Hei og velkommen til LØRN. 1500 læringshistorier fra de beste fremtidstenkerne og skaperne. På Lorn.tech kan du lytte, se eller lese alt innhold gratis, men registrer deg for å få tilgang til personaliserte læringsstier, sertifikater og mye mer.

Silvija Seres: Hei og velkommen til LØRN serie med BI om compliance. Vi i LØRN skal i samtaler med Miloš Novović fra BI og Frode Skaarnes, gå inn i de viktigste driverne for compliance og GDPR. Velkommen til dere to også.

Frode Skaarnes: Takk. 

Silvija: Kan dere begge to si to setningers introduksjon om dere selv, før vi setter i gang med samtale nummer åtte i denne serien. Vil du starte Miloš?

Miloš Novović: Ja, heter Miloš Novović. Jobber som førsteamanuensis på BI, er fagansvarlig for våre kurs om personvern og GDPR. Jeg underviser i flere kurs på executive, også underviser jeg i kurs som handler om kontraktsrett., internasjonale kontrakter. 

Silvija: Ja. Og du, Frode?

Frode: Jeg er COO i LØRN, som er en veldig viktig formidler av kunnskap. Men, grunnen til at jeg sitter her at jeg har bakgrunn fra Forsvaret og Etterretningstjenesten og Nasjonal sikkerhetsmyndighet, så jeg er glad i temaet sikkerhet, og jeg er glad i å gjøre risikovurderinger, og jeg synes det er storveis å få lov til å være med samme Miloš og deg på dette, Silvija.

Silvija: Kjempehyggelig. Det er veldig gøy for meg å være med dere også, for dere er veldig flinke og veldig komplementære eksperter på dette med compliance, sikkerhet, risiko og det nye jusen og den nye ledelsen relatert til det. Så det vi skal snakke om denne gangen er egentlig tredjeparter. Og da er det i hvert fall tre måter å adressere problemstillingen, eller tre dimensjoner. Det ene er tredjeparter i tradisjonell forstand, altså bedrifter har partnere, partnere leverer tjenester – det er ingen bedrifter som gjør alt selv lenger. Og i den nye verden så har man faktisk fått ansvar for å forstå hvem man jobber med, og alle deres forglemmelser smitter over på en selv, om det er dårlig GDPR håndtering eller dårlig cybersikkerhets håndtering, dårlig bærekrafts håndtering eller dårlig sikkerhets håndtering eller compliance håndtering i en av de mange andre retningene som compliance har. Hvert år så kommer det noen nye standarder og noen nye krav, også juridiske, til bedrifter om å fikse det, og da må de fikse det, ikke bare hos seg selv, men vite at alt det som er oppstrøms fra dem, også er sunt da. Så det er leverandører. Men så finnes det også etter hvert leverandører som også hjelper å bevise er compliant, ikke sant. Og det som er veldig viktig der er at jeg tror ikke noen bedrifter, særlig ikke noen SMBer, kan fikse alt dette selv lenger. Så vi går til PVC eller til Mnemonic, eller til noen andre som hjelper oss og vise at dette funker hos oss, at vi kan rapportere på det, men vi kan ikke outsource det helt. Og jeg har lyst til å få dere til å kommentere også på hvilket ansvar vi selv har, selv om vi har noen leverandører som hjelper oss med compliance. Så kanskje de to hovedperspektivene. Og så har vi glemt å snakke om de tekniske løsningene som disse her kan hjelpe oss å implementere, så kanskje vi kan bruke litte grann tid på det også. Miloš, hvor vil du starte?

Miloš: Ja, det er egentlig et veldig godt spørsmål. Du har snakket litt om disse to perspektivene. Og når det gjelder det første, at man bruker en leverandør, en typisk leverandørtjeneste, da er det ganske viktig å presisere at man alltid finnes et krav om due diligence, og det er både helt til rettslig sett. Vi kan godt starte med GDPR der, at man bare får lov å bruke databehandlere som kan vise at de faktisk kan følge GDPR, at man står ansvarlig selv for å visa til de som man samarbeider med, jobber på en compliant måte. Og det er en del oppgaven, men det gjelder ikke bare regelverket, ikke sant. Det er viktig å huske at det noe som er viktig for enhver organisasjon – jeg må vite hvem jeg jobber med. Det har vi alltid hatt, at man skal gjennomføre, bare for å vite om de kan betale for eksempel, eller om de faktisk kan levere den tjenesten. Men ja, for det første så finnes det sånne rettslige krav. Og når dere gjelder det andre perspektivet, hvis man la oss si drar til et konsulentselskap og sier «kan ikke dere bare komme inn og fiks alt» eller ansetter en person og sier «ja, nå er det ditt ansvar, compliance». Der har vi egentlig ikke en god måte å tenke på, fordi det er ingen som kan fikse compliance for deg, eller fikse GDPR. Nå skal jeg betale 15 000 kr, og nå har noen vurdert og signert og that’s it. Nei, man må vise at man faktisk har forstått og at man på en kontinuerlig måte, jobber med disse utfordringene. Så det aller første som jeg sier, så selv om jeg har executive kurs, og vi prøver å undervise så veldig mye som vi kan, men jeg sier ikke betalt for ting, prøv å gjør så mye du kan selv. Ikke fordi vi har en sånn mistillit eller hva som helst, men fordi det er ingen som faktisk kan gjennomføre sånne ting. Og det samme gjelder i systemer som leveres av tredjeparter, som for eksempel; Ja, nå selger vi et som kjempedyrt GDPR system eller Cookie-løsning. Joda, men de aller fleste, når det gjelder GDPR, kan lages ved å bruke Excel. Så veldig kort fra min side da; sjekk hvem dere jobber med, gjennomføre en due diligence, og for det andre, man skal ikke forvente at man må betale for dyre konsulenttjenester eller dyre IT-systemer for å være compliant.

Silvija: Dette her kommer vi tilbake til også ut ifra nye forskrifter og nye råd som kommer. NSM kom i mai 2023, med blant annet et råd, og dette får Frode hjelpe meg med å si presis som et øyeblikk, men noe sånt som at offentlige institusjoner som forvalter viktige eller personlige data bør ikke bruke internasjonale skyløsninger. Dette blir interessant i forhold til alle som er på skyløsninger eid av amerikanske selskaper og så videre. Så jeg tenker at det er så mye nytt som kommer også av krav, at hvis du har outsourcet alt, inkludert kunnskap, så står du egentlig helt hjelpeløs og er ikke compliant. Og en av mine favorittsitater her er at du må ha peiling for å kunne kjøpe peiling. Så ja, du kan du kan kjøpe tjenester, men først må du være arkitekten av bestillingen, ikke sant. Frode, hvis vi egentlig starter med først dette med leverandør perspektivet på compliance. Jeg er en liten SMB bedrift. Jeg har ikke råd til å ansette en CISO, en såkalt Chief Information Security Officer. Jeg har ikke råd til å ha en CTO engang. Og det er så mye annen Compliance jeg må vise; at jeg forstår GDPR, jeg må vise at kontraktene mine ligger forsvarlig til, jeg må vise at jeg etter hvert har bærekraftig rapporterings forståelse. Hva skal jeg gjøre?

Frode: Alle disse elementene du beskriver nå, får du jo som en as a service der ute – noen vil kunne hjelpe deg med dette. Men det du må ha da, og det du aldri slipper unna, er jo at det er ditt ansvar. Det er ditt ansvar at det du rapporterer er riktig. Det er ditt ansvar at det sikkerhetsnivået som er definert, for eksempel innenfor GDPR er på det nivå det skal være. Så det krever at du som en liten virksomhet eller mellomstor virksomhet har satt deg inn i hva du ønsker å oppnå med dette her, hvorfor skal du gjøre det, og så kan du få hjelp til prosessene. For det kan godt tenkes at du ikke har kompetanse på å gjøre en risikovurdering, men du vet hva du skal passe på, og du trenger liksom bare en sånn hjelp til å så komme videre. Og det tror jeg er en god inngang. Så du må være god på å forklare de du kjøper tjenestene av, hva du trenger, og så må du forstå hva de selger. For jeg tror det er veldig mange der ute som kjøper veldig mye, og sikkert også betaler veldig mye, men er litt sånn usikker på hva de egentlig får. Og det er litt som vi som enkeltpersoner også, vi kjøper forsikringer, vil dublerer, vi driver jo og surrer rundt i dette her, og vi har ikke egentlig helt oversikt før det ringer en ny med et nytt tilbud. Så det å forstå hva du får, forstå ditt ansvar og ha kunnskap og kompetanse til å få innrettet det på en måte som gjør at du styrker ditt produkt overfor dine kunder og deg selv. Og det er kanskje det viktigste. Du må ikke ha teknisk kunnskap, men du må ha en mer overordna forståelse for hvordan dette henger sammen. 

Silvija: Mhm, kult. 

Miloš: Du kan bestille Microsoft Word, men den kan ikke skrive en artikkel for meg. Så man må vite hva det er man bestiller, som du sier. 

Silvija: Jeg vil legge til noe rundt Chat GPT, og nå må jeg angående at Microsoft kan skrive eller ikke skrive for deg. Jeg har brukt veldig mye Chat GPT i det siste, hvor jeg blant annet ber den oppsummere bøker jeg liker for meg, og den kan skrive ganske spennende, og det som er publisert før september 2021. Men så er det fascinerende, fordi hvis ikke jeg vet hva jeg forventer å se der, så kan den også bløffe noe helt sinnssykt, ikke sant? Hvis den ikke vet hvilken bok jeg egentlig mener, og det har skjedd et par ganger, den skriver noe ganske overbevisende. Det er en bok som heter det Shark and the fish tror jeg, og det er om pokerstrategier. Og den har ikke hørt om denne boka, og den har skrevet så fine anbefalinger og så mye om hva denne boken kunne ha dreid seg om hvis den virkelig dreide seg om en hai og fisk og bærekraft, og noe sånt noe. Det er helt fascinerende hvor godt den gjetter, hvor godt den bløffer. Men poenget er egentlig det du sa, at hvis du ikke vet hva du vil få av resultat, så er du helt hjelpeløs som bestiller, og dette gjelder også compliance. Du kan ikke outsource GDPR og tro at nå er jeg homefree, eller du kan ikke outsource sikkerhet til en god sikkerhets cybersecurity leverandør og tenke at vet du hva nå, nå er det ikke mitt problem lenger.

Miloš: Det var egentlig kjempeviktig å si, på samme måte som vi sa, når det gjelder konsulenter, ikke at jeg har noe imot at man skal få litt konsulenthjelp, vær så snill hvis det faktisk er nødvendig, men det samme gjelder ChatGPT. Altså når jeg skriver eksamensoppgaver, så sjekker jeg først og så sjekker jeg på en måte slik at alle spørsmål blir som helt feil, når man bruker ChatGPT, men det er ikke poenget. Det som er poenget er at man må lære hvordan man bruker den type teknologi, men også innse hva slags farer det innebærer. Hvis jeg skal skrive inn «lag en databehandleravtale for meg», så er det veldig viktig at man faktisk kan sjekke, gjøre det som du har gjort med den boka. Det var det samme.

Silvija: Det jeg har lyst å på en måte bare da konkludere med denne delen da, er at det finnes verktøy og det finnes tjenester der ute som kan hjelpe oss med å håndtere compliance i alle mulige retninger, GDPR, cybersecurity, bærekraft osv. effektivt, men vi må ikke gi fra oss agency. Og det er min store frykt med AI også, ikke bias og alt det, men agency. Altså er det sånn at jeg har prøvd å gi bort ansvaret for det jeg egentlig som leder, som menneske, blir betalt for? Ja, hvis du gir bort ansvaret til noen andre, da gjør du ikke jobben din godt nok, verken fra et kontrollperspektiv eller fra et etisk perspektiv da. Men bare tilbake til Frode, finnes det noen verktøy, hvis vi la oss si snakker om cybersecurity. Jeg har lyst til at du bare sier to ord med både antivirus, men også kanskje MDR, bare sånn at folk har hørt begrepene. 

Frode: Ja, jeg kan si litt om det. Tradisjonelt så har vi hatt antivirus, vi har hatt brannmurer, vi har IDSer, som er sånne deteksjons systemer. Vi har ruterne våre som vi setter passord på, vi har ulike svitsjer. Og det som kanskje er den store forskjellen da, fordi det er mange av de samme tingene vi har som vi hadde, men før så var det sånn at vi leita etter noe kjent. Og vi har kanskje snudd alt på hodet nå. Nå må vi detektere det som er så ukjent da, for det et stort volum på det. Så disse ulike tekniske løsningene eller software-løsningene, de har endra seg litt i måten de opererer på. Men det som er viktig, eller kanskje aller viktigst da, det er at i gamle dager så gjorde vi dette her liksom individuelt, vi håndterte ting veldig innenfor veldig små grupper. Og det vi si at vi fikk ikke dette bildet som vi kunne analysere og sette i sammenheng, sånn at vi får koordinert det på en annen måte, at vi får en logg som gjør at vi får en mer fullstendig forståelse av disse ulike hendelsene som skjer hele tiden. For det er som du har sagt tidligere, det er de som er hacket og de som ikke vet det, og det gjør også at du forstår hvordan trusselen som treffer deg ser ut, du forstår hva slags volum du kanskje har, og du kan også redusere det som er veldig viktig da, disse falske positivene som også vil dukke opp som en del av dette bildet. Så tror jeg dette er litt avhengig av hvem du er. Det er noe av dette som er automatisk. Er du i skyen, så skjer jo dette automatisk gjennom en leverandør. Telenor luker bort masse av de tingene vi har, og det gjør Microsoft og Amazon osv. også. Og så har man da disse halvautomatiske løsningene hvor man da må programmerer litt logikk inn i det for å stoppe angrep, man må gjøre en del ting da. Poenget er at, for små-mellomstore bedrifter så er teknologien, den er jo i en sånn rivende utvikling, dette skjer jo så fort, så her også så trenger du litt hjelp til å forstå hva det er du trenger. Og da tenker jeg, du nevnte NSM i stad, men skyleverandører leverer tjenester med ganske god grunnsikkerhet. Du får en pakke så du kan puste litte grann ut da, for noen tar ansvaret liksom for grunnplanken i systemet ditt eller grunnmuren i systemet ditt. Men, du må fortsatt vite hva du skal bygge oppå. Og her er det en sånn der mosaikk som du kan få lov til å velge, og som koster litt sånn og koster litt sånn, så da må du ha en form for teknisk kompetanse, hvert fall til å forstå hva de ulike fenomenene faktisk innebærer, sånn at du får et godt nok system til å stoppe de angrepene som truer det som er aller viktigst for deg. Men du vil bli hacket, du må bare ha gode systemer for å oppdage det, så du faktisk kan gjøre noe med det, tror jeg da.

Silvija: Okay, supert! Altså dette var da gode verktøy og gode hjelpere for å få litt avlasting på håndtering av compliance. Men så er det også sånn at man har no man is an island, no company neither. Så det er ingen bedrifter som gjør alt selv lenger på produkt, på tjeneste siden, man har folk som hjelper deg med HR, med regnskap, med leveranser, osv. Så Miloš, hva slags ansvar har man overfor dette økosystemet som man er avhengig av og en del av?

Miloš: Ja. Det er egentlig et veldig godt spørsmål hvor man har mange eksempler. Når det gjelder GDPR, så har vi noe som heter i ansvarlighetsprinsippet som sier at når man har en behandlingsansvarlige, så med en gang jeg bestemmer meg for å behandle personopplysninger, i dag har vi sagt at vi skal behandle personopplysninger for å lage en podkast episode. Med en gang jeg har bestemt meg for å gjøre det, så må jeg kunne dokumentere og bevise at alt er gjort på en forsvarlig måte, som da innebærer det at jeg har sjekket at alle leverandører som vi bruker etterlever alle disse reglene. Og da har vi noe som heter solidaransvar. Hvis i dag, la oss si at hvis vi bruker en plattform som heter ABC, som LØRN på en måte har bestemt seg for å bruke for å lage disse episodene, og hvis de har et sikkerhetsbrudd, så kan jeg saksøke dere selv om dere ikke har gjort noe galt. Så da må man være ekstra forsiktig. Så må man implementere, altså en veldig pessimistisk person, man kan si at det ikke er noe jeg kan gjøre for jeg er en CMB, men det stemmer faktisk ikke. For som jeg sa, alt handler om det at man faktisk prøver, at man faktisk dokumenterer det at man har prøvd. Det går an å sende en epost. Jeg har egentlig prøvd å lage en nettside, en personlig nettside, og har sett hvor utrolig vanskelig det er å ikke bruke en eller annen form for tracking, men da har jeg hvert fall prøvd og jeg kan vise til det, ikke sant? Og det var veldig mange avgjørelser fra for eksempel datatilsyn i Danmark eller fra Storbritannia før Brexit, som handlet om det at man ikke hadde dårlig sikkerhet, men at man ikke kunne bevise at man har vurdert om man har god sikkerhet. Jeg vet ikke om det gir mening, men i en sak mot Facebook så sa de, det var fra Irland, de sa «vi kommer ikke til å sjekke om dere har gode sikkerhetstiltak, men det at dere ikke kan vise oss med en gang».

Silvija: Et sett med prinsipper.

Miloš: Nettopp, på grunn av ansvarlighet prinsippet. Jeg vet ikke om jeg faktisk har svart på det?

Silvija: Jo, jo. Jeg tenker at det å forstå at man er ansvarlig for økosystemet også, man er en stakeholder sammen med alle de man samarbeider med, og dette gjør også at man etter hvert må være ganske mye mere nøye med hvem man velger å samarbeide med, og at deres synder arves av deg også. Sånn at du ikke bare kan si at «okay, det er ikke vårt problem, det er ikke vi som har gjort det». Frode, jeg vet ikke om du har noen eksempler på det at kanskje leverandørenes litt sånn slappe holdning til om det er GDPR eller cybersikkerhet? Og hvis jeg ikke husker helt feil, og her er du mye mere pålest enn meg, men i Hydro-saken så tror jeg det var en av underleverandørene som var årsaken. Og jeg prøver å huske hva som skjedde i Østre Toten og i Choice saken, men jeg tror at der var det ansatte som klikka på noe de skulle klikke på.

Frode: Og det du beskriver da, det er jo egentlig kjernen. Om du blir hacket som en aktør, eller om en underleverandør blir hacka som gjør at du blir hacka, så er jo effekten for deg den samme. Og, det er jo det som er det store problemet. Det er jo at det er lettere for oss å kontrollere oss selv og gjøre gode valg for oss selv. Så er det jo sånn at en underleverandør som sikkert har hundre andre kunder i tillegg til deg, så er det sånn at du faller inn i noens rytme. Så du må bli god til å stille krav til underleverandørene når det gjelder sikkerhet. Og det er jo ikke bare sånn i et cybersikkerhetsperspektiv, det kan være leveransesikkerhet, det kan være mange forhold som du bør stille krav til hos denne underleverandøren. Generell sikkerhet for hacking, men også at man er GDPR-compliant. Og dette er jo to ulike sider i et sånt sikkerhetsloven versus kall det det europeiske regelverket rundt dette. Så jeg tror at det vi ser da, vi har så mange underleverandører som leverer sånne små deler som gjør at det kan være litt sånn uoversiktlig å klare og kartlegge de godt nok. Og så må du gjøre noen valg; hvem skal du kartlegge mest, sånn at du er tryggest. Vi i LØRN, vi sender blomster til alle når de har bursdag, men jeg driver jo ikke og kartlegger en eller annen blomsterbutikk for å se på leveransesikkerhet eller økonomisk stabilitet, eller på om de hacker fordi det har vi ikke tid til å gjøre. Men de som leverer, for eksempel det vi sitter i nå, StreamYard, er vi helt avhengig av, så der vil vi gjøre vurderinger på dette. Det er så mange leverandører og underleverandører, så de må gjøre noen kloke valg i forhold til hva som er kjernen i forretningsmodellen din, og ikke minst da hva som faktisk kan få størst konsekvenser dersom noe går galt da. Og da kan det godt være at det er akkurat blomsterbutikken som blir brukt som skinn, og det er der du ble hacka fordi du hadde garden nede, men det vet du aldri. Men du kan ikke gå rundt og tenke at du skal ha kontroll på alt hele tida, for det er ikke mulig, tror jeg da.

Silvija: Ja, jeg tenker at dette med å, jeg er tilbake til kultur, og vi kommer til å komme tilbake til kulturen i neste samtale også, men inntil nylig så pleide folk å irritere seg over at det var så mye man måtte fylle ut for bankene, ikke sant. For å få beholde kontoen, så måtte du fylle ut skjema på skjema igjen og sånn, men bankene må bevise at de vet nok om deg og være rimelig sikre på at ikke du hvitvasker penger. Og for dem er det ikke lenger om de bare er veldig vanskelige eller pertentlige eller reguleringskåte eller hva det er – det er rett og slett at dette er den nye hygienen, ikke sant. Du må bevise at du har orden i sysakene. Og dette gjelder flere og flere områder av vår business, og det er dette det nye compliance dreier seg om. Så nå må du med åpenhetslove, som trer i kraft 30. juni 2023, rapportere at du har transparens, innsikt i din leverandørkjede, at ingen av dem bruker barnearbeid, ikke sant? Det er ikke lenger noe som du gjør bare fordi du skal være litt vanskelig mot leverandører fra vanskelige land, men det er sånn at hvis ikke du beviser dette her, så blir det ditt problem – dine leverandører, ditt ansvar. Og jeg tror at til slutt så er både kunder og alle disse leverandørene better off med en sånn konsistent holdning til compliance og hele leverandørkjeden, fordi det blir bedre. Det blir bedre arbeidsforhold, det blir bedre produkter og i det helt tatt blir det bedre markeder også.

Miloš: Kan jeg bare legge til noe der? Jeg vet at vi har brukt veldig mye tid til det her, men det er et veldig viktig tema. Man må være litt prosessorientert. Vi har snakket om organisatoriske og tekniske tiltak, og her er det ekstra viktig å på en måte fordele ansvar og avklare forventninger. Og i de aller fleste tilfeller, så kan man ikke bare si ja, vi har en person som driver med innkjøp og som skal sjekke alt, ikke sant? Eller, man må egentlig ha dialog både internt og eksternt. I løpet av den prosessen så skal man starte med risikovurdering, som Frode sa. En sånn blomsterbutikk trenger ikke å være vurdert på et like høyt nivå som en finanstjenesteleverandør. Men der anbefaler jeg på det sterkeste at man finner en veiledning eller leser en veiledning skrevet av det danske datatilsynet, som gir eksempler på nettopp det. Og de har en sånn poengskala hvor de sier ja okay, hvis vi har en sånn frisør som bruker online booking, som ikke inneholder noen sensitive data osv., så trenger de egentlig ikke å gjennomføre en grundig bakgrunnssjekk. Signerer en avtale og så hvis det blir noe galt, og hvis de ser at det starter å gå galt, så kan de de presentere tiltak. Men det er viktig å vurdere den risikoen, og så er det viktig å ha prosesser på plass. Og det siste som jeg tenkt å bruke som et eksempel var Helsingør-saken fra Danmark, hvor de startet å bruke Google, Google Education eller Workplace Google School, sånne Google-tjenester med dokumenter og alt mulig. Og Google sa ganske tydelig at de ikke kommer til å gjenbruke personopplysninger til barn, til kommersielle formål. Men problemet var at en dag så skrudde de på en sånn YouTube funksjon, slik at alle de elevene hadde fått en sånn YouTube-konto med sitt eget navn, som da innebar det at barn som starter å konvertere og ikke har sett den type ting, så ble det plutselig offentliggjort. Hele poenget der var at Google var underleverandør, og dere har sjekket, og de har sagt at de ikke kommer til å bruke det til kommersielle formål, men man må kunne ha litt oppfølging der og, fordi det må være en det av den prosessen hvis det er snakk om sårbare mennesker som barn og så store datamengder. Så ja – risikovurdering, prosesser og kanskje tillit. Og ikke glem å skaffe for eksempel opplysninger fra offentlige kilder. Hvis dere bruker et ganske lite selskap, så er det viktig at man sjekker om de har hatt noen sikkerhetsbrudd i det siste, prøve å se på sånne offentlige rapporter og den type ting. Nå beklager jeg, jeg vet at det er veldig mye informasjon der, men dette her er egentlig et kjempeviktig tema.

Silvija: Jeg tenker også dette poenget ditt med at det finns tekniske verktøy, det finns organisatoriske verktøy, men det finnes og prosessverktøy – det er et kjempeviktig poeng. Og det at prosessen er kontinuerlig og at den gjelder hele organisasjonen, ikke bare en person i organisasjon, det tror jeg også er kjempeviktig. For det er egentlig de organisasjonene som forstår at dette er en reise, ikke et mål som gjør det bra. veldig bra. Tusen takk for en spennende samtale. Vi snakkes snart i vår siste samtale i serien, og det blir kontrollsystemer. 

Frode: Vi sees. 

Miloš: Takk. 

Takk for at du lærte med LØRN. Husk at du må registrere deg på lorn.tech for å få personaliserte læringsstier, sertifikater og mye mer.