Det blir lagret enorme mengder informasjon om oss når vi bruker internett, og 6 av 10 nordmenn har ikke oversikt over hvilke opplysninger som er lagret om seg, ifølge en fersk undersøkelse fra Evry, skriver Aftenposten.

25. mai kommer EUs nye lover for personvern, GDPR. Da skal det bli langt enklere å vite hva som lagres om deg, og hva denne informasjonen brukes til.

GDPR står for «General Data Protection Regulation». Helt kort betyr det at alle som lagrer informasjon, får strengere regler å forholde seg til. De risikerer også kjempebøter om de ikke følger reglene.

Et slikt lovverk kan forhindre skandaler som saken om Facebook og Cambridge Analytica. I alle fall for europeiske brukere, i første omgang.

Nylig ble saken om Facebook-profiler på avveie mye større: 87 millioner profiler kan være påvirket.

Her er fem ting du, som vanlig internettbruker, må vite om GDPR. Vi legger med noen tegninger for å gjøre det enklere:

Også i dag må du gi samtykke til at informasjon om deg blir samlet og lagret, men med GDPR vil det stilles strengere krav til akkurat det. Foto: Anders Veberg

1. Det som lagres om deg, skal du bestemme over selv

Du skal vite hva som blir lagret om deg, og aktivt si ja til at det lagres, med noen få unntak. Du skal også vite hva informasjonen skal brukes til.

Likevel er det mye som er uklart. Når du laster ned informasjon som Facebook har lagret om deg, får du en mappe med bilder du har lagt ut, kommentarer du har skrevet, hvem du er venn med og så videre. Den informasjonen kan brukes til å skreddersy annonser og hva som dukker opp i nyhetsstrømmen din.

Med andre ord: Når du liker kommentarer, bilder og artikler lages en profil som viser hva du liker. Hvordan den profilen ser ut, er det fortsatt ikke sikkert at du får se.

– Om det kan regnes som bedriftshemmeligheter som er viktigere enn ditt personvern, er fortsatt uklart, sier Nicolay Moulin i Evry.

I dag blir personvernerklæringer og brukervilkår ofte presentert gjennom lange og kompliserte dokumenter. Når GDPR blir innført, er det et krav at vilkårene skal være enkle å forstå. Foto: Anders Veberg

2. Det skal være tydeligere hva du sier ja til

Hva som lagres og hva det brukes til, skal presenteres på en forståelig måte. Med andre ord skal du slippe de lange og kompliserte dokumentene som du blir møtt med i dag.

– Det kan fortsatt være snakk om mye informasjon, men det skal kunne deles opp. Har du 17 sider med ren tekst, vil ikke det være bra nok. Det gir selskapene en plikt til å være kreative, sier Tobias Judin, juridisk rådgiver i Datatilsynet.

Et eksempel på hvordan det kan se ut, kan være at et selskap samler informasjon «for å sende deg tilbud og informasjon om arrangementer». Formuleringer som «å gi deg en bedre brukeropplevelse», kan være for lite konkret etter det nye lovverket.

Det som blir lagret om deg, skal kun brukes til det du selv ønsker at det skal brukes til. Ombestemmer du deg, skal informasjonen slettes. Foto: Anders Veberg

3. Det som er lagret, skal også kunne fjernes enkelt

Samtidig som du skal vite hva du sier ja til, skal du like enkelt kunne si nei til at det lagres informasjon om deg.

Det skal også bli enklere å få fjernet informasjonen som er lagret om deg. Lagrer en bedrift informasjon om deg uten at du har sagt ja til det, kan du kreve at det slettes. På samme måte kan du kreve at opplysningene ikke brukes til markedsføring og annonser.

– Det kan være så enkelt som at en klubb du er medlem i har lagret noen opplysninger, som navn og adresse, for å sende deg invitasjoner og medlemsblad. Melder du deg ut, trenger de ikke den informasjonen lenger, og da må den slettes, forklarer Tobias Judin.

4. Det kan svi kraftig for dem som bryter loven

Dagens regler for datainnsamling er relativt vage, og de ble formulert for rundt 20 år siden. Siden den gang har teknologien gjort enorme hopp, mens lovverket har vært relativt uendret.

– Samtidig har det vært ganske nøytralt utformet og teknologinøytralt. Det er mange likhetstrekk mellom dagens EU-direktiv og GDPR, sier Tobias Judin.

EU-direktivet som kom i 1995 er også det som den norske loven bygger på. Med GDPR kommer noen sentrale endringer.

I det gamle lovverket står det for eksempel ikke at personvernerklæringene faktisk skal være mulige å forstå.

Men den aller største endringen vil ikke være synlig for deg som forbruker. Det vil ha mer å si for Datatilsynet når de skal gjøre sin jobb. Nå får de muligheten til å samarbeide med andre land, og å gi potensielt enorme bøter.

Dersom et selskap bryter GDPR, kan de få en bot på enten 20 millioner euro, eller inntil fire prosent av omsetningen for det året. For Facebook, som tjente over 40,6 milliarder dollar i 2017, kan det bety en bot på over 1,6 milliarder dollar – 12,5 milliarder norske kroner.

– Risikoen for at selskaper skal få bøter som faktisk vil svi, vil være viktig. Vi vil nok ikke se de enorme bøtene med det første, men trusselen alene kan være nok, legger Nicolay Moulin til.

– Risikoen for at selskaper skal få bøter som faktisk vil svi, vil være viktig, sier Nicolay Moulin (til høyre), IT-selskapet Evrys ekspert på data og personvern. Foto: Privat/Evry

5. Det skal egentlig ikke komme store endringer for deg

Om de nye lovene høres voldsomme ut, kan du tenke på dette: Det er ikke du som privatperson som skal gjøre store endringer. Hovedsakelig vil GDPR bety at du får en ny personvernerklæring på nettsider du bruker.

Forskjellene vil være:

  • At du nå kan si nei til at informasjon om deg blir lagret, men du kan likevel bruke nettsiden.

  • At det skal være enklere å forstå hva du faktisk sier ja til.

Det betyr ikke at du ikke må si «ja» eller «nei» ved hvert eneste hjørne når du er på internett. Innhenting av samtykke «skal ikke være unødig forstyrrende for brukeropplevelsen», presiserer Judin i Datatilsynet.