Personopplysninger som innsatsfaktor

Av Jarle Langeland 15. august 2017

Bruk av personopplysninger krever samtykke og tillit fra de som legger igjen opplysningene.
Personopplysninger og data om brukeradferd er en stadig viktigere innsatsfaktor i verdiskapning for mange virksomheter, men retten til å bruke slik informasjon er begrenset. Uten tillit og samtykke fra de som som legger igjen opplysningene vil denne innsatsfaktoren fort være den største risiko i ethvert digitaliseringsprosjekt.

Et sentralt kjennetegn ved digitaliseringen er innsamling og analyse av data om brukeradferd. Biler, kaffetraktere og lyspærer kommer nå alle på nett, og overfører bruksdata til eiere og leverandører. Denne informasjonen gir økt innsikt og grunnlag for verdiskaping, og blir en stadig viktigere innsatsfaktor i ulike virksomheter.

Mange vil ha tilgang

BMW er en av virksomhetene som står oppi dette. Deres digitaliseringsinitiativ Connected Drive åpner for at brukeren selv kan dele bruksinformasjon om bilen med et økosystem av ulike tjenestetilbydere.

BMW fikk i 2015 og 2016 mye pepper for utilstrekkelig IT-sikkerhet, med påstander om at utenforstående kunne få tilgang til personopplysninger og/eller faktisk kontrollere enkelte funksjoner i bilen. I samme periode uttrykte styremedlem Ian Robertson i selskapet bekymring for at ulike markedsføringsaktører i økende grad presser på for tilgang til personopplysningene som samles inn av bilene.

Kombinasjonen av informasjon om at det er barn i bilen (basert på vektmålinger i setene), hvor lenge motoren har gått (la oss si tre timer på vei til bestemor og bestefar), og at navigasjonskonsollen vet at det er en McDonalds ved neste avkjørsel, kan være svært verdifullt i et markedsføringsperspektiv.

Kanskje noen brukere vil sette pris på tilpasset reklame for Happy Meal i slike situasjoner. Personlig er vi noe mer skeptiske.

Begrenset rett til å bruke innsamlede data

Svært mye av informasjonen som blir samlet inn gjennom dette såkalte Internet of Things er å regne som personopplysninger, siden den direkte eller indirekte kan knyttes til enkeltpersoner. Et særtrekk ved personopplysninger er at virksomhetens rett til å disponere over opplysningene er begrenset. "Eierskapet" er på mange måter delt med de personer som opplysningene handler om.

Personopplysningsloven og den kommende personvernforordningen setter grenser for hvor langt virksomheten kan gå i å analysere og på annen måte bruke slik informasjon uten samtykke fra den det gjelder. Samtykke er også krevende å innhente på riktig måte, og kan til enhver tid trekkes tilbake.

Samtykke blir avgjørende

Frem til nå har samtykkereglene blitt fortolket ulikt, og man møter ulike varianter av implisitte samtykker ("ved å ta i bruk denne tjenesten samtykker du til (...)") og ulike varianter av "take it or leave it".

Personvernforordningen legger imidlertid opp til mer granulære samtykker, hvor den registrerte får større grad av kontroll med hva personopplysningene faktisk brukes til. Digitaliseringsprosesser som ikke tar hensyn til dette vil fort møte alvorlige problemer.

LES OGSÅ: Ledelse og endringsledelse i digitaliseringens tidsalder

Ingen "svarte bokser" i dataflytdiagrammet

Etter vårt syn er oversikt, tillit og transparens helt avgjørende for en tjeneste eller virksomhet som har personopplysninger som innsatsfaktor. Regelverkets krav, og kundenes forventninger, er for det første at virksomheten har oversikt over dataflyt, behandlinger og underleverandører. Dette kan være en utfordring når verdikjedene blir lange og integrasjonene mange.

Den beste løsningen - og ofte den eneste realistiske - er at oversikt over den fullstendige dataflyten inngår i designet av løsningen. Ikke bare på et overfladisk nivå, men også oversikter som for eksempel viser hva den enkelte underleverandør eller samarbeidspartner faktisk gjør med de data som overføres. Eventuelle "svarte bokser" i dataflytdiagrammet må simpelthen åpnes opp.

Oversikt en forutsetning for tillit

Egen oversikt er også en forutsetning for transparens overfor de som registrerer seg. Dette er igjen en helt vesentlig forutsetning for tillit. Virksomheten må være i stand til, på et enkelt og forståelig språk, å formidle hva som skjer med personopplysningene som samles inn om den enkelte.

Der hvor det brukes selvlærende algoritmer og annen stordataanalyse er dette selvsagt lettere sagt enn gjort. Hverken kundene eller Datatilsynet vil imidlertid være tilfredse med en begrunnelse om at "the computer says no".

Tillit, gjennom oversikt og åpenhet, er nødvendig for at virksomheten skal kunne ta i bruk personopplysninger som innsatsfaktor. Lykkes det ikke å få tillit fra de som registrerer seg, vil denne innsatsfaktoren fort være den største risiko i et hvert digitaliseringsprosjekt.

Last ned gratis guide  Slik lykkes du med interimledelse

Temaer: Ledelse


Jarle Langeland's photo

Av: Jarle Langeland

Jarle Langeland er advokatfullmektig i Advokatfirmaet Føyen Torkildsen AS. Han har spesialkompetanse innen personvern og juridiske rammer for informasjonssikkerhet, og arbeider mye med implementering av nytt personvernregelverk i norske virksomheter. Jarle holder jevnlig foredrag om personvern, både for ledelsen og IT-funksjonen i ulike virksomheter.

En blogg fra Interimleder

Interimleder AS er det eneste selskapet i Norge som har spesialisert seg på interimledelse. Vi har leid ut ledere siden 2001 og vist en økning i antall oppdrag hvert år.

Vårt renommé har gjort at vi har bygget opp en base på ca. 1400 ledere som ønsker å gjennomføre oppdrag sammen med oss. Det er vi alene om i Norge.

Besøk interimleder.no

Få e-post om nye innlegg

Gratis guide - slik lykkes du med interimledelse