Så kan GDPR användas för att komma åt andras privata information

EU:s dataskyddsförordning – GDPR – var tänkt att ge användare ökad kontroll över sina egna data. Nu visar det sig att rätten att få ut persondata lätt kan missbrukas av andra.

Vice berättar om en student som arbetar med cybersäkerhet kunde få ut oroväckande mycket informatioin om sin flickvän (som givit honom sitt medgivande för experimentet).

He started with just Knerr’s full name, a couple of email addresses, phone numbers, and any other low-hanging fruit that he could find online. In other words, “the weakest possible form of attack,” as he put it in his paper. Then, he sent requests to 75 companies, and then to another 75 using the new data—such as home addresses—he found through the first wave of requests using an email address designed to look like that of Knerr.

Thanks to these requests, Pavur was able to get his fiance’s Social Security Number, date of birth, mother’s maiden name, passwords, previous home addresses, travel and hotel logs, high school grades, partial credit card numbers, and whether she had ever been a user of online dating services.

Nu var det inte alla företag som lämnade ut information lika lättvindigt. Men tillräckligt många för att det skall vara ett problem.

According to Pavur and Knerr, 25 percent of companies he contacted never responded. Two thirds of companies, including online dating services, responded with enough information to reveal that Pavur’s fiance had an account with them. Of those who responded, 25 percent provided sensitive data without properly verifying the identity of the sender. Another 15 percent requested data that could have easily been forged, while 40 percent requested identifying information that would’ve been relatively hard to fake, according to the study.

Att sparas under rubriken oförutsedda och oönskade konsekvenser.

Länk: Researchers Show How Europe’s Data Protection Laws Can Dox People »

GDPR gynnar nätjättarna, men skadar alla andra

EU:s dataskyddsförordning – GDPR – tycks få precis de oönskade konsekvenser som många varnat för.

Wall Street Journal:

“GDPR has tended to hand power to the big platforms because they have the ability to collect and process the data,” says Mark Read, CEO of advertising giant WPP PLC. It has “entrenched the interests of the incumbent, and made it harder for smaller ad-tech companies, who ironically tend to be European.”

Medan den digitala annonseringen i Europa i allmänhet ökat med 14% har t.ex. Facebook ökat sina europeiska annonsintäkter med 40%.

Techdirt utvecklar resonemanget:

»So, great work, EU. In your hatred for the big US internet companies, you handed them the market, while destroying the local European companies.«

»(F)or advertisers, the GDPR has driven them directly into the hands of the biggest internet players, because they know that those companies can handle the compliance costs, while no one else can.«

Men det är inte bara GDPR som gynnar de amerikanska nätjättarna på alla andras bekostnad. Om man till exempel ser till EU:s nya upphovsrättsdirektiv, då får kravet på uppladdningsfilter samma effekt. Det gynnar de nätjättar som har råd med ny teknik och byråkrati – och stänger ute nya och mindre konkurrenter.

Steg för steg gör EU det svårare för nätbaserade företag att verka i Europa. Vilket driver investeringar och utveckling till andra länder.

GDPR – skyddsängel eller monster?

EU:s nya dataskyddsförordning (GDPR) blev kändis över en natt, när alla företag tvingades ta ansvar för de persondata de samlar in och lagrar – och alla användare med ett klick tvingades bekräfta att de frivilligt ger bort sin persondata. Reaktionerna blev mest gnäll.

Kritiken är fullt begriplig. Men intentionerna var goda. Jag såg själv delar av processen när jag jobbade i Bryssel. Tanken var att alla användare skall ha rätten till och kontrollen över sin persondata. Vilket omfattar »rätten att bli glömd« – som inte alls var till för att dölja spår på nätet, utan för att man skall »få tillbaka« sin persondata om man lämnar till exempel Facebook.

Sedan blev det som det blev när EU tröskade fram ny förordning. Än en gång tycks EU:s beslutsgång ha varit att först beslutar man, sedan debatterar man, därefter tar man reda på fakta. Som så många andra förordningar blev GDPR stor, ohanterlig, betungande och med bristande markkontakt.

Frågan är om GDPR över huvud taget är hanterlig.

Det kan vi kanske få reda på nu, tack vare den ihärdige österrikiske nätaktivisten Max Schrems.

Schrems har anmält ett antal större företag som strömmar underhållning för brott mot GDPR. Vad det handlar om är hur dessa företag hanterat en begäran om att få ut egna persondata. Svaret är: dåligt nog för att motivera anmälan av företagen i fråga. Vilket nu satt igång en process som kan sluta i böter på flera miljarder euro.

Utöver anmälan som sådan riktar detta ljuset mot den större frågan: Går det över huvud taget att leva upp till allt GDPR kräver och föreskriver?

Det är rätt uppenbart att GDPR, beaktad till sista bokstav, skulle göra vissa företags verksamhet i princip omöjlig. I vart fall på den europeiska marknaden.

Det som gör mig orolig är det syns ett mönster, att EU håller på att reglera sönder hela informations- och kunskapsekonomin. (Nu senast med ett missriktat direktiv om upphovsrätt.) Om detta fortsätter kommer så väl svenska IT-entreprenörer som utländska investerare att göra sina satsningar utanför EU. Det kan till och med uppstå en digital järnridå – om företag, plattformar och  tjänster på nätet väljer att blockera användare från EU. Helt enkelt på grund av vår överambitiösa, snåriga och verklighetsfrånvända lagstiftning.

Vilket skulle placera oss i internets bakvatten.

HAX

Läs mer: Max Schrems Files New Privacy Complaints That Seem To Show The Impossibility Of Complying With The GDPR »