Annons

Dyrt, dumt och dåligt med GDPR

EU:s dataskyddsförordning, GDPR.
EU:s dataskyddsförordning, GDPR. Foto: Jesper Sandström

GDPR lär bli kvar för överskådlig framtid, men det är viktigt att påminna om dess oönskade konsekvenser. Då kanske väljarna är mer vaksamma nästa gång EU:s lagstiftare vill ”förbättra internet”, med samma finess som flodhästar i en serverhall.

Under strecket
Publicerad

Politiska beslutsfattare borde oftare påminna sig om talesättet ”vägen till helvetet är kantad av goda intentioner”. Med besvärande regelbundenhet tas beslut i största välmening, till synes utan en tanke på att de kan ha negativa konsekvenser. Ett av de mest hårresande exemplen i närtid är EU:s dataskyddsförordning, GDPR, som fått förhållandevis lite uppmärksamhet i media sedan den trädde i kraft 2018.

Läser man beskrivningen på EU-kommissionens hemsida låter det nästan som om GDPR är det bästa som hänt på teknikområdet sedan internet uppfanns. Goda brysselbyråkrater har handlingskraftigt trätt in för att skydda unionens medborgare från onda storföretag som vill ta sig friheter med deras personuppgifter.

EU-medborgare ska ha rätt att få information om vilken data som samlas in och av vilka skäl, och de ska också kunna begära ut insamlad data. Det kan väl låta lovvärt, men förordningen är inte alls så enkel eller odelat positiv som dess förespråkare låter påskina. Man kan få en fingervisning genom att titta på kostnaderna. Tillväxtverket beräknar att bara införandet kostat svenska bolag 26,6 miljarder kronor. Sedan tillkommer drygt 6,6 miljarder kronor årligen för att leva upp till de olika kraven.

Annons
Annons

Men det kan det väl vara värt, om det bidrar till att skydda våra personuppgifter? Kanske det, om det nu hade funnits belägg för sådana effekter. Här kommer nästa tecken på att något är lurt. Mark Zuckerberg, Facebooks grundare, har lovordat lagstiftningen och väckt frågan om något liknande borde införas i USA. Detta trots att hans företags överlevnad står och faller med möjligheten att behandla stora mängder personuppgifter och anpassa annonser därefter.

GDPR innebär inget magiskt skydd mot sådant. Du kan fortfarande ge företag långtgående rättigheter till dina data, och du är ofta tvungen att göra det om du vill använda deras tjänster.

Varför gillar då Zuckerberg GDPR? Om det bottnar i att han brinner för integritetsskydd så kunde han väl ha infört det utan tvång från EU? Det kan vara ren välvilja, men det kan också handla om ett mindre smickrande skäl, som många av förordningens kritiker lyft fram. De organisationer som lättast klarar att bära förordningens omfattande byråkratiska pålagor är stora företag, med omfattande resurser att lägga på juridik och regelefterlevnad. För deras mindre konkurrenter och branschkolleger är det värre. Det har bland annat fått till följd att tusentals utomeuropeiska IT-företag, företrädesvis nyhetssajter, blockerar besökare från EU. Det är helt enkelt inte värt kostnaden att leva upp till kraven. Resultatet blir ett sämre och mindre globalt internet. Små aktörer missgynnas på bekostnad av väletablerade jättar.

Eländet slutar inte där. IT-säkerhetsforskaren James Pavur visade nyligen i en studie att kravet på att ge kunder tillgång till insamlad data kan leda till att uppgifterna slapphänt lämnas ut till obehöriga.

40 procent av de 150 företag han kontaktade lämnade ut en tredje parts uppgifter antingen utan att begära någon identifikation alls, eller sådan identifikation som lätt kan förfalskas. Så är lagen naturligtvis inte tänkt att fungera, men lagstiftning måste som sagt utvärderas utifrån faktiska konsekvenser, inte utifrån intentioner i en idealvärld.

GDPR lär bli kvar för överskådlig framtid, men det är viktigt att påminna om dess oönskade konsekvenser, och om all kritik som ignorerades längs vägen. Då kanske väljarna är mer vaksamma nästa gång EU:s lagstiftare vill ”förbättra internet”, med samma finess som flodhästar i en serverhall.

Annons
Annons
Annons
Annons
Annons