2000+ lyttinger
Surveillance economy
Del denne Masterclass
Dette lærer du om i denne Masterclass
Bibliotek
Om LØRN
© 2024 LØRN AS
Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Silvija Seres: Hei og velkommen til en LØRN Masterclass med Finn Myrstad om privacy og deceptive design. Velkommen til deg også Finn, jeg gleder meg veldig til denne samtalen.
Finn Myrstad: Samme her, takk skal du ha.
Silvija: Vi har snakket en del før, og vi har sittet i et par utvalg, og det jeg vet er at Finn Myrstad, som da er fagdirektør for digitale tjenester og medlem av Personvernkommisjonen i Norge, er fagdirektør innenfor forbruker tilsynet?
Finn: Forbrukerrådet.
Silvija: Forbrukerrådet, er en av de beste til å eksemplifisere og forklare de spennende etiske dilemmaene rundt personvern og økende databruk i våre liv og. Og Finn, det vi skal snakke om nå er privacy, og deceptive design. Kan du si veldig kort hva betyr det?
Finn: Nei, altså privacy – personvern handler om hvordan personopplysninger våre samles inn og eventuelt brukes. Og manipulerende design som vi kanskje kan kalle det på norsk handler om hvordan vi blir manipulert på nett gjennom design, språk og andre metoder som kanskje nettsider og apper bruker for å få oss til å bruke enten mer tid eller penger eller for å gi opp personvernet vårt. Og det er noe vi har sett ganske grundig på i en del rapporter.
Silvija: Dette er noe som angår oss alle sammen. Både politisk, økonomisk og psykologisk. Vi ser at dataene våre som store data selskaper samler og som vi er ganske ubevisste på – blir brukt i fremtiden som en slags fremtids opsjonalitet for å tilby oss tjenester vi ikke egentlig kan forestille oss i dag. Og det kan være tjenester innenfor helse, utdanning, finans, sikkerhet og alt mulig annet også. Jeg tror at dette er et område hvor folk virkelig trenger å bygge kunnskapen og forståelsen rundt det de sier ja til når de besvarer diverse brukeravtaler som vi gjør mange ganger om dagen, egentlig. Og der har dere gjort et utrolig spennende stunt. Vi sier ja til ting vi ikke har mulighet til å forstå dere har ønsket å overbevise oss om. Kan ikke du fortelle litt om det stuntet?
Finn: Ja, vi i forbrukerrådet har jo en liten gjeng med jurister, økonomer, filosofer og andre som brenner for digitale rettigheter. Og vi opplevde at det oppstod en form for trøtthet blant folk. Folk gir opp. Folk har prøvd å lese vilkår og skjønner det ikke, og gir opp. Så for noen år siden så fant vi ut at okey, nå skal vi lese det. Vi bør ha gode forutsetninger for å forstå dette. Men når vi leste vilkårene så opplevde vi veldig mange potensielle lovbrudd i mange populære tjenester. I tillegg til at det var utrolig mye vi ikke selv forstå når vi leste vilkårene. Så for å sette det på spissen etter et langt prosjekt der vi hadde publisert og vi hadde klagd inn selskapet til bruker tilsynet, så fant vi ut at nå skal vi sette det på spissen. For vi ble møtt hele tiden spesielt fra selskaper om at forbrukerne har jo takket ja til dette. Så de har seg selv å skylde på. Det er ikke vårt ansvar at de har takket ja. Så printet vi ut vilkårene på en helt gjennomsnittlig telefon. Og dette er 5-6 år siden allerede, så det er begynt å bli en stund siden allerede. Så var det 32-33 apper folk brukte regelmessig. Og nå er det tallet mye høyere. Så printet vi ut de vilkårene, og det var og 900 sider. Også satt vi opp et webkamera her på kontoret også strømmet vi dette eksperimentet live. Og vi fikk jo hjelp av politikere, IT-folk og andre til å lese dette høyt. For det tok jo lang tid. Det tok 31 timer og 49 minutter og 11 sekunder å kun bare lese disse vilkårene non-stop. Og det sier jo seg selv at du ville gått tom for batteri, du ville blitt sulten og du hadde måttet sove lenge før du hadde kommet deg gjennom de vilkårene. Og det vil ikke innebære den tiden det vil ta å forstå de vilkårene. Det er kun det å lese de. Så for oss er dette et ekstremt komplekst materie der. De er nødt til å ha en samtale på et annet nivå å å holde fast på at rettighetene til folk blir ivaretatt, da. At du får en sunn digital økonomi som folk har tillit til. For da kan du jo nettopp oppnå de gevinstene som er mulige å potensielt få til via digitalisering. For eksempel som dette med helse som jeg tror kan ha enorme gevinster for folk og samfunnet hvis man kan bruke data på en god og sikker måte. Nå ser vi jo at tilliten har gått ned etter dette med Snowden avsløringene, Cambridge Analytica, folk er redde for å dele opplysninger. Og jeg vil si med god grunn. Så vårt arbeid har gått på å holde selskaper ansvarlige. Bevisstgjøre myndigheter, bevisstgjøre politikere og forbrukere ikke minst på at vi er nødt til å gjøre et krafttak på dette området.
Silvija: Hvorfor er dette her viktig? De fleste av oss tenker “ja, men spor meg da og ta de dataene mine hvis du virkelig vil også gjerne vil ha dem”. Det er et paradoks eller en kontrast mellom hvordan vi forbrukere tenker på våre data og hvordan disse dataselskaper ser på det som en skattekiste. Helt rabiat samler dataene. Hvorfor er disse dataene så viktige for dem?
Finn: Vi kan se på historien og det som har skjedd, også kan vi se på i dag også kan vi tenke frem i tiden. Og hvis vi ser på det som har skjedd først, så ser vi jo at det er blitt bygget opp veldig avanserte datamodeller for det vi kaller profilering. Der hver enkelt av oss blir profilert og sammenlignet med andre. Også kan det bli gjort antagelser om oss, og det gjør det mulig for oss å målrette for eksempel budskap eller reklame mot folk på helt miko nivå. Og da kan du avdekke folks svakheter. Folks potensielle avhengighet også videre. Og det har vi dessverre sett blitt misbrukt enten gjennom politiske valg gjennom at du kan målrette budskap mot noen som er redd for for eksempel innvandring som er både feil og løgnaktig, men du kan målrette et budskap og nå de er når de er på sitt svakeste, eller innenfor forbruker konteksten. At du kan pushe slankeprodukter mot usikre gutter og jenter. Dette har vi sett eksempler på. Eller at disse profilene blir brukt til å diskriminere folk basert på en karakteristikk som blir oppfattet som negativ av annonsøren eller av datasystemet ofte. Og det har vi sett på etniske minoriteter eller kvinner har blitt utelatt fra jobbannonser eller fra boligannonser Der har vi eksempler fra USA. Så konsekvensene på både forbruker nivå, og at du kan bli ekskludert og diskriminert og potensielt manipulert er til stede. Og vi har ikke noe innsikt i hvordan dette foregår. Men også på et samfunnsnivå. At kommunen krav og politiske valg for eksempel. Også er det også en diskusjon om i hvor stor grad dette skjer. Jeg mener vi har nok bevis på at her må man i mye større grad være føre var og i mye større grad føre tilsyn. For dessverre så har nok de store teknologi selskapene ikke vist tilliten sin verdig når de gang på gang får avsløringer fra whistleblower enten det er Francis Haugen eller andre som forteller om hva som faktisk skjer i disse selskapene. Så jeg tror det er på tide å ta kontrollen litt tilbake for å kunne gjenopprette et mer balansert marked. Vi skal jo ikke kaste mobiltelefonen i do og gå tilbake til sånn som det var for 20-30-40 år siden. Det tror jeg det er ingen som vil.
Silvija: Jeg ser det er folk som melder seg ut av Facebook, og så kommer de til slutt tilbake til Facebook. Og det er sikkert litt sånn aldersbestemt og folk hopper fra en plattform til en annen også. Men vi lever digitale liv som det ikke er så veldig lett å ta sånne midlertidige sykemeldinger fra. Og jeg tror det du snakker om minner meg veldig om en bok som jeg er veldig glad i som heter Surveillance Economy av Shoshana Zuboff. Da jeg leste den synes jeg den var for mørk. I ettertid tenker jeg det er bra at noen provoserer oss. Det hun sier er at hun er redd for en fremtid hvis ikke vi som forbrukere og politikere tar grep nå. En fremtid hvor vi som forbruker og som borgere blir manipulert av store dataselskaper for deres egentlige inntjening og profitt. For de forstår oss bedre enn noen andre forstår oss. Og det er så veldig mange mekanismer man kan ta i bruk når man har så veldig mye data om folk og hvor folk kanskje ikke har så mange alternative tjenester, da. På det personaliserte nivået. Og dette med balansen mellom personaliserte tjenester – altså din egen supersmarte doktor og din egen supersmarte lærer og hvor alt blir skreddersydd på personnivå versus dette med at du får ikke gjort det uten data. Og hvordan skal du sørge for at det blir gjort på en måte som er bra for deg, men ikke som misbruker deg i fremtiden. Det er denne evige maktbalansen mellom personalization og privacy.
Finn: Ja, jeg er forsåvidt enig i det. Men fra mitt ståsted da, så har selskapene tatt det alt for langt. For når for eksempel Facebook eller Google ber om tillatelse – og det er noe av det vi har sett på i rapportene vår at de gir samtykke til veldig mange ting samtidig. Gjerne bundlet sammen i et samtykke. Så kan du si at du vil gjerne ha personaliserte søk, og hvordan kan det gi negative konsekvenser. Så har vi jo sett i diskusjoner rundt ekko kamera og rabbit holes. Folk får bare mer og mer av den samme informasjonen og kan bli radikalisert. Men også at personalisering fører til at du kan få veldig målrettet reklame mot deg, da. Jeg tenker på den ene siden så vil kanskje folk ha personaliserte anbefalinger på Google Maps. Men de ønsker kanskje ikke at Google skal bruke lokasjons historikken til å kartlegge livene deres ellers. Og det er litt det vi har sett. For eksempel dette med lokasjonsdata, da. Hvis du gir fra deg det i sanntid til Google, Facebook eller andre og du gjør det kontinuerlig, så er det ikke bare personaliserte anbefalinger du får på Google maps for eksempel. Men du disse dataene vil også gå inn i data profilen din. Og da kan man avsløre hvor folk bor, hva de gjør på kveldene, hvor sover de på natten, ble det plutselig et avbrudd? Er det innom en sted som kan avsløre politisk ståsted eller seksuell orientering? Hvem er de sammen med? Besøker du psykolog over tre ganger i uken? Blir du plutselig mindre aktiv er det et tegn på depresjon for eksempel. Så jeg tror selskapene i all fremtid har fått definert virkeligheten av at du må gi fra deg så mye data og vi må bruke det til alt. Så jeg håper vi kan komme tilbake til en form for balanse der du gir fra deg data til et spesifikt formål. Hvis jeg hadde hatt helseappen og hvis jeg hadde hatt kols for eksempel, så vil jeg veldig at den skal følge med på pulsen min og at jeg må legge inn litt helsedata der. Men samtidig så vil jeg ikke at de dataene skal bli sendt til alle og enhver mann. Og 30 data børser som sender de videre til tusenvis av markedsførere. Så rebalansere litt det at datadeling kan være bra, men vi må få det i litt mer tilordnet former enn det vi har i dag. Og vi er jo på vei dit håper jeg. Både med initiativet fra EU og tilsyn og sånn som vi sikkert skal snakke mer om i senere.
Silvija: Du sa to tre ting her som jeg vil understreke litt. Det ene du snakket om er at data samles i dag med en åpen bruk for fremtiden. Og dette konseptet rundt monetization av data er jo det som driver Silicon Valley. Først skal vi samle data også skal vi finne ut av hva vi skal med de dataene og hvordan vi kan tjene penger på dem. Og du vil jo ikke hindre folk i å kunne tjene penger, men det er en makt ubalanse der hvis de finner alt for effektive måter å tjene penger på disse dataene. Også er det en ting hva Google kan bestemme seg for å gjøre med data Google har samlet om oss, men det du sa er at det finnes data børser, så data har blitt en valuta som tydeligvis er veldig verdifull for mange bedrifter?
Finn: Absolutt. Og det er noe av det vi har sett på. Vi har hatt flere store undersøkelser på dette. Vi hadde blant annet en for to år siden hvor vi sammen med et norsk Cyber Security selskap som heter Mnemonic gikk inn å så på hvordan data ble samlet inn fra mobiltelefon til folk. Og hvordan de gikk inn via noen apper og så hvordan det ble spredt til kommersielle tredjeparter og kommersielle aktører som igjen på sin måte kunne dele det videre. Så så vi bare for å ta et eksempel fra en av appene vi så på, så er Grindr datingappen. Så delte den data med 18 tredjeparter. Sannsynligvis mer, men det var en av de selskapene som forbeholdt seg retten til å dele data med 170 andre selskaper. Så var det Grindr til 18 selskaper. Et selskap av de deler da med potensielt 170. Og av de 170 så gjorde vi en stikkprøve på en av de. Den forbeholdt seg retten til å dele videre med over 4000 tredjeparter. Så kan du bare gange den eksponensielle potensielle datadelingen. Det er fullstendig ute av kontroll. Og dette var en dating app som den dag i dag vokser og samler informasjon om folks seksuelle orientering og samler lokasjon. De har strammet inn etter vår avsløring, men på det tidspunktet vi gjorde undersøkelsen så ble folks opplysninger om det de mener seksuell orientering og lokasjon spredt for alle i vinden da. Den saken har jo fått store konsekvenser i Norge og internasjonalt. Men vi har enda ikke klart å rydde opp i dette systemet hvor data kjøpes og selges over en lav sko. Og det var jo en undersøkelse nå fra det Irske Civil Liberties Union ICCL De anslo at dataene våre ble solgt på børs 340 ganger per dag i gjennomsnitt. Så det er en helt sånn vanvittig deling som skjer daglig fra vår telefoner som vi ikke har noe kontroll over så lenge vi har smarttelefoner med apper på.
Silvija: Du Finn, tilliten til digitale tjenester blir skadet av dette her, ikke sant. Og det blir skadet av en sånn skjødesløs bruk av data. Og litt den der maktesløsheten til forbrukere, så derfor så er det kjempeviktig at vi fokuserer på dette her. Men dette er jo også en kjempe i utviklingen av digital økonomi?
Finn: Absolutt. Og det er jo masse undersøkelser som er gjort både internasjonalt og nasjonalt, som viser det vi kaller nedkjølings effekter. Folk vegrer seg for å bruke digitale tjenester. Folk blir redde for å bruke de fordi de er redde for å bli lurt, bli svindlet og få data på avveie. Alle mulige grunner egentlig. Og det er jo en potensiell barriere for å oppnå noen av de gevinstene som man kan ha. Og jeg sitter jo også i personvernkommisjonen NNH i dag, litt avhengig av når vi ser og hører den podkasten her. I slutten av september 2022. Så der har vi jo forsøkt å ta seg tilbake, og en av de trendene vi har sett er at det er nedkjølingseffekter samtidig som vi kan se at det er en god del gevinster hvis vi klarer å gjøre digitalisering riktig. Så vi er nødt til å finne god eløsninger på det. Vi trenger handlingsrom nasjonalt også for å gjøre det. Det kan vi også snakke mer om senere hvis du vil.
Silvija: Veldig spennende, og jeg har lyst å snakke bittelitt også om det offentlige versus det private her. Og der har jeg skrevet staten og dataen og landet – man formes jo av det man skriver og tenker underveis, og litt til min egen overraskelse så har jeg landet på at jeg håper at Norsk stat blir mer effektiv og aktiv i datainnsamlingen om oss. At det finnes mer politikk på data plattformer innenfor forskjellige områder, sånn som helse, utdanning, finans, sikkerhet og så videre, som gjør at forskjellig kommuner, distrikter og så videre kan samarbeide. Kan dele felles infrastruktur, da for data deling. Og det er fordi jeg tror at hvis staten skal være en velferdsstat og tilby oss en hel masse tjenester så må de ha gode data for å kunne lage noe konkurransedyktig. Og der er det en del folk som havner i det motsatte, hvor de er veldig redde for ja, men staten kan misbruke data på en helt annen måte enn private aktører. Så ser vi Kina, hvor blant annet en som heter Kai Fu Lee har sagt at vi i Europa taper i kunstig intelligens reset mot USA og Kina på grunn av våre strenge databehandler regler og lover. Og så finnes det politikere i EU som forsøker desperat å stoppe, begrense og saksøke store internasjonale, særlig Silicon Valley aktører, da. Hva tenker du? Hvordan finner vi et balansert syn på dette med offentlighetens bruk av data i en tid hvor data blir politikk.
Finn: Kjempe godt spørsmål. Da tar jeg av meg forbrukerrådets hatten og ser mer mot personvernkommisjonen. Der min rolle er der da, der jeg sitte som privatperson. For da kan jeg snakke litt friere. Og jeg tenker at det som er åpenbart hvis vi ser det fra et personvern ståsted så har jo mangel på sentralisering og koordinering ført til at det er litt svakt personvern også i det offentlige i dag. Du ser på skolen så har disse teknologi aktørene fått fritt leide inn i skolen uten at det har blitt diskutert på noen spesiell måte. Jeg sier ikke at Google nødvendigvis skal ut av skolen, men jeg sier at det har skjedd uten skikkelige diskusjoner og utredninger om det vi ønsker. Så jeg tenker at det du beskriver – en økt digitalisering. Hvis man tar gode formålsbeskrivelser på hvorfor man skal digitalisere nå, så tror jeg det er kjempenyttig å gjøre det mer sentralisert fordi alle kommunene skal omtrent levere de samme tjenestene. Og samme med skolene. Så det er litt meningsløst at alle sitter på sin egen lille tue og hvis det er fra et personvern ståsted, har kanskje en halv ansatt som skal jobbe med personvern og IKT sikkerhet. Hvis man kunne sentralisert de ressursene så kunne kommunene også blitt mye bedre innkjøpere og fått mye bedre tjenester. Det er jeg helt sikker på. Så her tror jeg du kan gå ganske langt i å digitalisere og sentralisere uten at det går på bekostning av personvern. For jeg tror at i dag så er det mye mer svakere personvern, også er det nok en del innbyggere som får dårligere offentlige tjenester fordi kommunen ikke har kompetanse til å digitalisere på en god måte. Og da skjer det enten at de bruker dårlige gratis løsninger for eksempel i skolen. At de bruker tredjeparts gratis apper i gymtimen. Det har vi eksempler på. Eller at de ikke digitaliserer i det hele tatt. Og da blir det jo tapere og vinnere i denne digitaliseringen som ikke er bra. Samtidig så må vi også ta innover oss at det er 600.000 nordmenn tror jeg som defineres i dag som ikke digitale. Og det er ikke bare eldre. Det er også unge med lav utdanning. Så vi må klare å finne en måte å digitalisere på som er inkluderende og som gjør at ikke store deler av befolkningen faller av, da. Så det er mange behov. Men jeg er enig i ditt premiss, også tror jeg ikke det nødvendigvis er noen motsetning med personene i IKT sikkerhet. Jeg tror det kan styrke den beskrivelsen du har.
Silvija: Ja, jeg synes det er veldig spennende det du drar inn her med tapere og vinnere, og jeg tror at Norge som nasjon, med vår kostbare profil og våre forventninger til velferdsstaten, må faktisk spille ganske kunnskapsrikt og økonomisk rikt, da på digitalisering. Og jeg kommer fra en sommerferie i Montenegro hvor jeg har sett det motsatte. Du bruker halve dagen på å betale en regning på tyve euro og sendes fra bank til bank til postkontorer. Du ser at finansielle compliance lover brytes i bankene fordi det er så tynt lag av digitalisering og transparency i det folk gjør. Så du ser russere som putter penger inn på konti. Så poenget er at digitalisering kan både gi oss bedre personvern hvis det brukes riktig og enormt effektivitet. Og enormt mye sterkere legal compliance. Men det vi må vite er at staten kjører etter noen enkle bud. Og disse 10 budene for god personvern drevet av offentlige tjenester håper jeg hjelper det offentlige. Jeg tror at det blir veldig fort sånn at folk er så redde for å gjøre noe feil. Og dermed sier de bare nei til alt fordi det er det tryggeste.
Finn: Helt enig med deg, og i den perioden jeg har sittet i personvernkommisjonen, så har jeg hatt privilegiet av å snakke med en haug med folk rundt omkring i Norge. Jeg har snakket med personvernombudet i alle kommunene. Ikke en og en. Men jeg har hatt store møter og sånn. Og det inntrykket jeg får er at de ønsker velkommen en form for sentralisering. Det skal ikke frata kommunen en mulighet til velge ulike tjenester, men det å heve gulvet og på en måte hjelpe kommunene. La oss si at vi nå snakker om personvern, da. Gi de retningslinjer, bindende retningslinjer for eksempel på minstekravet på IKT-sikkerhet. Minstekrav på personvern. Kanskje du også kan ha en form for sentralisert forhandling opp mot teknologi gigantene på nasjonalt nivå. Kanskje til og med på et nordisk og europeisk nivå. For å fremforhandle gode rammeavtaler som ivaretar for eksmepel europeiske personverns standarder. Så kan du på toppen av det eventuelt unngå individuelle avtaler på kommunalt eller fylkeskommunalt nivå. Men i dag er det sånn at er du en stakkars kommune med tusen innbyggere og ikke er en del av et interkommunalt IKT samarbeid, så er du fullstendig prisgitt de vilkårene som enhver aktør kaster mot deg. Så her har du masse å vinne på uten å frata et lokalt selvstyre. For eksempel så kunne en i forhold til skoler innført sentralisert testing av tjenester for å luke ut alle de usikre tjenestene og de som bryter med grunnleggende personvern. Så kan de forhåndsgodkjenne en del av de tjenestene som de bruker i skolen i dag. Så må skolen og kommunen som har juridisk ansvar per i dag uansett gjøre sine egne vurderinger. Men du kan heve gulvet betraktelig. Fordi jeg vet fra det arbeidet vi har gjort – vi har testet digitale tjenester og brukt ciber sikkerhet tjenester og IT-selskaper som arbeider sammen med oss. Det er dyrt. Ikke kritikk mot de i det hele tatt. Selvfølgelig koster det penger. Og det tar tid å bygge opp kompetanse. Men jeg er sikker på at hvis vi sentraliserer alle lag og et felles miljø på dette så vil det gjøres mye mer effektivt, mye mer kostnadseffektivt og det vil bli mye bedre over tid. Og mye av dette kan automatiseres også. Så her tror jeg det er store gevinster å hente. Og da kan du også hente ut disse andre gevinstene som jeg vet du er opptatt av. Men effektivisering og det større bildet som jeg ikke nødvendigvis alltid ser.
Silvija: Du vi her fem minutter igjen i introduksjonen vår, og vi har snakket mye om persondata, altså verdien av persondata og stjeling av folks persondata. Poenget her er at du gir fra deg data som du selv ikke vet er verdifulle, men noen andre ser verdien av dem og skaper seg et fremtids imperium rundt det. Jeg håper egentlig at vi innfører konseptet data-skatt. Jeg vet det er flere som er ganske sjokkert over den ideen. Eller hjemfalls rettigheter på data, men jeg mener at skal norsk helsevesen kunne tilby oss helsetjenester som skal kunne konkurrere med Apple, Google eller Amazon sine “Design your health” type tjenester, så må de kunne mer om oss og vi plikter å hjelpe dem med det fordi det er vi som er mottaker av de tjenestene. Og mitt eksempel som jeg vil slenge inn der er dette med smittesporings appen. Og vi kan komme tilbake til det i neste samtale om eksempler. Men vi var så skeptisk mot at vår stat skal vite om oss for mye under smittesporingen, samtidig som at vi ga bort nøyaktig samme data til gjennomsnittlig 70 apper i våre telefoner til USA og Kina, ikke sant. Men Finn, vi skulle også snakke om deceptive design. Og hvis jeg har forstått deg riktig fra våre tidligere samtaler, så er det løsninger som gjør at digitale tjenester blir i overkant effektive i å tilby oss tjenester. Hvorfor er det galt?
Finn: Ja, måten vi prøver å definere det på er at du har design som hjelper deg også kommer du inn på nettsiden. Knappen er blå, og komme deg videre. Det er sånt som hjelper deg. Hvis alle nettsider var grå for eksempel, så ville det vært en forferdelig brukeropplevelse. Så design kan være veldig positivt og hjelpe deg. Skatteetaten har blitt veldig gode på det. De bruker nudging, klikker deg videre på sånn og sånn i selvangivelsen. Det er det vi kan kalle design, god nudging der vi er i en egen interesse i å gjøre de tingene som du ender opp med å gjøre på en effektiv og rask måte. Det er bra. Så har vi en svær litteratur, akademisk, politisk som har avdekket de siste 10 årene – men spesielt de siste 5 årene hvordan selskaper også bruker design til å gjøre ting som er i deres egen interesse, men ikke nødvendigvis i brukerens interesse. Og det kan være å manipulere oss sånn at du bruker mer tid på en tjeneste og oppmerksomheten bak. Det kan være at du manipuleres til å bruke mer penger. Mer penger enn du hadde tenkt til. For eksempel at du går på en nettside også har de plutselig lagt en ekstra forsikring i handlekurven din. De slengte på et ekstra gebyr. Plutselig har du en leiebil i Montenegro. Det hadde du ikke tenkt til, fordi du har en bil der nede. Hele den pakken der. Eller at du ved et tastetrykk har gitt fra deg kontaktlisten din, lokasjon dataene dine og tilgang på all e-posten din. Det at du da gir opp personvernet ditt. Design brukes også til disse tre tingene. Tid, oppmerksomhet og penger, og personlighet. Og det har vi hatt masse rapporter på og vi har også gått etter Google, Facebook og Amazon i store internasjonale kampanjer for å ta tak i det vi mener er manipulerende design som vi også mener strider i mot flere både personvernlovgivning og forbrukerlovgivning i Norge og Europa og USA.
Silvija: Så det er ikke hacking? Det er liksom en legit side som du vet du er på. Det er forskjell på det og at jeg har begynt å bruke Viber da jeg var i Montenegro og det er så lett å rote seg bort i noe som ser ut som en ordentlig relevant e-post eller annonse også er du plutselig havnet på noe betalingstjeneste også kommer du deg ikke ut derfra.
Finn: Joda, det er også manipulerende design. Sånne abonnementsfeller som du ikke kommer ut av. For eksempel Amazon klagen vår som vi fikk gjennomslag for i sommer. Der Europakommisjonen ga oss medhold og tvang Amazon til å endre hele Amazon designet på Prime for hele Europa, og kanskje hele verden som følge av klagen vår. Det var en stor sier. Og da var poenget vårt at vi dokumenterte hvordan det var kjempelett å melde seg inn på Amazon Prime, men umulig omtrent å melde seg ut. Det var en labyrint av advarsler og forvirrende knapper også videre. Så det er absolutt innenfor det vi kaller manipulerende design. Og manipulerende design til å få seg inn i svindel for eksempel.
Silvija: Ja der har jeg faktisk et lite side spørsmål. Og det er at jeg har gud vet hvor mange abonnementstjenester og når jeg prøver å avslutte en del av dem så må jeg logge inn på en side med passord og alt mulig og innen jeg har funnet ut av passordet på den siden så har jeg gitt opp. Burde det ikke finnes en knapp hos kredittkortselskapet som gjør at du bare kansellerer, kansellerer, kansellerer?
Finn: Jo, jeg synes det er en kjempegod ide. Det er kanskje helt sikker noe vi burde kreve egentlig. Men det vi hvert fall har krevd er at det skal være like lett å melde seg ut som det er å melde seg inn. Og ofte kan du bare laste ned en app og trykke logg inn, også har du logget inn også har du opprettet et abonnement omtrent. Men å melde seg ut er som du beskriver at du må kontakte kundeservice, sende en faks ikke sant. Eller en brevdue. Hvis du vet hvor du skal sende det. Det er jo helt bevisst. Det kaller vi manipulering. Det er det vi har kalt på engelsk deceptive design dark patterns. Heldigvis er det blitt mer og mer oppmerksomhet på det. Det er jo også en metode selskapet bruker på å låse kundene inne. Så det er også konkurransehemmende i tillegg til at det undergraver tilliten til digitale tjenester generelt. Og at folk blir lurt og føler seg dumme. Det er ingen som liker å føle seg manipulert. Så det er mange negative sider ved dette.
Silvija: Så hvis jeg har forstått deg riktig – privacy og dette med å ha oppmerksomhet på personlige data og hvordan de brukes i dag. Hvilken tjeneste er det jeg egentlig ønsker meg her versus alt det andre som kan komme i fremtiden. Særlig hvis det brukes på en måte som er negativ mot meg. Dyrere forsikring eller hva det er. Det er personvern siden. Også snakket vi også om dette med det mørke, maniupulerende design mønstre hvor man da har blitt alt for effektive i måten man tilrettelegger for brukeropplevelse, så du ledes mot ting som ikke er bra for deg. Det er ikke din egen fortjeneste. Men noen tjener penger ved å stjele din tid, penger eller data. Der er mitt favoritt eksempel. jeg spiller Farm Hero. Og hver gang jeg ikke får et brett så spør den fire ganger om jeg virkelig vil avlsutte, eller om jeg heller vil bruke 30 kroner på å kjøpe meg litt gull for å få fem trekk til. Og det er ganske vanskelig å si nei altså.
Finn: Det der er et klassisk dark patterns. Klassisk manipulativt design. Det du beskriver der er det de kaller shaming. Vi kaller det trussel. Det er veldig klassisk begrep og vi hadde faktisk en rapport rett før sommeren som så på gaming spesielt faktisk. For der har det blitt en mega industri, og det kommer bare til å utvikle seg og vi kommer ikke til å klare å stoppe det. Og spill er jo avhengighetsskapende. Og det vil du kanskje, for det er gøy. Men så legger du inn sånne komponenter som du beskriver som er åpenbart manipulerende. Og som mange faller for dessverre.
Silvija: Og kanskje barn enda mer enn voksne?
Finn: Absolutt.
Silvija: Hvor du til slutt føler litt ansvar for teamet ditt og du ser en liten gris som feller tårer over at du tapte igjen og til slutt så er vi veldig påvirkelig selv i digitale former.
Finn: Absolutt. Og jeg tenker sånn at vi snakker nå mer og mer om at vi kan snakke om sårbare grupper selvfølgelig, og typiske barn er en sårbar gruppe. Vi snakker også om at vi alle ble mer og mer sårbare. Fordi du har sårbare situasjoner. Det er situasjoner hvor jeg er mer sårbar og spesielt hvis budskap eller manipulasjon skjer på de tidspunktene vi er mest sårbar. Og det er det vi frykter når vi går fremover nå. Du kan individualisere designene og promptene på et tidspunkt hvor din gruppe eller din individuelle kategori egenskap er sårbar i. Enten det er midt på natten, når du er sulten eller en periode av året. Et tidspunkt på dagen, ikke sant? Så vi er jo redd for at nå når individualiseringen har gått for langt og kanskje blir merget med designet så er du sjakk matt i en del situasjoner nesten uansett hvilken situasjon i livet du er i.
Silvija: Spennende. Vi stopper med vår introduksjons samtaler her, og går over til en samtale om noen eksempler. Så folk kan ha noen knagger å hekte på, både da personvern og manipulerende design på. Takk så langt.
Du har nå lyttet til en podcast fra Lørn.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læring sertifikat for å ha lyttet til denne podcasten på vårt online universitet Lørn.University
Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Silvija Seres: Hei og velkommen til leksjon to i LØRN Masterclass med Finn Myrstad fra Forbrukerrådet om privacy og deceptive design. Finn, vi har snakket om grunn konseptene her, og det er ganske mørk psykologi i fortjenestens tjeneste hos digitale tjeneste leverandører. Og det er er en slags udefinert flytende grense som går på hvor mye er det i vår egen nytte og fortjeneste som forbrukere at en webside leder oss på enklest mulig måte dit vi vil. Og hvor mye er det for at noen andre skal tjene litt mer penger eller ta litt mer av vår tid og data. Og vi har snakket om personvern aspekter der våre data som vi i utgangspunktet ikke tenker er så veldig verdifulle hvor vi er når vi er der. Frekvensen og mønstrene i vår oppførsel kan oversettes til utrolig mye marketing og salgsinformasjon. Så vi blir et manipulert forbruker objekt. Og dette med at websider spiller også på psykologi som gjør at vi vil ikke være taper, vi vil ikke være en ugrei person. Så vi fortsetter i den retningen som gir dem en mer fortjeneste på vår bekostning. Og nå skal vi snakke om noen eksempler. Så hva har du lyst å begynne med?
Finn Myrstad: Nei, altså jeg kan ta et av de klassiske eksemplene fra en av de første rapportene. Så kan vi ta et personvern eksempel. Så så vi på Facebook Google og Microsoft når plutselig GDPR trådte i kraft i 2018. Så måtte både Facebook og Google og de store andre teknologiselskapene plutselig be om samtykke på nytt. Eller i hvert fall gjorde de det. Og da hadde de muligheten til å også legge inn nye ting som de valgte å ha samtykke på, som de før ikke kunne be om samtykke på. Og da oppdaget vi jo at Facebook introduserte en ny feature på sin tjeneste som var kalt ansiktsgjenkjenning. Og det er jo noe du Silvija kjenner godt til, teknologi som kan brukes til å låse opp telefonen vår er veldig bra. Men det kan også brukes til å analysere følelsene våre og identifisere oss i en menneskemengde, kartlegge nettverket vårt hvis en tar bilde av en gruppe og kan også brukes til å ha myndigheter til en del ting som kanskje ikke er så greit. Men det hadde ikke de hatt lov til før 2018 fordi det var ulovlig i Europa å gjøre det. Men hvis de da fikk samtykke så kunne de gjøre det på en lovlig måte i hermetegn. .
Silvija: Et øyeblikk Finn. Det du sier er at en del apper kan bruke kamera i andre situasjoner enn det du er bevisst på. Så for eksempel for alt jeg vet så kunne kanskje Chrome eller Streamyard i dette tilfellet ikke bare filmet meg, men også lest ansiktsuttrykket mitt og brukt det til noe jeg ikke kan forestille meg foreløpig.
Finn: Det stemmer. Og nå er det også teknologi som brukes på stemmegjenkjenning, ikke sant. Der du skal kartlegge folks følelser og dette kan brukes sikkert til gode ting. Du kan få bedre hjelp kanskje. Du kan tenke med scenarioer hvor du kan få mer hjelp til AI, og merke om du er veldig stresset. Men jeg tror det er et unntak i en del tilfeller. Det vil ofte bli misbrukt tror jeg til å manipulere en del følelser og misbruke det på et vis, da. Men disse Facebook eksemplene så var jo da måten de ba om tillatelse til dette på klassisk dark pattern. Og det var jo det at når du typisk får et sånt samtykke pop-in, så er vi jo lært til å trykke bort. Så den knappen Facebook ville at vi skulle trykke på var blå. Da trykker du egentlig OK. Mens den knappen du kunne si nei stod det Manage Data Settings og den var helt grå og nesten helt umulig å se. Og allerede der så tror jeg de aller fleste Facebook brukerne kanskje har en stresset situasjon på vei hjem, skulle bare sjekke meldingene sine og fikk opp den pop-upen og trykket på den blå knappen, fordi det er jo vi lært opp til. Og da har du skrudd på ansiktsgjenkjenning. Hvis du trykker på den grå knappen som du nesten ikke kunne se, men har et merkelig navn med mange data setting da kunne du få mer informasjon om ansiktsgjenkjenning. Og nå skal jeg ikke sitere nøyaktig hva Facebook skrev, men det som var essensen i det de skrev var at hvis vi skrur på ansiktsgjenkjenning, så vil de bruke de til å gjenkjenne noen som er på et bilde og vi vil kunne bekjempe ID-tyveri ved at vi vil unngå at noen utgir seg for å være deg. Så positive ting. Og svaksynte kan få hjelp til å vite hvem som er på det bildet. Så det på en måte ga deg en indikator på at dette er en veldig god ting. Også skrev de under at hvis du holder det avskrudd, som var default i utgangspunktet. Så kan vi ikke hjelpe svaksynte med å se hvem som er på et bilde, og vi kan ikke bekjempe ID-tyveri. Det var i praksis det de sa. Så du sitter igjen med en følelse av at du gjør en dårlig handling. Og det er det det kalles på fagspråket for confirm shaming. Så de brukte først det visuelle med dark patterns manipulative designet, også brukte de det språklige manipulative designet til å gi deg dårlig samvittighet for å ta det valget de ikke ønsker du skulle ta. Så det var en veldig stygg bruk av manipulerende design. I tillegg så når det kom opp på skjermen så så det ut som at du hadde to beskjeder og to røde prikker oppe i høyre hjørnet. Og hvis du er Facebook bruker så vet du at det betyr at det er beskjed til deg. Men jeg testet tjenesten, og jeg så at jeg hadde ingen beskjeder. Jeg hadde ingen notifications. Men likevel var det to røde prikker som ga meg inntrykk av at jeg hadde det. Og eneste måten jeg kunne se om jeg hadde fått beskjed eller ikke var å komme meg inn på tjenesten. Eneste måten jeg kunne komme inn på tjenesten var å trykke OK videre. Så du var på en måte låst. Og det er det du kaller forced consent. Da er det tvungen samtykke. Så det her var bare tre eksempler innenfor den samtykke prosedyren til Facebook. Den ble delvis utfordret av Max Schrems samme dag, så vi tok ikke tak i den. Og Facebook fikk jo massiv kritikk for bruk av ansiktsgjenkjenning i fjor, og de skrev det faktisk av hele featuren. Og da har de hatt tre år hvor de kunne trene AIen sin på å kunne gjenkjenne alle brukerne på Facebook og som de da kan bruke for eksempel i Meta verset senere. Så de har klart å utvikle teknologi basert på det vi kaller stjålne personopplysninger. Som er ganske alvorlig. Så det er et eksempel jeg synes er ganske grovt. Men vi har en sak gående mot Google, og hvis du vil kan jeg si to ord om den også. Men det går jo på at Google har jo svært og stor andel av mobilmarkedet i verden fordi de har operativsystemet Android. I Norge er det vel 50% av brukere som bruker det, og resten bruker Apple og IOS. Men globalt så har Google en 70-80% markedsandel. Det er helt vanvittig. Og når du har kjøpt en telefon og vil åpne den, så bryter du forseglingen og skrur på telefonen. Og da er det for sent å levere den tilbake, ikke sant. Så kommer det opp en pop-up. Du må etablere en Google konto. og i løpet av den registreringsprosessen, så mener vi at du blir massivt manipulert til å skru på all form for sporing. Så det klagde vi inn til Google i 2018 og sendte en ny klage rett før sommerferien sammen med partnere i mange land. Fordi den informasjonen du kan samle fra mobiltelefonen er mega avansert. Kjempe detaljert. Og gi i praksis Google muligheten til å ikke bare spore deg på klassiske Google tjenester som YouTube og gmail og søk, men også på tvers av internett. For der har Google sine egne sporingskapsler enten det er dobbeltklikk eller Google Analytics. Så gjennom den samtykke prosedyren som vi mener er veldig manipulerende og som vi har dokumentert, så mener vi at Google raner til seg i praksis. Google vil sikkert si på sin side at de gjør dette for å gi oss en mer personalisert opplevelse. Og er selvfølgelig uenig med oss. Men vi mener vi har et ganske godt dokumentert at dette er strid i mot både GDPR og forbrukerrådgivningen. Så det blir spennende å se hva som blir enden på visa i den saken.
Silvija: Altså, hvis vi hadde visst hva de dataene skal brukes til og hvis vi hadde virkelig vært helt sikre på at det skal bare brukes til å gjøre Google maps bedre der vi er eller mer relevant, så tenker jeg at jeg ville akseptert mye. Men mitt problem er at det er helt umulig å få noen form for forsikring at dette ikke skal påvirke forsikringspriser den dagen du må kjøpe enten fra Apple eller Google din neste forsikring. For det er det eneste som garanterer deg nok helsetjenester i USA eller et annet land som ikke har offentlig helse sånn som i Norge. Og jeg har lyst å vise til et annet eksempel som jeg opplevde i går. Dette skjer hele tiden rundt oss også tenker vi bare at sånn er det og jeg går videre. Men jeg har restaurert et gammelt hus. Jeg har det med å restaurere eld gamle hus og mannen min har sagt at en til og han er borte. 400 år gammelt steinhus i Montenegro, som jeg nå har pusset opp og prøvd å legge ut på Booking.com. Og bruker et par timer på å sette sammen tekster og bildr og alt det der. Og helt på slutten så blir jeg spurt om kan vi legge deg til vårt nyhetsbrev for å få personaliserte adds og tilbud og sånn. Eller “No, I think holidays is a bore” ikke sant? Jeg krysser av “no, I think holidays are a bore”, også prøver den å registrere meg også blir dette stoppet av en sikkerhetsgrunn. “Your account is locked“. Jeg får ingen mer beskjed. Jeg prøver å finne ut hvordan kontakter jeg customer services og jeg får ikke logget meg inn fordi the account is locked, men uten å være logget inn så får jeg ikke kontaktet customer services. Og jeg brukte en halvtime, og jeg er ikke mer en gjennomsnitts håpløs hvert fall på å finne frem på websider, og det var ikke mulig å finne ut hvordan jeg kontakter dem. Så jeg tror at dette med hvor lett det skal være å kontakte kundeservice er et mørkt mønster jeg ser ganske mange steder hvor de gjør alt de kan for å dytte deg mot en robot eller en FaQ, og etterhvert blir det rett og slett umulig å få tak i et menneske.
Finn: Og det der er et kjempe poeng Silvija. Jeg tror veldig mange opplever akkurat det samme, og dette er noe vi ser på når vi har et prosjekt som kanskje blir publisert om en måned eller to da. Og da ser vi på den type mønstre eller design her i Norge, da. Så dette må vi få gjort noe med, fordi det undergraver folks rettferdighetsfølelse. For du tror ikke du har rettigheter lenger fordi du får aldri håndhevet de. Og du ser det spesielt innenfor reise nå. At du blir prakket på ekstra forsikringer som du egentlig ikke trenger fordi du har masse rettigheter. Vi har masse rettigheter, men flyselskaper, bookingselskaper gjør det så vanskelig for oss å håndheve de rettighetene vi har. Vi gir opp eller vi overforsirkiger oss i opp ned i mente for å bare håndheve rettigheter som vi egentlig har og som skulle vært gratis. Så jeg tenker det med kontakt barhet er et sånt mønster jeg håper vi kan ta tak i og jeg håper andre også shamer selskaper som vi tar tak i fordi det er ikke greit å gjøre det. Så støtter de fullt ut.
Silvija: Også forstår jeg at det har noe med effektivisering og alle skal spare penger via digitalisering. Men hvis de først har klart å levere så mye mer tjenester til oss og økt salget sitt så tenker jeg man får også forstå at det å ha et effektivt digitalisert kundesenter er en del av gamet. Det å måtte vente i 15 minutter for å få snakke med noen i banken din hver eneste gang. Det står ikke i stil med den effektiviseringen de lover oss på tjenestesiden.
Finn: Det synes jeg er et veldig godt poeng. Og det er henvendelser jeg får tidvis at folk tar kontakt med meg. De har fått poster på Facebook fjernet for eksempel. Og det kan være helt vanlige ting som bare har blitt fjernet. De får ikke vite hvorfor det har blitt fjernet. De kommer ikke i kontakt med Facebook og det kan være snakk om viktige ting. For eksempel knyttet til den offentlige debatten. Du har en politisk mening. Den har blitt flagget av noen. Og der har vi hatt diskusjoner i Norge og rundt det. Vi hadde en case på litteraturhuset i Fredrikstad. Fikk fjernet en post fordi noen hadde flagget et brudd på opphavsretten og det var et bilde de hadde glemt å be om tillatelse for. Det er sånt som kan skje. Og han kunstneren som hadde tatt det bildet ville ikke at hele nettsiden til det kulturhuset skulle gå ned, men Facebook tok ned hele siden. Det betyr at hele businessen i to eller tre uker var nede. De hadde ingen sted de kunne gå. Ingen de kunne kontakte. Det var kun når kom i media at de fikk hjelp. Og denne rettsløs følelsen du føler på, mens selskap i Norge som banken plikter å ha kundeservice og sånn. Så vi må komme dit at de store teknologiselskaper og de små hvert fall til minimum av støtte til brukerne sine. For det er en kostnad ikke alle bør ta å internalisere. For nå er det ganske ujevne konkurransevilkår når kanskje selskaper i Norge må konkurrere med selskaper utenfor Norge som ikke ivaretar personvern. Som selvfølgelig har en kostnad. Eller grunnleggende rettigheter. Så har du også selskaper i Norge som kopier gigantene. Så ikke bare i Norge er dette et utenlandsk problem, dette er et problem vi ser også en del norske bedrifter nå gjør seg mer og mer utilgjengelig fordi de har lært av de store. Så her må vi rydde opp.
Silvija: Kontaktbarhet er viktig. I tillegg til dette med at vi skal ikke akseptere shaming. Og verken i språk eller visuelle former. jeg vil bare spille et lite eksempel her til, og det er den smittesporingen som jeg var så fascinert over under pandemien. Et problem var at ingen av oss var helt sikre på hva skal vi med en sånn digital smittesporing. Så det å forklare folk hvorfor det er nyttig. De dataene kan hjelpe oss å forstå virutsets eller pandemiens mønster, og dermed kan vi lager mer effektiv pandemi politikk underveis. Er det ti meteren, to meteren, en meteren? Hvor mange mennesker, også videre. Men vi ville ikke akseptere at staten skal vite alt for mye om posisjonen vår. Også er vi helt bevisstløse på at vi sender all den informasjonen til om det er Huawei, eller om det er Amazon eller Google. Hvordan kan vi spre informasjon om hvorfor skal disse dataene samles og hva hvorfor er dette bra for oss alle sammen i noen tilfeller? Jeg bare spør hvordan fikser vi kunnskapsløshet?
Finn: Det med smitte sporingsappen konkret var jo en samtale vi i forbrukerrådet ikke deltok spesielt i fordi vi gikk fra å være et forbrukerspørsmål til å bli et borger spørsmål. Men hvis vi skal ta med oss til forbrukerrådet og tenke litt mer generelt så tenker jeg jo at det var noen feil som skjedde i den smittesporings appen og noe konkret som skjedde i den saken som kunne vært unngått tror jeg hvis vi ikke hadde forhastet seg sånn frem. Og jeg skal ikke skylde på de som utvikler appene nødvendigvis. Men de som jobber med personene i IKT-sikkerhet til vanlig, vet at det er en del ting du må gjøre. Så jeg tror de ble nok et offer for at jeg tror det offentlige generelt sett har tatt alt for lett på personvern og sikkerhet. Og jeg mener helt oppriktig at jeg tror den smittesporing appen kunne vært lagd og jeg tror til og med Datatilsynet kunne godkjent den hvis de hadde gjort ting i en annen rekkefølge enn måten de endte opp å gjøre det på. Også ble det jo en stillingskrig og det ble politikk og symbol fra begge sider og sånn. Så jeg tror at vi trenger å bygge opp kunnskap innenfor offentlig sektor på alle nivå. Vi må ansvarliggjøre ledelsesnivåene, vi må sikre at personene kommer høyt på dagsorden. Sikkerhet kommer høyt på dagsorden. Kanskje ha en økonomisk gjennomgang, som eksterne revisorselskaper som går inn og tidvis gjør kontroller. Rapporterer i større grad på personvern til ledelsen i kommunen og staten. Gjør dette til noe som gjør at vi har kompetanse til å ta informerte beslutninger og lage gode prosedyrer på IT-utvikling innenfor sikkerhet og personvern. Jeg vet i dag at det er en stor, stor mangelvare og det er mange ulike fremgangsmåter. Så jeg tror i Norge så har du 10 bud på personvern. Jeg ville også sagt at vi burde hatt en helhetlig personvern politikk. Så kunne man unngått sånne katastrofer som skjedde med den. Og jeg tror det var ingen som var fornøyd med den løsningen som vi endte opp med der. Vi fikk en løsning der Apple og Google lagde en smittesporing løsning. Nå tror jeg den var helt sikker og fin, men prinsipielt så var det jo kanskje ikke greit at de landet der de landet. Og det tror jeg ingen egentlig var helt fornøyd med. Så jeg tror du har helt rett. Vi må ha en annen tilnærming til digitalisering og personvern og sikkerhet. Og jeg tror som jeg har sagt før at det ikke trenger å være en motsetning før på helt spesielle caser. Så vi kan bygge opp nivået og oppnå felles mål ganske lang. Så vil det være selvfølgelig en interesseavveining av og til der noen mener staten går for langt – det tror jeg helt oppriktig. Og der andre mener at andre hensyn bør gå foran liv og helse eller effektivitet, økonomi eller noe sånt. Og da kan du ha en diskusjon. Men jeg tror du må heve gulvet mye mer. Og da tror jeg felles interesse er langt på vei.
Silvija: Veldig spennende. Du, siste fem minutter vil jeg bruke på ting som har med nasjonal sikkerhet å gjøre. For der er det også sånn at en del aktører sånn som skatt og NAV og politiet og PST også videre er litt begrenset av deres politisk gitt tilgang til åpne datakilder. Også er det en del andre som har disse tilgangene til kildene etter hvert. Og der hadde du et eksempel rundt Grindr?
Finn: Ja, når data om oss samles inn over så lang tid gjennom så mange apper, og når det er en svær forretningsmodell der ute og det gjelder Google og Facebook, men det gjelder også tusenvis av andre selskaper som lever av å samle data om oss i stor stil sammenlignet med andre. Og disse datasettene kan tidvis være åpen tilgjengelig på nettet. De kan kjøpes og selges lovlig. Og de blir hacket. Og de ligger også tilgjengelig på ulovlige steder. Det er mange måter disse dataene kommer på avveie på. Og det vi har eksempler på er for eksempel Grindr appen. Den var det jo nå en katolsk prest på som i fjor sommer ble avslørt som levd i skapet som homofil. Og mistet jobben sin i den katolske kirken i USA.
Silvija: Jeg husker ikke hva Grindr gjør. Er det en dating app?
Finn: Ja, Grindr app en dating app for menn som vil møte menn, da. For å si det enkelt. Så kan man med mange sjablonger ha ulike seksuell orientering her. Men de markedsfører seg som the world’s largest gay dating network. Og det var det vi observerte i de årene at de delte data med veldig, veldig mange. Også sa Grindr nei nei det gjør vi ikke. Og det har vi dokumentert at de gjorde. Også sa de at dette ikke er farlig. Mens nå har vi kanskje fått the smoking done. En katolsk prest fikk sparken i fjor, og det kommer frem at det er de som har fått tak i den informasjonen og fått det via Grindr datasett som har vært åpen tilgjengelig for salg. Så er dette en rettssak som pågår. Det er ikke avklart. Grindr er uenig, og det er ikke avklart. Men det er en sånn smoking gun dataspor her som er ganske troverdige. Også ser vi nå studier som NATO, the center of communication i Estland tror jeg, har gjort en studie i fjor som har nå linken. Nå kan altså national intelligence service, altså kinesisk etterretning, russisk etterretning, hvilken som helst etterretning kan bare opprette et selskap og kjøpe disse dataene. Og det var jo en undersøkelse gjort av NRKBeta i fjor av en journalist som heter Martin Gundersen som hadde kjøpt et sånt datasett. Og han klarte med litt enkel analyse å identifisere omtrent alle norske militærbaser fordi han fikk tak i lokasjonsdataene som var kommersielle data som var samlet inn. Og han kunne identifisere folk som jobbet i etterretningstjenesten hvis han ville det. Hvor de jobbet, finne ut hvor de bodde. Og det var ganske enkelt det han gjorde, og da kan du jo tenke deg hva kan en etterretningstjeneste gjøre med litt mer ressurser og litt mer datakraft kan gjøre med det åpent og tilgjengelige. Så Forsvarets forskningsinstitutt Vivi Ringnes der, en forsker, hun ga ut en artikkel tidligere der hun mener at dette er en trussel mot nasjonal sikkerhet. Det at kommersiell data er så fritt tilgjengelig setter riket vårt i fare. Og det kan være at du kan identifisere etterretnings medarbeidere og du kan kryss koble disse dataene opp mot de. Har du for eksempel en oberst i hæren som lever et skjult liv, så kan du finne ut av det. Presse de for informasjon for eksempel. Eller høytstående politiske personer. Det er bare et eksempel. Eller du kan kjøre psykologisk krigføring mot de og den type ting da. Men dette er litt utenfor det som er mitt fagfelt, men jeg bare måtte trekke det frem fordi det er forskning som drar i den retningen og nå ser vi at disse to verdene forbrukermessig av nasjonale og sikkerhetsmessige nå går sammen, da. Og det håper jeg kan være med på å skape en ny debatt rundt at denne uskyldige delingen vår har ganske store konsekvenser. Og at det da ikke kan løses gjennom at vi som forbrukere skal være mer bevisste. det må vi selvfølgelig, men vår undersøkelse viser at det er umulig for oss å si at dataene våre forsvinner og blir delt på den måten. Da må du ha en sikkerhetsforsker som går inn og ser på telefonen 24/7, og det har de færreste mulighet til. Så her må det skje noe.
Silvija: Jeg tror dette her med å forstå at data er gull, men bare for de som vet hva de vil med data, ikke sant. Og det er folk med veldig sterke enten kommersielle eller politiske motiver bak de dataene som vi forbruker eller borgere ikke helt klarer å forestille oss i en tid og kanskje i et grunnleggende premiss her om at vi går inn i en tid hvor vi har blitt veldig transparent alle sammen. Vi synes tvers igjennom. Og jeg tror ikke det går å flytte til en skog å skru av alt og melde seg ut av både skatt og helse og alt mulig. Så jeg tror at det vi er nødt til å være er kunnskapsrike på hva vil jeg ikke akseptere at jeg dyttes mot, og kanskje det at ting ikke er så privatiserte og for profittdrevet. Det er en greie som gjør at vi kan mene litt mer om dette i Norge enn en del andre steder.
Finn: Jo, helt enig. Og jeg tenker vi bare har en diskusjon i Norge. Og jeg har opplevd de siste årene jeg har jobbet med dette at vi har gått fra å ha politikere som har vært litt sånn hva kan vi gjøre, alt bestemmes jo i EU og internasjonalt og sånn. Og det tror jeg stemmer. Vi trenger EU til å løse disse problemene. Men det er ganske mye handlingsrom vi har i Norge også. Spesielt innenfor det offentlige hvor vi kan beskytte borgeren på en bedre måte gjennom å ha en aktiv politikk også. Ikke bare en aktiv digitaliseringspolitikk, men også en politikk knyttet til sikkerhet og personvernet. Så det har jeg skikkelig troen på. Og det er et element til. Du har på en måte det individuelle nivået. Hva kan det gjøre med meg? Men du har også det kollektive aspektet knytte til både betydningen av personvern og hva det gjør med samfunn å bli overvåket på den måten. Og det er det ene at du kan ha en nedkjølingseffekt fordi folk vegrer seg fra å uttale seg offentlig. De vegrer seg fra å dele data. De tør ikke å søke opp informasjon også videre fordi de er redd for å bli overvåket. Det viser også undersøkelser. Også har du dette med at hvis jeg gir fra meg mine verdidata, så kan jeg si at det er et individuelt valg. Jeg vil at Google skal vite deg. Jeg vil at Google skal gå inn i hjernen min og gi meg informasjonen. Men det er en besltuning som har store konsekvenser for mine barn og min familie. For det er jo DNA strukturen deres også. Og da kan du si at du kan ikke heller la det være opp til individuelle informerte valg. For du har en kollektiv konsekvens. Enten det går til familier som i det eksempelet der eller at det går utover ytringsfriheten og demokratiet vårt. At folk ikke ytrer seg og ikke deltar i debatten og ikke søker opp informasjon også videre. Så her har vi mange nivåer og derfor tenker jeg det er viktig at vi gjør det på en god måte, da.
Silvija: Veldig spennende. Jeg lurer på om vi må ta en prat med Anine Kierulf på dette med ytringsfrihet og nedkjøling. Men vi har egentlig åpnet opp for vår tredje leksjon, som vi går inn i om et lite øyeblikk. Og det er egentlig handlingsrommet og verktøyene både for individer og kanskje særlig for offentlig. Altså, hvordan bygger vi en god politikk rundt dette her? Og jeg tror det som er veldig viktig for meg er det du sa at en ting er aktiv digital politikk. Vi må ville noe mer med digitalisering enn å si at jo mer jo bedre. Men vi må vite hvilke prioriteringer og hvilke avveininger og kanskje også hvilke paradokser vi er villig til å ta et standpunkt i. Og det er kanskje noen særegne perspektiver for Norge gitt vår velferdsstat også videre. Så vi møtes om kort tid for å snakke om verktøy både for det private eller det individuelle og det offentlige, takk!
Du har nå lyttet til en podcast fra LØRN.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læringssertifikat for å ha lyttet til denne podcasten på vårt online universitet LØRN.University.
Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Silvija Seres: Hei og velkommen til leksjon tre i LØRN masterclass med Finn Myrstad om privacy og deceptive design. Vi har snakket om grunnleggende konsepter i leksjonen og vi har gått gjennom en del konkrete eksempler i leksjon to. Og Finn, nå skal vi snakke om hva kan vi gjøre. Hvilke verktøy eller metoder ser du for deg som konstruktive og konkrete muligheter? Og jeg håper vi kan snakke litt nasjonalt med Norge som nytt utgangspunkt og internasjonalt. Der har det vært en del dilemmaer som du nevnte selv hos politikere. Ja, men hva kan vi gjøre i lille Norge. Ja, men i kan gjøre noe i lille Norge, også må vi tenke stort også sånn som dere gjør. Også håper jeg vi kan snakke først ut i fra individer, men etterpå også gi litt inspirasjon til våre regulatører. Så hvordan kan forbrukere beskytte seg selv?
Finn Myrstad: Det er et godt spørsmål. Jeg skal være veldig kort. Men jeg kan ta en personlig anekdote til å begynne med. For det er jo litt privat egentlig, men for fire år siden skulle jeg få barn for første gang. Og da prøvde jeg å beskytte mitt ufødte barns privatliv og personvern. Og mitt eget. Fordi jeg vet at makt føreren som sporer oss eller selskapene som vi har snakket om før i dag er villig til å identifisere folk som går inn i småbarns fella. Eller småbarnsliv. Alt ettersom. Fordi vi kaster penger på alt mulig fordi vi er i ammetåken, og vi klarer ikke å se rett, vi vil bare at barna våre skal ha det best mulig. Og vi kaster penger på de. Så jeg visste det gjennom jobben min. Så jeg gjorde alt jeg kunne for å skjule mine spor. Så jeg opprettet da en privat e-post konto helt kryptert. Opprettet en kryptert chattetjeneste, opprettet en gruppe chattetjeneste, fikk flyttet masse av chatten med familiene mine, venner og sånn fra Facebook og over dit. Jeg begynte å bruke personvern vennlige søkemotorer. For du kan bruke andre enn Google som ikke nødvendigvis sporer deg. For eksempel DuckDuckGo er en. Og du kan bruke nettlesere som for eksempel Vivaldi eller Brave. Sånn at du prøver å flytte deg ut av dette universet som tech-selskapene prøver å fange deg inn i. Jeg blokkerte annonser og takket nei til cookies også videre. Jeg gjorde alt innenfor min makt for å beskytte meg. Og de tipsene jeg gir nå mener jeg faktisk er gode på individnivå med å prøve å bruke konkurrenter, prøver å bruke kryptert chat. En bør prøve å bruke e-post tjeneste fa ikke gigantene også videre. Det er god digital hygiene. jeg slettet apper fra telefonen min som var eid av Google og Facebook. Dette er jo veldig upraktisk med for eksempel Facebook Messenger hvor veldig mye av kommunikasjonen min pågikk. Da fikk jeg ikke opp meldinger. Jeg kunne gå på nettsidene til Facebook via pcen min på jobb, men jeg ble veldig mindre dynamisk. Men alle disse tingene er ting som jeg vil anbefale folk å gjøre. Men, på tross av alle de tiltakene jeg gjorde. Jeg gjorde et par til. Så fikk jeg en annonse på Facebook to måneder etter datteren min ble født som var rettet mot meg som far. Og det var en ting. Men far til en jente. Og det sa meg at her har noe skjedd. Jeg har gjort alt jeg kan for å beskytte personvernet mitt og for første gang i mitt liv får jeg reklame rettet mot meg som far til en jente. Aldri fått det før. Så her har noe skjedd. Så for meg viser det at datalekkasje hadde skjedd og de hadde fått vite om det. Jeg vet ikke hvordan. Men det viser at det er begrenset hva du kan gjøre. Men jeg vil ikke ta motet fra folk. En bør gjøre disse tingene jeg har sagt nå fordi det reduserer det digitale avtrykket. Men en kanskje logge helt av.
Silvija: Vent litt. Redusere digitalt avtrykk? Der kan man også gjøre en del ting med å ikke bare poste mer enn absolutt nødvendig, også kan man kanskje forvirre litt også. Her liker jeg å tenke litt tilbake til Alan Turing og i Imitation Game filmen blant annet. Når de klarte å dekryptere Enigma. Så ville de ikke at tyskerne skulle vite at de vet. Og da måtte de ikke bare beskytte hver eneste britisk alliert skip som skulle skytes ned, de plukket ut bare akkurat så mye sånn at tyskerne ikke skjønte mønsteret. Og at de er blitt avslørt. Og av og til lurer jeg på om det er bedre at vi driver med litt confusing positioning og informasjon, kanskje du bare skulle postet noen bilder av noen gutter og noen store barn og forvirret algoritmen. Det er det ene jeg lurer på. Og det andre jeg lurer på er at en del av disse tingene du snakker om – du snakket om kryptert chat, du snakket om bruke konkurrenter til Google eller de største plattformene. Så sa du en ting til?
Finn: Ja, altså nettleser, søkemotor, og kryptert chat, kryptert mail. Du kan også bruke workshop private network, såkalt VPN for å beskytte trafikken din. Der er det dessverre mye banditt tjenester rundt også. Vanskelig å orientere seg i det markedet. En kan også endre på innstillingene på telefonen sin, sånn at du deler mindre aktivt med alle appene. Det som er litt utfordringer der er at noen apper fungerer ikke uten en del informasjon fordi de nettopp har bundleet alle tillatelsene i en for eksempel. Så Google Maps er et perfekt eksempel på det. Du må gi fra deg lokasjonen – eller du må ikke, men det gjør det mye enklere å gi fra seg lokasjonen. Men da gir du også fra deg lokasjonen så de kan bruke den dataen til andre ting enn å bare vise deg veien til bensinstrajsonen når du er ute å kjører.
Silvija: Så en ting er å skrive en liten sånn sjekkliste på dette, og kanskje forklare folk også hvordan de gjør det. For jeg tror at vi har tapt omtrent halve publikummet vårt i dag når vi nevnte kryptert chat. Går du på signal eller hva søren betyr det, ikke sant? Og hvor lenge er det før den effekten er også borte fordi alle er på signal også videre? Så jeg tror dette er verktøy som krever litt digital modenhet og vi er ikke helt der. Så kanskje bare det å lære disse begrepene er et godt første steg.
Finn: Ja, og det er det som er litt av utfordringen. De aller fleste i Norge har mange andre ting å tenke på enn personvernet sitt. De skal tenke på å betale strømregningen, tenke på å sette mat på bordet, de skal jobbe og de skal tenke på gave til bestevennen din. Du skal hvile og du skal ha det gøy og du skal trene. Du har hundre andre ting som kommer over i prioriteringslisten naturlig nok. Fordi personvern konsekvensene er vage. De er uklare. Det har tatt meg 8-9-10 år i jobben min å forstå hva konsekvensene potensielt kan være. Også er det uansett låst til de store tjenestene. Jeg som jobber med disse tingene har ikke logget fullstendig av Facebook. Jeg har ikke Facebook appene på telefonen min lengre som er massivt upraktisk til tider, men jeg har ikke slettet kontoene mine fordi da mister jeg kontakt med venner og familie. Og da kommer du over i det som vi også skal snakke om etterpå, eller nå kanskje. At du må supplere de individuelle valgene de kan ta, så vi må alle ha litt digital kunnskap. Vi må alle ta et visst ansvar for vår digitale sikkerhet og personvern. Men på et nivå så trenger vi også at myndighetene jobber med dette og selskapene jobber med dette og forbrukerrådet jobber med dette her. Fordi jobben kan ikke gjøres alene av individene, da.
Silvija: Jeg syns dette her er et veldig godt eksempel, i tillegg til det DNA eksempelet ditt. Og litt sånn hva skal staten bestemme for vårt beste. Jeg husker da jeg flytte til Norge så var jeg helt sjokkert over tre ting. Det ene er at ingen røykte, alle brukte bilbelte og alle betalte skatt. Og det er noe som plages av en sånn type overformynderi av staten som mener noe om hvor mye du skal drikke også videre. Men hvis vi har felles ansvar og felles budsjett for helsen vår. Individuelle valg påvirker fellesskapet når det er så mye fellesskap. Og dette kommer til å gjøre seg veldig tydelig i den digitale verden også. Og her må den norske staten mene noe, også ser spørsmålet hvor mye av dette skal vi akseptere som individer. Så hvis Norge mener det er ulovlig å sende sine DNA data ut av landet, er det greit liksom?
Finn: Det er et godt spørsmål. Jeg tror vi kommer til å ha mange caser knyttet til DNA fremover. Fordi vi ser for eksempel kinesiske selv tester, er det greit? Kinesiske selskaper er underlagt kinesisk lov. Kinesiske myndigheter har stor interesse av å kartlegge norsk DNA. Du har amerikanske selskaper som har veldig kommersielle interesser som også samler inn DNA informasjonen vår. Er det greit? Jeg tenker sånn i første omgang så har vi et lovverk i dag. Og jeg skulle ønske at myndigheten våre ga enda mer ressurser. Jeg vet at det er et evig spørsmål som politikerne hater å få. Ressurser til de tilsynene de faktisk har. Vi har et datatilsyn i Norge, og vi har et forbruker tilsyn i Norge. Vi har et konkurransetilsyn i Norge. Jeg kunne sikkert dratt inn andre tilsyn også som jobber med digitalisering. NK – nasjonal kommunikasjonsmyndighet. Direktoratet for sikkerhet og beredskap. Er de rigget til å håndtere disse globale truslene som norske borgere og forbrukere utsettes for i dag? For da kunne man hvert fall også lagt til rette for mer internasjonal samarbeid mellom myndighetene. For da tror jeg faktisk vi kunne ryddet opp i en del ting og gjort det bedre. For i dag vil jeg si at det er et ikke fungerende marked som vi som forbrukere innenfor tradisjonelle markeder kan heller gå på 1000 rema eller ICA fordi vi mener kvaliteten er bedre. Men du vet at maten i utgangspunktet er trygg alle steder. Også velger du basert på egenskaper som du kan observere eller lese om eller finne ut av gjennom å være en aktiv forbruker. For det hviler jo et ansvar på oss. Men hvis jeg går på butikken i dag på XXL eller Elkjøp eller noe sånn og skal kjøpe en sånn spion klokke som jeg har på meg, som skal hjelpe meg med å passe på helsen min. Så får jeg vite at batteritiden er ute. Jeg kan dykke ned i 50 meter med den uten at den sprekker. Men spør jeg om personvern og sikkerhet så – et reelt case, så sendes jeg til vilkårene til produsenten. Og de er lange og vanskelige. Og det er ikke sånn når du går i en bilbutikk at du blir bedt om å lese BMWs tekniske manual før du tar kjøpet. Bremsene fungerer, setebeltet fungerer får jeg tro, og de tilfredsstiller grunnleggende krav til utslipp også videre. Så vi må komme dit tenker jeg innenfor digital verden. At du vet at det du driver med er trygt. Og det er jo dessverre ikke nødvendigvis tilfellet i dag selv om det finnes mange aktører der ute som er seriøse og ordentlige. Men å skille klinten fa hveten er jo det som er vanskelig.
Silvija: Jeg har to jenter som lager seg amerikanske pannekaker, og nå serverer de mamma midt i opptaket.
Finn: Nydelig, så heldig du er.
Silvija: Jeg er heldig. Jeg synes dette er veldig spennende fordi vi kommer tilbake til denne ideen om hvordan regulerer vi ting hvor det flyter litt mellom det nasjonale og det internasjonale, og der har regulatorene klødd seg i hodet også når det gjelder skatt, ikke sant? Hvilke krav kan vi stille til internasjonale arbeidsgivere, for eksempel? Sånn som Uber eller AirBnB. Og hvis du jobber i Norge også jobber du for et norsk selskap i tre måneder fra leiligheten din i Roma. Hvordan fungerer det skattemessig? Vi er nødt til å finne ut av det virtuelle versus det fysiske også i forhold til tilgang til data og sikkerhet. Og jeg synes det eksempelet ditt med helseklokken kan ekspanderes til en liten chip som måler insulinet eller pacemakeren eller til Teslaen som også samler masse data om deg. Og det legitimt spørsmålet og kan noen forsikre meg om hva disse dataene brukes til. Om de bare brukes til akkurat det jeg er bevisst over, da. Så det å stille spørsmål er fint, også må vi kanskje kreve at de som selger disse produktene vet noe mer om det. Men Finn, hva gjør vi da hvis vi kjøper ting på internett fra Amazon?
Finn: Det er en kjempeutfordring med nettbutikker generelt. Og i fysiske butikker også vil jeg si at kunnskapsnivået rundt disse tingene er veldig, veldig lavt. Jeg tror du trenger en helt ny tilnærming og ansvarliggjøring. Kredittkort for eksempel, der har du masse rettigheter. Hvis du bruker et kredittkort og du blir svindlet – det opplevde jeg faktisk her i vår. Så har du rettigheter til å få pengene tilbake umiddelbart. Og kanskje innføre en sånn lignende rettighet her som i større grad ivaretar sikkerhet og personvernet. At hvis det ikke er tilfredsstillende personvern og sikkerhet på et produkt så kan du få pengene tilbake. Det skjer ikke automatisk i dag. Vi får caser på det støtt og stadig og forbrukere som er opptatt av disse tingene. Også går de til butikkene og mener at dette er en mangel og ikke tilfredsstillende også får du bare “eh, blæ”. Også får du heller ikke informasjon på en god måte om produktet ditt er sikkert eller ikke. Så her kan du vurdere å stille krav til butikkene om at de må gi bedre informasjon. Selv om jeg tror at informasjon vil alltid være et begrenset virkemiddel. Jeg tror at det kan være disiplinerende ovenfor butikken eller beskjeden at de tvinges til å ha informasjon tilgjengelig. Jeg tror du kunne luket ut ganske mange tjenester bare ved å stille ganske strenge informasjonskrav. For da ville du funnet ut at veldig mange tjenester faktisk ikke er tilfredstiller de. Så det er en måte å gjøre det på.
Silvija: Men du, når du kjøper et produkt vanligvis, så forventer du å lese litt om materialvalget og hva som er helseskadelig eventuelt i dette her og det er vi vant til i matprodukter. Alle ER må listes opp også videre. Det er vi vant til i leker for eksempel. De må vise at det ikke er brukt feil maling også videre. Men du hadde ete eksempel med en dukke som hadde kamera og mikrofon opptak. Det var ikke spesifisert noe særlig. De digitale spesifikasjonene, da.
Finn: Og ikke hvordan data delingen skjedde. Den casen der var jo et skrekkeksempel på hvor galt det kan gå med leker rettet mot små barn som kunne ta opp og sende dataene til andre land og tredjeparts aktører og markedsføring. De kunne hacke, så det var en pandoras eske av elendighet. Det som var den gode nyheten knyttet til det var at det vekket opp politikerne i EU fordi de fikk jo med oss en haug med organisasjoner i Europa til å skrike ut om dette i USA. Så nå har faktisk EU kommet med lover knyttet til horisontal IKT sikkerhet visstnok i høst. Og det som er gøy er at de faktisk siterer forbrukerrådets rapporter på det som en av motivatorene til at de innså at de måtte ha sikkerhetsregler for tingenes internett. Altså forbruker produktene. Og det mener jeg er kjempeviktig fordi både på det individuelle nivået, som de har snakket masse om. men også på det samfunnsmessige. Det er ikke et urimelig eksempel – du får tilknyttet nå strømnettet med masse smarte målere. Eller smart termostater inn i husene til folk. Men hvis det er en sårbarhet der da så kan du som hacker for eksempel hacke 50.000 termostater på en kald vinterdag i Norge, skru opp temperaturen med fem grader. Eller fire grader. Også booke strømnettet potensielt under. Og da har du et angrep på kritisk infrastruktur gjort gjennom forbruker devicer. Så igjen, politikerne har igjen kritisk infrastruktur. De må tenke fysisk og gjøre det innen statnett og på en måte sant. Og kanskje hindre at staten blir hacket. Men det svakeste leddet er jo alle forbruker produktene våre som også kan brukes B DOS angrep, at du bare instruerer alle disse internettilgang dingsene til å angripe en nettside. Det har vi sett masse. Printere for eksempel har blitt brukt i hacking angrep. Og det er ikke det at forbrukerne vet at det ikke en gang skjer, men at hackere finner svakheter og bruker det på skala.
Silvija: Jeg har et eksempel hvor en av de store bankene i England ble hacket visstnok gjennom at en ansatt hadde puttet inn en elektrisk sigarett til lading i pc-en sin, og den elektriske sigaretten var bestilt fra et sted på nettet via Kina. Men mulighetene er bare uendelige. Og vi kan ikke gå rundt uten å tørre å stikke inn noe noen steder heller. Så kanskje vi må bygge en mer immunitet i systemene våre?
Finn: Jeg tror det vi ikke hadde oppdaget i det vi kalte Keila saken med denne dukken, var at det fantes ikke minstekrav for sikkerhet. Og det fantes ikke gode retningslinjer på personvern. Det blir heldigvis bedre for nå får vi heldigvis regler. Men for eksempel en ting du kunne gjort i Norge på dette er at hvorfor er ikke offentlig sektor en bedre bestiller av tjenester og produkter som stiller krav til sikkerhet og personvern. Det er vi veldig dårlig på i dag. Og hvis en får til det så vil en få en leverandørindustri også som er bedre på å levere på det. Kostnadene knyttet til IKT sikkerhet og personvern går garantert ned fordi du kan bygge standard komponenter. IT- selskapene som jeg snakker med sier at de har ikke blitt etterspurt sikkerhet og personvern i stor grad før. Og jeg tror det er en dyr komponent å klistre på etterpå hvis du må ta hensyn til det. SÅ jeg tror igjen at dette er en vinn-vinn situasjon. Men det offentlige må gå foran og kjøpe tjenester og betale for det som er sikre og mer personvennlige, da. Så får vi også en bransje som kan levere det. Og det tenker jeg i et europeisk og globalt perspektiv kunne gitt norske bedrifter et konkurransefortrinn ved at de kan si at vi leverer til norsk offentlig sektor hvor kravene til personvern og sikkerhet er strenge. Nå kan dere stole på oss. Vi har gullstandard her i Norge og vi kan fortsatt levere digitale tjenester. Jeg tror det kunne blitt et salgsargument internasjonalt for norske bedrifter. Så jeg håper vi kan skape en sånn vinn-vinn situasjon, og ikke sånn som jeg opplever av og til at GDPR er så forferdelig. La oss se på mulighetene som ligger der. For jeg tror det er absolutte muligheter der selv om GDPR på ingen måte er perfekt. Det er jeg helt åpen på.
Silvija: Det jeg hører deg si Finn er at for det første må individene ta ansvar for å lære seg noen gode verktøy og tenke litt på digitale spor. Og rett og slett digitale verdier de etterlater seg. Og det er antagelig umulig å gjøre dette helt lukket, men vi trenger hvert fall ikke være helt naive på de dataene vi virkelig ikke vil skal slippe helt ut. Det er det ene. Det andre er – og her er kanskje den beste beskyttelsen å tenke litt gjennom hva man sier. Og ikke så mye digitale verktøy. Så har jeg hørt deg også si at fellesskapet må også levere noen felles prinsipper, noen form for ti bud eller et eller annet som gjør at – for vi vet at våre valg påvirke andre, og vi kommer alltid til å ha litt forskjellige perspektiver på hva er godt nok å dele og hvor går denne grensen. Jeg husker at jeg som terminal vakt på mine studier i informatikk hadde en av mine bestevenner. Han var ekstremt opptatt av åpen kildekode og åpne alt. Og han mente at hans e-post burde være åpen til alle. Han ville være så åpen, ikke sant. Og det er greit det. Men det påvirker hva jeg kan skrive til han. Eller ikke. Og det er litt sånn det er med oss koblet sammen i et nettverk at det svakeste punktet vil påvirke oss alle sammen. Også er det det nasjonale versus det internasjonale hvor vi kan sørge for å beskytte våre borgere eller våre forbrukere gjennom å sette noen krav til det som berører dem. Men vi er nødt til å tenke internasjonalt regulering. Fordi netthandel, fordi globale tjenester også videre.
Finn: Helt enig. Det er et stort nasjonal handlingsrom. Der håper jeg personvernkommisjonen ser ut til å komme i høst kan bidra til å vise at handlingsrommet er stort og eksisterer. Og som sagt, vi må også jobbe aktivt opp mot EU. Og passe på at de lovene som kommer der blir best mulig. Og der har også norske myndigheter sikkert en vei å gå vil jeg tro.
Silvija: Kan jeg bare spørre deg kort, for du jobber også internasjonalt. Du er med i noen internasjonale personvern kommisjoner. Dette er veldig rasjonelt tenker jeg. Du er nødt til å finne de folka som kan det og fortsette å prate med dem. Kunne vi vært enda mer aktive der. Er vi aktive nok internasjonalt?
Finn: Nei, jeg tenker vi kunne vært mye mer aktive. Nå skal jeg ikke skryte av det vi har fått til i Forbrukerrådet, men vi har valgt å jobbe veldig internasjonalt og for eksempel når de publiserer studiene de gjør her i Norge så gjør vi det på engelsk. Også deler vi det med kanskje 20-30-40-50 organisasjoner før publisering. Sånn at de har muligheten til å reagere på det og få kunnskap om det. Og det har gitt oss en ganske unik posisjon i Europa hvor vi blir invitert inn i Europaparlamentet. Europakommisjonen, OECD og G20 har vi vært på. Og vi er med på sette agendaen. Og det tenker jeg norske myndigheter og norske bedrifter ikke burde være redd for å gjøre. Vi har masse å bidra med i Norge. Men vi må gjøre det på en måte som ikke oppleves belærende og bedrevitende. Og prøve å komme inn på en måte der vi bidrar til fellesskapet og bidrar med løsninger og kunnskap. Men vi må endre holdningene litt og heller ikke anse EU som noe umulig mastodont. Jeg er sikkert litt preget av å jobbet fem år i Brussel opp mot EU. Jeg synes ikke nødvendigvis det er så veldig skummelt. Men jeg tror vi kunne definitivt hatt en mer aktiv Europa politikk og tilstedeværelse der. Og nå som alt er digitalt så er det jo enda enklere å få til.
Silvija: Veldig bra Finn. Vi stopper der med vår leksjon tre og møtes om et øyeblikk for vår siste lille leksjon. Og det er verksted hvor du skal hjelpe meg å prøve å gå denne smale stien mellom god nudging for å få folk til å bruke mest tid på læring og manipulasjon hvor man ikke må gå for langt i å shame dem. Takk for nå.
Du har nå lyttet til en podcast fra Lørn.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læring sertifikat for å ha lyttet til denne podcasten på vårt online universitet Lørn.University
Velkommen til Lørn.Tech – en læringsdugnad om teknologi og samfunn med Silvija Seres og venner.
Silvija Seres: Hei og velkommen til leksjon fire i LØRN Masterclass med Finn Myrstad om privacy og deceptive design. Finn, nå er vi i min favoritt leksjon fordi nå skal vi snakke om LØRN og hva LØRN kan lære fra deg. Og tanken er at alle andre her som har en bedrift eller en tjeneste prøver å tenke veldig, veldig konkret ikke sant. Og mitt spørsmål til deg er på den ene siden så vil jeg jo gjerne manipulere folk på plattformen min. Vi har en plattforme hvor man kan navigere mellom 1500 diverse læringsobjekter. Caser eller masterclasser sånn som denne eller workshops eller webinarer. Og for folks eget beste så vil jeg jo gjerne at de skal lytte mest mulig når de har tid og når det er trygt på trening og på tur også videre. Men hvor da går grensen til manipulerende design. Hva skal jeg passe meg for?
Finn Myrstad: Det er et veldig godt spørsmål. Og grensen er flytende. Og det er noe vi opplever når vi har publisert rapporter også videre og går i diskusjoner. De er alle forskjellige som individ. Det som jeg opplever som manipulerende er ikke sikkert noe du opplever som manipulerende. Eller som du synes er manipulerende. Det kommer an på verdsetter ditt og forventningene dine og kunnskapsnivået ditt også videre. Så det er en flytende overgang mellom bedriftens eller organisasjonens ønske om å styre kundene sine, brukerne sine på en bestemt måte som i mange tilfeller kan være helt i tråd med brukerens interesse. For eksempel er jeg på LØRN så vil jeg jo lære. Og da blir jeg glad for at det er et design som motiverer meg, engasjerer meg, og får meg til å lære mye. Men kanskje for å sette det på spissen så kanskje der grensen går er der dere må snike inn masse ekstra betaling eller på en lite transparent måte. Selvfølgelig skal en bedrift tjene penger. Men det er forskjell på å hele tiden lure ting inn i kurven til folk og hele tiden pushe de til å betale, til å si at her er det du får for de pengene. Men du har et nivå til der du kan få tilgang på disse tingene. Vil du gjøre det? Også kan du for eksempel respektere når noen sier nei og ikke nudge de om igjen og om igjen, men kanskje om en måned så kan du spørre om du har ombestemt deg. Du kan få tilgang på disse måtene, men ikke gjøre det til en sånn shaming som at nå er du en taper. Alle andre er på eksklusiv nivå, du er bare på normal bruker nivå. For eksempel social shaming, det er en mekanisme de bruker. Jeg tror egentlig veldig mye av dette er intuitivt. Men det vi har opplevd er at veldig mye av den manipulerende designen har blitt normalisert. Spesielt i sånne veldig aggressive markedsføring kurs og sånn. Så handler det om growth hacking og hacking av å få folk til å betale mest mulig. Det har blitt veldig normalisert. Så vi trenger også en sånn bevisstgjøring. En sånn reality check på hva er det som egentlig er greit. Så der trenger vi en bredere diskusjon rundt det. Det håper vi å få til med disse rapportene våre og belyse ulike problemer som du har eksemplifisert her i samtalen vår om hva dette kan være.
Silvija: Så det jeg noterer meg er for det første å være veldig tydelig på business modellen sin. Få folk til å forstå hva det er de betaler for. Hvordan er det dette kommer til å utvikle seg mest sannsynlig. Der er vi i LØRN antagelig for snille. Så har vi har bestemt at all tilgang til innhold er gratis. Du skal kunne lytte og se og lese så mye som du bare vil. Men du må være registrert for å kunne ta sertifikater for vi vet ikke hvem du er. Og det er egentlig utviklingen av dine læringsstiler og personlig læringsmetodikk om du vil som er det du betaler for. Og det er en fast pris 99 kroner per måned. Og det er det det blir. Og jeg tror det er viktig at det er en forståelig business modell, og at folk klarer å komme seg ut av det når de vil. At det skal være lett å gå ut.
Finn: Jeg tenker jo det høres veldig fornuftig ut. Jeg kan ikke kommentere på forretningsutvalg og sånn, det kan jeg så lite om. Men en annen ting dere kunne blitt fristet til er jo at om 5-10 år når dere har veldig mye lærings data om folk, at Google kommer til dere å sier at de har lyst å kjøpe opp dere. Og da kommer dere i et dilemma. For da har dere samlet inn data på et bestemt formål, og hva gjør dere med de dataene? De blir mer og mer verdifulle. Så du har tenkt på de tingene i forkant sånn at dem kan unngå å komme i en sånn personverns squeese. Så en sånn samtale jeg har hatt – jeg har kontakt med mange bedrifter og har mange venner som jobber i startups og sånn. Og et sånn råd jeg har er at jeg vet at når du er i startfasen – eller dere er jo ikke det, dere har jo holdt på en stund. Men uansett hvor en er så er det lurt å inkludere i samtalen din ikke bare markedsførings folk. Eller de som lager innholdet. For det er sannsynligvis det viktigste. Men det vi ser og har masse caser på er hvor en har glemt personvern og sikkerhet, også kommer det en sånn skandale eller det kommer på et punkt der shit, det må vi tenke på. Men du har en designet hele IT systemet ditt for eksempel på en sånn måte at det er kjempedyrt å bygge personvern og sikkerhet. Så det der med å involvere ulike mangfold av aktører hvis du kan. Det er menneskerettighets eksperter som kan hjelpe deg med å lage konsekvensanalyse. Eller om det er sånne GDPR geeker som kan komme inn å sparre med deg. Det finnes mange av de heldigvis. Flere og flere av de eksisterer og jobber som konsulenter og advokater eller hva det måtte være. Også kanskje ikke kaste pengene på de. men kanskje verdt å bruke litt tid i starten på å få belyst ulike problemstillinger som kan oppstå. Også selvfølgelig kan en ikke forutse fremtiden fullstendig, men en kan bygge inn sikkerhetsmekanismer som gjør at en ikke blir låst, da på en måte i fremtiden.
Silvija: Veldig bra. Og så tenker jeg at når det gjelder growth hacking*, så ønsker vi jo at flest mulig skal vite om oss. Men vi ønsker ikke å overforbruke de som er i systemet allerede. Så det er noe med å tenke bredde mer enn sånn ekstremt dybde. Dette med innhenting av samtykker. Er det noe spesielt man burde tenke der? Der sa du at det er en del ugreie mekanismer hos Facebook og Google. Går det på hvilke samtykker henter vi inn? Eller?
Finn: Ja, nå skal jeg unngå å gå inn i sånn veldig detaljert GDPR personvern lovgivnings diskusjon, men jeg tror sånn generelt sett så en mest mulig åpen om hva man ber om samtykke om og kanskje unngå å ha for mange ting du klikker ja til. Det blir også en sånn meningsløs at du må klikke ja til sånn 20 ting. Men der har vi en åpning i GDPR for å for eksempel si at noen ting er i bedriftens legitime interesse. Velbegrunnet interesse. Vi trenger ikke å be om samtykke om det. For det ligger til grunn når du bruker tjenesten og har samlet inn informasjon. For å kunne få et sertifikat så må vi ta en test og vi må samle inn data og test resultatene. Du trenger kanskje ikke å be om samtykke om det. Så å skille ut hva som er nødvendig for å levere tjenesten trenger du kanskje ikke å be om samtykke på. Men kanskje du må be om samtykke om visse type data også må du kanskje be om samtykke hvis du skal dele data med noen. Så kan du bare informere om det. Vi deler data sånn og sånn på en enkel måte for eksempel. Men det er mange som går i fellen at de deler med veldig mange og skjønner at dette kan du ikke forklare på en enkel måte. Så det er jo noen dilemmaer her som jeg vet selskapene står oppi og som er krevende å finne et godt svar på. Men der er det å bruke disse nettverkene som finnes av GDPR entusiaster og folk som jobber i bransjen. Jeg tenker bransjer og organisasjoner har en viktig rolle å spille i å legge til rette for at alle bedrifter kommer ut av det. Så jeg skulle gjerne sett at type NHO og Virke og alle andre mulig bransjeorganisasjoner kanskje i enda større grad meldte seg på diskusjonen og prøvde å utvikle retningslinjer for medlemmene sine. Det tror jeg ville gjort ting enklere. Å lage standard løsninger og standardkontrakter som de kan bruke. Der skjer det sikkert noe jeg ikke vet om, men jeg har et inntrykk i dag av at veldig mange bedrifter føler seg veldig alene. Og det er veldig synd fordi det fører til at de kanskje går glipp av muligheter som faktisk finnes innenfor GDPR, men også at de utsettes for unødvendig risiko.
Silvija: Veldig bra. Så være bevisst på hva vi trenger data for. Være veldig tydelig på hva vi skal gjøre med det, og være litt fremtids orientert også. At ting kan endre seg og vi endrer ikke de prinsippene ved kjøpet. Jeg antar at det går å lage kontrakter på det også når man blir kjøpt, ikke sant?
Finn: Ja, så det vi må unngå er sånn som når vi hadde en sak gående mot Tinder for et par år siden. Vi klagde inn det. Og de hadde sånn i vilkårene sine at vi kan bruke dataene dine til alt i evig tid, og du har ingen rett til de. Og Tinder er jo da også en dating app, og de får kjempemasse privat informasjon som du kanskje ikke vil at skal bli brukt senere. Da har Tinder muligheten til hvis de blir kjøpt opp av Google, så kan Google bare si at ja forbrukerne har jo bare takket ja til det her. Da kan vi bruke dating dataene til å lage en markedsførings profil på deg. Det er jo ikke greit. Men det fikk vi jo omgjort heldigvis globalt for alle brukere. Men det er noen sånne feller man unngår å gå i da.
Silvija: Veldig bra. Når det gjelder deceptive design, nå har du snakket om bruk av data, men deceptive design der har du gitt oss en veldig fin regel. Det er forskjell på manipulasjon og nudging, og manipulasjon dreier seg om å stjele folks tid, penger eller data for noe annet enn deres eget beste. Så hvis jeg ønsker å holde folk lengst mulig i mitt system og jeg ønsker at de skal ta flest mulig kurs. Og gjøre det på en måte som de opplever som relevant. Litt sånn Netflix navigasjon, da. Så er det bra. Det som ikke er bra er å plinge dem hver femte minutt og si hey har du glemt å lære og sånt.
Finn: Ja, for eksempel. Også er jeg helt enig i utgangspunktet her. Også er det på et eller annet tidspunkt kanskje ikke i ditt tilfelle, eller i LØRN sitt tilfelle som har på en måte et formål med læring som jeg tror alle vil bli oppfattet som et gode og som folk oppsøker. Men på et tidspunkt så kan en på sosiale medier stiller spørsmål til motivasjonen til selskapet. Der ønsker de å holde på tiden din. Oppmerksomheten din for å kunne vise deg annonser for eksempel. De ønsker at du skal bruke penger på plattformen og de ønsker at du skal gi fra deg data. Så der kan du ha en virkelig stor diskusjon. For der kan du si at folk oppsøker de sosiale mediene fordi de ønsker å holde kontakt og de ønsker å vise frem og dette her. Men når bikker vi over i at det er veldig mye attention hacking og oppmerksomhets hacking og penge hacking og datahacking. Her er det store diskusjoner som går mye bredere enn det forbruker perspektivet. Så det er en diskusjon vi må ha med samfunnsvitere, psykologer, filosofer. Og det er jo ingen enighet. Og vi må ha mye mer forskning på disse tingene. For der tenker jeg vi må ha kunnskap også. Så det er et sånn behov vi ser i personverns kommisjonen at vi mangler mye data på hva konsekvensene kan være. Også håper jeg heldigvis personvernkommisjonen kan kaste litt lys på det, men det er et stort lerret å bleke der. Og vi må ha kunnskapsbaserte tilnærminger også. For det blir jo mye frykt og det blir mye følelser. Men det er åpenbart at sosiale medier påvirker oss på ulikt vis. Vi må vite mer hvordan for eksempel. Også spill også videre.
Silvija: Også tenker jeg særlig på spill og barn. Jeg dette er et evig dilemma ikke sant. Jeg vil forferdelig gjerne at barna mine skal bruke tid på sosiale medier og lære seg masse fint på YouTube også videre. Men jeg ser samtidig at jeg klarer ikke å beholde kontrollen. Eller det spiser dem opp er det jeg prøver å si. Hvordan klarer de som kanskje ikke er voksne nok til å forstå balanse hovet? Til å gjenfinne det.
Finn: Det er et kjempegodt spørsmål og det er en diskusjon vi er nødt til å ha. Vi har snakket veldig mye om kommersialisering av barndommen. Vi har jo sett blant annet på apper rettet mot barn helt ned mot tre år. Full av reklame, full av dopamin avhengighetsskapende uttrykk som gjør at vi blir utsatt for ekstremt mye reklame. Og det kan være reklame for ting som påvirker de i veldig stor grad. Hva gjør det med psyken deres? Hva gjør det med at både kommersialisering og overvåking blir normalisert i en alder av tre år. Det er store, store spørsmål vi er nødt til å prøve å diskutere. Og vi prøver å belyse det fra vårt ståsted. For eksempel ved å arrestere spill. Nå har vi klaget inn flere spill som bruker manipulerende design som blant annet nå sist i en aksjon rett før sommeren. Og hvordan barn pushes til å bruke ekstreme mengder penger i tillegg til tiden sin i spill for eksempel. Så det gjør noe med oss. Og hva de langsiktige konsekvensene er vet vi jo lite om. Og jeg synes det er et kjempestort eksperiment. Så igjen har skolen en viktig rolle å spille og være en mindre kommersiell arena enn det det har blitt. Også må vi også utdanne foreldre. Og hvordan de skal håndtere den digitale hverdagen. Kanskje de burde gi foreldre en digital ryggsekk som de kan ta med seg når barna får sin første mobiltelefon. Der gjøres det mye arbeid i dag, men vi må gjøre enda mer. Og vi må ha en bred samtale om et. Jeg er oppriktig både som privatperson og som forbrukerrådet bekymret for disse tingene, samtidig som jeg ikke ønsker å svartmale de enorme mulighetene som finnes i for eksempel læringsapper i å finne informasjon, i å kontakte andre. Det er klart mye kreativitet og sosial i for eksempel spill. Jeg spiller selv mye spill og har alltid gjort det. Så jeg vil ikke svartmale bransjen på enten det er spill eller noe sånt. Men enten det er elementer som er veldig problematiske både på sosiale medier og på spill som rettes mot barn og unge. Så det er noe vi må ta på alvor.
Silvija: Jeg tror vi kommer tilbake til dette med alt med måte. Og det digitale rommet vi lever i er så enormt og utvikler seg så fort og det går fortere enn det vi klarer å utvikle etikken og reglene for. Og det er nettopp derfor den samtalen som den vi har nå er kjempeviktig for at vi skal i fellesskap bygge litt mer bevissthet. Så Finn, hjertelig tusen takk for enda en super inspirerende prat. Og jeg gleder meg veldig til å lese personverns kommisjonens konklusjoner om ikke så lenge.
Finn: Tusen takk for at jeg fikk komme.
Du har nå lyttet til en podcast fra Lørn.Tech – en læringsdugnad om teknologi og samfunn. Nå kan du også få et læring sertifikat for å ha lyttet til denne podcasten på vårt online universitet Lørn.University
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis. Prøv et
Allerede Medlem? Logg inn her
Du må være Medlem for å dokumentere din læring med quizes og motta læringsbevis.
Allerede Medlem? Logg inn her
