Vi bär alla ansvar för Cambridge Analytica-skandalen

I kölvattnet av Cambridge Analytica-skandalen har människor världen övervägt att sluta använda Facebook. Teknikjättens grundare Mark Zuckerberg frågas ut i USA:s kongress. Kritiska röster har höjts för att lagstiftningen ska hänga med teknikutvecklingen. Frågan är vad som nu händer med Facebook och andra teknikjättars digitala affärsmodeller framöver. Kommer vi sluta dela med oss av vår information och strypa bränsletillförseln till modellerna?

I bästa fall kommer den negativa uppmärksamheten efter Cambridge Analytica-skandalen leda till att fler människor får upp ögonen för att vi betalar med vår data. Och ja, dina data loggas hela tiden, oavsett om du själv producerar inlägg på Facebook eller besöker en nyhetssajt. Trots att detta inte är något nytt så är det först under de senaste veckorna som var tredje svensk övervägt att stänga ner sitt Facebook-konto, enligt analysföretaget Novus. Det visar att användarnas kunskap om insamlandet av användardata inte är så stor. I sämsta fall får skandalen inga större konsekvenser, varken för företagen eller användarna.  Det kan innebära att de stora IT-jättarna får ett friutrymme att skada demokratiska funktioner i samhället för egen vinnings skull.

Avslöjar skandalen något nytt eller unikt? Nej, den typ av dataanalys som använts här är inget specifikt för Facebook eller Cambridge Analytica. Företag som bygger sina affärsmodeller på användargenererad data började på allvar dyka upp under 2000-talet och de har samlat användardata sedan dess, med allt mer avancerade algoritmer. En del kanske tror att det bara är Facebook och liknande nätjättar som registrerar data. Så är det naturligtvis inte.

Allt fler företag på internet samlar på sig beteendedata. Så ser det ut på vanliga svenska nyhetssajter där många fler aktörer än ägarföretaget samlar på sig data om användarna. Den typ av insamling och hantering som Cambridge Analytica har ägnat sig åt är alltså inte något nytt i marknadsföringskretsar. Vill man vara krass kan man snarare kalla det för normaltillstånd. Skillnaden är att det nu uppdagats, att hanteringen skett på ett tvivelaktigt sätt och att det gäller speciellt känsliga data, som politiska åsikter. Det finns säkert åtskilliga liknande exempel, det är bara det att de inte har upptäckts.

En viktig skillnad mellan Cambridge Analytica och Facebook är att det senare företaget har användarnas samtycke att använda den här typen av metoder genom långa användaravtal. Digital teknologi skapar fantastiska innovationsmöjligheter, men innebär också en gråzon för vad som är lagligt och etiskt möjligt när lagstiftningen inte hänger med den snabba teknikutvecklingen. Framför allt är det delningsekonomins mediejättar som effektivt utnyttjat den relativt oreglerade gråzon som har uppstått, vilket också gett dem mycket makt. Det har skapat vad som kommit att kallas ”övervakningsekonomi”, och har drivit fram hårdare lagstiftning som GDPR för att skydda användarnas integritet.

Kommer denna lag att få någon effekt? Ja, till skillnad mot tidigare direktiv ger GDPR ett enhetligt dataskydd med samma regler i alla medlemsstater. Det kommer att gälla för alla företag som agerar inom EU. Och det är användaren som kommer att dra längsta strået genom ökad kontroll över hur deras personuppgifter används.

Huvudpunkterna omfattar kravet på aktivt, informerat och frivillig samtycke från användaren för behandling av personuppgifter. För både företag och annonsörer ställer detta stora krav på att kunna förklara vad samtycke innebär. Förordningen omfattar även rätten för personer att ”glömmas bort” i alla kanaler där den personliga informationen har spridits. Det kommer också krävas tillstånd från användaren för att genomföra visst insamlande, särskilt när det gäller bedömning av kreditvärdighet, pålitlighet eller beteende. I princip kan kraven begränsa möjligheten till den typ av analyser som Cambridge Analytica genomförde och sätta käppar i hjulet för företag som använder sig av tvivelaktiga metoder.

Det låter väl bra? Men hårdare lagstiftning är inte nödvändigtvis bara av godo. De nya reglerna kan göra det svårare för många medieföretag att ta fram träffsäkra annonser, och annonser är en viktig del av digitala affärsmodeller. Minskad noggrannhet innebär också minskad relevans och träffsäkerhet för digitala tjänster. Det kan innebära minskat mervärde för användaren.

GDPR slår inte heller lika mot alla. Det är ”enklare” för exempelvis Apple att tillämpa GDPR globalt än vad det är för Facebook, som är ett annonsföretag och mer beroende av att kunna segmentera användarurval.

Den stora frågan är vem som har ansvaret för den affärsutveckling som vi nu ser? Facebook som utvecklar tekniken, företag som köper annonsering från Facebook eller användarna som utnyttjar tjänsterna på grund av de mervärden algoritmerna ger? Svaret är att vi alla bidrar till den digitala affärsmodellens framgång.

Därför behöver vi också ta gemensamt ansvar. Företag måste göra det enklare för användare att förstå vad, när och hur de samtycker till att deras data används. Vi måste förstå hur företagens regelverk fungerar och få möjlighet att i högre utsträckning bestämma när vi vill dela våra data. Företaget kan vinna på detta genom att visa på vilket sätt denna insamling är värdefull också för användaren och för utvecklingen av effektivare, träffsäkrare och nyttigare tjänster. Om förtroendet brister kan det leda till att användare avvaktar med inköp eller låter bli att testa nya tjänster. Bristande förtroende kan motverka innovation.

Företagen bör alltså ta Cambridge Analytica-skandalen som ett varnande exempel på vad det kostar – i image och böter – att tumma på användarnas integritet. GDPR kommer att tvinga företag att mer aktivt fundera över i vilken mån ändamålen helgar medlen vad gäller att ta sig allt för stora friheter med användarnas data för egen vinnings skull. Även om det är lagligt, är frågan om det är etiskt, och ekonomiskt försvarbart? Facebook har lovat att öka transparensen, men kanske är det ”too little too late” för den europeiska marknaden. GDPR kommer ändå att kräva sådana åtgärder.

Men trots den senaste tidens snålblåst om otillbörlig användning av användardata och kommande GDPR-anpassning kommer nog inte Facebook påverkas i större utsträckning. Facebook har både de tekniska och juridiska musklerna för att hitta kryphål i lagen. Och även om Mark Zuckerberg gjort en pudel och gått ut och sagt att GDPR är bra, så finns det inget som pekar på att Facebook kommer att följa GDPR globalt. Men samtidigt som det finns all anledning att ifrågasätta Facebooks agerande så måste vi också inse att regleringar medför begränsningar. Det kan leda till att innovation och teknikutveckling stryps.

Därför står makthavare och politiker inför en stor utmaning. De måste skapa kraftfulla åtgärder som stödjer både god integritet och digital innovation. Inser politikerna vilken viktig roll de har? Men det handlar inte bara om makthavarna. Företagen har självklart ett stort ansvar. Och inte minst vi användare. Vi måste också skaffa oss kunskaper och förstå att vi är nyckelspelare för att skapa innovativa tjänster i en digital ekonomi och ett hållbart samhälle.

Sara Leckner, universitetslektor och forskare inom medieteknikutveckling vid Malmö universitet