I et berygtet afsnit af kulttegneserien South Park optræder Apple-grundlæggeren Steve Jobs som en sindssyg opfinder, der forsøger at skabe et menneskeligt tusindben ved at sy naive Apple-kunder fast til hinanden – mund til anus – i én lang, ækel række. Forsøgspersonerne har selv accepteret det vanvittige eksperiment, går vittigheden på, fordi de uden at læse vilkårene for brugen af Apples medieafspiller, iTunes, har klikket ’acceptér’ til den uoverskueligt lange samtykkeerklæring.

Helt så galt går det næppe i virkeligheden. Men tegneserien illustrerer meget godt de fleste almindelige menneskers forhold til internettets endeløse række af samtykkeerklæringer. Prøv selv at tænke efter: Har du nogensinde læst en af de mange samtykkeerklæringer eller cookie-politikker i de irriterende pop-up-vinduer, du støder på, når du bruger internettet? Altså sådan helt til ende, inden du har klikket ’acceptér’?

Det ærlige svar for langt de fleste er nej. Og det viser, hvor forkvaklet en tilgang til databeskyttelse, EU-lovgiverne har valgt, når man fortsat bruger samtykke som en af de centrale veje til at regulere brugen af persondata – også efter den 25. maj, hvor den nye persondataforordning træder i kraft, og senere på året, når også en ny cookie-lovgivning forventes at være klar. I begge tilfælde er der et overdrevent fokus på samtykke, der slet ikke står mål med borgernes totale indifferens over for ordlyden i de kedsommeligt lange erklæringer.

Den tilgang til persondatabeskyttelse er helt forkvaklet, mener it-advokat Martin von Haller Grønbæk, der er partner i advokatbureauet Bird & Bird, og som med over 20 års erfaring er en af Danmarks førende eksperter inden for it-jura og persondatalovgivning. Og præcis ligesom os andre, har han heller aldrig frivilligt læst en samtykkeerklæring helt til ende, indrømmer han.

“Jeg har aldrig nogensinde læst en privacy-policy eller en cookie-bestemmelse igennem, medmindre jeg har fået penge for det. Og det er jo, fordi jeg er et rationelt menneske, der ikke gider spilde min dyrebare tid på det. Sådan har de fleste mennesker det jo, fordi de laver en simpel afvejning af den tid, de skal bruge på at læse de tekster, i forhold til risikoen ved ikke at læse dem. Og der er ingen sammenhæng mellem de to ting i forhold til alle livets mange andre risici,” siger Martin von Haller Grønbæk.

Cookies fra helvede

Samtykke har i årevis været et centralt lovkrav til virksomheder og organisationer, der på internettet har indsamlet og anvendt borgernes data til helt legitime formål som f.eks. at sende varer købt i en webshop. Samtykket legitimerer den databrug, men virkeligheden er, at folk uden megen tøven giver deres tilladelse til stort set alt uden at læse vilkårene.

“Derfor mener jeg, at samtykke er en helt fundamental forkert tilgang til at beskytte dit og mit privatliv, for det er baseret på illusionen om, at det sker ud fra en oplyst beslutning om accept,” siger Martin von Haller Grønbæk.

Selv om den nye persondataforordning også introducerer andre veje til sikring af persondata, så fylder samtykke stadig uforholdsmæssigt meget i lovgivningen – ikke mindst hvis man også tæller EU’s cookie-lovgivning med.

“De her cookie-policies er jo helt absurde. De spilder alle folks tid. Og de eneste, der får noget ud af dem, er de jurister, der har lavet reglerne, og dem, som skal formulere samtykkeerklæringer bagefter,” siger han.

Derfor erklærer han sig ekstremt skeptisk over for den måde at sikre privatlivets fred på, som hele EU’s privacy-lovgivning er baseret på, hvor man som udgangspunkt siger, at offentlige og private virksomheder ikke må dele information, medmindre de har fået tilladelse til at gøre det.

“Det er et kæmpe problem, at kravet om folks informerede samtykke stadig er en så afgørende del af hele den måde, man i EU har valgt at regulere privacy på. For nej, jeg ved ikke, hvad mine oplysninger bliver brugt til, eller hvad jeg giver tilladelse til, for jeg giver hovedløst samtykke til alt. Jeg er jo ikke dum,” siger Martin von Haller Grønbæk.

Et misfoster skabt af jurister

Ondets rod er ifølge den danske it-advokat det, han kalder ’jurist-tankegangen’ hos lovgiverne. I sidste ende gavner denne tankegang kun juristerne selv, i stedet for borgerne.

“Når man baserer databeskyttelsen på samtykke, så er der en masse jurister, der kan tjene penge på at formulere samtykke, og en masse lovgivere, der kan klappe i hænderne og sige, at de har sikret dine rettigheder, fordi du jo skal give dit samtykke eller lade være,” siger han.

“Men det er en forkvaklet juristtankegang og en falsk tro på, at hvis vi bare selv indgår et informeret samtykke, så er alt på plads. Det er et eksempel på jurist-inficeringen af vores samfund. Vi lader det hele være baseret på, at det er jurister, der hjælper lovgiverne med at skabe reglerne, og så er det bagefter igen op til jurister at navigere i reglerne,” siger Martin von Haller Grønbæk.

Han mener derfor, at man skal gribe privatlivsbeskyttelse fundamentalt anderledes an.

“Vi skal simpelthen anerkende, at det er godt for vores samfund, at alle de her data i vidt omfang skal kunne flyde rundt og blive delt og brugt af folk og virksomheder. Og så skal vi mere fokusere på at lave regler for, at man ikke må misbruge data,” siger Martin von Haller og peger på, at opgaven for statens vedkommende er todelt, og at EU’s konkurrencekommissær, Margrethe Vestager, har en stor rolle at spille:

“For det første skal man regulere, hvilke områder man ikke må bruge folks data til – uanset om man har givet samtykke eller ej. Og for det andet skal man sikres en reel mulighed for at vælge alternativer, og det kræver, at nogle enkelte virksomheder ikke har datamonopol, og at der er transparens omkring, hvordan data blive anvendt helt ned på algoritmeniveau,” siger han.

Derfor er det dataportabilitet – dvs. brugerens ret til at have kontrol over egne data, så man f.eks. kan få flyttet sine data fra Facebook og over til et andet socialt medie – og transparens, der er de afgørende principper.

Vestager viser vejen

“Det handler i virkeligheden om at have meget mere fokus på at sikre konkurrence, så der ikke er nogle enkelte, der bliver så store, at de reelt bliver til datamonopoler,” siger Martin von Haller og peger derfor på, at det bedste i den nye persondataforordning er princippet om dataportabilitet, altså at man har ret til at få flyttet sine data fra f.eks. Facebook og over til et konkurrerende socialt medie.

“Vi skal sætte vores lid til, at Margrethe Vestager kan sikre os mod datamonopoler. Det kræver meget mere fokus på dataportabilitet, fordi det er der, at man får en reel mulighed for privatlivsbeskyttelse, fordi man så kan vælge et alternativ til en virksomhed, der har baseret sin forretningsmodel på at sælge reklamer ud fra ens data,” siger han.

Det vigtige er altså ikke at have regler om, hvordan man må dele oplysninger, men regler for, hvad man må bruge oplysningerne til, opsummerer han.

“Forskellen svarer til vores tilgang til ytringsfrihed, hvor udgangspunktet er, at jeg må sige, hvad jeg vil, om dig – det skal du ikke give tilladelse til først. Men jeg står så til ansvar efterfølgende for det, jeg siger,” siger han.

Men er det ikke naivt at have den tillid til virksomheder og lade ’data flyde frit’, når nu vi kan se omfanget af de seneste skandaler om misbrug af data fra f.eks. Facebook?

”Hvis man vil forhindre ’skandaler’ som Cambridge Analyticas anvendelse af Facebook-data, så skal man forbyde, at man anvender persondata til ’politisk manipulation’, uanset hvorledes man har fået adgang til de pågældende data. Fokus bør være på den uønskede brug af data – ikke adgang hertil,” siger han.