Personlige oplysninger er de data, der gør det muligt at identificere en person eller at gøre vedkommende identifikationsbar. Det drejer sig derfor eksempelvis om navne, fornavne, fødselsdato, et telefonnummer, et fotografi, et CPR-nummer, en stemmeoptagelse… Det er præcis syv år siden, siden Generelle databeskyttelsesforordning (GDPR) trådte i kraft i maj 2018, hvorefter alle europæiske lande ensrettede reglerne på området.
Ved at pålægge virksomheder og offentlige myndigheder krav ved udnyttelsen, opbevaringen og delingen af disse så eftertragtede oplysninger, som bruges til at profilere brugerne af digitale tjenester. Ved tab eller tyveri af disse data kan der ilegges bøder på op til 4 % af den globale omsætning for den enhed, der anses for at være ansvarlig.
Hvilken kvantificerbar effekt har GDPRs anvendelse?
Først og fremmest er det ikke umiddelbart målbart i tal, men man kan værdsætte det faktum, at alle organisationer, der indsamler oplysninger – som berører os direkte i en sådan grad, at vi kan identificere os som enkeltpersoner – giver dem en særlig beskyttelse. Men for at gå ud over denne fornemmelse har CNIL netop gennemført en økonomisk analyse af reguleringens indvirkning, som den er ansvarlig for at håndhæve.
Med fokus på problemet med identitetstyveri, fordi det er den mest veldokumenterede problematik. En ondsindet praksis, der kan forårsage skader både økonomiske – med hævdelse af betalinger eller bankkonti – og moralske – med skader på personligt eller professionelt omdømme, som er svære at reparere og kan vare ved i længere tid.
Direkte og indirekte omkostninger
CNIL skelner mellem direkte omkostninger – relateret direkte til identitetstyveri. Og indirekte omkostninger, som for eksempel offerets tilbageholdenhed i ugerne efter hændelsen, der får vedkommende til at reducere sine onlinekøb. Og dermed skader e-handelsaktørerne. Ifølge vurderingen udarbejdet af Kommissionen, har GDPRs sikkerhedsforanstaltninger dermed muliggjort at undgå op til 219 millioner euro i tab relateret til omkostninger ved identitetstyveri i Frankrig, hvoraf 132 millioner euro er direkte omkostninger.
Og op til 1,4 milliarder euro for hele EU, hvoraf 988 millioner euro er de direkte omkostninger.
Denne evalueringsmåde, som bygger på akademiske publikationer og offentlige statistikker, er interessant, fordi den supplerer måden at håndtere reguleringen på. Den betragter ikke kun som et tvangsaspekt, men også den værdi, den bidrager til at skabe. Som om man optæller de liv, som indførelsen og den obligatoriske brug af sikkerhedsseler har kunnet redde i løbet af et år.
At sætte en pris på beskyttelsen af digitale aktiver
Vi ser ud over de sektorbaserede regulatorer, som i Frankrig CNIL på området omkring personoplysninger, at markedsmyndighederne i stigende grad kræver af virksomheder, der er ramt af cyberangreb, at de kommunikerer om deres finansielle konsekvenser.
Dette bidrager til at gøre en skade, der er opstået i det digitale rum, meget mere konkret.
Således, i slutningen af maj 2025, meddelte den britiske distributionskæde Marks & Spencer, at hacking af deres udstyr, der fandt sted i april sidste år og lammede en del af onlinebestillingerne og betalings-terminalerne i butikkerne, havde kostet dem 355 millioner euro. Som børsnoteret virksomhed var koncernen forpligtet til at sikre gennemsigtighed gennem en officiel meddelelse. Så ikke blot skal man som følge af krisen foretage en opgørelse af de omkostninger, som skaden har medført, men også gøre den offentligt tilgængelig. Dette bliver dermed et helt eget governance-tiltag.
Des consommateurs qui se mobilisent
Brugere af digitale tjenester er blevet mere bevidste om, at de har ganske reelle rettigheder i denne virtuelle verden. I februar 2025, støttet af i maj af franske advokater, igangsatte Ligue des droits de l’homme (LDH) en gruppeaktion mod Apple gennem en dedikeret hjemmeside, som allerede har indsamlet mere end 15.000 klager. Det rettes mod Siri, Apples stemmeassistent, at have optaget stemmer fra tusindvis af brugere uden deres viden.
