Finansfokus

Dine persondata selges

Svein Åge Eriksen

Ny, intelligent teknologi gjør mange tjenester bedre og din hverdag enklere. Men for at du skal kunne få stadig flere tjenester tilpasset deg personlig, henter globale aktører som Google, Facebook og finansnæringen ut store mengder data om nettopp deg. Først om ett år kommer loven som gir deg bedre kontroll over dine persondata.

Datatilsynet og Teknologirådet har publisert rapporten Personvern 2017 som gir en god oversikt over de endringene som skjer innen persontilpassing og kunstig intelligens. Rapporten peker også på personvernutfordringene og hvordan den nye loven vil styrke dine rettigheter som forbruker. 

STORE ENDRINGER

Kunstig intelligens og sensorteknologi driver frem nye forretningsmodeller i finanssektoren. Tilgangen til data fra blant annet sosiale medier, mobilapplikasjoner, lokasjonsdata og sensorer har ført til et kappløp om å skaffe flest mulig data om kundene for å kunne forutsi deres oppførsel, ønsker og behov. Endringene i finansog forsikringsbransjen vil påvirke personvernet. Når det nye betalingstjenestedirektivet PSD2 trer i kraft neste år, vil flere aktører få tilgang til våre opplysninger i banken.

Det er tre grunner til at det skjer store endringer i finanssektoren nå. For det første drives utviklingen av at det er blitt lettere å samle inn, lagre og analysere enorme datamengder til sterkt fallende kostnader. For det andre øker

forventningene blant forbrukerne til å få rask og enkel tilgang til personbaserte tjenester på smarttelefonen. For det tredje driver regulatoriske endringer frem innovasjon og nye forretningsmodeller blant annet som følge av PSD2. Når det nye PSD2-regelverket trer i kraft i januar 2018, vil bankene miste sitt monopol på våre kontoopplysninger, og nye tjenester for å holde orden på privatøkonomien vil komme. (Se egen PSD2-seksjon i denne utgaven.)

NYE FORSIKRINGSMODELLER

Forsikringsselskapene ønsker å ta en mer sentral rolle i våre liv. I dag har de ikke tett og daglig kontakt med kundene. De har heller ikke detaljerte opplysninger om kundene som de kan bruke til å analysere seg frem til kundenes interesser og behov, slik en matvarekjede med et kundekortprogram har. Dette forandrer seg når forsikringsselskapene tar i bruk sensorteknologi som løpende kan samle inn data om vår atferd. Men ønsker kundene dette?

Bruk av sensorteknologi gjør det ikke bare mulig å gi individualisert pris på forsikring. Det gjør det også mulig for forsikringsselskapene å påvirke kundens livsstil. Som det første norske forsikringsselskapet, tilbyr Rema 1000 persontilpassede bilforsikringer til alle sine kunder, men flere andre forsikringsselskaper har satt i gang prøveprosjekter. Ny teknologi er den viktigste driveren for de nye forretningsmodellene i forsikringsbransjen. Ved hjelp av sensorer i bilen, i hjemmet og på kroppen vår kan forsikringsselskapene samle inn data om hvordan vi lever og oppfører oss. Prisen på forsikringen vil bli beregnet ut fra vår unike atferd, og ikke som i dag der prisene fastsettes med utgangspunkt i statistikk.

På sikt kan forsikringsselskapene potensielt være blant de bedriftene i verden som sitter på de største datamengdene om hvordan vi lever våre liv, hjemme, på jobb, på ferie og på vei hit og dit. Google har allerede inngått partnerskap med minst seks ulike forsikringsselskaper.

NY KREDITTVURDERING

Hvis du skal kjøpe bil, leie en leilighet eller ta opp et lån i banken så må du bli kredittvurdert, slik at du kan betale

for tjenesten du vil ha. En negativ kredittvurdering får store konsekvenser for deg. Åpenhet, etterprøvbarhet og forutsigbarhet rundt hvordan kredittvurderingene som foretas, er derfor viktig.

I Norge er kredittvurderingsvirksomhet regulert gjennom konsesjon fra Datatilsynet. I konsesjonen er det spesifisert hvilke opplysninger som kan brukes i kredittvurderingen. I Europa har kredittvurderingsselskaper begynt å ta i bruk stordata som blant annet vurderer kundenes kredittverdighet basert på kundenes nettaktivitet.

En spørreundersøkelse utført av Opinion avdekker at kundene er overveldende negative til at internettaktiviteten deres skal brukes til å vurdere hvilken kredittverdighet de har. Hele 75 prosent er litt eller svært negative til dette.

FACEBOOK BLIR BANK

Dagens nettbanker er allerede gammeldagse. Nå er det mobilbanken som gjelder, og betaling mellom venner, på butikken og på nettet har aldri vært enklere. Neste generasjon bank vil være en personlig assistent, som ved hjelp av kunstig intelligens vil utføre tjenester for deg før du selv vet at du trenger dem. De bedriftene som har tilgang til flest opplysninger om deg, om din inntekt og ditt forbruk samt om ditt vennenettverk, hverdagsrutiner, interesser og meninger, vil være best rustet til å levere deg de mest målrettede og persontilpassede banktjenestene.

Men hvordan skal bankene kunne levere bedre og mer persontilpassede banktjenester enn for eksempel Facebook, som kjenner oss i detalj?

Nå er bankene i ferd med å posisjonere seg for ikke å bli utkonkurrert av nye bedrifter. DNB har stor suksess med betalingstjenesten Vipps som nettopp er blitt utvidet til også å omfatte betaling i butikk. Verdien i slike type tjenester ligger i å få vite mer om kundens kontaktnettverk, forbrukervaner, bevegelsesog handle-

mønster. Dette er verdifulle data som banken kan bruke til markedsføring og til å utvikle nye tjenester. Nordea, DNB og SpareBank 1 har også satt i gang programmer der de inviterer nystartede fintechs til å utvikle nye digitale tjenester basert på sine kundedata.

DEN NYE VALUTAEN

Tjenestene du bruker blir mer personlige, både innen finans og offentlig sektor. Stadig flere forbrukere forventer at digitale tjenester og produkter er skreddersydde til akkurat dem. Data om deg er den nye valutaen. Men hva betyr den økte bruken av personopplysninger for ditt personvern?

Alt vi gjør på nettet kan fanges opp, selges videre, analyseres og brukes til å levere persontilpassede tjenester. Når tjenestene vi får baseres på data om oss, kan det tenkes at mange vil endre atferd for å få en mer fordelaktig tjeneste. Det kan også tenkes at vi unnlater å gjøre eller si ting som vil kunne slå dårlig ut.

Hvis boksen i bilen registrerer hvor du kjører, og du ikke føler at du kan bevege deg fritt uten å bli overvåket, er det problematisk for integriteten og handlingsfriheten til enkeltmennesket.

ALGORITMENE BESTEMMER

Stadig flere avgjørelser tas av algoritmer i IT-systemene i stedet for av et menneske. Automatiserte systemer basert på kunstig intelligens, vil avgjøre om du får lån til å kjøpe et nytt hus, hvilke trygdeytelser du har krav på eller hvilken behandling du skal ha hvis du blir syk. I mange tilfeller betyr dette mer effektive, presise og brukervennlige tjenester, men fra et personvernståsted er det også utfordringer knyttet til at algoritmene overtar.

I personvernregelverket er det en rettighet som er særlig relevant. Virksomheter skal opplyse den som blir registrert, om hvilke personopplysninger de samler inn og hvordan de brukes. Loven krever også at dette forklares på en forståelig måte. Fremover vil tjenestetilbyderne som benytter seg av komplekse datasystemer, måtte finne brukervennlige metoder for hvordan de ivaretar personvernet til sine brukere.

ALT ER RELEVANT

Siden vi lever våre liv i en digital tidsalder, finnes det stadig større mengder personopplysninger om oss. Det grunnleggende personvernprinsippet er at en virksomhet bare kan samle inn opplysninger som er relevante for formålet med tjenesten. Men hvor går grensen for hva som er relevant?

Treningsog helseapper kan si noe om risikoen ved å ha deg som forsikringstaker. Informasjon om hvor ofte telefonen din går tom for strøm, brukes til å vurdere risikoen ved å ha deg som låntaker. Dette er bare noen eksempler som bryter med grunnleggende personvernprinsipper.

I sin rapport peker Datatilsynet på at mange mener at vi nå bør tenke helt nytt om personvernet. Kanskje løsningen er at alle burde dele sine data dersom det er til et felles gode?

HVEM VET HVA?

Dagens digitale borger ferdes i et landskap der hun ikke har full oversikt over hvilke spor hun legger igjen, hvem som har tilgang til hennes opplysninger og hva konsekvensen av det hun legger igjen av data, kan være.

«Opplysninger blir samlet inn for å gi deg en bedre tjeneste.» Denne begrunnelsen har du sikkert sett flere ganger. Formålet er å få deg til å gi fra deg flere personopplysninger til leverandøren av tjenester. Et slikt formål gir bedriftene et stort spillerom til å utnytte opplysningene de samler inn fra brukerne, for å utvikle sine tjenester. På den måten kan enkeltindividet miste kontrollen over hvordan opplysningene deres blir brukt.

Et aktørbilde i endring bidrar til forvirringen. Hvis Google etter hvert leverer banktjenester, kan de potensielt sammenstille bankopplysninger med opplysninger hentet inn om brukeren på YouTube, Gmail, Google Analytics og andre tjenester eid av Google. I banksektoren vil det nye betalingstjenestedirektivet bidra ytterligere til det uoversiktlige aktørbildet.

SPORING ELLER BETALING?

Per i dag har vi bare sett starten på persontilpassede automatiserte tjenester. I fremtiden kan denne typen tjenester bli mer utbredt, og vi kan stå overfor en situasjon der vi blir «tvunget» inn i løsninger som overvåker livene våre i detalj. Enten fordi det ikke finnes alternativ eller fordi alternativene er mye dyrere.

Vi kan komme inn i en situasjon der standarden er at alle som lar seg spore, får den billige forsikringen. De som enten ikke vil eller kan bli sporet, sitter igjen med den dyre forsikringen. Individer med lav betalingsevne kan bli tvunget til å velge billigere produkter som krever sporing. I denne situasjonen taper personvernet.

Persontilpasset forsikring kan også forsterke forskjellene mellom oss. De som faktisk har høyere risiko, må betale dyrere forsikring. De med lavest betalingsevne kan bli sittende med de dyreste forsikringsprisene hvis de også har høyest risiko.

På sikt står hele forsikringsordningen med risikospredning som et kollektivt prosjekt under press. Økt bruk av personopplysninger for å tilpasse tjenestene kan ha uheldige konsekvenser og marginalisere sårbare grupper.

(KILDE: Datatilsynet og Teknologirådet: Personvern 2017 persontilpassing og kunstig intelligens. Gjengitt med tillatelse. Utgitt i januar 2017.)