Ansvar for å ivareta personvernet hviler på det svakeste leddet

Utviklingen bør følges tett av tilsynsmyndighetene, viser ny rapport fra SIFO ved OsloMet.

De siste årene har det vært en rask utvikling innen innsamling, analyse og bruk av stordata blant store norske bedrifter.

• LES OGSÅ: Norske bedrifter har null peiling på EUs nye personvernregler: – Det er helt krise

En ny rapport fra Forbruksforskningsinstituttet SIFO ved OsloMet ser på tre bransjer som har store mengder forbrukerdata. Mediebransjen har stordata om vår digitale mediebruk, dagligvarekjedene har stordata om våre dagligvarekjøp, og bank og finans har stordata om våre kontobevegelser.

Felles for alle tre bransjene er at de er i en prosess der de i økende grad analyserer og benytter seg av stordataene. Men det er også forskjeller mellom bransjene når det gjelder hva slags data som samles inn, hvordan de analyseres og brukes, og i hvilken grad data deles med tredjepart.

Økt deling av kontoinformasjon

Forskerne viser hvordan bank- og finansnæringen er i en særstilling når det gjelder forbruker- og personvern i årene som kommer. Gjennom kontroll av kreditt har denne bransjen stor innflytelse på forbrukerne både i form av deres tilgang på bolig, velferdstjenester og forbruk.

Denne bransjen genererer store mengder persondata som settes sammen på nye måter, og som benyttes i kredittvurderinger av kunder og i utviklingen av nye tjenestetilbud. Utvikling av kundebehandling basert på nedbemanning og automatisering antas å få stor betydning framover.

• LES OGSÅ: Datatilsynet bekymret over manglende personvern-kunnskap

I tillegg ser en for seg at konkurransehensyn og nye forordninger vil medvirke til økt deling av kontoinformasjon til tredjepart i form av at mindre foretak og virksomheter med hovedkontor i land med mer liberal personvernlovgivning får anledning til å drive betalingsformidling fra konto til konto.

– Vi ser helt klart mulighetene for å et økt markedsføringspress mot kunder til å benytte persondata som en del av betalingen for nye og mer kundevennlige betalingsløsninger, sier forskningssjef Arne Dulsrud ved SIFO i en pressemelding.

– Etter vår mening vil en slik utvikling tilsi at bank og finansnæringen burde få en særskilt plass i prioriteringen av tilsynsoppgaver de neste årene både hos Datatilsynet når det gjelder personvern, Forbrukertilsynet når det gjelder markedsføring og Finanstilsynet når det gjelder overvåkning av etterlevelse av konsesjonskrav og gjeldende lovkrav.

Råderett over egne data

I det nye personverndirektivet GDPR gis forbrukeren myndighet, fullmakt og beskyttelse gjennom prinsippet om at individet har full råderett over egne persondata (portabilitet) og samtykke dersom det skjer endringer i formålet med bruken av data.

Hensynet til beskyttelse hviler i stor grad på individets egen evne til å foreta en fornuftig og rasjonell avveining mellom nytte ved å gi fra seg persondata på den ene siden, og kostnader og risiko på den andre. Ut fra en prinsipiell vurdering er det grunn til å spørre om denne mekanismen vil gi forbrukere og individer en tilstrekkelig beskyttelse.

• LES OGSÅ: – Vi vet null og niks om GDPR

Forbrukere representerer en sammensatt kategori med utsatte og sårbare grupper med svært ulike forutsetninger til å gjøre «fornuftige» valg på nettet og i en digital markedskontekst der kunnskap og innsikt er svært asymmetrisk fordelt mellom selger og forbruker.

Tidligere SIFO-forskning viser også at det er høyst varierende om forbrukerne forholder seg til brukervilkår.

– Det største reguleringsansvaret hviler på det svakeste leddet, sier Dulsrud. Til sammen gir dette gode grunner for å følge utviklingen tett både fra tilsynsmyndigheter og forskning. Vi vil trenge mer kunnskap om hvordan forbrukerne agerer og navigerer i en digital markedskontekst.