GDPR og PSD2 – slik henger de sammen

To avgjørende direktiver trer i kraft om få måneder. Det ene skal åpne vår banks data for tredjepartsaktører. Det andre skal beskytte oss forbrukere mot å miste kontroll over våre egne finansielle data. Charlotte Thuesen i Deloitte forklarer i dette gjesteinnlegg hvordan begge to henger sammen.

Nytt personvernregelverk nærmer seg med stormskritt, og det er på tide å få orden på personvernet i virksomhetene rundt om. Nytt regelverk, gjerne forkortet til GDPR (EU/2016/679 General Data Protection Regulation), introduserer både nye, klarere og mer omfattende regler for de som behandler personopplysninger. Det er ingen snarveier til godt personvern i virksomheten, men noen tiltak kan gjøre det lettere å oppfylle en del av de nye kravene. Ett sted å starte er å få kontroll over hvilke opplysninger virksomheten behandler og, ikke minst, sørge for gyldig behandlingsgrunnlag for opplysningene.

Charlotte
Charlotte Thuesen, advokatfullmektig, Deloitte

Ingen har lov til å behandle noens personopplysninger uten et gyldig behandlingsgrunnlag. Et behandlingsgrunnlag er det juridiske grunnlaget for at man kan starte behandling om noens personopplysninger. Hovedregelen og det viktigste grunnlaget er samtykke. Andre gyldige grunnlag er for eksempel lovhjemmel, eller at behandlingen er nødvendig for å oppfylle en avtale eller for å vareta en berettiget interesse. Merk at ingen av grunnlagene rekker lenger enn det som er nødvendig for oppfyllelse av det konkrete formålet som virksomheten har for behandlingen. Derfor kan det å innhente et samtykke være svært nyttig også i for eksempel kontraktsforhold.

Dersom en har kontroll over samtykkebehandlingen vil bedriften være et godt stykke på veien til et godt personvern.

Med GDPR får virksomheter et økt krav til dokumentasjon. Det gjelder også for behandling med grunnlag i samtykke, hvor en etter de nye kravene må kunne demonstrere at et individ faktisk har avgitt sitt samtykke.

I kravet til demonstrasjon ligger det i realiteten både krav om fortrinnsvis skriftlig og elektronisk dokumentasjon, og i mange tilfeller et krav om å kunne verifisere at samtykket er avgitt av den rette personen. I mange tilfeller kan det derfor tenkes at virksomheten må benytte en metode for innhenting av samtykker som omfatter autentisering av privatpersoner.

Et gyldig samtykke må være frivillig, uttrykkelig og informert. Informasjonen må være lett tilgjengelig, presentert på en måte som er enkelt forståelig, og mulig å skille fra annen informasjon. Samtykkeformularet skal ikke være en del av generelle vilkår; det må håndteres separat og presenteres på en forståelig måte. Bakgrunner er at en, for å kunne avgi et gyldig samtykke, må få nok informasjon om behandlingen. Det vil si kunnskap om omfanget av denne, og en faktisk forståelse av hvordan personopplysningene behandles.

Informasjonen som gis kan sees på som en avtalerettslig forpliktelse og det kan være lurt å bruke litt tid på å lage et gode informasjonstekster. Dette vil legge premissene for hvordan dataene i ettertid kan brukes. Samtidig må ikke adgangen til bruken av opplysningene være for vid. Da kan samtykke lett bli satt til side, eller den registrerte kan vegre seg mot å samtykke.

Personvernregelverket er i stor grad et forbrukerregelverk, og nye rettigheter til den registrerte i GDPR gjør samtykke til et aktuelt og viktig prinsipp. En personopplysning eies av den enkelte, og et samtykke kan når som helst trekkes tilbake. Det stilles derfor som krav i GDPR at et samtykke skal være like enkelt å trekke som å avgi, og dette er noe virksomhetene må klare å håndtere – fortrinnsvis automatisk. Det stilles derfor også krav om at det skal gis informasjon om hvordan et samtykke kan trekkes tilbake før behandlingen starter.

Samtykke har en viktig funksjonalitet på også andre områder. Med GDPR får forbrukere eksempelvis en rett til å ta med personopplysninger videre til en konkurrent og over i andre tjenester. Dette kalles retten til dataportabilitet. Ved henvendelse om dataportabilitet vil det være avgjørende å kunne bekrefte at det foreligger et samtykke, både hos virksomheten som skal overføre opplysningene, men også hos virksomheten som skal motta disse. Mottaker av opplysningene vil få et selvstendig ansvar for å kunne dokumentere et eget behandlingsgrunnlag for videre behandling av opplysningene.

Samtykkespørsmål er også sentralt innen markedsføring. Som det klare utgangspunkt vil det å ta kontakt med kunder i markedsføringssammenheng i utgangspunktet kreve samtykke. Etter nylige vedtatte endringer i markedsføringsloven kan næringsdrivende likevel ta kontakt med kunder i eksisterende kundeforhold via telefon og alminnelig post for markedsføring av den næringsdrivendes egne varer, tjenester eller andre ytelser tilsvarende de ytelser som kundeforholdet allerede bygger på. Forutsetningen er at kunden frivillig har avgitt sine opplysninger i forbindelse med salg, eller innsamling.

Et tredje område samtykker gjør seg gjeldende er innen området for betalingstjenester. Et nytt direktiv fra EU, PSD2-direktivet (EU/2015/2366 Payment Services Directive 2) stadfester at en kunde har eierskap til egne data, samtidig som konkurransen åpnes opp. Direktivet åpner opp for at tredjeparter kan få tilgang til bank- og kontoinformasjon, etter et samtykke fra kunden. I praksis betyr det noe av det samme som retten til dataportabilitet; en kunde kan dele egen informasjon med de tjenestene en selv ønsker å ta i bruk.

Virksomheter som har kontroll på samtykkebehandlingen gjør veldig mye riktig og vil være på god vei til etterlevelse av GDPR ved å kunne dokumentere at de i det hele tatt har lov til å behandle opplysningene. Virksomheter som har på plass et gyldig samtykke vil også være i bedre posisjon til å ivareta forbrukeres rettigheter. Virksomheter som elektronisk kan administrere samtykker vil på en ryddig og systematisk måte enkelt kunne demonstrere at de prioriterer personvern. De vil også ha et godt utgangspunkt for videre å kunne dokumentere hvordan de ellers behandler deres personopplysninger – noe som er meget sentralt etter GDPR.

Charlotte Elise Thuesen er advokatfullmektig i Deloitte Legal. Hun har fra tidligere tre års erfaring fra offentlig sektor i Kommunal- og moderniseringsdepartementet med forenklings- og effektiviseringsarbeid i avdeling for IKT og fornying.

Interessant? Del gjerne!

Kan Virtual Reality revolusjonere opplæring?

VR er ikke bare spill. Fredrik Harboe, daglig leder i Prokurs AS, om hvilke fordeler og begrensinger som VR har på opplæring og kurs.

Dette er et gjesteinnlegg signert av Fredrik Harboe, daglig leder i Prokurs AS.

De fleste har fått med seg at det skjer mye innenfor virtual reality (VR). Teknologien som skaper såkalte «immersive» eller «oppslukende» opplevelser har endelig blitt kommersialisert av spillselskaper og tilbys av diverse produsenter, som HTC, Playstation og Samsung. Google satser enormt på bruk av VR.

Nesten samtlige som prøver et high-end VR-set, som f eks HTC Vive, sier det samme: «Dette er HELT utrolig». Og det er det. Man blir plassert i en ny verden som er overbevisende og ekte. Det er som å dra til Tysenfryd for første gang: «Jeg vil ikke gå hjem!». Industrispesialister og analytikere sier det samme – denne teknologien kommer til å endre måten vi tar inn informasjon, spiller spill og samhandler med andre i årene som kommer.

Spørsmålet som mange stiller seg er om det finnes andre bruksområder for VR enn spill? Spill har alltid skapt underholdningsverdi og engasjement. Selv lite avanserte spill som Pac-man og Pong har skapt uendelig glede blant spillere. Trenger man ENDA mer realistiske spillopplevelser? Personlig tror jeg at teknologien innen spillbransjen vil fortsette å bryte barrierer og blir mer og mer «oppslukende». Det blir som å velge mellom en Ferrari og en Lamborghini. Du har et luksusproblem.

Derimot er det andre bransjer som skriker etter endring og fornyelse. Som kursleder og kursleverandør til næringslivet gjør jeg mitt beste for å skape gode og minnerike kursopplevelser. Tilpasning av materiale, interaksjon, humor, eksempler og caser er alle virkemidler som brukes for å skape et godt kurs, hvor deltakere blir hørt og lærer praktiske og relevante verktøy. Fysiske samlinger er en av de beste måtene å lære på og bygge en solid og lønnsom bedriftskultur.

MEN! Denne læringsmetoden har klare begrensninger. Tid er en verdifull mangelvare og ikke alle kan ta en full eller halv dag fri for å gå på kurs. Plutselig kommer en viktig telefon/mail og det brenner på kontoret. Man har ikke ro til å lytte og reflektere. Det kan være dyrt for en bedrift å hyre inn kursleder/e over 1+ dager, selv om alle er enige om at utbytte svarer til forventingene og er helt nødvendig for å opprettholde konkurransekraft. Konklusjonen er at opplæringstilbudet må være fleksibelt.

Her kan VR være en verdifull bidragsyter. Ved å kombinere en «oppslukende» VR-kursopplevelse med en fysisk samling kan man få en mer fleksibel og effektiv læringseffekt. De aller fleste som bruker VR skaper sterke minner – de husker rett og slett flere detaljer enn når man mottar informasjon på en passiv måte, f eks ved å lese et dokument. Her er det mange spennende muligheter og bruksområder innen HMS, ledelse, IT, økonomi osv.

Fysiske samlinger vil alltid være en effektiv læringsarena. Hvis VR kan redusere kostnader, skape effektiv læring og teoretisk grunnlag før fysisk samling, så burde vi surfe på VR bølgen sammen med resten av verden.

frederik-harboeFredrik Harboe er utdannet siviløkonom og har erfaring fra bank og finans. Han startet sin økonomiutdannelse på School of Management ved Universitetet i Bath. Fredrik arbeidet i PricewaterhouseCoopers LLP i London før han begynte i Corporate Finance i Nordea Markets. Etter flere år i Nordea tok han en Master i Business Administration på Handelshøyskolen i København. Han er en av grunnleggerne av Prokurs AS.

Prokurs AS ble etablert i 2012 med et hovedformål – å tilby nyskapende og inspirerende kursopplevelser til næringslivet innen økononomi, IT, kommunikasjon og HMS. Fra 2017 vil vi også tilby utvikling av kurs i mobilt VR-format. 

Interessant? Del gjerne!

Blockchain: hype eller revolusjon for finansverden?

En gjestepost signert av Christoffer Andvig, seriegründer og daglig leder ved Fintech Innovation


Blockchain teknologien ble grunnlagt av en utvikler under pseudonymet Satoshi Nakamoto, som grunnla Bitcoin Blockchain systemet i 2008. Bitcoin valutaen har i flere tilfeller blitt dømt nedenom og hjem (selv om verdien i det siste har gått drastisk opp, og flere og flere benytter dette som betalingsmiddel). Den underliggende teknologien har derimot flere innen bank og finans sett på med interesse. Flere banker har i dag prosjekter gående hvor de ser på bruken av Blockchain teknologien, ofte omtalt som ”distributed ledgers”.

Noen kaller teknologien en revolusjon, mens andre mener teknologien er ubrukelig for nettopp bank og finans. De aller fleste som uttaler seg vet dessverre for lite om hva Blockchain faktisk bygger på.

Kort forklart, og forenklet, er Blockchain en enighetsprotokoll, som består av et nettverk av databaser, hvor hver database besitter en versjon av en kjede. Når en ny transaksjon eller annen data blir lagt til, vil hver database verifisere kjeden gjennom å løse en komplisert matematisk formel og legge til den nye dataen om vilkårene for verifisering er tilstede. Denne verifiseringen kalles mining. Når databasen gjennomfører denne bekreftelsen, mottar de en betaling for dette fra nettverket gjennom generering av ny kryptovaluta.

En slik felles enighet er ikke noe revolusjonerende, og noe som har eksistert i mange år gjennom ulike systemer. Derimot er blockchain teknologien basert på en ny måte å bygge koden på, samt kryptering av den informasjonen det skal oppnås enighet om. Kombinasjonen av denne enighets modellen, hvor enighet oppnås gjennom løsningen av den matematiske algoritmen, med en ny kodeform som sikrer at enigheten oppnås på riktig sett, samt kryptering av den dataen som skal integreres i hovedboken, er det som er nytt.

Det finnes både såkalte ”open distributed ledgers”, slik som Bitcoin, og ”private ledgers”. Den store forskjellen er hvem som har anledning til å legge til og bekrefte dataen i kjeden.

Tilbake til bankene, og den forskningen de gjør på dette. De åpne protokollene, vil i banksammenheng være lite egnet. Bakgrunnen for dette er todelt: Først og fremst kostnaden og tiden knyttet til hver transaksjon. Denne er uforutsigbar, og basert på den prosessorkraften som kreves for å løse den matematiske algoritmen. Volumet av transaksjoner som må bekreftes dersom bankene skal benytte seg av eksisterende blockchain nettverk, vil rett og slett sprenge kapasiteten til disse. Dette vil både gjøre at kostnaden blir høy, samt at det vil ta veldig lang tid å få verifisert transaksjonene. Compliance messig, er det også en utfordring for bankene å implementere åpne nettverk til sine systemer. Selv om dataen er kryptert på blockchain nettverkene, vil det alltid være en stor risiko når transaksjonsdataen deles med hvem som helst. En lukket protokoll, vil derimot miste en del av den grunnleggende tanken bak blockchain teknologien. Du vil da ha en enkel protokollfører (banken eller systemet), som verifiserer transaksjonene. Bankene har derimot sett på alternative varianter, hvor de har en semi lukket blockchain (for eksempel R3 Corda). Denne vil være åpen mellom bankene selv, og ikke mot en hvilken som helst utvikler.

Både Blockchain teknologien og kryptovaluta har åpenbart fått bankene til å se på verden med nye øyne, senest i August i år annonserte Deutsche Bank, Santander, BNY Mellon og UBS at de lanserte en kryptovaluta for å øke hastigheten på internasjonale transaksjoner. Blockchain teknologien har med andre ord gitt bankene et spark bak for å gjøre noe med sine tradisjonelle systemer, så får vi bare se om de klarer å utnytte det på en like god måte som Fintech selskapene, eller om de er for fokusert på sine tradisjonelle løsninger.

profil-chris

Christoffer Andvig er serie-entreprenør og CEO i Fintech Innovation AS. Han har master i Finans, Innovasjon og Strategisk ledelse, og jobbet i blant annet Klarna og Collector Bank. Fintech Innovation jobber med utvikling av innovative løsninger og systemer for bank og finans sektoren. Christoffer er lidenskapelig opptatt av balanse mellom forretning og sluttbruker verdi i finans sektoren.

 

Vil du vite mer om Christoffer eller Fintech Innovation? Bruk gjerne kontaktskjemaet.

Interessant? Del gjerne!

Rådgivning i blinde – gjesteinnlegg signert av Joakim Marstrander, Head of Legal i Deloitte

Hvordan kan advokater og andre gi råd om kostbar beskyttelse av rettigheter uten å vite hva rettighetene er verdt? Jeg mener råd til næringslivet om beskyttelse av IP og immaterielle rettigheter ofte gjøres i blinde, uten at man tar hensyn til selskapets strategier og uten at man tar hensyn til hvilken underliggende verdi rettighetene egentlig har.

Immaterielle verdier – Stadig mindre deler av selskapenes reelle verdier er oppført i balansen. De viktigste verdiene i et selskap kan nå tilbakeføres til selskapenes unike konkurransefordeler. Slike unike konkurransefordeler blir ofte kalt immaterielle rettigheter eller Intellectual Property Rights (IPR/ IP) og krever mer og mer oppmerksomhet. Det er viktig at klientene har en helhetlig tankegang når det gjelder forvaltning av IP, ikke minst ved at juss ses i sammenheng med skatt og finans.

Identifisering – I samtalen med klientene er det viktig for oss å starte med en kartlegging av selskapets IP, en såkalt «IP mapping». Etter vårt syn bør man ikke definere IP for snevert. Det er nemlig ikke bare registrerbar IP som varemerker, patenter og designs som må beskyttes. Også andre konkurransefortrinn som knowhow, teknologi under utvikling og humankapital bør beskyttes. Big data er antakelig viktigere for Google og Facebook enn den teknologiske plattformen.

Strukturering – Etter vårt syn bør klienten raskest mulig skaffe seg oversikt over hva IP’en er verdt og hvordan den best skal struktureres. Skal teknologi skilles ut i egne selskaper, skal det struktureres gjennom lisensavtaler etc. I lys av verdien av den kartlagte IP’en bør man sette opp et budsjett for beskyttelse, slik at selskapet bruker riktig tilpassede ressurser til dette. Er teknologien for eksempel i ferd med å bli utdatert ved at ny teknologi er på trappene, vil det være liten grunn til å bruke mye penger på beskyttelse.

Kommersialisering – Beskyttelse gjennom registrering i offentlige registre kan være kostbart, og for patenter vil man måtte akseptere offentlighet etter en tid. Det kan derfor være et reelt alternativ for selskaper å gå for hemmeligholdelse istedenfor patent og heller satse på å være en «first mover» i markedet. Før man tar valg om beskyttelsesmåte, bør man ha vurdert hvordan man ønsker å kommersialisere IP’en. I daglig drift er det ikke sikkert man trenger registreringer, mens investorer og lisenstakere ofte vil være interessert i slike registreringer som dokumentasjon på at teknologien er unik og proprietært.

Beskyttelse og overvåkning – Det finnes en rekke regelsett man kan bruke som verktøy for å beskytte seg. Man kan velge å på for lovbestemte eneretter som patent, varemerke og design. Men mange glemmer at det også finnes viktige virkemidler for beskyttelse også i åndsverkloven, markedsføringsloven og ikke minst gjennom gode avtaler. Det er dessuten ikke sikkert at det er konkurrentene som er de viktigste fiendene. Ofte kan «indre fiender» som ansatte og samarbeidspartnere være vel så sannsynlige inngripere.

Forsvar – Når man har bestemt seg for hvordan man skal beskytte sin IP og har laget et budsjett for dette, må man ikke glemme at man også må være beredt til å overvåke markedet og forsvare den posisjonen man har ervervet. Dette kan skje ved juridiske virkemidler som domstoler, gjennom markedsmessige virkemidler eller gjennom overlegen R&D og «time to market»-strategier. Det tilbys forsikringsordninger, som gjør selskaper i stand til å beskytte seg mot inngrep.

Helhetlig tanke – Næringslivet må etter mitt syn behandle IP mer helhetlig og ressurseffektivt enn de har gjort til nå. Råd kan ikke gis ved kun å spørre advokater om hva som er riktig og galt, men må også omfatte kommersielle og strukturelle vurderinger. I motsatt fall kan dyr beskyttelse vise seg å bli en bjørnetjeneste for verdiskapningen i selskapet.

JMarstranderJoakim Marstrander er advokat og leder av Legal i Deloitte Advokatfirma AS. Advokatfirmaet har til sammen 200 advokater i Norge som jobber tett med andre rådgivere i Deloitte, samt med det globale Deloitte-nettverket som består av 220 000 medarbeidere. Når det gis råd til næringslivet om hvorledes man skal skape verdier for eierne, mener Joakim at man må kombinere juss med andre viktige verktøy som økonomi, verdsettelse, strategi og implementering.

Vil du kontakte Joakim i forbindelse med dette eller andre temaer? Vennligst bruk kontaktskjemaet. 

Interessant? Del gjerne og følg denne bloggen for norske ledere, eksklusivt fokusert på innovasjon og teknologiledelse, ved å trykke på «Følg» knappen.

Omnichannel Management – buzz eller business?

Dette er et gjesteinnlegg signert av Magnus Bakken, Chief Marketing Officer ved WebOn 

Fra tid til annen lander en RFQ på mitt bord. For eksempel når et større handelsselskap er ute etter en ny e-handelsløsning, og vi har blitt forespurt om å levere et tilbud. De siste par årene har jeg knapt lest gjennom en forespørsel uten at jeg blir presentert for selskapets ønske om å levere på «omnichannel capabilities». Greit nok tenker jeg da – men hva innebærer det for deg og din bedrift?

Verden har blitt mer kompleks. Så også for dagens handelsbedrifter. De møter nye konkurrenter, og de opplever en hverdag med stort press på sine marginer. Så bedriftene gjør det mange både tror og mener er den enkleste løsningen på problemet. De snur seg etter den seneste teknologien. Nyvinningen som skal få dem opp av hengemyra, og i forkant av den rasende markedsutviklingen. Men er det det som egentlig er løsningen? Hjelper det å oppgradere til siste versjon av Magento, Episerver eller WebOn om du ikke har stokket beina skikkelig først?

For meg dreier Omnichannel Management (heretter omnikanal handel) mer om hva det ikke er, enn hva det er: Omnikanal handel er ikke å opptre annerledes på nett enn du gjør i butikk. Det er ikke å kjøre kampanjer i en kanal fremfor en annen. Det er ikke å operere med ulike produktsortiment på nett og i butikk. Det er ikke å differensiere priser på tvers av nett og butikk. Og – det er ikke å behandle kunden annerledes avhengig av hvilken kanal hun velger å handle i. Nett og butikk skal oppføre seg som ett par sko. Et par like sko. Så er det opp til deg som leder å fylle skoene og sette retning.

Joda, handel dreier seg selvsagt om å skape verdier. Det handler om å konkurrere, optimalisere og kurtisere. Men det handler også om gode kundeopplevelser. Og for å få til gode kundeopplevelser kan du ikke være noen andre på nett enn det du er ellers (det gjelder for øvrig like mye privat som i forretningslivet). Det nytter ikke med en feiende flott webløsning hvis den øvrige kundereisen ikke svarer til bildet du har skapt av deg som leverandør. Kunden er nemlig smart. Og med mobiltelefonen i hånden har hun blitt smartere. Hun vil avsløre ethvert forsøk på å kle seg i «keiserens nye klær» (eventuelt sko).

Måten vi hos oss adresserer en henvendelse etter e-handel med omnikanal kapabiliteter på er den samme vi benytter når vi får en henvendelse på e-handel generelt. Vi spør avsenderen om hva de mener deres konkurransefortrinn er, og hvorfor de tror kunder handler hos dem. Siden tester vi hypotesene. Vi kartlegger kundereisene og vi prøver å finne flaskehalsene. Først da kan vi si noe om hvordan handelsløsningen bør se ut. Og ofte dreier det seg vel så mye om å sy sammen eksisterende systemer som å implementere nye.

Men tilbake til RFQen. Den dreier seg nemlig om innkjøp av teknologi. Jeg svarer at det er ikke først og fremst teknologi bedriften trenger. Det er kompetanse og utviklingskraft. Forhåpentligvis treffer jeg. For gjør jeg det ikke, vil løsningen uansett forbli sub-optimal – også etter at implementeringen oer over. Og sub-optimal vil ingen av oss være, spesielt ikke om vi skal vinne kundens hjerte, og hjerne.

———-

Om Magnus Bakken:  Utdannet Master i Management, MsC fra University of Bath i England. Han har også utdannelse fra ulike universiteter i Norge og Australia. Magnus sin profesjonelle karriere startet i Telenor, hvor han hadde ulike stillinger innen digital Magnusmarkedsføring og forretningsutvikling over en tolvårs periode. Magnus jobber i dag som CMO i WebOn på femte året, og hans top tre «LinkedIn endorsements» er Strategy, Business Development og Marketing Strategy.

WebOn er et IT selskap som tilbyr løsninger for Product Information Management (PIM) og eHandel. Selskapet har siden 1995 utviklet og levert markedsledende programvare som gjør det mulig for deres kunder å markedsføre og selge produkter gjennom flere salgskanaler. WebOn har i dag om lag 80 ansatte og kompetansen i selskapet spenner fra konsulentvirksomhet, via webutvikling og implementering, til drift av kundeløsninger på egen plattform.

Bruk kontaktskjemaet hvis du vil vite mer om Magnus eller WebOn