Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer. 

Silvija Seres: Hei og velkommen til denne samtalen, som LØRN har med BI på kurset om compliance. Dette her er første av tre samtaler som kommer til å dreie seg om gdpr. Med meg i dette digitale studio har jeg Miloš Novović som er professor ved BI og Rie Aleksandra Walle som er strategisk advisor ved NoTies consulting. Velkommen til dere to også. 

Miloš Novović: Tusen takk. Jeg vil bare si en ting, at jeg egentlig er assosiert professor eller førsteamanuensis på norsk, bare for å være helt nøye på akademiet da. 

Silvija: Ja, vi er veldig nøye på titler. Veldig bra. Vi skal snakke i cirka 15 minutter om de grunnleggende konseptene i GDPR, men før vi gjør det, så har jeg lyst til å bli litt kjent med dere, så jeg spør først Rie, eller Rie Alexandra, du må også rette meg, jeg vet ikke om du bruker begge navnene, også Miloš. Hvem er dere?

Rie Aleksandra Walle: Bare Rie går helt fint, eller så blir det veldig langt. Tusen takk for at jeg fikk komme i dag for å snakke om noe som jeg brenner virkelig 100% for, og det er jo personvern. Jeg har jo vært i fagfeltet i noen år og grunnen til at jeg synes det her er så utrolig spennende og viktig er på grunn av de grunnleggende prinsippene i GDPR. De kommer vi jo litt tilbake til, men kan jo kort si det at jeg ånder og lever personvern hver eneste dag. Gjesteunderviser både ved BI og ved Høgskolen Christiania og utvikling av nettkurs. Har Grumpy GDPR podcast sammen med Miloš og jeg har stort sett kunder i USA faktisk. Så de er veldig opptatt av det der også. 

Silvija: Du, si to ord om NoTies. 

Rie: NoTies consulting, det er det internasjonale bandnavnet for BedreBedrift AS som er mitt eget firma som jeg startet i 2018. Der leverer jeg opplærings og konsulenttjenester i inn og utland, men da har det blitt en stor overvekt av amerikanske databehandlere med kunder i Europa etter hvert. 

Silvija: Og du Miloš?

Miloš: Ja, hva skal vi si. Jeg kom opprinnelig fra Montenegro og har bodd i Norge siden 2013. Jeg flyttet hit for å skrive en doktorgrad ved universitetet, også etter det startet jeg å jobbe i Telenor. Også siden jeg elsker å undervise, så startet jeg på BI, oktober 2019. Som dere sikkert husker, var dette rett før pandemien, så det var litt vanskelig med å faktisk undervise. Jeg er veldig interessert i GDPR selvsagt, men det er andre ting også som for eksempel kontraktsrett for eksempel. Så det er masse spennende. Jeg må også bare si, at den podcasten Grumpy GDPR, det er en faglig og veldig uformell samtale. Det er en store glede å ta nettopp en sånn type prat som i dag. 

Silvija: Dere, hvorfor Grumpy GDPR.

Miloš: Et godt spørsmål. 

Rie: Miloš og jeg, vi har møttes ved flere anledninger og veldig ofte digitalt for å være litt grumpy med det nyeste innenfor gdpr og personvern, og da har vi hatt litt sånn frustrerte og oppgitte samtaler. En dag så sa Miloš at vi burde jo egentlig bare ta opp det her. Så da tok vi det opp en dag og publiserte det, og jammen tok ikke skikkelig av, for det viste seg at det var veldig mange andre Grumpy DPOs der ute også. 

Silvija: DPOs kommer vi tilbake til da. Det er rett og slett overveldende mye, i hvert fall til å begynne med, også blir man kanskje beroliget etter hvert, med at det er ganske mye sånn commonsense i forvaltning av disse nye ressursene vi har. 

Miloš: Ja absolutt, og det er nettopp det som Rie og jeg sier hele tiden. Det er at man må starte et sted. Når det gjelder gdpr, så finner vi en del sentrale bestemmelser som jeg må si er helt common sense. Det som er bra med GDPR er at det veldig lavterskel for å starte å gjøre noe. Da får man veldig mye på plass, ikke sant Rie, det er noe vi sier hele tiden. 

Rie: Jo, og et av de beste rådene jeg har gitt, særlig i småbedriftseiere som sitter med alle hattene. Hvis det ikke føles riktig i magen, så er det sannsynligvis ikke det. Så bruk det som en rettesnor i arbeidet, i alle fall bare for å komme i gang. 

Silvija: Dere, er det ca fem år siden GDPR trådte i kraft? Jeg husker de kom med sånne morsomme sanger på internett om gdpr og alt mulig, og det virket liksom så crazy at nå skal du få godkjenning og tillatelser til alt mulig. Som dere sier, det dreier seg i bunn og grunn at data om oss skal forvaltes på en måte som ikke skader oss, eller?

Rie: Jeg synes det er veldig godt sagt, og hvis en bare tenker på det at jeg behandler masse personopplysninger i min virksomhet, hvordan kan jeg beskytte dem på en god måte og ivareta personvernet til de vi behandler personopplysninger til? Det er så feilaktig at noen tror at GDPR handler om at du ikke får lov til å gjøre ting eller at du må slette alt du gjør, og det stemmer jo heller ikke. For du kan gjøre stort sett det samme som før, det er bare at du må dokumentere litt mer og være bevisst på hva det er du gjør, og at det har en god oversikt og også være åpen om behandlingen du gjør. 

Silvija: Miloš, la oss starte bare ett steg tilbake, og jeg har lyst til å gripe tak i et par ting som Rie sa. Hva med GDPR, hva står det egentlig for. For det er en grusom forkortelse.

Miloš: Unnskyld det står for General Data Protection Regulation, eller på Norsk er det personvernforvaltningen. Bare for å si en ting angående det som Rie sa, at det er mye som man må gjøre, og mye som man kan gjøre. Vi kommer til å snakke litt om at det faktisk finnes veldig mye fleksibilitet i GDPR, men at det blir et veldig stort ansvar og de som egentlig behandler personopplysninger eller som bestemmer at de skal behandle personopplysninger, er de som også har ansvar. Da er det veldig interessant å tenke på at på norsk er begrepet behandlingsansvarlig, altså at man har ansvar for GDPR, mens på engelsk er det data controller, altså at man har kontroll, at man får ansvar. Det er jo et ganske komplisert språk, og bak dette språket så ligger noe som egentlig forteller oss mye.

Silvija: Jeg har lyst til å gå tilbake til et begrep som Rie kastet ut her, og det er dette her med å være bevisst. Jeg tror det er to parter i denne transaksjonen, transaksjonsenheter av data. Det er jeg som gir mine data, også er det for eksempel Miloš som tar imot mine data for å gjøre et eller annet på business siden sin. Han kontrollerer det, eller han forvalter det. Jeg tror det er veldig mye langsiktig forvaltning her også, som er veldig spennende. Hvordan har du tenkt å ta vare på det? Hvordan har du tenkt å rense og rydde i det? Hvordan har du tenkt å sortere det, ikke sant? Men det er dette her med å forstå at data har er en verdi, det er en original intensjon, også kan det være sekundære intensjoner. Også må jeg være klar over at data og meg er verdifulle, og at det finnes noe som er veldig intimt og farlig, og noe som ikke er så veldig intimt og farlig. 

Rie: Der er du inne på noe som jeg synes er utrolig viktig å snakke om, og det at det er mange som sier at de er ikke så opptatt av det her med personvern, fordi at de har ikke noe å skjule. Og der vil jeg bare si, at det er et privilegium å kunne si i dagens verden at man ikke har noe å skjule, og at det ikke er så viktig. For man trenger ikke å se veldig langt utenfor Norges grenser for å se hvor stor betydning personopplysningene våre har. Så jeg vil gjerne oppfordre alle til å tenke litt gjennom hva som er greit og hva som ikke er greit, og har fått informasjon eller ikke. For der tror jeg kanskje folk kjenner mest på det, det er hvis det er usikkerhet. Derfor er det så utrolig viktig at de som behandler personopplysninger, altså de behandlingsansvarlige, er åpen med den behandlingen. Og jo mer åpen du er, jo mindre motstand vil du få, så det vil bare være en fordel også for virksomhetene etter min mening. 

Miloš: Ja, det er en viktig del av disse prinsippene som vi snakket om, og det er det er veldig viktig å begynne å se på den. Så å forbruke er et vanskelig juridisk språk, så da har vi dataminimering, som egentlig bare sier at man ikke som startup må samle inn så mye som mulig, man må bare behandle personopplysninger som man egentlig trenger. Det at man ikke bare kan si at jeg har sånne opplysninger, men jeg vet ikke egentlig hvorfor jeg trenger dem, det er lagringsbegrensning. At man skal slette det som man ikke trenger å ha. Også det med at man må ha rettslig grunnlag er viktig, men det tar vi kanskje neste uke. Og det er også viktig at alle disse prinsippene som dere begge to har vært inne på, de handler bare om det, at man må handle penger på en rimelig måte. Og da er det opp til de registrerte, ikke opp til oss på en måte å fikse det. Det er de som har ansvar, de som har kontroll, som står ansvarlig for det, uansett hvor viktig eller ikke viktig den opplysningen som handler om meg er. Det må også sies at det finnes en god del bestemmelser i GDPR som sier at man kan gjennomføre risikovurdering for oss, for de registrerte da, også se om man da får litt mer fleksibilitet etter å gjøre noe med disse opplysningene. Ja, jeg tenkte bare å nevne disse prinsippene. 

Silvija: Ja, la meg prøve å gjenta dem. Du snakket om åpenhetsprinsippet. 

Miloš: Ja, transparency. 

Silvija: Du snakket om dataminimering og formålsbegrensning. Du snakket om lagringsbegrensning også. At de ikke nødvendigvis lagres unødvendig lenge eller mye. Dette blir veldig interessant i forhold til sånn type data som politiet tar vare på. Så var det et eller annet med holdighet? 

Rie: Ja, lovlighet.

Silvija: Lovlighet, ja, så jeg har lov til å samle dette her, eller har jeg lov til å ta vare på det? 

Miloš: Ja, man må gå gjennom artikkel 6 og se litt på samtykke og den typer ting, som vi definitivt kommer til å snakke om. Men går det greit, hvis jeg tar litt over din rolle, bare for å stille et spørsmål til Rie, fordi jeg husker at vi hadde noen fantastiske eksempler som handler nettopp om artikkel fem. Kan du si noe om enten dataminimering eller lagringsbegrensning? Det er veldig store skandaler egentlig, og veldig store caser som kan hjelpe studentene?

Rie: Det er jo ganske mange. Vi har jo to og et halvt tusen vedtak i GDPR-hubben så langt Miloš, så hva konkret var det du tenkte på? Mens du tenker på det, så ville jeg bare legge til, hvis noen skal lese noe som helst i GDPR, så er det artikkel fem. Det er egentlig en oppsummering av hele GDPR vil jeg si. Det er etter min mening den desidert viktigste artikkelen, for der står alle prinsippene. Hvis man klarer å etterleve det som står der, da har man kommet veldig langt på vei.

Silvija: Kan jeg stille deg et praktisk spørsmål? Egentlig til begge dere to, mens Miloš og Rie tenker på de beste eksemplene. Og vi har bare et par minutter i denne delen, også kan vi også parkere noen ideer til videre, fordi vi har to samtaler til om GDPR. Mitt spørsmål til dere er at man signerer så forferdelig lange dokumenter når man skal gi samtykke også videre og. Dette henger ikke så veldig greit sammen med at det egentlig er ganske sånn common sense. De fleste av oss t skjønner ikke halvparten av de ordene. Er det egentlig en måte å omgå alt dette gdpr greiene på som er grunnen til at det blir så innmari store terms and conditions? Eller hva er greia der?

Rie: Nei, det her er jo noe som er min store kjepphest, fordi at gdpr sier jo på ene siden at du skal være veldig tydelig og klar i språket, det er et eget krav at du skal formidle informasjon om hvordan du behandler personopplysninger på en kort, konsis og åpen måte til de du behandler personopplysningene til. Samtidig stiller gdpr også helt konkrete krav til hva som må være i denne såkalte personvernerklæringen, som da er den informasjonen du plikter å gi til alle. Så det å få til den balansen der er ikke alltid enkel, og særlig ikke når datatilsynet sier at du helst burde ha all informasjon samlet på en nettside. Så det blir en balansegang, men så må vi jo også skille mellom hva som er vilkår, hva er i den kontrakten du signerer og inngår med noen som er separat fra kravet til informasjon som er denne personvernerklæringen. Og da vil jeg jo oppfordre alle som behandler personopplysninger til å for det første ha god oversikt over hva man behandler, og sette seg i skoen til de som behandler personopplysninger. Tenk studentreisen, tenk kundereisen, tenk ansattreisen. Gå gjennom alle de sjekkpunktene og bestem deg, hvilken informasjon må jeg gi på hvilket tidspunkt i denne reisen? Fordi en jobbsøker får annen informasjon enn en som faktisk er ansatt, eller en som går ut av et ansettelsesforhold. Så det er en balanse, men man kan få det til på en god måte, men det blir nok dessverre ikke de korteste tekstene uansett, Silvija. 

Silvija: Vi kommer tilbake til dette med samtykke i neste samtale, men Rie før vi avslutter, har du et skrekkeksempel på dette med GDPR som vi kan bruke i dette kapitlet vårt. 

Rie: Ja, jeg har et par eksempler, dessverre. Eller jeg har ganske mange sånne personvernkaktuser som jeg bruker å si. Et nylig eksempel, det var faktisk Hennes og Mauritz som skal nedbemanne staben sin. Og for å finne ut hvem det er de skal gi fyken, så har de bestemt seg for å gjennomføre en del personlighetstester av de ansatte. Og det er ikke bare personlighetstest, og det skal sies. Det kan være andre typer tester som går på kartlegging av egenskaper og ferdigheter som jo selvfølgelig vil være innenfor formålet til arbeidsgiveren, men det å basere sparking av ansatte på personlighetstester som ikke har et godt vitenskapelig fundament, vil jeg påstå, der synes jeg at man går langt over en etisk grense, så de tror jeg kan forvente etterspill. Nå har det ikke vært noen formell sak på det enda, men jeg er ganske sikker på at den kommer til å komme. 

Silvija: Kanskje hvis folk hører på denne samtalen, så skjønner det dere sendt talen, så skjønner de at det er rom for det.

Rie: Ja, og du har du har flere. Du har for eksempel ei sånn telefonlinje, og du kunne enten sende tekstmelding eller ringe for å få hjelp med psykiske lidelser og når man er i en alvorlig situasjon for å si det sånn. Så viste det seg i etterkant at de dataene blir brukt til helt andre formål også i kommersiell sammenheng. Så det finnes virkelig noen skrekkeksempler der ute, og vi har mange eksempler som vi kan gå igjennom, men igjen, jeg vil oppfordre folk til å tenke på om dette kjennes riktig ut eller ikke. Fordi hvis man begynner å tenke på det, at det sitter en desperat person en plass som sender deg en svært intim og sensitiv tekstmelding, er det da riktig å bruke den tekstmeldingen med navn, nummer og alt i opplæringsøyemed til tredjeparter som ikke er innenfor din konsernsfare. 

Miloš: Jeg må bare le, for det er veldig ofte at vi får spørsmål fra studentene, kan vi ikke se på noen eksamensoppgaver fra før for å se en god oppgave og en dårlig oppgave? Og da tenker jeg, det går helt greit, hvis dere gir meg samtykke.

Silvija: Ja, veldig bra dere. Jeg har masse spørsmål som går på dette her med at man kanskje manipulerer av og til disse tekstene, men la oss komme tilbake til det i neste samtale.Tusen takk for en god prat så langt.

Miloš: Takk.

Rie: Tusen takk.

1. Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.