Butikk er også politikk. Næringsvirksomhet er for alvorlig til å overlates til næringslivsledere.

GDPR ledelse Teknologi
ADELHEID HUUSE
16.02.2023

Påstandene i overskriften er hentet fra Jens Stoltenberg sin tale på NHO-konferansen 5. januar. Naturlig nok, handlet talen om sikkerhet og sikkerhetspolitikk. Helt konkret adresserte Stoltenberg behovet og viljen til politisk styring av næringslivet fra et sikkerhetsperspektiv, og pekte på bedriftenes ansvar for å være aktsomme.

Her er noen utvalgte sitater fra talen:

Butikk er politikk. Myndighetene fastsetter regler. Bedriftene har et ansvar for å være aktsomme. Kan ikke være sånn at alle lønnsomme prosjekter gjennomføres bare fordi de er lønnsomme. Kortsiktige økonomiske interesser settes foran grunnleggende nasjonale interesser.

Næringsvirksomhet er for alvorlig til å overlates til næringslivsledere.

Sikkerhet1

Teknologien har over mange år opparbeidet seg et stort forsprang på myndigheter og lovgivere. Mye aktivitet har enten ikke vært regulert eller så har reguleringene vært vanskelige å følge opp. Techselskapene har utnyttet det mulighetsrommet de har hatt, og har utviklet tjenester til oss som både er har vært gode og etterspurte. Disse tjenestene har både samfunnet som helhet, næringslivet og vi som enkeltpersoner gjort oss helt avhengige av. Det har også vært mulig å utvikle forretningsmodeller som har gjort en god del selskaper ekstremt rike. Sju av de 10 rikeste menneskene i verden i 2022 var techmilliardærer.

De siste årene har det vært en bevegelse mot både å ville og kunne regulere mer på techområdet, i hvert fall i Europa. Sikkerhet inkluderer også personvern. Personvern er politikk og det er en menneskerettighet (retten til privatliv). Men det er en menneskerettighet som både er svært enkel og svært fristende å undergrave på grunn av økonomiske interesser. Det har vært få fakkeltog for personvern, og det kan lett bli en salderingspost når ny teknologi utvikles og tas i bruk. Det tror jeg mange av oss i vår bransje kan ha kjent på. Den siste tiden har vi ikke bare sett en økende vilje til politisk styring, men også til å sanksjonere de som bryter reglene (GDPR).

Eksemplene har kommet tett de siste årene, i stor grad drevet av sakene som Max Schrems og NYOB (None of your business) har fremmet for datatilsynene i EU. Innføringen av GDPR i 2018 var et klart og stort steg mot mer styring, men mange har ikke greid å følge opp. Dette vises nå i de stadig flere og større gebyrene som har blitt delt ut, Schrems II-dommen og vurdering av lovligheten rundt bruken av Google Analytics og Microsoft 365 som har fulgt i kjølvannet av dommen.

2023 startet med et solid dask på lanken av et gebyr på 390 millioner Euro til Meta (Facebook og Instagram) for feil bruk av juridisk grunnlag for behandling av personopplysninger til bruk for tilpasset markedsføring. En begrensning i muligheten for personalisert markedsføring i Metas produkter (Facebook, Instagram, Whatsapp) er en inngripen i forretningsmodellen deres.

sikkerhet4

Klagene mot Meta har trenert lenge. Bakgrunnen til at det kom et stort gebyr nå er interessant å merke seg, gitt temaet for denne bloggen; personvern, økonomiske interesser og politisk styring. Klagen ble meldt inn allerede i 2018. Saken har vært til behandling i det irske datatilsynet (DCP), siden det er der Meta har sitt hovedsete i Europa. Irland har på få år gått fra å være et av de aller fattigste landene i Vest-Europa til å ha Verdens nest høyeste BNP per innbygger, kun slått av Luxemburg. Mye av grunnen til dette ligger i en svært vellykket satsning på teknologi. Det er ingen tvil om at Irland har sterke økonomiske interesser knyttet til å huse hovedsetet for Meta i Europa og huse store datasentre for alle de store skyleverandørene mv. Max Schrems sier også tydelig at han ikke er imponert over hvordan DCP har behandlet klagen mot Meta så langt:

This case is about a simple legal question. Meta claims that the 'bypass' happened with the blessing of the DPC. For years the DPC has dragged out the procedure and insisted that Meta may bypass the GDPR, but was now overruled by the other EU authorities. It is overall the fourth time in a row the Irish DPC got overruled.

EDPB (Det europeiske databeskyttelsebyrå) mer enn tidoblet størrelsen på gebyret fra det som DCP i utgangspunktet foreslo. EUs sentrale organ viser med dette at de er villige til å overstyre nasjonale myndigheter dersom de mener at GDPR ikke blir fulgt opp på en god nok måte. De viser også en sterk vilje til å gå etter de store fiskene og straffe personvernbrudd hos de største selskapene. Det paradoksale her er at Irland tjener på dette uansett, siden gebyret går til landet som behandler saken, altså Irland.

Ønsket om å få mer kontroll og ta mer styring på teknologigantenes håndtering av data er også til stede i Norge. Da Bjørn Erik Thon gikk av som direktør i Datatilsynet skrev han en kronikk i DN hvor han argumenterer for at politikerne må regulere teknologigantene, og at Norge må gå foran. Han mener det er for mye å forlange at den jevne forbruker skal slutte å bruke Instagram og Google, men på samme måte som for tobakk og alkohol, må det reguleres strengt, slik at faren og skadene ved bruk blir minst mulig. Der er vi absolutt ikke nå, men det er synlig bevegelse på gang. Den siste tiden har det eksempelvis vært mange nyhetssaker knyttet til ønsker om sterkere regulering av sosiale medier, økte aldersgrenser og liknende. 20 år fram i tid, hva kommer vi til å tenke om at barneskolebarn i 2023 har ubegrenset tilgang til internett og sosiale medier? Vil det være like rart som å tenke på at man en gang kunne sitte på kontoret å røyke mens man jobbet?

I den omforente plattformen for dagens regjering; Hurdalsplattformen, kan det også leses en vilje til mer styring. Men få (om noen?) synlige initiativer og tiltak har kommet ut av det enda.

I kapittelet for Digitalisering og data skriver regjeringen blant annet (mine utvalgte punkter):

Regjeringen vil:

  • Vurdere i hvilke tilfeller staten bør ta eierskap til digital infrastruktur, plattformer, plattformutvikling og standardutvikling.
  • Utrede opprettelsen av en statlig skyløsning for lagring av offentlige data som helsedata, finansdata og informasjon om innbyggere og infrastruktur.
  • Arbeide internasjonalt for å sikre at de globale plattformselskapene skattlegges effektivt, og gjennomføre nasjonale tiltak ved utilstrekkelig fremgang i dette arbeidet.
  • Lage en nasjonal strategi og et godt regelverk for data fra innbyggerne, for å sikre økt verdiskaping og at fellesskapet tar del i denne verdiskapingen.
  • Vurdere krav om datadeling fra private selskaper, og beskytte innbyggerne mot digital overvåkning og påvirkning.

Hva er så budskapet jeg prøver å formidle etter denne samfunnsfagstimen? Jo, vi som jobber med teknologi må se i øynene at det kan komme sterkere reguleringer enn de vi hatt til nå, og ikke minst at vilje og evne til oppfølging av de reguleringene som allerede eksisterer, er økende. Hjemme alene-festen på internett er nok ikke helt over med det første, men det er godt mulig at myndighetene med makt vil dempe litt på både diskolys og musikk.

Hvis appetitten både i EU og Norge for å ta kontroll er økende, samtidig som teknologien fortsetter i samme retning som den har gjort, vil det bli vanskelig for alle. Om det blir teknisk mulighet for stadig med overvåkning av den enkeltes bevegelser, innsamling av data og muligheter for å bruke disse dataene til å selge både ting og tjenester, vil vi som leverandører og våre kunder stå i en stadig større spagat mellom hva som er lov å gjøre og hva som er teknisk mulig å gjøre.

sikkerhet3

Det er fort gjort å forelske seg i de mulighetene som ny teknologi gir, og i mindre grad stoppe opp å tenke «men er det nå egentlig så lurt»? Med alle de nye AI-tjenestene som nå blir tilgjengelige for allmennheten, fikk vi også plutselig noen nye tunge etiske vurderinger i fanget. Disse vurderingene verken bør eller skal det kanskje ikke være overlatt til hver enkelt av oss eller hver enkelt virksomhet å vurdere?

Samtidig, når reguleringer kommer lenge etter at forretningsmodeller og løsninger er utviklet, er det forståelig at techselskapene yter motstand. De har laget gode og etterspurte løsninger som de kunne tjene penger på, utnyttet det mulighetsrommet de har hatt og har skapt mange arbeidsplasser. Det er ikke lett for disse selskapene å snu skuta når reguleringene kommer i etterkant. Hadde reguleringene kommet i forkant, hadde leverandørene kunnet laget løsninger med bedre etterlevelse og funnet seg andre forretningsmodeller fra start.

Ta eksempelvis Google Analytics, som det har vært så mye usikkerhet knyttet til i kjølvannet av Schrems II-dommen. Det er jo både et lett tilgjengelig, rimelig og svært godt verktøy. Ikke bare for kommersielle virksomheter, men også for ikke-kommersielle virksomheter, som gjennom bruken kan få god innsikt slik at de kan utvikle og videreutvikle brukervennlige løsninger. Men etter alle avgjørelsene i året som gikk, må både Google og GA-brukerne vurdere hvordan verktøyet skal og kan benyttes framover. Det åpnes også et mulighetsrom for andre leverandører til å ta markedsandeler, dersom de kan levere løsninger som dekker behovet med lavere risiko for den som bruker verktøyet.

Techbransjen er en tung skute å snu. Samtidig er det en bransje som er kjent for sitt høye innovasjonstempo. Akkurat som vi ser at de store investeringsselskapene, inkludert Oljefondet, ser det som lønnsomt i et langt perspektiv å investere i «grønne» selskaper, tror (og håper) vi det vil være lønnsomt i et lengre perspektiv å ha fokus på å levere sikre og bærekraftige løsninger med personvern og retten til privatliv i høysetet.

Det er helt sikkert mange latente muligheter i dette. Kanskje må det ikke være en motsetning mellom lønnsomhet og aktsomhet, jamfør Stoltenberg sin tale, men heller at det er et stort potensial for å gjøre god butikk også gjennom større fokus på aktsomhet. Greier vi å ta denne utfordringen?

I neste blogg kommer vi til å gå litt videre på temaet i de siste avsnittene, nemlig kikke nærmere på forskjellige analyseverktøy på markedet.

 

AdelheidHuuse__DSC6688  

Ta gjerne kontakt, med Adelheid hvis du vil vite mer eller dele dine synspunkter rundt dette.