Da GDPR kom gjorde norske virksomheter en enorm jobb med å løfte sine rutiner, prosesser og IT-systemer til å møte det nye lovverket. Det ble investert millioner i innebygget personvern og arbeid med å slette data som ikke hadde et definert formål fra informasjonssystemer i virksomheten. Dette var et stort løft for personvernet til det norske folk, og et langt steg i å skape mer tillit til norske virksomheter.
GDPR er en lov som skal sikre at borgerne får en enklere hverdag og gode opplevelser. Lovverket legger opp til at data skal flyte dit du vil, når du vil, slik at du sømløst kan forbruke varer og tjenester fra de som gir deg mest mulig verdi. Det er kanskje ikke det de fleste tenker når de hører GDPR, men det er faktisk det som er tilfellet. GDPR skal sikre en viktig verdiutveksling mellom virksomheter og borgere: Virksomhetene som bruker persondata til å utvikle og yte tjenester med størst verdi for kundene vil være de som vinner i markedet. Dette skal igjen føre til at disse virksomhetene får mer data fra flere kunder og derav kan lage enda bedre tjenester. En sirkel av tillit og innovasjon som skulle komme innbyggerne og det indre digitale markedet i Europa til gode. Dette er EUs motsvar til markedsdominansen til teknologigigantene i USA og Kina.
Personvern skal bygge tillit
Bedre personvern er en sentral pilar i denne sirkelen av tillit. Strenge regler og høye bøter for å bryte disse skal insentivere virksomhetene til å ta personvern på alvor. At bedre personvern har stor verdi i seg selv er hevet over enhver tvil, men intensjonen i lovverket går enda lenger. Det skal sørge for at innbyggerne opplever, og har tillit til, at deres persondata brukes til å gi de selv verdi, og ikke til skumle hensikter. Med lovverket ønsker EU å stimulere folk til å øke, ikke redusere, mengden persondata de gir fra seg. Kontraintuitiv? Kanskje, men høyst reelt.
_logo.svg.png){kind=logo}
En del av lovverket som hinter til dette er dataportabilitet. Ideen bak dataportabilitet er like enkel som den er genial. Virksomheter må legge til rette for at kundene kan ta med seg sine persondata andre steder. EUs egen arbeidsgruppe for GDPR hevdet at dataportabilitet var en av de viktigste aspektene knyttet til å myndiggjøre borgerne og adressere det skjeve økonomiske maktforholdet mellom store virksomheter og innbyggerne. Arbeidsgruppen uttrykte dette i sine «Opinions and recommendations» allerede i 2014 (se side 47). De hevdet også at dataportabilitet ville tillate borgere å «dele av rikdommen» laget av stordata og insentivere utviklere til å lage ny funksjonalitet og nye applikasjoner til brukerne sine. Intensjonen er at europeiske bedrifter skal bli mer innovative og konkurransedyktige i det globale markedet.
Da GDPR kom i 2018, og i tiden etter, var jeg sikker på at dataportabilitet ville utløse et skred av kampanjer der virksomheter ønsket at personer skulle utlevere sine data fra konkurrenter slik at man kunne bruke disse for å tilby eksisterende tjenester, og til å lage nye, innovative løsninger. Men å få det til i praksis har vist seg å være vanskelig. Det har kanskje ikke vært så lett å forstå at det er dette dataportabilitet handler om, verken for forbrukerne eller virksomhetene. For den enkelte virksomhet har det i tillegg kanskje vært skummelt å åpne porten, til tross for intensjonen i lovverket. At personer sender sine data fra konkurrenten til den enkelte virksomhet vil jo også åpne for muligheten til ta med seg data til konkurrenten.
Det digitale brannvesenet blir glemt
Det er akkurat denne tenkemåten jeg ønsker at norske virksomheter fjerner seg fra. Persondata som ligger hos den enkelte virksomhet har stor verdi, og det kan virke fornuftig å sørge for at den blir hos virksomheten. Da konkurrerer man på feil premisser. Persondataene tilhører den enkelte person, og personen lar virksomheten få låne datene slik at virksomheten kan bruke de til å gjøre hverdagen enklere, billigere eller på andre måter bedre for vedkommende. Det er akkurat her premisset for konkurransen må ligge.
Jeg vil råde norske virksomheter til å slutte å konkurrere om å samle inn persondata, og heller dele disse der kunden ønsker det. Så kan dere heller konkurrere om å lage enda bedre tjenester for kundene deres, basert på et enda bredere utvalg av persondata. De store aktørene i dagligvarehandelen har alle hver sin app eller medlemsmodell hvor de samler inn data om kundene. Jeg skulle likt å se hva de kan få til med disse appene dersom de også har tilgang til kundens persondata hos konkurrentene. Og gå gjerne enda lenger: Persondata utenfor dagligvarehandelen kan også være interessant. Jeg er sikker på at det kunne gitt stor verdi for en kunde å kombinere data om personens handlerutiner med økonomiske data, for å tilby riktig varer til riktig pris - eller å kombinere det med helsedata for å foreslå et bedre og mer balansert kosthold. Mulighetene er endeløse.
Jeg skal ikke ta på meg å innovere på vegne av norske virksomheter - det har de gode analytikere til. Men jeg kan foreslå noen veivalg som kan muliggjøre denne innovasjonen: Det er et krav i GDPR at dataene må kunne være interoperable (gjenbrukbare). Retningslinjene (se side 18) fra EUs arbeidsgruppe anbefaler sterkt at man jobber frem bransjestandarder for hvordan data enkelt kan utveksles og gjenbrukes. Arbeidsgruppen peker på at systemer ikke trenger å være kompatible, men at dataene skal være det. Ut fra dette peker det seg noen alternativer.
Åpne, dokumenterte APIer
Gjennom å tilby åpne APIer der innbyggeren kan autentisere seg for å gi andre virksomheter tilgang til sine persondata kan man legge til rette for enkel flyt av data gjennom noe så enkelt som et trykk i en app eller på en nettside. Det ligger mye kompleksitet slike grensesnitt, der man først må bli enige om standarder for hvordan data skal forstås og struktureres slik at det kan overføres og sammenstilles. Det nytter for eksempel ikke at identifikator for «kunde» er personnummer hos én part, og et internt kundenummer hos en annen.
Distribuerte persondata hos felles datamegler
Virksomhetene i en bransje kan etablere en datamegler som er ansvarlig for en felles informasjonsmodell mellom virksomhetene. Denne megleren definerer standarder som de tilknyttede virksomhetene må tilpasse seg for å kunne sende kundens persondata til megleren, samt for å hente ut data. Det kan være mulig å se for seg at det oppstår nettverk av slike meglere som muliggjør datautveksling på tvers av bransjer.
Det vil være plusser og minuser med begge alternativer. Uansett hvilken man legger til grunn så mener jeg at privat sektor kan utnytte seg av rammeverket for datadeling i offentlig sektor, European Interoperable Framework, som setter noen veiledende prinsipper for hvordan to eller flere parter kan rigge seg for å utveksle data.
Mitt håp for fremtiden er noe så enkelt som gode tekniske løsninger der kunder med ett trykk på mobilen kan overføre sine persondata til akkurat den virksomheten som bruker dataene til å tilby de beste tjenestene og produktene. Det vil både virksomhetene og kundene deres tjene på. Og ikke minst vil det være en innovasjonsmotor for norsk økonomi som ingen andre har klart å utnytte.
Nå har vi muligheten til å ta på oss ledertrøyen!
Personvern: En løsning som var god nok i 2018, holder kanskje ikke mål i år
