lördag 6 juli 2019

Databehandling och skydd för ett innovativt samhälle


Databehandling är väsentligt för små och stora företag, oavsett bransch. Det är genom spridningseffekterna som digitaliseringen påverkar samhället i stort.

Hur insamling och bearbetningen av data går till kommer att spela stor roll för vilka tjänster som utvecklas och användarnas fortsatta förtroende. Nu när maskingenererad data framställs, såsom exempelvis data genererad genom maskininlärning och artificiell intelligens, blir kvaliteten på data allt viktigare, går det att fortsätta använda gratis data snarare än bra data för att få fram rätt information?

Skydd för data ges av tre lagar: upphovsrättslagen, lagen om skydd för företagshemligheter och Dataskyddsförordningen GDPR.

Upphovsrättslagen skyddar formen av den data som sammanställts, inte datan i sig, som kan uttryckas i en annan form. Det gäller även för databaser, lagen skyddar sammanställningen.

Lagen om företagshemligheter kan betyda problem om flera varit med om att samla in datan och bearbeta den. Det sker ofta idag och om inte äganderätten är klart uttryck kan den hemliga datan inte skyddas.

GDPR är i mycket en uppdatering av dataskyddsdirektivet från 1995 (i Sverige antaget som PuL), men idag är vi till skillnad från 1995 alla databehandlare. Att anpassa sig till GDPR:s regelverk har tvingat många företag till tids- och kostnadskrävande omställningar när det gäller att samla in, bearbeta och sprida dataflöden. Det är kostsamt med ofta otydlig nytta, vilket ger en ojämn tillämpning för olika aktörer.

Regleringar tenderar att frysa marknaden till läget vid regleringens införande. Det gynnar främst de större marknadsaktörerna som har råd att kunna följa regleringarna. I värsta fall kan det slå undan benen för nya aktörer, eller att marknaden i sin helhet utsätts för disruption till att själva affärsmodellen förändras. Risken finns att istället för att skapa bättre system för datainsamling så uppfyller företagen bara det som krävs för compliance.

Nu ändras reglerna kring öppen data och öppnas upp, i enlighet med Psi-direktivet, istället för att de var tänkta en stor inkomstkälla för de dataintensiva myndigheterna. Öppna data kommer fortsatt att vara en viktig fråga när kommuner och regioner köper in tjänster som de tidigare själva producerade. En del kommuner kan säkert tänka sig, i ekonomiskt svåra tider, att betala entreprenörerna med användardata. Därför bör det i upphandlingarna finnas tydliga krav på ägarskap av data, hur data får behandlas och hur data ska tillgängliggöras för allmänheten.

De bästa lösningarna för databehandling står ofta att finna i just tekniken. Det finns en viktig nisch att fylla för den som kan skapa produkter, tjänster och affärsmodeller för att skydda användarnas data.

Ett bra exempel på en teknisk lösning för att få kontroll över vilka data som lämnas ut är annonsblockerare för webbläsare, så att användaren själv får kontroll. Adblocks visar dock att även tekniska lösningar kan vara kontroversiella, då de störde ut tidningar och plattformars annonsdrivna affärsmodeller.

Very Good Security - VGS, är förstås en lek med namnet Pretty Good Privacy, PGP. VGS är en mellanhand som anonymiserar transaktioner, auktorisationer och autentifieringar så att persondata inte lagras och sänds runt till att försäljare och deras kontakter. Konkurrensen driver integriteten, som exempelvis Google Incognito Mode. Företag vill inte lagra data, de vill bara använda dem.

Många har byggt upp en mycket centraliserad och kontrollinriktad dataarkitektur, men idag samlas data in från många olika källor. Heterogena data ställer frågor kring uppskattningar av strikt ansvar mot oaktsamhet, annars finns risken att systemen blir sårbara. Här har blockkedjan påtänkts som ett sätt att skydda data decentraliserat.

Risken är att vi avskräcker användarna från att använda data med fel policy – många användare har något skämtsamt sagt att de skulle återgå till papper och penna på grund av GDPR (som i själva verket är teknikneutral).

Det som påtänkts hittills är nationella handlingsplaner, som AI-agendan. Vi har också kunskap att hämta från nobelpristagaren Elinor Ostrom och hennes tankar om institutioner. Det kan utveckla fler standarder för datainsamling, best practice, ratings för hur väl data behandlas, mellanhänder och metaplattformar. Försäkringsbranschen har också en viktig roll att spela i att ta fram bra standarder. Vi ska inte heller underskatta den betydelse som sociala normer hos användarna spelar för att styra databehandlingen rätt.

Kritiken brukar handla om att Ostroms tankar inte kan användas på något så omfattande som datainsamling har blivit, men det missar poängen. Det är många bäckar små, en mångfald av lösningar, som kan ge bättre databehandling för alla.

Ovanstående är en redigerad variant av talespunkter framtagna för ett rundabordssamtal i Almedalen lett av Christina Wainikka från Svenskt Näringsliv, med Carolina Brånby från Svenskt Näringsliv, Jon Simonsson från Kommittén för teknologisk innovation och etik (KOMET)), Christine Grahn från Facebook och My Bergdahl från IT & Telekomföretagen.