettes ind.
I denne sag har myndighederne desuden længe holdt sig fra at diktere specifikke løsningsalternativer. Det er netop det, erhvervslivet altid skriger efter: "Vi vil selv". Men i dette tilfælde har man så fuldstændig negligeret selv at fremdrive løsninger der sigter mod at tilgodese EU's målsætninger med hensyn til persondatasikkerhed og et åbent "Digital Single Market". Selvom der har været mange skåltaler - også fra erhvervsorganisationer - om at Europa skulle være førende mht såvel digitale markeder som privatlivsbeskyttelse.
Det er i det lys, man nu skal se EU’s data strategi og de mange ny relaterede forordninger som yderligere motivation til at stræbe mod Europas tredje vej. En vej, der for virksomheder og forbrugere udgør et forretningsmæssigt ekstremt attraktivt alternativ til såvel den kinesiske statsstyrede model og den amerikanske techgigant dominerede model. Altså endnu et beskedent, men lidt mere målrettet puf i den ønskede retning.
Når man som Jesper stiller spørgsmålet: "Er GDPR ved at ødelægge moderne hjemmesider?" bør man derfor også stille modspørgsmålet "Er techgigant dominerede økosystemer ved at ødelægge fri og innovative markeder?". I dag er der jo blandt mange virksomheder opstået en næsten lige så stor skepsis over for platforme som Google, Amazon og Facebook, som over for GDPR. Mange konstaterer at omkostningerne stiger, mens effektiviteten falder.
For at kunne besvare disse spørgsmål, er det nødvendigt at se mere detaljeret på dataflowet i henholdsvis techgigant-drevne økosystemer og de åbne datadelings-systemer, EU nu presser for at få realiseret. Herunder specielt hvilke data, det er nødvendigt eller fordelagtigt at kunne opsamle som forretningsdrivende.
I den fysiske verden har vi som forbrugere været vant til at kunne handle uden anden registrering end de ihændehavertokens (penge hhv. kvittering) vi udveksler med virksomhederne. I visse tilfælde indgik et subjektivt skøn af vores alder. Kun når vi pådrog os kontraktlige eller lovgivningsmæssige forpligtelser, var det nødvendigt at udveksle persistente ID-oplysninger.
Når vi handler online, stiller det sig overraskende helt anderledes, som det fremgår af de videoer, jeg linkede til i min forrige blogpost. Det ekstra behov for data skyldes imidlertid dels teknisk umodenhed og dels den platformsbaserede forretningsmodel. Her er nogle af de primære årsager til indsamling af oplysninger om forbrugere:
Teknisk umodenhed (manglende dataminimering)
Betalingsoplysninger: I fraværet af digitale penge, som kan overføres direkte fra køber til sælger - svarende til sedler og mønter i den fysiske handel - overfører vi beløb indirekte ved at købers krav mod sin bank omveksles til et tilsvarende krav fra sælger mod sin bank. Det sker yderligere gennem en kompliceret kæde af støttevirksomheder. Derfor bliver det pludseligt essentielt med strenge identitetstjek hele vejen igennem denne kæde for at undgå svindel. Der har været snak om både "tokenization" og digitale kontanter de seneste 20 år, men endnu dominerer løsninger, hvor virksomheder har adgang til hele eller dele af forbrugerens unikke kort- eller kontonummer.
Leveringsoplysninger: Det er kun er den vognmand, der står for leveringen (i Danmark typisk PostNord, DAO eller GLS), der behøver at kende forbrugerens adresse eller foretrukne afhentningssted. Butikken har kun behov for det unikke pakkenummer, som forbrugeren trækker hos vognmanden (helt analogt til "tokenization" for betalinger)
Kontaktoplysninger: Selvom der er tekniske løsninger til at undgå det, er det stadig normen at forbrugere til sælger afgiver persistente personhenførbare kontaktoplysninger som emailadresse og telefonnummer samt implicit diverse netværks- og device relaterede tekniske oplysninger.
Forretningsmodel baseret på intransparens
Mangel på synlighed (dvs. umiddelbar datatilgængelighed) af webbutikkerne og deres produkter/tjenester, som jeg fokuserede på i ovennævnte blogpost er dog det klart væsentligste problem med online handel. Forretningsmodellen bag platformsbaserede økosystemer er at aggregere alle udbuds- og efterspørgselsdata centralt og auktionere potentielle matches mellem udbud og efterspørgsel i mikroskopiske bidder, så andre ikke kan skabe sig det samme overblik over markedet som helhed. Auktionsmetoden bevirker at dataformidlingen bliver ekstremt omkostningstung - typisk på 20-40% af salgsprisen for varer og tjenester. Og virksomhedernes incitament til at differentiere sig på f.eks. innovation eller kundeservice drukner i forholdet til fokus på blot at blive synliggjort for brugerne af platformen.
Profilering er virksomhedernes naturlige reaktion på de høje platformsgebyrer. Det gælder om at målrette indsatsen så præcist som muligt mod de forbrugere, virksomheden vurderer at have størst chance for at sælge til. Det kræver opsamling af så mange oplysninger om hver enkelt forbrugers færden og præferencer som muligt. Når mængden af cookies og andre sporingsteknologier eksploderer, er det således et tegn på at platforms-økosystemet er ved at nå en praktisk grænse for sin skalering.
Fastholdelse af kunder er en anden måde at reducere platformsomkostningerne. Målet er at kunderne ved efterfølgende købsbehov går direkte til virksomheden udenom platformene. I en del tilfælde kan tiltag som f.eks. god kundeservice og abonnementsordninger være til fordel for både virksomhed og forbruger. Man risikerer dog også at forbrugeren i stedet oplever det som uønsket "omklamring" i form af spam, snagen i deres privatliv og medlemstilbud med priser, der ligger langt over de generelle markedspriser.
Mangler stadig de væsentligste forretningsmæssige data
På trods af alle disse privatlivsindgribende forhold, står virksomhederne stadig tilbage uden de mest væsentlige oplysninger for at drive deres forretning: Det fulde overblik over udbud og efterspørgsel i deres marked, som er essentielt for både operationel planlægning og for innovationsindsats. Det overblik har de dominerende platforme, hvilket sætter dem i en meget favorabel position i forhold til de øvrige virksomheder, der sælger gennem dem.
Og fra et forbrugerperspektiv ser vi desværre samtidigt at mange af sporings- og profileringstiltagene fra "moderne hjemmesider" migrerer til den fysiske verden, så det er et spørgsmål om tid før vi skal læse og acceptere alenlange privatlivspolitikker hver gang vi træder ind i en ny fysisk butik.
I del 2 af denne blogpost vil jeg gennemgå hvordan skiftet fra platformsøkonomi til EU's ny åbne datadelingsøkonomi påvirker dataflowet mellem forbrugere og virksomheder til gavn for begge parter, men også hvilke krav det samtidigt stiller til virksomheder, forbrugere og infrastruktur.
Hvis du mener, der er andre typer data og/eller forhold end ovenstående, der bør inddrages i del 2, må du meget gerne kommentere det her.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
