Lysande utsikter – snåriga regelverk

Att den som köper korv och korvbröd skulle kunna vara intresserad av ett erbjudande på ketchup är kanske inte världens mest avancerade varukorgsanalys. Men i takt med att vi som konsumenter lämnar allt större mängder information efter oss – inte bara rena kunduppgifter utan konsumentköp, banktransaktioner, mejl, filmer, sms, bilder och mobilsamtal – har också verktygen för att inhämta och processa den här ostrukturerade informationen blivit allt kraftfullare.

Det har gjort att allt fler företag nu intresserat sig för möjligheten att samla in, analysera och korsköra sina kunddata med extern data som statistik, köpbeteenden och kreditupplysningar för att individualisera och öka träffsäkerheten i sina kundkampanjer. Det är detta som kommit att kallas ”big data”, en megatrend för hela konsumentvaruindustrin.

Omfattningen på fenomenet big data illustreras av analysfirman Gartners uppmärksammade rapport där man förutspår att marknadscheferna kommer spendera mer pengar på it-inköp än it-cheferna, så snart som år 2017.

– Det finns väldigt bra analysmetoder där big data skulle kunna öka träffsäkerheten i kampanjer och kunderbjudanden rejält, men osäkerheten kring regelverket för mer avancerade tillämpningar är stor, säger Jonas Sköld, chef för analysföretaget Geomatic i Sverige som arbetar med kundsegmentering och kundförståelse.

Det är inte bara reglerna själva som begränsar. Kunskapsgapet har också en hämmande effekt som begränsar företagen från att utnyttja teknikens fulla potential. Banker, butikskedjor, e-handlare och kreditinstitut följer nu både den tekniska och juridiska utvecklingen med stor förväntan.

– Jag upplever att även många av de stora företagen med tillgång till stora mängder data om konsumenter skulle ha stor nytta av juridisk kompetens redan från början när man utvecklar sina ­tjänster och produkter, säger Jonas Sköld.

Behovet av jurister som kan analysera och avgöra vad företagen får göra och inte får göra är stort. Okunskapen kan ibland begränsa utvecklingen mer än juridiken.

Men utvecklingen inom teknik och regelverk påverkar inte bara konsumentvarubolag och it-företag med stora kundbaser. Utvecklingen driver även på behovet att öka medvetenheten inom andra områden. Utvecklingen har inte gått lagstiftarna i EU obemärkt förbi, och 2012 bestämde sig EU-kommissionen att anpassa dataskyddsdirektivet till den tekniska utvecklingen och förbättra harmoniseringen mellan medlemsstaterna i en ny dataskyddsförordning.

– Dataskyddsförordningen är en viktig fråga även ur ett hr-perspektiv eftersom förordningen kommer reglera bland annat hur man behandlar uppgifter om sina anställda. Det har också stor betydelse för hanteringen av patientuppgifter inom hälso- och sjukvård, säger Peter Nordbeck på Advokatfirman Delphi.

Därför har EU-kommissionen dragit i gång en lagstiftningsprocess för en ny reglering om skydd för personuppgifter. Syftet med förordningen är även att skapa ett tydligare regelverk som ska minska företagens administration och öka konsumenters förtroende för e-handel, vilket i sin tur ska leda till fler jobb och ekonomisk tillväxt i Europa. Men det finns gott om kritiker som hävdar och befarar att effekten kommer bli den motsatta.

Beslut om förordningen väntas som tidigast senare i år, med implementering tidigast 2016. Även om lagstiftarnas kvarnar maler långsamt har utvecklingen hittills gått snabbare än den gjorde vid framtagandet av dataskyddsdirektivet, som tog fem år, och Grekland som nu är ordförandeland har sagt sig prioritera det här högt på agendan.

Förhandlingarna på EU-nivå pågår fortfarande så det är ännu för tidigt att säga hur regelverket kommer se ut, om det ens antas. Men redan nu går det att skönja riktningen.

– Ett inslag i förordningen som kommer ha stor betydelse är sanktionskatalogen, där man har förslag på betydligt hårdare sanktioner än de som finns i svenska Pul till exempel. I ursprungsförslaget pratar man om väldigt kraftiga böter om man bryter mot förordningen, säger Peter Nordbeck.

Juristernas poäng är att EU-kommissionens nya direktiv kommer kräva en ökad medvetenhet hos företag som behandlar personuppgifter och tar fram den här typen av lösningar för att segmentera personuppgifter.

– Det finns all anledning att förbereda sig på den här förordningen och se över sin personuppgiftsbehandling innan den träder i kraft, säger Peter Nordbeck.

Ett sätt för företagen att rusta sig för det nya regelverket är att börja utveckla det som kallas privacy by design, alltså inbyggd integritet – att redan från början ha med sig integritetsskyddsaspekten när man köper eller utvecklar system som behandlar den här typen av datauppgifter. Att ändra de här sakerna i efterhand riskerar att bli väldigt kostsamt.

I förordningen betonar EU-kommissionen skyddet av den personliga integriteten, vilket man även tryckt på från Europaparlamentets sida, en indikation på att integriteten kommer bli än viktigare framöver.

I Sverige har företagen dock redan vant sig vid personuppgiftslagen, Pul. Men att hantera möjligheterna som den tekniska utvecklingen gjort möjlig är utmanande även inom ramen för Pul, eftersom företagen nu kan göra så mycket mer med den data man har.

För att utföra behandling, analys och segmentering av kunddata krävs nämligen att kunden både är informerad om det och har gett sitt samtycke. Eftersom många företag skrivit in generella sådana paragrafer i sina användar- eller medlemsavtal, som att personuppgifterna kommer användas för marknadsföringsändamål, för statistiksammanställningar och för segmentering, så är det lätt att tro att fältet är öppet för en ganska bred användning av uppgifterna.

Med dagens tekniska möjligheter finns en risk att en kund som accepterat en sådan generell skrivning om personuppgiftsbehandling ändå misstycker i ett senare skede till hur personuppgifterna faktiskt används. Kunden anser sig kanske inte ha förstått i vilken omfattning företaget skulle behandla kundens personuppgifter när den lämnade sitt samtycke.

– För företag som vill utföra en behandling av data med stöd av kundens samtycke är det alltså särskilt viktigt att säkerställa att kunden verkligen har samtyckt till just den aktuella behandlingen och att kunden har fått fullgod information enligt Pul. Företag som endast tror sig ha inhämtat samtycke riskerar alltså att stöta på problem senare, säger Sofia Karlsson, biträdande jurist på Delphi.

Innan ett företag för in kunddata i den här sortens bearbetningssystem måste ledningen dessutom göra en säkerhets- och sårbarhetsanalys, och en riskbedömning. Det kan kräva både påsyn av en jurist som måste sätta sig in i och förstå hur allt flödar tekniskt för att kunna göra sin bedömning, men även att teknikern förstår var man behöver göra den här säkerhets-, risk- och sårbarhetsanalysen.

– Exempelvis kan ett företag vars information skyddas på ett fullgott sätt i ett befintligt system behöva vidta ytterligare säkerhetsåtgärder vid användning av ett nytt system. Sådana behov upptäcks ofta vid risk- och sårbarhetsanalysen och kan exempelvis bestå i att gruppinloggningar tas bort. Med individuella inloggningar kan man lättare begränsa tillgången till viss information och följa upp om någon har tagit del av information på ett obehörigt sätt, säger Sofia Karlsson.

Dessutom har många företag mer information som faller under personuppgiftslagen än vad många kanske tror. Exempelvis är ip-nummer en personuppgift. Därutöver kan mycket annan information fortsätta klassas som personuppgifter i juridisk mening även efter att den avidentifierats.

Av: Johan Widmark