GDPR og PSD2 – slik henger de sammen

To avgjørende direktiver trer i kraft om få måneder. Det ene skal åpne vår banks data for tredjepartsaktører. Det andre skal beskytte oss forbrukere mot å miste kontroll over våre egne finansielle data. Charlotte Thuesen i Deloitte forklarer i dette gjesteinnlegg hvordan begge to henger sammen.

Nytt personvernregelverk nærmer seg med stormskritt, og det er på tide å få orden på personvernet i virksomhetene rundt om. Nytt regelverk, gjerne forkortet til GDPR (EU/2016/679 General Data Protection Regulation), introduserer både nye, klarere og mer omfattende regler for de som behandler personopplysninger. Det er ingen snarveier til godt personvern i virksomheten, men noen tiltak kan gjøre det lettere å oppfylle en del av de nye kravene. Ett sted å starte er å få kontroll over hvilke opplysninger virksomheten behandler og, ikke minst, sørge for gyldig behandlingsgrunnlag for opplysningene.

Charlotte
Charlotte Thuesen, advokatfullmektig, Deloitte

Ingen har lov til å behandle noens personopplysninger uten et gyldig behandlingsgrunnlag. Et behandlingsgrunnlag er det juridiske grunnlaget for at man kan starte behandling om noens personopplysninger. Hovedregelen og det viktigste grunnlaget er samtykke. Andre gyldige grunnlag er for eksempel lovhjemmel, eller at behandlingen er nødvendig for å oppfylle en avtale eller for å vareta en berettiget interesse. Merk at ingen av grunnlagene rekker lenger enn det som er nødvendig for oppfyllelse av det konkrete formålet som virksomheten har for behandlingen. Derfor kan det å innhente et samtykke være svært nyttig også i for eksempel kontraktsforhold.

Dersom en har kontroll over samtykkebehandlingen vil bedriften være et godt stykke på veien til et godt personvern.

Med GDPR får virksomheter et økt krav til dokumentasjon. Det gjelder også for behandling med grunnlag i samtykke, hvor en etter de nye kravene må kunne demonstrere at et individ faktisk har avgitt sitt samtykke.

I kravet til demonstrasjon ligger det i realiteten både krav om fortrinnsvis skriftlig og elektronisk dokumentasjon, og i mange tilfeller et krav om å kunne verifisere at samtykket er avgitt av den rette personen. I mange tilfeller kan det derfor tenkes at virksomheten må benytte en metode for innhenting av samtykker som omfatter autentisering av privatpersoner.

Et gyldig samtykke må være frivillig, uttrykkelig og informert. Informasjonen må være lett tilgjengelig, presentert på en måte som er enkelt forståelig, og mulig å skille fra annen informasjon. Samtykkeformularet skal ikke være en del av generelle vilkår; det må håndteres separat og presenteres på en forståelig måte. Bakgrunner er at en, for å kunne avgi et gyldig samtykke, må få nok informasjon om behandlingen. Det vil si kunnskap om omfanget av denne, og en faktisk forståelse av hvordan personopplysningene behandles.

Informasjonen som gis kan sees på som en avtalerettslig forpliktelse og det kan være lurt å bruke litt tid på å lage et gode informasjonstekster. Dette vil legge premissene for hvordan dataene i ettertid kan brukes. Samtidig må ikke adgangen til bruken av opplysningene være for vid. Da kan samtykke lett bli satt til side, eller den registrerte kan vegre seg mot å samtykke.

Personvernregelverket er i stor grad et forbrukerregelverk, og nye rettigheter til den registrerte i GDPR gjør samtykke til et aktuelt og viktig prinsipp. En personopplysning eies av den enkelte, og et samtykke kan når som helst trekkes tilbake. Det stilles derfor som krav i GDPR at et samtykke skal være like enkelt å trekke som å avgi, og dette er noe virksomhetene må klare å håndtere – fortrinnsvis automatisk. Det stilles derfor også krav om at det skal gis informasjon om hvordan et samtykke kan trekkes tilbake før behandlingen starter.

Samtykke har en viktig funksjonalitet på også andre områder. Med GDPR får forbrukere eksempelvis en rett til å ta med personopplysninger videre til en konkurrent og over i andre tjenester. Dette kalles retten til dataportabilitet. Ved henvendelse om dataportabilitet vil det være avgjørende å kunne bekrefte at det foreligger et samtykke, både hos virksomheten som skal overføre opplysningene, men også hos virksomheten som skal motta disse. Mottaker av opplysningene vil få et selvstendig ansvar for å kunne dokumentere et eget behandlingsgrunnlag for videre behandling av opplysningene.

Samtykkespørsmål er også sentralt innen markedsføring. Som det klare utgangspunkt vil det å ta kontakt med kunder i markedsføringssammenheng i utgangspunktet kreve samtykke. Etter nylige vedtatte endringer i markedsføringsloven kan næringsdrivende likevel ta kontakt med kunder i eksisterende kundeforhold via telefon og alminnelig post for markedsføring av den næringsdrivendes egne varer, tjenester eller andre ytelser tilsvarende de ytelser som kundeforholdet allerede bygger på. Forutsetningen er at kunden frivillig har avgitt sine opplysninger i forbindelse med salg, eller innsamling.

Et tredje område samtykker gjør seg gjeldende er innen området for betalingstjenester. Et nytt direktiv fra EU, PSD2-direktivet (EU/2015/2366 Payment Services Directive 2) stadfester at en kunde har eierskap til egne data, samtidig som konkurransen åpnes opp. Direktivet åpner opp for at tredjeparter kan få tilgang til bank- og kontoinformasjon, etter et samtykke fra kunden. I praksis betyr det noe av det samme som retten til dataportabilitet; en kunde kan dele egen informasjon med de tjenestene en selv ønsker å ta i bruk.

Virksomheter som har kontroll på samtykkebehandlingen gjør veldig mye riktig og vil være på god vei til etterlevelse av GDPR ved å kunne dokumentere at de i det hele tatt har lov til å behandle opplysningene. Virksomheter som har på plass et gyldig samtykke vil også være i bedre posisjon til å ivareta forbrukeres rettigheter. Virksomheter som elektronisk kan administrere samtykker vil på en ryddig og systematisk måte enkelt kunne demonstrere at de prioriterer personvern. De vil også ha et godt utgangspunkt for videre å kunne dokumentere hvordan de ellers behandler deres personopplysninger – noe som er meget sentralt etter GDPR.

Charlotte Elise Thuesen er advokatfullmektig i Deloitte Legal. Hun har fra tidligere tre års erfaring fra offentlig sektor i Kommunal- og moderniseringsdepartementet med forenklings- og effektiviseringsarbeid i avdeling for IKT og fornying.

Interessant? Del gjerne!

Hvor lenge kan DNB fortsette å gjøre «alt» selv?

Det virker som DNB har valgt å ta en stadig viktigere rolle som innovasjonsleder i norsk finanssektor ved å lansere selvutviklede produkter. Er det nødvendig å gjøre alt selv eller er det lurest å inngå partnerskap med ande aktører? Hvilke konklusjoner kan norske innovatører ekstrahere av det?

DNB har nettopp lansert SPARE appen, som skal hjelpe DNB kunder – og etter hvert andre bankers kunder – å spare med DNB sine egne produkter. Denne appen er DNB sin, kodet fa bunnen av, med ressurser fra Norges største bank.

Nordea har annonsert en tilsvarende tjeneste, som foreløpig ikke er tilgjengelig for Android-brukere. Likevel har Nordea valgt en helt annen taktikk for å oppnå samme mål. I stede for å lage appen selv har Nordea inngått et partnerskap med selskapet bak spare-appen Spiff. Storebrand har inngått et liknende samarbeid med den svenske aktøren Dreams.

Samtidig har en annen uavhengig aktør lansert en egen app – Payr- som tillater deg som bruker å betale regningene dine på en fantastisk enkel måte. Du behøver bare å ta bilde av fakturaen og betalingen skjer nesten friksjonsfritt umiddelbart etterpå. Denne appen skal gi direkte konkurranse til betalingsappene med mulighet for fakturabetaling til de store bankene i Norge. En verdig utfordrer til VIPPS faktura.

Det finnes flere flinke innovative startups der ute. Hvor lenge kan eller bør DNB fortsette å lage alt selv i stede for å inngå partnerskap med flinke tredjepartsleverandører? Og hvorfor gjør Norges største bank det på den måten? Prinsipielt virker det mye enklere og raskere det som Nordea har gjort, nemlig å inngå partnerskap med en leverandør av et eksisterende produkt- i akkurat dette tilfellet Spiff.

Men det er bare prinsipielt det kan virke sånn.

DNB har tydeligvis valgt en rolle som ”First Mover” – også på markedsføringssiden- og har dermed nesten ikke noe annet valg. Tjenestene som DNB lanserer er komplekse, altererer heftig de etablerte verdikjedene og har ingen historikk, i hver fall i Norge. Dermed kan man ikke risikere å legge skjebnen til et nytt produkt – og dermed bankens renommé – i hendene til en tredje part. Dette er konsistent med disrupsjonsteorien. Det virker som Nordea (og andre) har derimot valgt en rolle som ”Fast Follower” – i hvert fall på markedsføringssiden. Da gir det mer mening – og man blir nesten tvunget til det – å inngå partnerskap eller kjøpe en annen aktør som leverer en liknende tjeneste. Som fast follower betyr hastighet alt. Alternativet kan være at en first mover tar en så dominerende posisjon etter en stund at en ny aktør ikke klarer å finne en stor nok markedsandel når produktet endelig er klart for lansering.

Nordeas samarbeid med Spiff byr dog på et utmerket eksempel på viktigheten av å holde kontroll over kjerneverdiforslaget når innovasjon innebærer signifikant omstilling i komplekse verdikjeder. Selv om samarbeidet med Spiff ble forsiktig annonsert før DNBs SPARE, er Nordeas spareprodukt fortsatt bare tilgjengelig for iOS. Datoen for lansering på Android er ikke annonsert ennå. Å overlate kjerneverdiforslaget for et nytt produkt i en ny verdikjede til en tredjepart er en dristig beslutning som kan ha fatale konsekvenser for innovatøren.

Et annet viktig poeng er hvor lenge bankene kan beholde sin status som aggregator av egne tjenester overfor uavhengige aktører som Payr. Disse tilbyr tross alt egne spesialiserte tjenester med en klar hensikt til å bli ”best of breed”, og dermed stjele kunder fra bankene. Blir DNBs slagord etter hvert ”bank fra A til B” i stede for ”bank fra A til Å”?

Fra et banks ståsted er svaret rimelig enkelt. Internettøkonomien blir stadig mer basert på jukstaposisjonen ”freedom of choice” vs. ”convenience”. For at bankene skal kunne overleve i sin rolle som aggregator av finansielle tjenester må de tilby en såpass lav friksjonsgrad under hele kundereisen at forbrukene velger å gi opp sine valgmuligheter for en økt grad av ”convenience”. Ellers blir rollen som aggregator irrelevant.

I ukens utgave av vår podcast om corporate innovation og internettøkonomien på shifter.no diskuterer Lucas Weldeghebriel og jeg også motivasjonen som VISA har hatt for å kjøpe en andel av betalingsaktøren Klarna. Et strategisk oppkjøp eller en ”all in” fra VISA sin side? Og hvorfor nettopp Klarna?

Endelig spurte Lucas meg om det er en god idé fra Skandia bank sin side å lansere en ”gründerbank”. Mitt svar var et definitivt ja.

Her-knapp -2

God sommer!