Forskning bestilt av Facebook fant at suspensjon av datastrømmer kan koste flere milliarder dollar hvert år.
Roo Lewis/Getty Images
EU strammer grepet om overføring av personopplysninger utenfor blokken. , men ifølge Facebook kan den europeiske stasjonen for å beskytte personvernet få uventede – og kostbare – konsekvenser for både bedrifter og borgere.
Den sosiale medieplattformen har publisert en ny undersøkelse som den bestilte til økonomer fra Analysis Group, som prøver å kvantifisere nøyaktig hvor mye penger som kan gå tapt hvis noen organisasjoner plutselig ikke klarte å overføre personopplysninger utenfor EU.
Spesifikt sett på telekom- og farmasøytisk industri, samt outsourcing av digitale betalinger og tjenester, fant forskningen at suspensjon av datastrømmer kan koste flere milliarder dollar hvert år, med kunder uunngåelig å bli påvirket av høyere priser og lavere servicekvalitet.
Scenariet er hypotetisk: økonomene bestilt av Facebook så på en tenkt situasjon der overføring av personlig informasjon utenfor blokken ikke lenger var mulig i det hele tatt.
Ifølge Facebook er dette imidlertid en mulig konsekvens som kan stamme fra EUs nylige avgjørelse om transatlantiske overføringer av personopplysninger, også kjent som Schrems II, som ugyldiggjorde en avgjørende mekanisme kalt Privacy Shield som muliggjorde personlig informasjon som flyter fritt mellom blokken og USA.
Selv om over 5300 selskaper stolte på Privacy Shield for å drive virksomhet over Atlanterhavet, ble fjoråret avgjort at mekanismen var ugyldig etter en klage fra den østerrikske advokaten og aktivisten Max Schrems mot Facebook. I lys av Edward Snowdens avsløringer om den amerikanske regjeringens spioneringsaktiviteter, hevdet Schrems at informasjonen som ble sendt utenfor EU til Facebooks amerikanske servere, kunne risikere å bli utnyttet av amerikanske rettshåndhevelsesbyråer.
Schrems II-avgjørelsen bestemte at selskaper måtte falle tilbake på alternative kontrakter, kjent som Standard Contractual Clauses (SCCs), for å overføre data mellom EU og USA – men i noen tilfeller advarte regulatorene, til og med SCCs kunne være utilstrekkelig til sørge for at europeiske statsborgeropplysninger er beskyttet mot utenlandske myndigheters snusing.
De nøyaktige implikasjonene av avgjørelsen er usikre, understreket Facebook, og rapporten gjenspeiler ikke selskapets syn på riktig eller til og med sannsynlig tolkning av dommen. Men ifølge forskningen kan en streng anvendelse av kjennelsen føre til et forbud mot all kritisk dataoverføring utenfor EU – ikke bare i USA, men i alle land der databeskyttelseslovgivningen ikke oppfyller GDPR-standardene.
“Hvis utfallet av den nåværende politiske debatten om omfanget av Schrems II-avgjørelsen fører til enten et jureforbud mot overføring av personopplysninger utenfor EØS eller, ved å øke transaksjonskostnadene vesentlig, et de facto-forbud, så vil den økonomiske virkningen på Den europeiske økonomien kan være betydelig, “sa forskerne.
Reisende kunne ikke lenger bruke internasjonal roaming i løpet av ferien, ifølge rapporten, siden prosessen innebærer å utveksle noen av brukerens personlige data mellom hjemmenettverket og det besøkte nettverket. Det må derfor kjøpes en pay-as-you-go-serviceplan for hver av de rundt 95 millioner turene som hvert år blir tatt av EU-borgere utenfor blokken, som økonomene anslår at de vil koste dem mellom 1 milliard euro (1,22 dollar) milliarder) og 4,5 milliarder euro hvert år.
Uten å kunne sende personlig informasjon utenfor EU, ville forbrukerne også bli fratatt digitale betalingstjenester som krever bankkontoinformasjon, som Apple Pay, Google Pay eller PayPal. Det kan representere opptil ytterligere € 699 millioner ($ 852 millioner) verdt med transaksjoner tapt hver dag.
EU-selskaper vil måtte stoppe outsourcing av funksjoner som krever tilgang til kunde- eller ansattedata, for eksempel IT, kontaktsentre eller menneskelige ressurser, og i stedet “back-shore” disse jobbene i blokken, til en kostnad på opptil 91,7 milliarder euro ( 111,8 milliarder dollar) per år. Å holde store databaser med viktig pasientinformasjon borte fra forskere utenfor EU, kan forlenge tidsrammen for medisinutvikling og godkjenning betydelig, og redusere sjansene for å spare opptil 1 milliard euro (1,22 milliarder dollar) per nytt utviklet legemiddel.
Noen av eksemplene i rapporten virker ganske usannsynlige. I motsetning til hva forskningen antyder, er det for eksempel lite sannsynlig at digital handel vil bli påvirket betydelig, siden GDPR tillater at dataoverføringen finner sted hvis den registrerte villig sender sin egen informasjon, eller hvis overføringen er nødvendig for å ære en kontrakt som brukeren ber om – for eksempel å få tilgang til internasjonal roaming.
Folkehelse får også en spesiell posisjon i GDPR, og European Data Protection Board (EDPB) publiserte til og med retningslinjer ved starten av COVID-19-pandemien som påminner regulatorer om at loven inneholder bestemmelser som tillater behandling av personopplysninger utenfor EU. for vitenskapelig forskning.
Selv om disse bestemmelsene ikke eksisterte, for Ben Rapp, grunnleggeren av datasikkerhetsrådgivningen Securys, savner forskningen bestilt av Facebook noe poenget med Schrems II-avgjørelsen.
– Det Schrems er åpenbart opptatt av er amerikansk masseovervåking, sier Rapp til ZDNet. “Facebook har festet seg på ideen om at en eller annen måte alle grenseoverskridende datastrømmer vil bli stoppet av dette, mens EU bare er bekymret for at store mengder innbyggerdata blir slurpet opp og solgt videre til tredjeparter eller utsatt for myndigheters overvåking. De mangler poenget om hva det er som gjelder EU. ”
GDPR, forklarer Rapp, ble ikke implementert for å hindre EU-borgere i å dra nytte av utenlandske tjenester. Når det er nødvendig med overføring av personlig informasjon for å bringe en tjeneste til europeiske brukere, for eksempel for å bruke en digital lommebok eller ringe når du reiser, er det derfor lite sannsynlig at transaksjonen kommer i rampelyset på samme måte som Max Schrems kaster lys på datastrømmene som ligger til grunn for Facebooks forretningsmodell.
Hovedårsaken til at den sosiale mediegiganten trenger å sende EU-borgernes data tilbake til USA, er faktisk å vise målrettede annonser på nettet – som utgjør størstedelen av Facebooks inntekter, men som ikke gir noen direkte fordel for brukeren, ifølge Rapp.
“Hvis ikke dataene skulle overføres i sammenheng med en lommebok, ville den registrerte miste fordi de ikke lenger ville få den funksjonaliteten de ønsket,” sier Rapp. “Hvis Facebook slutter å overføre data til USA, er det Facebook som taper.”
“Problemet er at det i de fleste brukstilfeller er relativt enkelt å demonstrere at du kan overføre data uten at det er underlagt overvåking, eller at det i balanse er til fordel for den registrerte å foreta dataoverføringen. Problemet er Facebook kan ikke komme med det andre poenget, ”legger han til.
I stedet for å forestille seg et usannsynlig scenario der alle dataoverføringer skulle suspenderes til skade for EU-borgere, argumenterer Rapp for at Facebook heller burde ha bestilt et papir som forklarte hvorfor europeiske brukere kan tape når målrettet reklame blir vanskeligere å implementere i etterkant av Schrems II – for eksempel hvis den sosiale medieplattformen måtte begynne å ta betalt for sine tjenester.
“Hvilket verktøy har forbrukerne å tape hvis strømmen av annonsedollar reduseres? Er det tap av funksjonalitet oppveid av fordelene ved ikke å bli utsatt for amerikansk overvåking? Det er det denne studien burde ha sett på,” sier Rapp.
Til tross for Facebooks engasjement i bransjen nevnte rapporten imidlertid ikke den potensielle effekten av Schrems II på digital reklame.
Facebook ga ikke noen kommentar i skrivende stund.
Relaterte emner:
EU Big Data Analytics Innovation CXO Artificial Intelligence Enterprise Software 