:Tilbake
< >

Er krisetid en unnskyldning for å hoppe bukk over personvern?

08.04.2020

Vi er midt inne i en global krise vi ikke har sett maken til i nyere tid. En pandemi brer seg fortere enn noen hadde forutsett, samtidig som land og regjeringer halser etter med å observere, lære, handle, analysere og konkludere med et virkelighetsbilde som er i konstant og uhyre rask endring. Et av de viktigste rådene fra WHO for å få bedre kontroll på situasjonen er smittesporing. Men hvordan kan smittesporing gjennomføres i henhold til de strenge kravene GDPR setter? Eller gir krisetid regjeringer «carte blanche» til å kaste GDPR i søppelkassen?

https://carat-cdn.azureedge.net/media/12146/gdpr_square.jpg

Vi spurte Jan Sandtrø, som er uavhengig advokat og bistår i krysningsfeltet mellom juss og teknologi, om bruken av teknologi skal være fritt fram i krisetider, uten at regjeringer mm. trenger å ta hensyn til GDPR. Han har lang erfaring og ekspertise innenfor personvern og digital markedsføring.

Jan, hva tenker du rundt at det virker som personvern er kastet over bord for å sikre smittesporing med referanse til hvordan Kina og Sør-Korea jobber med dette?

«Jeg mener at man må passe på personvernet selv om det er kritiske tider, samtidig er alltid liv viktigere enn personvern (selv om man må være forsiktig med at målet ikke alltid skal hellige middelet). Man må alltid vurdere om bruken av personopplysninger som verktøy står til det man skal oppnå. Nå har også EU og Datatilsynet gitt veiledning om at man kan bruke noe utvidede midler i kampen mot viruset, men man må også huske på at det er veldig vide og omfattende fullmakter for myndighetene til slike tiltak allerede i GDPR. Å sanntidsovervåke personer rett inn i en sentral database er trolig å gå for langt, men å spore personer for å avdekke om de har vært i kontakt med smittede, gitt at sikkerheten og opplysninger er begrenset, må være innenfor. Dette er også løsninger som er under utprøving og utvikles «live», så her må vi akseptere at det gjøres feil, bare det rettes opp så snart det avdekkes.»

Hvordan opplever du at appen til Folkehelseinstituttet (utviklet av Simula) som skal bidra til smittesporing, balanserer hensynet til personvern her hjemme sammenlignet med tiltakene i Kina og Sør-Korea?

«Ut fra det jeg har sett, så virker det som om det er godt balansert. Skjemaet som FHI hastelanserte for selvrapportering tidligere var ikke spesielt bra, siden det baserte seg på samtykke (som er unødvendig i slike sammenhenger). Det var også en merkelig samling opplysninger de ønsket, og trolig ikke spesielt nyttig siden personer skulle rapportere selv. Avveiningen som FHI skal gjøre for appen (de er behandlingsansvarlig, Simula er kun med på utvikle appen, slik jeg har forstått) er ekstremt vanskelige, og jeg håper ikke de går i den fellen som vi har sett fra helseaktører tidligere, at de er for tilbakeholdne med behandling av personopplysninger med den følge at det hindrer effektiv bruk av opplysningene. Det blir spennende om denne appen da kan danne utgangspunkt for senere lignende hendelser, og at vi da er bedre rustet om dette skal skje igjen (som det vel kan gjøre).»

De siste to årene har det jo vært et veldig fokus på GDPR og innføringen av dette. Har dette vært forgjeves nå som vi står midt i Covid-19? Eller står det seg fortsatt? Og hvordan skal vi som markedsførere vite hva det er som faktisk gjelder og ikke gjelder med hensyn til personvern og markedsføring direkte til forbrukere?

«GDPR medførte egentlig ikke så mye nytt – dette var regler som vi stort sett har hatt siden 2000-tallet. Men med GDPR så fikk personvern mye mer oppmerksomhet, og med god hjelp fra amerikanske IT-giganter som samlet inn og brukte personopplysninger i stor utstrekning, så fikk også den enkelte øynene opp for hva personvern hadde å si. Det «hjalp» også at det ble mulig for myndighetene å ilegge enorme bøter, selv om vi ikke har sett så mye til dem ennå her på berget. Så med dette bakteppet ble det mer oppmerksomhet om personvern og hvordan forholde seg til det. Før brydde man seg ikke så mye – det var business as usual, men nå ble det viktig med hva som er personopplysninger, når og hvordan kan vi behandle personopplysninger osv. Dette vil være like relevant med den «nye normalen» post-Covid-19»

Har alle bransjer tilpasset seg eller er det fortsatt noen som har en jobb å gjøre vs GDPR?

«Jeg har opplevd at alle bransjer har gjort endringer og justert seg. B2C-selskaper har nok måttet gjøre størst endringer, men også B2B har måttet gjøre store endringer. Det samme gjelder ikke minst det offentlige. I tiden fremover vil jeg tro at man faller inn i mer rutine og at det etableres standarder og praksis for hvordan man skal forholde seg. Men samtidig vil vi se nye måter å markedsføre og drive virksomheter på som vil vokse frem i det mulighetsrommet som skapes mellom teknologi og regelverk.»

Takk for gode svar, Jan. Vi ser at krisetid og jaget etter smittesporing og smittevern kunne ha gjort det lett å hoppe bukk over GDPR og personvern, men at arbeidet og fokuset som er gjort i forkant av GDPR har skapt en forståelse for dette, som gjør dette lettere å håndtere.

Å være transparent og gi tydelig informasjon om hvordan man samler inn, bearbeider og sletter data, er like viktig for myndighetene som det er for kommersielle aktører. På den måten kan vi forhåpentligvis, som både borgere og sluttbrukere, ha et godt tillitsforhold til de som forvalter vår persondata – også når normaliteten en gang kommer.

-Thomas Horn, Leder CRM i Carat, thomas.horn@carat.com

 

Følg Jan Sandtrø på sandtro.no eller LinkedIn

^