SÅRBART: Ettersom nær sagt alle ting kobles opp til internett økes muligheten for å påføre andre skade. Terrorister eller utpressere kan ramme strømnettet vårt, industri, transport eller annen infrastruktur, skriver advokat Kristian Gille. (Foto: Norsk Hydro)

Tingenes internett

Forsikringstrøbbel med tingenes internett

KOMMENTAR: Trodde du tilkoblingen av ting til internett bare har betydning for personvernet ditt? Den kanskje mest merkbare virkningen for deg og meg kan komme til å bli forsikring.

Artikkelen er første av seks om tingenes internett og mulige uheldige virkninger for deg og samfunnet.

Tingenes internett betyr at store og små ting som før klarte seg på egenhånd kobles til og styres via internett. Kraftnett, biler, pulsklokker, hjem og et utall andre ting kobles opp til sine leverandører og eiere. Den raske oppkoblingstakten vil ikke bare bety stadig mindre privatliv. Mer direkte følbart kan virkningene bli for deg som forsikringstager.

For forsikringsselskapene kan tingenes internett betyr enda mer informasjon for å beregne risiko, men også større risiko.

Rullende datamaskiner

I det følgende skal vi se på særlig to områder mange er opptatt av: Bil og helse. Til slutt berører vi også hvordan kyberterror kan tenkes å ramme oss som forsikringstagere.

Dagens biler er nærmest blitt rullende datamaskiner. Nesten alt i nye biler kan overvåkes, og ofte styres. Dekktrykk, oljetrykk, fart, drivstoff, sted – og dørlåser.

I fjor opplevde BMW at styringssystemet deres – ConnectedDrive ble hacket. Resultatet var at en rekke biler i BMW-familien ble stjålet. I England resulterte innbruddene i at forsikringsselskapene nektet å forsikre gateparkerte luksusbiler, med mindre de var utstyrt med ekstra sikkerhetsutstyr som ratt- eller pedallåser.

Advokat Kristian Foss er IT-advokat i Gille advokater, hvor han arbeider særlig med personvern, kontrakter og immaterialrett knyttet til teknologi. Gille bistår private og offentlige virksomheter.
Advokat Kristian Foss er IT-advokat i Gille advokater, hvor han arbeider særlig med personvern, kontrakter og immaterialrett knyttet til teknologi. Gille bistår private og offentlige virksomheter. Bilde: cf@kolonihaven.no Wesenberg
Feilen, som gjorde det mulig å ta over kontrollen av 2,2 millioner BMWer over hele verden, lå i manglende sikkerhet i fjernstyringssystemet til BMW. Ifølge Autoblog.com er dette det andre sikkerhetsbruddet for BMW de siste månedene. Oppskriften på hvordan man kan ta over bilene ligger på internett. Utstyret koster et par hundrelapper.

Innbruddene rammer både BMW, forsikringsselskapet og bileierne. For deg som forsikringstager betyr utviklingen dyrere, eller i verste fall, utilgjengelig bilforsikring. For forsikringsselskapene betyr innbruddene økte tap. BMW lider tap av ansikt og kanskje salg.

Helseforsikring bare for birkenløpere?

Et enda alvorligere problem kan bli livs- og helseforsikring. Det har blitt populært å sammenligne treningsresultater med likesinnede. Klokker og følere kobles til kroppen og mater data inn i ulike nettløsninger, som f.eks. populære Strava. Skritt og kalorier telles, og deles.

For forsikringsselskapene er dette svært interessant informasjon. Risikoen ved å tilby en person i god fysisk form en livs- eller uføreforsikring er betydelig lavere enn å tilby den samme forsikringen til en sofasliter. Aktivitetsinformasjon vil sette forsikringsselskapene i stand til å tilby folk som kan dokumentere god helse billigere forsikring.

Selv om selskapene ikke skulle kreve slike opplysninger fra alle, vil personer som trives best i horisontalen risikere å måtte betale mer. Det samme gjelder personer som ikke ønsker å gi fra seg eller samle opp slik informasjon, selv om de er i god form.

Manglende dokumentasjon på fysisk aktivitet kan bety at disse personene ikke får råd til en god forsikring. Eller blir nektet å forsikre seg. I beste fall gir dette en økonomisk ulempe. I verste fall kan det medføre økonomisk ruin for den rammede ved uforsikret sykdom.

Hva sier loven?

Forsikringsselskaper er etter forsikringsvirksomhetsloven forpliktet til å fastsette sine priser utfra risiko (§ 9-3, fjerde ledd). Allerede i dag samler derfor selskapene inn store mengder detaljert helseinformasjon fra sine kunder, og deres leger. Treningsstatistikken kan komme i tillegg.

Etter forsikringsavtaleloven vil forsikringsselskapet vurdere «forsikredes helsetilstand» når selskapet skal vurdere om det skal tilby forsikringsdekning (§ 12-1). Loven gir forsikringsselskapet rett til å avslå forsikring dersom forhold «medfører en særlig risiko» som har «rimelig sammenheng» med avslaget. (§ 12-12). Andre særlige forhold kan være «saklig grunn når de medfører at avslaget ikke kan regnes som urimelig overfor den enkelte».

Finansklagenemnda Person anså i 2012 at «hodepine, svimmelhet og stramme nakkemuskler» var tilstrekkelig grunn til å nekte en ungdom uføreforsikring. Nemnden aksepterte at statistiske opplysninger som tilsa økt risiko ble tillagt avgjørende vekt. Hvorvidt manglende fysisk aktivitet på samme måte vil tillegges vekt, er enda uvisst, men kan ikke utelukkes. Det er også uvisst om domstolene vil vurdere sakene likt som Finansklagenemnda.

Forbrukerkjøpsloven, markedsføringsloven og avtaleloven setter neppe noen effektive grenser for slik «frivillig» registreringsaktivitet, så lenge avtalen ikke blir urimelig.

Hvordan vi skal håndtere disse spørsmålene bør lovgiver vurdere. Skal forbrukere være forhindret fra å gi samtykke til inngripende overvåking? Skal forsikringsselskaper forbys å gjøre (for stor) forskjell på folk? Skal det være greit å profilere folk basert på bredere sett av informasjon, som f.eks. deltagelse i idrettsarrangementer?

Vil kyberterrror kle oss nakne?

Ettersom nær sagt alle ting kobles opp til internett økes muligheten for å påføre andre skade. Terrorister eller utpressere kan ramme strømnettet vårt, industri, transport eller annen infrastruktur.

I Tyskland ble det i 2014 rapportert om hackere som hadde klart å trenge seg inn i kontrollsystemet til et smelteverk. Som følge av feilen klarte operatørene ikke å slå av smelteovnen, med massive skader til resultat. Angrepet var resultat av avansert og målrettet virksomhet.

Bakgrunn: Tysk stålverk rammet av kyberangrep

Et skrekkscenario er om hackere klarte å blokkere bremsene på for eksempel alle Audi-biler koblet til internett. Se for deg hvordan det ville sett ut på motorveier verden over. Tusenvis av mennesker kunne blitt skadet og drept. Vannrensesystemer, sykehus og finansinstitusjoner er andre eksempler på sårbare mål med enda større skadepotensiale.

I forsikringssammenheng har det blitt vanlig å gjøre unntak i dekningen for skade forårsaket av terror. Står vi da nakne tilbake, uten dekning? Bør myndighetene regulere denne muligheten? Bør alternative dekningsmåter etableres?

Andre områder berøres også

Forsikring er bare en av mange områder hvor tingenes internett vil berøre oss. Andre er personvern, eierskap til data, nettkriminalitet, produktansvar og nettnøytralitet. Spørsmålene er for tiden gjenstand for oppmerksomhet i EU-kommisjonen og hos europeiske personvernmyndigheter. Hovedstudien utarbeidet for EU-kommisjonen (223 s), av 31, mai 2013, gir en god oversikt over temaet. Særlig interessant lesing for jurister er en uttalelse fra artikkel 29-arbeidsgruppens av 16. september 2014 (24 s).

Neste artikkel i denne serien om tingenes internett vil handle om hvordan privatlivet ditt kan se ut når tingenes internett har vokst enda litt.

kristian@gille.no

Til toppen