Etikett: GDPR

Kommer krav på skydd av persondata att leda till ett balkaniserat internet?

Henrik Alexandersson Lämna en kommentar

Som vi berättat i en tidigare bloggpost har EU-domstolen upphävt det så kallade EU-US Privacy Shield-avtalet, som reglerar överföring av persondata mellan EU och USA. Skälet är att domstolen anser att sådan data inte har tillräckligt starkt skydd mot amerikanska underrättlseorgan, som NSA.

Detta har utlöst en intensiv juridisk aktivitet hos många av de berörda företagen. Politico skriver:

»While it remains to be seen exactly how EU watchdogs will interpret the Privacy Shield ruling, a growing number of companies are not waiting to find out — and proactively taking the decision to keep their data in the bloc.« (…)

»A lawyer who represents large tech companies — and who asked to speak on condition of anonymity to discuss confidential matters — said they now advise some clients to consider compartmentalizing data in different regions.« (…)

»Calls for data localization — especially from privacy-conscious Germany — are not new, but this time could be different. Digital sovereignty has emerged as a top priority for Europe’s top policymakers, who have thrown their weight behind projects like Gaia-X, an initiative aimed at boosting the bloc’s ability to store data on the continent.«

Plötsligt tycks alla kort finnas på bordet. En möjlighet – som inte är speciellt trolig – är att USA ger utländska medborgare samma skydd mot massövervakning som amerikanska, eller ett USA inför en ny lagstiftning som ligger i linje med EU:s GDPR. En annan möjlighet är att dela upp data mellan EU och USA. Ett tredje alternativ är att endast överföra hårt krypterad persondata mellan EU och USA. Man skulle även teoretiskt kunna tänka sig att amerikanska nätjättar lagrar all sin information i Europa, även om inte heller det är troligt.

Oavsett vilket är risken att vi går mot en ökad balkanisering av internet – vilket i så fall strider mot hela principen om ett fritt, öppet och globalt nät. Det är också möjligt att vissa internationella företag och plattformar kan välja att sluta acceptera och serva kunder i EU. Vilket för övrigt är något Youtube redan överväger, efter att EU klubbat sitt nya upphovsrättsdirektiv.

Man kan även konstatera att företagsklimatet för nättjänster och -plattformar är sådant i EU att startups och riskkapital hellre söker sig till andra delar av världen. Vilket kommer att leda till att EU hamnar ännu mer på efterkälken. Trots de bästa intentioner håller vi på att reglera denna marknad till döds. Det är problematiskt, eftersom internet är ett centralt verktyg för mänsklighetens kollektiva utveckling.

Politico: The demise of Privacy Shield may be the end of US-Europe data transfers »

Europa hopplöst efter i plattformsekonomin

Henrik Alexandersson 2 kommentarer

Gång på gång har EU fattat beslut om att bli ledande inom IT och digital ekonomi.

Det går som synes inte så bra. (Infographic från Dr. Holger Schmidt.)

Detta är kanske inte att förvånas över – då EU ständigt överreglerar och reglerar sönder marknaden.

Ta dataskyddsförordningen, GDPR, som exempel. Intentionen att användare skall ha makt över sin egen data är vällovlig. Men blev det så? För den vanlige användaren har denna lagstiftning inte märkts på annat sätt än att vi slentrianmässigt måste godkänna cookies oftare. Och för företagen har det inneburit påtagligt ökad administration och ökade kostnader. Då är det enklare för entreprenörer och riskkapitalister att söka sig utanför EU.

Eller EU:s nya upphovsrättslagstiftning. Regler som kräver uppladdningsfilter och idiotiska idéer som den så kallade länkskatten skrämmer företagen bort från Europa. Till exempel överväger Youtube om det överhuvudtaget går att verka inom EU när direktivet blir lag i medlemsstaterna. Vem vill starta något nytt i detta politiska klimat? Och även om nätjättarna – med alla sina resurser – klarar av att hantera kostsamma och komplicerade krav på till exempel uppladdningsfilter – så stängs dörren i ansiktet på alla små och nya aktörer. Därför kommer vi inte att få se nya nätplattformar, morgondagens nätjättar växa fram i Europa.

Exemplen är fler och nya krav på uppladdningsfilter och kontroll av innehåll är på väg i bland annat den nya förordningen om terror-relaterat innehåll online och med EU:s nya Digital Services Act.

EU håller helt enkelt på att hamna i digitalt bakvatten – som en direkt konsekvens av medvetet fattade politiska beslut.

GDPR – för dyrt även för staten?

Henrik Alexandersson Lämna en kommentar

EU:s dataskyddsförordning – GDPR – har ett mycket vällovligt syfte: Att skydda medborgarnas persondata.

Men för många förtag har GDPR medfört kostnader och krångel. Samtidigt tycks de flesta användare slentrianmässigt klicka OK på alla relaterade dialogrutor som kommer upp, ofta utan att läsa vad det handlar om.

Och nu visar det sig att även EU:s medlemsstater tycker att GDPR håller på att bli för dyrt. Irish Times skriver:

»Digital privacy regulations introduced in Europe nearly two years ago are in danger of failing because regulators have not been properly resourced, a new report claims.

As the second anniversary of the introduction of General Data Protection Regulation (GDPR) nears, the study claims regulators are not being given the tools they need to enforce it.«

Och de natioinella dataskyddsmyndigheterna lär knappast få mer pengar nu, efter den ekonomiska kraschen till följd av corona-krisen.

Irish Times: GDPR at risk of failing due to underfunding of regulators, study finds »

Fransk dom mot automatiserad ansiktsigenkänning i skolan

Henrik Alexandersson Lämna en kommentar

Frankrike har fått sitt första domstolsutslag om automatiserad ansiktsigenkänning.

Earlier this month, the Administrative Court of Marseille heard our case against facial recognition systems controlling access to two high schools in Nice and Marseille. These systems were authorised in December by the PACA Region as “experimental”. Yesterday, the Court annulled this decision.

The Court found that the Region had no power to take this decision – schools only have such powers. Furthermore, the Court found that it breached the GDPR: these systems were based on “consent”, but students’ consent cannot be “freely given” because of the authority relationship that binds them to the school’s administration.

Läs mer hos La Quadrature de Net »

Video: Senaste nätnyheterna

Henrik Alexandersson Lämna en kommentar

De senaste nätnyheterna från denna blogg: Hemlig dataavläsning, EU:s uppladdningsfilter. Britterna kliver av GDPR. Sverige och massövervakningen & Assange – mystiken tätnar.

Se videon på Youtube »

Eftersom denna site är rensad från kakor och andra integritetskränkande tillägg bäddar vi inte in filmen för automatisk uppspelning här – utan ber dig att istället följa länken till Youtube ovan.

Efter Brexit: Storbritannien överger GDPR?

Henrik Alexandersson Lämna en kommentar

Det kommer signaler från Storbritannien om att landet kan komma att överge EU:s modell för persondataskydd.

Euractiv:

In a written statement to the House of Commons published yesterday [3 Feb.], the Prime Minister said that the United Kingdom will “develop separate and independent policies” in a range of fields, including data protection, adding that the government would seek to maintain high standards in so doing.

Moreover, speaking to reporters on Monday, Johnson said that the UK has no need to bind itself to an agreement with the EU. “We will restore full sovereign controls over our borders, immigration, competition, subsidy rules, procurement, data protection,” he said.

Meanwhile in Brussels, the European Commission released a recommendation for opening trade negotiations with the UK, highlighting previous commitments that both parties had made to maintain consistency in data protection standards.

Lite motstridiga uppgifter, således. Men det blir rätt intressant om man sätter in frågan i ett större perspektiv.

  1. Britterna har meddelat att de för närvarande inte tänker implementera EU:s upphovsrättsdirektiv – och inte införa det kritiserade uppladdningsfiltret.
  2. Nätjättarna diskuterar möjligheten att lämna EU och eventuellt blockera användare från EU– som följd av det nya upphovsrättsdirektivet.
  3. Många företag anser EU:s dataskyddsdirektiv – GDPR – vara allt för krångligt, omfattande och kostsamt.

Det är svårt att säga om det finns någon sådan plan – men pusselbitarna finns i vart fall på plats för att Storbritannien skulle kunna bli ett »IT-paradis« i Europa, men utanför EU.

Det är ju så det blir när EU reglerar sönder den digitala marknaden. Då flyttar företagen. Och man kan knappast lasta britterna om de griper tillfället i flykten.

Euractiv: UK to diverge from EU data protection rules, Johnson confirms »

Så kan GDPR användas för att komma åt andras privata information

Henrik Alexandersson Lämna en kommentar

EU:s dataskyddsförordning – GDPR – var tänkt att ge användare ökad kontroll över sina egna data. Nu visar det sig att rätten att få ut persondata lätt kan missbrukas av andra.

Vice berättar om en student som arbetar med cybersäkerhet kunde få ut oroväckande mycket informatioin om sin flickvän (som givit honom sitt medgivande för experimentet).

He started with just Knerr’s full name, a couple of email addresses, phone numbers, and any other low-hanging fruit that he could find online. In other words, “the weakest possible form of attack,” as he put it in his paper. Then, he sent requests to 75 companies, and then to another 75 using the new data—such as home addresses—he found through the first wave of requests using an email address designed to look like that of Knerr.

Thanks to these requests, Pavur was able to get his fiance’s Social Security Number, date of birth, mother’s maiden name, passwords, previous home addresses, travel and hotel logs, high school grades, partial credit card numbers, and whether she had ever been a user of online dating services.

Nu var det inte alla företag som lämnade ut information lika lättvindigt. Men tillräckligt många för att det skall vara ett problem.

According to Pavur and Knerr, 25 percent of companies he contacted never responded. Two thirds of companies, including online dating services, responded with enough information to reveal that Pavur’s fiance had an account with them. Of those who responded, 25 percent provided sensitive data without properly verifying the identity of the sender. Another 15 percent requested data that could have easily been forged, while 40 percent requested identifying information that would’ve been relatively hard to fake, according to the study.

Att sparas under rubriken oförutsedda och oönskade konsekvenser.

Länk: Researchers Show How Europe’s Data Protection Laws Can Dox People »

GDPR gynnar nätjättarna, men skadar alla andra

Henrik Alexandersson 1 kommentar

EU:s dataskyddsförordning – GDPR – tycks få precis de oönskade konsekvenser som många varnat för.

Wall Street Journal:

“GDPR has tended to hand power to the big platforms because they have the ability to collect and process the data,” says Mark Read, CEO of advertising giant WPP PLC. It has “entrenched the interests of the incumbent, and made it harder for smaller ad-tech companies, who ironically tend to be European.”

Medan den digitala annonseringen i Europa i allmänhet ökat med 14% har t.ex. Facebook ökat sina europeiska annonsintäkter med 40%.

Techdirt utvecklar resonemanget:

»So, great work, EU. In your hatred for the big US internet companies, you handed them the market, while destroying the local European companies.«

»(F)or advertisers, the GDPR has driven them directly into the hands of the biggest internet players, because they know that those companies can handle the compliance costs, while no one else can.«

Men det är inte bara GDPR som gynnar de amerikanska nätjättarna på alla andras bekostnad. Om man till exempel ser till EU:s nya upphovsrättsdirektiv, då får kravet på uppladdningsfilter samma effekt. Det gynnar de nätjättar som har råd med ny teknik och byråkrati – och stänger ute nya och mindre konkurrenter.

Steg för steg gör EU det svårare för nätbaserade företag att verka i Europa. Vilket driver investeringar och utveckling till andra länder.

GDPR – skyddsängel eller monster?

Henrik Alexandersson Lämna en kommentar

EU:s nya dataskyddsförordning (GDPR) blev kändis över en natt, när alla företag tvingades ta ansvar för de persondata de samlar in och lagrar – och alla användare med ett klick tvingades bekräfta att de frivilligt ger bort sin persondata. Reaktionerna blev mest gnäll.

Kritiken är fullt begriplig. Men intentionerna var goda. Jag såg själv delar av processen när jag jobbade i Bryssel. Tanken var att alla användare skall ha rätten till och kontrollen över sin persondata. Vilket omfattar »rätten att bli glömd« – som inte alls var till för att dölja spår på nätet, utan för att man skall »få tillbaka« sin persondata om man lämnar till exempel Facebook.

Sedan blev det som det blev när EU tröskade fram ny förordning. Än en gång tycks EU:s beslutsgång ha varit att först beslutar man, sedan debatterar man, därefter tar man reda på fakta. Som så många andra förordningar blev GDPR stor, ohanterlig, betungande och med bristande markkontakt.

Frågan är om GDPR över huvud taget är hanterlig.

Det kan vi kanske få reda på nu, tack vare den ihärdige österrikiske nätaktivisten Max Schrems.

Schrems har anmält ett antal större företag som strömmar underhållning för brott mot GDPR. Vad det handlar om är hur dessa företag hanterat en begäran om att få ut egna persondata. Svaret är: dåligt nog för att motivera anmälan av företagen i fråga. Vilket nu satt igång en process som kan sluta i böter på flera miljarder euro.

Utöver anmälan som sådan riktar detta ljuset mot den större frågan: Går det över huvud taget att leva upp till allt GDPR kräver och föreskriver?

Det är rätt uppenbart att GDPR, beaktad till sista bokstav, skulle göra vissa företags verksamhet i princip omöjlig. I vart fall på den europeiska marknaden.

Det som gör mig orolig är det syns ett mönster, att EU håller på att reglera sönder hela informations- och kunskapsekonomin. (Nu senast med ett missriktat direktiv om upphovsrätt.) Om detta fortsätter kommer så väl svenska IT-entreprenörer som utländska investerare att göra sina satsningar utanför EU. Det kan till och med uppstå en digital järnridå – om företag, plattformar och  tjänster på nätet väljer att blockera användare från EU. Helt enkelt på grund av vår överambitiösa, snåriga och verklighetsfrånvända lagstiftning.

Vilket skulle placera oss i internets bakvatten.

HAX

Läs mer: Max Schrems Files New Privacy Complaints That Seem To Show The Impossibility Of Complying With The GDPR »