KRONIKK: Noen tanker om personvern, demokratiske verdier, holdninger og menneskeverd

[Redaksjonen.]

KRONIKK: Noen tanker om personvern, demokratiske verdier, holdninger og menneskeverd

[1J7HHBGW]

Det er nå heldigvis et LITE skifte i retning av personvern i form av strengere krav til bedrifters og det offentliges håndtering av sensitiv informasjon. Men det er en svært lang vei å gå fordi det offentlige har felles interesser med en rekke bransjer/bedrifter i å sanke og lagre informasjon. Koblinger mellom offentlige databaser er en massiv utfordring.

 

De to norske politiske partiene som tilsynelatende var opptatt av personvern har knapt leet på en finger i så henseende på mange år. Venstre og FrP sitter med makt som er en hel del større enn velgergrunnlaget deres tilsier, men om personvern står høyt på agenden hos en velger er det liten grunn til å stemme på disse av den grunn.

 

I Norge er et av de største problemene for personvernet norges inntreden i Schengensamarbeide. Hvordan det?

 

Schengen åpnet grensene slik at Norge mistet kontrollen på hvem som oppholder seg her og hva de gjør. Som en direkte konsekvens av de elendige forbereldelsene og gjennomføringen av Schengen har vi fått økt risiko innen b.la smugling, økonomisk og organisert kriminalitet.

 

Dette anvendes for hva det er verdt for å øke sporbarheten av mennesker, varer og kommunikasjon i det norske samfunnet. Det er også årsaken til at politiet utgjør en trussel for befolkningen og seg selv - de står vel for 90% av alle vådeskudd, og det siden Nokas er det vel bare politifolk som har skutt politifolk.

 

Norske politikere ivaretar ikke folkets interesser mht personvern, og selv om GDPR er et steg i riktig retning tror jeg nok det blir mange unntak og utallige kompromisser som i sum svekker forordningen slik at den ikke får den minimumseffekten den må ha.

[LOH8PDYL]

GDPR er ikke den nye røykeloven. GDPR kommer ikke til å bestå, slik røykeloven har gjort. Årsaken ligger i ulikheten, som er at røykeloven er en veldig enkel lov, mens GDPR er et juridisk monster. Det hjelper lite at begge lovene er godt ment.

GDPR har en uendelig lang liste med konsekvenser som ikke er godt nok utredet, og som ikke har noe som helst med den smale, godt definerte, og gode intensjonen med loven. Her er noen hovedproblemer til videre debatt og ettertanke:

1) Loven skiller ikke mellom informasjon om forbrukere (B2C) og andre “personopplysninger”.

2) Loven skiller ikke i omfang av innhenting eller hvem som har lov å innhente.

3) Loven har unntak for det offentlige, så lenge det er hjemlet i nasjonale lover.

Den mest nærliggende konsekvensen av disse tre punktene er, og her spekulerer jeg, at mange små og mellomstore bedrifter kommer til å bruke mye ressurser på å tilpasse seg de delene av loven som ikke vil bestå – og det er dette artikkelforfatter spekulerer i – mens de loven er ment å ramme ikke bryr seg i samme grad som de ellers ville gjort hvis loven var spisset mot dem.

Punkt 1
Fordi loven ikke er rettet utelukkende mot forbrukere er all innsamling av opplysninger om kunder og leads (og alle eksisterende data i CRM-er osv.) ikke lenger lovlig. Loven legger her opp til at bedrifter skal slette data som representerer store verdier og kanskje hele livsgrunnlaget. B2B og privatperson mot privatperson er rammet likt som B2C.

Punkt 2
Privatpersoner har heller ikke lov til å hente inn opplysninger om andre privatpersoner. Jeg bryter altså loven hvis jeg ikke går gjennom telefonlista og søker aktivt samtykke til å lagre mobilnummer, e-post, og fødselsdato fra venner og familie.

For en bedrift er det heller ikke lov å oppsøke kunder på annen måte enn personlig oppmøte, med mindre de har oppsøkt deg og gitt aktivt samtykke først. Du kan ikke hente inn og bruke et telefonnummer eller e-post fra en nettside og bruke disse til å kontakte kunden. Det høres ut som idioti, men det som står i loven. Alle andre former for salg utenom butikksalg, inbound marketing, og dør til dør er effektivt forbudt.

Punkt 3
Loven har ingen langsiktige konsekvenser for det offentlige. Nasjonene har fullmakt til å vedta egne lover som gjelder egen innsamling av personopplysninger. Så ja, her og nå har det konsekvenser også for det offentlige, men på lang sikt gjør staten som den vil, med GDPR i hånda.

Endret 29. november 2017 av LOH8PDYL

[LOH8PDYL]

Og så en anekdote om bedriften artikkelforfatter jobber for:

Jeg har aldri hatt noe med Atea å gjøre. Jeg har aldri handlet fra Atea. Jeg har aldri søkt jobb hos Atea. Jeg kjenner ingen som jobber hos Atea. Jeg har aldri vært på kurs hos Atea. Og jeg har aldri spurt om tilbud fra Atea. Jeg har faktisk aldri vært inne på Atea sine nettsider   

Likevel, i vår begynte jeg å få nyhetsbrev fra Atea, og jeg fortsetter å få de selv om jeg har trykket unsubscribe. Dette står i sterkt kontrast til Atea sin rolle i å propagere GDRP. Rydd i eget hus først takk 

Endret 29. november 2017 av LOH8PDYL

[phel21]

Jeg ønsker instramminger mht personvern velkommen. All informasjon som på en eller annen måte kan knyttes til identifiserbare individer skal behandles varsomt. GDPR bommer totalt fordi det først og fremst pålegger folk og bedrifter mer byråkrati og kostnader. Det er greit å stille krav, men ikke utform bestemmelser slik at folk nesten ikke kan gjøre noe selv. GDPR virker for meg mest som ett prosjekt for å få plassert/sysselsatt enda flere av samfunnets parasitter.

[LOH8PDYL]

Jeg ønsker instramminger mht personvern velkommen. All informasjon som på en eller annen måte kan knyttes til identifiserbare individer skal behandles varsomt. GDPR bommer totalt fordi det først og fremst pålegger folk og bedrifter mer byråkrati og kostnader. Det er greit å stille krav, men ikke utform bestemmelser slik at folk nesten ikke kan gjøre noe selv. GDPR virker for meg mest som ett prosjekt for å få plassert/sysselsatt enda flere av samfunnets parasitter.

 

Amen.

 

Ja til personvern. Nei til byråkratiserende tull og tøys.

[sirtommen]

Du kan ikke hente inn og bruke et telefonnummer eller e-post fra en nettside og bruke disse til å kontakte kunden. Det høres ut som idioti, men det som står i loven.

Du har skjønt det gitt.

 

Og nei, du tar feil. Du har fortsatt lov å hente inn opplysninger, sålenge du informerer om det. Slik som det er i dag. Men det er ett krav til att du behandler desse opplysningene du henter inn skikkelig. Hvis du har ett kontaktskjema for spørsmål på nettsiden din som spør om telefonnr og email, så trenger du jo strengt tatt bare informasjonen sålenge du har kontakt med kunden. Kunden din skal være sikker på att han har gitt informasjonen til DEG, og att du beholder den informasjonen for å gi svar på hans spørsmål. Ikke for å selge til andre, eller begynne sende ut reklame.

 

For hvis du skal det, må det stå att det er derfor du samler inn informasjonen, da er det jo ikke sikkert du får spørsmål i hele tatt

 

Og hvis en kunde har detaljene sine liggende på nettsiden sin, så ber han jo om att du kan ringe han Men du kan ikke skanne internet å opprette en database med "kunder".. Det sier seg jo selv.

Endret 30. november 2017 av sirtommen

[LOH8PDYL]

 

Du kan ikke hente inn og bruke et telefonnummer eller e-post fra en nettside og bruke disse til å kontakte kunden. Det høres ut som idioti, men det som står i loven.

Du har skjønt det gitt.

 

Og nei, du tar feil. Du har fortsatt lov å hente inn opplysninger, sålenge du informerer om det. Slik som det er i dag.

 

Nei, du tar feil. Du har ikke lov å hente inn opplysninger uten aktivt samtykke. Og ja, så lenge det ikke er en forbruker du henter inn informasjon om, så er det i praksis lov i dag. Altså er det en vesentlig forskjell her. Jeg kan fritt opprette en CRM med leads som ikke har oppsøkt meg i dag for framtidig B2B-salg. Jeg kan også fritt legge mobilnummeret ditt fra visittkortet du har gitt meg inn på adresselista på telefonen min. Det er heller ikke lov med GDPR, ikke uten aktivt samtykke.

 

 

Men det er ett krav til att du behandler desse opplysningene du henter inn skikkelig. Hvis du har ett kontaktskjema for spørsmål på nettsiden din som spør om telefonnr og email, så trenger du jo strengt tatt bare informasjonen sålenge du har kontakt med kunden.

 

I dette eksempelet vil det være lov å beholde informasjonen fram til du har kontaktet kunden, forutsatt at du har i klartekst i skjemaet har informert kunden om at informasjonen vil bli lagret, hvor lenge den vil bli lagret, og til hvilke formål den vil bli lagret. Det er ikke lenger lov å ta det som en selvfølge at kunden skjønner at informasjonen han gir fra seg blir lagret.

 

 

Kunden din skal være sikker på att han har gitt informasjonen til DEG, og att du beholder den informasjonen for å gi svar på hans spørsmål. Ikke for å selge til andre, eller begynne sende ut reklame.

 

For hvis du skal det, må det stå att det er derfor du samler inn informasjonen, da er det jo ikke sikkert du får spørsmål i hele tatt

 

Igjen, dette er sånn det er i dag ja, men kun overfor forbrukere. Med GDPR gjelder dette alle.

 

 

Og hvis en kunde har detaljene sine liggende på nettsiden sin, så ber han jo om att du kan ringe han

 

Ja det høres jo opplagt ut, men det er ikke det som står i loven. GDPR skiller ikke på omfang av innhenting. Du må hente inn opplysningen for å kunne bruke den (ringe). Og det er altså ikke lov. Det var dette jeg kalte idioti, og selvsagt vil ikke dette holde i norsk rett, men det er likevel det som står i loven.

 

 

Men du kan ikke skanne internet å opprette en database med "kunder".. Det sier seg jo selv.

 

Det er akkurat sånn oppsøkende B2B salg foregår kjære deg. Oppsøkende salg er livsgrunnlaget til de fleste bedrifter i en eller annen fase. Og det blir nå forbudt, som en utilsiktet konsekvens.

 

Så kjernen av problemet jeg forsøker å påpeke er at loven rammer så vidt og så mye som den ikke er ment å ramme at bedrifter blir stilt overfor et dilemma:

1) Forholde seg til loven slik den står skrevet, og tape stort i konkurranse med de som ikke gjør det. Som tidligere skrevet så kan dagens CRM-en som må slettes være hele livsgrunnlaget til mange bedrifter.

2) Forholde seg til sunn fornuft, og avvente rettspraksis og endringer i loven. Og dette kan da være å drite litt i det som faktisk står skrevet i loven, sånn som du gjør, eller å drite helt i loven.

 

Så er relevansen i forhold til artikkelen at med røykeloven så er det de som dreit i loven som i dag framstår som de som tapte, og ingen ser tilbake. Mens med GDPR er det de som tolker loven bokstavelig som vil tape i konkurranse med de som i større eller mindre grad driter i loven. Og loven vil bli endret og tilpasset den siste gruppen, enten gjennom rettspraksis eller at det vedtas endringer.

Endret 30. november 2017 av LOH8PDYL

[Jan Sandtrø]

Det er veldig mye feil i innlegget ditt, så jeg kan ikke gå inn på alt, men to ting:

 

- Du trenger IKKE å ha samtykke for behandle eller innhente personopplysninger. Det er mange andre grunnlag for behandling i Artikkel 6 i GDPR. Samtykke er noe man helst bør unngå.

 

- Det stemmer IKKE at "Privatpersoner har heller ikke lov til å hente inn opplysninger om andre privatpersoner"- GDPR gjelder ikke for privat bruk av personopplysninger, se Artikkel 2 nr. 2 punkt d i GDPR.

 

GDPR er dessverre et rimelig komplisert regelverk (som mye av lovverket ellers), derfor bør man høre med eksperter for å være sikker på at det blir riktig. Dette gjelder spesielt for bedrifter som skal være i overensstemmelse med reglene.

[LOH8PDYL]

Det er veldig mye feil i innlegget ditt, så jeg kan ikke gå inn på alt, men to ting:

 

- Du trenger IKKE å ha samtykke for behandle eller innhente personopplysninger. Det er mange andre grunnlag for behandling i Artikkel 6 i GDPR. Samtykke er noe man helst bør unngå.

 

- Det stemmer IKKE at "Privatpersoner har heller ikke lov til å hente inn opplysninger om andre privatpersoner"- GDPR gjelder ikke for privat bruk av personopplysninger, se Artikkel 2 nr. 2 punkt d i GDPR.

 

GDPR er dessverre et rimelig komplisert regelverk (som mye av lovverket ellers), derfor bør man høre med eksperter for å være sikker på at det blir riktig. Dette gjelder spesielt for bedrifter som skal være i overensstemmelse med reglene.

 

Da oppfordrer jeg deg til å lese artikkel 6 om igjen. Det er nemlig ingen av de andre grunnlagene som er relevant for problemstillingene jeg har tatt opp.

 

Så regner jeg med at du mente artikkel 2, nr. 2 punkt c og ikke d? Her må jeg bøye meg i støvet å innrømme at å si «venner og familie» er en overdrivelse og faktisk feil. Men lovteksten gir unntak for «rent personlige eller familiemessige aktiviteter», og det er mye vanlige folk anser å være av privat karakter som rent juridisk ikke er det. Så å si at GDPR ikke gjelder for privat bruk av personopplysninger er faktisk like feil.

 

Og med eksperter så mener du en rådgiver i Atea? Eller du mener advokater som kan jussen men aldri har tenkt på eller hørt om brorparten av problemstillingene loven skaper? Eller bare generelt folk som tjener penger på dette? Ikke for å undergrave ekspertene, men jeg må nesten få sitere Steve Jobs på at «experts are clueless». Denne loven er som sagt et juridisk monster med masse utilsiktede konsekvenser. Jeg diskuterer gjerne detaljer, så fyr løs, men intensjonen var å peke på noen overordnede problematiske punkter i loven. Hvis du leser høringssvar eller hører med jurister som ikke tjener penger på å propagere dette så finner du mange andre med de samme prinsipielle innvendingene.

Endret 30. november 2017 av LOH8PDYL

[Jan Sandtrø]

Den problemstillingen du tok opp var:

 

"Du kan ikke hente inn og bruke et telefonnummer eller e-post fra en nettside og bruke disse til å kontakte kunden. Det høres ut som idioti, men det som står i loven." og så sier du "Nei, du tar feil. Du har ikke lov å hente inn opplysninger uten aktivt samtykke. Og ja, så lenge det ikke er en forbruker du henter inn informasjon om, så er det i praksis lov i dag. Altså er det en vesentlig forskjell her. Jeg kan fritt opprette en CRM med leads som ikke har oppsøkt meg i dag for framtidig B2B-salg. Jeg kan også fritt legge mobilnummeret ditt fra visittkortet du har gitt meg inn på adresselista på telefonen min. Det er heller ikke lov med GDPR, ikke uten aktivt samtykke."

 

Dette er feil, du kan bruke interesseavveiningen i punkt f) til dette, som vil være et bedre grunnlag enn samtykke.

 

Vedrørende privat bruk, så medfører ikke GDPR noen endring på den praksis og juridsike situasjon vi har hatt i Norge (og i Europa) de siste 20 årene. Behandling av personopplysning til personlig formål er derfor ikke omfattet av GDPR (eller personopplysningsloven).

 

Du går i den samme fellen som mange som ikke har arbeidet med personvern over lang tid, ved at du tror GDPR medfører mange større endringer. På de to områdene du har nevnt, er det ingen spesielle endringer, og ingen vits i å blåse dette opp til noe mer enn det er.

[technofetish]

Edit: Så etterpå at jeg ikke bidro med noe nytt til diskusjonen.

Endret 1. desember 2017 av technofetish

[Jan Olsen]

Dette skaper mest jobber for compliance-bransjen. Forbrukerne er vel aldri blitt så intenst overvåket av myndighetene som nå, historisk sett - og dette lovverket forhindrer ikke dette.