Når fru Hansen i dag tjekker sin Facebook-profil, poster et foto af sit barnebarn og skriver en kommentar til en bageopskrift i en gruppe, bliver hendes aktiviteter sandsynligvis overvåget og delt mellem fire, fem eller endnu flere virksomheder. Hvilke eller hvor mange ved fru Hansen ikke. Når hun bagefter går ind på den lokale psykologs eller fysioterapeuts hjemmeside for at bestille en tid, giver hun formentlig ikke blot sine personlige oplysninger til psykologen eller fysioterapeuten, men også til udbyderen af klinikkens hjemmeside. Og hvem udbyderen giver oplysningerne videre til, ved fru Hansen heller ikke.
Men alt det forandrer sig, når fru Hansen i morgen tænder for sin computer. Da træder EU’s nye persondataforordning i kraft, og virksomheder kan derefter vente sig millionbøder, hvis de ikke lever op til nye krav om databeskyttelse. Loven betyder blandt andet, at fru Hansen har krav på at få et letforståeligt indblik i, hvilke oplysninger virksomhederne – inklusive Facebook – indsamler, hvad de bruger dem til, hvem de deler dem med, og hvornår de sletter dem. Hun har med nogle få undtagelser også krav på at få slettet alle sine oplysninger fra sociale medier, hvis hun ønsker det. Det forklarer Catrine Søndergaard Byrne, medstifter af tænketanken Dataethics, advokat med speciale i persondata og forfatter til flere bøger om emnet.
”Det nye er, at virksomhederne skal kunne dokumentere, hvordan de behandler vores data. Jeg plejer at sammenligne det med fødevarekontrollen, som holder øje med, om man har styr på, hvor man får sine fødevarer fra, og hvordan man opbevarer og bruger dem, så man fjerner risikoen for, at gæsten bliver syg. Her er der blot tale om personlige oplysninger frem for råt kød,” siger hun og tilføjer, at de mange oplysninger, vi deler, skaber en høj risiko for at blive krænket:
”Kun fantasien sætter grænser for, hvem oplysningerne kan havne hos. En arbejdsgiver får indblik i ens politiske eller seksuelle overbevisning, et forsikringsselskab får indblik i ens helbredsforhold. Loven er et værn mod, at disse følsomme oplysninger spredes og bliver misbrugt.”
EU-forordningen kommer i kølvandet på flere skandaler knyttet til mediegiganten Facebook, senest lækken af 87 millioner Facebook-profiler til analysefirmaet Cambridge Analytica, der arbejdede for Donald Trumps kampagne under præsidentvalgkampen i USA i 2016. Det kan dog blive vanskeligt for EU at tvinge Facebook til at efterleve reglerne, påpeger Thomas Hildebrandt, professor på datalogisk institut ved Københavns Universitet. Facebook har lovet bod og bedring, men har samtidig overført data på 1,5 milliard brugere fra virksomhedens irske hovedkontor til hovedkontoret i Californien, hvor reglerne er mindre strikse.
”Facebook skal i princippet stadig leve op til EU-lovens krav, selvom de flytter deres data til USA, påpeger Thomas Hildebrandt:
”Men det, at de flytter deres data, sender et signal om, at de ikke vil efterleve kravene.”
EU kan stadig godt gøre livet surt for mediegiganterne, for eksempel ved at indskrænke deres ret til at operere blandt europæiske borgere, siger Hildebrandt.
”Man kan også forsøge at få folk til at stemme med fødderne og forlade deres platform. Det kan være vanskeligt, men Facebook er ved at være en gammel platform, og der er efterhånden mange andre platforme, folk kunne flytte til,” siger han.
Advokat Catrine Sønder- gaard Byrne siger ligeledes, at det er til diskussion, hvordan man håndhæver konsekvenser af brud på loven over for en amerikansk virksomhed som Facebook. Samtidig påpeger hun, at det især er de mange små virksomheder i Europa, der vil få lovens tyngde at føle:
”Den lille virksomhed står til ansvar, hvis den bruger et program, der giver for eksempel Facebook eller Google indblik i kunders oplysninger. Det kan også bare være en ’like’-knap på hjemmesiden. Det kan lyde uoverskueligt, og det er det også. Men det er den pris, vi nu betaler for i alt for mange år at have været digitalt udannede og bagud i forhold til beskyttelse af data.”