<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1159208090890608&amp;ev=PageView&amp;noscript=1">

Digitale økosystem, PSD II og ny personvernforordning

LEF_artikkel_2_.jpg ‹ Tilbake til artikler

LEF_artikkel_2_.jpg

2017 blir et utrolig spennende år for alle som er interessert i digitalisering, og spesielt for oss med en særskilt interesse for betalingsområdet. I januar og mai 2018 introduseres hhv Payment Service Directive II (PSD II) og ny personvernforordning i norsk lov. Arbeidet med å tilrettelegge for etterlevelse og benytte seg av muligheter må gjøres i 2017.

 Regelverkene er utarbeidet og behandlet uavhengig av hverandre og vil også innføres uavhengig av hverandre i norsk lov. Men de henger nøye sammen. Dersom man ønsker å bygge digitale økosystemer med betaling som «driver» (som bank, innen handel/retail, som teknologiselskap eller annet) og kun forstår ett av regelverkene, kan man ikke manøvrere effektivt. Den sterke gjensidige avhengigheten stiller krav til hvordan virksomheter organiserer arbeid internt (riv ned siloene) og det stiller krav til oss som er rådgivere (økte krav til å kunne mobilisere og løse sammensatte/tverrfaglige oppgaver).

Det som gjør betaling viktig er ikke kapital-transaksjonen (flyttingen av penger), men det å kunne sanke ekte forbrukerdata, samt eie øyeblikket når en forbruker går fra å «sjekke ut» til å kjøpe. Øyeblikket forbrukeren faktisk skal til å bruke penger er interessant av tre grunner:

  1. Det er et perfekt tidspunkt for direkte reklame (og helst rett i mobilen)
  2. Det er et perfekt tidspunkt å tilby ulike typer finansiering (og helst rett i mobilen)
  3. Det er et perfekt tidspunkt å sanke data om forbrukerens kjøpsatferd; hva kjøpte hun, hvor var hun når hun kjøpte, på hvilket tidspunkt kjøpte hun, hvordan var været, hvordan var humøret, hva ble postet på sosiale medier rett før/etter, hvor hadde hun vært rett før hun handlet, hva hadde hun søkt etter på nett, hvem var hun sammen med når hun handlet, hva handlet de andre hun var med på samme tid mv.

Det å eie dette øyeblikket kan brukes til å selge mer der og da, samt øke salg over tid; det kan også brukes til å bygge et digitalt økosystem.

For å kunne få til dette, er kunnskap om PSD II og ny personvernforordning avgjørende.

Ny personvernforordning

Den nye forordningen som kommer på personvernområdet er i mine øyne veldig bra. Endelig får vi et lovverk som er tilpasset vår tid. I all enkelhet gjør forordningen to ting:

  1. Den styrker enkeltmenneskers eiendomsrett over egne data
  2. Den styrker virksomheter ansvar for å tilrettelegge for godt personvern.

Min oppfatning er at norsk personvernlovgivning allerede er ganske så moderne, slik at det blir mye enklere for oss å tilpasse oss enn for mange andre land. Men det er noen svært krevende elementer i lovverket som må adresseres:

  • Privacy by design – som innebærer at alle løsninger som utvikles (og er utviklet) skal være designet på en måte som tilrettelegger for godt personvern, man må mao tenke personvern fra ide til realisering og videre forvaltning
  • Right to be forgotten – løsninger må tilrettelegge for at enkeltmennesker skal kunne trekke samtykket sitt, og da må man kunne garantere at opplysninger samlet inn og behandlet med det utgangspunktet, kan slettes. Dette må skje alle steder hvor opplysningene er og brukes. I tillegg til i selve løsningen må det gjøres i back-up, datavarehus, hos driftsleverandører og samarbeidspartnere mv.
  • Data portability – forbrukeren må kunne ta med seg data som er avgitt til en virksomhet på et logisk/lesbart format (og kunne overlevere det til en alternativ leverandør).

Disse tre prinsippene er på et vis allerede adressert i norsk lovverk, men ikke på langt nær i det omfang som nå må på plass. Dersom man tenker på en betalingsløsning som skal danne utgangspunkt for et økosystem som beskrevet over, så vil hele verdien av løsningen være at man fanger så mye og så presis informasjon som mulig om forbruker, og benytter den for å kunne tilrettelegge for skreddersydd markedsføring. Her er det viktig å presisere at i mitt hode så redefineres nå personvernbegrepet fra å være fokusert på en slags personvernformynderløsning med konfidensialitet som fokus, til å bli mer forbruksrettet. Det er opp til meg som forbruker å bestemme hvordan opplysninger om meg selv blir brukt. Dersom jeg vil oppgi personopplysninger for å få goder tilbake, så er det helt ok; en hamburger for en personopplysning.

Samtidig vil tiltakene beskrevet over gjøre at jeg kan angre og trekke tilbake samtykket, og da må virksomhetene kunne levere opplysningene tilbake til meg, og slette dem hos seg. Løsninger som lanseres etter at forordningen trer i kraft i Norge i mai 2018, må tilfredsstille kravene fra dag 1, mens eksisterende løsninger må tilpasses etter en overgangsperiode. For å være helt sikker på at virksomhetene prioriterer dette innføres et tøft bøtenivå, hvor virksomheter kan få opptil 4% av global omsetning i bot. Det vil mao. være slik at dersom man ikke etterlever regelverket, så kan personvernmyndighetene nekte deg å fortsette å levere tjenesten, pluss gi enorme bøter pluss at man påføres store omdømmebelastninger.

En av de fine tingene med ny forordning og tiden vi lever i, er at det nå er helt klart at personvern blir viktig for generering av inntekter i mange virksomheter og dermed ikke kan håndteres av advokater eller IT-/sikkerhetsfolk alene. For å kunne håndtere personvern fremover, må man ha en kombinasjon av kompetanse innen ulike områder; forretning, strategi, allianser, juridisk, teknologisk, sikkerhetsfaglig.

Payment Service Directive II (PSD II)

I PSD II er det i hovedsak de delene av regelverket som stiller krav til bankene om å tilrettelegge for tredjeparter som er spesielt interessante. PSD II tilrettelegger for etablering av 2 nye roller:

  1. Payment Initiation Service Provider (PISP) – bankene må tilrettelegge slik at virksomheter som har konsesjon, kan initiere betalingstransaksjoner på kontoer eid av bankenes kunder
  2. Account Information Service Provider (AISP) - bankene må tilrettelegge slik at virksomheter som har konsesjon, kan få innsyn i innestående og bevegelser på konto på kontoer eid av bankenes kunder.

Dette skal tilrettelegges uten av bankene kan kreve avtaler som regulerer forholdet (bankene kan ikke nekte), og teknisk gjennom definerte application programming interfaces (APIer). Regelverket øker mao på samme måten som ny personvernforordning, enkeltmenneskers selvråderett over egne opplysninger (og penger). Den store skrekken for de tradisjonelle bankene er selvsagt å bli redusert til rene infrastrukturleverandører (et sted pengene står før de skal brukes), mens andre leverer kundeopplevelsen knyttet til bruken og høster alle data. Noen banker tenker at dette er OK all den tid det de tjener penger på uansett er rentedifferansen. Det eneste de trenger da er kunden som setter penger inn (bidrar til funding, inntekter og etablering av kundebinding) og kunder som ønsker å låne penger (bidrar til inntekter og kundebinding). Andre banker synes det er mer utfordrende fordi innføring av PSD II kan medføre at de mister den naturlige kontaktflaten med sine kunder (den enkelte banks nettbank dør ut og gjenoppstår som felles nettportaler eid av andre).

Jeg mener at en del av diskusjonen av regelverket er basert på et feilaktig premiss om at bankene kun er digitale tjenesteleverandører; «IT selskap». Jeg tror at sparebankene fortsatt vil spille en viktig rolle fremover som lokalt tilstede i folks hverdag, herunder i rollen som samfunnsstøtte. Når det er sagt, vil så klart digitaliseringen fortsette, og PSD II representerer både en fantastisk mulighet og en potensiell katastrofal trussel for bankene. Bankene som ønsker å spille offensivt, må tenke både på forsvar og angrep. Det mest åpenbare angrepet er selvsagt å etablere seg som PISP og AISP selv, og så konkurrere med de andre bankene og alle andre om å ta markedet. Dette kan være en god strategi, og ingen kan dette med betaling og finansiering bedre enn bankene slik at de nok er nærmest til å vinne det spillet.

Det store spørsmålet er dog om det virkelig er betaling og banktjenester spillet egentlig handler om? Jeg tror at spillet egentlig handler om det å bygge digitale økosystem som beskrevet over, og hvor betaling og finansieringsvalg er helt avgjørende byggeklosser til noe større. Etter min mening, kan ikke bankene vinne dette alene. De må samarbeide med aktører i andre sektorer der forbrukerne bruker pengene sine, eksempelvis handelsstanden hvor Retail Payments representerer et enormt spennende potensiale, og andre markedsplasser (hvor eksempelvis Finn.no og Komplett.no kan ta sentrale roller for å ta noen norske). For å lykkes må man være tilstede på mobilflaten, man må ha supersmarte markedsføringsløsninger og så klart sømløs og enkel betalings-/finansieringsløsning.

Uansett er det helt klart at man ikke kan lykkes med å etablere gode PSD II-løsninger gjennom kun å tenke at dette handler om å komme i samsvar med lovkrav, eller kun teknologi og sikkerhet. Man må også tenke på strategi, allianser og endrede forretningsmodeller.

Hva skal man så gjøre?

Dersom aktører ønsker å etablere økosystemer med utgangspunkt i muligheter som skapes av PSD II, så må datafangstløsningene være perfekt tilpasset nytt personvernregime; retten til å bli glemt og retten til å ta med seg data om seg selv. Det er sannsynligvis mulig for nye aktører å gå under radaren for tilsynsmyndigheter, men jeg håper at Europeiske Finanstilsyn (EBA) i sine konsesjonsvurderinger for nye aktører også vil samarbeide med Europeiske Datatilsyn (European Data Protection Board) slik at nye aktører ikke får mulighet til å kreve tilgang til kundekonti uten at de har tilfredsstilt sentrale krav i personvernforordningen. Dog blir jeg ikke veldig overrasket dersom de ikke makter å koordinere et slikt samarbeid. Vi kunne nok fått det til i Norge, men jeg har ikke like stor tro på resten av Europa. Jeg håper at Bjørn Erik Thon i Datatilsynet og Olav Johannessen i Finanstilsynet finner sammen og promotere viktigheten av samarbeid inn i respektive fora i EU der beslutningene fattes.

Så hva skal dere som virksomheter gjøre? Dersom dere ønsker å lage et eget økosystem, så husk at det viktigste er å ha gode allianser og samarbeidspartnere. Vær også villig til å oppgi egen kontroll. Det er ikke enkelt å bli et egenkontrollert økosystem, det er ikke mange Amazon som finnes. Når dere jakter på samarbeidspartnere, må dere vite hva som er deres egen unike rolle og verdiforslag. Når dere så har funnet konstellasjoner og bygget gode governancestrukturer, må dere forstå og utnytte mulighetene som ligger i PSD II, til å få utført meget kostnadseffektiv innsikt i finansieringskilder, og initiere betalinger. Samtidig må det tas høyde for kravene i ny personvernforordning når forretningsmodell og tekniske samhandlingsløsninger utvikles, ellers kan alt arbeidet være forgjeves.

Det blir også stadig mer krevende for oss som rådgivere å være eksperter. Det er ikke nok å være advokat og personvernekspert, eller bankmann og PSD II-ekspert, eller teknologiekspert, eller sikkerhetsekspert, eller ekspert på modellering av økonomisk samspill og governance. Man må være ekspert på alle områdene, og kunne se ting i sammenheng. Det er selvsagt ingen enkeltmennesker som kan klare å være god på alt dette, oppgaven stiller krav til samarbeid mellom profesjoner også på rådgiversiden. Heldigvis har vi i PwC allerede tatt steget, og samlet advokater, teknologer, økonomer, strateger og sikkerhetseksperter under ett tak, og vi er klare til å bidra til beste for norske virksomheter og forbrukere!

2017, GAME ON!

Lars Erik Fjørtoft

Lars Erik Fjørtoft

Mitt navn er Lars Erik Fjørtoft og jeg er partner i PwC. Mitt arbeidsfelt er rådgivning knyttet til IT Risiko. Jeg har arbeidet i PwC siden 2016, og har tidligere erfaring fra bankenes infrastruktursamarbeid i rolle som daglig leder av BSK. Jeg er enormt interessert i alle aspekter av digitalisering som nå er i ferd med å berøre alle deler av det norske samfunnet.

Legg igjen en kommentar

Relevante artikler

Les artikkelen

Innebygd personvern - en metode som bygger tillit

Personvernforordningen (GDPR) stiller krav til innebygd personvern. Men hva er egentlig innebygd personvern? Innebygd personvern - privacy ...

Les artikkelen
Les artikkelen

Bytte av ERP-løsning - hvordan få tid til å følge den teknologiske utviklingen?

“Vi har så mye å gjøre at vi ikke har tid til å effektivisere”. Lignende utsagn møter vi i mange ulike sammenhenger. Husk at slike utsagn ...

Les artikkelen
Les artikkelen

Digitalisering virker - men for få er i gang…

I PwCs rykende ferske undersøkelse «Fremtidens økonomifunksjon» har vi kartlagt hvor langt dagens økonomifunksjoner er kommet på den ...

Les artikkelen