PC-tastatur og mobiltelefon

Ny teknologi utfordrer personvernet

Ny teknologi kan utfordre personvernet. Mange virksomheter henter kundedata, men kjenner ikke loven. Her får du oversikt og råd.

Verden er i ferd med å digitaliseres og delingen av informasjon og data har aldri vært større. En enorm mengde tjenester som apper og nettsider krever at du legger igjen persondata.

Det er ikke nytt. Vi har gitt fra oss persondata til aviser, dagligvarebutikker og kollektivtransporttilbydere før, men den enorme mengden av tilbydere er ny.

En ytterligere forsterkning er at mobilene, bilene, dørlåsen også er koblet på nett, og deler data utenfor vår styring. Vet virksomhetene som har tilgang og samler inn dataene hvilke lover og krav som gjelder?

Hva skal du tenke på som forbruker? Vi har tatt en prat med eksperten på personopplysningsloven, Jens Christian Gjesti, senioradvokat i Kvale advokatfirma. Han gav oss disse 7 rådene:

  • 1

    Må jeg bry meg om personvern?

    Det lovpålagte svaret på dette spørsmålet er selvsagt: Ja, det må du. Like viktig er det at markedet ditt forventer at du tar personvern på alvor.

    Så lenge man har et bevisst forhold til personvern så trenger det ikke å være ekstremt ressurskrevende.

    Christian Gjesti, senioradvokat i Kvale advokatfirma

    Desto mer sensitiv kundedata, desto mer tar du vare på kundene, og bygger gode relasjoner og tillit.

    – Så lenge man har et bevisst forhold til personvern så trenger det ikke å være ekstremt ressurskrevende. Problemet oppstår oftest hvis man ikke bryr seg og blir tatt for det i etterkant. I verste fall kan det føre til endring i hele datasystemer eller sletting av all kundedata. Da løper de virkelig store kostnadene, forteller Jens Christian Gjesti, senioradvokat i Kvale advokatfirma.

  • 2

    Er kundedataene personopplysninger?

    Alt er ikke personopplysninger, men det er mer enn du kanskje tror. Her kan det fort oppstå misforståelser, så her må du følge med:

    En personopplysning er enhver opplysning som kan knyttes til en enkeltperson, enten direkte eller indirekte. Om en person har et bedriftsabonnement eller privatabonnement er uvesentlig. Mobildataene og samtalene er like fullt personopplysninger.

    Om du er usikker på om kundedataene du henter inn er personopplysninger, er min anbefaling å legge til grunn at de faktisk er det.

    Christian Gjesti, senioradvokat i Kvale advokatfirma

    Personopplysninger som navn, personnummer, bilder og liknende er bare en del av informasjonen som loven omfatter. Alle andre opplysninger som kan knyttes til én enkeltperson vil også være en personopplysning.

    For eksempel vil bruken av wearables med lokasjonsdata, søvnmønster og puls være beskyttet av personopplysningsloven. Det samme vil informasjon fra dagligvareapper og kundeklubber. Kjøremønsteret fra din oppkoblede smartbil er også å regne som personopplysninger.

    Unntak gjelder for opplysninger som er helt anonyme, hvilket vil si at det ikke er mulig å koble opplysningene til en enkeltperson.

    – Om du er usikker på om kundedataene du henter inn er personopplysninger, er min anbefaling å legge til grunn at de faktisk er det. Det er mindre komplisert enn å forsøke å definere deg ut av det, sier Gjesti.

    Les også: Nordmenn skeptiske til å dele persondata

  • 3

    Kan jeg “bruke” kundedataene?

    Så fort du har konstatert at du håndterer personopplysninger må du finne ut om du har lov til å bruke dem. Lovens begrep for om man har lov til å bruke denne typen data kalles behandlingsgrunnlag. I all hovedsak er det snakk om tre grunnlag du kan ha for å behandle personopplysninger:

    1. Samtykke: Ofte det beste alternativet om du er usikker på om du har lov til å behandle kundedataen. Ved samtykke er det viktig at det er frivillig og informert. Kunden må aktivt samtykke ved underskrift eller klikke på en samtykkeknapp. Passivt samtykke er ikke godt nok. En kunde samtykker ikke bare fordi vedkommende ikke har protestert.

    2. Grunnlag i lov: Dette kan være en type lagringsplikt som du har ifølge lov, som f.eks. regnskapslovgivningen.

    3. De spesielle unntakene som f.eks. avtale med kunden: Hvilken type avtale du har inngått med kunden har betydning for hvilke krav som gjelder. Dette kan for eksempel være en abonnementsavtale, kjøpsavtale e.l.

    – Her gjelder definitivt «bedre føre var»-prinsippet. Er du i tvil bør du be om samtykke, råder Gjesti.

  • 4

    Hva har jeg lov å bruke kundedataene til?

    Hovedregelen her er at du ikke har lov til å bruke kundedataen til noe annet enn det du har samlet det inn for. Om du innhenter kundedata for å levere og fakturere en tjeneste, så er det det du har lov til. Er det for eksempel nødvendig å analysere brukeren på noen måte, så må det altså stå i vilkårene.

    – Det kan være en felle for mange bedrifter at man samler inn data for å levere og fakturere for en tjeneste, så kommer det et forsikringsselskap tre år etterpå og ber om å få kjøpe innsikten din. Kan man da bruke dataen man samlet inn for formål A til formål B?

    – Svaret er i utgangspunktet nei, og i ytterste konsekvens må du spørre alle kundene dine om lov til å selge dataene videre. Alt du tenker å gjøre med kundedataene må du ha på det rene fra starten av, forteller Gjesti.

    Hånd på tastatur. Foto: NTB Scanpix

    Foto: NTB Scanpix

  • 5

    Hvor lenge kan jeg beholde kundedataene?

    Det er ikke lov å holde på kundedataene for evig. Loven sier ikke noe om nøyaktig tidsbruk, men det som er klart er at du kun kan lagre data så lenge formålet tilsier det. For eksempel kan ikke et selskap som har en app holde på kundedataene om kunden ikke har brukt appen de siste årene.

    – Har man gjort en fornuftig vurdering av tidsbruk så pleier det å gå fint. Om du ikke har gjort noen vurdering i det hele tatt og datatilsynet banker på døren så har du som regel et problem, sier Gjesti.

  • 6

    Hvem har jeg lov til å dele kundedataene med?

    Det finnes to ulike situasjoner hvor du kan dele kundedataene din med en tredjepartsleverandør. I første scenario vil data som innhentes bli brukt for å lære kunden å kjenne. Slik kan man optimalisere tjenestene for kundene.

    Det betyr at dataene kan bli videresendt ned til ulike underleverandører som jobber med å forbedre tjenesten. Selv om kundedataene innhentes av én virksomhet, kan virksomheten lovlig dele dataene videre om man sikrer en databehandleravtale med underleverandøren.

    En slik avtale gjør at underleverandører tilknyttet selskapet, kan motta og behandle kundedataene. Databehandleravtalen sier selvsagt at man må ha juridisk grunnlag på plass før man sender over informasjon, og at underleverandørene forplikter seg til å gjøre det den ansvarlige leverandøren bestemmer. Denne praksisen må det informeres om til kunden i vilkårene.

    Det andre scenarioet omhandler salg av data til en annen virksomhet som ønsker å bruke dataene til andre formål. For eksempel kan et forsikringsselskap være interessert i å kjøpe kundedata flere år etter at dataene ble samlet inn. Dette salget er bare lovlig hvis virksomheten har et eget behandlingsgrunnlag.

    Det vil i praksis  si at du allerede i innsamlingsfasen må innhente samtykke til å selge kundedataen til tredjeparter med egne formål.

    – Spør du om lov først, så har du stort sett ditt på det rene, forteller Gjesti.

  • 7

    Oppfyller jeg de andre kravene?

    Bedrifter i ulike bransjer kan ha særskilte krav avhengig av hvilke typer data det er snakk om og hva dataen skal brukes til. Husk derfor å finne ut hvilke krav som kan gjelde for din bedrift.

Telia tar personvern på alvor

Som Nordens største teleselskap er Telia en digital tilrettelegger for samfunnet, og svært opptatt av at data behandles på en sikker og trygg måte. Telia jobber kontinuerlig med å sikre nettverket og ny teknologi for uvedkommende, og fikk for en liten stund siden heder for å ha Norges sikreste nett.

Vi ønsker også å hjelpe samarbeidspartnere slik at de kan skape verdi for sine brukere og ikke tråkke feil.

Linn Hege M. Bade, Lead Privacy Engineer i Telia Next.

Telia har også lansert en egen teknologi kun for datamaskiner og sensorer, hvor datasikkerhet og personvern er i fokus.

– For å være en digital tilrettelegger for samfunnet så må vi naturligvis behandle store mengder data fra mange kilder. En av disse kildene er personopplysninger fra kundene selv. For å kunne gjøre dette må brukerne stole på at vi behandler dataen på en trygg og sikker måte.

– I tillegg må vi bruke innsikten vi får til å skape de virkelig store verdiene gjennom å forstå og utnytte den, på brukernes premisser. Vi ønsker også å hjelpe samarbeidspartnere slik at de kan skape verdi for sine brukere og ikke tråkke feil, forteller Linn Hege M. Bade, Lead Privacy Engineer i Telia Next.

Vi åpnet nylig dørene for utvikling og samarbeid med innovasjonsavdelingen Telia Next. Målet er å senke terskelen for alle bedrifter å komme i gang med IoT-tjenester (Internet of Things). Her finnes verktøy og infrastruktur som vil hjelpe bedriftene med å redusere gapet mellom idé og marked. Et av verktøyene er blant annet juridiske formuleringer som sikrer avtaler mellom bedriften og kundene, slik at ingen får noen ubehagelige overraskelser. 

Les Telia sin personvernerklæring

Fakta om Internet of Things


IoT står for Internet of Things, også kjent som tingenes internett.

Begrepet brukes om fysiske objekter som kommuniserer med omverdenen via sensorer.

Formålet er å skape nye verdier ved bruk av sensorteknologi, data og IoT.

Forventningene er store, og det spås at det vil være 26 milliarder tilkoblede enheter i 2020. Alt fra kjøleskap, maskiner, biler, joggesko, tannbørster, lyspærer, hus og bygninger kan kobles sammen.