Dette indlæg er alene udtryk for skribentens egen holdning.

GDPR og Europas "tredje vej" (del 1 af 2)

9 kommentarer.  Hop til debatten
Blogindlæg18. marts kl. 07:00
errorÆldre end 30 dage

Denne blogpost er inspireret af Jesper Løffler Nielsens nylige blogpost som fokuserer på hvordan GDPR sætter restriktioner for brugen af en række gængse værktøjer og mekanismer i forbindelse med "moderne hjemmesider". Det er en helt valid juridisk problemstilling, som selvfølgelig er meget relevant for virksomheder, der bevidst eller ubevidst har gjort sig afhængige af disse værktøjer og mekanismer.

Jeg vil imidlertid forsøge at anskue GDPR's rolle fra et andet perspektiv, nemlig det politiske. Formålet med lovgivning som GDPR er først og fremmest at påvirke den overordnede udvikling og styring af vores samfund. Men når man vil gennemføre større ændringer, kræver det tid til omstilling. Og mangel på omstillingsparathed fører til forsøg på omgåelse af de overordnede retningslinier og dermed behov for detailstyring af lovgivningen og dens fortolkning.

Forestil dig f.eks. at man i en provinsby er træt af at kæmpe arealer er lagt ud til parkeringspladser og hellere vil skabe rekreative arealer for borgerne. Man henviser i stedet biler til at holde på en parkeringsplads ved omfartsvejen uden for byen, bortset fra korttidsparkering. Nu er kreativiteten stor blandt de borgere og virksomheder, der ønsker at alt skal forblive som hidtil. Nogle opfinder mulighed for hurtig afklikning af 2 hjul, når bilen parkeres, da den jo så må betragtes som en motorcykel eller scooter. Andre opfinder smarte rullestande, så bilerne kan fortsætte med at køre på stedet, når de forlades. Alle disse moderne tiltag for at undgå parkeringsbegrænsningerne resulterer dog til innovatørernes store fortrydelse gentagne gange i forbudsdomme.

Det samme principielle billede genkender de fleste nok fra skattelovgivningen. Som virksomhed bør man derfor finde balancen mellem indsatsen på at modsætte sig omstillingen til ny forretningsvilkår og forsøg på bedst muligt at positionere sig under de ny markedsvilkår. I eksemplet her muligvis ved at sikre sig plads til en ny filial ved parkeringspladsen på omfartsvejen.

Artiklen fortsætter efter annoncen

I GDPR sammenhæng kan man som undskyldning for virksomhederne sige at de fleste gradvis har ladet sig indrullere i et økosystem, som de færreste på forhånd har kunnet gennemskue, og som det som enkeltvirksomhed i dag er praktisk taget umuligt at stå uden for. Måske har det også virket som en sovepude at persondatadirektivet fra 1995, den tilhørende persondatalov samt "cookie-direktivet" fra 2009 generelt kun blev tolket som forblommede hensigtserklæringer. GDPR er primært blot en præcisering og indskærpelse af den overordnede kurs, der blev udstukket allerede i 1995. Men politisk er den med bødetruslerne et vink med en vognstang, om at der nu omsider skal rettes ind.

I denne sag har myndighederne desuden længe holdt sig fra at diktere specifikke løsningsalternativer. Det er netop det, erhvervslivet altid skriger efter: "Vi vil selv". Men i dette tilfælde har man så fuldstændig negligeret selv at fremdrive løsninger der sigter mod at tilgodese EU's målsætninger med hensyn til persondatasikkerhed og et åbent "Digital Single Market". Selvom der har været mange skåltaler - også fra erhvervsorganisationer - om at Europa skulle være førende mht såvel digitale markeder som privatlivsbeskyttelse.

Det er i det lys, man nu skal se EU’s data strategi og de mange ny relaterede forordninger som yderligere motivation til at stræbe mod Europas tredje vej. En vej, der for virksomheder og forbrugere udgør et forretningsmæssigt ekstremt attraktivt alternativ til såvel den kinesiske statsstyrede model og den amerikanske techgigant dominerede model. Altså endnu et beskedent, men lidt mere målrettet puf i den ønskede retning.

Når man som Jesper stiller spørgsmålet: "Er GDPR ved at ødelægge moderne hjemmesider?" bør man derfor også stille modspørgsmålet "Er techgigant dominerede økosystemer ved at ødelægge fri og innovative markeder?". I dag er der jo blandt mange virksomheder opstået en næsten lige så stor skepsis over for platforme som Google, Amazon og Facebook, som over for GDPR. Mange konstaterer at omkostningerne stiger, mens effektiviteten falder.

For at kunne besvare disse spørgsmål, er det nødvendigt at se mere detaljeret på dataflowet i henholdsvis techgigant-drevne økosystemer og de åbne datadelings-systemer, EU nu presser for at få realiseret. Herunder specielt hvilke data, det er nødvendigt eller fordelagtigt at kunne opsamle som forretningsdrivende.

I den fysiske verden har vi som forbrugere været vant til at kunne handle uden anden registrering end de ihændehavertokens (penge hhv. kvittering) vi udveksler med virksomhederne. I visse tilfælde indgik et subjektivt skøn af vores alder. Kun når vi pådrog os kontraktlige eller lovgivningsmæssige forpligtelser, var det nødvendigt at udveksle persistente ID-oplysninger.

Når vi handler online, stiller det sig overraskende helt anderledes, som det fremgår af de videoer, jeg linkede til i min forrige blogpost. Det ekstra behov for data skyldes imidlertid dels teknisk umodenhed og dels den platformsbaserede forretningsmodel. Her er nogle af de primære årsager til indsamling af oplysninger om forbrugere:

Teknisk umodenhed (manglende dataminimering)

Betalingsoplysninger: I fraværet af digitale penge, som kan overføres direkte fra køber til sælger - svarende til sedler og mønter i den fysiske handel - overfører vi beløb indirekte ved at købers krav mod sin bank omveksles til et tilsvarende krav fra sælger mod sin bank. Det sker yderligere gennem en kompliceret kæde af støttevirksomheder. Derfor bliver det pludseligt essentielt med strenge identitetstjek hele vejen igennem denne kæde for at undgå svindel. Der har været snak om både "tokenization" og digitale kontanter de seneste 20 år, men endnu dominerer løsninger, hvor virksomheder har adgang til hele eller dele af forbrugerens unikke kort- eller kontonummer.

Leveringsoplysninger: Det er kun er den vognmand, der står for leveringen (i Danmark typisk PostNord, DAO eller GLS), der behøver at kende forbrugerens adresse eller foretrukne afhentningssted. Butikken har kun behov for det unikke pakkenummer, som forbrugeren trækker hos vognmanden (helt analogt til "tokenization" for betalinger)

Kontaktoplysninger: Selvom der er tekniske løsninger til at undgå det, er det stadig normen at forbrugere til sælger afgiver persistente personhenførbare kontaktoplysninger som emailadresse og telefonnummer samt implicit diverse netværks- og device relaterede tekniske oplysninger.

Forretningsmodel baseret på intransparens

Mangel på synlighed (dvs. umiddelbar datatilgængelighed) af webbutikkerne og deres produkter/tjenester, som jeg fokuserede på i ovennævnte blogpost er dog det klart væsentligste problem med online handel. Forretningsmodellen bag platformsbaserede økosystemer er at aggregere alle udbuds- og efterspørgselsdata centralt og auktionere potentielle matches mellem udbud og efterspørgsel i mikroskopiske bidder, så andre ikke kan skabe sig det samme overblik over markedet som helhed. Auktionsmetoden bevirker at dataformidlingen bliver ekstremt omkostningstung - typisk på 20-40% af salgsprisen for varer og tjenester. Og virksomhedernes incitament til at differentiere sig på f.eks. innovation eller kundeservice drukner i forholdet til fokus på blot at blive synliggjort for brugerne af platformen.

Profilering er virksomhedernes naturlige reaktion på de høje platformsgebyrer. Det gælder om at målrette indsatsen så præcist som muligt mod de forbrugere, virksomheden vurderer at have størst chance for at sælge til. Det kræver opsamling af så mange oplysninger om hver enkelt forbrugers færden og præferencer som muligt. Når mængden af cookies og andre sporingsteknologier eksploderer, er det således et tegn på at platforms-økosystemet er ved at nå en praktisk grænse for sin skalering.

Fastholdelse af kunder er en anden måde at reducere platformsomkostningerne. Målet er at kunderne ved efterfølgende købsbehov går direkte til virksomheden udenom platformene. I en del tilfælde kan tiltag som f.eks. god kundeservice og abonnementsordninger være til fordel for både virksomhed og forbruger. Man risikerer dog også at forbrugeren i stedet oplever det som uønsket "omklamring" i form af spam, snagen i deres privatliv og medlemstilbud med priser, der ligger langt over de generelle markedspriser.

Mangler stadig de væsentligste forretningsmæssige data

På trods af alle disse privatlivsindgribende forhold, står virksomhederne stadig tilbage uden de mest væsentlige oplysninger for at drive deres forretning: Det fulde overblik over udbud og efterspørgsel i deres marked, som er essentielt for både operationel planlægning og for innovationsindsats. Det overblik har de dominerende platforme, hvilket sætter dem i en meget favorabel position i forhold til de øvrige virksomheder, der sælger gennem dem.

Og fra et forbrugerperspektiv ser vi desværre samtidigt at mange af sporings- og profileringstiltagene fra "moderne hjemmesider" migrerer til den fysiske verden, så det er et spørgsmål om tid før vi skal læse og acceptere alenlange privatlivspolitikker hver gang vi træder ind i en ny fysisk butik.

I del 2 af denne blogpost vil jeg gennemgå hvordan skiftet fra platformsøkonomi til EU's ny åbne datadelingsøkonomi påvirker dataflowet mellem forbrugere og virksomheder til gavn for begge parter, men også hvilke krav det samtidigt stiller til virksomheder, forbrugere og infrastruktur.

Hvis du mener, der er andre typer data og/eller forhold end ovenstående, der bør inddrages i del 2, må du meget gerne kommentere det her.

9 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
5
18. marts kl. 10:59
Fremhævet

Nogle gange kan en gigantvirksomhed med en tvivlsom forretningsmodel, ødelægge et marked for potentielle konkurrenter. Det er svært at konkurrere om reklamekroner mod Google og FaceBook, hvis man ikke kan profilere ligeså præcist. Et forbud mod FBs og Googles forretningsmodel kunne potentielt ændre markedet, så der blev mere gunstige/rimelige vilkår for potentielle nye konkurrenter, med en bedre privatlivsbeskyttelse.

Jeg tror skiftet fra glødepærer til elsparepærer havde taget ekstremt lang tid uden EU regulering. Idag er jeg glad for at vi har lavet det skift.

9
18. marts kl. 14:02

gøre noget ved det.

"Og fra et forbrugerperspektiv ser vi desværre samtidigt at mange af sporings- og profileringstiltagene fra "moderne hjemmesider" migrerer til den fysiske verden, så det er et spørgsmål om tid før vi skal læse og acceptere alenlange privatlivspolitikker hver gang vi træder ind i en ny fysisk butik."

Selv praktiserer jeg at nægte at udlever telefonnummer og mail-adresse, hvor det er åbenlyst unødvendigt.

Det har feks. afstedkommet nærmest panik hos juniorsælgeren (har de andet?) hos Elgiganten, som ikke anede hvad hun skulle stille op.

Jeg toppede så med at betale kontant.

Jeg praktiserer også at læse betingelserne i butikken, så jo mere håbløse betingelser de stiller op, jo mere lægges der beslag på sælgerens tid.

Her skal man hele tiden holde sig for øje at det er den sælgende virksomhed, som vælger at besvære alle med de komplicerede betingelser. Og gerne sige det højt til den utålmodige sælger, der forsøger at skubbe folk ud af butikken med betingelserne på en mail til senere godkendelse.

8
18. marts kl. 13:04

Uh, det lyder på mig som om, at du her tangerer samme tankesæt, som Robert Bork i "The antitrust paradox".

Det er en super spændende vinkel, og jeg er helt enig i at både hyper-kapitalisme og tæt-på-eksponentiel vækst for visse IT giganter, giver anledning til at lovgivning tiltænkt forbrugervelfærd vendes 180 grader for effektivt at eliminere konkurrence på den helt lange bane.

Men eksemplet med Officepakkerne har ikke komponenterne til at falde under denne kategori.

Først og fremmest charger leverandørerne for servicen. Især MS må vist siges at have indkasseret en ufattelig profit på f.eks. Word, taget i betragtning hvad den kodestump håndterer.

Dernæst er en central del af office servicen, at den betalende kunde kan dele co-creation adgang til ikke-betalende parter.

Desuden falder MS dokumentformaterne i den klassiske kategori af et nærmest i praksis monopol. Eller i hvert fald indtil nu hvor online og samskabende formater har overtaget.

7
18. marts kl. 12:27

Fastholdelse af kunder

I den fysiske verden, i vores lille andedam er det sjælden at man støder ind i en fysisk svindel butik. På internettet derimod, er der en meget stor chance for at støder ind i en svindel butik, derfor kan det, for det meste, betale sig at man holder sig til den samme butik.

6
18. marts kl. 11:21

Det har handler ikke (kun) om tekstbehandlingssystemer, på samme måde som profilering ikke (kun) handler om cookies. Der er meget mere i det.

Og GDPR handler ikke om konkurrence, men manglende konkurrence er en del af problemet (og jeg tror derfor ikke at GDPR kan stå alene, og det derfor kan være farligt at reducere det til en diskussion om GDPR):

Eksisterende aktører er blevet store på grund af en åbenhed og frihed, som de nu gør det bedste for at afvikle for i stedet at lave lukkede fester. Aktører som ingen kvaler har med at udnytte deres markedsdominans på grimmeste vis, til at brede sig både horisontalt og vertikalt.

Der er solide entry-barrierer, og mange af dem af kunstige. Der er aktører med så stor dominans, at de kan køre med underskud på, hvad der for almindelige aktører vil være et helt marked, fordi de er på mange markeder på samme tid.

Med et eksempel fra "office" pakkerne, så skal man vist have udviklet et Stockholmsyndrom for at synes at Teams er et overlegent tilbud, men det er alligevel mange firmaers foretrukne, sikkert fordi, at det kommer "som en del af pakken".

Der er så mange andre problemer end den manglende konkurrence, og - i modsætning til, hvad mange tror - så løser markedet ikke alle problemer af sig, men skal rammesættes og styres fra samfunds- og lovgiverside.

PS:

Konkurrencen blandt disse økosystemer fungerer, og lader til at være til fordel for forbrugerne, ...

Uh, det lyder på mig som om, at du her tangerer samme tankesæt, som Robert Bork i "The antitrust paradox". Der er mange, som mener, at det er en betydende faktor i, hvorfor vi er havnet, hvor vi er, og at konkurrencen netop ikke virker ... se f.eks. Lina Kahn "Amazon's antitrust paradox". Find selv mere på en søgemaskine, som du kan leve med.

5
18. marts kl. 10:59
Fremhævet

Nogle gange kan en gigantvirksomhed med en tvivlsom forretningsmodel, ødelægge et marked for potentielle konkurrenter. Det er svært at konkurrere om reklamekroner mod Google og FaceBook, hvis man ikke kan profilere ligeså præcist. Et forbud mod FBs og Googles forretningsmodel kunne potentielt ændre markedet, så der blev mere gunstige/rimelige vilkår for potentielle nye konkurrenter, med en bedre privatlivsbeskyttelse.

Jeg tror skiftet fra glødepærer til elsparepærer havde taget ekstremt lang tid uden EU regulering. Idag er jeg glad for at vi har lavet det skift.

4
18. marts kl. 10:53

Vi havde også fysiske reklamer før spam blev opfundet, men de ekstremt lave omkostninger i den digitale verden, gjorde at problemet fik helt andre dimensioner her.

På samme måde er digital profilering/sporing meget mere omfattende, end det nogensinde har været i den fysiske verden. Muligvis kan den fysiske verden her lade sig inspirere af de tiltag, som vi tager i den digitale, ligesom vi har fået restriktioner på fysisk spam efter de blev indført for digital spam.

3
18. marts kl. 10:36

Er techgigant dominerede økosystemer ved at ødelægge fri og innovative markeder?

Lad os kort zoome ind på office-produkternes økosystemer.

Google har leveret en innovation og forbedret oplevelse af online office applikationer, som får den tidligere næsten monopolgigant Microsoft til at se pinlige ud.

Konkurrencen blandt disse økosystemer fungerer, og lader til at være til fordel for forbrugerne, når vi undlader at tage GDPR med i ligningen.

Eneste problem med Googles produkt er at det er underlagt amerikansk lovgivning, som er inferiør ift. Europas på GDPR området.

Behovet for økosystemer er propertionalt med hvor omfattende det er at udvikle et sådan økosystem.

Hvis det var let at udvikle sit eget komplette system, så kan man jo bare forsøge at gå igang allerede iaften.

Google docs og sheets er så effektive, robuste og veludviklede at de sparrer gigantiske mængder tid og besvær i dagligdagen.

Indtil vi har et Europæisk alternativ består dilemmaet:

Vil jeg sende persondata ud af EU eller vil jeg benytte et pinligt dårligt alternativ?

1
18. marts kl. 08:31

Tak for det. Godt skriv.

Mht. profilering skal vi også være opmærksomme på at det ikke er en digital opfindelse. Lige siden det første menneske trådte ind i den første butik og blev betjent af den første ekspedient er der sket profilering i kommercielt øjemed :

  • Opdeling i køn, alder, "type" etc.
  • "Ej - ved du hvad. I sidste uge havde jeg en lignende kunde og der fandt vi frem til at..."

Det er derfor overraskende for mig at det overrasker andre at den slags sker online. Det anderledes er vel blot at det er digitalt, profileringen sker "anonymt" og skalaen det foregår på?