Personvern i metaverset – dette bør du vite

Metaverset kan utfordre hvem som har det overordnede ansvaret for at personopplysningene behandles på en lovlig måte, skriver kronikkforfatterne fra Deloitte.

Personvern i metaverset – dette bør du vite
Advokatfullmektig Thale Marie Bø og senior manager Steinar Østmoe i advokatfirmaet Deloitte har skrevet en kronikk om personvernutfordringer i metaverset. Foto: Deloitte Advokatfirma AS

De største selskapene i tech-bransjen satser på metaverset. Facebook endret navn til Meta, Microsoft har kjøpt spillselskapet Activision Blizzard delvis for å utvikle nye muligheter innen metaverset, og Fortnite-skaperen Epic Games har hentet inn tre milliarder dollar i investeringer til sin metavers-satsning.

Norske virksomheter er også på vei inn i metaverset – HoloCare som med blandet virkelighet skal gjøre kirurgens jobb lettere, og Sparebank1 har investert i virtuell eiendom. Ifølge rådgivningsfirmaet Ecorys vil markedet for utvidet og virtuell virkelighet i Europa ha en verdi på mellom 35 og 65 milliarder euro innen 2025, det tilsvarer mellom 350 og 650 milliarder kroner.

Metaverset gir store muligheter for norske virksomheter, men det følger med en større risiko for personvernet. Det blir enda viktigere å gjøre det riktig fra begynnelsen. Her er tre viktige fokusområder for virksomheter som vil inn i metaverset.

Metaverset – en definisjon

Metaverset er i sin spede begynnelse, og det er lettere sagt enn gjort å definere hvordan metaverset vil se ut. Foreløpig kan metaverset beskrives som en visjon for internett der forskjellen mellom den virkelige og den virtuelle verden viskes ut. I metaversets virtuelle verden vil vi utføre mange av de samme aktivitetene som i den virkelige verden – spille spill, ha møter med kolleger, gå på konsert, handle i virtuelle butikker eller til og med utføre kirurgi, uten mange av begrensningene som den virkelige verden medfører.

Kunstig intelligens, virtuell virkelighet, desentraliserte nettverk, blokkjeder og tingenes internett er eksempler på teknologi metaverset bygger på. Disse teknologiene eksisterer allerede. Større datakraft, billigere lagringsplass, interoperabilitet og bruk av kunstig intelligens vil drastisk øke mengden personopplysninger som til enhver tid genereres i metaverset.

Blir alle opplysninger sensitive i metaverset?

En nylig studie gjort av forskere fra UC Berkeley og Technische Universität München illustrerer hvordan antall personopplysninger, og særlig sensitive personopplysninger, i metaverset vil øke. I studien testet forskerne hvilke opplysninger ulike trusselaktører kunne hente ut fra virtual reality-headset og håndholdte kontroller fra 30 deltagere i et virtuelt «break-out room».

Ifølge rapporten kunne trusselaktørene indirekte, direkte eller ved hjelp av kunstig intelligens utlede 25 ulike opplysningskategorier om deltagerne, blant annet alder, etnisitet, høyde eller synshandicap. Dette inkluderer opplysninger som har krav på særlig beskyttelse etter personvernforordningen, men også andre opplysninger som mange opplever som særlig sensitive, som personlig økonomi.

Virksomheter i metaverset må ikke bare ha kontroll på dataflyt og personopplysninger, men også hvilke indirekte personopplysninger som kan utledes ved å kombinere ulike data. Det krever en bedre oversikt og bredere totalvurdering av personopplysningene og annen data enn det mange virksomheter har i dag.

Markedsføring og manipulasjon – og samtykke?

Data og personopplysninger kalles ofte «den nye oljen». Noe av grunnen til dette er muligheten for å tjene penger på salg av brukernes personopplysninger til målrettet markedsføring. Hittil har de store sosiale medieplattformene og cookies, som sporer brukere på tvers av applikasjoner og nettsider, vært sentralt for dette markedet. I metaverset vil kombinasjonen av biometriske opplysninger og evnen til å analysere store datamengder kunne brukes til å måle, forutse og manipulere følelser, reaksjoner og beslutninger i sanntid, med større presisjon og med større effekt enn det vi ser i dag.

Dette er ikke bare attraktivt for virksomheter som vil selge produkter og tjenester, men også for andre aktører med helt andre hensikter. Som Cambridge Analytica-skandalen viste, kan profilering basert på personopplysninger brukes til å påvirke valgresultat og politisk oppfatning. Dataene i metaverset vil også være attraktive for myndighetene, for eksempel for å forebygge og stanse kriminalitet før lovbruddet skjer. Dette vil øke risikoen for statlig overvåkning.

Potensialet for misbruk gjør det spesielt viktig at brukerne er informert om hvilke opplysninger som samles inn og deles med tredjeparter. For mange bruksområder i metaverset krever GDPR et aktivt, informert og frivillig samtykke. Det er uklart hvordan et slikt samtykke bør gis i en virtuell verden. Allerede i dag snakker vi om samtykketretthet på grunn av cookie-bannere og pop-ups. Hvordan bør brukeren informeres om opplysningene som samles inn i en sømløs virtuell verden, uten at det ødelegger for brukeropplevelsen? Bør samtykke gis for et metavers i sin helhet eller for hver tjeneste? Hvordan skal samtykkene forvaltes?

Hvem har ansvar for personopplysninger?

I metaverset skal brukerne kunne bevege seg fritt fra plattform til plattform. Dette krever at data deles mellom selskaper og på tvers av landegrenser.

GDPR opererer med en ansvarsfordeling mellom behandlingsansvarlig og databehandler. Den behandlingsansvarlige har det overordnede ansvaret for at personopplysningene behandles på en lovlig måte. Databehandleren er virksomheten som opptrer på vegne av den behandlingsansvarlige, ofte en leverandør eller underleverandør. For at personvernet skal kunne ivaretas, bør disse rollene være avklart før en digital tjeneste tas i bruk.

I metaverset kan mange selskaper levere ulike tjenester samtidig. Overføring av data fra én tjenestetilbyder til en annen vil være en forutsetning for en god totalopplevelse. Dette kan utfordre definisjonen av behandlingsansvarlige – og dermed også hvem som har det overordnede ansvaret for at personopplysningene behandles på en lovlig måte.

For behandlingsansvarlige i metaverset blir det enda viktigere enn tidligere å ha kontroll med leverandørkjeden og samarbeidspartnere for å kunne ivareta kravene i regelverket, og særlig for virksomhet som er rettet mot sårbare grupper og for tjenester som det ikke er frivillig å ta i bruk, for eksempel i utdannings- og helsesektoren.

Navigere ukjent farvann uten kullseilas

Det har tatt tid fra internettets begynnelse til vi har fått et felles regelverk som forsøker å ivareta personvernet på en god måte. Vi ser at lovgiver ofte ligger etter den teknologiske utviklingen og at vi som innbyggere blir prøvekaniner i eksperimenter som har stor innvirkning på samfunnet og livet vårt.

EUs datastrategi skal forsøke å løse noen av utfordringene, blant annet ved å stille krav til ansvarlig bruk av kunstig intelligens og begrense makten til de store plattformleverandørene. Det er fremdeles uklart hvordan reglene vil treffe virkeligheten og hvilken effekt forholdet mellom regelverk, tilsynsmyndigheter og virksomheter vil ha i praksis på innovasjon og personvern. Når internettet nå er på vei inn i sin neste evolusjon, er det ekstra viktig å stake ut en riktig retning fra starten og legge til rette for at metaverset blir et positivt samfunnsbidrag – totalt sett.

Les også