I slutten av september deltok jeg på «Manipulasjon og maktmisbruk på nett»-blokken på Forbrukerkonferansen 2022 i Oslo. Mens representanter fra Forbrukerrådet, Amnesty International Norge, Barneombudet og teknologigruppa på Stortinget holdt foredrag og paneldebatter, var den mest fremtredende foredragsholderen uten tvil Max Schrems, den østerrikske personvernadvokaten som grunnla «noyb» (None Of Your Business), et non-profitorganisasjon som håndhever rettigheter til personvern.
Max ble kjendis blant personvernforkjempere gjennom de såkalte «Schrems I»- og «Schrems II»-dommene, der EU-domstolen (CJEU) dømte gjeldende praksis for behandling av personopplysninger i USA ulovlig. Edward Snowdens lekkasjer om USAs National Security Agency (NSA) hadde avslørt et omfattende globalt overvåkingsprogram som til og med avlyttet telefonen til Angela Merkel, mens hun var kansler i Tyskland. USAs etterretningstjenester, fastslo EU-domstolen, begrenser ikke overvåkingskapasiteten i den grad det er nødvendig av sikkerhetshensyn. Dermed kan ikke USA generelt antas å oppfylle europeisk (og norsk) personvernlovgivning uten ytterligere garantier. Dommene var banebrytende: noyb sendte inn 101 modellklager, som førte til at flere europeiske datatilsynsmyndigheter treffer vedtak om at velkjente og utbredte nettanalyseverktøy som Google Analytics vanligvis ikke lenger kan brukes i Europa, siden de kan misbrukes av amerikanske myndigheter for å spionere på nettadferden til europeiske borgere. Det er ventet enda flere dommer.
Max snakket om 1200 A4-sider med personlige data han hentet om seg selv fra Facebook: Han viste på imponerende vis hvordan en liste med tall som representerer Facebook-vennene hans kan forvandles til en kompleks sosial graf med synlige klynger. I hans tilfelle inkluderte disse klyngene en Røde Kors-gruppe han var frivillig med tidligere, men også, veldig synlig, en gruppe skeive mennesker blant vennene hans. Dette betyr at bare ved å vite hvem Max er venn med, kan Facebook slutte seg til at han er en del av et skeivt miljø og kan bruke denne informasjonen til mikromålrettet, personlig annonsering. Data om noens seksuelle legning regnes som «spesielle kategorier av personopplysninger» i henhold til europeisk lov, og med mindre helt spesielle forhold gjelder, er behandling av dem forbudt for å beskytte innbyggerne mot diskriminering og overgrep.
Max forklarte at kampen hans for personvern ofte ender i Irland, hvor deres datatilsyn ofte unngår å håndheve gjeldende lov. Det er kanskje ikke tilfeldig at mange digitale giganter har sitt europeiske hovedkvarter i Irland. noyb sendte imidlertid inn en korrupsjonsklage mot den irske myndigheten og banet vei for at andre land, som Frankrike, kan utstede høye bøter mot notorisk lovbrytende digitale selskaper. På spørsmål om hva som bør gjøres fra politisk side, sa Max: «The problem right now is not that we need another law. We have shitloads of laws. But nobody is enforcing it.» Hans vurdering går i tråd med Inga Bejer Engh fra Barneombudet, som snakket etter ham: «Hvis det er krav uten konsekvenser, så er det bare et ønske».
Andre deltakere på møtet var Finn Myrstad. Han snakket om bruken av «Dark patterns» – manipulerende designvalg som lokker brukere til å samtykke i ting de ikke forsto eller ikke ville gå med på. Eksempler inkluderer kunstig tidspress ved kjøp av produkter (som «Rabatten din går ut om 4:59 minutter!»), eller bevisst skjulte eller ikke-eksisterende «Avvis»-knapper på cookie-bannere. Ingrid Stolpestad fra Amnesty International Norge presenterte også sin kampanje for et forbud mot overvåkingsbasert nettannonsering, et marked dominert av Google og Facebook som ofte diskriminerer kvinner og marginaliserte grupper, for eksempel når det gjelder hvem som får se et bestemt jobbtilbud.
Sesjonen ble avsluttet med en paneldebatt av Grunde Almeland (V) og Marie Knutsdatter (Sp), medlemmer av Stortingets teknologigruppe, og representanter fra Schibsted og Kobler AS, en plattform for kontekstuell nettannonsering. Kontekstuell annonsering er ikke basert på å spionere på brukeren, men relatert til nettstedet en person ser på for øyeblikket.
Jeg var ganske fornøyd med den generelle følelsen jeg fikk av arrangementet: Det ser ut til å være en generell konsensus om at kommersiell overvåkingsbasert nettannonsering bør forbys, og et slikt forbud skal behandles på Stortinget nå. Videre påpekte de fleste foredragsholderne at eksisterende personvernlovgivning bør håndheves mer effektivt. Dette krever etter min mening mer kapasitet for det norske Datatilsynet. Tenk deg at Mattilsynet opererte som Datatilsynet i dag: Serveringssteder kunne servere mat i årevis uten noen gang å bli inspisert, og etter en klage fra en bekymret gjest som hadde funnet en kakerlakk på pizzaen sin, tok det måneder til år å fullføre saken. Da ville vi ikke følt oss komfortable og trygge å spise på restauranter lenger.
Det er bekymringsfullt at teknologimonopol drar nytte av en alvorlig maktubalanse når det gjelder kontroll over våre personopplysninger, vår bruk av digitale medier og den begrensede håndhevelsen av europeisk lov: I norske universiteter er det kurs om Google Analytics, en kommersielt sporingsverktøy som vanligvis ikke overholder europeisk personvernlovgivning. I dag inneholder til og med den norske regjeringens sider skripter og marketingverktøy fra Google, selv om det finnes gratis, ikke-kommersielle og mindre personverninngripende alternativer. Offentlige institusjoner som universiteter og museer publiserer eksklusivt innhold på Facebook-sidene sine, og tvinger dermed innbyggerne til å bli med i et sosialt nettverk som tjener penger på overvåkingsbasert reklame. Vi tar opp mange av disse punktene i vår kampanje «Ta makta fra teknologigigantene» og er glade for å se at vi ikke er de eneste som har innsett at demokratier må ta tilbake kontrollen over vår digitale infrastruktur fra altfor mektige teknologigiganter.