Hei og velkommen til LØRN, 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer. 

Silvija Seres: Hei og velkommen til samtale nummer to i vår lille passier om gdpr. Her i studio er Miloš Novović fra BI og Rie Aleksandra Walle blant annet også fra BI. Dere, vi snakket litt om noen sånne grunnprinsipper for GDPR og en grunnleggende definisjon, men hvis vi skulle være oppsummert vår første samtale, Rie, hva er GDPR? 

Rie Aleksandra Walle: GDPR, det er regelverket som gjør at noen må ta vare på og respektere våre personopplysninger. 

Silvija: De viktigste prinsippene fortalt i et sånn superenkel format?

Rie: Vit hva du har, at du har lov til å bruke personopplysninger. Du skal ikke lagre mer enn det du trenger for å oppfylle formålet som må være konkret. Du må beskytte de personopplysningene godt, også må du informere alle som du behandler personopplysninger til. 

Silvija: Rett og slett, vis respekt overfor andres data i praksis. Så har vi snakket littegrann om noen eksempler på at det er viktig å vise respekt om folks data. En ting er hva du kan indirekte se fra de dataene eller direkte se fra dataene, et av mine favoritt eksempler er: Det går kanskje mer på cybersikkerhet, men det var en webside hvor man kunne registrere seg hvis man ville være utro. Så klarte de å lekke og miste ganske mange 1000 av de navnene og e-postene, og dette ledet til en del skilsmisser, og det ble ganske spennende konsekvenser for dette selskapet, men det er klart at vi legger igjen utrolig mye informasjon om oss der ute. Bevisst og ubevisst. Jeg oppdaget nå nylig at jeg bruker en sånn linjal med mobiltelefonen min som måler avstander, og vinkler på en trapp. Så har jeg lært at en sender lokasjonsinformasjon min til andre siden av kloden kontinuerlig. På basis av denne informasjonen kan du gjøre ganske mye mer enn å fortelle meg vinkelen på trappa mi, og spørsmålet er, hvorfor i all verden skal de få vite hvor jeg er til enhver tid. Jeg visste det ikke, og jeg har aldri liksom deinstallert appen. Så jeg skjønner at alle de som går den digitale forretningsmodellveien har lyst til å samle så mye data om oss som mulig for at de skal bruke disse dataene etter hvert til å gi oss nye tjenester. Det er dette dilemmaet som jeg har lyst til at dere skal hjelpe meg å tenke littegrann rundt. Fordi man vil jo ikke hindre dem i å gi gode digitale tjenester, men jeg vil ikke at de skal melke meg for alle mine data unødvendig. Så hvordan tenker dere, kanskje Miloš starter? 

Miloš Novović: Ja, du er inne på noe som er veldig viktig å snakke om her. Det er for å kunne behandle personopplysninger i det hele tatt, så nevnte vi det lovlighets prinsippet om at man må ha et rettslig grunnlag. Jeg vet at det er mye mer til diskusjonen enn det her, men når man blir bedt om samtykke og det du nevnte i den forrige episoden, så pleier som regel å trykke på ja. Da gir man en tillatelse for at noen skal behandle personopplysninger. Det er på grunn av det at veldig mange tenkte, ok, gdpr kommer, så kan vi bare be folk trykke på ja. Det er ingenting mer man trenger å gjøre. Det er veldig komplisert. Fordi på den ene siden, så er det vanskelig for oss forbrukere å egentlig si nei, men samtidig så er det egentlig en begrensning til behandlingsansvarlige. Fordi de som sitter og tenker det, de må ha samtykke til alt. De må alltid be om samtykke, og det ikke er lov å dele klassedeltagerlister med de andre som underviser i det samme faget som kommer som gjester for eksempel. Det er mye misbruk med GDPR og også på den andre siden, hvis man faktisk har en riktig forståelse for dette her, så er det ganske fleksibelt. Så det som jeg prøver å si, er at det finnes noen alternativer til samtykke. Jeg tror Rie brukte begrepet Silver bullet, som jeg ikke kan på norsk, men samtykke leser ikke alt, også er det ikke slik at man alltid må ha samtykke, hvis dere ser hva jeg mener. Beklager, det ble en veldig lang monolog der.

Silvija: Hva tenker du Rie, om dette?

Rie: Jeg ville egentlig tatt et steg tilbake til det du sa Silvija, med at du skal samle mest mulig data fordi at det har en verdi. Den tanken vil jeg utfordre. For man har i mange tiår snakket om at data er det nye gullet, og McKinsey og andre har kommet med så store anslag og verdier av data at man får jo bakoversveis. Jeg har fortsatt litt til gode å se hvordan den jevne virksomheten klarer å hente ut det potensialet i alle de her dataene, og at det virkelig ganger med den jevne virksomheten, bortsett fra de store techselskapene. Bare for å se på noe nesten litt banalt som nettsideanalyse, så website analytics og utfordrer folk til å tenke: Hva er det du faktisk bruker i de analysene som du henter inn, enten det er på nettsiden eller i appen, eller facebooksiden, eller hva det er for noe? Hvordan er det man faktisk bruker det? Jeg har utfordret flere bedriftseiere på akkurat det her, og det er mange som er svaret skyldig på, hva er den konkrete verdien i mye av den automatiserte datainnsamlingen, versus det å faktisk være ute og snakke med potensielle kunder. Gjøre mer markedskartlegging, fokusgruppe og nesten det som ble sees på, som kanskje litt sånn avleggs eller old school i dag. Jeg tror at man kanskje skal ta et steg tilbake og begynne å se litt på de tingene versus det å hente inn mest mulig data. 

Silvija: Jeg, jeg tror du er inne på noe supersentralt når vi tenker på en datadrevet fremtid. Altså, grunnpremisset her er at fremtiden vår kommer til å være veldig digital. Den kommer til å være drevet av data optimalisering på ett eller annet, ikke sant? Og da tror jeg at en modell som fungerer veldig bra for folk, det er å forstå dette med digitale tvillinger, men digital tvilling av hva? Er det av min fysiske helse, av mitt hjerte, av min psykologi, av min bil, av kjøleskapet mitt, av en oljeplattform. Jeg tror hvis man forstår hva liksom kjernen av businessen dine er, hvordan man optimaliserer det og hvordan du lager en god digital tvilling av det, også hvilke data trenger du for å optimalisere den saken digitalt, så tror jeg du nærmer deg en litt mer sånn databevissthet. Det er ikke snakk om store data eller lange data eller små data, men det er snakk om relevant data for en hypotese som du baserer din business på. Da er det kanskje litt lettere for oss å forstå, hvorfor skal du ha de dataene? 

Miloš: Jeg må også si noe der. Jeg tror ikke at man må tenke at man har et forretningsformål, og bruker store mengder personopplysninger på et nytt marked. De må også huske at det stemmer ikke. The data does not lie, joda, the data lies. Jeg husker at jeg så på en liste som Facebook hvor du kan trykke på Facebook og se hva de bruker for målrettet annonser. En av mine interesser var hockey. Jeg kan ikke si at jeg har noe som helst interesse i hockey, men de betaler faktisk for å målrette seg mot meg.. 

Silvija: Bortkastet penger. 

Miloš: Ja, absolutt.  

Rie: Men det her henger jo veldig godt sammen med enda et av de viktigste prinsippene som vi startet om, nemlig dataminimering. For jeg tror at hvis folk er flink med dataminimering og ikke samler mer enn de trenger, så får du færre data, men det er jo ikke noe negativt. Da har du kanskje bedre oversikt, bedre kontroll og får hentet ut verdien mer fordi at du har- akkurat som du sa Silvija så godt- relevante data. 

Silvija: Jeg tror det er veldig mange som snakker om digitalisering som en sånn Silver bullet for å låne deres uttrykk. Også tenker jeg at da må vi ha data, men egentlig har du ikke tenkt gjennom som dere begge to påpeker, hvorfor? Hva skal vi med dem, hvordan skal dette skape ny forretningsverdi for oss? Da blir det hverken god digital business eller god GDPR ut av det. Miloš, skal vi gå tilbake til dette konseptet med samtykke? Fordi har jeg forstått dere riktig at hvis noen skal samle noe data om meg, så må jeg på et eller annet tidspunkt gi dem lov til det, eller hva er det man dra risikerer?

Miloš: Ja, jeg vet at vi ikke har så veldig mye tid, men veldig kort fortalt, Nei, man trenger ikke å gi sitt samtykke for at man skal behandle personopplysninger om dem. Et eksempel som jeg alltid bruker når jeg underviser, er at jeg tar opp noen for å bygge et nytt hus også drar til banken. Også sier jeg at de får ikke har lov å behandle personopplysninger om meg. Så det finnes mange alternativer som for eksempel at man kan behandle personopplysninger uten en avtale. Altså arbeidsgiveren må behandle personopplysninger om deg. Noe som heter berettiget interesse, at hvis man ser at man har viktig interesse, eller det finnes en viktig interesse av tredjeparter, og det kommer ikke til å påvirke de registrerte såpass stor grad, så finnes det ganske mye fleksibilitet der. Så si at vi har lyst til å bestille noen nye bøker i biblioteket og har lyst til a søke på hvor ofte stundene låner den boka der, men bare bruker til dette formålet der, så trenger vi egentlig ikke å be om samtykke. Så det er veldig mye mer fleksibilitet enn man egentlig tenker. Hvis man dokumenterer alt ordentlig. 

Silvija: Bare ett spørsmål til før vi slipper deg til Rie. For jeg tenker nå på bankene, ikke sant? Relativt nylig så måtte vi alle sammen tilbake til banken og fylle ut en hel masse mer informasjon. Har du noen relasjoner til Russland eller hva det er? Men det er berettiget innsamling av informasjon, for det må de gjøre for å oppfylle sine lovkrav, for forvaltning av våre finansielle relasjoner, eller? 

Rie: Hvor det er nødvendig. 

Silvija: Ordet er nødvendig. 

Rie: Ja, så det er nødvendig å behandle personopplysningene, så berettiget og interesse, det er en ut av de lovgrunnlagene som du kan behandle personopplysninger på grunnlag av. Ellers så er det nødvendig for ulike ting. Det kan være nødvendig for å oppfylle en avtale. Det kan være nødvendig for hvitvasking, hvitvaskingsloven som da banker og forsikring er rettslig forpliktet til å gjøre. Så rettslig forpliktelse er også et annet grunnlag. 

Silvija: Når blir da samtykkekravet utløst? 

Rie: Det er et sidestilt rettslig grunnlag. Så du har seks rettslige grunnlag i GDPR der samtykke bare er ett av dem. Ofte så sier de at det er mye rekkefølge på det. Hvilket rettslig grunnlag skal man velge? For noen ganger så må man velge eller behandle personopplysninger på grunnlag av at man er part i en avtale, og da må man oppfylle den forpliktelsen, eller at det er nødvendig for en offentlig myndighetsutøvelse, og man ser ofte på dem først. Har man rettslig forpliktelse? Er det for å utøve oppgaver i offentlige myndighet? Har man en avtale man plikter å oppfylle? Også kommer samtykke ofte litt lenger ned på listen. Selv om det er likestilt. Det må vi ha med Miloš. 

Miloš: Ja, sjekk først om man egentlig trenger å be om samtykke. Det er egentlig litt kontraintuitivt, at de aller fleste når de heller tenker på samtykke. Det finnes en del alternativer til samtykke som man burde vurdere først, nesten. Jeg tror at jeg pleier å si at det ikke er nødvendig å be om samtykke, og jeg vet hvor ille det høres ut, men det stemmer jo faktisk. 

Silvija: Men la oss si at vi har studenter på plattformen vår lørn.tech, og de registrerer seg med navn, men på et eller annet tidspunkt må man også informere dem om hvordan all den informasjonen vil bli tatt vare på og behandlet. Ofte så er det en del av dette samtykkeskjemaet. Men det er egentlig to adskilte ting vi snakker om her?

Silvija: Ja, og det er litt tilbake til det vi snakket om i en annen episode. Det med forskjellen på vilkår som er noe du faktisk signerer, som er en juridisk forpliktelse mellom to eller flere parter versus en personvernerklæring som kun er til informasjon til de du behandler personopplysninger til. Det er et vesentlig skille. Fordi, du skal ikke be om samtykke til en personvernerklæring, og det ser jeg ofte på nettsider. At når du registrerer en brukerkonto må du krysse av i en boks og si det at ja, jeg samtykke til behandling av mine personopplysninger, men du inngår ikke en kontrakt med vedkommende, det har du vilkårene til. 

Silvija: Kan jeg bare avbryte i to sekunder, Rie. Her tror jeg det er ganske mange jurister som roter også, kan det stemme? 

Rie: Ja, for all del. At du er jurist betyr ikke at det er garanti for at du kan personvern, tro meg. Jeg er ikke jurist, bare så det er sagt. 

Miloš: Helt enig. 

Silvija: For jeg trodde faktisk at jeg måtte ha en signatur fra folk, at de har lest og forstått at det er greit for det, hvordan vi behandler deres informasjon, men det er ikke det jeg trenger. Jeg trenger egentlig en ok fra dem at jeg har samlet deres navn og epostadresse. 

Rie: Ja, det kommer litt an på hvordan du formulerer deg. For det du faktisk ber om en avsjekk på, det er at de godtar betingelsene, vilkårene i kontrakten din. Også kan du gjerne skrive, ved å inngå denne kontrakten, så bekrefter du at du har lest personvernerklæringen eller satt deg inn i den, men det er litt semantikk i det. I tillegg så er det mange som skriver at “man gir samtykke til”, og da drar du inn det rettslige grunnlaget samtykke inn i det også, og da blir det virkelig en stor betasuppe av det hele. Så det å skille mellom vilkår og betingelser på en side som du faktisk må inngå med en annen part, versus det at her er informasjonen om hva vi gjør med dine personopplysninger, det er to forskjellige ting. 

Silvija: Finnes det noen gode samtykkeskjema eksempler der ute, eller må man liksom gjennom et advokatbyrå, som tar 20.000 kroner, 80.000 kroner for å lage en for deg? 

Miloš: Når du hører samtykke, hva samtykker man til? Man må alltid gi samtykke for et behandlingsformål. Så i dag så samtykker jeg for eksempel at du skal sende meg markedsføring for at du kan gjennomføre noviser også videre. Så det er ganske viktig å tilpasse teksten, slik at den faktisk forklarer og beskriver hva det er man samtykker til. Så ikke gjør det slik at man nå samtykker til 6-7 ulike ting med en gang man trykker på ok. Jeg tror at det er litt vanskelig å lage et skjema som passer for alle. Man må prøve å tilpasse noe, men jeg vet ikke du er enig med meg?

Rie: Jo da, og da må man igjen holde tunga rett i munnen her. Fordi et samtykkeskjema er jo noe annet enn i personvernerklæringen. Et samtykkeskjema bruker man jo for å innhente og dokumentere et samtykke. Og da kommer det veldig an på, hva er det slags behandling du spør om samtykke til? For la oss si at du er på en nettside og du vil sende nyhetsbrev, også har du et skjema der man kan legge inn navn og epostadresse. Der trenger man ikke nødvendigvis en boks for å huke av i en gang. Fordi at når man trykker på den knappen som sier, ja, jeg vil ha nyhetsbrevet, så er det et implisitt samtykke og det som er viktig da, det er at man har en eller to setninger som sier at, ved å abonnere på nyhetsbrevet, så vil du få en til to brev i måneden, og vi tar godt vare på personopplysningene dine i tråd med vår personvernerklæring, også lenker du til personvernerklæringen som detaljerer det ytterligere. 

Silvija: Finnes det en veiviser? Skal jeg spørre chatGPT om å hjelpe meg å lage et samtykkeskjema? 

Rie: Ja, så lenge du vet hvordan du skal korrigere det i etterkant, så kan man gjerne det, men datatilsynets nettside vil jeg jo si har all den informasjonen man trenger gratis tilgjengelig. Så vet vi dessverre at noen opplever at det blir litt sånn vegg av tekst, men i alle fall så ligger alt du trenger på datatilsynets nettside. 

Silvija: Veldig bra sted å starte. Dere jeg sier, tusen takk for en veldig inspirerende samtale. Så må jeg legge til en ting til. Jeg synes faktisk dere ikke dere virker som sånne grumpy GDPR folk i det hele tatt, men faktisk veldig problemløsningsorienterte GDPR’ere. Så takk for praten så langt. 

Miloš: Tusen takk.

Rie: Tusen takk for i dag. 

Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.