Personopplysningenes pris

Personopplysninger er det nye gullet. Nesten uavhengig av hvilke varer eller tjenester virksomheten din selger så har personopplysninger en verdi. Hva er prisen på disse personopplysningene? For å svare på det kan det være lurt å sette seg i kundens sted og reflektere litt over hvordan man selv forholder seg til å dele sine personopplysninger. Til hvilken pris er du villig til å gi fra deg opplysninger om deg selv, og til hvilken pris benyttes disse av ulike virksomheter?

Hvor mye koster det?

Hvor mye koster en god kundeopplevelse? Hvor mye koster en persontilpasset tjeneste? Hva er prisen for å slippe å se en helt irrelevant reklame? Hva er prisen på personopplysningene dine?

Det er selvfølgelig like vanskelig å bestemme prislappen på en god kundeopplevelse som det er å definere hva en god kundeopplevelse egentlig er. Er det å få servert akkurat den tjenesten du trenger, rett før du innser at du trenger den? Eller er det å føle at din personlige integritet blir respektert, og at du blir behandlet rettferdig? Det første er nok det de fleste forbinder med en god kundeopplevelse: at dine behov blir dekket på en tilfredsstillende måte – og gjerne uten at du selv har gjort så mye for det. Men det er det siste vi savner mest dersom det mangler.

Ingenting å skjule

De fleste av oss har nok et ganske avslappet forhold til å dele opplysninger om seg selv, og tenker ikke nødvendigvis over at mange såkalte gratis tjenester i realiteten tar betalt med tilgang til våre personopplysninger. Ved bruk av sosiale medier, apper, nettbutikker, elektronisk kommunikasjon, strømmetjenester osv, så er det meste av det vi gjør i løpet av en dag dokumentert et eller annet sted. Dette er opplysninger vi deler med «noen», uten at vi nødvendigvis har et helt bevisst forhold til hva disse «noen» skal med informasjon om oss. Dette skyldes dels at vi undervurderer hvor interessante personopplysningene våre er for kommersielle aktører. «Jeg har ingenting å skjule. Hvis noen er interessert i hva jeg kjøper til middag, så vær så god!» Men selv begrenset informasjon kan i visse sammenhenger si mye om en person. Datatilsynets eksempel med kjøp av angrepille og samarin i nærheten av en kollegas hjem morgenen etter en jobbfest, er et illustrerende eksempel på at det som i utgangspunktet er nøytral kjøpsinformasjon, ikke alltid er noe man ønsker å dele med offentligheten.

Mange av oss vegrer oss for å føre private samtaler blant nysgjerrige tilhørere på trikken, eller frykter å blottlegge oss ved å stille et “dumt” spørsmål i plenum på en forelesning. Når vi er bevisste på at «noen» følger med på hva vi gjør, er vi ofte ikke like villig til å dele. Dette ble ganske synlig da det danske forbrukerrådet, Tænk, laget en film om personer som blir bedt om å dele sine personopplysninger når de handler på et bakeri. Med skjult kamera filmes kunder som, idet de betaler for boller og rundstykker, blir spurt om å dele sine fem siste SMSer og opplyse hvor de har vært kvelden før. De fleste blir tydelig overrasket, og lurer på hva bakeriet skal med denne informasjonen. Forklaringen om at det er for å yte bedre service, blir møtt med skepsis. Likevel gir mange villig fra seg den samme informasjonen i den digitale verden når de benytter flere apper og sosiale medier.

Kunnskap er makt

For å ha det klart: noen ER interessert i hvor du var i går og hva du kjøper til middag. Selvfølgelig er de det. I en verden der vi bombarderes av valgmuligheter, og alle som har noe å selge er avhengig av å selge mest mulig med minst mulig innsats, så er det viktig å vite så mye som mulig om kundene sine. Kunnskap er makt - hva vil folk ha, og hvem vil ha det når. Når selger i tillegg vet hvem som har høy betalingsevne, eller hvilke kunder som er mest tilbøyelig til å krangle på en dårlig vare eller tjeneste, så kan det være verdifull informasjon når pris skal fastsettes eller en reklamasjonssak skal vurderes.

Når tilliten blir borte

Selv om vi i utgangspunktet ikke har noe å skjule, vil vi føle ubehag dersom vi opplever at privat informasjon som vi ikke engang visste at noen hadde lagret, blir tilgjengeliggjort for flere. Det vil også oppleves urimelig dersom opplysninger man har gitt fra seg i én sammenheng, medfører at vi i en helt annen sammenheng tilbys en vare til høyere pris eller dårligere kvalitet enn naboen.

Se det fra kundens ståsted

Kjenner du deg igjen i teksten over? Det gjør kanskje kundene dine også. Om du skal bygge tillit hos kundene dine og fortjene tilgang til deres data, da må du se behandlingen fra deres ståsted og ha et bevisst forhold til hva som er deres ønsker og krav. Bruk av personopplysninger som kundene i utgangspunktet ikke har hatt noe forhold til, kan plutselig oppleves som problematisk. Enten fordi kundenes bevissthet knyttet til hvordan personopplysningene benyttes øker, eller fordi det oppstår en uønsket hendelse der for eksempel personopplysninger kommer på avveie.

Det er en grunntanke i personvernforordningen at den enkelte skal ha kontroll med egne personopplysninger, og det medfører at virksomheten din til en viss grad er avhengig av kundenes tillit og velvilje.

Hva gjør kundene dine når de oppdager at personopplysningene ikke er skikkelig håndtert likevel, og tilliten til virksomheten din svekkes?

Kundesanksjoner

Dersom kunder mister tilliten til hvordan en virksomhet behandler personopplysninger, kan kundene benytte seg av sin rett til å finne ut mer om hvordan deres personopplysninger er behandlet. Ved hjelp av retten til dataportabilitet kan de, på visse vilkår, ta med seg opplysningene sine til en annen aktør. Dersom de har samtykket til behandlingen av personopplysninger, kan de trekke sitt samtykke tilbake, og dersom behandlingen er basert på en avtale de har med virksomheten, kan de avslutte avtaleforholdet.

Myndighetssanksjoner

Det er også mulig å klage til virksomheten på dennes behandling av personopplysninger, eller i verste fall kan kundene dine klage til Datatilsynet. De europeiske tilsynsmyndighetene har i nytt regelverk fått betraktelig større anledning til å ilegge sanksjoner ved brudd på personvernregelverket. Det franske datatilsynet (CNIL) har i januar i år gjort akkurat dette, ved å ilegge Google et gebyr på 50 millioner euro, eller nesten en halv milliard kroner. Manglende åpenhet og informasjon var, sammen med ugyldige samtykker, hovedargumentene CNIL oppga som grunnlag for gebyret. Hvorvidt vi vil oppleve lignende sanksjonsnivå i Norge gjenstår å se, men det er nærliggende at avsløringer knyttet til virksomheters uskjønnsomme behandling av personopplysninger medfører et umiddelbart tap av tillit og etterfølgende kundeflukt.

Løsningen

Så hvordan skal vi unngå å havne i denne situasjonen?

Som kunde kan vi ha en sunn skepsis til hvem vi handler med og hvilken informasjon vi deler med hvem. I tillegg kan vi lese personvernerklæringer og benytte oss av de rettighetene vi har for å ha kontroll med egne personopplysninger.

Som næringsdrivende, skal man slutte å behandle opplysninger? Absolutt ikke, men virksomhetene må ha et bevisst forhold til hva de driver med.

Kort og overordnet er våre tips til en trygg behandling av personopplysninger slik:

• God oversikt over hva som foregår i eget hus

Dette er helt grunnleggende, og første steg på veien mot å beholde kundenes tillit. Dersom man ikke vet hva som foregår er det vanskelig å sikre at det foregår på riktig måte.

• Behandlingen av personopplysninger må tåle dagens lys

Kort, og litt forenklet, sagt, innebærer det å ha et konkret formål med behandlingen av personopplysninger, og at behandlingen er nødvendig for å oppnå det formålet. Deretter må man kunne vise til et rettslig grunnlag, altså en gyldig grunn til å behandle opplysninger om den enkelte. Det kan typisk være at behandlingen er nødvendig for å oppfylle en avtale som er inngått med dem opplysningene handler om, eller at det er innhentet et samtykke til behandlingen.

• Kundenes og de potensielle kundenes rettigheter må ivaretas

Retten til informasjon er sentral - som hovedregel bør det ikke være en godt bevart hemmelighet hva en virksomhet gjør med kundenes personopplysninger.

• Eventuelle avvik må håndteres

Skulle det skje et brudd på personopplysningssikkerheten, må virksomheten være rigget til å håndtere det. I det ligger både at brudd oppdages, og at normalsituasjonen gjenopprettes og skadene begrenses. I tillegg må Datatilsynet og kundene varsles i den grad regelverket pålegger det.

Tilliten som mange virksomheter vises hver dag, når kundene i bytte mot sine personopplysninger benytter seg av apper, kundeklubber, strømmetjenester osv, må beskyttes. Blir prisen for å gi fra seg sine personopplysninger for høy vil kundene protestere. Når én misfornøyd kunde blir til flere, og kundeflukten merkes på bunnlinjen, vil det i siste instans være virksomheten som ikke har vist seg tilliten verdig som betaler den høyeste prisen.